INHALTSVERZEICHNIS I

INHALT   

INHALT   I

ABBILDUNGEN.   IV

ABK  ÜRZUNGEN  V

I  EINLEITUNG.  1

II  GRUNDLAGEN ZU SPAM  4

1  DEFINITION UND KATEGORISIERUNG DES BEGRIFFS SPAM.  4

1.1  Spam im Email-Verkehr  4

1.2  Mißbrauch des Usenets für Massennachrichten  6

1.3  Weitere Formen von elektronischem Werbemüll.  8

2  URSACHEN FÜR DEN VERSAND VON UNERWÜNSCHTEN MASSEN-EMAILS  10

2.1  Vorteile der Email als kommerzielles Kommunikationsmittel  10

2.2  Faktoren für den Versand von nicht angeforderten Massenmails  11

3  GRUNDLEGENDE ARBEITSMETHODEN VON SPAMMERN  13

3.1  Herkunft der Adreßbestände von Massenversendern.  13

3.1.1  Handel mit Adreßdatenbanken.  13

3.1.2  Beschaffung von Email-Adressen im WWW und in Usenet-Foren  14

3.1.3  Wörterbuch-Attacken auf Mailserver  18

3.1.4  Sonstige Möglichkeiten der Adreßermittlung.  20

3.2  Verbreitung von Massenmails über das Internet  21

3.2.1  Grundlagen und Aufbau von elektronischen Nachrichten  21

3.2.2  Verbreitung von Massen-Emails über offene Relays  25

3.2.3  Programme zum Email-Massenversand.  29

III  PROBLEMATIK VON SPAM.  32

1  SCHADEN AUS SICHT VON PRIVATEN EMAIL-ENDNUTZERN.  33

2  KOSTEN UND PROBLEME FÜR UNTERNEHMEN.  37

3  KOSTEN UND PROBLEME FÜR INTERNET SERVICE PROVIDER  40

IV  TECHNISCHE MAßNAHMEN ZUR SPA-MBEKÄMPFUNG.  43

1  KONFIGURATION VON MAILSERVERN ZUR VERMEIDUNG VON UBE.  43

1.1  Straffe MTA-Konfiguration zur Schließung offener Relays und Eindämmung  

von  UBE  43

1.2  Problemlösung für offene Proxies  48

1.3  Konfiguration von Mailservern mit SMTP-Auth und POP-before-SMTP  49

1.3.1  POP-before-SMTP.  49

1.3.2  SMTP-Auth  50

INHALTSVERZEICHNIS II

1.4  Teergruben zur Verzögerung des Email-Empfangs.  51

2  GRUNDLAGEN ZU FILTERMETHODEN UND TEXTKLASSIFIZIERUNG.  52

2.1  Regelbasierte Filtermethoden.  52

2.2  Statistische Ansätze zur Email-Filterung.  55

2.3  Email-Filter auf Basis von Peer-to-Peer-Netzwerken (Collaborative Filtering)  59

3  REALTIME BLACKHOLE LISTS (RBLS)  60

4  ALTERNATIVE ANSÄTZE ZUR VERMEIDUNG VON SPAM  64

4.1  Projekt Lumos.  64

4.2  Auf vorheriger Akzeptanz des Absenders basierende Filterung.  65

4.3  Kostenverrechnung für Unterbrechungen (Interrupt rights)  66

4.4  SpamCop.net.  68

5  ANTI-SPAM SOFTWARE  69

5.1  SpamAssassin.  70

5.2  SpamEater  73

5.3  SpamNet  74

5.4  Spamihilator  76

5.5  SpamPal  79

5.6  Zusammenfassung.  80

6  ANTI-SPAM LÖSUNGEN BEI EMAIL-DIENSTLEISTERN  81

6.1  GMX.  82

6.2  AOL.  83

7  VERHALTENSEMPFEHLUNGEN ZUR VORBEUGUNG UND GEGENWEHR  85

7.1  Vorbeugende Maßnahmen  85

7.1.1  Schutz der Emailadresse im Internet  85

7.1.2  Weitere Vorsorgeempfehlungen.  87

7.2  Rückverfolgung des Absenders und anschließende Beschwerde  88

7.2.1  Headeranalyse zur Rückverfolgung des Absenders  88

7.2.2  Hilfreiche Werkzeuge für die Headeranalyse.  90

7.2.3  Beschwerde bei verantwortlichen Servern  91

V  ANTI-SPAM-INITIATIVEN UND PERMISSION-MARKETING.  94

1  ARBEITSGRUPPEN UND INITIATIVEN ZUR SPA-MPROBLEMATIK  94

1.1  Internet-basierte Initiativen  94

1.2  Anti-Spam Arbeitsgruppen  96

1.3  Initiativen auf Verbandsebene in Deutschland  98

2  PERMISSION MARKETING ALS VORSTOß DER MARKETING-INDUSTRIE.  99

VI  RECHTSGRUNDLAGEN ZUM VERSAND VON SPAM  101

1  AKTUELLE RECHTSLAGE ZUM VERSAND VON UNERWÜNSCHTEN EMAILS.  101

2  WICHTIGE DEUTSCHE GERICHTSENTSCHEIDUNGEN ZU SPAM  103

INHALTSVERZEICHNIS III

2.1  Landgericht Traunstein - Wettbewerber gegen Spammer  103

2.2  Landgericht Berlin - Gewerbetreibender gegen Spammer  104

2.3  Landgericht Berlin - Privatnutzer gegen Spammer.  104

2.4  Amtsgericht Dachau - Schadensersatz zwischen Wettbewerbern.  105

2.5  Aktuelle Entscheidungen der Oberlandesgerichte Koblenz und Düsseldorf.  106

3  RECHTSLAGE IN DER EUROPÄISCHEN UNION  106

4  RECHTSLAGE IN DEN USA  108

VII  MAßNAHMEN DES RECHENZENTRUMS DER UNIVERSITÄT  

PASSAU   111

1  TECHNISCHE ANTI-SPAM-MAßNAHMEN DES RECHENZENTRUMS  111

1.1  Aufbau und Funktion der Email-Klassifizierung an zentralen Mailservern  111

1.2  Konfiguration der Mail-Relays des Rechenzentrums  116

2  RECHTLICHE VORRAUSSETZUNGEN FÜR DIE ZENTRALE FILTERUNG VON  

EMAILS  IN HOCHSCHULRECHENZENTREN  117

2.1  Rechtslage beim Scannen der Emails durch entsprechende  Filterprogramme117

2.2  Rechtslage für Löschung der als Spam klassifizierten Emails.  118

2.3  Rechtslage bei Blockierung über Realtime Blackhole Lists (RBLs)  119

2.4  Rechtslage für die Markierung von klassifizierten Emails  119

VIII  SCHLUßBETRACHTUNG  121

IX  ANHANG.  VIII

LITERATURVERZEICHNIS   XII

ABBILDUNGSVERZEICHNIS   

ABBILDUNGEN   

ABBILDUNG  II-1 SPAM CATEGORY DATA MAI 2003  

ABBILDUNG  II-2 ABHÄNGIGKEIT VON EINKOMMEN UND EMAIL-NUTZUNG  

ABBILDUNG  II-3 KOSTEN PRO NACHRICHT 2001 (US- )  

ABBILDUNG  II-4 DIREKTER DOWNLOAD VERSCHIEDENER ZIELGRUPPENLISTEN  

ABBILDUNG  II-5 EMAIL HARVESTER SOFTWARE-ROBOTER - HAUPTMENÜ UND  

REGELDEFINITION   

ABBILDUNG  II-6 ANZAHL EMPFANGENER SPA-MMAILS JE NACH VERÖFFENTLICHUNG  

DER  EMAIL-ADRESSE  

ABBILDUNG  II-7 ÜBERTRAGUNG VON EMAILS ÜBER DAS MTS  

ABBILDUNG  II-8 TAXONOMY OF SENDING SPAM MAIL  

ABBILDUNG  II-9 WEITERLEITUNG VON DATEN INS INTERNET ODER LAN DURCH  

SCHLECHT  KONFIGURIERTEN PROXY  

ABBILDUNG  II-10 SOCKS PROXY SCANNER UND HTML PROXY TESTER (PROXYBENCH)  

ABBILDUNG  II-11 INFINITYMAILER 3.2 - MENÜS „ABSENDERKENNUNG“ „OPTIONEN“  

ABBILDUNG  III-1 SPAM AKTIVITÄT ZWISCHEN JANUAR 2002 UND JUNI 2003  

ABBILDUNG  III-2 SÄTTIGUNGSGRAD IM ZEITABLAUF  

ABBILDUNG  III-3 ANTEILE KOSTENVERURSACHENDER FAKTOREN  

ABBILDUNG  III-4 WER SOLLTE SPAM PRIMÄR BEKÄMPFEN ODER REGULIEREN?  

