Alles in UBI? : Unternehmen im besonderen öffentlichen Interesse
Seit 2015 „kennt“ die deutsche Gesetzgebung kritische Infrastrukturen (KRITIS), 2021 kamen mit dem IT-Sicherheitsgesetz (IT-SiG) 2.0 die sogenannten Unternehmen im besonderen öffentlichen Interesse (UBI). Der vorliegende Beitrag fasst zusammen, wie sich die Einordnung in die verschiedenen UBI-Kategorien etabliert hat, was weiterhin unklar bleibt und welche Änderungen die NIS-2-Richtlinie der Europäischen Union voraussichtlich bewirken wird.
Von Marvin Menze, Hildesheim, und Johannes Kraus, Nürnberg
Im zweiten „Gesetz zur Erhöhung der Sicherheit bei informationstechnischen Systemen“ (IT-SiG 2.0) wurden Regelungen für „Unternehmen im besonderen öffentlichen Interesse“ (UBI) eingeführt. Dabei können Unternehmen nur entweder dem Bereich der kritischen Infrastruktur (KRITIS) zugeordnet oder als UBI einzuordnen sein – beides geht nicht. Innerhalb der UBI werden drei Kategorien unterschieden, welche § 2 Abs. 14 BSI-Gesetz (BSIG) definiert.
Zu „UBI 1“ zählen zum einen jene Unternehmen, die Güter nach § 60 Abs. 1 Nr. 1 und 3 der Außenwirtschaftsverordnung (AWV) herstellen oder entwickeln: Dazu zählt beispielsweise die Herstellung von Waffen, Munition oder Rüstungsmaterialien. Zum anderen werden Unternehmen dieser Kategorie zugeordnet, die Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen entwickeln oder wesentliche Komponenten dafür darstellen.
Unternehmen, die dieser Kategorie zugeordnet werden können, waren bereits zum 1. Mai 2023 verpflichtet, beim BSI eine Selbsterklärung zur IT-Sicherheit vorzulegen und diese im Anschluss alle zwei Jahre zu aktualisieren. Des Weiteren müssen eine Meldestelle beim BSI registriert und Sicherheitsvorfälle gemeldet werden (§ 8f Abs. 7 BSIG).
Zur Kategorie „UBI 2“ zählen die – gemessen an ihrer inländischen Wertschöpfungskette – national wirtschaftsstärksten Unternehmen sowie deren Zulieferer. Innerhalb dieser Kategorisierung liegt der Fokus also auf der Wertschöpfung – es wird keine Unterscheidung hinsichtlich der sonstigen Relevanz von Unternehmen vorgenommen: Ein Hersteller von Kinderspielzeug besitzt beispielsweise keine geringere Relevanz als ein Produzent von Medizinprodukten. Es zählt ausnahmslos die Höhe der Wertschöpfung.
Dabei stellt sich die Frage, wie viele Mitarbeiter* benötigt werden oder wie hoch der Umsatz in einem Unternehmen ausfallen muss, damit es zu dieser Kategorie gezählt werden kann: Laut BSI sollen die genauen Kriterien in der UBI-Rechtsverordnung (UBI-VO) festgelegt und gemäß § 10 Abs. 5 BSIG vom Bundesministerium des Inneren und für Heimat (BMI) erlassen werden. Bis heute sind jedoch keine Kennzahlen oder Schwellenwerte definiert worden – nach aktuellem Stand sollen Ergebnisse noch im laufenden Jahr 2024 präsentiert werden.
Unternehmen, welche dieser Kategorie zugeordnet werden können, müssen nach Erlass und Inkrafttreten der Verordnung innerhalb von zwei Jahren eine Meldestelle beim BSI registrieren und – wie bei UBI 1 – initial eine Selbsterklärung erstellen. Es wird derzeit jedoch davon ausgegangen, dass es mit der Einführung von NIS-2 Änderungen geben wird: Es soll beispielsweise geplant sein, dass die UBI-Gruppen und die damit einhergehenden Verpflichtungen aufgehoben werden und in die NIS-2-Sektoren aufgehen (siehe unten) – ob das aber auch wirklich so umgesetzt wird, ist unbekannt.
