Die Registrierungsfunktion ist deaktiviert
Login | Passwort vergessen
Password wiederherstellen
Passwort anfordern
Login | Registrieren
Login | Registrieren
Die Kommentarfunktion ist deaktiviert
Datenschutz und Nutzungsbedingungen
Mit Ihrer Registrierung erklären Sie sich mit unseren Allgemeinen Nutzungsbedingungen einverstanden. Weiters bestätigen Sie, dass Sie unsere Datenschutzinformation zur Kenntnis genommen haben.
Für einen wertvollen Diskurs berücksichtigen Sie bitte auch unsere Community-Richtlinien.
Absenden
Fast geschafft!
Um Ihre Registrierung abzuschließen, geben Sie bitte Ihre Telefonnummer im Format +436641234567 ein. Die Telefonnummer dient zur Verifizierung Ihres Nutzerprofils und ist nicht für andere sichtbar.
Bestätigungscode anfordern
Bitte geben Sie hier Ihren Bestätigungscode ein, den Sie per SMS erhalten haben.
Abschicken
Neuen Code anfordern
Zuletzt veröffentlicht
„Addendum-Podcast“ abonnieren:
Spotify
Apple Podcasts
Google Podcasts
Addendum
Zuletzt veröffentlicht
Passwörter von Politikern frei im Netz
9. Mai 2019 Politometer Lesezeit 6 min
Von einem der größten Datenlecks der Geschichte sind auch 3,3 Millionen Österreicher betroffen. Auch von Politikern wurden E-Mail-Adressen und die dazugehörigen Passwörter gehackt. Die verantwortlichen Behörden haben das Ausmaß offenbar unterschätzt.
Bild: Alfred Hofer | ChromOrange

Rund 2,2 Milliarden E-Mail-Adressen – mehr als 900 Gigabyte an Daten – umfasst die sogenannte „Collection #1–#5“. Die gehackten Daten sind seit Anfang des Jahres frei im Netz für jedermann zum Download verfügbar. So weit, so bekannt. Unbekannt war bisher das Ausmaß, in dem politische Apparat Österreichs davon betroffen ist.

Knapp 7.800 E-Mail-Adressen und deren Passwörter von Mitarbeitern der öffentlichen Hand finden sich in den Dateien. Am stärksten betroffen sind Polizei, Finanzministerium und das Land Steiermark. Das ist das Ergebnis einer Recherche von Addendum in Kooperation mit SRF Data, der Datenjournalismus-Einheit des Schweizer Radios und Fernsehen.

0
Kommentare
Kommentieren

Neben dem Verwaltungs- und Sicherheitsapparat tauchen auch hunderte Mail-Adressen von Politikern bzw. Parteimitarbeitern mit ihren sensiblen Benutzerdaten auf. Namentlich finden sich sieben Minister mit aktuellen bzw. ehemaligen Mailadressen plus Passwörter im Datenleck wieder. Die Passwortstärke fällt dabei unterschiedlich aus, von eher einfachen Kombinationen bis hin zu ausgefeilteren Kennwörtern.

0
Kommentare
Kommentieren

Passwortstärke der Ministerriege

Herbert Kickl (FPÖ): sehr schwach
Bild: Michael Gruber | EXPA
Beate Hartinger-Klein (FPÖ): sehr schwach
Bild: Michael Gruber | EXPA
Margarete Schramböck (ÖVP): sehr schwach
Bild: Robert Jäger | APA
Norbert Hofer (FPÖ): schwach
Bild: Herbert Pfarrhofer | APA
Juliane Bogner-Strauß (ÖVP): mittel
Bild: Michael Gruber | EXPA
Heinz-Christian Strache (FPÖ): mittel
Bild: Michael Gruber | EXPA
Gernot Blümel (ÖVP): eher stark
Bild: Michael Gruber | EXPA

Reporter Moritz Moser hat Nationalratsabgeordnete mit ihren Passwörtern konfrontiert. Einer von ihnen verwendete das Passwort „seilseil“.

