Um Cyberkriminellen bei der Ausnutzung von Schwachstellen einen Schritt voraus zu sein, gibt es für Unternehmen verschiedene Möglichkeiten, zum Beispiel Pentests und Bug Bounty Programme. Ein White-Hat-Hacker erklärt, wie Unternehmen private und öffentliche Bug Bounty Programme starten können und was sie bringen.
Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab.
(Bild: Tobias - stock.adobe.com)
In einer Welt, die immer schneller und komplexer wird, ist es wichtig, die Unternehmenssicherheit als kontinuierlichen Prozess zu betrachten, anstatt sie nur punktuell zu bewerten. Angreifer sind hartnäckig und einfallsreich. Sie finden ständig neue Wege, um Schwachstellen auszunutzen. Das bedeutet, dass Lösungen, die gestern noch funktionierten, morgen möglicherweise nicht mehr ausreichen. Um potenziellen Sicherheitsbedrohungen einen Schritt voraus zu sein, gibt es Validierungsmethoden wie Pentests und Bug Bounty Programme. Das Softwareunternehmen Grammarly, das den gleichnamigen Schreibassistenten entwickelt, führt seit mehr als fünf Jahren ein eigenes Bug Bounty Programm durch und hat dadurch erhebliche Vorteile aus der Zusammenarbeit mit ethischen Hackern gezogen.
Suha Can, Chief Information Security Officer bei Grammarly, arbeitet mit seinem Team täglich daran, neue Sicherheitsstandards für das Unternehmen zu setzen. Eines seiner Teammitglieder, V. Metnew, der heute als Application Security Engineer für Grammarly tätig ist, verfügt über langjährige Erfahrung als White-Hat-Hacker. Er bringt sein umfangreiches Fachwissen und seine einzigartige Perspektive ein, um das Bug Bounty Programm des Unternehmens erfolgreich zu betreiben. Gemeinsam mit Suha Can erklärt der Sicherheitsexperte, wie Unternehmen private und öffentliche Bug Bounty Programme starten können und wie diese dazu beitragen, die Sicherheit von Produkten zu gewährleisten und das Vertrauen der Kunden zu stärken.
Sicherheitslücken werden von ethischen Hackern aufgedeckt
Ethische Hacker decken Sicherheitslücken auf, indem sie mit Unternehmen in Bug Bounty Programmen zusammenarbeiten. Diese Programme ermöglichen die Zusammenarbeit mit White-Hat-Hackern, die das Produkt untersuchen und gefundene Fehler („Bugs“) melden. Es ist wichtig, dass diese Schwachstellen vor ihrer Behebung nicht öffentlich gemacht werden, erklärt Suha Can, CISO bei Grammarly. Die Unternehmen müssen daraufhin schnell auf die Berichte der Forscher reagieren und die entdeckten Lücken schließen. Als Gegenleistung erhalten die Forscher Belohnungen („Bounty“) entsprechend der Schwere der Schwachstellen. Bug Bounty Programme stellen ein zusätzliches Instrument dar, um Ad-hoc-Penetrationstests durch kontinuierliche Programme zu ergänzen. Dadurch wird gewährleistet, dass möglichst sichere Produkte bereitgestellt werden, die die Daten der Nutzer schützen und das Vertrauen der Kunden stärken. Laut Sicherheitsexperte Can können Bug Bounty Programme entweder in einem privaten, selektiven Kreis von ethischen Hackern auf einer bestimmten Plattform oder im öffentlichen Modus durchgeführt werden. Im Falle eines öffentlichen Programms kann jeder Forscher seinen Bericht einreichen und eine Belohnung erhalten. V. Metnew, ein ehemaliger White-Hat-Hacker, erklärt, dass das Prinzip des Linus' Gesetzes in der Software-Entwicklung auch auf Bug Bounty Programme zutrifft. Es besagt: „Bei genügend Augäpfeln sind alle Fehler oberflächlich“. Das bedeutet, dass mit ausreichend Beta-Testern und Mitentwicklern nahezu jedes Problem schnell erkannt und behoben werden kann. Metnew fährt fort und erklärt, dass ethische Hacker bei der Lösung von logischen Fehlern, Fehlkonfigurationen und Kommunikationsproblemen in verschiedenen Diensten helfen, bei denen Automatisierung nicht immer ausreichend ist. Sie sind in der Regel proaktiv und melden Fehler, sobald sie sie entdecken, da sie bestrebt sind, die besten Ergebnisse zu erzielen.
