Die Attraktivität der Email 2010 - Evolution aufgrund von Spam

Aus Winfwiki

Wechseln zu: Navigation, Suche
Fachhochschule:FOM - Fachhochschule für Ökonomie und Management Berlin
Anlass: Fallstudie I im Rahmen des 4. Semesters zum Bachelor of Science (Wirtschaftsinformatik)
Thema der FS:Die Attraktivität der E-Mail 2010 - Evolution aufgrund von Spam
Betreuer:Dr. Vladimir Stantchev
Namen der Autoren:
Marcel Büttner
Christian Ziebarth
André von Deetzen
René Ihle


Inhaltsverzeichnis


1 Abstract

Die Fallstudie soll sich umfassender mit der Attraktivität der E-Mail befassen. Dies soll in Hinblick auf heutige Anforderungen und Probleme geschehen. Das bedeutet, dass in diesem Kontext verschiedene Auswirkungen durch Spam, wie wirtschaftliche, rechtliche oder technische Aspekte beleuchtet werden sollen und ebenfalls auch derzeitige Lösungsansätze. Die Rechercheeffekte und Ergebnisse sollen weiterführend als Grundlage zur eigentlichen Diskussion herangezogen werden, wenn es um die Fragestellung der E-Mail als Kommunikationsmittel geht:

  • Wird sie ihrem ursprünglichen Konzept noch gerecht?
  • Hat der damalige Ansatz heute noch bestand?
  • Gab es damals nicht umzusetzende Anforderungen, die erst heute oder gar in Zukunft technisch realisierbar sind?

Weiterhin stellt sich die Frage, ob weitere Anforderungen hinzugekommen sind, die z.B. auch alternative Kommunikationsmittel und Komplettlösungen, wie Google Wave, Social Networks, Instant Messaging usw. bedienen können. Als Ausblick sei ein Pilotprojekt erwähnt, welches das Konzept der elektronischen Post aufgreift und versucht Schwachstellen zu beseitigen. Es wird hier in der Fallstudie angestrebt, deutlich einen Rückschluss zu den bisher vorgstellten Anforderungen zu ziehen. Der Abschluss der Fallstudienvorstellung soll ein vorläufiges Fazit zu den Überlebenschancen der E-Mail und ihrer Stellung gegenüber ihren Konkurrenten bilden.

2 Einleitung

2.1 Vorgehensweise

Um dieses Thema näher zu betrachten wurden folgende Kreativitätstechniken angewendet

  • Brainstorming[1]
  • Freewriting[2]

Dabei wurde in drei Phasen vorgegangen. Innerhalb der ersten Phase wurde das Brainstorming durchgeführt. Danach wurden die entstandenen Knoten geclustert und es entstand eine grobe Themenabgrenzung. In der zweiten Phase wurde die Freewritingmethode von jedem Gruppenmitglied der Fallstudie durchgeführt. Die so entstandenen Ideen und Texte wurden in der dritten Phase von jedem einzelnen Vorgetragen, ohne dass der gerade Vortragende dabei unterbrochen werden durfte. Nach der dritten Phase standen die Roadmap der Fallstudie fest und es konnte ein passender Titel gefunden werden.

2.2 Ziel

Diese Fallstudie verfolgt unterschiedliche Ziele. Als ersten Schritt sollen grundsätzlich inhaltliche Ergebnisse erreicht werden. Das bedeutet, dass direkte Vorstellungen im Fokus stehen, wie:

  • Betrachtung der Fähigkeiten der E-Mail
  • Analyse ihres Stellenwertes
  • Reflexion von Problemen für die E-Mail-Technologie und durch E-Mails

Indirekt wird das Ziel und die Frage verfolgt, ob überhaupt eine allgemein- und endgültige Aussage zur E-Mail und Ihrer Überlebenschance zu treffen ist. Ziel und Mehrwert durch die Fallstudie selbst soll vielmehr praktischen Charakter aufweisen. Hier sollen Intentionen wie folgt geklärt werden:

  • Schaffung einer Informations- und Bewertungsgrundlage für Anwender, Administratoren und Entscheidungsträger
  • Entscheidungsbasis und Handlungsspielraum für Unternehmen klären (siehe vor allem rechtlicher Rahmen und Kosten)

Dabei soll am Ende dieser Fallstudie aber keine Vorlage oder Kriterienbogen entstehen, sondern vielmehr eine Art Aufklärung betrieben werden, damit eine individuelle Entscheidung im Kontext des Geschäfts- und Anwendungsbereiches möglich ist.

3 Geschichte der E-Mail

Die Geschichte der Nachrichtenübermittlung ist so alt, wie das erste geschriebene Wort selbst. Damals wie heute ist der Kern der Nachrichtenübermittlung, jemanden eine Information zukommen zu lassen. Das damalige Problem war es, Nachrichten über große Entfernung schnell und zuverlässig zu übertragen.[3] Zu Beginn wurden niedergeschriebene Texte über einen physischen und somit sehr langsamen Weg überbracht. Mit der Erfindung der Telegrafie begann die Erfolgsgeschicht der elektronischen Nachrichtenübermittlung. Die Nachricht wurde über verlegte Metallleitungen mittels elektronischer Impulse übermittelt. Der entscheidende Vorteil zu allen anderen Methoden zuvor, war die Geschwindigkeit, in der Informationen übermittelt werden konnten. Noch an das Medium Metallleitung gebunden, war der nächste gravierende Schritt, die Nachrichtenübermittlung über Funkwellen. Darauf folgte schnell die Sprachübertragung - die Telefonie über zweiadrige Metallleitungen. Mit der Erfindung der Telefonie war es erstmals möglich, Signale in beide Richtungen zu übertragen. Bis zu diesem Zeitpunkt war die Übertragung nur in eine Richtung möglich. Kurz darauf wurde begonnen Telefonleitungen, erst oberirdisch, dann unterirdisch, zu verlegen. Das Kabelnetz gewann rasant an Größe und verband Städte, Länder und letztlich auch Kontinente. Die Grundlage für die Vernetzung von Computern war geschaffen. Alle Methode und Entwicklungen der Nachrichtenübermittlung wurden meist durch Regierungen und Militär unterstütz und vorangetrieben. Nicht nur Regierungen und Militär nutzten die neuen Errungenschaften. Auch im zivilen Leben wuchs die Begeisterung und Nutzung der elektronischen Nachreichenübermittlung.

In den frühen 1960er Jahren begann man, im Auftrag des US-Militär, mit der Entwicklung des ARPANET[4]. Dies hatte zum Ziel, die damaligen Computer, die noch so groß wie Kleiderschränke waren, miteinander zu verbinden und kommunizieren zu lassen. So gelang es den Forschern, Computer erstmals über größere Entfernungen miteinander zu vernetzen. Es waren vier amerikanische Universitäten, welche zuerst miteinander verbunden waren. Für diese Verbindung wurden die bereits verlegten Telefonleitungen genutzt. Dem amerikanischen Ingenieur Ray Tomlinson, damals tätig für BBN[5], gelang es erstmals 1971 eine elektronische Nachricht mit Testcharakter zu übermitteln. Die Computer befanden sich seiner Zeit noch in ein und demselben Raum. Tomlinson nutzte dafür ein bereits existierendes Nachrichtenprogramm und entwickelt es für seine Versuche weiter. Das Programm SNDMSG[6] konnte bisweilen nur Benutzern desselben Computers Nachrichten zukommen lassen. Tomlinson verknüpfte das bestehende ARPANET mit diesem Programm. Bereits zu diesem Zeitpunkt war das @-Symbol das eindeutige Trennzeichen. Denn Tomlinson benötigte ein Zeichen, bei dem es ausgeschlossen war, dass es in einem Namen vorkommt. Das @ hat bis heute seine Berechtigung nicht verloren. Das Prinzip von SNDMSG war einfach: Jeder Benutzer hatte eine Mailbox, in der Nachrichten für einen Benutzer hinterlassen konnte. Dies geschah damals alles lokal auf einem Computer.
Die Idee von Tomlinson war es, die Mailbox mit dem Hostnamen getrennt mittels @ zu verbinden. Damit war es ihm möglich, die Mailbox eines Benutzers zu erreichen, welche sich auf einem anderen Computer im Netzwerk befand. Dieses Grundgerüst der E-Mail besteht in weiterentwickelter und modifizierter Form bis heute.

Dieser Meilenstein der elektronischen Nachrichtenübermittlung verbreitet sich mit hoher Geschwindigkeit [7] und gewann zunehmend an Akzeptanz. Bereits zwei Jahre später wurde das ARPANET zu 75% für die Übertragung der E-Mail genutzt. Zum Versenden der E-Mail wurden das Mailbox Protokoll und FTP-Mail-Protokoll genutzt. Beide wurden in den frühen 1970er Jahren entwickelt.
Mit der Entstehung des Internet aus dem ARPANET, im Jahr 1980 und den damit verbunden Möglichkeiten, entwickelte sich auch die E-Mail weiter. Unter dem Standard RFC 821[8] wurde SMTP[9] entwickelt und von Jon Postel 1982 veröffentlich. Das Protokoll hat bis heute in modifizierter Form Bestand. Zu beginn war SMTP ein reines ASCII-Protokoll, womit es nicht möglich war, Binärdaten zu übertragen. Erst durch Weiterentwicklungen [10], wie MIME[11] und Base64[12], wurde die Möglichkeit geschaffen Binärdaten mittels Kodierung in ASCII zu übertragen.

Deutschland erreichte die erste E-Mail am 3. August 1984 um 10:14 MEZ. Laura Breeden („breeden@scnet-sh.arpa“) sendete diese Nachricht am 2. August 1984 12:21 aus der Universität Cambridge. Der Empfänger war Michael Rotert („rotert@germany“), welcher an der Universität Karlsruhe (TH) tätig war. Übermittelt wurde folgende Grußbotschaft: „This is your official welcome to CSNET. We are glad to have you aboard“ [13].

Ab den 1980er Jahren wurden die Standards der E-Mail-Übertragung, bis zu seiner heutigen weltweit verbreitete, Form, stetig weiterentwickelt.

4 Spam

4.1 Was ist Spam

Als SPAM (Spiced Porc and Ham, siehe nachfolgende Erklärung) werden E-Mails bezeichnet, welche unverlangt zugestellt werden. Definiert wurde dies durch eine Kommission der europäischen Gemeinschaft.[14] Die Bezeichnung SPAM ist dem Dosenfleisch der Firma Hormel Foods aus den USA entliehen. Die Internetgemeinschaft kam über einen Restaurant-Sketch darauf. In diesem Sketch stehen nur Dosenfleischgerichte auf der Speisekarte ein Gast verlangt trotzdem permanent Gericht ohne „SPAM“. Diese Bitte wird jedoch fortwährend ignoriert. Das Wort SPAM wurde über 130-mal erwähnt.[15] Unerwünschte E-Mails tragen begründet darin nicht nur den Namen SPAM, sie werden oftmals auch als Junk-Mail bezeichnet, was so viel bedeutet wie wertlose, Müll-, Ramsch- u. w. Mail. Solche Mails sind i. d. R. weder geschmackvoll noch von hohem inhaltlichen Wert geprägt. Rechtlich gesehen, zählen Werbemails von Unternehmen, wenn auch nur bedingt erwünscht, nicht zu SPAM, wenn bereits ein Kontakt zwischen Sender und Empfänger besteht. Dazu zählen bspw. Newsletter im B2B als auch B2C Bereich.[16]

Für eine rechtliche Definition lässt sich Folgendes ableiten:[17][18]

  • Es besteht noch kein Kontakt zwischen Sender und Empfänger
  • Die E-Mail wurde nicht angefordert
  • Nichtkommerziellen werbenden Inhalt enthält
  • Der Versand ist anonym, der tatsächliche Absender versucht sich zu verschleiern
  • Massenversand nichtangeforderter Werbe- E-Mails
  • Werbebeiträge in Newsgroups, die nichts mit dem Thema der Newsgroup zu tun haben
  • Kettenbriefe

Nicht nur E-Mails, in denen Waren und Dienstleistungen angepriesen werden, können SPAM sein, es kann wie folgt, noch weiter differenziert werden:

  • Karitative Inhalte
  • Politische Inhalte
  • Angriffe (phishing, Schadsoftware)
  • Kettenbriefe

Solche SPAM-E-Mails sind unterteilt in zwei Kategorien:

  • Unsolicited Commercial E-Mail (UCE)
  • Unsolicited Bulk E-Mail (UCE)

Der Unterschied zwischen beiden ist der kommerzielle werbende Inhalt.

Neben öffentlichen Definitionen, ist das Empfinden, was SPAM und was nicht SPAM ist, sehr subjektiv und stark von der Individualität des Empfängers abhängig. Welches das Erstellen allgemeingültiger Filterregeln für SPAM sehr erschwert.

4.2 Rechtslage

Rechtliche Rahmenbedingungen sind in den meisten Fällen sehr komplex und äußerst detailliert, so dass möglichst alle Eventualitäten genau beschrieben und deren Rechtslage festgelegt sind. In diesem Kontext ist dies jedoch anders. Momentan ist der Zustand recht problematisch und grob bzw. allgemein abgegrenzt. Jedoch werden zunehmend gesetzliche Grundlagen und Richtlinien geschaffen, um klarere Aussagen zu treffen und dem Verbraucherschutz Rechnung tragen zu können. Beispielsweise wird ein direktes Anti-Spam-Gesetzt bereits seit 2004 im deutschen Bundestag beraten, wobei eine tatsächliche Verabschiedung noch nicht in Aussicht ist [19]. Grundsätzlich heißt es: "Die Versendung von unerwünschten E-Mails mit besonders schädlichen Inhalten ist in der Regel strafbar" [20]. Unter diesen Aspekt fallen E-Mails mit pornographischen Inhalt, die auch an Minderjährige gesandt werden können, betrügerischen Inhalt oder Identität besitzen, die Computerviren oder Würmer enthalten oder wenn es sich um unerbetene E-Mails mit Werbecharakter handelt, dem sogenannten Spamming.