Inklusive der Regierungsriege sind rund 350 Politiker und Parteimitarbeiter in der „Collection #1–#5“ enthalten. Die Grünen und die Sozialdemokraten zählen zu den Parteien mit den meisten betroffenen Personen.

0
Kommentare
Kommentieren

Wie gefährlich sind diese Informationen?

Dass über berufliche E-Mail-Adressen auch privat Dienste wie Dropbox oder LinkedIn, über die unter anderem die Daten gehackt wurden, genutzt werden, ist als kritisch einzustufen. Gefährlich wäre es vor allem dann, wenn Betroffene das gleiche Passwort von anderen Diensten auch für ihre beruflichen Zugänge verwenden würden und diese nicht oder selten wechseln. Das sollte über die IT-Sicherheitsrichtlinien und -vorkehrungen verhindert werden. Wie streng diese ausgelegt und vor allem in die Tat umgesetzt werden, hängt von der jeweiligen Institution und Stelle ab.

0
Kommentare
Kommentieren

Betroffene nach Addendum-Anfrage informiert

  • Das Bundeskanzleramt ging auf Fragen, ob die betroffenen Minister informiert wurden, nicht ein. Es betonte, dass aus Sicherheitsgründen keine Details zu den Sicherheitsmaßnahmen genannt werden können, aber „organisatorisch wie auch technisch international anerkannte Sicherheitsstandards“ verwendet werden. Das sogenannte „Government Computer Emergency Response Team für die öffentliche Verwaltung“ (GovCERT) gab an, dass die Sammlung „länger bekannt und nichts Neues dabei“ sei. Deshalb habe die im Bundeskanzleramt eingerichtete Stelle die betroffenen Behörden nicht informiert. In akuten Fällen träte das GovCERT direkt an die Behörden heran. Die Verantwortung der E-Mail-Systeme und der Systemsicherheit liegt aber bei den einzelnen Betreibern.
  • Das Innenministerium, das mit Adressen auf @polizei.gv.at und @bmi.gv.at am häufigsten von allen Stellen betroffen war, hat seine Mitarbeiter über die aktuelle Sammlung nicht informiert. Der letzte Fall, bei dem eine Benachrichtigung stattgefunden hatte, war im Vorjahr: 55 E-Mail-Adressen des Innenministeriums waren betroffen, elf davon waren noch aktiv. Die Benutzer wurden durch das Cybercrime-Competence-Center des Bundeskanzleramtes zur Änderung des Kennworts aufgefordert. Generell ist die Nutzung der beruflichen E-Mail-Adresse auf die dienstliche Verwendung eingeschränkt. Genaue Sicherheitsvorkehrungen können mit der Öffentlichkeit nicht geteilt werden, aber eine Zwei-Faktor-Authentifizierung findet für externe Zugriffe auf das interne BMI-IT-System ausnahmslos statt. Die Nutzung von privaten Plattformen wie Dropbox, Google-Drive oder anderen ist im IT-System des BMI technisch verhindert und eigentlich untersagt.
  • Im Parlament selbst war das potenzielle Sicherheitsleck nicht bekannt. Eine Information der Betroffenen hat nach einer Anfrage von Addendum stattgefunden. Dass Abgeordnete und Parlamentsmitarbeiter in der Collection 1–5 auftauchen, hätte theoretisch nicht passieren dürfen. Die IT-Sicherheitsrichtlinie des Parlaments sieht vor, dass die Parlaments-Adresse nur für dienstliche Zwecke verwendet wird, sonst sei die private heranzuziehen. Weil die Hauptquellen für die „Collection 1–5“ vorwiegend private Dienste wie Yahoo, Dropbox, LinkedIn, Imgur oder Tumblr sind, liegt die Vermutung nahe, dass an dieser Richtlinie nicht gänzlich festgehalten wurde.
  • Bei den Grünen gab es nach eigener Auskunft eine Information der Mitarbeiter. Ein unerlaubter Zugriff auf die Systeme der Partei habe nicht stattgefunden.
  • Das Land Steiermark hatte Betroffene vor Kontaktaufnahme durch Addendum nicht über das Datenleck in Kenntnis gesetzt. Dafür sei das Land Steiermark auch nicht verantwortlich, das müsse die Plattform übernehmen, bei der der Datendiebstahl stattgefunden hat. Grundsätzlich sei die private Nutzung der dienstlichen E-Mail-Adresse erlaubt, aber möglichst gering zu halten. „Wir gehen nicht davon aus, dass die Personen, die mit ihrer dienstlichen E-Mail-Adresse auf den genannten Internetseiten aktiv waren, das gleiche Passwort wie im Dienst verwendet haben“, schrieb IT-Abteilungsleiterin Elisabeth Freiberger in einer Stellungnahme.
0
Kommentare
Kommentieren

