SPA  -MSchutztechnologien  

Inhaltsverzeichnis

1.  Einleitung.  3

2.  Was ist Spam?  3

2.1  Phishing.  4

2.2  Der Begriff „Spam“  5

3.  Daten und Fakten.  5

3.1  Zahlen zum Spam-Aufkommen  5

3.2  Betriebswirtschaftliche Bedeutung.  6

3.2.1  Mitarbeiterproduktivität.  6

3.2.2  IT-Ressourcen u. Administration  7

3.2.3  Dienstausfälle  7

4.  Adressquellen der Spamversender.  8

5.  Vermeiden von Spam.  12

6.  Spam-Schutztechnologien  14

6.1  Blacklisting.  14

6.2  Whitelisting.  16

6.3  Greylisting.  16

6.4  Spam-Filterung  18

6.4.1  Header-Filter  18

6.4.2  Inhaltsbasierte Filterung  18

6.4.3  Bayes-Filter  19

6.5  Weitere Filter  20

6.5.1  Chung-Kwei-Algorithmus.  20

6.5.2  DCC-Filter.  20

6.6  Teergrubing.  21

6.7  FairUCE  22

6.8  Sender Policy Framework (SPF)  23

6.9  DomainKeys.  24

7.  Referenzarchitektur SpamGuru (IBM)  26

7.1  Systemüberblick  26

7.2  Filtermechanismus von SpamGuru.  28

8.  Anti-Spam-Software Spamihilator’  28

8.1  Systemanforderungen.  29

8.2  Filter-Mechanismen  29

8.3  Wichtige Funktionen.  29

8.4  Hauptmenü  30

8.5  Einstellungen.  31

9.  Rechtliche Beurteilung von Spam.  32

9.1  Deutschland.  32

9.2  Übrige Länder.  33

10.  Fazit  35

2

1. Einleitung

Spam - das ist ein für nahezu jeden Nutzer eines E-Mail-Kontos ein Thema. Allein in Deutschland gehen ca. 50 % der Einwohner ins Internet [Beer WWW 2005/1]. Es ist davon auszugehen, dass fast alle dieser Personen eine oder mehrere E-Mail-Adresse(n) besitzen. Zudem stellt ein Großteil der Unternehmen seinen Mitarbeitern geschäftliche E-Mail-Adressen für die Kommunikation mit Geschäftspartnern bereit.

Spam ist für diesen Personenkreis in der Regel ein Problem - oder wird es in naher Zukunft!

Die vorliegende Arbeit beschäftigt sich deshalb mit dem Problem Spam. Es wird dabei für diejenigen, die (noch) nicht davon betroffen sind, erklärt, was Spam ist, woher Spam-Nachrichten kommen und welche wirtschaftliche Bedeutung diese schon erreicht haben. Es werden Adressquellen genannt und wie der einzelne E-Mail-Nutzer ein „zugemülltes“ Postfach vermeiden kann. Ein Großteil der Arbeit beschäftigt sich mit aktuellen Schutztechnologien gegen Spam, bevor schließlich in einer rechtlichen Beurteilung die Maßnahmen verschiedener Länder gegen Spam beleuchtet werden.

2. Was ist Spam?

Wer ab und zu mit E-Mails zu tun hat, und das ist heutzutage beinahe jeder, der hat auch sicherlich schon mal etwas von Spam gehört bzw. schon gelegentlich Spam in seinem E-Mail Postfach gehabt. Doch was ist Spam eigentlich genau?

Ziel dieses Kapitels ist, zu erklären, was Spam genau ist und wie es überhaupt zum Begriff Spam kam. Des Weiteren wird in diesem Kapitel eine spezielle Art von Spam, das so genannte Phishing, vorgestellt.

Es gibt zahlreiche Definitionen für Spam ([Mueller WWW 2005/1], [ AustrReg WWW 2005/1], [Southwick/Falk WWW 2005/1]). Diese Quellen haben eines gemeinsam: Spam wird in diesen Quellen als „definitorische Schnittmenge“ von elektronischer Post bezeichnet, die vielen Empfängern zugestellt wird, von denen einige oder keiner ein vorheriges Einverständnis zum Empfang erteilt hat. In der englischsprachigen Literatur wird auch von „Unsolicited Bulk Email“ (UBE) oder von „Unsolicited Commercial Email“ (UCE) gesprochen [Schryen 2004/1].

Der Inhalt dieser E-Mails kann religiöser, sozialer, politischer oder wirtschaftlicher Art sein. Ist er wirtschaftlicher Art, indem zum Kauf von Produkten oder Inanspruchnahme von Dienstleistungen ge-worben wird, dann spricht man von UCE, was übersetzt soviel wie „unerwünschte Werbe-E-Mail“ bedeutet.