Das Postgesetzt (PostG), Telekommunikationsgesetz (TKG) [21] und das Gesetz gegen den unlauteren Wettbewerb(UWG) stellen die gesetzlichen Grundlagen in diesem Zusammenhang dar. In letzter Instanz wird immer das allgemeingültige PostG herangezogen. In diesem wird vor allem in §39 Abs. 2 und 3 [22] der Gegenstand des Postgeheimnisses beschrieben. Auswirkungen in praktischer Hinsicht hat dies auf die Filterung und Veränderung von E-Mails. So haben folgende Paragraphen des StGB deutlich relevanten Bezug auf das automatische Löschen und Melden von Spam [23]. Hier heißt es, dass eine Verletzung des Post- und Fernmeldegeheimnisses vorliegt und als Straftat gilt:

  • wenn eine E-Mail als Spam identifiziert wird, was zwangsläufig über inhaltliche Erkennung stattfindet, sei sie manuell oder elektronisch, automatisch (Abs. 1 und 2)
  • wenn das Fernmeldegeheimnis von betroffenen oder außenstehenden Parteien verletzt wird (Abs. 4).

Dabei ist der Hintergrund unbedeutend, d.h. ob es sich um den Betrieb bzw. die Dienstleistung von Kommunkionssystemen oder lediglich die Übermittlung von E-Mails handelt (Abs. 3). Ebenfalls ist der Zeitpunkt irrelevant, d.h. ob die Transaktion momentan stattfindet oder bereits stattgefunden hat (Abs. 5). Der Paragraph 303a StGB befasst sich mit der Datenveränderung [24]. Er sagt aus, dass letztlich E-Mails nichts gelöscht und dem Empfänger vorenthalten werden dürfen, auch wenn es sich ganz offensichtlich um Spam handelt.

Das TKG, welches 2007 im Rahmen des ElGVG[25] in Kraft getreten ist, erweitert und vereinheitlicht nun Vorschriften über elektronische Informations- und Kommunikationsdienste. Besonders bedeutsam hierbei sind § 3 und § 88 [26]. Ersterer grenzt den Begriff der Dienstleistung in diesem Kontext ab, um ein Fundament zu schaffen, an der Personen feststellen können, ob diese Gesetze auf Ihren Einsatz anzuwenden sind. Hier heißt es, dass eine solche Tätigkeit vorliegt, sofern die betroffene Person ganz oder nur teilweise am Aussenden, Übermitteln oder Empfangen elektronischer Nachrichten beteiligt ist. Weiterhin wird geklärt, dass dies Personen betrifft, die direkt und geschäftsmäßig eine solche Leistung erbringen oder nur indirekt als Erfüllungsgehilfe fungieren.

Bei den meisten bisherigen Argumenten und Rechtsangelegenheiten steht der Empfänger und vor allem der Verbraucher im Vordergrund. Firmen jedoch berufen sich bei Fragen oder Problemen auf das UWG. Hier wird Spam als unzumutbare Belästigung aufgefasst und somit als unzulässig eingestuft. Paragraph 7 behandelt diesen Umstand in Hinsicht auf Werbemails [27]. Werbung über E-Mails ist nur erlaubt, wenn der Anbieter den Kunden um sein Einverständnis gebeten und dieses auch erhalten hat, dem so genannten Opt-In-Verfahren. Eine besondere äußere Form ist dabei nicht vorgeschrieben. Die Erklärung muss allerdings durch den Anbieter technisch und organisatorisch nachweisbar sein. Diese Regelung hat nur Gültigkeit, sofern der Einverständniserklärung nicht bereits widersprochen und der Kunde deutlich darauf hingewiesen wurde, dass die Daten zweckgebunden sind und der Verwendung jederzeit wiedersprechen kann [28]. Erlaubt sind ebenfalls Werbemails, die im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung einhergehenden Datenerhebung stattfinden und Themenbezogen sind bzw. ähnliche Waren oder Dienstleistungen behandeln [29]. Weit verbreitet ist dieses Verhalten bei Shop-Systemen. Zu diesem Sachverhalt wurden bereits erste Urteile in Deutschland gesprochen [30].

Richtlinien für den verantwortungsbewussten Werber sind mitunter im Telemediengesetz (TMG) aufgeführt [31]. Folgende Spielregel sollten beachtet werden:

  • kommerzielle Kommunikation muss als solche erkennbar sein, d.h. in Kopf- und Betreffzeile, um schnell und frei über die E-Mail-Handhabung entscheiden zu können, ohne diese öffnen zu müssen
  • Absender und Person, in deren Auftrag die E-Mail verschickt wurde müssen klar erkennbar sein
  • die Werbemails müssen gültige Reply-E-Mail Adressen enthalten, über die kostenlos ein Widerruf stattfinden kann
  • Adressen werden nur zum angegebenen Zweck (z.B. Newsletter) und unter Berücksichtigung der erläuterten Datenschutzrichtlinien verwendet.

Als Opfer von Spam kann eine Beschwerde an den Provider des Absenders gerichtet werden. Dies ist allerdings nur sinnvoll, wenn der tatsächliche Versender und der in der Werbemail genannte Absender auch wirklich identisch sind. Den großen Server-Providern im Hintergrund, deren Kunden die Mieter dieser Server und des angeblichen Spammings sind, ist dieser Umstand gleichgültig. Sie versuchen sich in den meisten Fällen durch zusätzliche Klauseln in den Verträgen und AGBs abzusichern und eindeutig gewolltes oder irrtümliches Spamming zu verbieten. Betreibt ein Kunden dennoch Spam-Aktionen kann der Provider seinen Vertrag kündigen [32]. Doch ab wann wird von einem Tatbestand oder einer Massensendung gesprochen? Elektronische Post gilt als zugesendet, sobald die Nachricht für den Empfänger abrufbar ist. Das ist der Fall, wenn die Mail beim E-Mail-Server zum Download bereit liegt und zugänglich ist. Eine Massensendung gilt laut Gesetzt bereits ab 50 Empfängern, wobei es sich um 50 unterschiedliche oder 50 mal dieselbe E-Mail-Adresse handeln kann.

Im Business-to-Business-Bereich (B2B) verhält es sich widerrum anders. Zwar wird in Europa Spam für rechtswidrig erklärt, jedoch weist diese Verordnung [33] Probleme auf, denn B2B-E-Mails sind davon ausgenommen. Ein Unternehmen kann folglich Spam an jede E-Mail-Adresse eines anderen Unternehmen schicken, ohne gegen geltendes Recht zu verstoßen. Grundsätzlich ist die Rechtslage aus terretorialer Perspektive sehr kritisch zu betrachten. Schon innerhalb der EU können die Mitgliedstaaten ihre eigenen Gesetze und deren Strafmaß selbstständig festlegen. Auch im Business-to-Customer-Bereich (B2C) ist, trotz EU-Richtlinien und möglichen Gesetzgebungen der einzelnen Länder, Spam vor dem Gesetz schwer zu handhaben, da ein Großteil an Spam-Mails aus dem Ausland stammt [34], wo deutsches oder europäisches Recht mitunter schwierig durchzusetzen ist [35]. Australien bspw. hat bereits 2004 einen eigenständigen Spam Act auf Basis eines Opt-In-Konzeptes verabschiedet. Zudem wurden dort bereits einige Spammer sogar schon aufgrund früherer Gesetze veruteilt. "Die britische Zeitung The Guardian hat im Juni 2004 berichtet, dass Spammerbanden ihre Aktivitäten in das Vereinigte Königreich verlegen, um von der dortigen milden Gesetzgebung zu profitieren. Die Höchststrafe für Spammer beträgt im UK 5.000£, während sie in Italien mit drei Jahren Gefängnis rechnen müssen. Im Juni 2004 war im Vereinigten Königreich noch niemand nach der Maßgabe dieses Gesetzes verurteilt worden" [36]. Allen voran ist die USA, bei der bereits seit 1997 eine Rechtssprechung gegen Spam besteht und durchaus bis in die letzten Jahre immer wieder erweitert und aktualisiert wurde. Anders als in Deutschland hat diese Gesetzesgrundlage höhere Priorität als die Gesetzgebung in den Einzelstaaten. Dadurch ist es möglich innerhalb des Landes über Bundesgrenzen hinweg Dauerspammer rechtlich zu verfolgen. Dies führte nicht zur erhofften Abschreckung, wie ein Kommitee CAUCE[37] im Laufe der Jahre zeigt – und dies trotz mehrerer Aufsehen erregender Verfahren. Vielerseits wird das amerikanische Rechtskonzept in zwei Punkte als mangelhaft angesehen:

  1. es beruht auf dem Opt-Out-Verfahren, bei dem Verbraucher sich ausdrücklich gegen den Empfang von Werbemails aussprechen müssen
  2. es können nur Internet Service Provider (ISP) rechtlich gegen Spammer vorgehen.

Trotz einiger Gesetze und Richtlinien steht dennoch der Empfänger von Werbemails ganz klar in der Verantwortung Spam zu melden und sich somit aktiv in der Verfolgung und Reduzierung der Spam-Bedrohung zu beteiligen.

Exkurs: Spam-Fallen vor dem Gesetz
Die Verfolgung von Spam verstößt nicht gegen geltendes Gesetz und ist sogar vielerseits erwünscht und gängige Praxis. Wenn es gelingt, die Identität des Spammers festzustellen, können auch rechtliche Schritte eingeleitet werden, um Schadenersatz und Unterlassungen zu erwirken. Dazu können Harvester[38] ausgelegt werden, wie bspw. der Einbau unsichtbarer E-Mail-Adressen auf Webseiten, um Spam-Bots zu ködern. Der menschliche Besucher nimmt diese Fake-Adresse nicht wahr. Ein Crawler[39] erkennt diese im Quelltext und fügt sie zu seiner Datenbank gültiger Adressen hinzu. So kann der Empfang kontrolliert und Spam auf ein gesondertes E-Mail-Postfach gezielt umgeleitet und analysiert werden.

4.3 Internationale Anstrengungen

Bemühungen Spam zu reduzieren und Sender unerwünschter E-Mails zu identifizieren und zu verfolgen können aus unterschiedlichen Perspektiven umgesetzt werden. Diese lassen sich in drei prinzipielle Kategorien fassen: technisch, juristisch und wirtschaftlich. Der technische Bereich umfasst die zahlreichsten Konzepte und Anwendungen und wird daher in einem folgenden Kapitel näher beleuchtet. Die wirtschaftliche Perspektive betrachtet zum einen das Marketing von Unternehmen und zum anderen Industrie- und Unternehmens-Kollaborationen. In der Marketing-Szene hat sich mittlerweile eine Initiative herausgebildet, die sich aktiv dafür einsetzt, dass sich Unternehmen einen Katalog von Richtlinien für erwünschtes Online-Marketing verpflichten. Damit verfolgt diese Initiative das Modell des Permission Marketings und letzlich praktisch einem Zertifizierungsverfahren auf Unternehmensseite und eine Sensibilisierung für dieses Thema auf Userseite. Diese Initiative wird aber nicht den Großteil aktiver Spammer erreichen, sondern nur Unternehmen, die unwissentlich Spam versenden oder durch Zertifikate ihr Image aufbessern wollen. Einzig nennenswerter Beitrag hierdurch entsteht, dass Mitglieder regelmäßig überprüft werden und aus diesem Umstand heraus alles daran setzen ihre technischen Ressourcen zu schützen, um bspw. nicht auf Blacklists zu geraten oder sonst mit Spam in Verbindung gebracht zu werden. Aus diesem Konzept heraus ist eine weitere Möglichkeit der Verfolgung aus juristischer Sicht erwachsen. Bestes Beispiel hierfür ist die Habeas Sender Warranted E-Mail. Dieser Dienst wird von Habeas angeboten und beruht auf dem Urheberrecht. Ähnlich wie beim zuvor genannten Zertifizierungsverfahren erwirbt der E-Mail-Versender eine Lizenz, um einen Habeas-Header in seine E-Mails einfügen zu dürfen. Dies wird auch als Warrant Mark bezeichnet und dient als Bestätigungskennzeichen [40]. Mit diesem Kennzeichen sind diverse Restriktionen verbunden, sodass ein Versenden unerwünschter E-Mails als Verletzung des Urheberrechts und somit als Gesetzesübertretung gilt. In solchen Fällen hat Habeas eine stichfeste gesetzliche Grundlage, um gegen solche Verstöße vorzugehen, wie bereits in mehreren Fällen bereits geschehen. Mittlerweile arbeiten einige namhafte Softwarehersteller für E-Mail-Versand mit Habeas zusammen und anerkennen das Kennzeichen. Die Ausbreitung und Akzeptanz dieses Dienstes ist momentan nur mäßig.

4.3.1 nationale Grundlagen

Um internationale Anstrengungen überhaupt erst vorantreiben zu können, sind Gremien auf nationaler Ebene notwendig. In Deutschland gibt es bereits einige Gremien, die sich dieser Aufgabe widmen und Anlaufstellen[41] [42] für Spam-Beschwerden sind. So haben sich folgende Organisationen zu einem Anti-Spam-Bündnis zusammengeschlossen:

  • Verband der deutschen Internet-Wirtschaft e.V. (eco)
  • Verbraucherzentrale Bundesverband e.V.
  • Zentrale zur Bekämpfung unlauteren Wettbewerbs e.V.
  • Bundesnetzagentur (BNetzA)

Es wurde erkannt, dass es sehr viel zeit- und ressourcensparender ist, die Beschwerde an Verbände und Wirtschaftsorganisationen weiterzugeben, als individuell abzumahnen [43]. In vielen Fällen sind betroffene Unternehmen bereits Mitglied solcher Einrichtungen, die abmahnberechtigt sind. Außerdem können bei Zusammenschlüssen, den Parteien einzelne Rollen und Verantwortungsbereiche zugesprochen werden. So sind nach außen bspw. Eco und die Wettbewerbszentrale Ansprechpartner für Beschwerden von Unternehmen. Der Verbraucherzentrale Bundesverband e.V. nimmt Beschwerden von Privatleuten entgegen, die Bundesnetzagentur Beschwerden hinsichtlich Rufnummern und ganzheitlichen Angelegenheiten [44].