ABBILDUNG  IV-1 MAXIMALGRENZEN FÜR AKZEPTANZ ODER LÖSCHUNG EINER MAIL  

ABBILDUNG  IV-2 ANZAHL EINGETRAGENER OPEN RELAYS BEI ORDB (SEIT BEGINN)  

ABBILDUNG  IV-3 EMAIL-SYSTEM MIT GEBÜHRENEINLAGERUNG (BONDING SYSTEM)  

ABBILDUNG  IV-4 PROCMAIL ALS FILTER ZWISCHEN MTA UND MUA  

ABBILDUNG  IV-5 BILDSCHIRMANSICHT DER FILTEREINSTELLUNGEN - HIER DER REITER  

„PROPER  FORM“  

ABBILDUNG  IV-6 ARBEITSSCHRITTE BEIM ANTI-SPAM-AGENTEN (SPAMNET)  

ABBILDUNG  IV-7 BUTTON-LEISTE UND „SPAM“-ORDNER VON SPAMNET IN OUTLOOK  

ABBILDUNG  IV-8 TRAININGSBEREICH DES LERNENDEN FILTERS  

ABBILDUNG  IV-9 EINSTELLUNGSMENÜ - REIHENFOLGE DER NEUN FILTERREGELN  

ABBILDUNG  IV-10 EMAIL-TRANSFER MIT UND OHNE SPAMPAL  

ABBILDUNG  VII-1 ANTI-SPAM-KONFIGURATION DES ZENTRALEN MAILSYSTEMS DER  

UNIVERSIT  ÄT PASSAU  

ABKÜRZUNGEN

Abs. Absatz

ACLU American Civil Liberties Union

ACM

AG

AIM

AOL

APNIC Asia Pacific Network Information Centre

ARIN

ARPANet

Art.

ASCII

ASP

ASRG

Az.

BGB Bürgerliches Gesetzbuch

BI Breidbard Index

BTX Bildschirmtext

c’t

CAUCE

CD

CD-ROM

CDT

CGI

CIA

CPU

DCC

DFN

Diss.

DNS

DSL

ECard

ECP

EDV

EMP

ESP

EU

FAQ

FQDN

FTC

FTP File Transfer Protocol

ggf.

GMX

G-WiN

HMS

HTML

HTTP

ICOIN

ICQ

ID

IDC

IDI

IETF

IMAP

IMC

IP Internet Protocol

IRC

ISP

IT

iX

Kap.

KB

LACNIC Latin America Information Centre

LAN Local Area Network

LG

LMTP

LNCS

MAPI

MB

MDA

MIME

Mio.

MIT

MSN

MTA

MTS

MUA

MX

NNTP

NT

o.J.

o.V.

OECD

OLG

ORDB

P2P

POP Post Office Protocol

RBL Realtime Blackhole List

RFC

RIPE

ROKSO

SASL

SLD Sub Level Domain

SMS

SMTP

SOCKS

SSL

StGB

TCP/IP

TDDSG

TKG

TLD

TSL

UBE

UCE Unsolicited Commercial Email

URL Uniform Resource Locator

UWG

V.

v.a. vor allem

vgl. vergleiche

wg. wegen

WLAN

WSP Wireless Service Provider

WWW World Wide Web

z.Zt. zur Zeit

ZPO Zivilprozeßordnung

I EINLEITUNG 1

I EINLEITUNG

„The Internet relies on the cooperative use of private

resources. Sending email is a privilege, not a right.“ 1

Der kommerzielle Durchbruch des Internets Mitte der neunziger Jahre brachte zahlreiche Fortschritte und Veränderungen für die zwischenmenschliche Kommunikation. Nach der erfolgreichen Einführung von Technologien wie Telefax und Mobilfunk hat sich mittlerweile auch Electronic Mail (Email) als weltweites elektronisches Kommunikationsmittel durchgesetzt. Es wurde in den siebziger Jahren nach Telnet und FTP als weiterer Dienst für das frühere nordamerikanische Forschungsnetz ARPANet entwickelt. Durch Email wurde für die Teilnehmer des neuartigen ‚Internets’ eine effiziente und persönliche Verständigung möglich, die mittlerweile große Teile des herkömmlichen Postverkehrs ersetzt hat. ² Allein für Europa wurde die Zahl der bestehenden Email-Konten im Sommer 2001 auf 201 Millionen geschätzt ³ , wobei eine Studie des Marktforschers IDC im Jahr 2005 die Milliardengrenze überschritten sieht. ⁴ Damit ist Email der mit Abstand meistgenutzte Dienst im heutigen Internet.

Doch geringe Versandkosten, hohe Geschwindigkeit und bequeme und papierfreie Nutzung brachten auch eine unangenehme Nebenwirkung mit sich: Von der ersten Testversion des Email-Protokolls 1971 dauerte es nur 13 Jahre, bis ein gewisser Sanford ‚Spamford’ Wallace die erste Werbe-Email sendete. Wenige Zeit später war der Bann gebrochen: Seit Jahren steigt die Zahl unerwünschter Werbebotschaften in Email-Postfächern kontinuierlich an. ⁵ Fast jeder aktive Internet-Teilnehmer hatte einmal unverlangte Nachrichten, im allgemeinen Spam ⁶ genannt, in seinem Postfach.

Die Bezeichnung SPAM ist in 101 Ländern markenrechtlich geschützt und steht ursprünglich für eine amerikanische Würzfleisch-Paste der Firma Hormel Foods Corporation. ⁷ Zu spätem Ruhm gelangte der Begriff angeblich kurz nach den Feierlichkeiten zur zwei milliardsten Spam-Dose von Hormel im Jahre 1970 durch einen Sketch aus der englischen

¹ John F. Hall, Signatur bei Postings im Usenet, z.B. in: news.admin.net-abuse.mail, 22.3.2003, Message-ID:

² Vgl. Werner Pankart, „Das Internet als Summe seiner Dienste“, in: Datagraph, Nr.4 (1998), S.13 ³ Vgl. Luca S. Paderni u.a., Forrester Research, Email Marketing Needs Permission (10/2001), zitiert nach: http://www.terra-mail.de/de/terramail/nutzwert/studien/forrester_10.2001/E-Mailmarketing.htm, [Zugriff 2.4.2003]

⁴ Vgl. Studie der International Data Corporation (IDC), 10/2001, zitiert nach: http://news.zdnet.de/story/0,,t101-s2095509,00.html, [Zugriff 2.4.2003] ⁵ Vgl. Peer Heinlein, Das Postfix-Buch: sichere Mailserver mit Linux, Nürnberg 2002, S.125 ⁶ Akronym für „Spiced Pork and Ham“, Internetgemeinschaft wandelte dies zu: „Send Phenomenal Amounts of Mail“ oder „SPread Around Message“ ⁷ http://www.spam.com

I EINLEITUNG 2

Monthy Python-Serie: Eine Gruppe Wikinger in einem Restaurant singt immer lauter „Spam, Spam, Spam“, bis kein anderer mehr sein eigenes Wort verstehen kann. ⁸ Die Internet-Gemeinde adoptierte den Begriff schließlich in den 90er Jahren für - meist zu Werbezwecken - massenhaft verbreitete Postings ⁹ in Diskussionsforen des Usenets ¹⁰ . ¹¹ Diese erschwerten die effiziente Nutzung einzelner Newsgroups erheblich, da alles dort eigentlich Hingehörende überlagert wurde.

Laut einer repräsentativen Umfrage von marketagent.com werden allein deutschsprachige Email-Nutzer mittlerweile wöchentlich von rund 500 Mio. Spam-Mails überflutet. ¹² Um der wachsenden Verbreitung von Nachrichtenmüll zu begegnen, richtete die US Federal Trade Commission erstmals im Juni 1997 eine Arbeitsgruppe ein, die vor allem betrügerische Werbe- und Ketten-Emails fokussierte. Auch Internet Service Provider (ISPs ¹³ ) waren gezwungen, sich mit technischen und rechtlichen Mitteln gegen die Flut von Massen-Emails zu wehren. Bevor die ersten technischen Gegenmaßnahmen angewendet wurden, waren z.B. bei AOL ¹⁴ bis zu 50% der im System eingehenden Nachrichten ressourcenbelastender Spam. ¹⁵ Inzwischen hat sich innerhalb der Netzgemeinde eine große Zahl von Kampagnen und Initiativen (z.B. www.cauce.org) etabliert, die zumindest auf die Problematik aufmerksam machen und juristische Rahmenbedingungen beeinflussen wollen. Doch weder erste Erfolge in dieser Richtung noch fortschreitende Methoden zur Filterung von ungewünschten Emails scheinen die Verbreitung von Spam effektiv aufhalten zu können.

Wird der Anstieg unerwünschter Massenmails irgendwann ein Ende nehmen? Werden gesetzliche Regelungen etwas bewirken können? Diverse, meist noch eher einfache, technische Gegenmaßnahmen werden schon seit einiger Zeit implementiert, können aber häufig von trickreichen Spammern umgangen werden. Wird sich auf Grund von komplexeren Kontrollmaßnahmen die aktuelle Weise elektronischer Kommunikation tiefgreifend verändern?

⁸ http://home.triad.rr.com/spamchef/spamskit.html

⁹ Beiträge in Diskussionsgruppen (Newsgroups) des Usenets ¹⁰ Auch als NetNews bezeichnet

¹¹ Die genaue Herkunft und Entstehungszeit des Begriffs Spam für unerwünschte Werbung ist umstritten ¹² Vgl. Michael Brunn,“Deutsche: 500 Millionen Spam-Mails pro Woche“, CHIP-Online, 9.1.2003, in: http://www.chip.de/news/c_news_9512264.html, [Zugriff 4.4.2003]

¹³ Mit ISPs sind hier sowohl Internet Service Provider als auch reine Email Service Provider (ESPs) gemeint. ¹⁴ America Online ist mit über 35 Millionen Kunden der größte Anbieter von Internetzugängen ¹⁵ Vgl. Lorrie F. Cranor / Brian LaMacchia, „Spam!“, in Communications of the ACM, Vol. 41, Nr. 8 8/1998, S.

