Spam - Prävention und Bekämpfung

INHALTSVERZEICHNIS

  I  

  Inhaltsverzeichnis  

  Abkürzungsverzeichnis  IV

Tabellenverzeichnis VI   

  Abbildungsverzeichnis  VI

1  Einleitung  1

1.1  Problemstellung  1

1.2  Zielsetzung  1

1.3  Aufbau der Arbeit  1

2  Grundlagen zu Spam  2

2.1  Begriff  2

2.2  E-Mail Spam-Kategorien  3

2.2.1  Unsolicited Bulk E-Mail  3

2.2.1.1  Kettenbriefe und Hoaxes  4

2.2.1.2  Scam  4

2.2.1.3  Phishing und Spearphishing  5

2.2.1.4  Malware  5

2.2.1.5  Joe Jobs  6

2.2.2  Unsolicited Commercial E-Mail  7

2.2.2.1  Betrügerischer Spam  7

2.2.2.2  Spammen für überteuerte Artikel  7

2.2.2.3  Job-Spam  7

2.2.3  Kollateraler Spam  8

2.3  Entwicklung von E-Mail Spam  9

2.3.1  Quantitative Entwicklung  9

2.3.2  Entwicklung der E-Mail Spam-Arten  10

2.3.3  Entwicklung themenspezifischer Kategorien  10

2.3.4  Regionalbezogene Entwicklung  12

3  Technik  13

3.1  Entstehung und Verbreitung von Spam  13

3.1.1  Gewinnung der Adressen  13

3.1.2  Open Relays  13

3.1.3  Open Proxies  13

3.1.4  „Zombie-PCs“ und „Botnetze“  14

3.1.5  Sonstige Verbreitungswege  16

3.2  Erkennungsprinzipien  16

INHALTSVERZEICHNIS

  II  

3.2.1  Server- und clientseitige Bestimmung  16

3.2.2  Regelbasierte Erkennung  17

3.2.3  Dynamische Systeme - Bayes-Filter  17

3.2.4  Verteilte Erkennung  19

3.3  Maßnahmen zur Vermeidung von Spam  20

3.3.1  Protokollbasierte Verfahren  20

3.3.2  Whitelisting  23

3.3.3  Blacklists/ DNSBL  23

3.3.4  IP-Blacklisting mit Frequenzanalyse  24

3.3.5  Right Hand Side Blacklists  25

3.3.6  Greylisting  25

3.3.7  URIDNSBL  27

3.3.8  Filter  27

3.3.8.1  Heuristische Filter  27

3.3.8.2  Bildfilter  27

3.3.9  Robinsonlisten  28

3.3.10  Challenge-Response Verfahren  28

3.3.11  Kooperierende Maßnahmen  30

3.4  Vorbeugung: Tarnen der E-Mail Adressen  31

4  Rechtliche Situation  34

4.1  Parameter für eine Anti-Spam Gesetzgebung  34

4.2  Rechtslage in der EU  38

4.3  Rechtslage in Deutschland  40

4.4  Rechtslage in den USA  44

4.5  Rechtslage in sonstigen Ländern  46

4.6  Rechtliche Möglichkeiten gegen Spam  48

4.6.1  Einsetzbares Recht  48

4.6.2  Art der Ansprüche  48

4.6.3  Anspruchsgegner  49

4.7  Kritische Betrachtung der spambetreffenden Gesetze in Anbetracht  

  der Statistiken  52

4.7.1  Effekte des CAN-SPAM Acts und uneindeutige Statistiken  52

4.7.2  Trends und Verlagerungen  54

4.7.3  Was wird benötigt?  55

5  Ökonomische Aspekte  57

5.1  Kostenfaktoren für E-Mail Spam  57

5.2  Internationale Kostenbetrachtung  59

5.3  Spamkosten in Organisationen  61

INHALTSVERZEICHNIS

  III  

5.3.1  Spamkosten in Unternehmen  61

5.3.2  Spamkosten an einer Universität  64

5.3.3  Spamkosten bei Internet Service Providern  65

5.4  Verluste der Anwender durch besondere E-Mail Spam-Formen  65

5.4.1  Spamkosten durch „419er Spam“  65

5.4.2  Kosten durch Aktien-Spam  66

5.5  Der Profit der Spammer  67

5.6  E-Mail Spam-Kostenberechnung: Ein Praxisbeispiel  68

5.6.1  Unternehmensübersicht  68

5.6.2  Allgemeine Angaben  69

5.6.3  Kostenblöcke  69

5.6.4  Ergebnisse und Diskussion  72

6  Fazit und Ausblick  74

7  Anhang A  76

  Literaturverzeichnis  78

  Rechtsquellenverzeichnis  93

ABKÜRZUNGSVERZEICHNIS IV

Abkürzungsverzeichnis

Anz . . . . . . . . . . . . . . Anzahl

APWG . . . . . . . . . . Anti-Phishing Working Group BATV . . . . . . . . . . . Bounce Address Tag Validation BDSG . . . . . . . . . . . Bundesdatenschutzgesetz BetrVG . . . . . . . . . . Betriebsverfassungsgesetz BGB . . . . . . . . . . . . . Bürgerliches Gesetzbuch

BSI . . . . . . . . . . . . . . Bundesamt für Sicherheit in der Informationstechnik CAN-SPAM . . . . . Controlling the Assault of Non- Solicited Pornography and Marketing

CAPTCHA . . . . . . Completely Automated Public Turing test to tell Computers and Humans Apart