Der Beginn privater Bug Bounty Programme
Um ein privates Bug Bounty Programm durchzuführen, sind bestimmte wesentliche Schritte erforderlich. Als Erstes sollte das Unternehmen eine passende Plattform wählen. Grammarly hat sich für HackerOne entschieden, eine Plattform, die von namhaften Unternehmen wie Adobe, IKEA, GitHub, PayPal und Lufthansa genutzt wird. Anschließend sollten klare Richtlinien für die Zusammenarbeit mit ethischen Hackern festgelegt werden, darunter der Umfang der Tests, die Berichterstattung und das Belohnungssystem. Die Plattform lädt dann gezielt Forscher mit entsprechenden Profilen ein. Zu Beginn des Programms kann es eine Herausforderung sein, den Ansturm von Berichten zu bewältigen. Eine Empfehlung besteht darin, ein Rotationssystem für Ingenieure einzuführen, um eine effiziente Bearbeitung und Verteilung der Berichte an die Entwicklungsteams zu gewährleisten.
Die Definition der Zusammenarbeit mit ethischen Hackern
Der Erfolg des Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. Auch hier gibt der CISO des Softwareunternehmens Grammarly Ratschläge, die sein Unternehmen befolgt: „Wir pflegen eine offene Kommunikation, reagieren zeitnah und schaffen Anreize für die Teilnahme“, erklärt Suha Can. Es ist wichtig, schnell auf Nachrichten von Hackern zu reagieren, da die Reaktionsgeschwindigkeit für Forschende oft ein entscheidender Faktor ist, um an einem Unternehmensprogramm teilzunehmen. Das Softwareunternehmen Grammarly ging sogar noch einen taktischen Schritt weiter und beschloss, einen White-Hat-Hacker intern in das Team aufzunehmen: „Nach einer Zeit produktiver Zusammenarbeit haben wir einen erfahrenen Bug Bounty Hacker aus dem Programm eingeladen, sich unserem Sicherheitsteam anzuschließen“, berichtet der CISO von Grammarly. V. Metnew arbeitet nun bereits seit über vier Jahren als Application Security Engineer im Unternehmen und leitet derzeit das öffentliche Bug Bounty Programm von Grammarly, wobei er direkt mit den ethischen Hackern zusammenarbeitet, erklärt Can. „Es war für mich eine naheliegende Entscheidung, dem Team von Grammarly beizutreten und dem Unternehmen dabei zu helfen, die Sicherheitsbemühungen zu stärken“, sagt V. Metnew. Er fährt fort: „Während viele meiner Aufgaben als unabhängiger Sicherheitsforscher ähnlich sind wie meine aktuellen Aufgaben, ist die Arbeit als Application Security Engineer viel komplexer und vielschichtiger. Sie erfordert solide Fähigkeiten in der Entwicklung und Softwarearchitektur. Als Bug Bounty Researcher liegt der Fokus im Allgemeinen mehr auf Details wie Datenflüssen, Zeitabläufen und erwartetem Verhalten. Als Sicherheitsingenieur muss man jedoch auch das größere Bild, das 'Big Picture', im Blick haben und in einem entsprechend größeren Maßstab arbeiten: Hunderte von Datenflüssen, Projekten und Kontrollen müssen berücksichtigt werden.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kommunikation: Das Geheimnis des Erfolgs