Die geleakten Mailadressen öffnen freilich auch Tür und Tor für Erpressungen: Wenn etwa Opfer des Datenlecks per Mail kontaktiert werden, weil man kompromittierendes Material über sie gesammelt habe, und zur Untermauerung der Behauptung das Passwort angeführt wird. „Bei diesen Fällen wird mittlerweile mit psychologischen Tricks vorgegangen, sie sind wesentlich ausgefeilter als in vergangenen Jahren“, sagte Vinzenz Kriegs-Au, Sprecher des Bundeskriminalamts. Die Zahl der Anzeigen im Bereich der Internetkriminalität im Allgemeinen steigt seit Jahren. Der Bereich der Erpressung im Speziellen hat im Vorjahr so stark zugelegt (+72 Prozent), dass das Bundeskriminalamt eine Arbeitsgruppe zur Bekämpfung des Phänomens eingerichtet hat.

Sind auch Sie betroffen?

Neben den Accountdetails von Mitarbeiten des öffentlichen Dienstes sind 3,3 Millionen weitere Österreicher in der Sammlung enthalten. Ob Sie selbst betroffen sind, können Sie über eine Abfrage beim Hasso-Plattner-Institut erfahren. Angeraten ist das vor allem dann, wenn Sie die Dienste Dropbox, Adobe, LinkedIn oder Yahoo verwenden oder verwendet haben – alle vier Plattformen hatten Sicherheitslücken, die ausgenutzt wurden.

Was ist ein sicheres Passwort?

Schützen können Sie sich, indem Sie für jeden verwendeten Dienst ein eigenes, zufällig generiertes Passwort verwenden. Dann wird bei einem Datenleck zwar Ihr Passwort veröffentlicht, aber Angreifer können damit nicht auch noch auf andere Dienste zugreifen. Üblicherweise versuchen Kriminelle die erbeuteten Kontoinformationen automatisiert zu nutzen. Sie nutzen also ein Programm, um sich gleichzeitig mit Millionen Accounts auf Plattformen einzuloggen. Bei den wenigen, die erfolgreich waren, erfolgt eine Kontoübernahme – private Informationen wie Kreditkarteninformationen, Dateien oder Textnachrichten könnten gestohlen werden.

0
Kommentare
Kommentieren

Weil das Merken von potenziell dutzenden, zufällig generierten Passwörtern wenig praktikabel ist, empfiehlt sich das Verwenden eines Passwortmanagers (etwa Lastpass oder 1Passwort).

Methodik

Für die Analyse wurden nur Benutzerkonten, deren Passwörter in Leaks öffentlich einsehbar sind, betrachtet. Passwörter in nicht lesbarer Form wurden nicht betrachtet. Die öffentlich einsehbaren Passwörter stammen meist aus Sicherheitslecks bei Anbietern, die Passwörter unverschlüsselt oder schwach (mittels schwacher Hashfunktion) verschlüsselt speicherten. In letzterem Fall können Passwörter mittels Brute-Force-Angriff (durchprobieren) lesbar gemacht werden – kurze Passwörter sind für solche Angriffe anfälliger.

Timo Grossenbacher von SRF Data hat Addendum alle .at-Adressen zur Verfügung gestellt und vor diesem Schritt ein umfassendes Skript zur Datenverarbeitung erarbeitet. Zur verwendeten Methodik hat er einen englischsprachigen Blogpost verfasst.

