Unverlangt eingesandte Massen-Mails, so die offizielle Spam-Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI), schaden vor allem durch verlorene Arbeitszeit. Denn die Mitarbeiter beschäftigen sich zwangsläufig mit Spam. Ostermann Research geht davon aus, dass pro 1000 Mails etwa 200 Minuten Produktivität ungenutzt bleiben. Beinhalten die Mails darüber hinaus auch noch Viren, sind zeitaufwändige Säuberungsaktionen erforderlich. Schließlich geht auch Bandbreite der zentralen Mail-Eingänge verloren, was vor allem für größere Unternehmen teuer ist.
Hier lesen Sie …
• welchen Schaden Spam anrichtet;
• was Anwender dagegen tun können;
• was Unternehmen bei der Spam-Abwehr beachten sollten.
Anti-Spam-Strategie entwickeln
Firmen sollten sich eine Strategie zurechtlegen, bevor sie Anti-Spam-Maßnahmen ergreifen. Hier ein kurzer Leitfaden:
• Einen Workshop zur Aufnahme existierender Mail-Architekturen, Nutzerverhaltensweisen, Organisationsstrukturen und Sicherheitskenntnisse veranstalten.
• Ein Grobkonzept für eine Antispam-Policy aufstellen.
• Den Betriebsrat einbinden und Betriebsvereinbarungen gegebenenfalls modifizieren: Falls das Unternehmen den Mitarbeitern privaten Mail-Verkehr gestattet, dürfen Filter aufgrund des Fernmeldegeheimnisses Mails nicht einfach abweisen. Über die Annahme entscheiden darf der Empfänger, daher gegebenenfalls die Mail markieren und weiterleiten.
• Nutzergruppen bestimmen und evaluieren, ob Anti-Spam-Maßnahmen akzeptiert werden.
• Einen Business Case für das Management ausarbeiten.
• Evaluierungsverfahren für Produkte entwickeln (Kriterienkatalog, Evaluation, Pilot).
• Weiterbildung auch für den User Helpdesk.
• Notfall-Policy für massive Spam-Angriffe aufstellen.
• Checklisten an alle Mitarbeiter aushändigen: Umgang mit Spam sowie der eigenen Mail-Adresse.
www.computerwoche.de/go/
*81539: Beschwerdestelle für Spam;
*81373: Spam-Report;
*79153: Greylisting;
*80054: Spammer verurteilt.
Kosten für Spam-Schutz
Großprovider Provider Großunternehmen Mittelstand Kleinunternehmen
Unmittelbare Kosten jährlich1) 1 Million Euro 120 000 Euro 150 000 Euro 35 000 Euro 25 Euro
Mittelbare Kosten jährlich2) 60 000 Euro - 85 000 Euro 15 000 Euro -
Sonstige Kosten jährlich3) 150 000 Euro 10 000 Euro - - -
Kosten durch Spam jährlich4) 225 000 Euro 60 000 Euro 85 000 Euro 9000 Euro 300 Euro
Gesamtkosten pro Jahr 1,43 Millionen Euro 190 000 Euro 320 000 Euro 59000 Euro 325 Euro
Kosten pro Spam-Mail 0,026 Cent 0,2 Cent 4 Cent 6 Cent 4 Cent
Kosten pro Spam-Mail - 5) - 5) 18 Cent 18 Cent 66 Cent ohne Anti-Spam-Maßnahmen
1) Traffic, Speicher, Verwaltung, Personal; 2) Produktivitätsverlust; 3) Imageschaden; 4) Verbleibende Kosten durch Spam, nach der Einführung von Spam-Schutzmaßnahmen; 5) Da die Gesamtsumme der Kosten ohne Spam-Schutzmaßnahmen nicht gebildet werden kann, ist es nicht möglich diesen Wert zu beziffern. Die Kosten würden jedoch, genau wie in den anderen Fallbeispielen, mittelfristig die Kosten mit Spam-Schutz übersteigen. Quelle: BSI
Spammer-Profit versus Schaden beim Empfänger
Spammer Spam-Auftraggeber Empfängerkosten (ohne Filter)
Eine Million Spam- Kosten: Keine Kosten/ 140 000 Euro (nur Arbeitszeit bei zehn Mails versenden/ 100 Euro Einnahmen Sekunden pro Spam-Mail und 50 Euro empfangen Arbeitskosten pro Stunde)
Lesen von einem Pro- Keine Kosten/ Keine Kosten/ 8000 Euro (nur Arbeitszeit, bei weiteren zent der Spam-Mails Einnahmen Einnahmen 60 Sekunden für Lesen und Web-Zugriff)
Kundengewinnung Keine Kosten/ Keine Kosten/ 400 Euro durch 0,01 Prozent Einnahmen Einnahmen (nur Arbeitszeit, bei weiteren 300 der Spam-Mails Sekunden für die Bestellung)
Umsatz bei 100 Einnahmen: 5000 Euro Abzüglich Ausgaben: 5000 Euro für ein oft illegales erfolgreichen Spam- 1500 Euro Provision für den oder nutzloses Produkt Mails und 50 Euro (30 Prozent Spammer von Bestellwert Provision) 1500 Euro
Ergebnis 1400 Euro 3500 Euro 153400 Euro Quelle: BSI
Oftmals auch aus Unwissenheit tun vor allem kleine und mittelständische Unternehmen zu wenig für ihre Sicherheit. Fatal wirkt etwa ein fahrlässiger Betrieb von offen zugänglichen Mail-Servern (Open Relay). Sie existieren außerhalb des internen Netzes, um etwa Außendienstmitarbeitern den Versand und Empfang von Mails mit fremden Domains zu ermöglichen. Dies nutzen Spammer aus, um ihre eigenen Mails unbemerkt über die offenen Relaisplattformen zu verschicken. Auf die gleiche Weise dienen auch falsch konfigurierte Proxies, die außerhalb des LAN nutzbar sind, als mögliche Sendestationen. Betroffene Unternehmen kostet dies viel Reputation. Außerdem geraten sie unter Umständen auf Anti-Spam-Listen im Internet und erhalten kaum noch Mails.
