DNSSEC ist eine Sicherheitserweiterung des DNS. Sie stellt die Integrität und Authentizität der im Domain Name System übertragenen Daten sicher. Die DNS-Informationen werden mithilfe von Schlüsseln digital signiert. So lässt sich verhindern, dass DNS-Antworten manipuliert und Benutzer auf gefälschte Webseiten umgeleitet werden.
DNSSEC ist eine Sicherheitserweiterung des Domain Name System, die die Authentizität und Integrität der DNS-Informationen sicherstellen und Bedrohungen wie Cache Poisoning oder Man-in-the-Middle-Angriffe verhindern soll.
(Bild: GPT-4o / ChatGPT / KI-generiert)
DNSSEC ist das Akronym für Domain Name System Security Extensions. Es handelt sich um eine in mehreren RFCs (Requests for Comments) spezifizierte Sicherheitserweiterung für den Informationsaustausch im Domain Name System (DNS), die die Authentizität und die Integrität der im DNS übertragenen Daten sicherstellen soll.
Die für DNSSEC maßgeblichen RFCs sind RFC 4033, RFC 4034, RFC 4035, RFC 5011 und RFC 5155. Eine bereits im Jahr 1999 im RFC 2535 veröffentlichte und mittlerweile obsolete erste Version der Domain Name System Security Extensions war aufgrund einiger Schwachstellen des Standards nicht sinnvoll einsetzbar. Die im Jahr 2005 veröffentlichten Nachfolge-RFCs beseitigten die Schwachstellen.
Im TCP/IP-Protokollstapel ist DNSSEC auf der Anwendungsebene angesiedelt. Die Sicherheitserweiterung nutzt digitale Zertifikate, mit denen die DNS-Informationen signiert werden und sich prüfen lassen. Es kommen hierfür private und öffentliche Schlüssel und Konzepte der Public Key Infrastructure (PKI) zum Einsatz.
Durch die digitalen Signaturen lässt sich verhindern, dass DNS-Daten manipuliert werden oder von anderen als den gewünschten Quellen stammen. Sowohl der Anbieter der DNS-Informationen als auch das anfragende System müssen das Verfahren implementiert haben und unterstützen.
Die Einführung der Domain Name System Security Extensions auf Root-Ebene des Internets startete im Jahr 2010. DNSSEC ist seit 2011 prinzipiell auch für .de-Domains verfügbar. Die Top-Level-Domains des Internets sind mittlerweile zum Großteil mit diesem Verfahren signiert.
Gründe für die Entwicklung und Einführung von DNSSEC
Das Domain Name System ist eine für das Internet kritische und daher unverzichtbare Komponente. Per DNS werden die für die Kommunikation der Client- und Server-Systeme benötigten IP-Adressen ermittelt. Das Domain Name System liefert die zu einem für Menschen gut lesbaren und einfach zu merkenden Domainnamen zugehörige maschinenlesbare IP-Adresse, die für die Übertragung der Datenpakete benötigt wird. In den ursprünglichen DNS-Standards wurden Sicherheitsthemen wie die Integrität und Authentizität der übertragenen DNS-Daten nicht berücksichtigt. Das DNS tauscht Daten ungeschützt und unverschlüsselt als Textdaten aus. Mechanismen zum Signieren von Nachrichten waren nicht vorgesehen. Für den Empfänger einer Nachricht ist deshalb nicht eindeutig feststellbar, ob eine Nachricht oder eine DNS-Information tatsächlich vom vorgegebenen Absender stammt oder ob Nachrichteninhalte manipuliert wurden.
Die Domain Name System Security Extensions schließen einige dieser Sicherheitsschwachstellen. Die DNS-Informationen sind mit kryptografischen Signaturen abgesichert. Der Empfänger einer DNS-Nachricht hat dadurch die Möglichkeit, die Daten auf Integrität und Authentizität zu prüfen. Die Vertraulichkeit der Daten ist durch DNSSEC aber nicht gegeben, da die Spezifikation keine Verschlüsselung der übertragenen Informationen vorsieht.
