Täglicher Kampf gegen den Spam-Terror
Provider und Politiker haben
der Müll-Lawine, die täglich die Inbox überschwemmt, den Kampf angesagt,
Patentrezepte im "Krieg" gegen den Werbeschrott gibt es jedoch nicht.
Stefan Krempl, Computerworld 14/2004
Ohne läuft bei Umberto Annino nichts mehr. Der Security Project Consultant
bei der Zuger Sicherheitsfirma InfoGuard führt sich – wie seine
Kollegen – E-Mails nur noch gefiltert zu Gemüte. "Wir bevorzugen
den Bayes-Filter als Client-Lösung", verrät Annino die Geheimwaffe
der Security-Experten im täglichen Kleinkrieg gegen den Spam. Der ermittelt
dank Wahrscheinlichkeitsrechnung, was nach unerwünschten Werbemails
aussieht und sortiert sie in einen gesonderten, schnell entleerbaren Ordner.
Nachteil: Mit Microsofts Mailprogramm Outlook funktioniert der Lieblingsfilter
Anninos nicht. Aber dafür stehen ähnliche Plugins und Zusatzlösungen
zur Verfügung. Bei dem halbautomatischen Reinhalten des
elektronischen Briefkastens muss der User zwar selbst noch ran. Doch das
ist Annino lieber, als wenn "schon der Provider verdächtige Mails
sofort ins Nirwana schickt". Dabei würde zuviel gewünschte
E-Post verloren gehen. Eine grobe, serverseitige Kontrolle bewahrt die InfoGuard-Mitarbeiter
aber bereits vor "grob böswilligen" Mails, die mit virenverseuchten
Anhängen bestückt oder deren Absender auf einschlägigen Spammer-Blacklists
aufgeführt sind.
Die verhasste Mailreklame hat sich in den letzten Jahren
zu einer der größten
Geißeln der Netzgesellschaft entwickelt. Im Februar waren nach
Angaben der US-Firma Brightmail, einem Anbieter von Filterlösungen
gegen die elektronische Werbeflut, bereits 62 Prozent aller E-Mail
Spam. Allein AOL,
der weltgrößte Internetprovider, filtert täglich gut
2,5 Milliarden E-Mails als offensichtliche Verkaufsofferten aus. Sie überleben
den Abgleich mit schwarzen Listen nicht, die der US-Konzern im eigenen
Hause mit steigendem Personalaufwand pflegt. Die staatliche Summe entspricht
75
bis 80 Prozent aller über AOL verschickten Post. Noch vor zwei
Jahren lag der Anteil bei 7 Prozent. Am häufigsten prasseln auf
die Netzbewohner Angebote für Viagra oder Valium ein, weiß Charles
Stilles, E-Mail-Chef bei AOL. Er hat die Beschwerdebriefe der über
30 Millionen Kunden des Providers statistisch ausgewertet und kennt
daher seine Pappenheimer. In
der Rangliste kommen nach den Pillen unverklausulierte Sexangebote
nach dem Motto "vollgespritzt und rausgetropft", dubiose
Akademikerschmieden sowie zweifelhafte Finanztipps.
Die Schweiz bleibt
von den aggressiven Online-Marketern nicht verschont.
Bei Bluewin, dem größten eidgenössischen Provider,
nähert
sich der Spamanteil der 50-Prozent-Grenze. Der wirtschaftliche Schaden
belaufe sich hierzulande auf jährlich 280 Millionen Franken, schätzt
die Swiss Internet User Group. Die EU-Kommission geht davon aus, dass
in 2003
Unternehmen europaweit einen Produktivitätsausfall von rund 2,5
Milliarden Euro erlitten haben. Kosten von 10 Milliarden Euro weltweit
verursacht schon
das Herunterladen der ungewünschten "Bulkware" von den
Mailservern, lässt der Schweizer Anti-Spamaktivist Roman Racine
die Surfer auf seiner Site spam.trash.net wissen. Die Dummen sind immer
die Nutzer, ärgert
sich ein amerikanischer Gleichgesinnter, John Levine, da auf ihnen
die Kosten der unverfrorenen und schon von wenigen Bestellungen profitierenden
Werber
hängen bleiben. Der stellvertretende Vorsitzende der Anti-Spam
Group der Internet Research Task Force befürchtet zudem einen
allgemeinen Vertrauensverlust in das Medium E-Mail: Nutzer, die die
Nase voll hätten
von all den zwielichtigen Schnäppchenangeboten und Hilferufen
aus Nigeria, würden ihre Accounts häufig komplett abmelden.
