texte -- publications

Täglicher Kampf gegen den Spam-Terror

Provider und Politiker haben der Müll-Lawine, die täglich die Inbox überschwemmt, den Kampf angesagt, Patentrezepte im "Krieg" gegen den Werbeschrott gibt es jedoch nicht.

Stefan Krempl, Computerworld 14/2004

Ohne läuft bei Umberto Annino nichts mehr. Der Security Project Consultant bei der Zuger Sicherheitsfirma InfoGuard führt sich – wie seine Kollegen – E-Mails nur noch gefiltert zu Gemüte. "Wir bevorzugen den Bayes-Filter als Client-Lösung", verrät Annino die Geheimwaffe der Security-Experten im täglichen Kleinkrieg gegen den Spam. Der ermittelt dank Wahrscheinlichkeitsrechnung, was nach unerwünschten Werbemails aussieht und sortiert sie in einen gesonderten, schnell entleerbaren Ordner. Nachteil: Mit Microsofts Mailprogramm Outlook funktioniert der Lieblingsfilter Anninos nicht. Aber dafür stehen ähnliche Plugins und Zusatzlösungen zur Verfügung. Bei dem halbautomatischen Reinhalten des elektronischen Briefkastens muss der User zwar selbst noch ran. Doch das ist Annino lieber, als wenn "schon der Provider verdächtige Mails sofort ins Nirwana schickt". Dabei würde zuviel gewünschte E-Post verloren gehen. Eine grobe, serverseitige Kontrolle bewahrt die InfoGuard-Mitarbeiter aber bereits vor "grob böswilligen" Mails, die mit virenverseuchten Anhängen bestückt oder deren Absender auf einschlägigen Spammer-Blacklists aufgeführt sind.

Die verhasste Mailreklame hat sich in den letzten Jahren zu einer der größten Geißeln der Netzgesellschaft entwickelt. Im Februar waren nach Angaben der US-Firma Brightmail, einem Anbieter von Filterlösungen gegen die elektronische Werbeflut, bereits 62 Prozent aller E-Mail Spam. Allein AOL, der weltgrößte Internetprovider, filtert täglich gut 2,5 Milliarden E-Mails als offensichtliche Verkaufsofferten aus. Sie überleben den Abgleich mit schwarzen Listen nicht, die der US-Konzern im eigenen Hause mit steigendem Personalaufwand pflegt. Die staatliche Summe entspricht 75 bis 80 Prozent aller über AOL verschickten Post. Noch vor zwei Jahren lag der Anteil bei 7 Prozent. Am häufigsten prasseln auf die Netzbewohner Angebote für Viagra oder Valium ein, weiß Charles Stilles, E-Mail-Chef bei AOL. Er hat die Beschwerdebriefe der über 30 Millionen Kunden des Providers statistisch ausgewertet und kennt daher seine Pappenheimer. In der Rangliste kommen nach den Pillen unverklausulierte Sexangebote nach dem Motto "vollgespritzt und rausgetropft", dubiose Akademikerschmieden sowie zweifelhafte Finanztipps.

Die Schweiz bleibt von den aggressiven Online-Marketern nicht verschont. Bei Bluewin, dem größten eidgenössischen Provider, nähert sich der Spamanteil der 50-Prozent-Grenze. Der wirtschaftliche Schaden belaufe sich hierzulande auf jährlich 280 Millionen Franken, schätzt die Swiss Internet User Group. Die EU-Kommission geht davon aus, dass in 2003 Unternehmen europaweit einen Produktivitätsausfall von rund 2,5 Milliarden Euro erlitten haben. Kosten von 10 Milliarden Euro weltweit verursacht schon das Herunterladen der ungewünschten "Bulkware" von den Mailservern, lässt der Schweizer Anti-Spamaktivist Roman Racine die Surfer auf seiner Site spam.trash.net wissen. Die Dummen sind immer die Nutzer, ärgert sich ein amerikanischer Gleichgesinnter, John Levine, da auf ihnen die Kosten der unverfrorenen und schon von wenigen Bestellungen profitierenden Werber hängen bleiben. Der stellvertretende Vorsitzende der Anti-Spam Group der Internet Research Task Force befürchtet zudem einen allgemeinen Vertrauensverlust in das Medium E-Mail: Nutzer, die die Nase voll hätten von all den zwielichtigen Schnäppchenangeboten und Hilferufen aus Nigeria, würden ihre Accounts häufig komplett abmelden. So war der "Running Gag" auf dem Jahreskongress des Chaos Computer Clubs die Koketterie, dass nur noch die Rückkehr zum Fax bleibe.

