• brand eins kaufen
• brand eins hören

• Text: Malte Wicking

• Artikel downloaden
• Artikel drucken
• Artikel weiter empfehlen
• Leserbrief versenden
• Share |
• Informiert bleiben

Was ist eigentlich ... SPAM?

- Lustig, das war früher. Heute ist der Name eines amerikanischen Formschinkens zum Synonym für den Mail-Müll im Posteingang geworden, und vielen Internet-Nutzern ist beim Thema Spam das Lachen längst vergangen. Komisch erscheint höchstens noch das Versprechen von Bill Gates aus dem Jahr 2004, in zwei Jahren werde das Internet spam-frei sein.

Lag der Spam-Anteil am weltweiten E-Mail-Verkehr 2001 noch bei rund sieben Prozent, beträgt er heute je nach Schätzung zwischen 67 und 80 Prozent. Als Spam gelten unerwünschte und massenhaft versandte Mails. Die Absender verschanzen sich hinter Fantasie-Namen oder missbrauchen die Adressen Dritter. Die Empfänger bekommen Penisvergrößerungen angeboten, sollen raubkopierte Programme kaufen oder ohne Finanzkenntnisse einen Job als Investmentbanker bekommen. Immer wieder kursieren angeblich offizielle Mitteilungen, etwa gefälschte Rechnungen oder Mails mit Bank-Logo und der Aufforderung, die Geheimzahl der EC-Karte an den Absender zu schicken.

"Just click here." Eine Aufforderung wie diese steht meistens am Ende der E-Mail. "Spam soll eine Handlung auslösen", sagt Reiner Baumann, Deutschlandchef von Ironport, einem der weltweit führenden Anbieter von E-Mail-Sicherheits-Software. Für jede Bestellung kassiert der Spammer Provision. Lädt das Opfer einen Virus oder andere schädliche Software auf seinen Rechner, werden Passwörter, Adressen oder Bankdaten gestohlen. Oder der Rechner wird per Fernsteuerung zum Versenden von noch mehr Spam missbraucht. Die Besitzer merken meist nichts. Die Hälfte aller Spam-Mails wird nach einer EU-Studie über solche Bot-Netze aus gekaperten Rechnern verschickt. Pro Tag sind nach Erhebungen der Software-Firma Symantec durchschnittlich 60 000 fremdgesteuerte Rechner aktiv.

Spam hält Angestellte vom Arbeiten ab und verringert die Produktivität von Unternehmen. Er belastet Datenleitungen und Server, die im schlimmsten Fall unter der ungebetenen Mail-Flut zusammenbrechen können. Abwehrmaßnahmen wie Filter oder Firewalls kosten Geld. 3,5 Milliarden Euro Schaden verursachte Spam im Jahr 2005 in Deutschland nach EU-Informationen, weltweit rund 39 Milliarden Euro. Im Jahr 2007 dürfte er sich nach Expertenschätzung auf rund 75 Milliarden Euro fast verdoppeln.

Offen bleibt dabei eine Frage: Wer liest eigentlich E-Mails wie: "Viagra, two Dollars per pill! " Oder: "300 Prozent Bonus vom nobelsten aller Casinos! " Gibt es noch Leute, die darauf hereinfallen? Ja. Spam ist ein Geschäft, das sich lohnt, weil Menschen mitmachen. In der digitalen Welt ist das Gesetz der Knappheit aufgehoben, zehn E-Mails kosten so viel wie zehn Millionen. Werden eine Milliarde Mails mit Viagra-Werbung versandt, bedeutet das noch bei einer Rücklaufquote von einem Millionstel rund 1000 Bestellungen.

Spammer im eigenen Land kann ein Opfer immerhin verklagen. In Deutschland kann gegen Versender ein Bußgeld bis zu 50 000 Euro verhängt werden, wenn die Absenderadresse oder der kommerzielle Zweck der Mail verschleiert werden. Das im Januar 2007 verabschiedete Telemediengesetz enthalte aber nichts Neues, kritisiert Nikolaus Forgó, Professor für Rechtsinformatik in Hannover: "Da steht drin, was auch schon vorher galt. Weiterhin kann sich der Betroffene hauptsächlich auf dem Weg des Zivilrechts wehren - und das greift meistens zu kurz." 75 000 Euro Bußgeld musste ein Niederländer zahlen, der mit neun Milliarden unerwünschter Mails etwa 40 000 Euro verdient hatte. Ein amerikanischer Spam-Versender wurde im vergangenen Herbst zu drei Jahren Haft verurteilt. Doch das sind spektakuläre Einzelfälle - bislang droht Spammern kaum Gefahr.

Die schlimmste Spam-Region der Welt ist Asien. Nach Angaben des Softwareherstellers Sophos kommen von dort mehr als 40 Prozent aller unerwünschten Mails, die Hälfte davon aus China. Mehr als 25 Prozent aller Spam-Mails kommen aus den USA - allerdings von gekaperten Rechnern. Noch gilt das Gesetz des Wilden Westens. Hilf dir selbst, sonst hilft dir keiner. Freuen können sich darüber Anbieter von Antiviren- und Antispam-Programmen.