So war der "Running
Gag" auf dem Jahreskongress des Chaos Computer Clubs die Koketterie,
dass nur noch die Rückkehr zum Fax bleibe.
Doch damit nicht genug.
Spam ist auch verstärkt zur Einfallstür
für Cybergangster geworden – und gleichzeitig bieten im
Basteln von PC-Schädlingen geübte Cybergangster immer häufiger
unersättlichen
Massenmailern ihre Dienste an. "Ich beobachte eine wachsende Allianz
zwischen Spammern, Computerhackern und dem Organisierten Verbrechen",
sagt Simson Garfinkel, Kolumnist des Magazins Technology Review. Für
die eine Seite der Medaille steht der Begriff Phishing. Hinter dieser
kriminellen Methode steckt eine besondere Form des Social Engineering:
Massenmailer hüllen
sich dabei in die Identität großer Firmen wie eBay oder
Visa und fordern die Empfänger auf, aus scheinbar triftigen Gründen über
eine gefälschte Website die Kreditkartennummer sowie andere wertvolle
persönliche Informationen "aufzufrischen". Unbedarfte
Nutzer lassen sich so ihr Alter Ego und ihre Kohle abzocken.
Noch verheerender
gestaltet sich die unheilvolle Verbindung zwischen Virenschreibern
und Spammern. Seit Mitte 2003 der Schädling MyDoom sein Unwesen
trieb, tippten Experten darauf, dass die Hintermänner mittels
einer neue Virengeneration die vernetzten Rechner nichtsahnender Nutzer
in gemeine Spam-Kanonen verwandeln.
Licht in die Fernsteuerung der Müll speienden PC-Armeen brachte
das Magazin c't jüngst mithilfe eines Marburger Informatikstudenten,
der einen über eine Online-Tauschbörse verbreiteten Randex-Virus
zerlegte und darin einen Befehlssatz für die Übernahme weiter
Teile der befallenen PC-Infrastruktur entdeckte. Die Spur der Virenautoren
führte
unter anderem in die USA zu einem Spiele-Clan, der das Netz der "Computer-Zombies" steuerte.
Diese ließen sich ohne Wissen der Besitzer nicht nur als willfährige
Diener für verteilte Denial-of-Service-Attacken missbrauchen,
sondern auch als Proxy-Server fürs massenhafte Versenden von Spam.
Gegen die Wölfe im Schafspelz, deren Verwandlung durch den Breitbandboom
und ständig
am Internet hängende Heim-PCs stark erleichtert wird, gehen einzelne
Provider wie der amerikanische Kabelanbieter Comcast oder die skandinavische
TeliaSonera nun mit harten Bandagen vor: Kunden, die zum Opfer der
technisch hochgezüchteten Spam-Mafia werden und ihre Rechner nicht
mit den üblichen
Anti-Virenprogrammen desinfizieren, werden vom Netz abgehängt.
Auch
die Politik ist aufgewacht. Erkki Liikanen, als EU-Kommissar für
die Informationsgesellschaft zuständig, erklärte 2004 bei
einer internationalen Strategierunde der OECD (Organisation für
wirtschaftliche Zusammenarbeit und Entwicklung) Anfang Februar zum
Jahr der "Schlacht
zwischen Spammern und Anti-Spammern". Liikanen könnte sich
eigentlich zurücklehnen, denn in der EU gilt seit 2002 eine Richtlinie,
die das Versenden von Werbemails nur nach ausdrücklicher Zustimmung
des Empfängers
gestattet. Mit diesem "Opt in"-Prinzip steht Brüssel
allerdings weltweit noch weitgehend allein da – ganz abgesehen
davon, dass fast die Hälfte der EU-Mitgliedsstaaten mit der Umsetzung
der Direktive in Verzug geraten ist. Mit den "empfindlichen Strafen" gegen
Spammer, die Liikanen den Landesregierungen immer wieder ans Herz legt,
lässt
es noch auf sich warten.