Der frühere White-Hat-Hacker V. Metnew ist fest davon überzeugt: „Kommunikation ist der Schlüssel zum Erfolg jedes Bug-Bounty-Programms. Es ist wichtig, einen aktiven Austausch aufrechtzuerhalten und die Bemühungen der teilnehmenden ethischen Hacker zu würdigen, die sich dafür entschieden haben, ihre Zeit in dieses Programm zu investieren anstatt in ein anderes.“ Ein weiterer Ratschlag des Experten besteht darin, die Kennzahlen des Programms (z. B. Time-to-Resolution, Time-to-Response, Time-to-Bounty, usw.) kontinuierlich im Blick zu behalten. Diese Kennzahlen geben Auskunft darüber, wie effektiv die Teams Schwachstellen beheben, wie gut sie die Kommunikation mit den Forschern pflegen und wie angemessen sie diese belohnen. Die Anstellung einer Person in einem internen Sicherheitsteam oder die Beauftragung eines Beraters mit Erfahrung als ethischer Hacker ist ebenfalls äußerst vorteilhaft. „Ehemalige Bug-Bounty-Forscher verfügen über unschätzbares Wissen über interne Abläufe und verstehen die Feinheiten der Zusammenarbeit mit Forschern. Sie können wertvolle Einblicke in bewährte Praktiken geben, um die bestmöglichen Ergebnisse für das Unternehmen zu erzielen“, betont der Experte.
Der Shift vom privaten zu öffentlichen Bug Bounty Programm
„Unser Team investierte die ersten Monate in die Sammlung von Erkenntnissen und die Verfeinerung interner Prozesse zur Annahme und Behebung von Schwachstellen“, erklärt der Sicherheitsexperte des Unternehmens Grammarly, Suha Can. Allerdings ist es bei einem privaten Bug Bounty Programm mit der Zeit unvermeidlich, dass die Anzahl der Berichte abnimmt, da die Teilnehmerzahl begrenzt ist. Um die Skalierbarkeit zu erhöhen und die Transparenz sowie das Vertrauen zu stärken, entschied sich das Team daher für einen Wechsel zu einem öffentlichen Programm. Dadurch stieg die potenzielle Teilnehmerzahl um das 150-fache, von 2.000 auf 300.000 registrierte Hacker auf der Plattform zu diesem Zeitpunkt.
Sicherung langfristigen Erfolgs durch effektive Sicherheitsstrategien
Um langfristigen Erfolg sicherzustellen, ist es wichtig, effektive Sicherheitsstrategien zu implementieren. Nach einem erfolgreichen Start des öffentlichen Programms gilt es, kontinuierlich daran zu arbeiten und das Effizienzniveau aufrechtzuerhalten. Eine wichtige Maßnahme besteht darin, die Programmbeschreibung regelmäßig zu aktualisieren, um sicherzustellen, dass sie relevant bleibt und die Teilnehmenden über die aktuellen Prioritäten des Unternehmens informiert. Auftraggebende können beispielsweise temporär höhere Prämien für Berichte über neue Produktveröffentlichungen anbieten, um das Interesse der Forschenden darauf zu lenken. „Solche Anreize tragen dazu bei, qualitativ hochwertige Berichte zu Themen mit hoher Priorität schneller zu erhalten. Derzeit bieten wir beispielsweise einen doppelten 'Bounty Bonus' von bis zu 100.000 Dollar für relevante Berichte über Schwachstellen mit hohem und kritischem Schweregrad in unserem neuen Authentifizierungs- und Autorisierungsdienst“, erklärt Suha Can, CISO bei Grammarly. Bisher hat Grammarly über 270.000 Dollar an Prämien an ethische Hacker ausgezahlt. Diese Investition führte zu etwa 190 wertvollen Berichten von führenden Sicherheitsforschenden. Fünf Jahre nach dem Start des Bug Bounty Programms betrachtet Suha Can es als integralen Bestandteil eines umfassenden Sicherheitsansatzes, von dem ein Softwareentwicklungsunternehmen wie Grammarly erheblich profitieren kann. „Ein kooperativer Sicherheitsansatz und die Zusammenarbeit mit vertrauenswürdigen ethischen Hackern über Plattformen können dazu beitragen, den Schutz der Unternehmenssysteme und Kundendaten kontinuierlich zu verbessern“, schließt Can.