74

I EINLEITUNG 3

Es fällt schwer, genaue Antworten auf diese Fragen zu finden. Motivation dieser Arbeit ist es gleichwohl, durch die interdisziplinäre ‚Brille’ der Wirtschaftsinformatik

Ursachen,

wirtschaftliche und gesellschaftliche Kosten und Auswirkungen,

technische Gegenmaßnahmen,

politische und juristische Aspekte der Kontrolle und Bekämpfung

von Spam herauszuarbeiten und darzulegen. 16

Der Ansatz der Arbeit besteht daher zunächst aus einer theoretischen Abgrenzung des Begriffes Spam. Es folgen eine Herleitung von Gründen für die Existenz von Massenmails sowie eine Beschreibung der technischen Umsetzung für Spammer von der Beschaffung einer Email-Adresse bis hin zum Versand von Spam. Die durch Massenmails verursachten Auswirkungen und Kosten werden im dritten Kapitel behandelt, wobei auch ein Augenmerk auf volkswirtschaftliche Schäden und die Problematik für die weitere Entwicklung von elektronischer Kommunikation im Internet gerichtet wird. In Kapitel IV werden technische und organisatorische Lösungswege zur Spam-Vermeidung sowohl auf Server- als auch auf Client-Ebene herausgearbeitet und auf ihre Wirksamkeit geprüft. Das folgende Kapitel eröffnet dem Leser einen Überblick auf Anti-Spam-Initiativen und politische Kampagnen. Kapitel VI erörtert die Rechtslage in Deutschland und der EU, wobei anschließend noch die amerikanische betrachtet wird, da ein Großteil der Massenmails aus den USA stammt. Auch die jeweiligen Auswirkungen für die Spam-Problematik werden an dieser Stelle fokussiert. Mit einem Kapitel über Situation, Gegenmaßnahmen und datenschutzrechtlichen Grundlagen des Rechenzentrums der Universität Passau schließt die Arbeit ab.

¹⁶ Zum „interdisziplinären Ansatz“ vgl. auch Christopher P. Lueg, Spam als Forschungsgebiet der Wirtschaftsinformatik, Vortrag auf der 6. Internationalen Tagung Wirtschaftsinformatik, Dresden, 17.9.2003, S. 2f

II GRUNDLAGEN ZU SPAM 4

II GRUNDLAGEN ZU SPAM

Für eine umfassende Herleitung von Gegenmaßnahmen soll zunächst eine grundlegende technische Basis vermittelt werden. Kapitel II zeigt daher, nach einer generellen Abgrenzung der Problematik, Einblicke in die Funktionsweise von Emails, insbesondere von Massenmails.

1 Definition und Kategorisierung des Begriffs Spam

Neben der historischen Bedeutung im Usenet ist der Begriff Spam zuweilen mit unterschiedlichen Inhalten belegt und wird oft sehr allgemein verwendet. Während einige die gesamte elektronische Werbepost als Spam begreifen, legt Baseley ¹⁷ z.B. einen Schwerpunkt auf die Unterscheidung von „unangeforderten“ und „angeforderten“ Nachrichten. Der Anti-Spam-Dienst Mail Abuse Prevention System (MAPS) definiert Spam dagegen wie folgt:

„An electronic message is „Spam“ IF: (1) the recipient’s personal identity and context are irrelevant because the message is equally applicable to many other potential recipients; AND (2) the recipient has not verifiably granted deliberate, explicit, and still-revocable permission for it to be sent; AND (3) the transmission and reception of the message appears to the recipient to give a disproportionate benefit to the sender.“ 18

Für die Erläuterung relevanter Begriffe bedarf es zunächst der gründlichen Klassifizierung von Spam. Hierfür bieten sich mehrere Möglichkeiten an: nach Art der Übermittlung, Absender 19 , Motiv des Senders und nach Inhalt der Nachrichten. Hier erfolgt eine Klassifizierung nach Übermittlungsart. Ferner werden kurz seltenere Formen von Spam aufgezeigt.

1.1 Spam im Email-Verkehr

Die Arbeit fokussiert hauptsächlich auf die Problematik der häufigsten Form von Spam: massenhaft versendete Emails, oft auch als Junk- oder Bulk-Mails bezeichnet. In diesem Zusammenhang gibt es inhaltliche und formale Kriterien, die zu einer weiteren Abgrenzung führen:

Der Begriff Unsolicited Bulk Email (UBE) bezeichnet eine Mail, die als Seriennachricht unaufgefordert und ohne Zustimmung an eine große Zahl von Empfängern geschickt

¹⁷ W. D. Baseley, The Email Abuse FAQ, letzte Aktualisierung 25.6.1998, in: http://www.faqs.org/faqs/netabuse-faq/email-abuse/ , [Zugriff 5.5.2003] ¹⁸ Mail Abuse Prevention System (MAPS), „Definition of spam“, in: http://mail-abuse.org/standard.html , [Zugriff 3.5.2003]

¹⁹ In diesem Zusammenhang ist „Viral Marketing“, also der Versand unter den Internet-Teilnehmern selbst ein entscheidener Aspekt. Werbebotschaften sind hier z.B. in ECards oder Freemail-Emails integriert.

II GRUNDLAGEN ZU SPAM 5

wurde. Der Inhalt muß dabei nicht unbedingt kommerzieller Natur sein, auch politische Meinungsbildung oder Belästigung sind oft Gegenstand solcher Nachrichten. ²⁰ Durch moderne Versandprogramme und hohe Netzkapazitäten können mittlerweile viele Millionen Nachrichten an einem Tag im Internet verbreitet werden. Die monatliche Statistik des Anti-Spam Spezialisten Brightmail zeigt in folgender Abbildung die Verteilung verschiedener Inhalte von UBE. ²¹ Die Meßwerte schwanken von Monat zu Monat sehr, so daß die Angaben für Mai 2003 nur ein Anhaltspunkt sind.

Abbildung II-1 Spam Category Data Mai 2003 22

Falls der Inhalt einer UBE einen kommerziellen Hintergrund hat, wird die Nachricht allgemein als Unsolicited Commercial Email (UCE) bezeichnet. Unaufgeforderte Werbe-Emails enthalten mehr oder weniger interessante Informationen über kommerzielle Angebote wie z.B. Werbung für pharmazeutische Produkte, pornographische Internet-Angebote oder Kreditangebote.

Einen in Abbildung II-1 etwas unterrepräsentierten, oft aber gewichtigen Faktor bei UCEs bilden Betrugsmaschen oder Scams. Sie werden meist als Kettenbriefe oder mehrschichtige Marketingsysteme (euphemistisch auch Multi Level Marketing / MLM genannt) in den Umlauf gebracht und geben schnelle Verdienstmöglichkeiten vor, indem der Empfänger z.B. an die oberste Adresse der Liste Geld sendet, diese Adresse dann entfernt, seinen Namen an die Liste anfügt und die Nachricht weiterleitet. ²³ Daß diese Systeme nicht funktionieren können, wird schnell klar, wenn sich der Leser die erforderlichen Teilnehmerzahlen vor Augen hält, bei denen man als Zehnter einer solchen Kette noch etwas verdienen könnte. Falls in jeder Ebene zehn Emails verschickt würden

²⁰ Vgl. Alan Schwartz / Simson Garfinkel, Stoppt Spam - kurz & gut, Köln 1999, S. 18 ²¹ Für eine Erläuterung der einzelnen Kategorien siehe Anhang 2 ²² Monatliche Statistik von Brightmails Probe Network; in:

http://www.brightmail.com/pdfs/0503_spam_definitions.pdf , [Zugriff 6.5.2003] Für eine Erläuterung der einzelnen Kategorien siehe Anhang 2 ²³ Vgl. Schwartz / Garfinkel (1999), S.18

II GRUNDLAGEN ZU SPAM 6

und deren Empfänger auch wieder zehn Emails verschickten und so fort, dann ergäben das in der zehnten Ebene bereits zehn Milliarden Emails. Bei angenommenen 580 Millionen Internet-Nutzern weltweit wird deutlich, wie sinnlos eine Teilnahme ist. ²⁴ In vielen Ländern, so auch in Deutschland, sind solche Schneeball-Systeme gemäß Gesetzesrichtlinien gegen unlauteren Wettbewerb oder Lotteriegesetz verboten. Trotzdem können sich viele dieser Kettenbriefe über Jahre hinweg im Netz ausbreiten. Von Zeit zu Zeit wird im Nachrichtentext nicht nur an Habgier, sondern auch an Gutmütigkeit („Erfüllen Sie dem todkranken Kind einen letzten Wunsch“) oder Besorgnis („Wenn Sie diese Mail nicht weitersenden, passiert Ihnen etwas furchtbares“) appelliert. Erfahrungsgemäß sind diese Meldungen aber nicht wahrheitsgemäß und meist nur ein fadenscheiniger Grund für ressourcenbelastende Rundsendungen. ²⁵ Auch sogenannte E-Petitionen tauchen in diesem Zusammenhang immer wieder auf. Kettenbriefe sind normalerweise jedoch kein adäquates Medium, um seriöse Anliegen zu kommunizieren. 26

Eine weitere Art von Email-Spam bilden gefälschte Viruswarnungen (Hoaxes), welche an eine große Zahl von Adressaten versendet werden und sich oft schnell im Netz ausbreiten können. Ziel ist es, einen massiven Verbreitungsgrad zu erreichen, etwa um Mailsysteme zu belasten. Der eigentliche Virus ist die Nachricht selbst. Durch die rasante Verbreitung können Mailserver gelähmt oder Postkästen von Endnutzern überflutet werden. 27