Andersrum gestaltet sich die rechtliche Lage
in den USA. Dort können
böswillige, mit falschem Absender antretende Massenmailer gemäß des "Can
Spam Act" bis zu fünf Jahre hinter Gitter wandern. Gleichzeitig
dürfen Firmen aber Spam versenden, wenn dieser als solcher im
Betreff gekennzeichnet ist und eine Opt-out-Möglichkeit vorsieht.
Erste Schauprozesse haben die größten US-Provider – AOL,
Earthlink, Microsoft und Yahoo – gegen notorische Spammer Anfang
März eingeleitet.
In der Schweiz gibt es dagegen noch kein Gesetz, das den Versand des
elektronischen Mailmülls regelt. Die Opt-in-Regelung ist im Entwurf
für die umstrittene
Revision des Fernmeldegesetzes zwar vorgesehen. "Die Massenwerbung
hat ein Ausmaß angenommen, das für die Mehrheit der Empfänger
inakzeptabel ist", heißt es im Kommunique zu der im November
2003 vorgestellten Novelle. Die zuständige Nationalratskommission
hat allerdings beschlossen, den neuen Gesetzesentwurf zunächst
wieder in die Schubladen zurückzubeordern. Druck kommt von Microsoft:
Der Konzern hat sich beim eidgenössischen Parlament dafür
eingesetzt, schärfere gesetzliche
Rahmenbedingungen gegen das Versenden unerwünschter Mails zu erlassen.
Geplagte Nutzer können sich vorerst aber höchstens auf zivilrechtliche
Schritte gegen Spammer einlassen und etwa wegen Nötigung oder
auf Basis des Gesetzes gegen den unlauteren Wettbewerb Klage erheben.
Beim
Eidgenössischen Datenschutzbeauftragten (EDSB) steht die Schlagkraft
von Gesetzen im Kampf gegen Spam generell nicht hoch im Kurs. Es sei
zu schwierig, die ungehobelten Werber zu identifizieren. Zudem schätzen
Analysten, dass 98 Prozent der unerwünschten Verkaufsmails aus
dem Ausland in die E-Postkästen der Schweizer gelangen. Die Internet-Wirtschaft
setzt daher auf technische Lösungen. Ein großes Medienecho
erzeugte Microsoft-Chef Bill Gates, als er auf dem Weltwirtschaftsforum
Davos den Versand von E-Mails
mit geringfügigen Gebühren belegt wissen wollte. Jeder elektronische
Brief sollte mit einer virtuellen Briefmarke versehen werden. Gedanke
dahinter ist, dass Massenmails zu kostspielig werden. Da die Umwandlung
des Basiskommunikationsdienstes
E-Mail in einen Pay-Service jedoch auch den Redmondern utopisch erschien,
legte Gates nach: mit ein wenig Rechenleistung sollten die Nutzer pro
Mail zahlen. Innerhalb von zwei Jahren, prahlte der Microsoft-Vordenker,
sei das
Spamproblem so gelöst.
Doch jenseits von Akzeptanzschwierigkeiten
müsste für das Abstempeln
der Briefmarken die komplette Netzinfrastruktur umgemodelt werden,
wofür
es bislang keine technischen Baupläne gibt. Microsoft macht sich
daher inzwischen für eine Art Rufnummernanzeige (Caller ID) beim
E-Mail-Dienst stark. Sender veröffentlichen dabei die IP-Adressen
ihrer Ausgangsserver in einem speziellen XML-Format im Eintrag ihrer
Webdomain im entsprechenden
Verzeichnis der Cyberimmobilien, dem Domain Name System (DNS). Empfangsserver
und Mail-Clients können dann in dem DNS-Eintrag prüfen, ob
die verwendete IP-Adresse darin aufgeführt ist. Steht sie nicht
in der Whitelist, wird sie geblockt. Große Freunde haben sich
die Redmonder mit ihrem proprietären Lösungsvorschlag in
der Netzgemeinde allerdings nicht gemacht: Zum einen haben sie die
gängigen Standardisierungsgremien wie
die Internet Engineering Task Force (IETF) übergangen. Zum anderen
habe Microsoft weitgehende Lizenzansprüche auf Caller ID für
E-Mail angemeldet, kritisiert der Rechtsexperte der Free Software Foundation,
Eben
Moglen. Mit der Standardlizenz für offene Quellcodes, der GPL,
würden
sich diese beißen.