CGI . . . . . . . . . . . . . Common Gateway Interface CNSA . . . . . . . . . . . Contact Network of Spam enforcement Authorities DCC . . . . . . . . . . . . . Distributed Checksum Clearinghouses DDoS attack . . . . . Distributed Denial-of-Service attack DNSBL . . . . . . . . . . Domain Name System Blackhole List ESMTP . . . . . . . . . . Extended Simple Mail Transfer Protocol EWR . . . . . . . . . . . . Europäischer Wirtschaftsraum FTC . . . . . . . . . . . . . Federal Trade Commission HADEF . . . . . . . . . Heinrich de Fries GmbH I.D.I. . . . . . . . . . . . . Interessenverband Deutsches Internet ICMP . . . . . . . . . . . . Internet Control Message Protocol ICPEN . . . . . . . . . . International Consumer Protection Enforcement Network IM . . . . . . . . . . . . . . . Instant Messaging IRC . . . . . . . . . . . . . . Internet Relay Chat ISP . . . . . . . . . . . . . . Internet Service Provider ITU . . . . . . . . . . . . . Internazional Telecommunication Union LAP . . . . . . . . . . . . . London Action Plan Malware . . . . . . . . . Malicious Software MMS . . . . . . . . . . . . Multimedia Messaging Service MTA . . . . . . . . . . . . Mail Transfer Agent MUA . . . . . . . . . . . . Mail User Agent NANAS . . . . . . . . . . news.admin.net-abuse.sightings OCR . . . . . . . . . . . . . Optical Character Recognition OECD . . . . . . . . . . . Organisation for Economic Co-operation and Development RFC . . . . . . . . . . . . . Requests for Comments RHSBL . . . . . . . . . . Right Hand Side Blacklists

ABKÜRZUNGSVERZEICHNIS V

SMS . . . . . . . . . . . . . Short Message Service

SMTP . . . . . . . . . . . Simple Mail Transfer Protocol SPF . . . . . . . . . . . . . Sender Policy Framework SPIM . . . . . . . . . . . . Spam over Instant Messaging SPIT . . . . . . . . . . . . Spam over Internet Telephony StGB . . . . . . . . . . . . Strafgesetzbuch TACD . . . . . . . . . . . Trans Atlantic Consumer Dialogue TCP . . . . . . . . . . . . . Transmission Control Protocol TKG . . . . . . . . . . . . Telekommunikationsgesetz TLS . . . . . . . . . . . . . Transport Layer Security TMG . . . . . . . . . . . . Telemediengesetz UBE . . . . . . . . . . . . . Unsolicited Bulk E-Mail UCE . . . . . . . . . . . . . Unsolicited Commercial E-Mail UDP . . . . . . . . . . . . . User Datagram Protocol UKlaG . . . . . . . . . . . Unterlassungsklagengesetz

URIDNSBL . . . . . . Uniform Resource Locator Domain Name System Blackhole List UWG . . . . . . . . . . . . Gesetz gegen unlauteren Wettbewerb

TABELLENVERZEICHNIS VI

Tabellenverzeichnis

1 Länderspezifische Anti-Spam Gesetze . . . . . . . . . . . . . . . . . . 47 2 Verschiedene Marketing Medien . . . . . . . . . . . . . . . . . . . . . 67 3 E-Mail-Anwender in der HADEF GmbH . . . . . . . . . . . . . . . . 68 4 Kosten der serverbasierten Antispam-Technologie . . . . . . . . . . . 70 5 Firewall: Zugestellte und geblockte E-Mails . . . . . . . . . . . . . . . 76 6 Allgemeine Angaben zu HADEF . . . . . . . . . . . . . . . . . . . . . 76 7 Kostenblöcke durch E-Mail-Spam bei HADEF . . . . . . . . . . . . . 77

Abbildungsverzeichnis

1 Angestiegener Spamanteil . . . . . . . . . . . . . . . . . . . . . . . . 9 2 E-Mail-Spam-Themen . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3 Herkunft von E-Mail-Spam 2007 - 2008 . . . . . . . . . . . . . . . . . 12 4 Nationale Herkunft von E-Mail-Spam am 13./ 14. Sept. 2008 . . . . . 12 5 Zentralisierte Topologie (l.) und dezentralisierte Topologie (r.) . . . . 15 6 Begriffsdatenbank für den Filter . . . . . . . . . . . . . . . . . . . . . 18 7 Beispiel einer SMTP-Kommunikation mit Greylisting . . . . . . . . . 26 8 Serielle Modularisierung von Filterverfahren . . . . . . . . . . . . . . 30 9 Tarnverfahren-Ergebnisse eines neunmonatigen Feldversuchs . . . . . 33 10 Parameter für Antispam-Gesetze . . . . . . . . . . . . . . . . . . . . 38 11 E-Mail-Spam-Herkunft im internationalen Vergleich: 2004 - 2007 . . . 53 12 Spam-Kosten/ Mailbox 2005 . . . . . . . . . . . . . . . . . . . . . . . 59 13 Spam-Kostenanteil/ Einwohner 2005 . . . . . . . . . . . . . . . . . . 60 14 Spam-Kostenanteil am Bruttonationaleinkommen 2005 . . . . . . . . 60 15 Unternehmen mit typischen Spamkosten . . . . . . . . . . . . . . . . 62 16 Unternehmen mit hohen Spamkosten . . . . . . . . . . . . . . . . . . 62 17 Unternehmen mit geringen Spamkosten . . . . . . . . . . . . . . . . . 63 18 Kostenverteilung für die Anti-Spam-Maßnahmen bei HADEF . . . . . 72

