Rubrik: Markt/Hintergrund

Infinigate: Der tägliche K(r)ampf im Posteingang

Brennpunkt Spam: Mit Filterlösungen gegen die Tricks der Spammer vorgehen

(19.04.04) - Jeder kennt sie, fast jeder hasst sie: Spam-E-Mails. Egal ob die Nigeria-Connection zu einer lukrativen Transaktion einlädt oder blaue Potenzpillen zum Discount-Preis verschleudert werden, Spam nervt und kostet Zeit. Untersuchungen des Gartner Instituts haben ergeben, dass der durchschnittliche E-Mail-Nutzer im Unternehmen bereits 25 Prozent seiner Arbeitszeit für das Bearbeiten von E-Mails aufwendet. Die Tendenz ist steigend, denn für die kommenden Jahre wird mit einer Verdoppelung des weltweiten E-Mail-Aufkommens gerechnet.

Über den Anteil von unerwünschter Werbung gibt es unterschiedliche Schätzungen. Einige Marktfor-schungsinstitute gehen mittlerweile davon aus, dass der Anteil von Spam-Mails bereits bei über 50 Prozent liegt. Der wirtschaftliche Schaden durch Spam, den Unternehmen besonders durch Produktivitätsverluste ihrer Mitarbeiter erleiden, geht in die Millionen. Auswüchse, die inzwischen auch die Politik auf den Plan gerufen haben.

Gesetzliches Verbot von Spam in Deutschland: Wirkungslos?

So hat der Deutsche Bundestag Anfang April dieses Jahres eine Neufassung des Gesetzes gegen den unlauteren Wettbewerb beschlossen, die quasi ein Verbot von unerwünschten Werbe-Botschaften beinhaltet. Allerdings sollte man nicht allzu optimistisch sein, dass sich die Situation in Sachen Spam dadurch wesentlich verbessern wird. Dagegen spricht auch das Beispiel des Anfang Januar in den USA in Kraft getretenen "Can Spam Act", der feste Regeln für das Versenden von Werbe-E-Mails vorschreibt und so die Flut unerwünschter Spam-E-Mails eindämmen sollte. Ein durchschlagender Erfolg war dem Gesetz in den Vereinigten Staaten bislang aber nicht beschieden. Vielmehr zeigte sich, dass Spammer beinahe täglich neue Tricks entdecken, um Schlupflöcher und rechtliche Grauzonen zu nutzen und somit ihre Botschaften weiterhin an den Mann oder die Frau zu bringen.

Für die Situation in Deutschland kommt erschwerend hinzu, dass die meisten Spammer ohnehin in den USA oder auf exotischen Inseln sitzen und deswegen kein übermäßiges Interesse an der deutschen Gesetzge-bung haben. Die Spam-Problematik wird Unternehmen also vorerst nicht nur erhalten bleiben, sondern sie wird zu einer immer größeren Gefahr.

Neue Bedrohung für Unternehmen: Brand Spoofing

Aktuell erweisen sich Brand Spoofing-Spams als ein besonders gefährlicher neuer Trend. Spammer geben sich dabei als offizielle Vertreter der Service-Abteilung eines Unternehmens, z.B. einer Bank, aus und fordern den User dazu auf, sich über einen speziellen Link in der Nachricht einzuloggen, um bestimmte Daten zu verifizieren. Der Link verweist aber auf eine Website des Spammers, die der echten Unternehmens-Seite täuschend ähnlich nachgebildet wurde. Ziel dieser Taktik ist es, an sensible Daten des Nutzers zu gelangen, die dann missbräuchlich verwendet werden können.

Besonders häufig sind Banken von Brand Spoofing betroffen. So gab es im Februar 2004 eine Welle von entsprechenden Spams, die sich an die Kunden der MBNA Europe Bank richteten. Die E-Mails waren als "offizielle Benachrichtigung" der Bank ausgewiesen und gaben vor, dass zum Einsatz eines neuen Sicher-heitssystems jeder Kunde seinen Account für ein technisches Update aktivieren müsse. Über den entspre-chenden Link in der E-Mail landeten getäuschte Kunden aber auf einer gefälschten Seite, die von den Urhebern der Spam-Nachricht in der Absicht betrieben wurde, die Log-in-Daten der Kunden zu stehlen.