Die IETF selbst verhandelt über die Standardisierung
mehrerer Verfahren, die fast deckungsgleich mit Microsofts Fortschreibung
der Rufnummernanzeige
funktionieren. Beispielsweise das Sender Policy Framework (SPF), das
von AOL seit Anfang des Jahres getestet wird und ursprünglich
unter der Bezeichnung Sender Permitted From bekannt war. Auch dabei
werden DNS-Einträge
um ein neues Datenfeld erweitert, in dem die "sauberen" IP-Adressen
einer Domain gelistet sind. Das von Meng Wong erarbeitete SPF ist eine
Weiterentwicklung ähnlicher
Verfahren wie RMX (Reverse MX) von Hadmut Danisch oder DMP (Designated
Mailers Protocol). Um die Sache zu verkomplizieren, setzt neben Microsoft
mit seinem
Hotmail-Webdienst auch Yahoo bereits auf eine Eigenschöpfung,
und zwar das Verfahren DomainKeys. Dahinter steckt eine Public-Key-Infrastruktur, über
die mithilfe von Informationen aus dem Mail-Header und dem Inhalt einer
elektronischen Nachricht eine einzigartige Signatur für den Dateikopf
generiert wird. Wird eine E-Mail abgeschickt, verifiziert das Empfängersystem
die Kennung mit dem öffentlichen Schlüssel des Absenders,
der im DNS verzeichnet ist.
Experten bei AOL sind sich sicher, dass
im Rahmen der IETF bald eine Einigung der großen Provider über
das künftige gemeinsame Anti-Spam-Mittel
gefunden wird. Doch den Zombie-PCs und ihren Fernlenkern können
die Verfahren allein noch wenig entgegen setzen. Bei der IETF steht
daher zusätzlich
die Idee gemäß RFC 2476 hoch im Kurs, E-Mails nicht mehr
wie bisher über
den offenen Serverport 25 zu verschicken, sondern über den besser
kontrollierbaren Port 587. Von Brightmail kommt ferner der Vorstoß,
ein Reputationssystem für die E-Post aufzubauen, in das die langjährigen
Erfahrungen der Provider mit schwarzen Schafen unter Domainhaltern
einfließen sollen.
Die große Sorge von alten Kämpen wie Levine ist jedoch,
dass durch all die ins Spiel gebrachten Mittelchen nicht nur das Spamgeschwür,
sondern auch der Patient gleich mit umgebracht wird. Eine allein seligmachende
Lösung gibt es nicht, weiß Franco Cerminara, Head of Consulting
und Education bei InfoGuard: "Eine Kombination von verschiedenen
Ansätzen
macht durchaus Sinn, anstatt dass sich jeder Hersteller mit eigenen
Methoden profilieren möchte."
Hier sprudeln die Spam-Quellen
Die britische Virenschutz-Firma Sophos hat
anhand einer Analyse mehrerer Hunderttausend E-Mails eine Länderrangliste
der größten
Spam-Verursacher erstellt. Spitzenreiter sind die USA mit 56,74 Prozent,
Auf dem zweiten Platz liegt Kanada mit 6,8 Prozent, gefolgt von China & Hongkong
mit 6,2 Prozent. 5,8 Prozent des Werbemülls gehen auf das Konto
von Südkorea. Deutschland liegt mit 1,8 Prozent auf Platz sieben.
Die Forscher stellten fest, dass die meisten Spams aus den USA ohne
Wissen
der PC-Eigentümer durch Trojaner und Würmer verbreitet
werden. Mehr als 30 Prozent der unerwünschten Wurfsendungen
sollen weltweit auf diese Weise verschickt werden.Kasten: Vorbeugen
ist besser als
herumdoktern.
Wie man Spam bekämpft