Der NICER-Report erscheint jährlich, gibt Einblick in den Internet-Security-Status von Organisationen und spricht Empfehlungen für Maßnahmen gegen Cyber-Attacken aus. Im Mittelpunkt der Analyse stehen Internet-Dienste, Datenbanken, die Internet-Infrastruktur und Web-Server. Der folgende Beitrag betrachtet die Security-Herausforderungen webbasierter Dienste und stellt Ergebnisse aus Deutschland vor.
Die Analyse der Internetzugänge und -Dienste in Deutschland durch Rapid7-Experten deckte insgesamt 4.611.927 Schwachstellen auf, wovon über 38,5 Prozent als schwer einzustufen sind.
Im April und Mai 2020 wurden weltweit Daten für den National/Industry/Cloud Exposure Report (NICER) 2020 erhoben, darunter auch in Deutschland. Dabei kam heraus, dass Deutschland mit Platz Fünf weit oben auf der Liste der Länder steht, die stark durch Cyber-Kriminalität gefährdet sind. Nur die USA, China, Süd-Korea und Großbritannien sind noch schlechter platziert. Die Analyse der Internetzugänge und -Dienste in Deutschland deckte insgesamt 4.611.927 Schwachstellen auf, wovon über 38,5 Prozent oder 1.776.608 der entdeckten Schwachstellen in exponierten Diensten als hoch (Common Vulnerability Scoring System CVSS 8.5+) einzustufen sind, 1.599.858 als „mittel“ und 1.235.461 als „niedrig“. Das Scoring System ist ein Industriestandard, der den Schweregrad von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen bewertet.
Genauer aufgeschlüsselt ergibt sich dieses Bild:
Service Group
Service
Found
Console Access
SSH (22)
1.461.315
Console Access
Telnet (23)
21.673
Database
memcached (11211)
1.263
Database
MySQL (TCP/3306)
208.159
Database
MS SQL (UDP/1434)
3.855
Database
Redis (6379)
4.047
File Sharing
FTP (21)
760.69
File Sharing
FTPS (990)
8.532
File Sharing
rsync (873)
13.787
File Sharing
SMB (445)
30.118
Infrastructure
DNS (TCP/53)
224.91
Infrastructure
DNS (UDP/53)
244.272
Infrastructure
DoT (853)
296
Infrastructure
NTP (123)
62.315
Mail
IMAP (143)
386.092
Mail
IMAPS (993)
376.78
Mail
POP3 (110)
367.597
Mail
POP3S (995)
336.128
Mail
SMTP (25)
637.569
Mail
SMTP (587)
373.266
Mail
SMTPS (465)
375.526
Remote Access
Citrix ADC/NetScaler (various)
6.561
Remote Access
RDP (3389)
178.312
Remote Access
VNC (5900+5901)
16.679
Web Primary
HTTP (80)
2.190.838
Web Primary
HTTPS (443)
2.389.947
Viele Organisationen sind demnach einem höheren Risiko von Cyber-Attacken ausgesetzt, vor allem durch
Brute-Force-Angriffe, eine Methode zum Brechen oder „Knacken“ von Passwörtern,
Credential Stuffing (Verwendung von gestohlenen Konto-Anmeldedaten für unbefugten Zugang zu Benutzerkonten) und
exploit-basierte Remote-Access-Angriffe (Software, Daten oder Befehlssequenz, mit der unbeabsichtigtes oder unvorhergesehenes Verhalten auf der Computersoftware oder der -hardware ausgelöst wird).
Viele Dienste haben so starke Schwächen, dass ein Einsatz erst gar nicht erwogen werden sollte, das gilt vor allem bei SMB, Telnet und rsync sowie bei einfachen E-Mail-Zugängen. Für diese gilt eine einfache Regel: Sie dürfen auf keinen Fall verwendet oder angeboten werden, niemals. Denn offenere Einfallstore werden Hacker kaum finden. Glücklicherweise ist die Nutzung von Telnet-Diensten in Deutschland im Vergleich zu 2019 um rund 17 Prozent gesunken. Aber das reicht noch nicht aus. Schauen wir und diese Dienste genauer an.
