Aufruf: UTM-IP:Port oder UTM-URL:Port Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert Default-Port: 11115 z.B.: https://utm.ttt-point.de:11115 Default: https://192.168.175.1:11115 Authentifizierung Benutzer
Einleitung
Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die an dieser Stelle konfigurierte Authentifizierung wird gegen die lokale Datenbank vorgenommen. Es können zusätzlich lokale Benutzergruppen einer AD/LDAP - Gruppe zugeordnet werden.
Tut genau das. Supportbenutzer werden spätestens 24 Stunden nach Ablaufdatum automatisch entfernt.
OTP Codes
Erzeugt ein pdf Dokument mit OTP Codes im QR-Format und Klartext für alle Benutzer außer dem Benutzer admin notempty
Es wird ein OTP Code pro Seite angezeigt.
Aktualisiert die Tabelle
Vergrößert den Anzeigebereich für die Tabelle auf die Bildschirmhöhe.
Support-Benutzer
Support-Benutzer
Der Support-Benutzer ist ein temporärer Administrator, der zum Beispiel zur Unterstützung für den Securepoint Support aktiviert werden kann.
Die Schaltfläche zum Anlegen eines Support-Benutzers befindet sich links in der Menuleiste: Support-Benutzer
Es lassen sich nicht mehrere Support-Benutzer gleichzeitig anlegen. Existiert bereits ein Support-Benutzer wird gefragt, ob der vorhandene Benutzer gelöscht werden soll!
Willkürlicher Name, der mit support- beginnt. Es ist keine manuelle Eingabe möglich.
Neuen Anmeldenamen zufällig generieren.
Passwort:
•••••••••••••••••••
Im Bereich Passwort Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
Passwort anzeigen
Neues zufälliges Passwort generieren
Ablaufdatum:
2023-10-20 12:00:00
Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!)
Gruppen:
administrator
Es ist per Default die erste Benutzer-Gruppe mit der Berechtigung Firewall Administrator eingetragen. Es lassen sich andere Gruppen, die ebenfalls über diese Berechtigung verfügen auswählen.
Root-Berechtigung:
Nein
Bei Aktivierung erhält der Benutzer zusätzlich root-Berechtigung. Bei einer Verbindung mit SSH erfolgt die Anmeldung direkt auf der root-Konsole!
Anmeldedaten kopieren
Benutzername und Passwort werden in die Zwischenablage gespeichert. Der Inhalt der Zwischenablage sieht dann wie folgt aus: Benutzername: support-NII-Z53-Yk2 Passwort: UMC-DP6-FSK-F46-ULD notempty
Vor dem Speichern muss der Anmeldename und das Passwort notiert werden! Das Passwort kann nach dem Speichern nicht mehr angezeigt werden.
Mit einem Klick auf die Schaltfläche wird der Supportbenutzer angelegt und gespeichert.
CLI-Befehl
user support new name support-4711 password Insecure.123 groups administrator expirydate 2023-10-20 12:00 flags ROOT
Der Support-Benutzer kann bei Bedarf auch via CLI angelegt werden. Der Wert für das Ablaufdatum kann entweder als Unixtime (Zeit in Sekunden seit dem 1.1.1970 00:00 Uhr) angegeben werden oder im Format: YYYY-MM-DD HH:MM
Allgemeine Benutzer
Benutzer hinzufügen / bearbeiten
Benutzer hinzufügen /
Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Bereiche. Es müssen nicht in allen Bereichen Eintragungen gemacht werden. Mit
werden die Eintragungen übernommen.