1.2 Mißbrauch des Usenets für Massennachrichten

Sowohl die Erscheinung von unerwünschten Massenmails, als auch die damit verbundenen Begriffe haben großteils ihren Ursprung im Usenet, dem weltweit größten ‚Online-Konferenzsystem’. Der Begriff Spam gewann stark an Bekanntheit im Januar 1994, als ein Student die erste große Spam-Attacke wagte: Jede aktive Newsgruppe zeigte damals die religiöse Werbenachricht „Global alert for all: Jesus is coming soon“. Nur drei Monate später wurde dem Usenet als Plattform für geordneten Informationsaustausch erneut großer Schaden hinzugefügt, als zwei Anwälte ²⁸ ihre Dienste im Rahmen der Green-Card-Lottery über das Usenet anpriesen. Sie hatten einen Programmierer angeheuert, der ihre

²⁴ Vgl. Frank Ziemann, Hoax Info-Service des Rechenzentrums der TU-Berlin, in: http://www.tu-berlin.de/www/software/hoax.shtml#8, [Zugriff 5.5.03]

²⁵ Auch andere Formen wie Gewinnspiele, Witze und Rufschädigungen sind bekannt, die Thematik soll an dieser Stelle jedoch nicht weiter vertieft werden.

²⁶ Vgl. Frank Herrmann, Eine capability-basierte Lösung zur Unterbindung von Spam, Dresden 2002, S.3, in: http://os.inf.tu-dresden.de/papers_ps/herrmann-beleg.pdf [Zugriff 5.5.03] ²⁷ Vgl. Herrmann (2002), S.3 ²⁸ Canter and Siegel aus Phoenix, Arizona

II GRUNDLAGEN ZU SPAM 7

Nachricht durch ein simples Skript in jede der damals schon Tausenden Newsgroups postete. 29

Massenhafte Verbreitung derselben Nachricht im Usenet wird meist abgegrenzt durch folgende englische Begriffe: Excessive Crossposting (ECP) und Excessive Multi-Posting (EMP). ECP ³⁰ bezieht sich auf Newsartikel, die gleichzeitig an viele verschiedene Newsgruppen verschickt werden. Exzessiv kann dabei je nach Definition eine bestimmte Anzahl sein. Manche sehen die Grenze schon bei acht oder zehn Empfängern. ECP ist normalerweise unproblematisch, da nur eine Ausgabe zwischen den News-Sites weitergeleitet wird und die meisten Newsreader einen querversandten Artikel nur einmal zeigen. Mißbräuchlicher Umgang mit dem Usenet und damit Spam sind aber Artikel, die an Hunderte von Newsgroups versandt wurden. 31

Deutlich störender und von daher auch innerhalb einer strengeren Definition von Spam im Usenet ist EMP. Hier wird ein gleichartiger Artikel mehrfach (‚exzessiv’) an verschiedene Newsgruppen einzelversendet. Jede Artikelkopie hat seine eigene Nachrichten-ID und ist somit jeweils ein Unikat. Sie wird daher auch an jeden angeschlossenen Computer im Usenet weitergeleitet. „Gleichartig“ meint in diesem Fall nicht nur ‚bit-für-bit’ identische Nachrichten, sondern auch solche mit gleichem Werbeinhalt oder Artikel, die für jede Newsgroup nur leicht verändert wurden. Nicht unter den Begriff Spam fallen sogenannte Spews, welche von falsch konfigurierten Newsprogrammen unabsichtlich wiederholt an die selbe Newsgruppe versendet wurden. 32

In den Diskussionsgruppen regelt normalerweise der Breidbart-Index (BI), ab wann ein mehrfach abgesetzter Beitrag als Spam gilt. Aufmerksame Administratoren können so unerwünschte Beiträge abgrenzen und aus den Gruppen verschwinden lassen. Die nach ihrem Erfinder, dem Administrator der news.admin-Hierarchie Seth Breidbart, benannte Formel addiert sämtliche Exemplare eines Beitrags, egal ob ECP oder EMP, und zieht daraus die Quadratwurzel. Ab welchem BI-Wert ein Beitrag als Spamming gilt, hängt von der Gruppe ab, in der dieser gepostet wurde. In Gruppen mit hohem Regionalbezug wie der gesamten ‚de’-Hierarchie liegt die Spam-Grenze bei einem BI-Wert von 10, in großen, weltweiten Hierarchien (z.B. alt, comp) wird ein BI bis 19 akzeptiert. Administratoren oder selbstständige Cancelbots ³³ können Nachrichten aus den Gruppen mit dem Cancel-Befehl

²⁹ Vgl. Brad Templeton, The history of the term spam on USENET, in:

http://www.templetons.com/brad/spamterm.html, [Zugriff 5.5.03] ³⁰ auch Velveeta genannt ³¹ Vgl. Schwartz / Garfinkel (1999), S. 19 ³² Vgl. Schwartz / Garfinkel (1999), S. 19 ³³ Software, die ein automatisiertes Canceln bewirkt

II GRUNDLAGEN ZU SPAM 8

entfernen, wenn diese als Spam identifiziert wurden. ³⁴ Das Canceln von Werbung kann jedoch je nach Diskussionsgruppe enormen Arbeitsaufwand bedeuten. Ein amerikanischer Gruppenmoderator sprach von mehreren Tausend Werbe-Postings pro Tag. Rund 40 Prozent aller Meldungen im Usenet seien mittlerweile Spam. 35

Eine weiterführende Untersuchung von Usenet-Spam erfolgt in diesem Rahmen nicht, da der Schwerpunkt bei Email-Spam und der daraus resultierenden Problematik und Bekämpfung liegt.

1.3 Weitere Formen von elektronischem Werbemüll

Neben den weitläufig bekannten Arten gibt es noch weitere, zwar weniger bedeutende, aber genauso störende Varianten von elektronischem Werbemüll. Da die Definition von Spam oft auch solche Nachrichten umfaßt, werden hier drei aktuelle Beispiele kurz erläutert, um die einleitende Übersicht zu vervollständigen.

Im Herbst 2002 wurde ein neuer Weg entdeckt, um Werbebotschaften zu verteilen: der Windows-Nachrichtendienst. Hierbei handelt es sich um ein kleines Programm, daß in neueren Windows NT, 2000 und XP-Versionen integriert ist und ursprünglich für die Kommunikation von Netzwerk-Administrator zu seinen Clients gedacht war. In einem kleinen ‚Pop-up’-Fenster können durch den Nachrichtendienst Problemmeldungen und andere Informationen des Administrators gezeigt werden. Findige rumänische Techniker haben jedoch herausgefunden, daß das Programm nicht nur innerhalb von Windows-Netzwerken, sondern auch von außerhalb über das Internet bedient werden kann. Durch den Befehl „net send“ in Verbindung mit der IP-Adresse können Nachrichten so aus weiter Ferne an die Empfänger befördert werden. Die Meldungen lauten nicht etwa „Achtung - Netzwerkdrucker wird gleich abgeschaltet“, sondern z.B. „Virus detected, please visit www.vscanxx.com“. Durch solche Anzeigen sollen Windows-Nutzer auf kommerzielle Internetseiten gelenkt werden, ohne daß der Weg zum Ursprung der Werbenachricht zurückverfolgt werden kann. ³⁶ Um den Empfang dieser Nachrichten zu verhindern, helfen nur Firewalls oder eine Deaktivierung ³⁷ des Nachrichtendienstes in der Windows-Steuerung. Der Internet-Provider AOL hat bereits netzwerkseitig den Messenger für seine Kunden blockiert.

³⁴ Vgl. Harald Feierabend, „Annahme verweigert - Spam-Mail und wie man sich dagegen wehrt“, c’t, 7/1997, S.102

³⁵ Vgl. „Usenet-Moderatoren im Streik“, PC-WELT, 7.4.1998, zitiert nach: www.glossar.de/glossar/z_newsgroup.htm , [Zugriff 30.4.2003]

³⁶ Vgl. http://www.stopmessengerspam.com/background_info/background_info.html, [Zugriff 2.6.2003] ³⁷ Siehe dazu http://www.microsoft.com/windowsxp/pro/using/howto/communicate/stopspam.asp, [Zugriff 2.6.2003]

II GRUNDLAGEN ZU SPAM 9

In einem Urteil vom 14. Januar 2003 hat das Landgericht Berlin den unerwünschten Versand von SMS-Werbung als rechtswidrigen Eingriff in das Persönlichkeitsrecht des Empfängers untersagt. Es zog dabei grundsätzliche Parallelen zur bisherigen Rechtssprechung bei Email-Werbung. Obwohl solche SMS-Sendungen ohne Einverständnis des Empfängers illegal sind, werden immer wieder kommerzielle Nachrichten an Mobilfunkteilnehmer versendet. Unnötiges Klingeln, anstößige Inhalte in den SMS und verstopfte Postfächer sind störende Nebeneffekte dieser Aktionen. ³⁸ Oft locken zusätzlich Rückrufnummern, z.B. bei angeblichen Partnervermittlungen, deren Tarife den Anrufer mehrere Euro pro Anruf kosten können. Um nicht durch unseriöse Geschäftspraktiken einiger Marktteilnehmer den Werbekanal SMS völlig zu ruinieren, haben sich verschiedene deutsche Firmen zu einem Anbieterverband mit Gütesiegel zusammengeschlossen. So sollen Erotikangebote kontrolliert und kommerzielle Inhalte besser kenntlich gemacht werden. 39