Da bei Verbänden die Beschwerden von vielen Betroffenen zusammenlaufen, ergibt sich oft ein besserer Überblick über Massenversender von Spam [45]. Im Zweifelsfall ist es effektiver, dem Vermögen eines Verbandes zu vertrauen. Sie können umfangreichere Kräfte für die Rechtsdurchsetzung bündeln, als einzelne Personen über eigene Abmahnungen realisieren können. Zudem ist es ihnen möglich mit vereintem Know-how, nicht nur in rechtlichen Fragen sondern auch in technischer Hinsicht, gemeinsam und wirkungsvoll gegen Spam vorzugehen. Der Nachteil dieses Umstandes ist, dass die Organisationen mit extrem vielen Anfragen und Beschwerden konfrontiert werden und das bei begrentzen Kapazitäten.

Die Bundesnetzagentur spielt hierbei eine ganz besondere Rolle. Die Mitarbeit an der Spam-Bekämpfung ist nur eine von vielen Leistungen dieser Organisation. Im Wesentlichen ist es ihre Aufgabe, den Telekommunikationsbereich zu überwachen und zu regulieren. Im Rahmen dieser Tätigkeit werden der BNetzA diverse Befugnisse zugesprochen, die im TKG ganz klar verfasst sind. Eines dieser Priviliegien und wahrscheinlich auch das wichtigste ist im Paragraph 4 TKG [46] niedergeschrieben. Hier heißt es, dass auf Verlangen der BNetzA, Telekommunikationsunternehmen Informationen über Tätigkeiten in diesem Bereich zur Verfügung stellen müssen. Zu den weiteren Einzelaufgaben gehören dabei die Sicherstellung eines funktionsfähigen Wettbewerbs in den jeweiligen Branchen, die Vergabe von Lizenzen, Rufnummern und Frequenzen bis hin zur Bearbeitung von Verbraucheranfragen. Problem neuester Zeit: Mit Urteil vom 2. März 2010 hat das Bundesverfassungsgericht das deutsche Gesetz zur Vorratsdatenspeicherung aufgehoben. Alle Daten sind gelöscht worden. CDU und CSU wollen jedoch, dass so bald wie möglich ein neues Gesetz zur Vorratsdatenspeicherung beschlossen wird [47].

4.3.2 internationale Zusammenarbeit

Da mittlerweile klar geworden ist, dass auf nationaler Ebene allein das Spam-Problem nicht zu lösen ist, sind internationale Kooperationen geschlossen worden, um die Zusammenarbeit zwischen Juristen, Technikern und Anbietern zu ermöglichen. Beispielsweise beteiligt sich das Bundesministerium für Wirtschaft und Technologie (BMWi) auf Europäischer Ebene im Rahmen des Anti-Spam Kontakt Netzwerks [48] an einer internationalen Zusammenarbeit. Im Zuge dieser Gemeinschaft ist ein Kooperationsprotokoll vereinbart worden, welches den Austausch bei grenzüberschreitenden Spam regelt. Damit erfüllt es eines der wichtigsten Anforderungen - denn es ist essentiell, dass nationale Organisationen und Behörden ausreichende Befugnisse haben, um gegen Spam vorzugehen – sowohl gegen Spam aus dem Ausland, als auch gegen inländische Versender. Die nationalen Gesetze müssen über die Grenzen hinweg durchgesetzt werden können [49]. Dies kann nur über einen uneingeschränkten Informationsfluss und Erfahrungsaustausch geschehen.

Neben der Europäischen Union engagiert sich auch die US Federal Trade Commission und arbeitet eng mit dem BMWi zusammen. Die FTC agiert vornehmlich im Sinne einer weltweiter Aufklärungskampagne mit dem Ziel, Internet Service Provider und Netzwerkbetreiber zu informieren und zu unterstützen. Kernpunkt ihrer Tätigkeit ist die Problematik der Zombie-Rechner [50].

4.3.3 weitere Organisationen

OECD – Taskforce on Spam
Auch dieses Gremium hat sich der Spam-Bekämpfung verschrieben. Besonderheit hier ist das Anti-Spam-Toolkit, welches im Rahmen dieser wirtschaftlichen Zusammenarbeit erstellt wurde. Es beinhaltet aufeinander aufbauende Elemente, mit unterschiedlichen Ansätzen in jeder Umsetzungsphase:

  1. Anti-Spam-Gesetze
  2. internationale Kooperation in der Rechtsdurchsetzung
  3. Industrielösungen gegen Spam
  4. Anti-Spam-Technologien
  5. Information und Aufklärung
  6. Kooperationen und Partnerschaft
  7. Statistiken und Messung von Spam

Spotspam
ist Teil des Programms „Safer Internet Plus 2005-2008“ und wird von der Europäischen Kommission gefördert und koordiniert [51]. Ergebnis dieser Initiative ist eine Datenbank, in der Beschwerden über Spam aller Mitgliedstaaten gesammelt, kategorisiert und zu den zuständigen Behörden weitergeleitet werden und ihnen jederzeit zugänglich sind.

ITU – International Telecommmunications Union
Die ITU ist eine von der UN initierten internationalen Organisation, die im Rahmen der „internet-Governance“ das BMWi unterstützt.

LAP – the London Action Plan on International Spam Enforcement Cooperation
Dieses Gremium wurde om Oktober 2004 gegründet und umfasst Mitglieder aus 20 Ländern. Darunter vor allem Rechtsorganisationen, aber auch Firmen wie Microsoft.

4.4 Handlungsfähigkeit von Kontrollorganen

Ein Projekt zur serverseitigen Spam-Bekämpfung und damit ein Verbündeter im Kontext von Kontrollorganen und Organisationen ist spamhaus.org. Hierbei werden sogenannte RBL-Server[52] zur Verfügung gestellt, bei denen Adressen von Spam-Versendern in Echtzeit gesammelt werden. In der weiteren Vorgehensweise, werden nun IP-Adressen der eingehenden E-Mails mit den Listen der RBL-Server abgeglichen und ggf. Absender als potentielle Spammer erkannt. Diese Art der Methoden wird in folgenden Kapiteln näher beleuchtet und soll in diesem Abschnitt nicht weiter thematisiert werden. Vielmehr steht nun Verwantwortung, Glaubwürdigkeit und Macht solcher Projekte bzw. Organisationen im Fokus der IT-Community. Damit einhergehend begann Mitte 2007 eine Reihe von hitzigen Diskussionen. Mitunter hat heise.de hierüber ausführlich berichtet und eine Serie von Artikeln dazu verfasst. Exemplarisch sind zwei dieser Meldungen im Anhang [53] hinterlegt, die eine mehr als gespannte Lage zu diesem Thema verdeutlichen. In diesen heißt es, dass spamhaus.org die Server von nic.at, dem österreichischen Domain-Provider und -Registierungsstelle, auf seine Blacklist mit dem Vermerk “spam support” gesetzt hatte. Damit waren rein technisch die Server vom Netz ausgenommen und bei weltweit vielen Mailservern als gefährlich eingestuft. Das führte dazu, dass nicht nur die nic.at, sondern auch deren Kunden mit massiven Problemen zu kämpfen hatten. Denn durch diese Aktion konnten sie auf elektronischem Wege, wenn überhaupt, nur noch stark eingeschränkt kommunizieren. Daraufhin wehrte sich nic.at vehement gegen die Vorwürfe – jedoch vorerst ohne Erfolg. Die betroffenen Domains und nic.at wurden weiterhin geblockt. Es entstand ein regelrechtes Katz-und-Maus Spiel, bei dem nic.at seine IP-Adressen wechselte, um kurz darauf wieder bei spamhaus.org auf die Blacklists zu gelangen. Dieser Disput trat eine regelrechte Lawine in der IT-Community los, die sowohl User, Fachleute als auch Experten in zwei Lager spaltete. Die eine Gruppe, hauptsächlich österreichische Internet Service Provider, unterstützte nic.at mit den rechtlichen Argumenten, einen Vertrag nicht auf Grundlage dieser Punkte auflösen zu können. Die andere Gruppe, vorrangig Betroffene, wie Adminstratoren und User, aber auch Fachkräfte aus Sichheitbereichen [54] befürworteten das Handeln von spamhaus.org: “Noch nie habe ein Phisher Klage erhoben, wenn eine seiner Domains deaktiviert worden sei” [55]. Nach Recherchen und direkten Umfragen zu anderen internationaler ISP wurde deutlich, dass sich diese ähnlich verhalten würden und keine direkte Handlungmöglichkeit hierfür sehen [56]. An diesem Vorfall lässt sich einfach verfolgen, wie medienwirksam eine Organisation, wie spamhaus.org auftreten kann und dabei auch tatsächlichen Druck auf vermeintliche Verursacher ausüben kann. Grund dafür ist, dass die Verbreitung von RBLs selbst sehr groß und der Marktanteil von spamhaus.org sehr hoch sind. Zwar liegt das vor allem daran, dass spamhaus.org als Default-Einstellung in vielen Mailservern vorhanden ist, dennoch ändert es nichts an dem Fakt, dass eine solche Organiation dadurch ein hohes Druckmittel in der Hand hat. So konnte dieser Boykott über einen längeren Zeitraum von spamhaus.org aufrecht erhalten werden, ohne rechtliche oder wirtschaftliche Schwierigkeiten zu befürchten. Letztlich wurde nic.at wieder von den Blacklists entfernt, da die rechtliche Problematik für Domainprovider nicht von der Hand zu weisen ist und anscheinend noch keine vergleichbaren Präzedenzfälle dafür genannt werden konnten. Hier wird es in Zukunft Nachholbedarf geben, wenn es um die bereits angesprochen rechtliche Verfolgung von Spammern geht. Dennoch zeigt sich hier, dass überwachende Instanzen allgemein ein höheres Potential zum aktiven Mitwirken inne haben, als allgemein geglaubt wird. Sei es nun wie im diesem Fall, dass Provider vom Netz ausgeschlossen werden, oder dass das Thema vorrangig in der IT-Community publik gemacht wird, so dass sich Anwender und Fachkräfte wieder verstärkt darüber Gedanken machen und auch Stellung dazu beziehen. Denn je größer der Druck von allen Seiten ist, desto mehr sind Verantwortliche im Zugzwang. Bei diesem Vorfall kommt ebenfalls eine Schwachstelle solcher Institutionen zu tragen. Sie müssen sich immer wieder das Argument einer ungenügenden policy-Politik gefallen lassen. Selbst international wird bspw. oft in Fachzeitschriften bemängelt, dass Projekte, wie spamhaus.org kein klares Regelwerk definieren und nach außen tragen, und somit Entscheidungen und Handlungen oftmals willkürlich erscheinen. Es sollten hier weitere Bemühungen angestrebt werden, in Zukunft ein höheres Maß an Transparenz und Nachvollziehbarkeit zu schaffen, um Kontrollorgane weniger Angreifbar zu machen. Sollte dieser Schritt getan sein, besteht immer noch das Problem, direkt gegen die eigentlichen Betreiber der verursachenden Domains, wie im Beispiel spamhaus.org gegen nic.at, vorzugehen. Denn wie bereits in vorangegangen Kapiteln[57] geschildert, ist es schwierig grenzübergreifend Spammer aus rechtlicher Sicht zu verfolgen.

4.5 Wirtschaftliche Aspekte

Das Aufkommen und Erhalten von Spamnachrichten ist nicht nur unangenehm und zeitraubend, sondern auch von der wirtschaftlichen Seite betrachtet ein großer Kostenfaktor. Sowohl negativ aus der Sicht des Empfängers, als aber auch positiv in Bezug auf den Versender. Für die Versender von Werbemails hat die E-Mail aus Kostensicht einen sehr erheblichen Vorteil. Denn im Gegensatz zur herkömmlichen Werbung die postalisch zugestellt wird, werden bei der Zustellung via E-Mail die Werbekosten zum Empfänger verschoben. Der Versand von E-Mails im Millionenbereich ist für den Werbenden erheblich günstiger zu realisieren als auf dem Postweg. Hierzu eine Gegenüberstellung von Spam-Mails zur Papierwerbung [58]:

Spam-Mails:

  • Versandkosten ca. € 250,- (pro 1 Million Mails)
  • Erfolgsquote = 0,1%
  • Kosten einer erfolgreichen Antwort = € 0,25 (€ 250 / 1000)

Papierwerbung:

  • Versandkosten ca. € 0,25 pro Stück
  • Erfolgsquote = 5%
  • Kosten einer erfolgreichen Antwort = € 5,- (€ 0,25 / 0,05)

Anhand dieser Gegenüberstellung ist zu erkennen, dass die Werbung via E-Mail nicht nur technologisch an die heutige Zeit angepasst ist, sondern auch für den Versendenen einen deutlich wirtschaftlicheren Aspekt mit sich bringt.

Unternehmen sind hingegen einem massiven wirtschaftlichen Schaden durch den Versand von Spam-Mails ausgesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) errechnete in einer Studie von 2008 einen monetären Schaden für mittelständige Unternehmen ohne Präventionsmaßnahmen von ca. € 170.000[59]. Weltweit betrachtet, ermittelte das Marktforschungsinstitut Ferris Research, 2005 ein Kostenvolumen von ca. 50 Mrd. US $. Dabei tragen die USA, Deutschland und Kanada den größten Anteil [60]. Diese Kosten lassen sich, bezogen auf ein Unternehmen, in drei Bereiche kategorisieren.