Unternehmer sind - anders als Privatleute - verpflichtet, Mindeststandards bei der IT-Sicherheit zu erfüllen. Immer öfter enthält Spam nicht nur Werbung, sondern auch Schad-Software, deshalb ist umfassender Schutz wichtig.

IT-Sicherheit basiert auf drei Grundsätzen: der Verfügbarkeit, Vertraulichkeit und Unversehrtheit von Daten und Informationstechnik. Diese Pflichten des Unternehmens sind in verschiedenen Gesetzen festgelegt, unter anderem im Aktiengesetz, im GmbH-Gesetz und im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich. Beim Schutz personenbezogener Daten kann mangelhafte IT-Sicherheit sogar Bußgelder oder Freiheitsstrafen nach sich ziehen - zusätzlich zu Schadenersatzansprüchen oder etwa der Kürzung von Versicherungsleistungen.

Schlimmer als durchgelassener Spam: eine irrtümlich aussortierte Rechnung

Besonders haarig: Das Bundesdatenschutzgesetz enthält eine Beweislastumkehr. Bei Datenmissbrauch heißt es grundsätzlich zuerst: Die Firma ist schuld. "Bezüglich der Haftung gilt nur für den Fall etwas anderes, in dem das Unternehmen die 'gebotene Sorgfalt' beachtet hat", sagt der Münchener Rechtsanwalt Max-Lion Keller, der sich auf IT-Recht spezialisiert hat. Einen Überblick über diese "gebotene Sorgfalt" gibt der im Internet verfügbare Leitfaden des Bundesamtes für Sicherheit in der Informationstechnik "IT-Sicherheit für kleine und mittlere Unternehmen". Er erklärt wichtige Sicherheitsmaßnahmen und Schwachstellen inklusive Fallbeispiele und Checklisten. Eine Firewall, ein Virenscanner und sichere Passwörter gehören unbedingt dazu.

Bei Großunternehmen ist all dies in der Regel Standard, aber im Mittelstand, wo E-Mail nicht das wichtigste Kommunikationsmittel ist, fehlt "bei vielen die Reife, etwas zu unternehmen", sagt Michael Eggers, Leiter der IT-Kommission Nord im Bundesverband der mittelständischen Wirtschaft. Mit Schulungen und einer 24-Stunden-Hotline sollen die Mitglieder aufgeklärt werden.

Die erste Abwehrmaßnahme gegen Spam ist einfach. Je weniger Menschen eine E-Adresse kennen, desto besser. Ein Kontaktformular auf der Unternehmens-Website ist sicherer, als für jeden sichtbar eine E-Mail-Adresse ins Netz zu stellen. Harvester-Programme, nach dem englischen Wort für Ernte benannt, grasen das Internet nach Adressen ab und nehmen sie in Spam-Verteiler auf. Programme, die bei Abwesenheit des Mitarbeiters eine automatische Antwort schicken, sind die perfekte Bestätigung, eine funktionierende Adresse erwischt zu haben.

Spam-Filter sortieren die lästige Post aus, indem sie jede eingehende Mail nach bestimmten Reizwörtern untersuchen. Auch den Inhalt untersuchen Filter, aber mit begrenztem Erfolg. Oft werden die zweifelhaften Angebote in Bilddateien dargestellt, deren Inhalt automatische Filter nicht erkennen. Für Symantec, einen Hersteller von Anti-Spam-Programmen, werten deshalb 250 Mitarbeiter weltweit Massen-Mails persönlich aus.

Auch das alte Konzept vom guten Ruf hilft. Ironport hat ein Reputations-System mit mehr als 110 Parametern entwickelt: Liegt die Adresse des Absenders in einer Spam-Region? Verschickt sie viele Mails? Gibt es Beschwerden? Ist von dort schon mal Spam verschickt worden? Die Summe der Antworten ergibt ein genaues Bild.

Spam kann auf zwei Ebenen gefiltert werden. Eine Gateway-Lösung filtert alle ins Netzwerk eingehenden Mails auf dem Server, bevor sie den Empfänger überhaupt erreichen. Bei den Kunden von Ironport werden 80 Prozent aller Mails schon hier aussortiert.

Auch auf der Desktop-Ebene werden verdächtige E-Mails gefiltert und in einem speziellen Spam-Ordner für den Empfänger sichtbar gemacht. Denn schlimmer als durchgelassener Spam ist eine irrtümlich aussortierte erwünschte E-Mail. Ein Vertrag, eine Rechnung, eine Mahnung muss den Empfänger erreichen, zumal elektronische Post seit dem 1. Januar rechtlich wie ein Geschäftsbrief gewertet wird. Deshalb hilft der Filter auch nicht jedem. Für die Adresse des Geschäftsführers etwa sollte zur Sicherheit auch der Spam-Ordner durchgesehen werden, "selbst wenn er Hunderte von Spam-Mails enthält", sagt Michael Eggers. "Da muss der Assistent eben durch." -