1 EINLEITUNG 1

1 Einleitung

1.1 Problemstellung

E-Mail-Spam wird in den letzten Jahren zunehmend zu einem Problem für die Benutzer, die Administratoren und die Betreiber der Mailserver. Das Spam-Phänomen entwickelt sich von weltweit ursprünglich 600 Spam-E-Mails 1978 ¹ bis ca. 100 Mrd. Spam-E-Mails/ Tag im Juni 2007 ² . Seit 2005 steigt die Spammenge um 5000 % ³ . Die Spam-E-Mail-Menge nimmt anteilsmäßig zur Gesamt-E-Mail-Menge von 2001 mit 5 % auf 90-95 % für 2007 zu ⁴ . Der E-Mail-Sicherheitsdienstleister „Antispameurope“ ermittelt eine E-Mail-Spam-Quote von über 99 % für die eingegangenen E-Mails seiner Kunden im Mai 2008 ⁵ . Die E-Mail-Spam-Versendung über ferngesteuerte „ZombiePCs“, Windows-PCs, die über einen Trojaner oder Wurm mit „Backdoorkomponenten“ infiziert werden und in Botnetzwerken zusammengeschlossen auftreten, sind nach Studien die Ursache für 80 % des E-Mail-Spam-Aufkommens ⁶ . Anderen Untersuchungen zufolge sind sie der Grund für 60 % ⁷ des E-Mail-Spam. So können mit 300.000 Zombie-PCs täglich 60 Mrd. Spam-E-Mails aus dem Botnetzwerk „Srizbi“ versendet werden ⁸ .

1.2 Zielsetzung

Ausgehend von der Entwicklung des Spam-Phänomens werden die Techniken des Spammens, Erkennungskonzepte und Maßnahmen zur Vermeidung von Spam-E-Mails erläutert. Ziel dieser Arbeit ist es, insbesondere die national unterschiedlich rechtliche Situation für das Spamming darzustellen. Darüber hinaus sollen die ökonomischen Aspekte für die Prozessbeteiligten, für den Spammer, die Unternehmen oder die Administratoren aufgezeigt werden.

1.3 Aufbau der Arbeit

Nach der Darstellung der Grundlagen werden die technischen Zusammenhänge sowohl für den Prozess des Spammens als auch für den der Prävention beschrieben. Daraufhin wird die rechtliche Situation in den Ländern, die maßgeblich am Spamming beteiligt sind, dargestellt. Ein weiteres Kapitel zeigt die ökonomischen Aspekte des Spamming. Mit einem Fazit und Ausblick schließt diese Arbeit ab.

¹ Vgl. Lischka (2008).

² Vgl. Stiller (2008).

³ Vgl. Mann (2008).

⁴ Vgl. o.V. (2007a).

⁵ Vgl. o.V. (2008b).

⁶ Vgl. Kamluk (2008), S. 2 ff.

⁷ Vgl. o.V. (2005g).

⁸ Vgl. Stewart (2008).

2 GRUNDLAGEN ZU SPAM 2

2 Grundlagen zu Spam

2.1 Begriff

Definition Wird der Begriff Spam auf E-Mail angewandt, so wird er im Englischen UBE (Unsolicited Bulk E-Mail) genannt. Im Deutschen wiederum heißt dieser Ausdruck „Unverlangte Massen E-Mail“. „Massen“ heißt es, da die E-Mail mit vielen anderen E-Mails und inhaltlich mit identischem Inhalt verschickt wird. Beide Aspekte müssen gemeinsam beim Spam zutreffen: „unverlangt“ und „in Massen“. Aus technischer Sicht wird eine E-Mail als Spam bezeichnet, wenn die Identität des Empfängers und der Zusammenhang unbedeutend ist, da die Nachricht auf viele andere Empfänger zutrifft. Darüber hinaus hat der Empfänger kein nachweisliches, explizites und widerrufbares Einverständnis abgegeben, die Nachricht zu erhalten ⁹ . Eine Spam-E-Mail kann auch in ihrer Anrede personalisiert sein; dabei wird jedoch nie auf die individuellen Umstände des Adressaten eingegangen ¹⁰ . Erwünschte E-Mails werden im Vergleich zu Spam auch als Ham definiert.

Hinsichtlich des Inhalts einer Spam-E-Mail, die klassische Kennzeichen haben kann, zeigt sich mitunter das subjektive Empfinden des Empfängers, da Spam z.T. sehr persönlich formuliert sein kann und deshalb für den einen Empfänger Ham und für den anderen Spam darstellt ¹¹ .

Im juristischen Sinne ist die Definition für Spam-E-Mail bzgl. des Kontextes etwas eingeschränkter formuliert. Hier heißt es: 12

• „Werbender Inhalt mit kommerziellem Hintergrund. Nichtkommerzielle E-Mails für karitative Zwecke sind in der Regel zulässig“;

• „Unverlangte Zusendung: Keine vorherige Anforderung von Informationen durch den Empfänger“;

• „Kein bereits bestehender geschäftlicher Kontakt zwischen Versender und Empfänger“.

Demnach bezieht sich die Gesetzgebung mit wenigen Abweichungen nur auf kommerzielle Inhalte ¹³ .

Entstehung Der amerikanische Lebensmittelhersteller Hormel Foods bietet u.a. ein Konservenfleischprodukt an, das gewürztes Schweinefleisch und Schinken, also

⁹ Vgl. o.V. (o.J.g).

¹⁰ Vgl. Topf u. a. (2005), S. 38.

¹¹ Vgl. Topf u. a. (2005), S. 14.

¹² Topf u. a. (2005), S. 38.

¹³ Vgl. Topf u. a. (2005), S. 38.

2 GRUNDLAGEN ZU SPAM 3

„Spiced Pork and Ham“ enthält, in der Kurzform: SPAM; der Name hierfür entsteht 1936.