Die Dateien mit den gestohlenen Nutzerdaten sind über eine einfache Google-Suche aufzufinden. Nach einem Blogbeitrag des Sicherheitsforschers Troy Hunt – er betreibt die Plattform haveibeenpwnd.com – haben Medien über die Sammlung berichtet.

Weil die E-Mail-Adressen auch an Aktivisten vergeben werden, gäbe es unterschiedliche Informationsebenen, die eine Hierarchie nachbilden. Damit wäre das System nicht über alle Accounts im gleichen Maße für Attacken anfällig.

Die Stellungnahme erreichte Addendum über das Bundesministerium für Digitalisierung und Wirtschaftsstandort. Dieses ist verantwortlich für die Verwaltung der @gv.at-Adressen.

Nutzer müssen ihre Identität zusätzlich zum Passwort mittels einer zweiten Komponente bestätigen. So muss beispielsweise beim Online-Banking bei Überweisungen zusätzlich zum Login-Passwort ein an das Mobiltelefon gesendeter PIN angegeben werden.

– wenn etwa Mitarbeiter des Innenministeriums von unterwegs mit ihren Kollegen Daten über das interne BMI-IT-System teilen möchten –
Recherche und Umsetzung
Gerald Gartner Gerald Gartner
Markus „Fin“ Hametner Markus „Fin“ Hametner
Luisa Fohn Luisa Fohn
Moritz Moser Moritz Moser
Mehr zum Thema
Politometer?
50 Artikel im Projekt Politometer
Der Politometer – eine Bilanz
Politometer
Türkis-Grün und Corona: eine Bilanz der aktuellen Gesetzgebungsperiode.
Vielgeprüftes Österreich
Politometer
Eine Auswertung der Gesetzesaufhebungen der vergangenen Jahrzehnte zeigt: Zwei Koalitionen haben besonders oft verfassungswidrige Initiativen durch den Nationalrat gebracht.
Wissen Sie, wie Ihre Abgeordneten abgestimmt haben?
Politometer
Finden Sie heraus, wie die Abgeordneten aus Ihrem Regionalwahlkreis abgestimmt haben!
Zerbrechen Regierungen schneller als früher?
Politometer
Wieso Regierungen in Europa zunehmend instabil werden.
Dienstprüfungen für Beamte: 100 Prozent bestanden
Politometer
Wie aussagekräftig ist eine Prüfung, die laut Auskunft jeder besteht?
Das, was bleibt:
das Addendum-Archiv

Stand: 15.9.2020

Hier finden Sie das digitale Archiv von drei Jahren unabhängiger Recherchearbeit: mit 120 Themen und mehr als 1.100 Artikeln, 400 Audio-Artikeln, 300 Videos und 30 Podcasts.

Bitte akzeptieren Sie alle Cookies, um das Addendum-Archiv im vollen Umfang zu nutzen. Nach dem 15.9.2020 werden keinerlei Updates mehr durchgeführt.

Das Addendum-Team, September 2020

Einstellungen bearbeiten
Alle akzeptieren
Cookies-Einstellungen
Notwendige Cookies
Unsere notwendigen Cookies sind zur Funktion der Website nötig und können daher nicht deaktiviert werden.

Hier erfahren Sie, welche Cookies wir setzen und wie Sie Cookies aus Ihrem Browser entfernen können.

Unsere Website verwendet sogenannte Cookies. Diese richten keinen Schaden an.
Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen. Wenn Sie dies nicht wünschen, so können Sie Ihren Browser so einrichten, dass er Sie über das Setzen von Cookies informiert und Sie dies nur im Einzelfall erlauben.

Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein, so können Sie zum Beispiel Community-Funktionen wie das Lesen und Schreiben von Kommentaren, das Speichern von Artikeln in Ihrer persönlichen Merkliste oder das „Seamless Reading“-Feature nicht verwenden.

Was sind Cookies?
Unsere Website verwendet sogenannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an.
Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten, z.B. zur Analyse von (pseudonymisierten) Interaktionen der User mit unserer Website oder dem Abspeichern von Artikeln auf einer persönlichen Merkliste.