Doch damit nicht genug. Spam ist auch verstärkt zur Einfallstür für Cybergangster geworden – und gleichzeitig bieten im Basteln von PC-Schädlingen geübte Cybergangster immer häufiger unersättlichen Massenmailern ihre Dienste an. "Ich beobachte eine wachsende Allianz zwischen Spammern, Computerhackern und dem Organisierten Verbrechen", sagt Simson Garfinkel, Kolumnist des Magazins Technology Review. Für die eine Seite der Medaille steht der Begriff Phishing. Hinter dieser kriminellen Methode steckt eine besondere Form des Social Engineering: Massenmailer hüllen sich dabei in die Identität großer Firmen wie eBay oder Visa und fordern die Empfänger auf, aus scheinbar triftigen Gründen über eine gefälschte Website die Kreditkartennummer sowie andere wertvolle persönliche Informationen "aufzufrischen". Unbedarfte Nutzer lassen sich so ihr Alter Ego und ihre Kohle abzocken.

Noch verheerender gestaltet sich die unheilvolle Verbindung zwischen Virenschreibern und Spammern. Seit Mitte 2003 der Schädling MyDoom sein Unwesen trieb, tippten Experten darauf, dass die Hintermänner mittels einer neue Virengeneration die vernetzten Rechner nichtsahnender Nutzer in gemeine Spam-Kanonen verwandeln. Licht in die Fernsteuerung der Müll speienden PC-Armeen brachte das Magazin c't jüngst mithilfe eines Marburger Informatikstudenten, der einen über eine Online-Tauschbörse verbreiteten Randex-Virus zerlegte und darin einen Befehlssatz für die Übernahme weiter Teile der befallenen PC-Infrastruktur entdeckte. Die Spur der Virenautoren führte unter anderem in die USA zu einem Spiele-Clan, der das Netz der "Computer-Zombies" steuerte. Diese ließen sich ohne Wissen der Besitzer nicht nur als willfährige Diener für verteilte Denial-of-Service-Attacken missbrauchen, sondern auch als Proxy-Server fürs massenhafte Versenden von Spam. Gegen die Wölfe im Schafspelz, deren Verwandlung durch den Breitbandboom und ständig am Internet hängende Heim-PCs stark erleichtert wird, gehen einzelne Provider wie der amerikanische Kabelanbieter Comcast oder die skandinavische TeliaSonera nun mit harten Bandagen vor: Kunden, die zum Opfer der technisch hochgezüchteten Spam-Mafia werden und ihre Rechner nicht mit den üblichen Anti-Virenprogrammen desinfizieren, werden vom Netz abgehängt.

Auch die Politik ist aufgewacht. Erkki Liikanen, als EU-Kommissar für die Informationsgesellschaft zuständig, erklärte 2004 bei einer internationalen Strategierunde der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung) Anfang Februar zum Jahr der "Schlacht zwischen Spammern und Anti-Spammern". Liikanen könnte sich eigentlich zurücklehnen, denn in der EU gilt seit 2002 eine Richtlinie, die das Versenden von Werbemails nur nach ausdrücklicher Zustimmung des Empfängers gestattet. Mit diesem "Opt in"-Prinzip steht Brüssel allerdings weltweit noch weitgehend allein da – ganz abgesehen davon, dass fast die Hälfte der EU-Mitgliedsstaaten mit der Umsetzung der Direktive in Verzug geraten ist. Mit den "empfindlichen Strafen" gegen Spammer, die Liikanen den Landesregierungen immer wieder ans Herz legt, lässt es noch auf sich warten.