Die Bedeutung, die Spam heutzutage für die E-Mail-Benutzer hat, erlangt SPAM in einem Sketch einer englischen Comedy-Gruppe: Ein Ehepaar bestellt bei einem Kellner, der nur SPAM-Produkte anbietet. Jedesmal, wenn das Wort SPAM fällt, ertönt ein Wikinger Chor mit dem lauten Gesang im Hintergrund: „Spam, spam, spam, spam, lovely spam, wonderful spam.“ Dadurch wird jede Unterhaltung unmöglich. Später wird der Begriff Spam in Newsgroups auf das mehrmalige Online-Setzen des gleichen Beitrags übertragen; dieses wiederholte Einstellen wird Spamming genannt. Im Folgenden werden die Begriffe Spam und Spamming auf den E-Mail-Verkehr ausgeweitet ¹⁴ .

2.2 E-Mail-Spam-Kategorien

Neben E-Mail-Spam existiert u.a. noch Mobile Spam, eine Art von Spam, bei der ungebetene Angebote für kommerzielle Produkte über SMS (Short Message Service) oder MMS (Multimedia Messaging Service) verschickt werden. Mobile Spam ist im Verhältnis zu E-Mail-Spam ein Problem geringeren Umfangs, da das kommerzielle-und Dienstleistungsumfeld für handyspezifische Dienstleistungen prinzipiell resistenter gegenüber Spam ist, z.B. über Spammelde-Serviceprogramme für Kunden ¹⁵ . Wei-

tere Spamformen stellen Voice over IP Spam bzw. SPIT (Spam over Internet Telephony), Suchmaschinen-Spam, Blog-Spam ¹⁶ und SPIM (Spam over Instant Messaging) dar; auch massenhaft verschickte Faxe sind eine Form des Spammens ¹⁷ .

Im Folgenden werden die E-Mail-Spam-Kategorien betrachtet:

2.2.1 Unsolicited Bulk E-Mail

Die Merkmale einer UBE sind „Unerwünschtheit“ und „massenhafter Versand“ ¹⁸ .

UBE und Spam werden im allgemeinen synonym verwandt, obwohl Spam eine weiterreichende Bedeutung hat. Spam kommt ursprünglich im „Usenet News“ vor. Dort können E-Mails nicht angefordert oder abgelehnt werden, obwohl es einige Newsgroups explizit als Teil der Gruppencharta erlauben. Die erste Version des Berichts des Internet Mail Consortium von 1997 enthält noch den Begriff UCE (Unsolicited Commercial E-Mail), weil in den USA, in der zu jener Zeit die zentrale Diskussion über Spam entsteht, zwar kommerzielle Kommunikation gesetzlich geregelt werden kann, nicht aber politische oder religiöse. Als jedoch der internationale Umfang des

¹⁴ Vgl. Lerg (2003), S. 7.

¹⁵ Vgl. o.V. (2006d), S. 22 ff.

¹⁶ Vgl. o.V. (2006d), S. 24 f.

¹⁷ Vgl. Eibl (2007).

¹⁸ Vgl. Eggendorfer (2007b), S. 13.

2 GRUNDLAGEN ZU SPAM 4

Problems deutlich wird, wird die Terminologie in dem Bericht von UCE auf UBE geändert. Die begrenzten Möglichkeiten, Spam zu kontrollieren, was z.B. die Notwendigkeit von verschiedenen Gesetzen für politische UBE und kommerzielle UCE verdeutlicht, reflektieren regionale/ nationale Gegebenheiten ¹⁹ .

Bei der Betrachtung von UBE wird oft das „Social Engineering“ angeführt. Social Engineering wird allgemein als eine Betrugs- und Manipulationsmethode definiert, mit der private Informationen anderer Menschen erlangt werden können ²⁰ . Es gibt diverse Arten des Social Engineering: 21

• Betrügerische Mails;

• Phishing;

• Spearphishing.

2.2.1.1 Kettenbriefe und Hoaxes In Kettenbriefen in Form einer E-Mail werden Empfänger aufgefordert, die Mitteilung an viele Bekannte weiterzuleiten. Den Empfänger würden als Belohnung Glück in diversen Lebenssituationen und Pech bei Nichtweiterleitung erwarten ²² .

Hoax ist die englische Bezeichnung für „Schabernack“ ²³ . Dies sind Kettenbriefe bzw.

-mails, die als Falschmeldungen vor neuen Gefahren wie Viren im Internet warnen oder auch Petitionen z.B. für eine Knochenmarkspende für einen Leukämiekranken enthalten ²⁴ . Die Folgen von letztgenannten Hoaxes können unzählige Anrufe bei

dem Betroffenen sein, dessen Kontaktdaten in der E-Mail genannt sind und der oft nichts von seiner Krankheit weiß.

2.2.1.2 Scam In Scam-Mails, insbesondere den 419er-Spam-E-Mails, die auch Nigeria-Spam genannt werden, nutzt der Spammer die Leichtgläubigkeit der Opfer in Verbindung mit der Gier nach schnellem Reichtum aus ²⁵ . Dabei wird dem

E-Mail-Empfänger eine Geschichte beschrieben, die von Bankgeschäften, Toten ohne Erben, Lottogewinnen u.a. handelt. Das Prinzip ist immer, dass eine finanzielle Hilfe benötigt wird, um die großen beschriebenen Beträge transferieren zu können und dem Opfer die hohen zugesagten Gelder auszahlen zu können. Folgt ein Opfer den Anweisungen in den E-Mails, wird er schrittweise betrogen. Dabei müssen z.B. immer wieder erfundene Rechnungen beglichen werden ²⁶ .

¹⁹ Vgl. Hoffman (1997).

²⁰ Vgl. o.V. (o.J.s).

²¹ Vgl. o.V. (2007h).

²² Vgl. Eggendorfer (2007b), S. 13.

²³ Vgl. Eggendorfer (2007b), S. 13.

²⁴ Vgl. Ziemann (2002).