Welche Cookie-Arten gibt es?
First-Party-Cookies: Werden ausschließlich von der Domäne des Diensteanbieters versandt und ausgelesen.

Third-Party-Cookies: Werden von Domänen anderer Diensteanbieter versandt und ausgelesen.

Sitzungscookies(session-id): Temporäre Cookies, die beim Schließen des Browsers automatisch gelöscht werden. Sitzungscookies ermöglichen das Wiedererkennen von Bewegungen des Nutzers auf der Website, sodass Informationen erhalten bleiben. Ohne Cookies haben Websites kein „Erinnerungsvermögen“

Permanente Cookies: Dauerhafte Cookies, die manuell zu löschen sind oder sich nach Ablauf einer bestimmten Zeit löschen. Diese Cookies helfen der Website, sich an den Nutzer und seine Einstellungen zu erinnern; z.B. Sprachauswahl, Menüpräferenzen, interne Lesezeichen oder Favoriten.

Wie können Sie Cookies löschen?
Die gängigen Browser ermöglichen es dem Nutzer (zumeist unter der Rubrik „Einstellungen“ oder „Datenschutz“), bereits gespeicherte Cookies zu löschen.

Internet Explorer: http://windows.microsoft.com/de-DE/windows-vista/Block-or-allow-cookies
Firefox: https://support.mozilla.org/de/kb/cookies-erlauben-und-ablehnen
Chrome: http://support.google.com/chrome/bin/answer.py?hl=de&hlrm=en&answer=95647
Safari: https://support.apple.com/de-at/guide/safari/sfri11471/mac
Opera: http://help.opera.com/Windows/10.20/de/cookies.html

Wann darf ein Diensteanbieter, in dem Fall Addendum, Cookies verwenden?
Der Diensteanbieter ist berechtigt, auf dem Endgerät des (informierten) Nutzers Cookies zu speichern, deren alleiniger Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen (Art 5 Abs 3 ePrivacy-RL).

Die Artikel-29-Datenschutzgruppe hat in der Opinion 4/2012 zur Ausnahme vom Cookie-Zustimmungserfordernisse folgende Cookies für zulässig erklärt:
Benutzer-Cookies (Sitzungs-ID) wie First-Party-Cookies, um die Eingaben des Benutzers beim Ausfüllen von Online-Formularen, Warenkörben usw. für die Dauer einer Sitzung zu verfolgen oder dauerhafte Cookies, die in einigen Fällen auf einige Stunden begrenzt sind
Authentifizierungs-Cookies, um den Benutzer nach der Anmeldung für die Dauer einer Sitzung zu identifizieren

Benutzer-zentrierte Sicherheits-Cookies, die zur Erkennung von Authentifizierungsfehlern für eine begrenzte Dauer verwendet werden

Player-Cookies für Multimedia-Inhalte, die zur Speicherung von technischen Daten zur Wiedergabe von Video- oder Audioinhalten für die Dauer einer Sitzung verwendet werden

Load-Balancing-Cookies für die Dauer der Sitzung
Cookies für die Benutzeroberflächenanpassung, z.B. Einstellungen für Sprache oder Schriftart, für die Dauer einer Sitzung (oder etwas länger)

Social-Plug-in-Cookies zum Teilen von Drittanbietern für eingeloggte Mitglieder eines sozialen Netzwerks.

Darüber hinaus ist eine Einwilligung des Nutzers zur Speicherung von Cookies erforderlich; diese kann auch jederzeit vom User widerrufen werden (siehe oben „Wie können Nutzer Cookies ablehnen“).

Welche Cookies kommen zum Einsatz?