Andersrum gestaltet sich die rechtliche Lage in den USA. Dort können böswillige, mit falschem Absender antretende Massenmailer gemäß des "Can Spam Act" bis zu fünf Jahre hinter Gitter wandern. Gleichzeitig dürfen Firmen aber Spam versenden, wenn dieser als solcher im Betreff gekennzeichnet ist und eine Opt-out-Möglichkeit vorsieht. Erste Schauprozesse haben die größten US-Provider – AOL, Earthlink, Microsoft und Yahoo – gegen notorische Spammer Anfang März eingeleitet. In der Schweiz gibt es dagegen noch kein Gesetz, das den Versand des elektronischen Mailmülls regelt. Die Opt-in-Regelung ist im Entwurf für die umstrittene Revision des Fernmeldegesetzes zwar vorgesehen. "Die Massenwerbung hat ein Ausmaß angenommen, das für die Mehrheit der Empfänger inakzeptabel ist", heißt es im Kommunique zu der im November 2003 vorgestellten Novelle. Die zuständige Nationalratskommission hat allerdings beschlossen, den neuen Gesetzesentwurf zunächst wieder in die Schubladen zurückzubeordern. Druck kommt von Microsoft: Der Konzern hat sich beim eidgenössischen Parlament dafür eingesetzt, schärfere gesetzliche Rahmenbedingungen gegen das Versenden unerwünschter Mails zu erlassen. Geplagte Nutzer können sich vorerst aber höchstens auf zivilrechtliche Schritte gegen Spammer einlassen und etwa wegen Nötigung oder auf Basis des Gesetzes gegen den unlauteren Wettbewerb Klage erheben.

Beim Eidgenössischen Datenschutzbeauftragten (EDSB) steht die Schlagkraft von Gesetzen im Kampf gegen Spam generell nicht hoch im Kurs. Es sei zu schwierig, die ungehobelten Werber zu identifizieren. Zudem schätzen Analysten, dass 98 Prozent der unerwünschten Verkaufsmails aus dem Ausland in die E-Postkästen der Schweizer gelangen. Die Internet-Wirtschaft setzt daher auf technische Lösungen. Ein großes Medienecho erzeugte Microsoft-Chef Bill Gates, als er auf dem Weltwirtschaftsforum Davos den Versand von E-Mails mit geringfügigen Gebühren belegt wissen wollte. Jeder elektronische Brief sollte mit einer virtuellen Briefmarke versehen werden. Gedanke dahinter ist, dass Massenmails zu kostspielig werden. Da die Umwandlung des Basiskommunikationsdienstes E-Mail in einen Pay-Service jedoch auch den Redmondern utopisch erschien, legte Gates nach: mit ein wenig Rechenleistung sollten die Nutzer pro Mail zahlen. Innerhalb von zwei Jahren, prahlte der Microsoft-Vordenker, sei das Spamproblem so gelöst.

Doch jenseits von Akzeptanzschwierigkeiten müsste für das Abstempeln der Briefmarken die komplette Netzinfrastruktur umgemodelt werden, wofür es bislang keine technischen Baupläne gibt. Microsoft macht sich daher inzwischen für eine Art Rufnummernanzeige (Caller ID) beim E-Mail-Dienst stark. Sender veröffentlichen dabei die IP-Adressen ihrer Ausgangsserver in einem speziellen XML-Format im Eintrag ihrer Webdomain im entsprechenden Verzeichnis der Cyberimmobilien, dem Domain Name System (DNS). Empfangsserver und Mail-Clients können dann in dem DNS-Eintrag prüfen, ob die verwendete IP-Adresse darin aufgeführt ist. Steht sie nicht in der Whitelist, wird sie geblockt. Große Freunde haben sich die Redmonder mit ihrem proprietären Lösungsvorschlag in der Netzgemeinde allerdings nicht gemacht: Zum einen haben sie die gängigen Standardisierungsgremien wie die Internet Engineering Task Force (IETF) übergangen. Zum anderen habe Microsoft weitgehende Lizenzansprüche auf Caller ID für E-Mail angemeldet, kritisiert der Rechtsexperte der Free Software Foundation, Eben Moglen. Mit der Standardlizenz für offene Quellcodes, der GPL, würden sich diese beißen.

Die IETF selbst verhandelt über die Standardisierung mehrerer Verfahren, die fast deckungsgleich mit Microsofts Fortschreibung der Rufnummernanzeige funktionieren. Beispielsweise das Sender Policy Framework (SPF), das von AOL seit Anfang des Jahres getestet wird und ursprünglich unter der Bezeichnung Sender Permitted From bekannt war. Auch dabei werden DNS-Einträge um ein neues Datenfeld erweitert, in dem die "sauberen" IP-Adressen einer Domain gelistet sind. Das von Meng Wong erarbeitete SPF ist eine Weiterentwicklung ähnlicher Verfahren wie RMX (Reverse MX) von Hadmut Danisch oder DMP (Designated Mailers Protocol). Um die Sache zu verkomplizieren, setzt neben Microsoft mit seinem Hotmail-Webdienst auch Yahoo bereits auf eine Eigenschöpfung, und zwar das Verfahren DomainKeys. Dahinter steckt eine Public-Key-Infrastruktur, über die mithilfe von Informationen aus dem Mail-Header und dem Inhalt einer elektronischen Nachricht eine einzigartige Signatur für den Dateikopf generiert wird. Wird eine E-Mail abgeschickt, verifiziert das Empfängersystem die Kennung mit dem öffentlichen Schlüssel des Absenders, der im DNS verzeichnet ist.