Zu der letzten Kategorie „UBI 3“ zählen Betreiber eines Betriebsbereichs der oberen Klasse aus Sicht der Störfall- Verordnung (Zwölfte Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes, 12. BImSchV) oder solche, die der Störfallverordnung gleichgestellt sind. Darunter werden Unternehmen gelistet, die größere Mengen gefährlicher Stoffe verarbeiten oder lagern – beispielsweise verschiedene Chemikalien, Explosivstoffe, aber auch entzündliche oder toxische Stoffe.
Sofern ein Unternehmen dieser Kategorie zugeordnet werden kann, besteht seit dem 1. November 2021 nach § 8f Abs. 8 BSIG die Verpflichtung, Störungen der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität zu melden, die zu einer erheblichen Beeinträchtigung der IT-Systeme, -Komponenten oder -Prozesse zur Erbringung der Wertschöpfung geführt haben oder zu einer erheblichen Störung führen können. Die Meldung muss an die zentrale Meldestelle des nationalen IT-Lagezentrums des BSI [1] erfolgen.
Abgrenzung zu KRITIS
Der erste Unterschied zwischen UBI und KRITIS liegt im Fokus etwaiger Störungen: Unternehmen des besonderen öffentlichen Interesses müssen IT-Störungen melden, wenn deren Wertschöpfung gefährdet ist, während KRITIS-relevante Einrichtungen diese melden, wenn der Betrieb der kritischen Dienstleistung gefährdet ist.
Außerdem können ein Unternehmen oder eine Behörde entweder einem der neun KRITIS-Sektoren nach BSIG oder einem der zwei Sektoren gemäß Bund- Länder-AG zugeordnet werden – das ist bei UBI nicht der Fall. Zusätzlich gilt, dass ein Unternehmen oder eine Behörde erst dann zu KRITIS zählt, wenn der definierte Schwellenwert des entsprechenden Sektors erreicht wird. Bei UBI gibt es hingegen weder Sektoren noch generell zugehörige Schwellenwerte – lediglich in UBI 2 wird von einem Schwellenwert gesprochen, der jedoch noch nicht bekannt gegeben wurde.
UBI und ISMS
Eine häufig gestellte Frage ist, ob UBI ein Informationssicherheits- Managementsystem (ISMS) einführen müssen. Unternehmen im besonderen öffentlichem Interesse sind aktuell zwar nicht verpflichtet, ein ISMS nach IT-Grundschutz oder ISO 27001 zu betreiben. Allerdings betont das BSI in den UBI-FAQ [2] „unabhängig von gesetzlichen Vorgaben ist die Implementierung eines ISMS empfehlenswert“.
Auch das Formular für die verpflichtende Selbstauskunft [3] orientiert sich stark an den genannten Standards: In Kapitel D wird zum Beispiel vertieft nachgefragt, inwieweit einzelne Prozesse und Systeme zur Informationssicherheit beitragen. Dazu sind die sieben Themenbereiche IT-Sicherheitsmanagement, Organisation und Personal, Konzepte und Vorgehensweisen, Asset- Management, physische Sicherheit, technische Sicherheit sowie Detektion und Reaktion definiert. Die Anforderungen (in der Selbstauskunft als „Themen“ bezeichnet), die für jeden dieser Bereiche formuliert wurden, sind mit dem bekannten Reifegrad nach dem BSI-Standard 200-2 zu bewerten. Dabei entspricht der Reifegrad 0 dem niedrigsten Stand, in dem weder ein ISMS existiert noch geplant ist – der Reifegrad 5 stellt die höchste Stufe dar, in der das ISMS nicht nur voll etabliert ist, sondern kontinuierlich überprüft und verbessert wird. In der Selbstauskunft wird mit „Umsetzungsgrad“ lediglich ein anderer Begriff für Reifegrad verwendet (Abb. 1).