Bei den meisten Fällen vom Spam handelt es sich um solche UCE-Mails.

3

2.1 Phishing

Eine spezielle Form von Spam ist das so genannte „Phishing“. Beim Phishing versuchen sich Kriminelle sensible Daten zu ergaunern. Dies geschieht indem E-Mails mit gezielt personenbezogenen Daten verschickt werden. In der E-Mail wird der Empfänger dann gebeten, eine Webseite zu besuchen, welche zur Eingabe seiner Zugangsdaten auffordert. Folgt er dieser Aufforderung gelangen seine Daten in die Hände der Urheber der Phishing-Attacke.

Der Absender sowie die verlinkte Webseite der Phishing-Attacke sind stets gefälscht [Wikipedia WWW 2005/1].

Ein beliebtes Ziel dieser Attacken sind Banken: E-Mails tarnen sich meist als seriöse Nachricht eines Kreditinstituts und fordern den Empfänger auf, seine persönlichen Daten einzugeben. In dem Moment, wo der Kunde den Link aktiviert, kommt er nicht auf die Webseite der Bank, sondern auf eine gefälschte, die der O riginalseite täuschend ähnlich bzw. nicht zu unterscheiden ist. Alle in Formulare eingegebenen Daten, Passwörter, etc. gelangen somit direkt in die Hände der Betrüger, was ein geleertes Bankkonto zur Folge haben kann.

Ein Beispiel für eine solche Phishing-Mail ist in Abb. 1: Phishing-E-Mail zu sehen:

2.2 Der Begriff „Spam“

Spam ist ursprünglich Dosenfleisch, welches von der amerikanischen Firma Hormel Foods in Minnesota vertrieben wird.

[Wikipedia WWW 2005/2] Doch zu dem Begriff Spam als Bezeichnung für UBE kam es durch einen Sketch der englischen Comedyserie Monthy Python’s Flying Circus: In einem kleinen Café besteht die Speisekarte ausschließlich aus Gerichten mit Spam, die Spam teilweise mehrfach hintereinander im Namen enthalten.

Ein Gast verlangt nach einem Gericht ohne Spam. Die Kellnerin empfiehlt ein Gericht mit „wenig“ Spam. Als sich der Gast aufregt, fällt ein Chor aus Wikingern, die die beiden anderen Tische besetzen, mit einem Loblied auf Spam ein, bis der Sketch im Chaos versinkt. In dem Sketch erscheint das Wort Spam insgesamt mehr als 100 Mal und beschreibt damit gleichzeitig die Natur des Begriffs. Spam wurde durch diesen Sketch ein Synonym für unsinniges Wiederholen. Im englischsprachigen Raum wird Spam auch als Akronym für spill and cram, übersetzt überlaufen und verstopfen, verwendet.

3. Daten und Fakten

Ziel dieses Kapitel ist es, dem Leser einen Überblick über Spam zu verschaffen. Es werden die wichtigsten Fakten, wie Anteil von Spam im E-Mail-Verkehr, Spam-Kategorien sowie Länder mit dem größten Spam-Aufkommen aufgezeigt. Ferner wird auch eine betriebswirtschaftliche Beurteilung von Spam vorgenommen.

3.1 Zahlen zum Spam-Aufkommen

Laut Schätzungen des Marktforschungsinstitutes IDC werden im Jahr 2005 täglich durchschnittlich ca. 36 Milliarden E-Mails versendet [Clearswift WWW 2005/1]. Der Anteil an Spam-E-Mails wächst seit Jahren stetig an. Der US-amerikanische Sicherheitsspezialist hat im Jahr 2004 insgesamt 104 Milliarden E-Mails gescannt. Der Anteil von Spam-E-Mails ist dabei von 60% im Januar bis auf 67% im Dezember gewachsen [Symantec WWW 2005/1]. Im Jahr 2002 lag der Anteil an Spam-E-Mails noch bei rund 20 Prozent [Zeitforum WWW 2004/1].

Spitzenreiter im Versenden von Spam sind derzeit die USA mit 37,5%, gefolgt von Südkorea mit 24,98% und China mit 9,71%. Deutschland liegt mit 1,23% auf Platz 10 [Pilzweger WWW 2005/1].

In Abb. 2: Spam-Kategorien ist eine Übersicht der verschiedenen Spam-Kategorien zu sehen. Die Übersicht stammt von Symantec [Symantec WWW 2005/1]. Es gibt Auswertungen anderer Unternehmen, die grundsätzlich die gleiche Tendenz aufweisen, jedoch meist weniger untergliedert sind.