²⁵ Vgl. Eggendorfer (2007b), S. 15.

²⁶ Vgl. o.V. (o.J.x).

2 GRUNDLAGEN ZU SPAM 5

Wird das Geld vom Opfer bezahlt, ist das Geld verloren, und der betrügende Geschäftspartner mit den hohen zugesagten Prämien ist nicht mehr erreichbar ²⁷ . Der Nigeria-Spam stammt ursprünglich aus Nigeria, wo der oben beschriebene „Vorausbetrug“ nach dem 419er Paragraphen strafbar ist ²⁸ . Nach den Statistiken der Firma Ultrascan, die das Phänomen des Nigeria-Spam seit 1996 untersucht, gibt es 2007 weltweit 300.000 Betrüger in 70 Ländern. Dies sind 3 % mehr als 2006. 250.000 Spammer stammen dabei aus Nigeria ²⁹ .

2.2.1.3 Phishing und Spearphishing Mit Phishing E-Mails werden Internetbenutzer auf präparierte Webseiten geführt, auf denen vertrauliche Zugangsinformationen wie Zugangsdaten für das Online-Banking abgefragt werden, die die Spammer abfangen und nutzen, um Geld von dem Bankkonto des Opfers auf ein Konto ihrer Geldkuriere zu transferieren ³⁰ .

Die präparierten Webseiten imitieren die Webseiten der Geschäftspartner der Opfer. Es sind meistens Banken, etwas seltener das Auktionshaus „Ebay“ und elektronische Versandhäuser ³¹ .

Das „PH“ in dem Begriff Phishing hat seinen Ursprung im „Phreakerkreis“, in dem „Telekommunikations-Hacker“ mit „Tonfrequenz-Hacks“ bzw. „Blue Boxing“ Aufsehen im amerikanischen Telefonnetz „Ma Bell“ zwischen dem Jahr 1960 und 1990 erregen. Die Ähnlichkeit zum Phishing besteht darin, dass Phreaken grundsätzlich eine Irreführung des Operators ist ³² .

Spearphishing meint, dass eine persönlich scheinende Spam-E-Mail an einen konkreten Adressatenkreis, z.B. Angestellte eines Unternehmens geschickt wird. In dieser E-Mail zeigt sich der Spammer beispielsweise als IT-Leiter, der Kennwörter abfragt oder den empfangenden PCs Malware wie Trojaner oder einen Virus übermittelt ³³ .

2.2.1.4 Malware Malware (Malicious Software) ist im allgemeinen eine Software, die in einem Informationssystem installiert wird, um dort oder auf anderen Systemen Schaden zu verursachen oder den Nutzen der Systeme anders auszurichten als es der Besitzer beabsichtigt ³⁴ . Dabei definiert die OECD (Organisation for Economic Co-operation and Development) ³⁵ 1992 in ihren „Richtlinien für die Sicherheit von Informationssystemen“ ein Informationssystem als Computer, Kommunikationsmittel, Computer- und Kommunikationsnetzwerke, Daten und Informationen,

²⁷ Vgl. o.V. (o.J.x).

²⁸ Vgl. o.V. (2008p).

²⁹ Vgl. o.V. (2008a), S. 1 ff.

³⁰ Vgl. o.V. (o.J.q).

³¹ Vgl. o.V. (o.J.r).

³² Vgl. Schultz (2006).

³³ Vgl. o.V. (2007h).

³⁴ Vgl. o.V. (2008g), S. 10.

³⁵ zu Dt.: Organisation für wirtschaftliche Zusammenarbeit und Entwicklung

2 GRUNDLAGEN ZU SPAM 6

die gelagert, verarbeitet, abgefragt oder übertragen werden können, einschließlich Programme, Spezifikationen und Verfahren für ihre Prozesse, ihr Nutzen und Erhaltung ³⁶ .

Viele Typen von Malware, wie Viren oder Trojaner erfordern vom Internetbenutzer eine interaktive Handlung, z.B. das Klicken eines Links in einer E-Mail oder das Öffnen einer Anlage, damit sich diese installiert.

Mit Social Engineering, dem derartigen Verfälschen einer E-Mail, dass diese wie eine E-Mail eines rechtmäßigen Unternehmens erscheint, und dem anschließenden Verschicken, kann erreicht werden, dass der E-Mail-Empfänger einen schädlichen Link klickt oder Malware herunterlädt ³⁷ .

Über Malware kann ein Fernzugriff auf ein Informationssystem erlangt werden, wobei Daten dort gespeichert und von diesem System zu einem dritten System gesendet werden können. Dabei weiß der Systembenutzer nicht, dass sein System angegriffen wird oder die System- und Datenintegrität beeinträchtigt werden und Sicherheitseinstellungen deaktiviert werden ³⁸ .

Mit Malware können so Vertraulichkeit, Integrität und Verfügbarkeit eines Informationssystems und Netzwerke unterwandert werden ³⁹ .

Es werden die folgenden Malwareformen unterschieden: „Virus“, „Würmer“, „Trojanische Pferde“, „Hintertüren“ („Backdoors“), „Tasten-Rekorder“ („Keystroke Loggers“), „Administratorenbausätze“ („Rootkits“) und „Spionageprogramme“ („Spyware“).

2.2.1.5 Joe Jobs Spammer machen es sich insbesondere zu Nutze, dass E-Mails von einem anderen Absender gesendet werden können. Auf diese Weise können sie E-Mails im Namen von Firmen verschicken, so dass sich die Empfänger von den unwissenden Firmen belästigt fühlen und eventuell gegen diese oder ihre Provider etwas unternehmen ⁴⁰ .