  • Unmittelbare Kosten: Durch Spam werden Mailserver und WAN-Bandbreite einer unnötig mehr belastet ausgesetzt und sind damit als unmittelbare Kosten zu klassifizieren
  • Personalkosten: Administratoren, die anteilig für die Implementierung von Abwehrmaßnahmen beschäftigt werden
  • Kosten (direkt/indirekt): Hier lassen sich Produktivitätsverlust beim Herausfiltern von "Ham[61] & Spam" der Mitarbeiter (indirekte Kosten) und Anschaffung von Anti-Spam-Appliances[62] (direkte Kosten) nennen

Kumuliert verzerren diese Kostenanteile den gesamten Positionsbereich der Betriebskosten eines Unternehmens und weisen so notwendige Kosten auf, die nicht den Realkosten entsprechen. Weiteren Schaden erlagen dabei die Unternehmen durch [63]:

  • Arbeitszeitverlust: Manuelle Erkennung von Spam durch den Mitarbeiter, dadurch entstehende Ablenkung und Zeitverlust
  • Speicherverbrauch: Mail- und Archivserver nehmen durch Spam unnötigen Speicherplatz in Anspruch und erhöhen dadurch die Ressourcenkosten
  • Sicherheitsprobleme: Virenbehafteter Spam kann zu kostenintensiven Schäden im Unternehmen führen

Das Marktforschungs- und Beratungsunternehmen IDC ermittelte bei einer Unternehmensumfrage in Bezug auf Spam und dessen Produktivitätsverlust einen Schaden von ca. 60 TEU. Der dabei zugrundeliegende Unternehmensdurchschnitt entspricht der Größenordnung von etwa 500 Postfächern, mit je einer Belastung von vier Spammails am Tag [64]. Unternehmen müssen sich allerdings keinesfalls dieser Tatsache ausgeliefert fühlen und die Befeuerung von unerwünschten Spam hinnehmen. Sie können sich mit Prävention, Justiz und Anti-Spam Maßnahmen helfen und gegen Spammer vorgehen. Bleiben Unternehmen hier untätig, wird sich dies negativ auf die eigene Produktivität auswirken.

5 Spambekämpfung

5.1 Grundlagen der Spambekämpfung

Betrachten Unternehmen die ausgenutzten Schwachstellen von Spammern, dann stoßen Sie sehr schnell auf den Punkt Sicherheit. Hier lässt sich durch striktere Konfiguration von Mailservern und Firewalls gleich im Voraus einige Angriffsstellen, wie SMTP (Port 25) und damit ggf. verbundene offene Relays [65] unterbinden. Auch auf den Systemen, die in Zusammenhang mit Mailverkehr stehen, sind Anti-Viren-Clients ein guter Schutz, um Infektionen via Spam am System und im gesamten Netzwerk vorzubeugen. Weitere hilfreiche Mittel sind sogar noch vor den bereits genannten Maßnahmen anzusetzen. Diese zielen auf den Umgang mit Firmen- und persönlichen Mailadressen ab. Bei E-Mail-Adressen, die auf Firmenwebseiten veröffentlicht werden, empfiehlt es sich, diese nicht im Volltext zu hinterlegen. Mit HTML- oder Java-Tricks, wie etwa die hexadezimale Kodierung der E-Mail-Adresse lassen, sich Mail-Crawler, auch Harvester genannt, in vielen Fällen überlisten. Zum persönlichen Umgang mit E-Mail-Adressen, ob nun geschäftlich oder privat, ist das Verwenden von zwei Postfächern (Adressen) eine sichere Methode, um Spam abzuwehren. Ein Postfach für die Herausgabe an vertrauliche Personen bzw. Dienstleister und eines für z.B. die Anmeldung bei Foren, Newslettern und anderen stark frequentierten Spamorten im Internet. Möchte der Anwender sich präventiv über öffentliche Organisationen schützen, so bietet bspw. die Robinsonliste eine Möglichkeit dazu an. Hier wird dem Verbraucher die Möglichkeit gegeben, seine Adressdaten zu hinterlegen, um diese dann mit verwendeten E-Mail-Adressen der Werbewirtschaft abzugleichen und dem Wunsch der Werbefreiheit nachzukommen. Nachteil hierbei: Nicht alle werbenden Unternehmen sind Mitglied dieser Institution und halten sich an geltendes Recht[66].

Sich gegen Spam juristisch zu wehren, ist in den meisten Fällen ein schweres unterfangen. Die Absender sind in der Regel entweder mit verschleierten Identitäten im Internet unterwegs, missbrauchen Rechner dritter Personen (Zombie Rechner) für den Spamversand und siedeln die Ursprungsquellen häufig im Ausland an. Gerade letzterer Punkt bereitet der deutschen Justiz Schwierigkeiten, da sich die Straftäter nicht nach deutschem Recht behandeln/erreichen lassen. Strebt der Geschädigte einen Prozess gegen Spammer an, so stößt er auch im eigenen Lande auf Hindernisse. Die Landeskriminalämter stufen derzeit Spam immer noch als sehr geringe Priorität gegenüber anderen Straftaten ein und stellen die Verfolgung in den meisten Fällen ein, respektive verweisen auf die zuständigen Provider [67]. Stets im klaren, sollten sich betroffene auch bei Klagen über hohe Prozesskosten bei Einstellung des Verfahrens sein. Dennoch bieten Organisationen, wie der VZBV[68] unter beschwerdestelle@spam.vzbv.de und die der Wettbewerbszentrale speziell für Unternehmen Kanäle an, um gegen Spammer gebündelt vorzugehen.

Der Verteidigungsbereich Anti-Spam-Maßnahmen lässt sich grundlegend in listenbasierte und inhaltsbasierte Filtermechanismen einordnen. Listenbasierte Filter bilden dabei die erste Anlaufstelle, um sich schnell und ressourcenarm gegen Spam zur Wehr zu setzen. Die mit auffällig gewordenen bzw. gemeldeten Spammern gefüllte IP-Adressliste, hilft auf sehr simple Art Spam bereits beim Empfang zu erkennen, abzuweisen und Schaden vom System fern zu halten. Inhaltsbasierte Filter hingegen analysieren den Inhalt einer E-Mail und setzen den kompletten Empfang der Nachricht voraus. Anhand von heuristischen[69] oder statischen Merkmalen innerhalb einer E-Mail, bewerten [70] die Filter bestimmte inhaltliche Vorkommen und vergeben abschließend einen Score-Wert. Dieser entscheidet, ob es sich um Spam oder Ham handelt. Vorteil der inhaltsbasierten Methode ist, dass bisher noch unerkannte Spammer, die noch nicht auf Backlists[71] stehen, erkannt und ggf. auch für die Gemeinschaft gemeldet werden. Nachteilig hierbei ist allerdings das sehr rechenintensive Vorgehen und die damit verbundenen Kosten für entsprechende Hardware (IT-Infrastruktur).

Da dies lediglich die oberflächlichen Grundlagen der Spambekämpfung darstellen, wird im folgendem Abschnitt sowohl auf die wichtigsten Maßnahmen eingegangen, sowie dessen Funktionsweise und Konzepte verdeutlicht.

5.2 Methoden der Spambekämpfung

5.2.1 DKIM

Als Grundstein für einen sicheren und qualitativen E-Mail-Verkehr steht die Authentifizierung. Spam-Mails lassen sich aufgrund mangelnder Authentifizierung problemlos versenden und dem adressierten Mailsystem zustellen. An dieser grundlegenden Problematik setzt DKIM (DomainKeys Identified Mail) an und setzt sich das Ziel, eine einfache aber dennoch effiziente Authentifizierungs-Infrastruktur abzubilden, die in der Lage ist, den Absender zweifelsfrei zu überprüfen. Der Fokus liegt dabei auf Domainebene. Kann die Echtheit der Domain zur IP-Adresse zweifelsfrei festgestellt werden, so kann auch genau gefiltert werden, welcher Mailverkehr zulässig und welcher unerwünscht ist.

Um DKIM dem technisch versierten Leser auch von der Umsetzungsseite näher zu bringen, wird dessen Aufbau, funktionsweise und damit verbundene Maßnahmen an der Infrastruktur im folgenden Absatz erläutert. Die dadurch errungenden Kenntnisse, sollen die Einschätzung bezüglich der Chance von DKIM als anerkanntes Verfahren für eine E-Mail Authentifizierung schärfen.

DKIM ist ein asymmetrisches Verfahren, das auf der Public-Key-Kryptographie aufbaut und in der Gesamtheit aus einem Private- und einem Public-Key besteht. Der Private Schlüssel erzeugt beim Versenden einer E-Mail die Signatur - gleichzusetzen mit der eigenen Unterschrift – und wird vom Eigentümer geheim gehalten. Mittels des Public-Keys, oder auch öffentlicher Schlüssel genannt, ist es möglich, die in der Mail enthaltende Signatur zu Verifizieren und eine Aussage über die Echtheit des Absenders zu treffen [72]. Um die Hürde der Verbreitung des Public-Keys in der Internet-Infrastruktur zu nehmen, wird das vorhandene Domain Name System (DNS) zweckentfremdet und der Public-Key in den DNS-Eintrag einer jeden Domain integriert. TXT-Records, die den öffentlichen Schlüssel enthalten, werden hinter einem standardisierten Subdomain-Eintrag hinterlegt und sind durch eine festgelegte Namenskonvention abrufbar. Trägt der Absender etwa die Domain fom.de, dann würde sich der Public-Key hinter der Subdomain _domainkey.fom.de befinden und für das Mailsystem abrufbar sein. Diese Methodik bringt den großen Vorteil mit, dass Domaininhaber oder Administratoren, mit Handlungsgewalt über Ihre eigenen DNS-Einträge, den veröffentlichten Schlüssel auch zurückziehen oder löschen können. Für das Verfahren DKIM selbst ist eines der hervorstechendsten Argumente die geringen bis keinen Infrastrukturkosten, aufgrund des bereits bestehenden Domain Name Systems.

Für den Prozess der Authentifizierung muss dem Empfänger nicht nur der Public-Key, sondern auch die durch den Private-Key erstellte Signatur zur Verfügung gestellt werden. Anders als S/MIME[73] und OpenPGP[74], speichert DKIM den Signaturwert direkt im Header der E-Mail nach RFC2822[75]. Neben der Signatur befinden sich hier zusätzlich Informationen zur Domain, welche Verschlüsselung verwendet und wie der dazugehörige Public-Key bezogen wird. In diesem Fall über die beschriebenen DNS TXT-Records. An dieser Stelle gehen die Entwickler gleich einen Schritt weiter und bringen durch die inkludierten Informationen zur Verifikation, zusätzlich die Art und Weise der Signaturberechnung im Header unter.

Die Berechnung des Signaturwertes wird per Hash-Wert des E-Mail Inhaltes errechnet, so dass als Ergebnis ein Integer-Wert fester Größe (256 Bit) erzeugt wird [76]. Das Benutzen von Hash-Werten hat dabei den Vorteil, dass sie sehr sensibel gegenüber kleinsten Veränderungen sind. Ändert sich auch nur ein Bit in Form des Inhaltes, so ergibt sich ein völlig anderer Hash-Wert beim Verifizierungsprozess. Die Hürde bei der Entwicklung dieses Verfahrens sind die Mail Transfer Agents (MTA) und die Mail Delivery Agents (MDA), die stets die Eigenschaft haben bei der Übermittlung den E-Mail Inhalt anzupassen oder zu ändern. Typische Beispiele sind hier das Entfernen von Leerzeichen, die Korrektur von Groß- und Kleinschreibung und das anpassen des Datumformates. Kurz gesagt, haben E-Mails bei der Zustellung nicht mehr das gleiche Datenvolumen. Dies zieht das grundlegende Problem nach sich, dass bei Inhaltsänderungen auch auf der Adressatenseite ein anderer Hash-Wert errechnet wird und nicht mehr mit dem übertragenden Signaturwert übereinstimmt. Um dieses Problem zu umgehen, wird mittels Kanonikalisierung [77] die E-Mail bei Empfang wieder in Ihren Ursprungszustand versetzt [78]. Hauptsächlich wird dabei auf die Systematik, alle Leerzeichen der E-Mail zu entfernen und durch das Escape-Zeichen "\n" zu ersetzen. Darüber hinaus wird der gesamte Text in Kleinschreibung umgeformt. Als Ergebnis bleibt ein kompakter Textblock aus dem der Hash-Wert berechnet wird. Wird nun die E-Mail bei der Übertragung durch MTAs oder MDAs verändert, so werden diese Änderungen beim Empfänger durch eine weitere Kanonikalisierung nach demselben Schema rückgängig gemacht und bilden die gleiche Ausgangslage. Im Anschluss kann mittels des Public-Keys der Signatur Hash berechnet und mit dem in der E-Mail eingebetteten Signaturwert vergleichen werden [79]. Sind diese gleich, so muss der Absender mit der Adresse in der E-Mail übereinstimmen.

Nachdem nun DKIM von der technischen Seite beleuchtet wurde, steht dennoch die Frage der Akzeptanz und Umsetzbarkeit aus. Ist Authentifizierung wirklich eine Notwendigkeit und ist die Domainebene dafür der richtige Ansatzpunkt? Die Authentifizierung löst nicht alle Probleme, um die Qualität der E-Mail wieder zu steigern. Dennoch ist es eine notwendige Voraussetzung für empfangende Mailsysteme. Kann eine E-Mail zweifelsfrei seine Herkunft bestätigen, können Mailfilter der ersten Instanz sehr effektiv "Ham & Spam" voneinander trennen. In weiteren Instanzen bedarf es weiterer Methoden außer der Authentifizierung, wie bspw. dem Black- und Whitelisting. Dennoch ist an dieser Stelle festzuhalten, dass es sich dabei um eine grundlegende Notwendigkeit handelt, um die Qualität der E-Mail zu erhöhen. Die Wahl der Authentifizierung auf Domainebene bietet den Vorteil der Verantwortung und Verwaltbarkeit. Ist die Situation durch DKIM sichergestellt, so dass eine E-Mail zweifelsfrei einer Domain zugeordnet werden kann, können Administratoren einerseits selbst eingreifen, andererseits aber auch die Domaininhaber in die Verantwortung genommen werden. Zu jeder registrierten Domain existieren hierfür eine juristische- (Domain-Owner) und eine administrative Person (siehe z.B. Domainauszug der DENIC eg[80]). Werden von einer Domain aus große Spam-Wellen versandt, ist der Administrator in der Pflicht einerseits Ansprechpartner zu sein und andererseits der Herkunft innerhalb seines Domainbereiches auf den Grund zu gehen und gegen den Spammer vorzugehen. Juristisch ist mit dieser Art von Authentifizierung der Weg frei, um den Domaininhaber für Tatbestände aus seiner Domain heraus zu belangen. Denn auch Spam kann mit Hilfe von DKIM Signiert werden [81].