5

Vom IT-Sicherheitsspezialisten Sophos stammt eine Auswertung mit den 25 häufigsten Wörtern in Spam-Nachrichten [Sophos 2003/1]. Hier eine Auflistung der ersten zehn Begriffe:

3.2 Betriebswirtschaftliche Bedeutung

Das Versenden von Spam-E-Mails ist sehr günstig, doch der Preis für den Empfänger kann hingegen sehr hoch sein. Die Auswirkungen der Mailflut lassen sich in folgende Kategorien einteilen:

§ Mitarbeiterproduktivität

§ IT-Ressourcen, -Administration

§ User Helpdesk

§ Administrationsaufgaben

§ Dienstausfälle

3.2.1 Mitarbeiterproduktivität

Einen wesentlichen Kostenfaktor für ein Unternehmen stellen die Löhne und Gehälter der Mitarbeiter dar. Ein Unternehmen achtet deshalb darauf, dass die Mitarbeiter möglichst effizient und pro-

6

duktiv arbeiten. Das manuelle Aussortieren von unerwünschten Mails aus dem Postfach stellt somit einen Produktivitätsverlust für das Unternehmen dar. Ein kleines Rechenbeispiel soll den finanziellen Schaden zeigen, der einem Unternehmen aus diesen Produktivitätsausfällen der Mitarbeiter entstehen kann.

Falls Mitarbeiter auf die Spam-E-Mails reagieren, indem sie darauf antworten oder diese abbestellen möchten, kann die Produktivität weiter sinken. Hierdurch kann in Zukunft die Zahl der Spam-E-Mails sogar steigen. Werden beim Löschen von Spam-E-Mails legitime E-Mails gelöscht, geht weiter Produktivität verloren, wenn der Anwender versucht, diese Mails wieder zu finden oder er die Mail eventuell neu anfordern muss [Sophos 2003/1].

3.2.2 IT-Ressourcen u. Administration

Durch einen hohen Anteil von Spam im E-Mail-Verkehr eines Unternehmens steigen die Kosten teurer IT-Ressourcen, wie Bandbreite, Netzwerk, Mailservern und Speicher. Des Weiteren wird für den Betrieb dieser Ressourcen mehr Personal benötigt um das höhere Datenverkehrsaufkommen zu bewältigen. Dabei verbringen die IT-Administratoren unzählige Stunden mit der Prüfung von verdächtigen E-Mails und Abwehr von Spam-Attacken. Außerdem wird der User-Helpdesk eines Unternehmens durch Anfragen und Probleme bezüglich Spam zusätzlich belastet. Laut Schätzungen verursacht Spam derzeit weltweit jährlich Kosten von über 20 Mrd. US-Dollar [Clearswift WWW 2005/2].

3.2.3 Dienstausfälle

Immer häufiger werden Spam-Techniken genutzt um Trojaner und Viren massenhaft zu verbreiten. Viren können im Unternehmensnetzwerk großen Schaden anrichten und sogar zum Ausfall des gesamten Systems führen, so dass den Kunden gewohnte Dienste zeitweise nicht angeboten werden können.

Dadurch entstehen dem Unternehmen sowohl Umsatzeinbußen als auch eine Schädigung des Unternehmensimages.

7

4. Adressquellen der Spamversender

[Curtis WWW 2005/1] Eine Frage stellt sich wohl jeder E-Mail-Benutzer, der schon einmal Spam-Nachrichten erhalten hat: „Woher haben die bloß meine E-Mail-Adresse?“. Diese Frage ist nicht einfach zu beantworten, da Spamversendern unzählige Quellen offen stehen an solche Adressen zu gelangen [Brockhaus WWW 2005/1].

Häufig stellen die Empfänger von Spam-Nachrichten Ihre Adresse den Spammern ungewollt selbst zur Verfügung [Brockhaus WWW 2005/1]. In Newsgroups oder Internetforen ist die Angabe einer tatsächlich best ehenden Adresse oftmals Pflicht. Es gehört zum „guten Ton“ keine gefälschte oder nicht existente Adresse anzugeben. Bei vielen Newsgroups werden derartige Angaben oftmals auch mit einem „Hausverbot“ bestraft. Wer also an Diskussionen teilnehmen oder Forenbeiträge verfassen möchte, kommt um die Angabe seiner Adresse nicht herum.