Benutzer Allgemein
Allgemein
root-Benutzer
Beschriftung
Wert
Beschreibung
Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Anmeldedaten des Benutzers eintragen
Anmeldename:
admin-user
Login-Name des Benutzers
root
Ein Benutzer mit dem Namen root muss auch Mitglied einer Gruppe mit Administratorberechtigung sein
Dieser Benutzer erhält dann automatisch root-Berechtigung
Nach Anmeldung per ssh auf der Appliance landet dieser Benutzer nicht auf dem CLI sondern sofort in der Linux-Konsole
Diesem Benutzer stehen dort umfangreiche Diagnosewerkzeuge zur Verfügung, z.B. tcpdump
Der Root-Benutzer erreicht das Command Line Interface (CLI) mit dem Befehl spcli und verläßt es mit exit
Der root-Benutzer sollte unbedingt mit einem kurzfristigen Ablaufdatum versehen werden oder nach den Diagnosearbeiten sofort wieder entfernt werden!
Passwort: Passwort bestätigen:
•••••••• Sehr Stark
Kennwörter müssen folgende Kriterien erfüllen:
mindestens 8 Zeichen Länge
mindestens 3 der folgenden Kategorien:
Großbuchstaben
Kleinbuchstaben
Sonderzeichen
Ziffern
Ablaufdatum:
2023-11-01 00:00:00
Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!)
Das Ablaufdatum lässt sich ebenfalls per CLI ändern:
user attribute set name testnutzer attribute expirydate value 2023-11-01 00:00
Der Wert kann entweder als Unixtime (Zeit in Sekunden seit dem 1.1.1970 00:00 Uhr) angegeben werden oder im Format: YYYY-MM-DD HH:MM
Gruppen:
administrator
Gruppenzugehörigkeit und damit Berechtigungen dieses Benutzers
VPN
Hier können feste Tunnel IP-Adressen an die Benutzer vergeben werden.
L2TP
Beschriftung
Beschreibung
IP-Tunnel Adressen festlegen
L2TP IP-Adresse:
Die Tunnel IP-Adresse für L2TP
SSL-VPN
IPv4-Adresse:
Die Tunnel IPv4-Adresse für SSL-VPN
IPv6-Adresse:
Die Tunnel IPv6-Adresse für SSL-VPN
WIREGUARD
IPv4 Peer Adresse:
Die Tunnel IPv4-Adresse für WireGuard
IPv6 Peer Adresse:
Die Tunnel IPv6-Adresse für WireGuard
Privater Schlüssel:
Privater Schlüssel, der für eine benutzerbezogene WireGuard-Verbindung verwendet werden soll.
Über die Schaltfläche kann die Schlüsselverwaltung geöffnet und ein Schlüssel erzeugt werden.
IPSEC
EAP-MSCHAPV2 Passwort:
Das Passwort für EAP-MSCHAPV2
Aus Sicherheitsgründen sollte sich das EAP Passwort von dem allgemeinen Passwort des Benutzers unterscheiden.
Dieses HowTo beschreibt die Konfiguration von IPSec EAP
PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.
WireGuard
Beschriftung
Wert
Beschreibung
WireGuard Einstellungen für Benutzer
Einstellungen aus der Gruppe verwenden:
Aus Default
Bei Aktivierung werden die WireGuard Einstellungen aus der Gruppe verwendet.
Konfiguration im Userinterface herunterladbar:
Ein
Die Konfiguration kann im Benutzerinterface heruntergeladen werden.
WireGuard-Verbindung:
wg_roadwarrior
WireGuard-Verbindung, die diese Benutzerin / dieser Benutzer verwenden sollen.
Endpunkt:
192.168.175.1
IP-Adresse oder Hostname der UTM. Muss nur gesetzt werden, wenn die UTM nicht über den Firewallnamen erreichbar ist.
Endpunkt Port:
51820
Der Port zum dazugehörigem Endpunkt. Dieser muss zwischen 49152 und 65535 liegen.
Pre-Shared Key:
**************
Den Pre-Shared Key der WireGuard-Verbindung eintragen.
Generieren
Generiert einen Pre-Shared Key mit sehr stark.
In die Zwischenablage kopieren
Kopiert den Pre-Shared Key in die Zwischenablage
Keepalive:
Ein25 Sek.