Kritisch betrachtet, ist die Domain als grundlegender Ansatzpunkt nicht für alle Beteiligten die beste Lösung. Werden große Provider wie bspw. GMX.de betrachtet, ist hier die Reglementierung aufgrund einer großen Anzahl von Postfächern der unterschiedlichsten Absender ein schwieriges Szenario. Dennoch bietet DKIM viele Vorteile durch die gesetzten Designziele der DKIM-Community. Hauptziel ist die Authentifizierung unter Berücksichtigung so wenig Komponenten wie möglich der E-Mail-Infrastruktur anzupassen. Durch die Einbettung in das Domain Name System ist das Ziel erreicht und verursacht geringe Kosten bei der Implementierung. Darüber hinaus ist DKIM ein hervorragender defensiver Ansatz für die Einführung von E-Mail-Authentifizierung. Es bleibt für Anwender unsichtbar und setzt keinen Stichtag für die Umstellung voraus. Aus diesen Umständen heraus verbreitet sich DKIM stetig weiter, ohne dass die E-Mail-Kommunikation beeinflusst wird.

Als parallele Ansätze zu DKIM ist hier noch S/MIME und das OpenPGP verfahren zu erwähnen [82]. Letzteres wird in Deutschland auch stark durch Fachzeitschriften, wie dem Heise Verlag (c‘t) unterstützt.

5.2.2 PGP / GnuPG

OpenPGP ist der die weltweit verbreiteste Verfahrensweise für Email. Sie wurde von der Internet Engineering Task Force (IETF) als Standard erarbeitet. Daraus resultierte die RFC 4880 (Request for commons). Dieser Standard wurde von PGP abgeleitet, welcher von Phil Zimmermann 1991 erstellt wurde[83]. 1997 wurde die OpenPGP working group gegründet und hat sich zur Aufgabe gemacht, Firmen zusammen zubringen, die den gleichen Sicherheitsstandard implementieren möchten[84]. PGP geht bei der Verschlüsselung dabei in zwei Phasen vor. Zuerst wird der zu verschlüsselnde Text komprimiert. Das spart nicht nur Bandbreite zur Übertragung der Daten, sonder erschwert auch die automatische Erkennung eines Schlüssels mit Hilfe der Häufigkeitsanalyse[85]. Dabei werden Daten die so klein sind, das keine Verschlüsselung Sinn macht nicht komprimiert. Ebenso bei Binärdaten, die nicht gut kompriert werden können[86]. Erst danach werden die Daten mit dem privaten Schlüssel verschlüsselt. Dafür generiert der Anwender einen privaten und einen öffentlichen Schlüssel. Der geheime Schlüssel verbleibt beim Anwender und ist durch ein Passwort geschützt. Der öffentliche Schlüssel wird dabei weitergegeben. Diese beiden Schlüssel können nur zusammen verwendet werden. So kann ein Geschäftspartner eine Email mit wichtigen Informationen mit Hilfe des öffentlichen Schlüssel verschlüsseln. Entschlüsselt werden kann diese Nachricht nur noch mit dem privaten Schlüssel. Für die Verteilung der öffentlichen Schlüssel ist jeder Anwender selber verantwortlich. Sie können jedoch auch zentral auf einem WebServer hinterlegt werden. Um die Identität eines Anwenders zu bestätigen besteht die Idee des Netz des Vertrauens (Web of Trust). Das ist eine Idee aus der Kryptologie um die Identitäten von Anwendern zu bestätigen. Je mehr Anwender die Identität einer Person bestätigen, umso sicherer ist es, dass es sich auch wirklich um diese Person handelt. Aufgrund der dezentralen Organisation stellt es damit eine Alternative zur zentralen Public-Key-Infrastructure dar. Doch wie kann das in die Emailkommunikation eingebunden werden? Für die Desktopclients gibt es eine Integration in den Windowsdesktop[87]. Damit passiert die Verschlüsselung bereits vor der Übermittlung an den Mailserver. Für große Unternehmen ist dieses Vorgehen sehr kostenintensiv und aufwändig. Ebenfalls bedarf es einer zusätzlichen Schulung der Anwender. Der nächste Schritt ist also die Integration am Mailserver[88]. Dafür wird ein Emailgateway installiert, was die Verschlüsselung, Entschlüssung sowie den Abgleich von Schlüsseln übernimmt. Ebenfalls können über diesen zenralen Weg Security Policies durchgesetzt werden wie z.B. keine Email verlässt unverschlüsselt das System.

5.2.3 Greylisting

Der größte Teil des heutigen Spams, ca. 80-90%[89], werden durch Massenversender generiert und mittels Botnetzen[90] in sehr großen Mengen versandt [91]. Um Spammern aus Botnetzen entgegenzuwirken, fehlen in der Regel Zeit und Ressourcen für eine vollständige Analyse der relevanten Kriterien, da hier in kurzer Zeit eine erschlagende Masse an Spam versandt wird. Zeit und Ressourcen sind an dieser Stelle das ausschlaggebende Kriterium für das sogenannte Greylisting-Verfahren. Wie es der Name schon ausdrückt, steht er für ein Verfahren, dass aus dem Bereich des Black- und Whitelistings kommt und genau dazwischen platziert ist. Die zusätzliche Option dabei, ist das automatisierte Whitlisting auf History-Basis.

Greylisting gehört zu den listenbasierten Anti-Spam-Maßnahmen und ist von seiner Funktionsweise her sehr einfach und effizient aufgebaut. Bei Einlieferung eines bisher noch unbekannten Absenders, wird die E-Mail mittels SMTP-Fehler (Fehlercode 4xx) abgewiesen und speichert temporär ein Triple. Dieses Triple speichert dabei IP-Adresse, Absender- und Empfänger-Mailadresse, sowie einen Zeitstempel. Wird die abgewiesene E-Mail ein zweites Mal zugestellt, wird im temporären Speicher nach einem sich deckenden Triple geschaut und bei Übereinstimmung die Zustellung zum Adressaten gewährt [92]. Die Idee dabei ist, die Vorselektierung anhand des markantesten Merkmales eines Spammer durchzuführen – nämlich die Häufigkeit der wiederholten Zustellungsversuche. Übliche Mailserver speichern eine nicht zugestellte E-Mail in einer Queue[93] und versuchen diese nach einem definierten Zeitraum ein zweites Mal zuzustellen. Der konfigurierte Standardwert bei E-Mail-Systemen beträgt standardmäßig 15 Minuten [94]. Ganz im Gegenteil, handeln Spammer und Botnetze nach dem Prinzip „fire and forget“. Sie versenden Massenweise Spam, aber in der Regel nur ein einziges Mal. Durch diese Charakteristik erzielt das Greylisting eine Trefferquote von etwa 80% und weißt damit im Verhältnis zum Aufwand eine sehr hohen Effizienzgrad auf [95][96][97].

Allerding steht am Anfang jeder E-Mail-Kommunikation via Greylisting auch immer eine Verzögerung. Werden kritische Unternehmensbereiche betrachtet, die auf schnelle Kommunikation angewiesen ist, scheidet Greylisting in der ersten Entscheidungsinstanz aus. An dieser Stelle sollte auch immer klar sein, dass die E-Mail kein Echtzeitmedium, wie etwa Telefon oder Fax ist. Dennoch sorgt auch Greylisting in der zweiten Betrachtung für eine schnellere und barrierefreie Zustellung. Um nicht unnötig immer wieder den Prozess der ersten Ablehnung zu durchlaufen, speichert Greylisting das Triple aus der Erstzustellung in einer History. Erfolgt also zu einem späteren Zeitpunkt eine weitere Zustellung vom gleichen Absender, ist das Triple bereits vorhanden und Greylisting erkennt eine Übereinstimmung. Die E-Mail wird damit verzögerungsfrei an den Empfänger zugestellt. An dieser Stelle geht Greylisting auch zu Gunsten der Kommunikationspartner weiter und stellt in seiner Konfiguration offen, nach wie vielen Zustellungen die gesamte Domain oder das IP-Netz, bei häufig kommunizierenden E-Mail Systemen mit wechselnden IP’s, freigeschaltet und vom Greylisting ausgenommen wird. Dadurch werden nach einer gewissen Trainingsphase 98%[98] aller erwünschten E-Mails aus dem Greylisting ausgeklammert. In kritischen Fällen ist es auch möglich von Anfang an Domains freizuschalten und so diese manuell aus dem Greylisting auszunehmen. Für Administratoren hingegen kann dies in großen Unternehmen für einen erheblichen Aufwand sorgen und damit personelle Kosten in die Höhe treiben, wenn Abteilungen für jede Domain separat eine Freischaltung von der IT anfordern müssen. Hier sollte also zuvor geprüft werden, ob Greylisting in bestimmten Bereichen zu stetigen Konflikten führt, oder ob nach einer Trainingsphase die Anfragen an die IT zurück gehen.

Aus dieser zwiespältigen Sicht heraus gibt es auch die Seite gegen Greylisting anhand der Akzeptanz was Verzögerungen bei der Zustellung angeht, als aber auch die Fragestellung „Können Spammer nicht auch mit Queues arbeiten?“. Durch das Ablehnen in erster Instanz, werden die gerade kursierenden Spamwellen abgewehrt und vom Empfänger fern gehalten. Das positive Resultat daraus ist, dass das eigene Mailsystem empfangsbereit für die E-Mail-Kommunikation bleibt und keine unnötigen Ressourcen durch Spam in Anspruch nimmt. Dieser Aspekt lässt sich nicht immer auf jeden einzelnen Anwender anwenden. Auf ein ganzes Unternehmen jedoch bezogen kann dies durchaus für Entscheidungsträger sinnvoll sein. Die Frage warum Spammer nicht auch Queues wie normale Mailserver einsetzen, um Greylisting zu überleben wurde bereits oft in Frage gestellt und diskutiert. Ergebnis dieser Diskussion ist, das Spammer anscheinend Greylisting gar nicht überleben wollen, sondern vielmehr an der effektiven Ausnutzung Ihrer Botnetze interessiert sind [99]. Spammern geht es nicht um die Person selber, sondern wie viele Spam-Mails sie in einer bestimmten Zeit absetzen können. Technisch gesehen ist die Implementierung von Queues keine Hürde, jedoch sind die Kosten im Verhältnis zu einem ungewissen Empfänger zu hoch. An dieser Stelle ist es für den Spammer attraktiver möglichst viele Personen zu erreichen. Es sei denn, er hat eine bestimmtes Zielpublikum/Domain im Visier, die er für seine Vermarktung für äußerst lukrativ hält. Letztendlich wird die Frage nach der Queue ein nie endgültig abgeschlossenes Thema werden, denn wenn Spammer Queue-Mechanismen mit wiederholter Zustellung einführen, erhöhen die Opfersysteme wiederum um ein Ablehnungsinterval mehr. Dieses Szenario lässt sich dann fortwährend hochschrauben zu Lasten der benötigten Ressourcen.

Einen indirekten Vorteil entgegen der Spam-Bekämpfung, bringt Greylisting durch den Zeitgewinn bei der ersten Zustellung mit. Je mehr Zeit für die Zustellung benötigt wird, desto höher steigt das Entdeckungsrisiko des Spammers, der dann ggf. beim zweiten Zustellversuch bereits auf der globalen Blacklist (RBL) steht und den Weg zum Postfach nicht überlebt. Auch bei vireninfizierten Anhängen besteht die Möglichkeit, dass zwischen dem ersten und zweiten Zustellversuch der Anwender seine Virendefinition aktualisiert hat und gegen die infizierte E-Mail geschützt ist [100].

Umfassend betrachtet ist Greylisting bei der Spambekämpfung ein echter Allrounder. Er bietet für geringen Aufwand eine sehr hohe Trefferquote und hält sich damit einen großen Teil der heutigen Botnetze bzw. Spam-E-Mails fern. Auch der anfängliche Schwachpunkt der verzögerten Zustellung lässt sich durch sinnvolle Konfiguration und einer entsprechenden Trainingsphase des listenbasierenden Filters beseitigen. Dem entgegen sind Probleme mit gefälschten Absenderadressen nicht gänzlich von der Hand zu weisen. Werden E-Mails abgewiesen und an einen gefälschten Adressaten zurück gesendet (im Fachjargon auch Backscatter (Rückläufer) genannt), werden Postfächer und Mailsysteme unbeteiligter Dritter belastet. Daher ist die „faire“ Konfiguration der Whitlisting-Einstellungen ein Muss bei der Verwendung von Greylisting. Wer erfolgreich Zustellungen nach 24 Stunden wieder aus seiner Whitelist entfernt, geht sowohl mit seinen eigenen Ressourcen durch Neuprüfung, als auch mit den Ressourcen anderer durch Neuversandt inakzeptabel um. Hier stehen die Administratoren in der Pflicht sich gewissenhaft um Ihre Mailsysteme zu kümmern und entsprechend zu konfigurieren.