Darauf aufbauend empfiehlt das BSI den Themen, die in der Selbstauskunft mit einem Umsetzungsgrad von zwei oder schlechter angegeben wurden, mit Maßnahmen zu begegnen, die sich nach Vorgaben aus dem IT-Grundschutz, der ISO/IEC 27001:2017 oder der ISO/IEC 27002:2017 ergeben (vgl. Abb. 2).
Noch konkreter ist der Bezug zu den BSI- und ISO-Standards anhand der Anlage 1 aus der Selbstauskunft zu erkennen (Abb. 3): Dort werden den Themen der Selbstauskunft vergleichbare Anforderungen aus dem IT-Grundschutz und den aufgeführten ISO-Normen zugeordnet. Eine strategische und prozessuale Ausrichtung nach einem der drei genannten ISMS-Standards ist daher im Kontext der UBI-Einordnung auf jeden Fall empfehlenswert. Dies gilt allerdings aufgrund der sich stetig verschärfenden Bedrohungslage der Informationssicherheit an sich bereits unabhängig von der Klassifizierung in eine der drei UBI-Kategorien: Jedes Unternehmen und jede Organisation sollte heute schon aus Eigeninteresse und angesichts der Verantwortung gegenüber Angestellten, Gesellschaft und Stakeholdern auch ohne gesetzliche Verpflichtung ein vollumfängliches ISMS betreiben.
Ausblick: UBI und NIS-2
In der NIS-2-Richtlinie entfällt die Einordnung in die UBI-Kategorien 1 bis 3 – zukünftig soll zwischen den Kategorien „besonders wichtig“ und „wichtig“ unterschieden werden. Die Einordnung erfolgt dabei auf Basis der sogenannten Einrichtungsart im Zusammenhang mit der Anzahl der beschäftigten Mitarbeiter oder anhand von Finanzkennzahlen wie dem Umsatz und der Bilanzsumme.
Die Einrichtungsart definiert sich nach vorgegeben Sektoren, die getrennt für die Kategorien „besonders wichtig“ und „wichtig“ erstellt werden. Die Kategorie „besonders wichtig“ umfasst nach aktuellem Stand die Sektoren „Energie“, „Transport und Verkehr“, „Finanz- und Versicherungswesen“, „Gesundheit“, „Wasser“, „Informationstechnik und Telekommunikation“ sowie „Weltraum“. Für die Kategorie „wichtig“ gliedern sich die Sektoren nach aktuellem Stand in „Transport und Verkehr“, „Abfallwirtschaft“, „Produktion, Herstellung und Handel mit chemischen Stoffen“, „Produktion, Verarbeitung und Vertrieb von Lebensmitteln“, „Verarbeitendes Gewerbe/Herstellung von Waren“, „Anbieter digitaler Dienste“ sowie „Forschung“ auf.
Unternehmen, die bisher beispielsweise aufgrund der Herstellung von Militärgütern in der Kategorie UBI 1 lagen, fallen künftig in den Sektor „Verarbeitendes Gewerbe/ Herstellung von Waren“. In diesem Bereich bedient sich die NIS-2-Richtlinie der Produktkategorien der NACE Rev. 2 (kurz für Nomenclature statistique des activités économiques dans la Communauté européenne – Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft).
Ein Unternehmen, das beispielsweise militärische Kampffahrzeuge herstellt, fällt unter die NACE-Klasse 30.40 und damit in den NIS-2-Sektor „Verarbeitendes Gewerbe/Herstellung von Waren > Sonstiger Fahrzeugbau > Unternehmen, die eine der Wirtschaftstätigkeiten nach Abschnitt C Abteilung 30 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben“. Damit wird das ehemalige UBI-1- Unternehmen nach NIS-2 zukünftig als „wichtiges“ Unternehmen klassifiziert. Generell kann man davon ausgehen, dass mit nur wenigen Ausnahmen alle bisherigen UBI-1 Unternehmen nach der NIS-2-Richtlinie als „wichtig“ eingestuft werden.