Bezeichnung: CookieConsent
Funktion: Speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domäne.
Speicherdauer: 1 Jahr

Bezeichnung: __cfduid
Funktion: Cloudflare-Ray-ID. Addendum verwendet Cloudflare als Cachingprovider. Dieses Cookie ist notwendig damit Cloudflare Gefahren identifizieren kann. Verwendet vom Content-Netzwerk Cloudflare, um vertrauenswürdigen Web-Traffic zu identifizieren.
Speicherdauer: 1 Jahr

Bezeichnung: __stripe_mid
Funktion: Dieser Cookie ist notwendig, um Kreditkartentransaktionen auf der Webseite durchzuführen und wird nur im Webshop im Paymentprozess gesetzt. Der Dienst wird von Stripe.com bereitgestellt, das Online-Transaktionen ermöglicht, ohne dass Kreditkarteninformationen gespeichert werden.
Speicherdauer: 1 Jahr

Bezeichnung: __stripe _sid
Funktion: Dieser Cookie ist notwendig, um Kreditkartentransaktionen auf der Webseite durchzuführen und wird nur im Webshop im Paymentprozess gesetzt. Der Dienst wird von Stripe.com bereitgestellt, das Online-Transaktionen ermöglicht, ohne dass Kreditkarteninformationen gespeichert werden.
Speicherdauer: 1 Tag

Bezeichnung: https://q.stripe.com/
Funktion: Dieser Cookie ist notwendig, um Kreditkartentransaktionen auf der Webseite durchzuführen und wird nur im Webshop im Paymentprozess gesetzt. Der Dienst wird von Stripe.com bereitgestellt, das Online-Transaktionen ermöglicht, ohne dass Kreditkarteninformationen gespeichert werden.
Speicherdauer: Session

Bezeichnung: m
Funktion: Dieser Cookie von stripe.com bestimmt das Gerät, mit dem auf die Webseite zugegriffen wird und wird nur im Webshop im Paymentprozess gesetzt. Dadurch kann die Webseite entsprechend formatiert werden.
Speicherdauer: 2 Jahre

Bezeichnung: _ga
Funktion: Google Analytics Identifier-Cookie. Notwendig für den Einsatz von Google Analytics. Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.
Speicherdauer: 2 Jahre

Bezeichnung: _gat
Funktion: Notwendig für den Einsatz von Google Analytics. Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken
Speicherdauer: 1 Tag

Bezeichnung: _gid
Funktion: Google ID des Users. Notwendig für den Einsatz von Google Analytics. Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.
Speicherdauer: 1 Tag

Bezeichnung: G_ENABLED_IDPS
Funktion: Wird verwendet um die Anmeldung via Google Funktionalität der Community zu ermöglichen. Verwendet für die sichere Anmeldung auf der Website mit einem Google-Konto.
Speicherdauer: Persistent

Bezeichnung: ads/ga-audiences
Funktion: Wird von Google AdWords verwendet, um Besucher erneut einzubinden, die basierend auf dem Online-Verhalten des Besuchers auf verschiedenen Websites zu Kunden wechseln können.
Speicherdauer: Session

Bezeichnung: NID
Funktion: Anbieter google.com. Registriert eine eindeutige ID, die das Gerät eines wiederkehrenden Benutzers identifiziert. Die ID wird für gezielte Werbung genutzt.
Speicherdauer: 6 Monate

Bezeichnung: v2/tracker
Funktion: Anbieter brightcove.com. Registriert eine eindeutige ID, die das Gerät eines wiederkehrenden Benutzers identifiziert. Die ID wird für gezielte Werbung genutzt. Wird im Zusammenhang mit Videowerbung verwendet. Der Cookie begrenzt die Anzahl der Besuche eines Besuchers mit demselben Werbeinhalt. Der Cookie wird auch verwendet, um die Relevanz der Videowerbung für den spezifischen Besucher sicherzustellen.
Speicherdauer: Session

Mehr über die externen Empfänger von Daten und die Rahmenbedingungen der Datenverarbeitung können Sie in unserer Datenschutzerklärung nachlesen: https://www.addendum.org/datenschutz/

Einstellungen speichern
Alle akzeptieren
Die Redaktion von Addendum hat mit 15. September 2020 ihren Betrieb eingestellt. Zu diesem Zeitpunkt wurde auch diese Website letztmalig aktualisiert. Hier finden Sie das vollständige Archiv unserer Rechercheprojekte.
Wir bitten um Ihr Verständnis, dass manche Funktionen auf manchen Endgeräten nicht mehr verfügbar sind.

Das Addendum-Team, September 2020