Experten bei AOL sind sich sicher, dass im Rahmen der IETF bald eine Einigung der großen Provider über das künftige gemeinsame Anti-Spam-Mittel gefunden wird. Doch den Zombie-PCs und ihren Fernlenkern können die Verfahren allein noch wenig entgegen setzen. Bei der IETF steht daher zusätzlich die Idee gemäß RFC 2476 hoch im Kurs, E-Mails nicht mehr wie bisher über den offenen Serverport 25 zu verschicken, sondern über den besser kontrollierbaren Port 587. Von Brightmail kommt ferner der Vorstoß, ein Reputationssystem für die E-Post aufzubauen, in das die langjährigen Erfahrungen der Provider mit schwarzen Schafen unter Domainhaltern einfließen sollen. Die große Sorge von alten Kämpen wie Levine ist jedoch, dass durch all die ins Spiel gebrachten Mittelchen nicht nur das Spamgeschwür, sondern auch der Patient gleich mit umgebracht wird. Eine allein seligmachende Lösung gibt es nicht, weiß Franco Cerminara, Head of Consulting und Education bei InfoGuard: "Eine Kombination von verschiedenen Ansätzen macht durchaus Sinn, anstatt dass sich jeder Hersteller mit eigenen Methoden profilieren möchte."

 

Hier sprudeln die Spam-Quellen

Die britische Virenschutz-Firma Sophos hat anhand einer Analyse mehrerer Hunderttausend E-Mails eine Länderrangliste der größten Spam-Verursacher erstellt. Spitzenreiter sind die USA mit 56,74 Prozent, Auf dem zweiten Platz liegt Kanada mit 6,8 Prozent, gefolgt von China & Hongkong mit 6,2 Prozent. 5,8 Prozent des Werbemülls gehen auf das Konto von Südkorea. Deutschland liegt mit 1,8 Prozent auf Platz sieben. Die Forscher stellten fest, dass die meisten Spams aus den USA ohne Wissen der PC-Eigentümer durch Trojaner und Würmer verbreitet werden. Mehr als 30 Prozent der unerwünschten Wurfsendungen sollen weltweit auf diese Weise verschickt werden.Kasten: Vorbeugen ist besser als herumdoktern.

 

Wie man Spam bekämpft

  • Geizen Sie mit der Abgabe Ihrer E-Mail-Adresse. Vor dem Bestellen von Newslettern, dem Mitmachen bei Gewinnspielen oder dem Online-Kauf von Schnäppchen sollte man sich immer fragen, ob der vermeintliche Mehrwert die Preisgabe des persönlichen Brieffachs für die E-Post wirklich wert ist.
  • Nutzen Sie gesonderte E-Mail-Adressen für Mailinglisten oder Newsgroups, da diese als einfach zu plündernde Datenbanken für Spammer dienen. So lässt sich der Schrott wenigstens besser aussortieren.
  • Wählen Sie besonders bei Webmail-Diensten oder großen Providern lieber lange, umständliche Zeichenfolgen vor der eigentlichen Domain (vor dem @). Kürzeren Kombinationen kommen die Spammer leichter durch so genannte Dictionary-Attacken mit Zufallsverknüpfungen auf die Spur.
  • Homepager-Besitzer sollten den E-Mail-Kontakt über eine Grafik, eine Skriptvariante oder zumindest mit Leerzeichen vor und nach dem @ angeben, um das automatische Auslesen der Adresse zu verhindern.
  • Sammelt sich trotzdem der Spam in der Inbox, können Sie Filter wie SpamAssassin, K9 oder SpamPal in Stellung bringen. Webmailer wie GMX oder Freemail sowie Clients auf der Basis des Open-Source-Projekts Mozilla bieten entsprechende technische Siebe kostenlos mit an.
  • Als "letzter Ausweg", verrät die Vorbeuge-Hilfe von Microsoft Schweiz, bleibt nur die Aufgabe der Cyberanschrift: "Wird Ihre Mailadresse bereits hoffnungslos 'zugespammt' (mehrere Dutzend Mails täglich), sollten Sie sich überlegen, wie sehr sie an Ihrer E-Mail-Adresse hängen und ob sie nicht lieber eine neue einrichten wollen."