Auch bisher als UBI-2 erfasste Unternehmen werden vorwiegend in die Kategorie „wichtig“ fallen. Unternehmen, die aufgrund ihrer volkswirtschaftlichen Bedeutung bisher der Kategorie UBI-2 zugeordnet wurden, werden sich über alle Sektoren und damit über beide NIS-2-Kategorien verteilen. Grundsätzlich ist zu erwarten, dass mit der NIS-2-Richtlinie deutlich mehr Unternehmen überhaupt in eine Kategorie aufgenommen werden, da nun konkrete Parameter zur Bewertung vorliegen, die unter den UBI Vorgaben noch nicht definiert waren.
So wurde in der NIS-2-Richtlinie festgelegt, dass bereits Unternehmen ab 50 Mitarbeitern oder mit mindestens 10 Millionen Euro Jahresumsatz für die Kategorie „wichtig“ in Betracht zu ziehen sind. Laut Statistischem Bundesamt existieren etwas mehr als 70.000 Unternehmen in Deutschland mit einer Beschäftigtenanzahl zwischen 50 und 249 beziehungsweise etwas mehr als 50.000 Unternehmen mit einem Umsatz zwischen 10 und 50 Millionen Euro. Über 60 % der mittelständischen Unternehmen sind den Sektoren „Produktion, Verarbeitung und Vertrieb von Lebensmitteln“ und „Verarbeitendes Gewerbe/Herstellung von Waren“ zuzuordnen. Es ist damit davon auszugehen, dass sich zukünftig mindestens 30.000 Unternehmen den Vorgaben aus der Kategorie „wichtig“ nach der NIS-2-Richtlinie unterzuordnen haben.
Unternehmen, die einen Bereich betreiben, in dem gefährliche Stoffe in Mengen vorhanden sind, die in Spalte 5 der Stoffliste in Anhang I der Störfall-Verordnung genannten Mengenschwellen erreichen oder überschreiten und damit bisher unter „UBI 3“ erfasst wurden, fallen nun unter den NIS-2-Sektor „Produktion, Herstellung und Handel mit chemischen Stoffen“ und damit ebenfalls in die NIS-2-Kategorie „wichtig“.
Viele Unternehmen, die einem Sektor der Kategorie „besonders wichtig“ zugeordnet werden dürften, sind heute hingegen als kritische Infrastruktur eingestuft.
Konsequenzen der Einstufung
Die Aufnahme in eine der beiden NIS-2-Kategorien hat konkrete rechtliche Folgen für ein Unternehmen, die deutlich über den Umfang der jetzigen UBI-Vorgaben hinausgehen. Die sich aus der NIS-2-Richtlinie ergebenden Verpflichtungen werden nachfolgend nur übersichtsartig beleuchtet und stellen keine finale Auflistung dar:
- Risikomanagement: Unabhängig davon, ob „besonders wichtig“ oder „wichtig“, sind Unternehmen verpflichtet, ein Risikomanagement zu etablieren und dieses zu dokumentieren. Das Risikomanagement muss dabei diversen Vorgaben gerecht werden, unter anderem der Einhaltung des Stands der Technik (vgl. S. 13), der Berücksichtigung europäischer und internationaler Normen und der Wahl eines gefahrenübergreifenden Ansatzes. Es gibt weitere, recht detaillierte Anforderungen im § 30 der NIS-2-Richtlinie, der zum Beispiel spezifische Dokumente und Prozesse fordert. Für die Umsetzung bietet sich die Einführung eines ISMS nach IT-Grundschutz an.
- Meldepflicht: Wie bei den UBI-Vorgaben bestehen Meldepflichten erheblicher Sicherheitsvorfälle. Diese untergliedern sich in mehrere Meldungen, gestaffelt nach zeitlichen Fristen (24 Std., 72 Std., 1 Monat). Zusätzlich müssen dann auch Angaben zu den getroffenen Abhilfemaßnahmen gemeldet werden sowie eine Abschlussmeldung erfolgen – sollten Abhilfemaßnahmen länger als einen Monat andauern, ist überdies eine Fortschrittsmeldung abzugeben. Weiterführende Details können § 32 der NIS-2-Richtlinie entnommen werden.