Bei Aktivierung kann die Dauer in Sekunden von Keepalive eingestellt werden.
SSL-VPN
Beschriftung
Wert
Beschreibung
Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer SSL-VPN Einstellungen für Benutzer
Einstellungen aus der Gruppe verwenden:
Nein
Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Authentifizierung Benutzer Bereich Gruppen zu konfigurieren.
Client im Userinterface herunterladbar:
Ja
Der Securepoint VPN-Windows-Client kann im User Webinterface (im Standard über Port 1443 erreichbar) heruntergeladen werden. Der Port ist konfigurierbar im Menü Netzwerk Servereinstellungen Bereich Servereinstellungen Schaltfläche Webserver / User Webinterface Port: : 1443.
SSL-VPN Verbindung:
RW-Securepoint
Auswahl einer Verbindung, die im Menü VPN SSL-VPN angelegt wurde.
Client-Zertifikat:
cs-sslvpn-rw(1)
Es muss ein Zertifikat angegeben werden, mit dem sich der Client gegenüber der UTM authentifiziert. Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway:
192.168.0.162 (Beispiel-IP)
Externe IP-Adresse oder im DNS auflösbare Adresse des Gateways, zu dem die Verbindung hergestellt werden soll.
Redirect Gateway:
Ein
Bei Aktivierung wird der gesamte Netzwerkverkehr des Clients über das gewählte Gateway gesendet.
Passwort
Im Bereich Passwort Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
Beschriftung
Default
Beschreibung
Festlegen der Kennworteigenschaften
Passwortänderung erlaubt:
Aus
Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
Mindestkennwortlänge:
8
Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.
Kennwörter müssen folgende Kriterien erfüllen:
mindestens 8 Zeichen Länge
mindestens 3 der folgenden Kategorien:
Großbuchstaben
Kleinbuchstaben
Sonderzeichen
Ziffern
Mailfilter
Beschriftung
Beschreibung
Einstellungen aus der Gruppe verwenden:
Nein
Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Authentifizierung Benutzer / Gruppen zu konfigurieren.
Herunterladen von folgenden Anhängen erlauben:
Keine (Default)
Der Benutzer kann im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.
Gefiltert, aber nicht quarantänisiert
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Quarantänisiert, aber nicht gefiltert
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Quarantänisiert und/oder gefiltert
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Weiterleiten von folgenden E-Mails erlauben:
Keine
Der Benutzer kann im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen.
Gefiltert, aber nicht quarantänisiert
Quarantänisiert, aber nicht gefiltert (Default)
Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Quarantänisiert und/oder gefiltert
Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Bericht E-Mail-Adresse:
Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
Sprache der Berichte:
Default
Vorgabe unter Netzwerk Servereinstellungen →
Firewall
→ Sprache der Berichte Es kann gezielt ausgewählt werden: Deutsch bzw. Englisch
E-Mail-Adressen
E-Mail-Adressen
Eintragen einer E-Mail-Adresse in die Liste
user@ttt-point.de
E-Mailkonten, die von diesem Benutzer eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit
WOL
notempty
aktualisiert
Beschriftung
Default
Beschreibung
Wake on Lan konfigurieren
Beschreibung:
Freier Text
MAC Adresse:
__:__:__:__:__:__
MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll
Schnittstelle:
LAN1
Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss
Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.
Berechtigungen
Beschriftung
Beschreibung
Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierung Gruppe hinzufügen
Gruppenname:
Frei wählbarer Name
Berechtigungen
Firewall Administrator
Mitglieder dieser Gruppe können das Admin-Interface aufrufen (per Default auf Port 11115 erreichbar. Es muss immer mindestens einen Firewall-Administrator geben.