Telnet ist prädestiniert für Lauschangriffe
Bei Telnet handelt es sich fast immer um ein Klartextprotokoll, das sowohl die Authentifizierung (Benutzername und Passwort) als auch die Daten einem passiven Lauschangriff aussetzt. Zum anderen ist es relativ einfach, Befehle und Antworten im Datenstrom zu ersetzen, sollten sich Angreifer in einer privilegierten Position befinden, um den Datenverkehr zu manipulieren. Das größere Problem bei Telnet ist die Tatsache, dass Standard-Benutzernamen und -Passwörter in der Praxis so häufig vorkommen, dass man davon ausgeht, dass dies immer der Fall ist, wenn jemand auf einen Telnet-Server stößt. Dies war die zentrale Hypothese des Mirai-Wurms von 2016, der eine extrem kurze Liste von üblichen Standard-Telnet-Benutzernamen und -Passwörtern verwendete und es damit schaffte, Internet-Giganten wie Twitter und Netflix praktisch auszuschalten.
Interessant ist, dass die überwiegende Mehrheit der Telnet-Dienste, die dem Internet ausgesetzt sind, stark mit Anbietern verbunden sind. Cisco und Huawei, zwei der größten Routerhersteller der Welt, dominieren die Gesamtzahl aller Telnet-Dienste. Etwa 14 Prozent der Geräte von Cisco und 11 Prozent der Geräte von Huawei sind heute tatsächlich unter Verwendung von Standard-Anmeldeinformationen zugänglich. Dieser Mangel an Pflege und Wartung des Rückgrats von Tausenden von Organisationen ist enttäuschend, und jedes dieser Geräte sollte heute als gefährdet betrachtet werden. IT- und IT-Sicherheitsteams sollten den Telnet-Verkehr von und zu ihren Netzwerken verbieten, ein gut gewarteter SSH-Server ist weitaus zuverlässiger, flexibler und sicherer.
SMB – auf den Wurm gekommen
SMB (Server Message Block) ist für Netzbetreiber auf der ganzen Welt eine ständige Quelle von Herz- und Kopfschmerzen, denn wählerische Würmer wählen SMB. Unabhängig von der Version und Konfiguration ist SMB für das heutige Internet ungeeignet. SMB ist zu komplex, um es zuverlässig zu sichern, und kritische Schwachstellen, die für kriminelle Ausbeutung attraktiv sind, tauchen weiterhin im Protokoll auf. Da SMB in TCP/IP eingebettet ist, können Fehlkonfigurationen im Netzwerk unbeabsichtigterweise SMB-basierte Ressourcen direkt dem Internet aussetzen. Jede Organisation sollte ihre Netzwerkeingangs- und -ausgangsfilter kontinuierlich auf SMB-Datenverkehr testen - nicht nur, um zu verhindern, dass Außenstehende SMB-Datenverkehr an Ihre versehentlich freigelegten Ressourcen senden, sondern auch, um zu verhindern, dass interne Benutzer versehentlich SMB-Authentifizierungsverkehr in die Welt hinausschicken. IT- und IT-Sicherheitsteams sollten SMBs den Zugang zu oder von ihrer Organisation über alles andere als VPN-verbundene Netzwerke untersagen und ihren bekannten, nach außen gerichteten IP-Adressraum regelmäßig auf falsch konfigurierte SMB-Server überprüfen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
rsync nie dem Internet aussetzen
rsync ist fast ein Unfall des frühen Internet-Engineerings. Der rsync-Dienst hat im Laufe der Jahre einige bekannte Schwachstellen gehabt, aber die größte Schwachstelle ist, dass Benutzer ihn dem Internet aussetzen, entweder ohne Anmeldeinformationen oder mit schwachen und/oder unverschlüsselten Anmeldeinformationen, dicht gefolgt von der Verwendung zur Übertragung sensibler Dateien, die nicht selbst verschlüsselt sind. IT- und IT-Sicherheitsteams sollten niemals Vanilla rsync verwenden und sollten sich immer dafür entscheiden, es in eine schmackhafte, schokoladige Hülle zu hüllen (d.h. es nur verwenden, wenn über zertifikatsbasierte, authentifizierte SSH-Sitzungen getunnelt wird). Es gibt keinen anderen sicheren Weg, rsync für vertrauliche Informationen zu verwenden.
E-Mails – des Deutschen liebstes Kind
E-Mail, in seiner heute erkennbaren Form, entwickelte sich zum SMTP-Standard für die Übertragung von Nachrichten zwischen Netzwerken und Computern und wurde im November 1981 in RFC 788 verankert. E-Mail war bereits mindestens ein Jahrzehnt zuvor in Gebrauch gewesen, aber die Protokolle und Anwendungen unterschieden sich je nach System und Netzwerk stark voneinander. SMTP war notwendig, um E-Mail zu vereinheitlichen und zu universalisieren, und es entwickelt sich bis heute weiter.