Der Name stammt von einem bekannt gewordenen Ereignis aus dem März 1997, als Joe Doll, ein Betreiber eines Portals für kostenlose Webseiten, einen Spammer aus seinem System entfernt. Dieser Spammer fälscht E-Mails an andere Nutzer, so dass diese sich mit Beschwerden in Form von E-Mail, Anpingen und anderen Angriffen an joes.com rächen und sein System für zehn Tage funktionsunfähig machen ⁴¹ . Letztere Art der Sabotage wird auch als DDoS attack (Distributed Denial-of-Service attack) bezeichnet ⁴² .

³⁶ Vgl. o.V. (1998).

³⁷ Vgl. o.V. (2008g), S. 12.

³⁸ Vgl. o.V. (2008g), S. 10.

³⁹ Vgl. o.V. (2008g), S. 14.

⁴⁰ Vgl. Topf u. a. (2005), S. 15.

⁴¹ Vgl. Doll (o.J.).

⁴² Vgl. Topf u. a. (2005), S. 16.

2 GRUNDLAGEN ZU SPAM 7

2.2.2 Unsolicited Commercial E-Mail

E-Mails mit kommerziellen Inhalten, die unverlangt oder von einem vorliegenden Geschäftsverhältnis unberührt verschickt werden, werden UCE genannt ⁴³ . UCEs

werden meist von Spammern geschickt, die Provisionen von den Werbefirmen bekommen ⁴⁴ . Folgende Formen der UCE lassen sich unterscheiden:

2.2.2.1 Betrügerischer Spam Aktien- bzw. Börsen-Spam kann zum einen als Scam und zum anderen auch als eine Form des Betrugs betrachtet werden, da der Spammer den Aktienkurs durch wahrscheinliche Zukäufe der Spamopfer, aufgrund von gefälschten positiv formulierten Meldungen für die vor dem Konkurs stehenden Unternehmen, in die Höhe treiben möchte, nachdem er zuvor die Aktien gekauft hat. Steigt der Aktienwert bis zum Limit des Spammers, so verkauft er die Aktien mit Gewinn ⁴⁵ . Dabei handeln die Spammer besonders „Pennystocks“, da der Markteinfluss

eines Kaufs durch einen Individualanleger bei einer geringen Liquidiät besonders hoch ist. Dies zeigen auch Tests einer Studie der Universitäten Dresden und Mannheim im April 2006, bei der die Marktaktivität für Pennystocks gemessen wirdzum einen für Spam beworbene Aktien und zum anderen für nicht beworbene ⁴⁶ .

2.2.2.2 Spammen für überteuerte Artikel Bei dieser Form von E-Mail-Spam wird für diverse Artikel wie z.B. Warnwesten im Zusammenhang mit einer 2004 eingeführten verkehrstechnischen Richtlinie oder Medikamente, die nicht frei verkäuflich sind oder noch nicht zugelassen sind, geworben. Dabei sind die Preise im Vergleich zu Marktpreisen sehr überhöht. Eine weitere genutzte Kategorie stellt Software dar, wobei entweder veraltete Versionen zu Marktpreisen der neuen Versionen oder Raubkopien zu etwas geringeren Preisen als die Originalversion, aber als solche, beworben werden ⁴⁷ .

2.2.2.3 Job-Spam Ziel des Spammers ist es, über den neuen zu werbenden „Angestellten“ einen Geldempfänger bzw. Mittelsmann für Scheinbestellungen zu haben, der dann das Geld vom vermeintlichen Spamopfer auf ein Firmenkonto überweist. Hierbei fällt für den Mittelsmann eine Provision an. Dafür werden in E-Mails Stellenanzeigen versendet. Die Stellenbeschreibungen liegen oftmals völlig unter den

⁴³ Vgl. Karge u. a. (2006), S. 5.

⁴⁴ Vgl. Schryen (2007), S. 13.

⁴⁵ Vgl. Eggendorfer (2007b), S. 17 f.

⁴⁶ Vgl. Böhme und Holz (2006), S. 7 f.

⁴⁷ Vgl. Eggendorfer (2007b), S. 21 f.

2 GRUNDLAGEN ZU SPAM 8

üblichen Anforderungen für diesen Typ von Stelle. So wird beispielsweise für den „Financial Manager Europe“ nur die Möglichkeit zum Online Banking erwartet ⁴⁸ .

Der jeweilige Bewerber macht sich bei seiner Tätigkeit für den Spammer der Beihilfe zum Computerbetrug schuldig und ist schadenersatzpflichtig ⁴⁹ .

2.2.3 Kollateraler Spam

Kollaterale E-Mails sind Spam-E-Mails, die als Antwort auf entgegengenommene E-Mails erstellt und an eine außenstehende dritte Partei geschickt werden. Hauptursache für kollateralen Spam sind Malware- oder Spam-E-Mails mit manipulierten Absenderadressen. Über die folgenden drei Vorgehensweisen kann es zu dieser Form von Spam kommen: 50,51

1. Die gefälschte Absenderadresse des vermeintlichen Dritten in der E-Mail, führt bei nicht existierender Empfängeradresse je nach Konfiguration des Servers zur E-Mail-Annahme durch selbigen und dann zum Senden der „Unzustellbarkeitsnachricht“ an den Dritten.

2. Neben der automatischen Erzeugung der E-Mail-Antworten durch den MTA (Mail Transfer Agent) können Antworten auch einzeln und individuell gezielt von den Empfängern erzeugt werden, die sich der gefälschten Absenderadresse, beispielsweise beim Verschicken ihrer Beschwerde-E-Mails, unbewusst sind.

3. Abwesendheitsnachrichten als „Autoresponder“ können auch häufig zu kollateralen Spam führen.

⁴⁸ Vgl. Eggendorfer (2007b), S. 23 f.