Da für kommerzielle Zwecke fast jede Art von elektronischer Kommunikation geeignet ist, wird auch das Telefax nicht von Spam verschont. Mit Tricks wird oftmals versucht, Empfänger zum Faxabruf weiterer Informationen zu bewegen. Dieses geschieht normalerweise über 0190-Nummern, welche mit mehreren Euro für eine abgerufene Seite zu Buche schlagen können - häufig bleibt der Empfänger dabei ohne Kenntnis über Preis und Seitenanzahl. Eine Umfrage unter Lesern von tarifexpress.de ergab, daß knapp 40 Prozent der Befragten „mehrmals wöchentlich“ Werbefaxe erhielten. ⁴⁰ Noch deutlicher ist die Nachricht der ehemaligen nordrhein-westfälischen Ministerin für Verbraucherschutz Bärbel Höhn, die letztes Jahr mitteilte, daß im Jahr 2001 bundesweit 80 bis 90 Millionen Werbefaxe verschickt wurden. Die dadurch verursachten Kosten bei den Faxbesitzern für Papier, Tinte, Strom und Telekommunikationswege lagen bei geschätzten vier Mio. Euro. ⁴¹ Meist geben die Anbieter ausländische Absenderkennungen an oder verstecken sich hinter Nummern von Internet-Faxdiensten wie web.de oder firemail.de. Nach aktuellen Gerichtsurteilen müssen Fax-Spammer mittlerweile jedoch zumindest mit juristischem Gegenwind rechnen: In einem Urteil aus dem Jahr 2002 legte das Amtsgericht Frankfurt gegen einen Werbefaxanbieter Schadensersatz von 150 € für jede erhaltene Faxsendung

³⁸ Vgl. Jörg Heidrich, „Gericht untersagt den Versand von SMS-Spam“, Heise online, 5.3.2003, in: http://www.heise.de/newsticker/data/jk-05.03.03-001/, [Zugriff 2.6.2003]

³⁹ Vgl. Markus Goebel, „Anbieterverband gegen SMS-Abzocke gegründet“, Heise online, 21.1.2003, in: http://www.heise.de/newsticker/data/hob-21.11.03-000/, [Zugriff 2.6.2003] ⁴⁰ http://www.tarif-express.de/cgi-bin/poll.pl?mode=vote&name=faxterror&decision=7&x=57&y=9, [Zugriff 3.6.03]

⁴¹ Vgl. Christiane Schulzki-Haddouti, „Gegenwind für unerwünschte Werbe-Faxe und -Mails“, Heise online, 7.7.2002, in: http://www.heise.de/newsticker/data/jk-07.07.02-005/, [Zugriff 2.6.2003]

II GRUNDLAGEN ZU SPAM 10

fest. ⁴² Jeder Faxbesitzer kann dessenungeachtet auch selbst handeln, indem er sich bei den Absendern beschwert (Adressen gibt es u.a. im Internet bei tarif-express.de), die eigene Nummer nicht veröffentlicht, das Faxgerät nachts abschaltet oder seine Anschlußnummer wechselt.

Auch bei verbreiteten IRC-Diensten wie ICQ sind Probleme mit Spam bekannt; diese können jedoch normalerweise durch elementare Einstellungen im jeweiligen Chat-Programm behoben werden.

2 Ursachen für den Versand von unerwünschten Massen-Emails

2.1 Vorteile der Email als kommerzielles Kommunikationsmittel

Nach Schätzungen des amerikanischen Nachrichtendienstes CIA hatten im Jahr 2002 weltweit rund 580 Mio. Menschen Zugang zum Internet ⁴³ , wobei die bedeutendste Anwendung die ‚Killerapplikation’ Email ⁴⁴ war. Bei Betrachtung dieser sprunghaft wachsenden Verbreitung wird schnell deutlich, warum Email traditionelle Kommunikationsmedien zunehmend in den Schatten stellt. Im Vergleich zu anderen Direktwerbemitteln bietet es erhebliche Vorteile: Kein anderes Medium zeigt ein solch niedriges Kosten-Nutzen-Verhältnis bei gleichzeitig hoher Übermittlungsgeschwindigkeit und vielfältigen Gestaltungsmöglichkeiten wie Bildern, HTML-Inhalten, Ton- und Sprachübermittlung. ⁴⁵ Per Email können Personen mit bestimmten Eigenschaften und Vorlieben auf einfache Weise gezielt angesprochen werden. Dabei besteht die Möglichkeit, Profile von potentiellen Kunden z.B. anhand von Einträgen im bestimmten Newsgroups oder Angaben der Betroffenen zu erstellen. Beim anschließenden zielgruppenorientierten Versand ist durch Vermeidung von Streueffekten die Chance einer Reaktion (Response-Rate) ungleich höher. ⁴⁶ Empfänger von Werbenachrichten können global, zeitnah und ohne Medienbruch ⁴⁷ mit dem Werbenden interagieren. Weiterhin besteht die Möglichkeit, Reaktionen durch Kontaktmessung elektronisch zu protokollieren und bei konsequenter Nutzung der gewonnenen Daten die Online-Kommunikation nutzerspezifisch zuzuschneiden, um die Werbewirkung zu optimieren.

⁴² Amtsgericht Frankfurt, 1.2.2002, Az. 32 C 2106/01-72

⁴³ Vgl. Central Intelligence Administration (Hg.), The World Factbook 2002, in: http://www.cia.gov/cia/publications/factbook/geos/xx.html, [Zugriff 2.4.2003] ⁴⁴ Noch vor dem WWW; siehe Umfrage von Fittkau & Maaß, W3B, 4-5/2000, in: http://www.w3b.de/, [Zugriff 4.5.2003]

⁴⁵ Vgl. Dirk Ploss, Handbuch E-Mail-Marketing, Bonn 2002, S. 51

⁴⁶ Vgl. Bettina Wendlandt, Cybersquatting, Metatags und Spam: Gemeinsamkeiten und Gegensätze im amerikanischen und deutschen Wettbewerbs- und Markenrecht, München, 2002, zugl. Diss., S. 39

⁴⁷ Medienbruch wird der Vorgang genannt, bei dem der Adressat seine Reaktion (z.B. Kaufentscheid) durch ein anderes Medium artikuliert, als das der Werbeinformation; z.B. beim Teleshopping

II GRUNDLAGEN ZU SPAM 11

Wie The Harris Poll im September 1999 zeigte, bilden Email-Nutzer für Werbende eine attraktive Zielgruppe. So ging aus der Studie unter anderem hervor, daß mit steigendem Haushaltseinkommen und Bildungsgrad auch die Affinität zum Gebrauch von Email steigt. 48

Abbildung II-2 Abhängigkeit von Einkommen und Email-Nutzung 49

Beflügelt von obigen Vorteilen wird die Email-Marketing-Industrie nach einem Bericht von Forrester Research im Jahr 2004 bis zu 4,8 Milliarden Dollar Umsatz erreichen und dabei rund 200 Milliarden Emails versenden. 50

2.2 Faktoren für den Versand von nicht angeforderten Massenmails

Zwischen fabelhaften Response-Raten und absoluter Negativ-Promotion liegt bei Email-Werbung nur ein schmaler Grat. Warum mißbrauchen manche Firmen dieses Medium dennoch und nehmen als Folge auch minimale Reaktionsraten in Kauf? Die Antwort liegt bei der Kostenverschiebung auf die Empfänger und damit extrem geringen finanziellen Belastungen für den Spammer. Das folgende Beispiel soll die Kostenstruktur verdeutlichen: Für eine einfache Datenbank-CD-ROM mit 200 Mio. Adreßeinträgen muß heute weniger als 100 € kalkuliert werden ⁵¹ , an relevanten Kosten kommen noch ein Versandprogramm ⁵² und die Netzanbindung für den Heim-PC hinzu. Durch mittlerweile günstige Leitungskosten - dank Breitband-Anbindungen in Verbindung mit Pauschaltarifen - sind bei hohem Versandaufkommen vor allem die Grenzkosten verschwindend gering. Die Gesamtbelastung eines amateurhaften Selbstversenders für eine Spam-Attacke beläuft sich folglich auf etwas mehr als 100 €. ⁵³ Auch wenn eine solche Kampagne nur eine minimale Response-Rate von bspw. einem zehntel Promille erreichen wird (u.a. durch den meist

⁴⁸ Vgl. Ploss (2002), S. 61f

⁴⁹ In Anlehnung an eMarketer (2001), zitiert nach Ploss (2002), S. 61

⁵⁰ Vgl. Forrester Research, The Email Marketing Industry To Reach $4,8 Billion Predicts F.R., Pressemeldung, (8.3.2000), in: http://www.forrester.com/ER/Press/Release/0,1769,256,FF.html , [Zugriff 18.1.2003] ⁵¹ http://www.bulk-email-lists.com/ , „75$ für 200+ Millionen Emails“, [Zugriff 23.6.2003] ⁵² Für ein Software-Komplettangebot, siehe z.B. http://www.k5job.com/download.htm, [Zugriff 23.6.2003] ⁵³ Für professionelles Spammen erhöhen sich die Kosten durch spamfreundliche Provider und komplexere Spamware deutlich.