Auf der Client-Seite haben sich die Gewohnheiten im Laufe der Zeit geändert. In den 1990er Jahren dominierten die Client-Server-Protokollfamilien POP (Post Office Protocol) und IMAP (Internet Message Access Protocol). Als sich die Welt auf das World Wide Web umstellte, gab es einen kurzzeitigen Rückgang ihrer Verwendung, nämlich indem die Menschen sich Webmail zuwandten und nicht den eigenständigen Mail-User-Agents (MUAs). Dieser Trend kehrte sich Ende der 2000er Jahre mit dem Aufkommen von Apple- und Android-Mobilgeräten um, die zur Interaktion mit E-Mail-Servern eher IMAPv4 verwenden.
Die Klartext-Natur der E-Mail ist das Hauptanliegen bei der Sicherheit dieses Protokolls. E-Mail ist auch die beliebteste Methode für Phishing-Fans, um Passwörter zu enthüllen und Malware auszuführen. Aktuell gibt es mindestens zwei ernsthafte Schwachstellen in den beliebten Mail-Servern Exim und Microsoft Exchange, die heute eingesetzt werden. IT- und IT-Sicherheitsteams sollten ernsthaft in Erwägung ziehen, zu einem etablierten E-Mail-Anbieter wie Office 365 von Microsoft oder der G Suite von Google zu wechseln. Das Ausführen der eigenen E-Mail gehört nach wie vor zu den wirklich schmerzhaften Aufgaben der Netzwerkadministration, da Ausfälle, Patch-Management und redundante Backups selbst in den besten Zeiten knifflig sein können, ganz zu schweigen von der ständigen Beanspruchung der Ressourcen im Kampf gegen Spam und Phishing. Etablierte Anbieter in diesem Bereich haben eine nachgewiesene Erfolgsgeschichte im Umgang mit Spam und Phishing sowie eine bemerkenswerte Verfügbarkeitszeit vorzuweisen.
Das Internet ist trotz Corona sicherer geworden
Diese Aussage kann erstaunen. Denn wer vermutete nicht, dass sich die Pandemie, die Abriegelung, die vielen Home-Offices und der Verlust von Arbeitsplätzen auf den Charakter und die Zusammensetzung des Internets ausgewirkt hat. Security-Experten sahen eine Renaissance schlecht konfigurierter, hastig bereitgestellter und völlig unsicherer Dienste im öffentlichen Internet. Sie glaubten, dass die Unternehmen und Institutionen, nachdem sie ihre Mitarbeiter aus ihren Büros, Arbeitsräumen und Schulen ausgesperrt hatten, die Dinge einfach nur schnell zum Laufen gebracht haben. Und sie fürchteten eine deutliche Zunahme von neuen Windows SMB-Diensten für den Dateiaustausch zwischen Arbeit und Zuhause, von rsync-Servern, die Backup-Daten über das Internet sammeln, und von nicht konfigurierten IoT-Geräten mit Telnet-basierten Konsolen. Nichts davon ist eingetroffen. Die globalen Katastrophen wie Krankheit und Rezession sowie die Unsicherheit scheinen keine offensichtlichen Auswirkungen auf die grundlegende Natur des Internets gehabt zu haben. Das Internet an sich ist krisenfest, und das ist sehr erfreulich.
Über den Autor: Tod Beardsley ist Forschungsdirektor bei Rapid7. Er verfügt über mehr als 20 Jahre praktisches Sicherheitswissen und Erfahrung. Er war in IT-Operations und IT-Sicherheitspositionen in großen Organisationen wie 3Com, Dell und Westinghouse tätig. Heute spricht Beardsley oft auf Sicherheits- und Entwicklerkonferenzen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/1f/82/1f823ab25008d6f88089e53a47579cd4/0124815255v2.jpeg "NIS-2 zwingt Unternehmer und öffentliche Stellen zum Handeln, da keine Übergangsfrist vorgesehen ist. Die vom BSIG-E formulierten Pflichten müssen die Einrichtungen daher erfüllen können, sobald das Gesetz gilt. (Bild: © Muhammad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/21/c621be505dc5234c7b1f193c4509a956/0127355666v2.jpeg "Die Oracle E-Business Suite ist in den Versionen 2.2.3 bis 12.2.14 von einer kritischen Sicherheitslücke betroffen. Admins sollten sofort patchen. (Bild: Westlight - stock.adobe.com)")