5.2.4 Kollaboratives Spamfiltern

Die Idee hinter dem Ansatz des kollaborativen Filterns von Spam ist das Nutzen von Wissen des Endanwenders. Durch die manuelle Selektion von "Spam & Ham" durch den Empfänger entsteht eine hohe Qualität der Einstufung und erzielt gegenüber inhaltbasierten Filtern eine noch höhere Trefferquote. Dieses Wissen soll daher nicht im Posteingang oder Spam-Ordner gefesselt sein, sondern zentral bereitgestellt werden. Getreu der Annahme, dass der eingestufte Spam von einer Person auch als Spam von einer anderen Person angenommen wird. Weiterführend zum gesammelten Wissen, sollen durch diese Informationen Anti-Spam-Systeme intelligenter werden und in Zukunft E-Mails mit nahezu identischem Charakter selbst erkennen können.

Kollaboratives Spamfiltern fängt stets bei einer Mustererkennung an, die sich für den Abgleich zentraler Informationen aus einer globalen Datenbank bedient. Schlägt der Abgleich fehl und es kommt zu keiner Übereinstimmung, wird die E-Mail direkt in den Posteingang weitergeleitet. Der Empfänger entscheidet nun selbst, ob es sich um Ham oder Spam handelt. Die von Ihm getroffene Entscheidung wird im Anschluss dann direkt an die bereits erwähnte globale Datenbank weitergeleitet, gespeichert und gesammelt. Eindeutiger Vorteil hierbei ist, dass keine E-Mail verloren oder nicht zugestellt wird. Nachteilig hingegen ist, dass infizierte E-Mails (Viren, Phishing, Trojaner), die noch nicht in der globalen Datenbank hinterlegt sind, im Posteingang landen und ein ptentielles Risiko darstellen.

Aus Empfänger-Sicht stellt sich bei diesem Verfahren allerdings die Frage, ob er wirklich daran interessiert ist, seine privaten E-Mails einer globalen Datenbank zur Verfügung zu stellen. Dieser Aspekt würde bei der Verbreitung eines kollaborative Spamfilters ein K.O.-Kriterium darstellen und in dieser Form nicht funktionieren. Daher arbeitet das kollaborative Spamfilternetzwerk nicht mit E-Mails, die im Klartext an die globale Datenbank gesendet werden, sondern mit kryptographischen Signaturen. Somit können aus Benutzersicht keine Rückschlüsse auf den Inhalt der E-Mail gezogen werden. Der Musterfilterung hingegen reicht die kryptographische Signatur aus, um auffällige Symptome einer E-Mail ausfindig zu machen und eine Bewertung vorzunehmen. Einzige Anforderung an die Signatur ist ein Mittelmaß an Kryptographie. Ist der Grad der Verschlüsselung zu hoch, sinkt die Wahrscheinlichkeit der Erkennung von Spamindizien. Um diese Anforderung zu erfüllen, sind geschickte Algorithmen notwendig, die leichte Veränderungen erkennen können. Hierbei steht die unterscheidung im Vordergrund, zwischen Namen/Anrede, vertauschten Zeichen und random-links[101], sowie aber den eigentlichen Spaminhalt. Bei der Frage des richtigen Algorithmus gibt es unterschiedliche Ansätze, die von sehr restriktiv, wie beispielsweiser mit Hashfunktionen wie MD5 und SHA1, die schon bei einer Zeichenänderung ein völlig anderen Signaturwert ergeben, bis hin zu URL-Basierten Signaturen die enthaltene Links berechnen und vergleichen reichen. Einen Schritt weiter gehen Text-basierte Signaturen, die im Fall des Ephermal-Algorithmus[102] zwei Textabschnitte der E-Mail selektiert und mittels SHA1 zwei Signaturen berechnet und anhand der Hashwerte mit denen aus der globalen Datenbank vergleicht. Noch detaillierte geht der Comha-Filter[103] vor und legt in der derzeitigen Version zehn Textfenster a 20 Zeichen über die E-Mail und berechnet deren Hash-Signaturen. Werden mehr als vier dieser Signaturen beim Vergleich als positiv in Bezug auf vorhandene Werte der globalen Datenbank gemeldet, so ist ein Spamverdacht bestätig. Ähnliche Algorithmen werden auch für das Aufdecken von Plagiaten an Hochschulen und Vertretern von Rechteinhaber eingesetzt [104].

Kollaboratives Spamfiltern bringen allerdings auch einige Schwachstellen mit sich, die sich negativ auf die bevorzugte Anwendung auswirken. Sollte es einen 100%igen Schutz vor Spam geben, dann kommt das kollaborative Spamfiltern nicht in Frage, da es mindestens immer ein erstes Opfer gibt, der den Spam meldet und an die globale Datenbank sendet. Nachteilig ist auch die Lagerung der zentralen Informationsquelle, also der globalen Datenbank, die durch DDOS-Attacken[105] keine verdächtigen Signaturen mehr an die Musterfilter ausliefern kann. Das Ziel Spam zu vermindern um damit den Traffic der E-Mailkommunikation im Internet zu senken, wird durch das hochladen von verdächtigen Signaturen der Clients wieder entkräftet. Wird die Systematik und dessen Verfahren betrachtet, so ist es letztendlich auch möglich, dass der Spammer das System der Benutzerseitigen Bewertung aushebelt und den eigens versandten Spam überdurchschnittlich gut Bewertet und bei anderen Empfänger als Ham klassifiziert wird. Dennoch ist kollaboratives Spamfiltern keineswegs ohne Vorteile. Durch die globale Datenbank sind immer aktuelle Signaturen verfügbar und bilden einen riesen Wissensspeicher über kursierende Spammails. Und entgegen anderen Wissensspeicher/Spam-Datenbanken wird die kollaborative Anti-Spam Datenbank mit subjektiven Informationen durch den Empfänger gefüllt. Dadurch ist die Qualität der gesammelten Signaturen durch den Endanwender höher, als die der maschinell klassifizierten Spammails.

6 Aktueller Verwendungszweck

Eine E-Mail wird häufig für mehr als nur für Kommunikation eingesetzt. Oft dient sie auch zur Verifizierung. Das bedeutet, es soll bestätigt werden, dass der Anwender der im Internet eine Resource anfordert auch derjenige ist, für den er sich ausgibt. Häufig ist es üblich einem Anwender nach der Anmeldung in einem Portal oder einer Softwareplattform erst die gesamte Funktionalität freizuschalten, nachdem seine Identität überprüft wurde. Für diesen Zweck registriert sich der Anwender mit seiner E-Mail-Adresse bei bspw. einem Immobilienportal. Hier ist die Angabe der E-Mail-Adresse eine Pflichtangabe. Auf der Seite des Portals wird nun ein eindeutiger Code erzeugt, anhand dessen der Anwender identifiziert werden kann. Dieser Code wird per E-Mail an den Anwender übermittelt. Entweder zur Eingabe oder direkt mit einem Link in dem der Code eingebettet ist. Die Theorie dahinter ist so simpel wie effizient, so dass viele der großen Plattformen[106] diese Technik einsetzen. Es wird davon ausgegangen, dass der Anwender der sich registriert und seine Daten einträgt auch Inhaber seiner eigenen E-Mail-Adresse ist. Hat er sich wirklich angemeldet, wird er auch ein Interesse daran haben die Anmeldung abzuschließen. Wurde die Registrierung nicht selber von ihm durchgeführt und seine E-Mail-Adresse wurde von jemand Fremden angegeben, so kann dieser den Mißbrauch melden und die Plattform kann den vermeintlichen Account des Anwenders sperren. Die Verfizierung via E-Mail ist jedoch anscheinend auch nicht immer die Lösung des Problems. So verwenden einige Plattformen, wenn es um bspw. um Buchungen oder andere monetäre Transaktionen geht, auch das Verfahren, dass die Person direkt angerufen wird oder den Verifikationscode per SMS bekommt [107]. Der Dienstleister PayPal geht innerhalb von Deutschland[108] sogar noch einen Schritt weiter. Das angegebene Konto des Anwenders wird dadurch verifiziert, dass mehrere Centbeträge auf das Konto des Inhabers überwiesen werden und diese dann rückgemeldet werden müssen [109].

7 Mögliche Alternativen

7.1 De-Mail

Die DE-Mail soll einige der historischen Probleme der E-Mail lösen. "De-Mail wird das rechtsverbindliche und vertrauliche Versenden von Dokumenten und Nachrichten über das Internet ermöglichen."[110]. Dabei soll die Identität des Absenders jederzeit nachgewiesen können [111]. Ebenfalls sollen die Probleme, wie die des Identitätsdiebstahles[112] gelöst werden. Eine E-Mail, so wie sie bisher existiert, ist eher mit einer Postkarte zu vergleichen. Sie kann abgefangen, verändert oder einfach nicht zugestellt werden. Das hat die Akzeptanz der E-Mail dahingehend verhindert, wo es auf folgende Faktoren ankommt:[113]

  • Vertraulichkeit (verschlüsselt)
  • Verlässlichkeit (garantierte Zustellung)
  • Verbindlichkeit (eindeutige Identität)

Diese drei Punkte entsprechen gleichfalls den drei wichtigsten Voraussetzungen für die Gewährleistung von Rechtssicherheit [114]. Die E-Mail in ihrer bisherigen Form kann zwar ebenfalls durch Verfahren, wie PGP[115] verschlüsselt werden, jedoch erfordert eine solche Form der Verschlüsselung immer eine Installation von zusätzlicher Software auf dem E-Mail-Server oder auf dem Desktop des Anwenders. Daher sind weniger als fünf Prozent des gesamten E-Mail-Verkehrs verschlüsselt [116]. Die De-Mail soll hier Abhilfe schaffen und Webanwendungen zur Verfügung stellen, wie es die Anwender von ihren bisherigen E-Mail-Providern gewohnt sind. Ebenfalls sollen sie keine weiteren Hard- oder Softwareinstallationen beim Anwender erfordern [117]. Das Ziel ist: "De-Mail ist damit so einfach wie die E-Mail und so sicher wie die Papierpost" [118]. Die De-Mail ist explitzit keine Behördenmail [119]. Behörden können ein möglicher Nutzerkreis dieser Anwendung sein. Ebenfalls ist sie für den sicheren Austausch elektronischer Dokumente und Nachrichten an Bürgern, Firmen oder anderen Behörden gerichtet [120]. Nach Angaben des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V.[121] sind somit Einsparungen von mehreren 100 Millionen Euro pro Jahr möglich [122]. Weiterhin werden zusätzliche Dienste angeboten, wie ein elektronisches Einschreiben oder ein elektronisches Archiv [123]. Bei Ersterem erhält der Absender eine elektronische Signatur zurück, die ihm bestätigt, dass die Informationen beim Empfänger angekommen sind. Der Eingang der E-Mail/De-Mail kann somit rechtssicher nachgewiesen werden. Im elektronischen Archiv werden ihre Dokumente, wie z.B. ein Kontoauszug, verschlüsselt und manipulationssicher abgespeichert. Die De-Mail wird dabei für Privatpersonen, sowie für juristische Personen angeboten [124]. Für Privatpersonen soll sich das Format der Adresse dann folgendermaßen zusammensetzen:

Vorname.Nachname@providername.de-mail.de[125]. 

Sollte bei einem Provider ein Name bereits vorhanden sein, so wird er mit einem weiteren Punkt und einer fortlaufenden Nummer ergänzt. Dieses Vorgehen garantiert die Eindeutigkeit der Adressen.

Juristische Personen können einen eigenen Namensraum innerhalb der De-Mail erhalten [126]. Wenn die Firma XYZ einen eigenen Namensraum innerhalb der De-Mail anfordert, so kann dieser bspw. xyz.de-mail.de lauten. Die Namen vor dem @-Zeichen können dann wie gewohnt frei innerhalb des Unternehmens vergeben werden. Die technische Basis setzt auf Standardtechnologien auf, damit die Kosten gering gehalten werden können [127]. Hinter dieser Bestrebung steckt auch ein Akzeptanzfaktor. Eine solche Innovation würde nicht umgesetzt werden, wenn es dafür vollständig neuer Technologien bedarf. Durch ein Gateway soll es sogar möglich sein, seinen normalen E-Mail-Client auf dem Desktop dafür nutzen zu können. Daher haben der Staat und die Wirtschaft bei der Erstellung eines gemeinsamen Rahmens Unterstützung geleistet [128]. Der Staat hat den Wunsch des gesicherten Nachrichtenaustausches geäußert und die interessierten Unternehmen aus der Wirtschaft haben gemeinsam mit dem Bund weitere Richtlinien erarbeitet. Herausgekommen ist sogar ein gesetzlich geregeltes Akkreditierungs- und Zertifizierungsverfahren. Eine Abgrenzung verschiedener Anbieter der De-Mail wird also nur über Zusatzprodukte möglich sein, da sie alle den gleichen Mindestrahmen/-funktionsumfang bieten müssen. Die Zulassungskriterien für Provider scheinen noch nicht vollständig geklärt. So muss noch als rechtliche Voraussetzung ein Gesetz[129] verabschiedet werden. Die Infobroschüre zur De-Mail schreibt: "Die neue Bundesregierung hat die Verabschiedung eines De-Mail-Gesetzes in ihre Koalitionsvereinbarung aufgenommen."[130]. Die De-Mail wurde im Rahmen eines Pilotprojekts in der Stadt Friedrichshafen getestet [131]. Eine für Deutschland flächendeckende Einführung ist für die zweite Jahreshälfte 2010 geplant. Teilnehmer und Pilotierungspartner des Projekts in Friedrichshafen sind z.B.[132]:

  • Gothaer
  • Huk24
  • Handwerkskammer Ulm
  • AWD
  • GMX
  • Sparkasse Bodensee
  • etc.