Au ch die Angabe der persönlichen Daten inklusive der E-Mail-Adresse bei Gewinnspielen beinhaltet ein großes Risiko zukünftig Werbe-E-Mails zu erhalten. Der Vorteil, den Spammer aus dieser Art der Adressensammlung ziehen, ist die Verknüpfung der Adresse mit den Inter essen des Adresseninhabers. Jemand der an einem Gewinnspiel eines Onlinekasinos teilnimmt, nutzt diese Einrichtungen vermutlich hin und wieder, interessiert sich zumindest ansatzweise für Glückspiele oder hat eventuell Kreditbedarf. In der Regel kann man davon ausgehen, einige Zeit nach einer derartigen Anmeldung zahlreich elektronische Post von Kasinos, Kreditvermittlern oder anderen Gewinnspielen zu erhalten. Da ein Gewinnspielteilnehmer in der Regel auch auf einen Gewinn hofft, kann der Spammer davon ausgehen, dass hierbei eine gültige Adresse angegeben wurde. Dies steigert den Wert der gesammelten Adressen beachtlich.

Ebenfalls automatisch auf Gültigkeit überprüft wurden Adressen von Benutzern, die auf Spam-Nachrichten antworten [BSI WWW 2005/2]. Nach Untersuchungen der Radicati Group und Mirapoint [Radicati WWW 2005/1] haben etwa 39 % aller Befragten zumindest einmal auf Werbemails geantwortet bzw. darin enthaltene Hyperlinks angeklickt (siehe Abb. 5: Klickrate bei Spam-E-Mails). Eine Antwort kann bereits durch Öffnen der Nachricht oder die Autovorschaufunktion des E-Mail-Programms erstellt und versandt werden .

Häufig finden sich am Ende von Spam-Nachrichten auch Möglichkeiten sich aus der entsprechenden Verteilerliste löschen zu lassen. Natürlich geschieht dies meist nicht [BSI WWW 2005/2]. Falls doch, so wird die Adresse stattdessen oftmals auf diversen anderen Listen eingetragen [Brockhaus WWW 2005/1], [Ziemann WWW 2005/1].

Laut der Untersuchung der Radicati Group und Mirapoint kaufen etwa 11 Prozent der Empfänger regelmäßig bei von Spam beworbenen Webseiten oder haben dies bereits einmal getan (siehe

8

Abb. 6: Kaufrate bei Spam-Mails). Neben der reinen Adressenverifizierung kann der Spammer hierbei auch einen Interessen- und Bedürfniskatalog des Einkäufers erstellen, der sich beim kommerziellen Adressenhandel in barer Münze auszahlt [Dubsky 2003/1].

Abb. 5: Klickrate bei Spam-E-Mails Abb. 6: Kaufrate bei Spam-Mails

Das Eintragen in Newsletter oder das Anfordern von Seriennummern für heruntergeladene Software kann bezüglich der Adressengewinnung der Teilnahme an Gewinnspielen gleichgesetzt werden. Hier werden ebenfalls Daten über den Nutzer und dessen Interessen mit Methoden des „Social Engineering“ zum Aufbau von Bedürfniskatalogen genutzt und auch dabei entfällt die Validierung der Adressen.

Eine (noch) nicht so häufig genutzte - jedoch umso gefährlichere - Möglichkeit an gültige E-Mail-Adressen zu gelangen ist das Einschleusen von Trojaner-Programmen in das Computersystem des Opfers und das hierdurch ermöglichte automatische Auslesen des Outlook-Adressbuches sowie das Versenden der so gewonnen Adressen an den Spammer. Die große Gefahr dieses Verfahren ist die Nichterkennbarkeit durch das Opfer. Der gesamte Prozess läuft in der Regel ohne jegliche Handlung des E-Mail-Empfängers ab.

Die meisten Adressen werden durch so genannte ‚Harvester-Programme’ (auch Crawler oder Spambots) aus Webseiten ausgelesen [Wikipedia WWW 2005/2], [Brockhaus WWW 2005/1]. Als Ansatzpunkt fungiert hierbei der „mailto:-Tag“, eine HTML-Textmarke, durch die der Empfänger einer E-Mail-Adresse gekennzeichnet wird [UniStgt WWW 2005/1]. Auch das in jeder Adresse (und eigentlich nur dort [Wikipedia WWW 2005/5]) verwendete @-Zeichen gilt als Kennzeichnung einer E-Mail-Adresse. Die Harvester -Programme, die von kommerziellen Adressensammlern und den Spammern selbst eingesetzt werden, durchsuchen alle ihnen bekannten Webseiten bzw. den enthaltenen Quelltext auf diese Merkmale und sammeln die so gefundenen Adressen.

Eine weitere - häufig eingesetzte [Kaspersky WWW 2005/1] - Variante ist das Erstellen von allen möglichen Buchstaben- und Zahlenkombinationen und das Verbinden mit den bekannten Mail-

9