Bedrohung durch Botnets
Die Hauptgefahr massiver Spam-Attacken geht heute von Bot-Netzen ("Botnets") aus. Diese fernsteuerbaren Netzwerke entstehen aus privaten, aber auch Unternehmens-PCs, die schlecht konfiguriert sind und sich infiziert zu einer Art Spam-Schleuder zusammenschalten können. Heutige Netzanschlüsse und PC-Hardware bieten derartige Leistungsreserven, so dass Botnet-Betreiber sie unbemerkt mitnutzen und an diesen illegalen Aktvitäten recht gut verdienen können. Das einzige Mittel, die Botnets zu identifizieren, sind permanent laufende aktuelle Antivirenprogramme.
Zentrales Gateway
Wer gegen Werbemüll Vorsorge treffen will, konfiguriert ein zentrales Mail-Gateway. Das nimmt keine Botschaften von Fremden an, die nicht für die eigene Domain bestimmt sind. Auch Weiterleitungen dürfen nur erfolgen, wenn die beteiligten IP-Adressen bekannt sind. Dabei bestehen Mail-Systeme häufig aus mehreren Rechnern, die sich gegenseitig vertrauen. Es kann vorkommen, dass zwar jeder Rechner für sich sicher konfiguriert ist, sie zusammen jedoch immer noch als Relay fungieren. Auch Proxys dürfen nur aus dem lokalen Netz oder nach einer Authentifizierung Verbindungen ins Internet herstellen. Nur dem zentralen Mail-Gateway und keinen anderen Proxys oder Rechnern dürfen direkte Verbindungen zum SMTP-Port (Simple Mail Transfer Protocol) erlaubt sein. Auf diese Weise können auch einzeln befallene Rechner nicht mehr zum Spam-Versand dienen.
Als präventive Maßnahme eignet sich das MTAMark-Verfahren (MTA = Mail Transfer Agent). Dabei sind im Domain Name System (DNS) einer IP-Adresse die Systeme gekennzeichnet, die beispielsweise ein Unternehmen zum Mail-Versand zulässt. Der Empfänger einer Mail kann prüfen, ob ein legitimer Sender (MTA) verwendet wurde. Fehlt dieser Eintrag, liegt es im Ermessen des Empfängers, ob er die Mail dennoch öffnet.
Zum Filtern von Spam sollten Anwender mehrere Verfahren kombinieren. Verbreitet sind die Black- und Whitelists. Während die Blacklists IP-Adressen enthalten, von denen nur Spam zu erwarten ist, führen die Whitelists Quellen auf, die als vertrauenswürdig gelten. Vor allem diese weißen Listen pflegen Unternehmen noch manuell, um Fehler zu vermeiden. Beispielsweise müssen Versandhäuser als Absender legitimer Massensendungen häufig von Hand eingetragen werden, weil sie sonst automatischen Filtern zum Opfer fallen können. Shared Whitelists, an denen sich möglichst viele E-Mail-Dienste und Internet-Service-Provider beteiligen, erhöhen zwar die Effektivität des Systems. Offen bleibt aber, ob hier wirklich eine unabhängige Stelle darüber wacht, ob eine Unternehmensquelle vertrauenswürdig ist.