⁴⁹ Vgl. AG Hamm, Urteil vom 05.09.2005, Az: 10 Ds 101 Js 244/05-1324/05, url: http://www.aufrecht.de/urteile/delikt-strafr/beihilfe-zum-computerbetrug-bei-phishing-ag-hamm-urteil-vom-050905-az-10-ds-html und Urteil des AG Überlingen, Az: 1 Cs 26466/05 AK

183/06, url: http://www.jurpc.de/ aufsatz/20060108.htm

⁵⁰ Vgl. Topf u. a. (2005), S. 16.

⁵¹ Vgl. o.V. (o.J.m).

2 GRUNDLAGEN ZU SPAM 9

2.3 Entwicklung von E-Mail-Spam

2.3.1 Quantitative Entwicklung

Bei einer Gesamtbetrachtung des E-Mail-Verkehrs hat der Anteil von Spam-E-Mails in den letzten Jahren überproportional steigend zugenommen. Vgl. Abbildung 1. Dabei ist es kaum möglich, allgemein gültige und konkrete Aussagen über den Anteil von Spam-E-Mails zu machen, da die Statistiken einzelner Dienstleister wie z.B. MessageLabs oder Barracuda Networks auf jeweils unterschiedlichen Daten basieren ⁵² . Barracuda Networks verzeichnet bei seinen Messungen von täglich über einer Mrd. E-Mails seiner Kunden einen Anteil von Spam-E-Mails, der von 2001 mit 5 % auf 90-95 % für 2007 gestiegen ist ⁵³ .

Der Anti-Spam und Anti-Virus Dienstleister MessageLabs kann mit seinen Messungen den Spamtrend von Barracuda Networks bestätigen. Für 2007 liegen sie unter den Ergebnissen von Barracuda Networks. So ermittelt MessageLabs für 2006 ca. 86,2 % und für 2007 eine Rate 84,6 % ⁵⁵ . Im Mai 2008 liegt der Wert bei 82,2 %. Die Statistiken basieren auf der täglichen Überprüfung von 2,5 Mrd. E-Mail Verbindungen und 1 Mrd. Webseitenaufrufe seiner 18.000 Kunden in 86 Ländern ⁵⁶ . Das Kontrollieren von über ca. 95 Mio. E-Mails stündlich von Barracuda Networks ergibt für die letzten 24 Std. des 3. Sept. 2008 ohne die Berücksichtigung der ge-

⁵² Vgl.Aycock, J., zitiert nach Cheng (2007).

⁵³ Vgl. o.V. (2007a).

⁵⁴ Vgl. Barracuda Networks, o.V. (2007a), in Anlehnung an Asay, M. Asay (2007).

⁵⁵ Vgl. o.V. (2007c), S. 5.

⁵⁶ Vgl. o.V. (2008h), S. 8 ff.

2 GRUNDLAGEN ZU SPAM 10

blockten vireninfizierten E-Mails eine Durchschnitt-Spam-E-Mail-Rate von 91,99 % und zeigen deutlich das Anhalten des Trends ⁵⁷ .

Der steigende E-Mail-Spam-Anteil lässt sich auf die neue Vorgehensweise der Spammer zurückführen ⁵⁸ (s.u.). Dies zeigt sich auch in der Zunahme der Spam-E-Mails neuerer Art. Diese sind von 63,4 % 2006 auf 73,9 % 2007 angestiegen ⁵⁹ .

2.3.2 Entwicklung der E-Mail-Spam-Arten

Seit 2005 setzen Spammer aufgrund leistungsfähigerer Spamfilter vermehrt Bilder statt Text in ihren E-Mails ein ⁶⁰ . Diese Spamform beobachtet auch MessageLabs 2007, als der Spam-E-Mail-Anteil mit Bild als Anlage bei bis zu 20 % liegt. Der Sicherheitssoftwareanbieter Symantec schätzt in seinem monatlichen Bericht „The State of Spam“ einen Spitzenwert von 52 % für „Bildanlagen-Spam“ für Anfang 2007, der bis zur Mitte 2007 auf 8 % zu Gunsten von „pdf-Anlagen-Spam“ zurückgeht ⁶¹ . Diese Berichte umfassen die Daten eines monatlichen Zeitraumes, der am 25. des jeweiligen Monats vor der Berichtserscheinung endet ⁶² . Im Juni 2007 erkennt MessageLabs die ersten Spam-E-Mails mit pdf-Anlagen. Im Oktober folgen Spam-E-Mails mit mp3-Anlagen, die Werbebotschaften enthalten ⁶³ . Im Mai 2008 entdeckt MessageLabs Links in Spam-E-Mails, die auf Dokumente im doc-Format auf der Google-Plattform verweisen. So nutzen Spammer zum einen Google, um die E-Mails mit den Google-Links an den traditionellen Spamfiltern vorbeizusenden und zum anderen können sie ihren Erfolg über Google Analytics messen. Ähnlich verfahren Spammer bei SkyDrive, dem Onlinedateispeicher Microsofts, auf dem HTML-Dokumente mit Links per Weiterleitung zu den Webseiten der Spammer platziert werden ⁶⁴ .

2.3.3 Entwicklung themenspezifischer Kategorien

Symantec differenziert in seinen monatlichen Spamberichten zwischen den folgenden Themen:

• Waren (Products): Z.B. Geräte, Ermittlungsdienste, Kleidung oder Makeup;

• Artikel und Dienstleistungen für Erwachsene über 18 Jahre (Adult): z.B. Pornographie oder Beziehungsratgeber;

⁵⁷ Vgl. o.V. (2008e).

⁵⁸ Vgl. o.V. (2008c).

⁵⁹ Vgl. o.V. (2007c), S. 5.

⁶⁰ Vgl. o.V. (2008l).