Spamreport
Mitglieder dieser Gruppe können einen Spamreport erhalten
VPN-L2TP
Mitglieder dieser Gruppe können eine VPN-L2TP-Verbindung aufbauen
Mailrelay Benutzer
Mitglieder dieser Gruppe können das Mailrelay verwenden
Zur Authentifizierung ist eine TLS/SSL-verschlüsselte Verbindung erforderlich
Diese Berechtigung wird NICHT benötigt, um auf die quarantänisierten E-Mails zugreifen zu können.
HTTP-Proxy
Mitglieder dieser Gruppe können den HTTP-Proxy verwenden
IPSEC XAUTH
Mitglieder dieser Gruppe können sich mit IPSEC authentifizieren
IPSEC EAP
Mitglieder dieser Gruppe können sich mit Microsoft CHAPv2 für IPSec Verbindungen mit IKEv2 authentisieren
Userinterface
Mitglieder dieser Gruppe haben Zugriff auf das Userinterface (inkl. Mailfilter)
Clientless VPN
Mitglieder dieser Gruppe können Clientless VPN verwenden
Mailfilter Administrator
Mitglieder dieser Gruppe haben in Kombination mit dem Recht User Webinterface Zugriff auf alle E-Mails, die im Mailarchiv der UTM zwischengespeichert sind - unabhängig davon, ob sie rechtmäßige Empfänger oder Absender dieser E-Mails sind.
SSL-VPN
Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen
WireGuard
Mitglieder dieser Gruppe können eine WireGuard-Verbindung aufbauen
Userinterface Administrator
Mitglieder dieser Gruppe können über das Userinterface auf die Captive Portal Benutzerverwaltung zugreifen.
Clientless VPN
Unter VPN Clientless VPN angelegte Verbindungen werden hier angezeigt. Clientless VPN Verwaltung öffnen Hier lassen sich Verbindungen konfigurieren und hinzufügen.
Clientless VPN
Beschriftung
Default
Beschreibung
Name
Name der Verbindung
Zugriff
Aus
Bei Aktivierung können Mitglieder dieser Gruppe diese Verbindung nutzen
Die Konfiguration kann im Benutzerinterface heruntergeladen werden.
WireGuard-Verbindung:
wg_roadwarrior
WireGuard-Verbindung, die diese Benutzerin / dieser Benutzer verwenden sollen.
Endpunkt:
10.0.0.1
IP-Adresse oder Hostname der UTM. Muss nur gesetzt werden, wenn die UTM nicht über den Firewallnamen erreichbar ist.
Endpunkt Port:
51820
Der Port zum dazugehörigem Endpunkt. Dieser muss zwischen 49152 und 65535 liegen.
Pre-Shared Key:
**************
Den Pre-Shared Key der WireGuard-Verbindung eintragen.
Generieren
Generiert einen Pre-Shared Key mit sehr stark.
Keepalive:
Ein25 Sek.
Bei Aktivierung kann die Dauer in Sekunden von Keepalive eingestellt werden.
SSL-VPN
Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
Beschriftung:
Wert
Beschreibung:
Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer SSL-VPN Einstellungen der Gruppe
Client im Userinterface herunterladbar:
Nein
Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden
SSL-VPN Verbindung:
RW-Securepoint
Auswahl der gewünschten Verbindung (Angelegt unter VPN SSL-VPN )
Client-Zertifikat:
cs-sslvpn-rw(1)
Auswahl des Zertifikats für diese Gruppe (Angelegt unter Authentifizierung Zertifikate Bereich Zertifikate) Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway:
192.168.175.1
IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü.
Redirect Gateway:
Aus
Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
Im Paketfilter verfügbar:
Nein
Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden. Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern.
Verzeichnis Dienst
AD/LDAP Gruppenzuordnung
Hier wird eingetragen, welcher Verzeichnis-Dienst-Gruppe die Mitglieder dieser Benutzergruppe angehören sollen. Damit an dieser Stelle eine Gruppe ausgewählt werden kann, muss unter Authentifizierung AD/LDAP Authentifizierung eine entsprechende Verbindung konfiguriert worden sein. Auswahl einer AD/LDAP - Gruppe
Mailfilter
Mailfilter für Gruppen konfigurieren
Die Berechtigung UserinterfaceEin wird benötigt.