- Registrierungspflicht: Auch nach der NIS-2-Richtlinie besteht die Pflicht zur Registrierung. Dazu soll vom BSI sowie dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eine Registrierungsmöglichkeit ein gerichtet werden. Die Frist zur Registrierung beläuft sich auf drei Monate, nachdem ein Unternehmen erstmals oder erneut als eine „besonders wichtige“ oder „wichtige“ Einrichtung gilt – diese Einordnung ist selbstständig durchzuführen. Die Regelung soll im Oktober 2024 in Kraft treten. Damit wäre voraussichtlich bis Ende 2024 die Registrierung vorzunehmen. Es ist im Gegensatz zur UBI-1- und UBI-2-Vorgabe aber keine Selbstauskunft vorzunehmen. Weiterführende Details können § 33 der NIS-2-Richtlinie entnommen werden.
- Schulungspflicht für Geschäftsleitungen: Die NIS-2- Richtlinie verpflichtet konkret die Geschäftsleitung, sich im Bereich der Informationssicherheit zu schulen und fortzubilden. So besagt § 38 Abs. 3: „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik und die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste zu erwerben.“
- Informationsaustausch: Besonders wichtige Einrichtungen werden verpflichtet, an einem Informationsaustausch teilzunehmen. Das BMI wird dazu ein Online-Portal betreiben, damit sich Verpflichtete über Cyberbedrohungen, Beinahevorfälle, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, gegnerische Taktiken, bedrohungsspezifische Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Aufdeckung von Cyberangriffen austauschen können.
Zusammenfassend wird die NIS-2-Richtlinie den Bestand an betroffenen Unternehmen gegenüber den Vorgaben für UBI deutlich erweitern. Die verpflichtenden Regelungen werden für diese Unternehmen weitreichender und tiefgreifender sein als unter UBI selbst. Es ist durchaus möglich, dass dies bis hin zur Verpflichtung der Geschäftsleitung zu Schulungsmaßnahmen und Auflagen zur Nutzung bestimmter IKT-Produkte, IKT-Dienste und IKT-Prozesse gehen wird.
Um diesen Anforderungen geeignet zu begegnen, bietet es sich an, ein ISMS nach ISO 27001 oder BSI IT-Grundschutz einzuführen. Die Empfehlung ist, sich zeitnah und strategisch dahingehend auszurichten. Für den Aufbau eines vollumfänglichen ISMS sollte man mindestens zwei Jahre einplanen, sofern nicht auf bereits vorhandene Strukturen aufgebaut werden kann.
Der Weg zur UBI-Selbstauskunft
Wie im Haupttext erläutert, müssen UBI-1-Unternehmen dem BSI gegenüber eine Selbstauskunft auf einem vorgegebenen Formular [3] erteilen. Diese Selbstauskunft unterteilt sich in vier Kapitel, wobei in den Kapiteln A und B relevante Zertifizierungen und Audits abgefragt werden. Kapitel C erfragt weiterführende Informationen, sofern sich die Angaben zu den Kapiteln A und B nicht auf den gesamten UBI-Geltungsbereich beziehen: Darin wird festgelegt, welche Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume sowie Gebäude betrachtet und abgesichert und unter Umständen zertifiziert werden sollen, denn es kann durchaus möglich sein, dass ein Unternehmen nicht in Gänze einer UBI-Kategorie zugeordnet wird, sondern nur ein Teilbereich der Organisation. Des Weiteren ist es auch möglich, dass sich eine Zertifizierung nicht auf die Gesamtorganisation bezieht, sondern nur auf Teilbereiche.
Die eigentliche Herausforderung besteht bei der Befüllung des Kapitels D der Selbstauskunft: Hier muss für jedes „Thema“ angegeben werden, ob man es mindestens entsprechend Umsetzungsgrad 2 behandelt und mit welchem Umsetzungsgrad man es in einer Selbsteinschätzung bewertet.