Prinzipielle Funktionsweise von DNSSEC
DNSSEC arbeitet für eine sichere und manipulationsfreie Bereitstellung von DNS-Informationen mit asymmetrischer Verschlüsselung (private und öffentliche Schlüssel) und einer so genannten "Chain of Trust". Dabei werden die DNS-Daten auf den verschiedenen Hierarchieebenen des DNS digital signiert, beginnend mit der Root-Zone bis hin zu den autoritativen Nameservern der einzelnen Domains. Diese Signaturen können mit öffentlichen Schlüsseln, die in den DNS-Zonen gespeichert sind, verifiziert werden.
Versendet ein für eine per DNSSEC gesicherte Zone zuständiger Nameserver einen Resource Record, signiert er ihn mit dem nur ihm bekannten privaten Schlüssel. Jede Zone hat ihre eigenen Zonenschlüssel. Zu jedem privaten Schlüssel existiert ein zugehöriger öffentlicher Schlüssel. In den RFCs der Domain Name System Security Extensions ist ein neuer Typ von Resource Record definiert. Er nennt sich RRSIG und löste im Jahr 2004 den vorherigen, fast identischen SIG Resource Record ab.
Im RRSIG ist die Signatur des DNS-Eintrags enthalten. Die Signatur hat eine bestimmte Gültigkeitsdauer und ist mit einem Anfangs- und Endzeitpunkt versehen. Im DNSSEC-Standard ist vorgesehen, dass Resource Records mit verschiedenen privaten Schlüsseln mehrfach unterschrieben sein können. Das ist beispielsweise notwendig, wenn Schlüssel zeitlich auslaufen und ein nahtloser Ersatz des ablaufenden Schlüssels erfolgen soll. Um die Signaturen der Resource Records zu prüfen, verwenden die Empfänger der DNS-Informationen wie DNS-Resolver die bekannten öffentlichen Schlüssel der jeweiligen DNS-Zone. Nach einer erfolgreichen Verifikation der Signatur ist sichergestellt, dass die Antwort weder manipuliert ist noch von einem anderen als dem angenommenen Absender stammt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Grenzen und Schwachstellen von DNSSEC
DNSSEC sorgt zwar für die Authentizität und Integrität der DNS-Informationen, die im DNS übertragenen Daten sind aber nach wie vor unverschlüsselt und dadurch für jeden lesbar. Die Vertraulichkeit der DNS-Informationen stellt DNSSEC daher nicht sicher. Um auch für die Vertraulichkeit von DNS-Abfragen und DNS-Antworten zu sorgen, müssen die Übertragungen zusätzlich mit einem Verschlüsselungsprotokoll wie TLS (Transport Layer Security) abgesichert werden. Hierfür sind Protokolle mit Transportverschlüsselung wie DNS over TLS (DoT) und DNS over HTTPS (DoH) einsetzbar.
Eine Schwachstelle der Domain Name System Security Extensions ist, dass Denial-of-Service-Attacken auf DNS-Server eher noch erleichtert werden, da das Signieren der Resource Records eine erhöhte Last auf den Servern generiert. Ebenfalls als problematisch anzusehen ist die Verteilung der öffentlichen Schlüssel über das DNS-System selbst. Die Vertrauenskette (Chain of Trust) ist dadurch gefährdet.
DNSSEC Walking, auch als Zone Walking bezeichnet, beschreibt ein Problem, das das vollständige Auslesen des Inhalts von signierten Zonen erlaubt. Durch Zone Walking lassen sich Informationen über die Struktur und die Existenz bestimmter Subdomains einer Zone erhalten, was potenziell für weitere Angriffsszenarien ausnutzbar ist.
Ein weiteres Problem ist, dass DNSSEC grundsätzlich zwar technisch weit verbreitet ist und von den meisten TLDs unterstützt wird, die tatsächliche aktive Nutzung auf Domainebene aber stark variiert. Die Validierungsrate ist länderabhängig sehr unterschiedlich. Für Deutschland weist die EU Internet Standards Deployment Monitoring Website eine DNSSEC-Validierungsrate von rund 80 Prozent (Q1 2025) aus. Die tatsächliche DNSSEC-Nutzungsrate auf Domainebene liegt aber nur bei etwa 5 Prozent. Diese Zahlen für Deutschland zeigen, dass der Anteil der registrierten Domains mit aktiviertem DNSSEC trotz der grundsätzlichen technischen Unterstützung von DNSSEC nach wie vor relativ gering ist.