<This function may allow the downloading of viruses and should therefore only be allowed for experienced users!/li> }}
Beschriftung
Default
Beschreibung
Herunterladen von folgenden Anhängen erlauben:
Keine (Default)
Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.
Gefiltert, aber nicht quarantänisiert
Quarantänisiert, aber nicht gefiltert
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Quarantänisiert und/oder gefiltert
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Weiterleiten von folgenden E-Mails erlauben:
Keine (Default)
Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen.
Gefiltert, aber nicht quarantänisiert
Quarantänisiert, aber nicht gefiltert
Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Quarantänisiert und/oder gefiltert
Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Bericht E-Mail-Adresse:
E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
Sprache der Berichte:
Default
Vorgabe unter Netzwerk Servereinstellungen →
Firewall
→ Sprache der Berichte Es kann gezielt ausgewählt werden: Deutsch bzw. Englisch
E-Mail-Adressen
E-Mail-Adresse
Eintragen einer Mail-Adresse in die Liste
support@ttt-point.de
E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit
WOL
notempty
aktualisiert
Beschriftung
Default
Beschreibung
Wake on Lan konfigurieren
Beschreibung:
Freier Text
MAC Adresse:
__:__:__:__:__:
MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll
Schnittstelle:
LAN1
Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss
Fügt ein weiteres Gerät für WOL hinzu
Ruft den Eintrag zum Bearbeiten auf.
Löscht den Eintrag
Captive Portal Benutzer
Captive Portal Benutzer
Captive Portal Benutzer müssen sich, wenn sie sich mit einem entsprechend konfigurierten Netzwerk verbinden, authentifizieren und den Nutzungsbedingungen zustimmen. Erst danach wird der Netzzugang - gemäß den Portfilterregeln freigegeben.
Firewall-Benutzer, die Mitglied einer Gruppe mit der Berechtigung Userinterface Adminstrator Ein sind ( Authentifizierung Benutzer Bereich Guppen Schaltfläche ) können die Captive Portal Benutzerverwaltung über die Benutzerverwaltung (im Standard Port 443) erreichen
Benutzer hinzufügen
Benutzer hinzufügen
Captive Portal Benutzer können verwaltet werden von:
Administratoren
Benutzern, die Mitglied einer Gruppe mit der Berechtigung Userinterface Administrator sind. Diese erreichen die Benutzerverwaltung über das Userinterface.
Beschriftung
Wert
Beschreibung
Captive Portal Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifikationBenutzer Drucken und speichern
Anmeldename:
user-VNK-JT4
Zufällig generierter Anmeldename. Einmal generierte Anmeldenamen lassen sich nach dem Speichern nicht mehr ändern.
Passwort:
BRU-NZE-TCY-LI3-QHE
Zufällig generiertes Passwort Anmeldename und Passwort können mit der Schaltfläche neu generiert werden. Einaml gespeicherte Passöwrter lassen sich nicht erneut anzeigen.
Ablaufdatum:
yyyy-mm-dd hh:mm:ss
Begrenzt die Gültigkeit der Zugangsdaten
/ Neu ab v12.2.2
Mit diesen Schaltflächen lässt sich das Ablaufdatum um 24 Stunden ab dem aktuellen Zeitpunkt verkürzen (-) oder verlängern (+)
Drucken und speichern
Speichert und schließt den Dialog, erzeugt eine html-Seite mit dem Usernamen und dem Passwort und öffnet den Druck-Dialog
Speichert die Angaben und schließt den Dialog.
Das Passwort läßt sich anschließend nicht mehr anzeigen. Es kann jedoch jederzeit ein neues Passwort erzeugt werden .
Schließt den Dialog, ohne Änderungen zu speichern.