Zur Bestimmung der einzelnen Umsetzungsgrade empfiehlt HiSolutions den Weg einer Gap-Analyse, um Lücken zwischen Ist- und Sollwerten zu identifizieren – etwa hinsichtlich der Anforderungen nach IT-Grundschutz. In Kundenprojekten nutzt das Unternehmen hierzu einen eigenen Fragenkatalog, der mittels zusammenfassender Fragen pro IT-Grundschutz-Baustein ein erstes Gesamtbild über den aktuellen Stand der Informationssicherheit einer Institution erstellt. Dabei erhalten der Stand der Dokumentation und die gelebte Umsetzung von Vorgaben in Prozessen voneinander unabhängige Reifegrad-Bewertungen – der sich ergebende Mittelwert beider Bewertungen ergibt den finalen Reifegrad einer Frage (vgl. Abb. 4).
Als Beispiel kann etwa die Frage nach einer bestehenden Passwortrichtlinie dienen: Bezüglich der Dokumentenbasis würde zunächst geprüft, ob eine solche Richtlinie besteht und in welcher Qualität und Aktualität sie vorliegt. In Bezug auf die Prozessimplementierung wird dann abgefragt, ob und in welchem Umfang die Passwortrichtlinie durch die Mitarbeiter im Betrieb umgesetzt wird. Beide Aspekte werden einzeln bewertet. Gibt es in einem Unternehmen beispielsweise eine Passwortrichtlinie, die seit einem halben Jahr Gültigkeit besitzt und bisher noch keiner weiteren Überprüfung unterzogen wurde, würde dies auf Dokumentenbasis mit dem Reifegrad 3 bewertet. Stellt sich dann in Interviews allerdings heraus, dass die Vorgaben in der Organisation bisher kaum umgesetzt werden, bedeutet das für die Prozessimplementierung den Reifegrad 1. Aus dem Mittelwert beider Reifegrade ergäbe sich der letztendliche Reifegrad von 2 für diese Frage.
Auch wenn in der Selbstauskunft die Antworten lediglich mit ja oder nein hinsichtlich einer Umsetzung von (mindestens) Grad 2 benötigt werden, liefert ein aufgegliederter Reifegrad doch einen klaren Mehrwert. Durch die Aufteilung der Bewertung in die Teilaspekte „Dokumentenbasis“ und „Prozessimplementierung“ lässt sich später bei der Einführung und Umsetzung eines ISMS gezielter auf erkannte Schwachstellen eingehen. So ist es durchaus möglich, eine gute Dokumentenbasis vorzufinden, deren Vorgaben aber in den Prozessen nicht oder nur wenig gelebt werden. Auf der anderen Seite können gelebte Prozesse in einer Institution bereits gut die Informationssicherheit unterstützen, jedoch nicht ausreichend dokumentiert sein.
Errechnet man für die übergeordneten sieben Themenbereiche IT-Sicherheitsmanagement, Organisation und Personal, Konzepte und Vorgehensweisen, Asset-Management, physische Sicherheit, technische Sicherheit sowie Detektion und Reaktion zusätzlich einen zusammenfassenden Reifegrad, lässt sich mithilfe eines Kiviatdiagramms anschaulich zusammenfassend darstellen wo größere Abweichungen zu den Soll-Vorgaben bestehen: Je weiter ein Punkt im Beispiel der Abbildung 5 im äußeren, grünen Bereich liegt, desto näher befindet sich ein Themenbereich an den Vorgaben, desto höher ist also der Reifegrad.
Marvin Menze ist Senior Consultant, Johannes Kraus ist Managing Consultant, Team- und Standort-Manager im Bereich Security-Consulting der HiSolutions.
Literatur |
---|
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Meldungen von Unternehmen im besonderen öffentlichen Interesse (UBI), Portalseite, www.bsi.bund.de/dok/UBI-Meldungen |
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), FAQ zu Unternehmen im besonderen öffentlichen Interesse, www.bsi.bund.de/dok/ubi-faq |
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Formular für die Selbsterklärung zur IT-Sicherheit bei Unternehmen im besonderen öffentlichen Interesse für UBI 1 (AWV-UBI), November 2022, verfügbar über www.bsi.bund.de/dok/UBI-Selbsterklaerung |