II GRUNDLAGEN ZU SPAM 12

großen Anteil ungültiger Email-Adressen), reagieren immerhin noch zwanzigtausend Leute auf die Kampagne. Mehrere Tausend anschließend verwirklichte Verkäufe können einen erheblichen Umsatz hervorrufen, durch den die Spam-Versandkosten schnell wieder eingeholt werden. 54

Abbildung II-3 Kosten pro Nachricht 2001 (US-$) 55

Das Versenden von unerwünschten Massenmails funktioniert jedoch nur, so lange Spammer ihre Absenderkennung anonymisieren können, da die Werbemails sonst durch einfache Mittel gefiltert werden könnten. Dadurch, daß die Geschäfte eines Spam-Versenders aber üblicherweise nicht davon abhängen, langfristig eine positive Reputation aufzubauen, hat dieser die Möglichkeit, durch geringen Aufwand regelmäßig seine Pseudonyme zu wechseln. Ob dadurch gleichzeitig die große Mehrheit der Empfänger belästigt wird, spielt für Spammer eine untergeordnete Rolle. 56

Ein reales Beispiel einer sehr profitablen, aktuellen Spam-Kampagne konnte durch eine Sicherheitslücke auf der beworbenen Bestell-Webseite ⁵⁷ teilweise durchleuchtet werden: Zwei junge Männer aus New Hampshire vertrieben über eine Email-Kampagne im Juli 2003 Kräuterpillen zur Penisvergrößerung. Innerhalb von vier Wochen hatten rund 6.000 Menschen meist zwei Dosen mit Pillen zum Preis von jeweils 50 US-$ bestellt. So hatten die Spammer bei geringen Kosten (pro Dose fünf US-$ für den Hersteller und pro Bestellung zehn US-$ an den Spam-Versender) einen Umsatz von über einer halben Million US-$ generiert. Dabei spielte es anscheinend keine Rolle, daß weder eine Adresse, Emailadresse noch Telefonnummer angegeben war. Allein der Hinweis „as seen on TV“ schien vielen Käufern die nötige Sicherheit zu suggerieren. Die Kundschaft war äußerst

⁵⁴ Vgl. Cranor / LaMacchia (1998), S. 2

⁵⁵ In Anlehnung an: eMarketer.com (2001), aus: Ploss (2002) S. 39 ⁵⁶ Vgl. Cranor / LaMacchia (1998), S. 2 ⁵⁷ http://www.ablovik.com/affiliate1/order.html

II GRUNDLAGEN ZU SPAM 13

heterogen: hochgestellte Führungskräfte, Sport-Trainer, Soldaten und Frauen gehörten dazu. 58

3 Grundlegende Arbeitsmethoden von Spammern

Die Vorteile der Email machen Spammern ihre Arbeit denkbar einfach: Zunächst müssen sie an möglichst viele gültige Adressen gelangen, um danach ihre Werbenachrichten massenhaft und preisgünstig über das Internet zu versenden. Da diesbezüglich diverse Möglichkeiten existieren, werden hier einige grundlegende und verbreitete Methoden erörtert.

3.1 Herkunft der Adreßbestände von Massenversendern

In Testreihen der FTC ⁵⁹ wurden 250 neue Email-Adressen auf Internetseiten, Chat-Räumen, in Online-Verzeichnisse und Newsgruppen plaziert, um herauszufinden, wo und wie schnell die Adressen von Email-Sammelprogrammen gefunden werden. Nach sechs Wochen waren bereits 3.349 Junkmails auf den verschiedenen Konten zu finden; eine Adresse, die in einem Chat-Raum gepostet wurde, erhielt nach nur neun Minuten den ersten Spam. ⁶⁰ Das Beispiel zeigt eindrucksvoll, daß Adressen üblicherweise nicht auf offiziellem Wege bezogen, sondern vielmehr ohne Wissen der Besitzer im Internet gesammelt werden. Falls Firmen oder Personen ihre Adreßbestände nicht selbst aufbauen wollen, können sie fertige Bestände auf CDs kaufen oder direkt aus dem Netz herunterladen. Dazu existiert mittlerweile ein reger Handel bei ständig sinkenden Preisen.

3.1.1 Handel mit Adreßdatenbanken

Teuer erworbene Email-Sammlungen ⁶¹ , die auf Erlaubnis der gespeicherten Adreßbesitzer basieren (Permission Marketing) und genau nach Interessengruppen geordnet sind, kommen für die Kalkulation von Spammern normalerweise nicht in Betracht. Vielmehr beziehen Massenversender ihre Emaildatenbanken von unseriösen Anbietern aus dem Internet. Schon eine kurze Suche führt dort auf Hunderte von Web-Seiten, Usenet-Postings und Ebay-Auktionen, die entsprechende Angebote enthalten. Bei einigen lassen sich Textdateien gefüllt mit Millionen angeblich existierender Adressen direkt herunterladen. Die Listen sind dabei meistens grob nach Zielgruppen wie Länder, Berufe, Alter oder Email-Dienst vorsortiert. Das folgende Beispiel (siehe Abb. II-4) von www.bulk-

⁵⁸ Vgl.Brian McWilliams, „Swollen Orders Show Spam´s Allure“, Wired News, 6/8/2003, in: http://www.wired.com/news/business/0,1367,59907,00.html , [Zugriff 7.8.2003] ⁵⁹ Federal Trade Commission

⁶⁰ Vgl. FTC, Email Address Harvesting: How Spammers Reap What You Sow, (11/2002), in: http://www.ftc.gov/bcp/conline/pubs/alerts/spamalrt.htm, [Zugriff 25.6.2003] ⁶¹ So z.B. www.ecircle-ag.com für erlaubnisbasierte Email-Datenbanken

II GRUNDLAGEN ZU SPAM 14

email-lists.com bietet im Rahmen eines Komplettpakets für 75 US-$ Zugriff auf über 200 Mio. Adressen inklusive der nötigen Verteilerprogramme zum Herunterladen von der Homepage. Die Textdateien können anschließend direkt in die Bulkmail-Programme integriert werden. „Rund acht Millionen Verbraucher in Deutschland sind bereits in den Datenbanken von Email-Adreßhändlern gelandet und tragen dort den Vermerk ‚offen für Werbung’, obwohl die Betroffenen diese Zustimmung niemals gegeben haben“ stellt der eco-Verband ⁶² im Mai 2002 fest. ⁶³ Interessanterweise werben sogenannte List-Broker oft selbst per Spam-Mails für ihre Dienste.

3.1.2 Beschaffung von Email-Adressen im WWW und in Usenet-Foren

Eine weitere Möglichkeit, an große Datenbestände zu kommen, ist das automatisierte Suchen nach Email-Adressen durch speziell dafür entwickelte Software ⁶⁵ . Ausgefeilte Technik und oft trickreiche Methoden sorgen dafür, daß Email-Adressen, sobald diese in der Welt des Internets oder Usenets veröffentlicht werden, in kommerziellen Adreßlisten landen.

Eine gewaltige Ansammlung gültiger Mailadressen bietet das Usenet, da Netiquette ⁶⁶ und der RFC 1036 ⁶⁷ hier vorsehen, mit echtem Namen und funktionsfähiger Email-Adresse

⁶² Verband der deutschen Internetwirtschaft, e.V. siehe www.eco.de

⁶³ eco e.V., „E-Mail-Adresshandel treibt illegale Blüten“, 14.5.2002, in: http://www.eco.de/servlet/PB/menu/1015498/index.html, [Zugriff 1.5.2003] ⁶⁴ http://www.bulk-email-lists.com/bulk/download.asp, [Zugriff 29.6.2003]

⁶⁵ Im allgemeinen als „Spamware“ bekannt, auch unterteilt in „push“-Tools (zum Versand) und „pull“-Tools (Zur Adressbeschaffung)

⁶⁶ Siehe http://www.faqs.org/faqs/de-newusers/netiquette/index.html für die sogenannte Usenet-Etiquette, welche Verhaltensregeln und Bräuche im deutschsprachigen Usenet darstellt.

II GRUNDLAGEN ZU SPAM 15

aufzutreten. Spammern finden die Anwender thematisch sortiert in verschiedenen Newsgruppen, was die zielgenaue kommerzielle Ansprache durch Spam noch erleichtert. Kleine ‚Roboterprogramme’, sogenannte Spambots, sorgen dafür, daß sich schon kurz nach einem Diskussionsbeitrag massenhaft Spam-Mails im Postfach türmen. Alles, was z.B. irgendwo ein ‚@’ enthält, wird von den Programmen geerntet, anschließend müssen nur noch Duplikate entfernt werden. ⁶⁸ Einige Bots durchforsten nur den Artikelkopf (Header), andere nur Signaturen, manche bearbeiten den gesamten Textteil (Body) des Artikels. Dabei hilft es normalerweise nur wenig, die Email-Adresse durch (umstrittene, da kommunikationsstörende) Zusätze, wie z.B. „NOSPAM“ innerhalb der Adresse, zu tarnen. Aktuelle Harvester, wie Spambots auch genannt werden, verfügen grundsätzlich über eine Demunging ⁶⁹ -Funktion, die wiederkehrende Tarnmuster erkennt und diese selbstständig von den echten Adressen entfernt. ⁷⁰ Unabhängig von ‚Intelligenz’ und ‚Raffinesse’ der Bots existieren trotzdem einige aufwendigere Gegenmaßnahmen, die die Arbeit dieser Programme wirkungsvoll behindern können. Für Spambots bietet sich jedoch auch die Möglichkeit, abseits des NNT-Protokolls der Newsserver über Web-Schnittstellen in den Artikeln zu suchen. Die bekannteste ist sicherlich Google-Groups ⁷¹ , einen kompletten Diskussionsstrang auf einer Webseite darstellt. 72