Nach Beobachtungen von SurfControl (www.surfcontrol.com), laut IDC weltweiter Marktführer im Bereich Web und E-Mail-Filtering, hat sich die Anzahl entsprechender E-Mails in den USA seit Dezember 2003 bereits verdoppelt. Im März vergangenen Jahres wurden die ersten drei Typen von Brand Spoofing-Spams festgestellt, bis heute ist die Anzahl auf über 43 gestiegen. Brand Spoofing ist auch ein weiterer Beleg dafür, dass Spammer immer krimineller agieren und sich damit mittlerweile auf dem Niveau von Hackern bewegen.

Spammer werden immer dreister

Ohnehin gleicht der Wettlauf zwischen Spammern und den Herstellern von Anti-Spam-Lösungen inzwischen dem zwischen Viren-Entwicklern und den Anbietern von Anti-Virus-Software: Fast täglich tauchen neue Spams in immer neuen Variationen auf, die zum Teil mit ausgefeilten Tricks versuchen, entsprechende Filtermechanismen zu überlisten.

Ø       Eine als "Random Ramblings" bekannte Variante beispielsweise wird häufig von weniger versierten Spammern eingesetzt. Hierbei wird der eigentliche Spam-Text durch zufällige Buchstaben- und Zeichenfolgen unterteilt, die in HTML-Tags verborgen sind. Die Absicht dabei ist, statistische Filter auszuhebeln bzw. wiederholte Spams unterschiedlich erscheinen zu lassen und damit automatisierte Finger-Printing-Filter in die Irre zu führen.

Ø       "Dodgy Domains" wiederum wird zunehmend bei HTML-basierten Spams angewendet. Die Technik gibt Spammern die Möglichkeit, arglose E-Mail-Empfänger zu unge-wünschten Websites umzuleiten. Durch die Verwendung des "@"-Zeichens in der URL verhindert der Spammer URL-Scans, die die Zustellung der E-Mail unterbinden könnten. Der Empfänger denkt, dass er durch Anklicken des Buttons in der Mail an die Domain weitergeleitet wird, deren Namen vor dem "@" steht:

<a href=http://www.yahoo.com@freeviagra.com>Viagra</a>

Das tatsächliche Ziel ist dagegen nach dem "@" verborgen und führt den Anwender zu einer von ihm nicht gewünschten Website. Diese Technik wird besonders häufig in Brand Spoofing-Spams angewandt.

Ø       "Treacherous Tracks" schließlich ist eine besonders perfide Methode, bei der Spammer mithilfe ihres Webservers eine URL-Adresse mit einem Code versehen, der in der Lage ist, die E-Mail-Adresse eines Anwenders zu überprüfen, ihn online zu verfolgen und automatisch zu einer bestimmten Website umzuleiten. Eine Spam-E-Mail auf der Basis dieser Technik hätte zum Beispiel zur Folge, dass der Nutzer durch einfaches Anklicken eines harmlosen Bildes in einer E-Mail ohne sein Wissen eine Adressüberprüfung, eine Verfolgung sowie Umleitung zu einer pornografischen Website in Gang setzt. Darüber hinaus kann davon ausgegangen werden, dass sich der Empfänger, dessen Adresse ermittelt wurde, künftig über viele weitere Werbebotschaften per E-Mail freuen darf.

Filterlösungen als wirksame Waffe gegen Spam

Die genannten Beispiele verdeutlichen die Bedrohung, die von Spam ausgeht. Da für die Zukunft eher noch mit einem Anwachsen der täglichen Spam-Flut gerechnet werden muss, ist der Einsatz von entsprechender Filter-Technologie für Unternehmen unabdingbar. Viele Hersteller von Content-Security-Software haben komplette E-Mail-Filter-Lösungen im Portfolio, die neben der reinen Abwehr von Spam teilweise auch noch weitere Risiken wie beispielsweise den Versand von unzulässigen Dateianhängen wie Porno-Bildern oder die Weitergabe vertraulicher Informationen verhindern können. Die Lösungen dieser Anbieter setzen in der Regel auf einen Mix aus verschiedenen Filter- und Blockiermechanismen, um wirksamen Schutz auch gegen komplexere Spam-Techniken bieten zu können. Der E-Mail-Filter von SurfControl etwa integriert insgesamt zwölf unterschiedliche Schichten zur Abwehr von unerwünschten und gefährlichen Inhalten.

