Mailmüll – Das ungelöste Problem
Praktisch jeder, der E-Mail nutzt kenn das Phänomen: Mailmüll in Form unverlangt zugeschickter Mails, in denen versucht wird Pharmaprodukte, Kredite, Penisverlängerungen, sexuelle Dienstleistungen oder was auch immer zu verkaufen. In denen mal mehr, mal weniger geschickt versucht wird, den Leser zu Zahlungen zu verleiten. Oder ihn anderweitig zu übertölpeln. Dafür hat sich im Laufe der Zeit der Begriff „SPAM-Mail" etabliert, obwohl es fachlich korrekt eher UBE (unsolicited bulk mail) bzw. UCE (unsolicited commercial mail) heißen müsste.
Nach fast jährlich neu vorgenommenen Untersuchungen von Maildiensteanbietern und Sicherheitsexperten macht SPAM inzwischen etwa 95-98% des weltweiten Gesamtaufkommens an E-Mail aus. Gemessen in dafür verbrauchtem Speicherplatz, Datenübertragungskapazitäten, Strom für damit unnütz befasste Rechner sowie verlorene Arbeitszeit kommen jedes Jahr aufs Neue dreistellige Milliardenschäden weltweit für die Handhabung von Mailmüll zusammen.
Dass der Einzelne von uns nicht täglich für jede Nutzmail 90 Müllmails aussortieren muss, liegt daran, dass Maildiensteanbieter heute leistungsfähige und hochentwickelte Filtersysteme einsetzen, die aus der trüben Klärbrühe in den Mailservern informationelles Trinkwasser machen.
Solche Filter analysieren jede Mail noch bevor sie dem Nutzer zugestellt wird, auf eine Vielzahl von Kriterien und geben dann eine Art gewichtete Schätzung ab. Wird dabei z.B. ein vorgegebener Punktwert überschritten ist es Müll, ansonsten eine einwandfreie E-Mail. Die Herausforderung besteht darin, möglichst alle Müllmails zu erkennen aber so gut wie keine gute Mail fälschlich als Müll auszusortieren (false positive). Allerdings gibt es hier wie auch beim Thema Schadsoftware einen Rüstungswettlauf, so dass es immer wieder vorkommt, dass neuartig konstruierte Müllmails trotzdem zugestellt werden bis die Filter seitens der Hersteller aktualisiert wurden und dann auch die neue Art Spam erkennen und filtern können.
Ein weiteres Mittel für die Betreiber von Maildiensten ist das Führen von Sperrlisten auf denen Rechner erscheinen von denen aus Mailmüll verschickt wird. Von solchen Müllschleudern werden keine Mails angenommen und weiter verteilt.
Da das Filtern von anderer Leute Mail streng genommen einen Eingriff in das gesetzlich gut geschützte Telekommunikationsgeheimnis darstellt (§ 88 TKG, § 206 StGB), ist der Spam-Filter bei vielen Mailkontenbetreiber eine abschaltbare Option falls man darauf verzichten will (nicht zu empfehlen!). Oder die Spam-Mails werden nicht gelöscht sondern nur in ein spezielles Verzeichnis verschoben. Dort kann der Nutzer der Mailbox bei Bedarf nachsehen, ob nicht versehentlich etwas Nützliches falsch klassifiziert wurde und dort gelandet ist. Webmailanbieter wie z.B. GMX und Web.de arbeiten so.
Die zweite Verteidigungslinie ist oft das Mailprogramm selbst. Zumindest für Nutzer, die ihre Mails auf einen Rechner herunterladen, anstatt sie per Webbrowser zu lesen. In praktisch allen Mailprogrammen sind Spam-Filter eingebaut, die die heruntergeladenen Mails vorfiltern und Müllmails entweder löschen oder in ein separates Verzeichnis wegfiltern. Spam-Filter in Mailprogrammen arbeiten meistens nach einem Verfahren, das Fachleute als Bayes-Algorithmus bezeichnen. Es ist eine Art „lernendes System", das aus vom Nutzer manuell klassifizierten E-Mails und deren Strukturen rasch lernt, Müllmails von guten Mails zu trennen. Gewissermaßen der „kleine Bruder" der Filter in den großen Mailservern der Provider.
Doch wo kommen die Spam-Mails eigentlich her? Und wie wird damit Geld verdient?
Einen Bestand aus einer Million ungeprüfter Mailadressen am Datenschwarzmarkt zu erwerben, kostet nur wenige Hundert Euro. In einer ähnlichen Größenordnung liegt das Anmieten eines Botnetzes zum ferngesteuerten Aussenden der Mails. Und auch die Zahlungsabwicklung für solche „Graumarktgeschäfte" kann so gestaltet werden, dass Ermittler sich äußerst schwer tun, den sprichwörtlichen „Fluss des Geldes" zurückzuverfolgen.
Gelingt es einem Massenmailversender nur jeden zehntausendsten Empfänger z.B. Viagra vom chinesischen Schwarzmarkt für 50 € zu verkaufen, so hat er mit einer Aussendung 100 Verkäufe mit einem Ertrag von 5.000 € abzüglich der Kosten generiert. Da Spiel lässt sich durchaus wöchentlich mit wechselnden Adressbeständen wiederholen. Natürlich weitab von jeder Regulierung und jeder Form von Verbraucherschutz, wie wir sie in Deutschland für Fernabsatzgeschäfte, neue Wettbewerbsformen oder die Geschäftsabwicklung im Internet sowie das Dokumentieren der Geschäfte in einer finanzamtsverträglichen Form kennen.