Schwarze Listen
Dass eine IP-Adresse umgekehrt auf eine schwarze Liste gehört, lässt sich zwar relativ zweifelsfrei klären. Dennoch spielt auch hier das verwendete Regelwerk eine wichtige Rolle. Sehr verbreitet sind DNS-basierende Blacklists (DNSBLs), die von Anti-Spam-Organisationen und Communities gepflegt werden und in der Regel gute Ergebnisse erzielen. Über das Domain Name System (DNS) einer IP-Adresse ermöglichen sie dem Mail-Server eines Unternehmens schnelle und automatisierte Abfragen, ob eine Mail unter Spam-Verdacht steht. Viele DNSBLs verwenden jedoch unterschiedliche Policies: So nehmen einige Listen bei wiederholten Verstößen nicht nur einzelne Adressen, sondern ganze Netze auf, wodurch auch unschuldige Rechner ins Zwielicht geraten können. Weiterhin existieren Listen auf DNS-Basis, bei denen nicht ein zentraler Administrator, sondern jedermann Einträge vornehmen und löschen darf. Zwar sind hier Prüfungen hinterlegt, diese schließen aber nicht jeden persönlich begründeten Rachefeldzug aus. Zudem müssen Nutzer laufend prüfen, ob die Blacklists regelmäßig auf den neuen Stand gebracht werden.
Ein neuerer, aber bereits gut funktionierender Ansatz sind Greylists. Dabei lehnt der Mail-Server erst einmal jede Nachricht eines noch nicht bekannten Absenders ab. Mail-Systeme von seriösen Versendern unternehmen in diesem Fall kurze Zeit später einen zweiten Versuch, weil sie davon ausgehen, dass der Empfänger zeitweilig nicht über genügend Ressourcen verfügt hat. Die zweite Nachricht lässt der Filter dann anstandslos passieren. Spammer versenden ihre Mails in der Regel kein zweites Mal, da die hierfür erforderliche Bandbreite viel zu kostspielig wäre. Zu befürchten bleibt aber, dass sich ihre Technik irgendwann auf die Greylists einstellt. Zum Einsatz kommen diese immer in Kombination mit Whitelists, etwa weil sich bestätigte Adressen dorthin übertragen lassen.
Individuelle Filter
Während listenbezogene Filter bereits am zentralen Mail-Gateway platziert sind, können spezifischere Verfahren, die den Inhalt der Nachrichten analysieren, auch direkt auf dem Client-System arbeiten. Dadurch übernimmt dieses zwar einen geringen Anteil am Rechenaufwand, kann den Filter aber auch individuell an die Gewohnheiten des einzelnen Nutzers anpassen. Denn während das zentrale Gateway in der Regel Mails, die das Schlüsselwort "Viagra" enthalten, sofort blockt, würde ein speziell durch den Benutzer trainierter Filter auf dem PC eines Pharmazeuten eine solche Mail selbstverständlich zulassen. An zentraler Stelle reicht dann auch ein weniger restriktiver Filter.
Eine weitere von vielen Anti-Spam-Methoden bilden Authentifizierungsverfahren. Sie prüfen, ob Rechner überhaupt E-Mails für bestimmte Absender-Domains versenden dürfen. Problematisch ist hier aber, dass die unlauteren Werber relativ leicht Zugriff auf Wegwerf-Domains erhalten.
Hash-Datenbanken
Zertifikatsbasierende Methoden, die Signaturen überprüfen, sind wiederum recht aufwändig. Besser als einige inhaltsbezogene Methoden wirken schließlich Prüfsummenverfahren, die Hash-Codes für einzelne Zeilen einer Mail berechnen und mit Internet-Datenbanken vergleichen, in denen die Codes von Spams gespeichert sind. Vor allem kommerzielle Hash-Datenbanken weisen hier gute Filterraten auf.
Letztendlich schützt kein Verfahren hundertprozentig vor Spam. Welche Methoden geeignet sind und wie sie kombiniert werden können, hängt unter anderem von den Nutzergewohnheiten ab. So sollte ein Helpdesk nicht mit restriktiven Filtern ausgestattet sein, da diese fälschlicherweise auch echte Anfragen, die beispielsweise in Kopie eine Spam-Mail beinhalten, blocken können.
Nicht alle Anti-Spam-Verfahren sind rechtlich unbedenklich. Immer sind auch die Bestimmungen des Datenschutzrechts und des Post- und Fernmeldegeheimnisses zu beachten. Falls ein Unternehmen Schutzmechanismen nachlässig einsetzt oder über Open Relays unbewusst mit Viren besetzten Spam verbreitet, können zukünftig unter Umständen auch Schadenersatzansprüche die Folge sein. Klärende Urteile gibt es bisher kaum, dennoch verpflichtet beispielsweise das Gesetz zur Kontrolle und Transparenz (KonTraG) die Unternehmen zu ausreichendem IT-Risiko-Management und sicheren Netzinfrastrukturen. Nur mit Firewalls und Virenschutz ist jedenfalls niemand mehr sicher. (fn)