Einfache, teilweise kostenlos im Internet erhältliche Programme sind für den professionellen Einsatz eher ungeeignet. Sie setzen häufig nur eine einzige Sicherheits-Barriere ein, zum Beispiel eine Blacklist, also eine Liste bereits als Spam-Versender bekannter E-Mail-Adressen. Solche simplen Maßnahmen greifen jedoch nicht weit genug, um den Machenschaften professioneller Spammer zu widerstehen. Sie sind bestenfalls eine preiswerte Alternative für den privaten Gebrauch. Die Anforderungen an entsprechende Business-Software liegen naturgemäß höher, denn nur ein optimal funktionierender und hocheffektiver Spam-Schutz bringt einen wirklichen Nutzen für das Unternehmen und damit einen messbaren Return-On-Investment.

Wichtige Kennzahl ist die "False-Positive-Rate"

Eine wichtige Kennzahl für Anti-Spam-Software ist die so genannte "False-Positive-Rate", die angibt, wie viele, eigentlich legitime, E-Mails von der Software fälschlicherweise als Spam klassifiziert werden und somit gelöscht oder in Quarantäne gestellt werden. Sie sollte so niedrig wie möglich liegen, denn fälschlicherweise gelöschte E-Mails können für Unternehmen nicht nur lästig, sondern auch image- und geschäftsschädlich sein, wenn beispielweise auf eine Kundenanfrage nicht geantwortet werden kann und ein möglicher Auftrag somit nicht zustande kommt. Häufig haben lernfähige Filter, die ab Beginn ihres Einsatzes das individuelle Verhalten des jeweiligen Benutzers erfassen, eine besonders niedrige False-Positive-Rate, da Sie sich optimal an die Bedürfnisse der Nutzer anpassen. Lernfähige Filter haben zudem den großen Vorteil, dass sie dem Anwender das Definieren von komplexen und abstrakten Filterregeln weitgehend abnehmen.

Bei der Filterung selbst werden zumeist kombinierte Verfahren wie statistische Auswertungen und Boole'sche Sprachanalyse-Algorithmen angewandt. Herz der meisten Lösungen sind außerdem die inte-grierten Wörterbücher, die spezielles Vokabular enthalten, das häufig in Spam-Mails auftritt, also zum Beispiel "Viagra" oder "Buy now". Ankommende E-Mails können nach einzelnen Wörtern und bestimmten Kombinationen durchgescannt werden, Nachrichten mit verdächtigem Vokabular werden automatisch aussortiert. Wichtig ist, dass ein Wörterbuch mit der jeweiligen Landessprache integriert ist. Noch immer sind Lösungen auf dem Markt, deren Wörterbücher ausschließlich Englisch "sprechen". Deutschsprachige Werbebotschaften können von einer solchen Software natürlich kaum erkannt werden. Inzwischen sind auch Lösungen auf dem Markt, die neben dem reinen E-Mail-Text auch Attachments wie Bilder und sonstige Dokumente scannen können und so noch größeren Schutz vor Spam bieten.

Um stets auf dem neuesten Stand zu sein und regelmäßige Updates für die eigene Software anbieten zu können, richten fast alle Hersteller von Filter-Lösungen ungeschützte E-Mail-Boxen im Netz ein, die als Köder fungieren und einzig dem Zweck dienen, möglichst viele Spam-Nachrichten zu sammeln. Mit der jeweiligen Adresse machen die Hersteller dann alles, was man zur Vorbeugung gegen Spam eigentlich tunlichst vermeiden sollte: Die Adressen werden in News Groups, Foren und Chats eingetragen, Newsletter werden bestellt, die angebliche Unsubscribe-Funktion in Spams genutzt etc. In der Datenbank von SurfControl etwa finden sich auf diese Weise inzwischen ca. 200.000 verschiedene Typen von Spam. Da diese E-Mails allerdings jeweils auch in zahlreichen Variationen auftreten, liegt die tatsächliche Gesamtzahl noch weitaus höher und steigt beinahe stündlich weiter an. Der tägliche K(r)ampf im Posteingang geht weiter. (ma)