Ähnlich wie auf Usenet-Servern sammeln Email-Bots auch auf Webseiten ihre Adreßbestände. Viele Firmenseiten veröffentlichen Listen ihrer Angestellten und auch private Seiten bieten oft einen Email-Kontakt-Link. Gespeichert wird wie bei den Newsartikeln z.B. alles, was ein „@“ beinhaltet, wie beispielsweise die Kontaktadressen in den ‚mailto:’-HTML-Tags. Die Harvesting-Software lädt dazu entweder im voraus definierte Seiten oder sucht sich über bestimmte Begriffe in Suchmaschinen eigene Webseiten ⁷³ . Die gefundenen Seiten werden geladen und der Quellcode ausgewertet; auch sämtliche verbundene Seiten erkennt der Robot und ‚surft’ diese ab. ⁷⁴ Web-Suchmaschinen wie Google erstellen ihre Indizes normalerweise durch ‚freundliche’ Bots, die das Internet

⁶⁷ Request for Comment 1036, siehe http://www.ietf.org/rfc/rfc1036.txt, [Zugriff 20.3.2003] ⁶⁸ Vgl. Wolf Hosbach, „Aus den News gesaugt“, PC-Magazin (Online-Edition), o.J., in: http://www.pc-magazin.de/internet/cm/page/page.php?table=pg&id=527, [Zugriff 1.7.2003] ⁶⁹ Von „to munge“ - Dateien auf einer Festplatte beschädigen

⁷⁰ Vgl. Uri Raz, How do spammers harvest email addresses?, o.J., in: www.private.org.il/harvest.html, [Zugriff 2.7.2003] ⁷¹ http://groups.google.de/ ⁷² Vgl. Hosbach, o.J.

http://www.pc-magazin.de/internet/cm/page/page.php?table=pg&id=527, [Zugriff 1.7.2003] ⁷³ Beliebte Schlüsselwörter sind z.B. Hobbies und Berufe wie Spiele, Golf, Reisen, Musik, Garten, Fitness, Pornographie usw., für eine umfangreiche Sammlung an Selektionskriterien siehe Serge Gauthronet / Étienne Drouard, Unerbetene kommerzielle Kommunikation und Datenschutz, Studie im Auftrag der Europäischen Kommission, 1/2001, S. 36 ⁷⁴ Vgl. Heinlein (2002), S. 127

II GRUNDLAGEN ZU SPAM 16

durchkämmen und gefundenen Inhalte unterschiedlich weiterverarbeiten. Ähnlich unspektakulär ist es, einen Spam-Bot zu programmieren, der die auf den Webseiten gefundenen Email-Adressen in Adreßlisten indiziert. Die Suche kann auf einzelne Seiten, z.B. mit bestimmten Schlüsselwörtern, beschränkt oder empfindliche Top-Level-Domains wie „.mil“ oder „.gov“ ausgelassen werden. ⁷⁵ Oft versuchen Spammer auch, über vordefinierte Schlüsselwörter URLs zu vermeiden, die sogenannte Spam-Fallen ⁷⁶ enthalten könnten. 77

Ein eher simples Software-Beispiel ist der Email Harvester, welcher auf http://www.bulkemail-lists.com zum Herunterladen angeboten wird. Neben Grundeinstellungen wie der Start-URL können auch einfache Such-Regeln erstellt werden. Weitere bekannte Email-Sammler sind die Programme Atomic Harvester, Webcollector, Email Grabber, Sniper, Siphon, Extractor, Email Magnet, Web Mole und Sonic, welche auf Webseiten oder bei Ebay zwischen 10 und 100 € kosten.

Abbildung II-5 Email Harvester Software-Roboter - Hauptmenü und Regeldefinition 78

Eine weitere Möglichkeit für Spammer, massenhaft Adressen in ihre Hände zu bekommen, sind Web-Archive von Mailinglisten und Mitgliedsverzeichnisse. Nach der Anmeldung durchforsten Programme entweder Listen, die von der Mailinglisten-Software ⁷⁹ bereitgestellt werden, oder beziehen die Information von Teilnehmern, die eine Nachricht veröffentlichen. Die enthaltenen Adressen sind durch die Aktualität der Listen normalerweise funktionsfähig und nicht modifiziert. Mailinglisten werden aus

⁷⁵ Vgl. Spam Address FAQ - How to fight back, in: http://www.iki.fi/era/spam/faq/spam-addresses.html, [Zugriff 3.7.2003]

⁷⁶ Mechanismus, der Harvester überführen soll. Dazu werden dynamisch Seiten mit speziell präparierten Email-Adressen generiert , die das Datum des Abrufs sowie die IP-Adresse desjenigen Clients enthalten, der die Seite abruft. ⁷⁷ Vgl. Gauthronet / Drouard, (2001), S. 32 ⁷⁸ http://www.bulk-email-lists.com/bulk/harvesterscreenshots.asp

⁷⁹ Erledigen z.B. das Hinzufügen neuer Mitglieder oder das Versenden von Zusammenfassungen; bekannte Server-Programme sind ListSERV, Majordomo, Smartlist und ListProc

II GRUNDLAGEN ZU SPAM 17

Sicherheitsgründen heutzutage jedoch oft so konfiguriert, daß ausschließlich der Betreiber Zugriff auf die gespeicherten Adressen hat. ⁸⁰ Falls die im Internet archivierten Verzeichnisse zur Suche oder zum Nachschlagen trotzdem öffentlich gehalten werden, sollten die Adressen in einer nur schwer reversiblen Weise verfremdet werden. 81

Ebenfalls beliebt bei Adressensammlern sind Chatprogramme wie IRC, ICQ, AIM oder ähnliche Systeme. Entweder scannen dort IRC-Bots die Nachrichtenströme nach Email-Adressen ab oder die Werbenachrichten werden direkt in den Chaträumen verbreitet. Die ‚Email-Ernte’ ist hier besonders attraktiv, da sämtliche Adressen aktiv genutzt sein müssen. Ein effizienter Ort, um seine Bestände zu füllen, sind insbesondere die Chaträume von AOL. Teilnehmer sind hier tendenziell Internet-Neulinge, die zu wenig Erfahrung haben, um sich gegen Spam-Attacken zu schützen. Jeder sichtbare Teilnehmer ist (kombiniert mit „@aol.com“) außerdem gleichzeitig eine gültige Email-Adresse, was es für Hilfsprogramme relativ einfach macht, tausende AOL-Benutzer in Spam-Datenbanken zu speichern. 82

Vor dem Surfen im Internet sollte die Konfiguration des Web-Browsers überprüft werden, da beim Besuch mancher Webseiten versteckte Links zu unsichtbaren ‚1x1’-Pixel-Bildern nicht per HTTP, sondern über ein ‚anonymes FTP’ geladen werden und so die Email-Adresse in die Hände von Spammern gelangt. ⁸³ Im Gegensatz zu einem HTTP-Aufruf wie wird die Grafik hier durch den FTP-Zugriff

eingebunden. ⁸⁴ Bei Zugriffen über ‚Anonymes FTP’ melden sich einige Browser mit dem Benutzernamen „anonymus“ und übermitteln als Paßwort die Email-Adresse des Nutzers, was von FTP-Seiten vielfach so verlangt und seltener auch überprüft wird. Ferner entspricht diese Vorgehensweise den Konventionen des Internets. ⁸⁵ Es existieren noch weitere Möglichkeiten, z.B. über JavaScript, HTTP_FROM-Header und andere aktive Inhalte, die in Browsern gespeicherten Email-Adressen abzufragen. Diese kommen jedoch eher selten zum Einsatz.

⁸⁰ Die Abfrage „who“ gibt die Adressen einer bestimmten (Majordomo-)Liste aus; entweder sollte daher die „who“-Funktion ausgeschaltet sein oder der Eintrag gegen „who“-Abfragen geschützt werden. Bei ListSERV (hier lautet die Abfrage nicht „who“, sondern „review“) geschieht das z.B. durch die Nachricht mit dem Textkörper „SET listname CONCEAL YES“, vgl. Schwartz / Garfinkel (1999), S. 24 ⁸¹ Vgl. FAQ der deutschen Newsgruppe zu Email-Mißbrauch de.admin.net-abuse.mail, in: http://www.faqs.org/faqs/de-net-abuse/mail-faq/, [Zugriff 29.3.2003] ⁸² Vgl. Uri Raz, o.J. ⁸³ Vgl. Heinlein (2002), S. 127

⁸⁴ Vgl. Klaus Arnold, „Wie kommen Spammer an Email-adressen?“, Dr. Web Online-Magazin, 20.8.2002, in: http://drweb.de/netlife/spam_6.shtml, [Zugriff 25.6.2003] ⁸⁵ Vgl. FAQ der deutschen Newsgruppe de.admin.net-abuse.mail

II GRUNDLAGEN ZU SPAM 18

In einer sechsmonatigen Untersuchung des Center for Democracy & Technology bis März 2003 wurden 250 Email-Konten eingerichtet und die Adressen an diversen Orten im Internet genutzt und veröffentlicht. Die folgende Abbildung zeigt deutlich, das der größte Teil von insgesamt ca. 10.000 Spam-Emails über Adressen kam, die von Webseiten ‘geerntet’ wurden. Andere Methoden schienen bei dieser Untersuchung eher eine untergeordnete Rolle zu spielen. 86