Das Pilotprojekt wurde am 31. März 2010 abgeschlossen. Teilnehmende Provider waren die Deutsche Telekom, GMX und web.de [133]. Die De-Mail-Provider haben beschlossen ihre Systeme aufgrund der sehr positiven Resonanz weiter zu betreiben [134]. Der Anwendungstest in Friedrichshafen durch Huk24 hat gezeigt, dass eine hohe Akzeptanz bei den Kunden vorhanden ist. 85% der Kunden sind bereit, ausschliesslich per De-Mail mit der Huk24 zu kommunizieren und 90% würden die De-Mail weiterempfehen [135]. Ein berechtigter Kritikpunkt ist bei der De-Mail der nationale Alleingang. Der Staat, Bund und die Wirtschaft haben eng zusammengearbeitet, jedoch wurden diese Bestrebungen nur auf nationaler Ebene vorgenommen. Es existiert also noch keinerlei Kompatibilität zu anderen ausländischen Systemen.

7.2 E-Postbrief

Der E-Postbrief oder ePost, ist das neue elektronische Versende-Verfahren der Deutsche Post AG. Der aktuelle E-Postbrief bzw. ePost ist mit dem damaligen ePost-Versuch der Deutsche Post AG nicht konform. Es ist ein komplett neues und anderes Verfahren und Produkt. Analog der De-Mail soll der E-Postbrief die Probleme der einfachen, nicht signierten und verifizierten E-Mail lösen[136]:

  • Vertraulichkeit (verschlüsselt)
  • Verlässlichkeit (garantierte Zustellung)
  • Verbindlichkeit (eindeutige Identität)

Beide Alternativen funktionieren nach einem ähnlichen Prinzip. Ein Abfangen und Manipulieren der Nachrichten ist nicht mehr möglich und die Zustellung ist sichergestellt. Das rein elektronische Versenden und Empfangen von E-Postbriefen ist nur möglich, wenn Sender und Empfänger eine E-Postbrief-Adresse besitzen. Hat der Empfänger keine E-Postbrief-Registrierung, druckt die Deutsche Post AG die Nachricht aus, kuvertiert und frankiert diese und stellt sie auf herkömmlichem Weg zu. Im Unterschied zu einfachen E-Mail Anbietern, erhält der künftige E-Postbrief-Benutzer nach der Registrierung einen POSTIDENT-Coupon. Mit diesem muss sich der Benutzer zusammen mit einem gültigen Personalausweis oder Reisepass bei einer Post-Dienststelle authentifizieren. Erst danach ist der Registrierungsvorgang abgeschlossen und kann wenige Tage später genutzt werden[137]. Anderes als die De-Mail, enthält der E-Postbrief keinen Providerzusatz. Lediglich „@epost.de“ ist fest vorgegeben und kann bspw. wie folgt aufgebaut sein:

Vorname.Nachname@epost.de [138]

Um einen E-Postbrief zu versenden bzw. empfangen zu lesen, muss sich der Benutzer am E-Postbrief-Portal anmelden[139]. Jegliche Kommunikation wird über dieses Portal abgewickelt. Der E-Postbrief stellt nicht nur eine Alternative zur E-Mail dar, mit dem:

  • Behördengänge vermieden werden können
  • Verträge geschlossen werden können
  • Dienstleister beauftrag werden können
  • offizielle Schreiben erledigt werden können
  • vertraulich kommuniziert werden kann
  • Firmen die Möglichkeit zum Versand und Empfang von
    • Beratungs-, Vertrags- und Angebotsunterlagen
    • Bestellformularen und Bestellungen
    • Reklamationsmanagement
    • Mahnungen
    • Rechnungen haben

sondern durch die Sicherheit auch zum Papiergebunden Brief[140] [141]. Wie beim konventionellen papiergebundenen Brief, berechnet die Deutsche Post AG für das Versenden der E-Postbriefe "Porto". Sie nutz hierfür ein Guthaben- Konto. Dieses kann über unterschiedliche Verfahren:

  • Lastschrift
  • Kreditkarte
  • giropay

und bis zu einer Höhe 1.000,- € „aufgeladen“ werden. Je nach Umfang und Art des E-Postbriefs variieren die Kosten für das Versenden[142][143].

Bild:Preisliste_E-Postbrief.jpg

Für Geschäftskunden mit einem hohen Volumen wird zusätzlich ein Gateway zur Verfügung gestellt. Mittels dieses Gateways lassen sich E-Postbriefe ohne Benutzung des Portals empfangen und versenden. Bei einem geringeren Volumen können Unternehmen sowie Privatpersonen das E-Postbrief-Portal benutzen[144]. Bedingt durch das abgeschlossene System und das Prinzip, nur wer einen E-Postbrief Account hat, kann versenden und empfangen, ist die Wahrscheinlichkeit SPAM zu empfangen sehr gering. Trotzdem ist es erlaubt personifizierte Werbung mittels E-Postbrief zu versenden. Dies macht das Versenden von Spam-Mails für Spammer schwer und unattraktiv. Da jeder Empfänger einzeln zu selektieren sowie eine genaue Rückverfolgung möglich wäre[145].

7.3 Soziale Netwerke

Soziale Netzwerke sind Portale im Internet, in denen sich Internetuser in einer Gemeinschaft zusammenfinden. Die Anzahl und Nutzung von diesen Netzwerken hat spürbar und generationsübergreifend zugenommen. Für die Nutzung von Netzwerken gibt es die unterschiedlichsten Gründe. Manche Nutzer halten über diese Kontakt zu Freunden und Verwandten. Andere wollen sich der Öffentlichkeit mitteilen. Wiederum andere suchen den Partner fürs Leben oder suchen nach Schulfreunden. Es gibt weitere Kriterien für die Nutzung solcher Netzwerke. Jeder Netzwerknutzer hat seine ganz persönlichen Gründe, warum er in einem oder mehreren Netzwerken vertreten ist. Zumeist überschneiden sich oben genannte Gründe bei den Nutzern. In der Regel sind soziale Netzwerke nach einem vergleichbaren Schema aufgebaut. Der Nutzer legt ein Profil von sich an und hinterlegt seine persönlichen Daten. Dabei sind Daten, wie der Name und das Geburtsdatum meist noch triviale Angaben. Die Formen der sozialen Netzwerke sind mittlerweile sehr vielseitig. So gibt es für jede Ambition ein geeignetes Netzwerk [146]:

  • die Alleskönner und Generalisten wie Facebook, die VZ-Gruppe, Jappy u.v.m.
  • die Inhaltsbezogenen Netzwerke, dazu zählen u.a. MyVideo und YouTube
  • Netzwerke mit Themenschwerpunkt, z.B. Xing wo der berufliche Austausch im Fokus steht oder Friendscout24 für den Partnersuchenden Internetuser

Die Art der Kommunikation über soziale Netzwerke ist besonders einfach und angenehm „bunt“. Eine E-Mail mit dem zugehörigen Mailprogramm ist dagegen emotionslos in seiner Darstellungsform. Daher stellen die Netzwerke besonders für junge Leute eine attraktive Alternative für das „in Kontakt treten und bleiben mit Freunden“ dar. Darüber hinaus bieten die Netzwerke die Möglichkeit, dass erkannt wird, wenn sich ebenfalls Netzwerkkontakte in diesem befinden. Daraus folgt, dass die Kommunikation als „sehr persönlich“ von den Nutzern empfunden werden kann. Ein Empfinden, als würde der Kontakt sich im selben Raum befinden. Neben allen positiven Aspekten und Vorzügen stufen insbesondere Datenschützer und Datenschutzorganisationen die Netzwerke als kritisch ein [147][148]. Auch geraten die Netzwerke selbst, immer öfter mit Negativschlagzeilen in den Fokus der Öffentlichkeit. Diese Datenschutzproblematik wird von den Nutzern registriert und akzeptiert. So wächst die Anzahl der Netzwerknutzer kontinuierlich weiter an [149][150]. Weiterhin zeigen jüngste Untersuchen der Netzwerke, dass sie das Potenzial besitzen, Google als bislang zuerst aufgerufene Internetwebseite beim Surfen im Internet abzulösen[151][152]. Die sozialen Netzwerke stellen eine erhebliche Konkurrenz für die E-Mail, in ihrer derzeitigen Darstellungsform, dar.

7.4 Google Wave

Google Wave[153] ist ein online kollobarations Werkzeug, welches im Rahmen der Google IO[154] der Öffentlichkeit vorgestellt wurde. Elementarer Bestandteil von Google Wave ist eine "Wave". Dies ist ein in Echtzeit geteilter Platz für Informationen im Internet, wo User zusammen arbeiten und diskutieren können. Dabei sind sie nicht auf die restriktiven Eigenschaften einer E-Mail angewiesen, sondern können formatierten Text, Photos, Videos oder Kartenmaterial nutzen und dabei die Gewißheit haben, das der Inhalt beim Empfänger genauso aussieht wie beim Ersteller [155]. Dabei muss nicht auf das Versenden einer Wave gewartet werden. Die Nutzer bzw. Teilnehmer einer Wave können in Echtzeit die Aktionen der anderen Teilnehmer verfolgen. Sie sehen direkt auf ihrem Bildschirm, wenn ein anderer Teilnehmer gerade seinen Text der Wave bearbeitet oder Photos hinzufügt. Google zeigt auf seiner Informationsseite über Wave ebenfalls Anwendungsbeispiele auf [156]:

  • Bildung
  • kreative Zusammenarbeit
  • Firmen und Konferenzen, die über mehrere Standorte verteilt sind
  • Journalismus

Das Ziel von Google Wave ist hoch gesteckt. Es ist, alle bis heute bekannten Tools die Menschen zur Zusammenarbeit bewegt in einem zu vereinen. "Zwei der erfolgreichsten Wege der digitalen Kommunikation, E-Mail und Instant Messaging, wurden bereits in den 60er Jahren entwickelt. Seitdem sind so viele verschiedene neue Wege eingeschlagen worden – Blogs, Wikis, kollaborative Dokumente etc. –, Computer und Netzwerke haben sich enorm verbessert. Mit Google Wave schlagen wir eine neue Art der Kommunikation und Online-Zusammenarbeit vor, die diese Fortschritte zum Ausgangspunkt hat.“ Lars Rasmussen[157]. Google Wave stellt dabei verschiedene Erweiterungen (Extensions)[158] zur Verüfung, die die Zusammenarbeit zwischen Personen noch vereinfachen sollen. So kann innerhalb einer Wave problemlos eine ToDo-Liste erstellt werden, die von allen Teilnehmern abgearbeitet werden kann. Eine Umfrage-Erweiterung erlaubt innerhalb der Teilnehmer eine Umfrage zu gestalten und diese gleich auch automatisiert auszuwerten. Oder es kann gemeinsam an einer Mindmap gearbeit werden. Jedoch auch Unternehmen beteiligen sich an diesen Erweiterungen, so sind z.B. welche unter dem Punkt "Promising Prototypes" von Firmen wie SAP, Salesforce oder Novell aufgeführt. Google hat für diese Komponente die vollständige Dokumentation zur Erstellung von Erweiterungen öffentlich gemacht, so dass jeder interessierte seine eigene Erweiterung erstellen kann [159]. Jedoch können nicht nur Menschen eine Wave beinflussen, sondern auch sogenannte Google Wave Bots[160]. Solche Roboter können in eine Wave eingebettet und für verschiedene Anwendungsfälle geeignet sein. Ein Anwendungsbeispiel[161] kann eine Immobiliensuche sein. Es wird eine neue Wave erstellt, der Roboter eingebunden der Informationen über die gesuche Immobilie erhält und jetzt das Internet, sowie Immobilienportale durchsucht. Findet dieser Roboter ein passendes Angebot fügt er es automatisch der Wave hinzu. Der Ersteller der Wave kann sich zu seiner Wave bspw. seinen Lebensgefährten einladen und mit diesem über Googlewave in Echtzeit tagsüber kommunizieren. Freunde und Bekannte könnte er hinzu einladen, damit sie seine Immobiliensuche mitverfolgen können, ihm Tipps geben oder der Ersteller sie nach ihrer Meinung fragen kann. Ein anderes Anwendungsbeispiel ist eine Preissuche. Wenn der Ersteller bspw. ein neues elektronisches Gerät sucht, aber nicht notwendigerweise sofort benötigt. So kann ihn der Preisroboter über die aktuellen Preise des Modells auf dem Laufenden halten und bei besonderen Schnäppchen die Möglichkeit zur schnellen (Kauf-)Reaktion bieten. Dadurch das Google Wave auf Internettechnologien basiert, ist es vollkommen plattformunabhängig. Ein Anwender kann die Wave mit einem Windows, Mac oder Linux-PC bearbeiten ohne Einschränkungen. Ebenfalls existiert Unterstützung für das iPhone von Apple oder das Handybetriebssystem Android von Google. Die Einzige Voraussetzung ist ein aktueller Browser. Google Wave war bis zur Google IO 2010 ein System, bei dem Teilnehmer nur durch explizite Einladungen anderer Nutzer aufgenommen werden konnten. Während der Google IO 2010 wurde dann bekanntgegeben, dass Google Wave jetzt nicht mehr dieser Restriktion unterliegt. Jeder Interessierte kann sich bei Google Wave anmelden und teilnehmen. Bei der Nutzung von Google Wave im Unternehmenskontext, spielt der Datenschutz bei der Nutzung eine ganz wesentliche Rolle. Unternehmen widerstrebt es aus Datenschutzgründen ihre Daten direkt bei Google zu lagern. Aus diesem Grund ist das Protokoll was Google Wave nutzt, vollständig unter eine OpenSource Lizenz gestellt worden. Ebenfalls die Serverversion von Google-Wave ist OpenSource und kann vollständig in eigener Hand von Unternehmen betrieben werden [162]. Diese Technologie stellt damit einen Angriff auf die bewährten Syteme wie E-Mail, Instant Messaging und Microblogging dar [163].