⁶¹ Vgl. o.V. (2007f), S. 7.

⁶² Vgl. E-Mail von Dermot Harnett, Symantec, Harnett (2008a).

⁶³ Vgl. o.V. (2007c), S. 7.

⁶⁴ Vgl. o.V. (2008h), S. 2 f.

2 GRUNDLAGEN ZU SPAM 11

• Angebote im Finanzenbereich, Aktienmarkt (Financial): z.B. Anlagengüter, Darlehen oder Grundbesitz;

• Betrügerische E-Mails (Scam): Absichtlich irreführende E-Mails oder für betrügerische Handlungen seitens des Senders bekannte E-Mails, z.B. Nigeria-Anlagen;

• Gesundheit (Health): Werbung für gesundheitsbezogene Produkte und Dienstleistungen, z.B. Medikamente oder Kräuterheilmittel;

• Täuschung/ Betrug (Fraud), z.B. Phishing zur Bankkontobenachrichtigung;

• Freizeit (Leisure), z.B. Urlaubsangebote, Online Casino oder Spiele;

• Internetbezogene Angebote wie z.B. Webhosting, Webdesign oder Spamware.

In Symantecs Berichten „The State of Spam“, die nach Auskunft von Dermot Harnett, Antispamexperte bei Symantec, auf der Auswertung ihres Testnetzwerkes mit

zwei Millionen E-Mail-Accounts weltweit beruhen ⁶⁵ , zeigt sich, dass sich die Themenschwerpunkte der Spam-E-Mails in den letzten beiden Jahren etwas verschieben (Vgl. Abbildung 2). Von 2007 zu 2008 hat sich der thematische Schwerpunkt bei den Spam-E-Mails in den Monaten Juni bis August von dem Waren- (28 %) auf den Internet- (27 %), Gesundheit- (17 %) und Finanzbereich (17 %) verlagert.

⁶⁵ Vgl. Telefonische Mitteilung von Harnett, D., Symantec, Harnett (2008c).

⁶⁶ in Anlehnung an Symantec: o.V. (2008n); o.V. (2007f); o.V. (2007g); o.V. (2008o).

2 GRUNDLAGEN ZU SPAM 12

2.3.4 Regionalbezogene Entwicklung

Nach Symantecs Statistiken stammen 2008 ein Drittel aller Spam-E-Mails für den Zeitraum Juni bis August aus den USA. Tendenziell ist der Spamanteil in Europa, Australien, Ozeanien und Afrika um jene 10 % gestiegen, die die USA von 2007 zu 2008 verloren haben. Vgl. Abbildung 3.

Abbildung 4 zeigt, dass E-Mail-Spam, national betrachtet, weiterhin vorwiegend von den USA ausgeht. Die Daten für dieses Diagramm entstammen den Messungen Barracuda Networks über 24 Stunden vom 13.09. auf den 14.09.2008. Als „Momentaufnahme“ zeigen sie deutlich die regionale Konzentration in den USA.

Abbildung 4: Nationale Herkunft von E-Mail-Spam am 13./14. Sept. 2008 68

⁶⁷ in Anlehnung an Symantec: o.V. (2008n); o.V. (2007f); Vgl. E-Mail von Harnett, D., Symantec, Harnett (2008b).

⁶⁸ in Anlehnung an Barracuda Networks: o.V. (2008k).

3 TECHNIK 13

3 Technik

3.1 Entstehung und Verbreitung von Spam

3.1.1 Gewinnung der Adressen

Spammer gelangen über unterschiedliche Wege an die E-Mail-Adressen:

• „Harvester“-Programme, im Folgenden als Harvester bezeichnet, werden genutzt, um Adressen auf Internetseiten, in Newsgroups oder in Chatbereichen zu sammeln ⁶⁹ .

• Der Spammer kann Adressen aus E-Mail-Programmen des Opfers bei vireninfizierten Systemen verwenden ⁷⁰ .

• Oft werden Adresssammlungen aus rechtlich korrekt erhobenen Datenbeständen gesetzwidrig weitervermittelt und zum Spammen missbraucht ⁷¹ .

• E-Mail-Adressen werden mit Hilfe von Wörterbüchern oder Vornamen erzeugt. Eine andere Methode besteht in „brute force attacks“, wobei jede denkbare Zeichenfolge als E-Mail-Adresse genutzt wird. Die erstellten Adressen werden an Mailservern auf Funktionstüchtigkeit getestet ⁷² .

3.1.2 Open Relays

Verbreitungswege für E-Mail-Spam sind „Open Relays“. Dieses sind Mailserver, die aus jeder Domain E-Mails in andere senden können. Der Vorteil besteht darin, dass vom Absender ein Mailserver einer fremden Domain für den Versand gewählt werden kann, wenn der eigene nicht erreichbar ist. Während dieses Konzept noch bis in die 1990er Jahre genutzt wird, sind die „Open Relays“ inzwischen aufgrund der Missbrauchgefahr kaum noch im Einsatz. Durch eine falsche Serverkonfiguration können sie sich dennoch ergeben ⁷³ .

3.1.3 Open Proxies

Über inkorrekt eingestellte Proxies, die von außerhalb des eigenen Netzwerkes erreicht und verwendet werden können, kann Spam verbreitet werden. Dabei werden die „Received from“ Informationen hinsichtlich der Spamquelle nicht übermittelt.

⁶⁹ Vgl. Topf u. a. (2005), S. 27.

⁷⁰ Vgl. Topf u. a. (2005), S. 27.

⁷¹ Vgl. Karge u. a. (2006), S. 6.

⁷² Vgl. Topf u. a. (2005), S. 27.

⁷³ Vgl. Topf u. a. (2005), S. 24 f.