Diese Übersicht zeigt die prinzipiellen Schutzmöglichkeiten von DNSSEC.
:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/08/8d/088d5d8bbfa077d1c55554f9c131896e/0128890681v1.jpeg "Aagon veröffentlicht ACMP 6.9. Das UEM-Update bringt Wartungsfenster, neue Boot- und Recovery-Optionen sowie erweiterte Transparenz im Schwachstellenmanagement für hybride IT-Umgebungen. (Bild: Aagon)")
:quality(80)/p7i.vogel.de/wcms/95/73/9573fdc9b603a964d473598628393cb8/0128990520v1.jpeg "Digitus erweitert sein Glasfaser-Portfolio: Komponenten für FTTH, Gebäudeverkabelung und Rechenzentren bis Netzebene 3. (Bild: Digitus)")
:quality(80)/p7i.vogel.de/wcms/0f/57/0f5747cabdaf11e0e668abe67f2ddb87/0128408076v1.jpeg "ProxMenuX erweitert Proxmox VE um ein textbasiertes Menü für Automatisierung, VM-Setup und Systemverwaltung. Das Tool spart Zeit, birgt jedoch Sicherheitsrisiken. (Bild: Joos | ProxMenuX)")
:quality(80)/p7i.vogel.de/wcms/cc/b7/ccb7dd07088b3c2a8890a04d5f304aa6/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/03/6603dcf5811b0544dfe74ea606fc54a5/0128470202v1.jpeg "Nokia und Nvidia koppeln RAN-Funktechnik mit GPU-Servern. Der Ansatz bringt KI-Verarbeitung näher an Geräte und Anwendungen und prägt die Diskussion um 6G. (Bild: Nokia)")
:quality(80)/p7i.vogel.de/wcms/d6/48/d648faec4e66f14b26e1312bb0e69835/0128253062v1.jpeg "Telefónica Germany modernisiert sein 5G-RAN mit Nokia-Hardware, Cloud-RAN und KI-Management. Vertrag läuft fünf Jahre bis 2030. (Bild: Nokia)")
:quality(80)/p7i.vogel.de/wcms/1f/55/1f555476e7b62980e40ef64646c76d96/0128307143v1.jpeg "Holafly führt den weltweit ersten globalen Datentarif ein. (Bild: Holafly)")
:quality(80)/p7i.vogel.de/wcms/1a/c2/1ac21fe6bccc9f656da933b525576519/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/52/bf/52bf39a9a14e2cdecfea4bec4149f256/0128987268v1.jpeg "Opengear hat zwei Erweiterungen seiner Network Resilience Platform angekündigt: die CM8000- sowie die OM1300-Serie. (Bild: Opengear)")
:quality(80)/p7i.vogel.de/wcms/1d/90/1d90da2ea811074da0ba9707b8b2b54c/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a7/9c/a79c0e47f3a405479ea5b3d7da1f3674/0128841393v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/2f/432fd5162259b2982b11baaa608c500a/0128628143v1.jpeg "Kleine Unternehmen sind in der Zwischenzeit ebenso attraktive Ziele für Cyberkriminelle wie große Unternehmen und Konzerne. Mit der richtigen Netzwerkstruktur, einem konsequenten Vermeiden von Schatten-IT und der Unterstützung durch verlässliche IT-Partner kann dem aber konsequent und preisgünstig begegnet werden. (Bild: © benjaminnolte - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/f0/fcf0c571d5d6a8fd8ae1d5f0ebfb0679/0128936303v1.jpeg "Edge-First-Monitoring ist das \"Nervensystem\" einer modernen Industrie. Die Intelligenz wandert konsequent dorthin, wo die Daten entstehen, während das Zentrum für den übergreifenden Kontext zuständig bleibt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/95/3e/953e513ad8b9dd6c9b7e6011b77d7eb5/0128886496v1.jpeg "Jörg Hollerith von Paessler teilt seine Insights zu den Monitoring-Trends 2026. (Bild: © Yuliia - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/20/9e/209e715e1816812b075da464c4d3e676/0128974118v1.jpeg "Nadine Riederer, CEO von Avision, erklärt, warum die größten Hindernisse für Legacy-Modernisierung selten in der Technologie, sondern im Denken sitzen. (Bild: Avision)")