Auch Phishing (password fishing) ist nach wie vor eine beliebte Form des Trickbetrugs im Internet, die das ihre zum Müllmailaufkommen beiträgt. Beim Phishing werden Internetnutzer dazu verleitet, eine Webseite aufzurufen und dort z.B. Identifikations- und Transaktionsdaten für einen Bankkontenzugriff einzugeben. Beispielweise, in dem sie eine Mail erhalten, der entnommen werden kann, dass ihre Sparkasse etwas an ihrem Online-Banking-System umgestellt hätte und daher ein erneuter Login mit PIN, TAN und Bestätigung erforderlich sei, um das Bankkonto weiter nutzen zu können.
Das ist zwar Unsinn und die Banken warnen inzwischen regelmäßig ihre Kunden, dass sie grundsätzlich von sich aus keine Zugangsdaten per Mail abfragen. Aber es funktioniert immer wieder. Waren die Phishing-Mails vor Jahren noch an ihrer meist kruden Orthografie erkennbar, sind sie heute i.d.R. professionell getextet und layoutet und so von einer „offiziellen" Mail eines Unternehmens kaum zu unterscheiden.
Neben Werbung und Trickbetrug wird mit Spam-Mails auch Schadsoftware verbreitet. Entweder in Form von Links auf präparierte Webseiten, die per Drive-by-Download eingebetteten Schadcode verteilen. Oder als Trojaner versteckt in Dateianhängen. So werden u.a. die bereits erwähnten Botnetze aufgebaut, um sie gegen Entgelt an Dritte vermieten zu können. Spätestens hier wird Spam vom lästigen Problem zur gefährlichen Bedrohung, um das sich auch Verantwortliche für die Informationssicherheit und den Datenschutz in Unternehmen zu kümmern haben.
In vielen Ländern ist das Versenden von Massenmails illegal. In den USA wurde 2007 ein spektakulärer Gerichtsfall ausgeurteilt, in dessen Verlauf ein Mailbetrüger für eine Reihe von Untaten zu einer langjährigen Gefängnisstrafe verurteilt wurde. Auch Bußgelder und Entschädigungsforderungen im Millionenbereich wurden bereits verhängt. Aber viele Länder haben auch schlicht wichtigere Probleme, als sich um Belästigung und Betrug an Ausländern im Internet zu kümmern.
Der Einzelne kann also nicht viel mehr tun als SPAM-Filter zu nutzen und deren Filterverhalten hin und wieder zu kontrollieren. Unternehmen können die Müllabfuhr im Mailserver entweder selbst mit einem Kaufprodukt erledigen. Oder das Thema Mailabwicklung und SPAM-Filterung ganz oder teilweise an Dienstleister abgeben.
Außerdem kann es sinnvoll sein, mehrere Mailadressen zu haben, von denen man manche „öffentlich sichtbar" z.B. in ein Web-Impressum oder auf die Firmenhomepage setzt, von wo sie in der Regel rasch auch in den Datenbanken der Mailadresssammler gelangen. Während man andere Mailadressen nur für persönliche Kontakte oder zum Zusammenfassen der Mails anderer Konten verwendet und diese auch nur persönlich weitergibt.
Die Datenübertragungsprotokolle für das Internet, auf deren Technik auch der weltweite Mailverkehr beruht (SMTP – simple mail transfer protocol, DNS – domain name system), stammen aus den späten 70ern als Müllmails noch unbekannt waren, da schon die damals verfügbaren Bandbreiten das Versenden großer Mengen an E-Mail nicht zugelassen hätten. Es gibt neue Protokolle, welche es Spammer erschweren oder gar unmöglich machen würden, Müllmails zu versenden. Doch sie müssten eine bereits bestehende weltweite Infrastruktur ersetzen, um zu funktionieren. Ein Parallelbetrieb mehrerer zueinander inkompatibler Strukturen für E-Mail dürfte schon aus Kostengründen sowie fehlender Nutzerakzeptanz ausscheiden.
Auch die Idee für jede Mail eine Art „Porto" von einem Cent zu erheben (ggf. erst ab der 50. oder 100. Mail pro Tag und Nutzer), um so das Versenden von Massenmails unattraktiv zu machen , konnte sich aufgrund abrechnungstechnischer Probleme und Akzeptanzprobleme bei den an Pauschaltarifen gewohnten Nutzern nicht durchsetzen.
Ein weiterer Ansatz wäre das in Deutschland vom Staat vorangetriebene Projekt DE-Mail, bei dem aber nicht die Kommunikation sondern das sichere gerichtsfeste Zustellen von elektronischen Einschreiben im Vordergrund steht. Da dazu jedoch absehbar teure, vom Benutzer zu bezahlende Infrastruktur (elektronische Signatur und Zertifikate, Smartcards, Kartenleser usw.) benötigt wird, während der Nutzen eher bei Unternehmen und Verwaltungen liegt, dürfte auch die DE-Mail das Müllmailproblem auf absehbare Zeit nicht lösen.
Wir werden also noch eine ganze Weile lang mit SPAM leben müssen.
Verfasst von Guido Strunck, Betreiber des Fachblogs http://itsicherheit.wordpress.com/, beruflich tätig als IT-Koordinator und Spezialist für Softwarequalität.
Kontakt: http://www.guidostrunck.de/oder per Mail: Guido.Strunck@gmx.net
Keine Kommentare vorhanden