Abbildung II-6 Anzahl empfangener Spam-Mails je nach Veröffentlichung der Email-Adresse 87

3.1.3 Wörterbuch-Attacken auf Mailserver

Eine Methode, die erst mit den kostengünstigen Breitband-Internetverbindungen weitläufig aufkam, ist das sogenannte SMTP-Harvesting. Dabei werden SMTP-Server, die für den Versand und Empfang von Emails zuständig sind, gezielt nach möglichen Buchstaben- und Zahlenkombinationen abgefragt. ⁸⁸ Da Dictionary Attacks ⁸⁹ , also das unmittelbare Versenden von Spam-Emails an zufällig oder systematisch generierte Emailadressen, sehr viel Verkehr und damit Aufsehen erzeugen, versuchen Spammer meist durch SMTP-Harvesting zunächst nur ihre generierten Adressen zu validieren. ⁹⁰ Dabei wird für beliebige Adressen ein SMTP-Dialog eingeleitet (der Vorgang vor dem eigentlichen Versand der

⁸⁶ Vgl.“Why Am I Getting All This Spam? Unsolicited Commercial E-mail Research Six Month Report”, CDT, 3/2003, in: http://www.cdt.org/speech/spam/030319spamreport.shtml , [Zugriff 20.9.2003] ⁸⁷ Eigene Abbildung in Anlehnung an “Why Am I Getting All This Spam? Unsolicited Commercial E-mail Research Six Month Report”, CDT, 3/2003, in:

http://www.cdt.org/speech/spam/030319spamreport.shtml , [Zugriff 20.9.2003]

⁸⁸ Vgl. Roman Racine, Woher Spammer ihre Adressen haben, o.J., in: http://Spam.trash.net, [Zugriff 9.6.2003] ⁸⁹ Auch Wörterbuch-Attacken; kryptanalytische Angriffe, bei dem möglichst viele Schlüsselkombinationen (sogar ganze Wörterbücher) durchprobiert werden, um schnell an möglichst viele Emailadressen zu kommen. In diesem Zusammenhang oft auch als ‚Brute Force’-Angriff bezeichnet. Beliebtes Ziel solcher Angriffe sind große Anbieter wie Hotmail.com, wo bei über 100 Millionen registrierten Konten eine hohe Trefferchance besteht. ⁹⁰ Vgl. Klaus Arnold (2002)

II GRUNDLAGEN ZU SPAM 19

Nachricht), woraufhin der empfangende Server bei nicht existenten Adressen gemäß SMTP-Standard meldet, daß diese nicht zugestellt werden konnten („SMTP 500 Error“). 91

Aber auch bei dieser Methode werden mitunter Tausende SMTP-Kommandos abgesetzt, was die betroffenen Mailserver und damit den Rest des Verkehrs dieser Server bis zur Unbenutzbarkeit lahm legen kann. Um die Resultate zu verbessern, werden solche Angriffe in der Praxis daher gerne gegen Backup-, oder Secondary-Server gefahren. Diese Server sind nicht für die finale Nachrichtenzustellung zuständig (wie sogenannte Primary- oder höchste MX ⁹² ), sondern dienen als ‚Fallnetz’ oder Zwischenspeicher für die Primary-MX. Durch ein Prioritätensystem geregelt, werden Emails normalerweise über den Primary-MX transportiert. Spammer mißbrauchen das System der Backup-MX gelegentlich und versuchen, ihre Nachrichten oder SMTP-Dialoge direkt über diese zu senden. ⁹³ Folgende Gründe sprechen dafür: 94

Backup-MX verfügen oft nicht über die Account- und Alias-Listen der Primary-Server und nehmen daher sämtliche Mails für eine Domain oder einen Rechner an und leiten sie an Primary-MX weiter. Dieser Umstand kann dazu genutzt werden, die Quote der direkten Zurückweisungen (Rejects) wegen ungültiger Adressen zu minimieren und auf den Dialog zwischen Primary- und Secondary-MX zu verlagern.

Blacklists und Filter der Primary-MX können umgangen werden, da Secondary-MX oft nicht die gleichen komplexen Anti-Spam-Systeme fahren. Die finale Zustellung erfolgt nun zwischen Primary-MX und Backup-MX (und nicht dem Spammer), wodurch hostbasierte Blacklists und Filter ausgehebelt werden.

Des weiteren verschleiert die gezielte Zustellung über die Backup-MX den wahren Ursprung einer Spam-Mail, da eine weitere Ebene von beteiligten Servern in den Header eingezogen wird. Insbesondere bei ungeübten Nutzern werden so die Header-Analysen erschwert und gleichzeitig Beschwerden und Blacklistings auf die Backup-MX-Systeme gelenkt.

Ausgangspunkt für Wörterbuch-Attacken sind, neben US-amerikanischen, häufig asiatische oder südamerikanische Server. Die Betreiber können dort nur erschwert ausfindig gemacht werden und gesetzliche Regelungen sind oft unzureichend oder gar nicht vorhanden. Zusätzlich arbeiten sie mit dynamischen IP-Adressen, was die Zurückverfolgung und Identifizierung weiter erschwert. Neben den Hauptzentren des Internets in den USA, Europa und Japan beheimaten vor allem Schwellenländer wie Brasilien, Argentinien, Chile, Malaysia, Korea und China Harvesting-Server. 95

Zur Überprüfung der Wirkung von Dictionary Attacks bei Hotmail wurden durch den Verfasser im Februar 2003 zwei Konten eröffnet: Eines mit der kurzen Kennung

⁹¹ Vgl. Roman Racine, o.J.

⁹² MX (Mail Exchange) ist ein Eintrag im DNS (Domain Name Service), der angibt, welche Mailserver dafür zuständig sind, Nachrichten für eine Domain oder einen Rechner anzunehmen. ⁹³ Vgl. FAQ der deutschen Newsgruppe de.admin.net-abuse.mail

⁹⁴ Für nachfolgende Aufzählung vgl. FAQ der deutschen Diskussionsgruppe de.admin.net-abuse.mail ⁹⁵ Für eine Übersicht der wichtigsten Ursprungsorte siehe Anhang 1

II GRUNDLAGEN ZU SPAM 20

„cmunte@hotmail.com“ und ein weiteres mit der Kennung

„christian_munte1234@hotmail.com“. Beide Adressen wurden nirgends veröffentlicht oder benutzt. Schon nach drei Tagen waren trotz eingeschaltetem „erhöhten Spamschutz“ drei Werbe-Mails auf dem ersten Konto. Innerhalb einer weiteren Woche erhöhte sich diese Zahl auf rund 15 Werbe-Mails pro Tag. Das Konto mit der langen Kennung hat bis September 2003 keine Werbung empfangen.

Außer SMTP-Dialogen gibt es noch weitere, etwas weniger verbreitete Methoden, um Email-Adressen von Servern zu ermitteln. Bekannt ist vor allem der Mißbrauch des UNIX Finger-Protokolls und des Identd-Service. Identd wurde vor allem geschaffen, um Remote-Systemen die Identifizierung von mit ihnen verbundenen Benutzern und Prozessen für die jeweiligen Port-Nummern zu ermöglichen, wobei nur wenig Information wie z.B. der Benutzername gezeigt werden. Für Spammer sollte es daher eher schwierig sein, über Identd an verwertbare Daten zu gelangen. Eine deutlich größere Sicherheitslücke auf Servern stellt jedoch der finger-Befehl dar. Über diesen können zahlreiche Details über den Benutzer abgefragt werden. Je nach eigenen Angaben enthält die Auskunft Informationen wie „richtiger Name“, „Abteilung“, „Telefonnummer“, „Log-in Details“ und häufig auch die Email-Adresse. Ferner können über die „.plan“ Textdatei noch beliebig weitere Information über den Benutzer ermittelt werden. Besonders problematisch für den Schutz vor Adreß-Sammlern ist aber die mögliche Abfrage aller angemeldeten Nutzer eines Servers. ⁹⁶ Nicht zuletzt diese Funktion hat dazu geführt, daß viele Administratoren heutzutage finger deaktivieren oder zumindest dessen Funktion einschränken. 97

3.1.4 Sonstige Möglichkeiten der Adreßermittlung

Im Rahmen vieler Gewinnspiele, Downloads und anderer Informationsangebote des Internets ist eine Online-Registrierung nötig, bei der eine (prüfbar) gültige Email-Adresse angegeben werden muß. Bei unseriösen Anbietern ist es leicht verständlich, daß die Angaben dabei schnell auf dem lukrativen Adreßmarkt landen. Ebenfalls sind immer wieder Seiten zu finden, bei denen sich Email-Nutzer angeblich generell aus den Listen einiger Spammer austragen lassen können. Ähnlich wie bei „Remove“-Links in Spam-Nachrichten kommt der vermeintliche Austrag aus den Spam-Verteilern meist einer

⁹⁶ Vgl. Brett Glass, Stopping Spam and Malware with Open Source, 27.7.2001, San Diego, in: http://www.brettglass.com/spam/paper.html, [Zugriff 10.7.2003]

⁹⁷ Vgl. Kurt Seifried, Linux Administrator's Security Guide - User Information, 16.10.2002, in: http://secinf.net/unix_security/Linux_Administrators_Security_Guide/, [Zugriff 11.7.2003]