Über den Autor: Suha Can ist Chief Information Security Officer bei Grammarly und leitet auf globaler Ebene die Bereiche Sicherheit, Datenschutz, Compliance und Identität für das Unternehmen. Seine Teams kümmern sich um die Sicherheit der Daten von über 30 Millionen täglichen Grammarly-Nutzenden und 50.000 Teams weltweit. Zuvor war Suha Can „Director of Security“ bei Amazon und leitete weltweit das Sicherheits-Engineering für Amazon Payments sowie Alexa.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/66/4b66437c281843d7f2c99a1757c8dfa4/0128929211v2.jpeg "Der Cybercrime-Dienst RedVDS bot kriminellen Nutzern Zugang zu virtuellen Wegwerfcomputern, die für 24 Dollar im Monat gemietet werden konnten. Diese Computer ermöglichten anonyme Straftaten und konnten nach der Nutzung schnell abgeschaltet werden, um die Strafverfolgung zu erschweren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/33/99332844f91f510eaedf1c857a567706/0128775218v2.jpeg "Bei erfolgreicher Ausnutzung der Schwachstelle EUVD-2025-205454 / CVE-2025-68668 können Cyberkriminelle aus der Sandbox von n8n-Projekten ausbrechen und Schadcode ausführen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/46/65/466530a22b95665e42a29262f8888b64/0128942978v2.jpeg "Der Einsatz von KI-Bots birgt Risiken für Unternehmen, da sie Serverressourcen überlasten, personenbezogene Daten missbrauchen und Umsatzverluste verursachen können. Daher sollten Unternehmen Zugriffskontrollen implementieren und geeignete Schutzmaßnahmen ergreifen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/81/06/81063301a7b1384446e1956b0962da7c/0128938076v2.jpeg "Symbolischer Auftakt in Brandenburg: Die AWS European Sovereign Cloud richtet sich an öffentliche Auftraggeber und stark regulierte Branchen in der EU. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/d8/73/d87362ef0fcf479f5f38706e92fe06bb/0128612106v1.jpeg "Bei den defekten Systemdatenträgern, die bei CBL Datenrettung behandelt werden, machen SSDs inzwischen rund 70 Prozent aus. Hier muss sich das Unternehmen auf neue Controller wie die von Maxio Technology einstellen. (Bild: CBL )")
:quality(80)/p7i.vogel.de/wcms/fc/62/fc6241572174058c15f52b26aa9cbffc/0128589742v1.jpeg "Betreiber kritischer Infrastrukturen melden laut Thales weniger Sicherheitsvorfälle, sehen aber wachsende Risiken durch KI-Systeme und künftige Entschlüsselungsszenarien im Post-Quanten-Kontext. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/d4/67d44564cddb408808b423c810adf54d/0128931179v1.jpeg "Sandboxes und KI-basierte Cybersicherheit, ein Interview von Oliver Schonschek, Insider Research, mit Dr. Carsten Willems von VMRay. (Bild: Vogel IT-Medien / VMRay / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/47/f2/47f29084938928df65463b41946e0e84/0122614612v2.jpeg "Zwar wollen Sie den betroffenen Unternehmen nichts Böses, dennoch verschaffen sich Ethical Hacker Zugriff auf fremde Netzwerke. (Bild: ChubbyCat - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/42/f242d4d6e27cd8a61db781b0ff706c8d/0126172371v2.jpeg "Seit 20 Jahren suchen die Forscherinnen und Forscher der Zero Day Initiative nach Zero-Day-Sicherheitlsücken, um das Internet sicherer vor Cyberangreifern zu machen – ein Meilenstein zu dem wir gerne gratulieren! (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")