:quality(80)/p7i.vogel.de/wcms/e3/7b/e37ba41b42c7a59410ba0602b87b3e25/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d1/01d190369acb8adb2c3ae334d859a7e4/0128515858v1.jpeg "Arista erweitert Cognitive Campus um VESPA für große Wi-Fi-Roaming-Domains, neue AVA-KI-Funktionen und robuste Switches für industrielle Edge-Umgebungen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3d/d4/3dd431a8430f012f79dddbde64eb2d0c/0128253082v1.jpeg "ALE erweitert sein Portfolio um robuste Wi-Fi-7-Outdoor-Access-Points für Industrie- und Campus-Netze mit bis zu 9,3 Gbit/s. (Bild: ALE)")
:quality(80)/p7i.vogel.de/wcms/f9/81/f9810884e1da4c4a8d3f2d7435cced64/0128802998v1.jpeg "Die Leistungsfähigkeit moderner Infrastrukturen ist heute selten das Problem. Trotzdem geraten viele IT-Organisationen unter Druck. (Bild: Gettyimages 1222958278 / Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/6e/24/6e24583093f97249870d47fa6590a126/0129158113v1.jpeg "Die neue Realität der Arbeit, ein Interview von Oliver Schonschek, Insider Research, mit Meicel Hildebrandt und Christian Wyduba von Arrow. (Bild: Vogel IT-Medien / Arrow / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/6b/f2/6bf2e81dc29df8c268253e4d78572a63/0128027687v2.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/88/02880eccaba7186e9d3f97d50740993c/0127952929v1.jpeg "Aryaka stellt Unified SASE 2.0 vor: mit AI>Secure, Universal ZTNA, neuer DLP und GenAI-Traffic-Schutz für hybride und KI-getriebene Umgebungen. (Bild: Aryaka)")
:quality(80)/p7i.vogel.de/wcms/73/4f/734fe884947527ce2d0ca9af55edff25/0127853319v1.jpeg "Der neue Agentless-Access-Ansatz von TeamViewer ermöglicht sicheren Remote-Zugriff auf industrielle Systeme ohne lokale Softwareinstallation. (Bild: TeamViewer)")
:quality(80)/p7i.vogel.de/wcms/b0/fb/b0fbe3f12e3a328274e9e4cb9274550f/0128976527v1.jpeg "Der berufliche E-Mail-Verkehr in Deutschland steigt weiter. Neue Bitkom-Zahlen zeigen, wie stark Postfächer belastet sind – und warum E-Mail dominiert. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/2e/e8/2ee85891028410648caa843887cd1ef2/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/95/72/957207921b8d4f4428efb3e4db15e0cb/0127035831v1.jpeg "Netzwerksperren wie IP- oder DNS-Blocking sollen illegale Inhalte bekämpfen, verursachen aber oft Kollateralschäden. Welche Risiken bestehen – und welche Alternativen praktikabler sind. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/fa/a0fa0bce414f1a86f52c9a6bf9bfb0f5/0125891354v1.jpeg "Gartner sieht ein starkes Wachstum bei der Satellitenkommunikation in niedriger Erdumlaufbahn (LEO). Nutzer werden 2026 hier global 14,8 Milliarden US-Dollar investieren. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ea/bd/eabddcb78a9795a5da7c843355b6bdf3/0125416279v1.jpeg "Das Domain Name System ist quasi das Telefonbuch des Internets. Es sorgt für die Übersetzung der sprechenden Domainnamen in die für den Datenaustausch benötigten IP-Adressen. (Bild: GPT-4o / ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba74262dd0f3d0c62e41defc788ed74/0126603130v1.jpeg "Was ist besser: Post Quantum Cryprtography (PQC) oder doch gleich Quantum Key Distribution (QKD)? (Bild: © Lee Design Arts - stock.adobe.com)")