8 Fazit

Es gibt effiziente Mittel und Verfahrensweisen zur Spambekämpfung. Allerdings sind diese nur Symptombekämpfung und setzen nicht bei den Ursachen an. Ein grundlegendes Problem ist das Mailprotokoll (SMTP), dessen Grundlage bereits in den 70er Jahren gelegt wurde. Dieses bietet keine standarisierten Verfahren zur Verifizierung, Authentifizierung sowie Autorisierung. Es basiert auf einer Vertrauensbasis. Die Notwendigkeit zur Implementierung einer gesichterten Kommunikation wurde nicht im ursprünglichen Protokolldesign berücksichtigt. Ein weiteres Problem aus der Historie ist der leichtfertige Umgang mit Mailservern. Diese wurden standardmäßig mitinstalliert, aber meistens nicht korrekt konfiguriert. Daraus entstand das Problem der offenen Mailserver, auch Relay genannt, die oftmals erst nach dem Missbrauch entdeckt werden. Ebenfalls trägt der Umgang ungeschulter Anwender mit PC-Systemen, sowie das Arbeiten mit Administrationsrechten dazu bei. Diese eröffnen Spammer weitere Möglichkeiten. Sie können Schadsoftware (z.B. Trojaner) auf Clientsystemen verteilen, indem sie sie mit einer nützlichen Software (wie z.B. einer Adressbuchverwaltung) kombinieren. Ab dem Zeitpunkt der Installation ist der Client-PC Bestandteil eines großen Netzwerkes (Botnet),

der bei dem Massenversand von Emails unwissentlich unterstützt. Um diese Probleme zu lösen, wurden verschiedene Verfahren eingeführt. Die Filterverfahren sind keine ursächliche Bekämpfung von Spam, sie schützen nur vor den Symptomen, indem sie ungewollte Emails als Spam klassifizieren und je nach Konfiguration auch gleich löschen. Um die ursprünglichen Probleme zu lösen, haben sich zwei Herangehensweisen herausgestellt. Die Evolutionäre, sowie die Revolutionäre. So ist Google Wave eine gewollte Neuerfindung des bereits akzeptierten und weit verbreiteten Mediums Email. Die De-Mail, der E-Postbrief und Verfahren wie, DKIM und PGP setzen auf eine konsequente Weiterentwicklung und stellen sich der Herausforderung, die Email evolutionär voranzutreiben. Während der Fallstudie hat sich herausgestellt, dass dieser Ansatz der vielversprechendere zu sein scheint. Die De-Mail war während ihres Pilotprojektes in Friedrichshafen sehr erfolgreich. Die E-Postbrief wird seit kurzem (Stand 29. August 2010) auch aktiv im Fernsehen beworben. Jedoch sind das zwei Verfahren, die auch die Monetarisierung der Email als Ausblick haben. Bei der De-Mail können sich auch weitere Provider beteiligen und diese Dienstleistung anbieten, während das bei dem E-Postbrief nicht möglich ist. DKIM und PGP sind die vielversprechendsten freien Möglichkeiten zur Evolution der Email. Während DKIM ein Authentifizierungsmechanismus ist, bietet PGP zusätzlich eine asynchrone Verschlüsselung des Emailinhalts. Für beide Verfahren ist eine Modifikation am Emailserver notwendig. DKIM verhindert also keinen Spam, sondern stellt fest, ob die Email von der Domäne / Absender versendet wurde. DKIM benötigt ebenfalls Anpassungen im Domain Name System (DNS). Die Email ist unserer Aufassung nach immer noch das attraktivste Kommunikationsmedium, im Privat-, sowie im Geschäftsumfeld. Das bestätigen auch die erfolgreichen Ansätze der Weiterentwicklung der Email. Diese haben bisher mehr Akzeptanz bei Behörden, Wirtschaftsunternehmen und Privatpersonen gefunden, als die Neuerfindung des digitalen verifizierten Nachrichtenaustauschs. Die Alternativen, wie soziale Netzwerke bieten noch nicht die technischen Möglichkeiten, die mit einer Email möglich sind. Google Wave wurde trotz technischer Überlegenheit für die Öffentlichkeit zum Jahresende 2010 eingestellt, aufgrund geringer Akzeptanz. Weiterhin ist der Anwender an einen Anbieter zwangwsweise gebunden. Vermutlich ist genau das der größte Erfolgsfaktor für die Email. Sie ist nicht an einen speziellen Anbieter oder eine Weboberfläche gekoppelt. Es ist dabei unerheblich, ob ein Webmailer oder ein dediziertes Emailprogramm verwendet wird. Ebenfalls können die Emailprogramme, je nach Bedarf durch den Anwender erweitert werden. Diese Freiheit bieten andere Dienstleister, an die sich gebunden werden muss nicht. Daraus folgt, dass aus den evolutionären Ansätzen als vielversprechendste DKIM, PGP, sowie die De-Mail übrig bleiben. Welches Verfahren am erfolgreichsten sein wird, ist schwer vorherzusagen und hängt von der Akzeptanz der Anwender ab. Die Migrationsstrategie ist unserer Meinung nach der Faktor, der den Erfolg maßgeblich beeinflusse wird. Was gegen die De-Mail und den E-Postbrief spricht ist der Monetarisierungsfaktor der Email. Betrieb und Wartung solcher abgesicherter Systeme kosten Geld. Jedoch Geld, welches heute auch schon bei Emailprovidern gezahlt wird. Bei der De-Mail sowie dem E-Postbrief wird also nicht nur das Anbieten sonder auch die Leistungserbringung selbst für jede einzelne Email monetarisiert. Mit dieser Fallstudie konnte aufgezeigt werden, dass eine Gefährdung mit geeigneten Maßnahmen nur eine geringere Gefahr darstellt.

Es gibt effektive Bekämpfungsmaßnahmen und Lösungen zur Bekämpfungen der Ursachen. Letztere haben sich noch nicht so flächendeckend durchgesetzt, wie die Filterverfahren. Keines der Verfahren löst jedoch das Problem der Zombierechner. Wurde die Kontrolle eines Rechners von einem Botnet übernommen, so kann dieses ebenso auf die Software des übernommenen Rechners zugreifen. Findet der Zugriff über eine Weboberfläche statt, so können hier auch die Zugangsdaten durch einen Keylogger eines Botnets ausgespäht werden. Der größte Kritikpunkt der De-Mail ist, dass das System nur innerhalb Deutschlands funktioniert, da hier keinerlei Abstimmung mit anderen Ländern stattfand. Gleiches gilt für den E-Postbrief. Die Empfehlung dieser Fallstudie ist auf DKIM oder PGP zu setzen. Eine Kombination dieser beiden Technologien ist ebenfalls möglich. Hier ist noch viel Überzeugungsarbeit bei Firmen zu leisten, doch stellt diese Kombination die freiste Variante dar, die international ohne großen Aufwand implementiert werden kann. Mit der De-Mail oder dem E-Postbrief hat das Not-Invented-Here-Syndrome[164] einen weiteren Erfolg feiern können. Anstatt die bestehenden Technologien wie DKIM oder PGP weiterzuentwickeln oder voranzutreiben, wurde sich für einen parallen Lösungsweg entschieden.

9 Fußnoten

  1. Vgl. http://www.laum.uni-hannover.de/ilr/lehre/Ptm/Ptm_KreaBrain.htm
  2. Vgl. http://arbeitsblaetter.stangl-taller.at/PRAESENTATION/freewriting.shtml
  3. Vgl. http://www.uni-bielefeld.de/paedagogik/Seminare/moeller02/03email/geschichte.html#zieldef1 | 06/2010
  4. ARPANET steht für Advanced Research Projects Agency Network
  5. BBN steht für Leo Beranek, Richard Bolt and Robert Newman, die Begründer von BBN
  6. SNDMSG steht für send message, zu dt. "Nachricht senden"
  7. Vgl. http://www.uni-bielefeld.de/paedagogik/Seminare/moeller02/03email/geschichte.html | 06/2010
  8. RFC 821 ist die Bezeichnung für SMTP; RFC bezeichnet eine Vielzahl von technischen und organisatorischen Dokumenten für das Internet
  9. SMTP steht für Simple Mail Transfer Protocol
  10. Standards wie RFC 2045 ff
  11. MIME steht für Multipurpose Internet Mail Extensions
  12. Base 64 beschreibt ein Verfahren zur Kodierung von Binärdaten
  13. Vgl. http://www.karlsruhe.de/stadt/stadtmarketing/presse/pressemeldungen/25_jahre_e-mail | 06/2010
  14. Vgl. Spam und sein rechtlicher Hintergrund- Spam and the Juridical Background, Nadine Schäfer / Prof. Dr. Thoma , 1. Auflage 2005 / GRIN Verlag / ISBN 978 638 65907 9 / Seite 1
  15. Vgl. https://www.bsi-fuer-buerger.de/cln_165/sid_D8F2E4C4F04BEF6081EF77F9B546FCAB/BSIFB/DE/ITSicherheit/AbzockerUndSpione/Spam/spam_node.html | 8/2010
  16. Vgl. http://www.recht-im-internet.de/themen/spam/definition.htm | 8/2010
  17. Vgl. http://www.viruslist.com/de/spam/info?chapter=153350526 | 08/2010
  18. Vgl. http://www.recht-im-internet.de/themen/spam/definition.htm | 08/2010
  19. Internetquelle www.securitymanager.de
  20. Printquelle e-f@cts S.5
  21. und zu Teilen auch das Telemediengesetz (TMG)
  22. Anhang – Beleg § 39 Postgeheimnis
  23. Anhang – Beleg § 206 Verletzung des Post- oder Fernmeldegeheimnisses
  24. Anhang – Beleg § 303a Datenveränderung
  25. elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz
  26. Anhang – Beleg § 3 Begriffsbestimmungen, § 88 Fernmeldegeheimnis
  27. Anhang – Beleg § 7 unzumutbare Belästigung
  28. Printquelle SpamAssassin S. 28
  29. Printquelle SpamAssassin S. 28
  30. z.B. OLG Düsseldorf 2004, http://www.beckmannundnorda.de/olgduesspam.html
  31. Anhang – Beleg § 6 Besondere Informationspflichten bei kommerziellen Kommunikationen
  32. Vgl. Printquelle e-f@cts S.3
  33. EU-Recht – Direktive 2002/58/EC
  34. Anhang Abb. 1 – Infografik: Herkunft der Spam-Mails
  35. http://www.bmwi.de/BMWi/Navigation/Technologie-und-Innovation/Informationsgesellschaft/spam,did=186842.html
  36. Printquelle SpamAssassin S. 28
  37. Coalition Against Unsolicted Commercial E-Mail – Sonderkomission der FTC (Federal Trade Commission)
  38. http://www.antispam.de/wiki/Harvester
  39. http://www.antispam.de/wiki/Harvester
  40. Vgl. Printquelle SpamAssassin – S. 69
  41. Beschwerde-Online-Formualar der Wettbewerbszentrale unter www.wettbewerbszentrale.de
  42. ICTF (Internet Content Task Force) betreibt eine Hotline für Spam-Beschwerden
  43. Vgl. Printquelle Technical Review S. 135f
  44. Vgl. Printquelle Technical Review S. 135
  45. Vgl. Printquelle Technical Review S. 136
  46. Anhang - §4 TKG
  47. Internetquelle www.vorratsdatenspeicherung.de
  48. Contract Network on Spam-Authorities - CNSA
  49. Vgl. Printquelle Technical Review S. 133
  50. Anhang - Zombie-Rechner
  51. Internetquelle www.spotspam.de
  52. Realtime Blackhole List
  53. "Spamhaus.org setzt Österreichs Domainverwaltung unter Druck" und "Österreichischer Providerverband empfiehlt Verzicht auf Spamhaus.org-Liste"
  54. bspw. Sicherheitsexperten von McAfee
  55. Quelle www.heise.de – siehe Anhang “Spamhaus.org setzt Österreichs Domainverwaltung unter Druck”Quelle www.heise.de – siehe Anhang “Spamhaus.org setzt Österreichs Domainverwaltung unter Druck”
  56. Quelle www.heise.de – siehe Anhang “Spamhaus.org setzt Österreichs Domainverwaltung unter Druck”Quelle www.heise.de – siehe Anhang “Spamhaus.org setzt Österreichs Domainverwaltung unter Druck”
  57. siehe Rechtlage
  58. SPAM-Mails, was nun?, Prof. Dr. Norbert Pohlmann, Öffentliche Sicherheit, Hrsg.: Bundesministerium für Inneres (Österreich), Verlagspostamt, Nr. 9-10 Gerasdorf/Österreich 2005, Seite 2
  59. https://www.bsi.bund.de/DE/Themen/InternetSicherheit/Gefaehrdungen/SPAM/spam_node.html |07/2010
  60. Ferris | http://pressetext.de/news/050225002/spam-mails-kosten-weltwirtschaft-milliarden/ | 07/2010
  61. HAM = erwünschte E-Mails
  62. Herstellerlösungen die mehrere Anti-Spam Maßnahmen kombinieren
  63. SPAM-Mails, was nun?, Prof. Dr. Norbert Pohlmann, Seite 3/4
  64. http://www.absatzwirtschaft.de/content/emarket/news/spam-beeintraechtigt-e-mail-verkehr;35758 | 07/2010
  65. Ein Computersystem, dass E-Mails von beliebigen Rechner annimmt und an beliebige Dritte weiterleitet
  66. siehe Kapitel 4.3)
  67. http://www.polizei-bw.de/startseite/warnmeldungen/Seiten/spam.aspx | 07/2010
  68. Verbraucherzentrale Bundesverband
  69. Mit begrenztem Wissen und wenig Zeit, ein nicht ganz optimales, aber dennoch akzeptables Ergebnis erzielen
  70. Einstufung des Spamverdachts
  71. Liste bekannter Spammer
  72. Anhang Abb. 2 – Infografik: Schematischer Aufbau einer Public-Key Infrastruktur [Abb.3/S35]
  73. Secure / Multipurpose Internet Mail Extensions
  74. Open Pretty Good Privacy
  75. Anhang Abb. 3 – Infografik: Signaturwert Einbettung im E-Mail Header [S.35]
  76. Vgl: Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.36
  77. Transformation in eine vordefinierte Struktur
  78. Vgl: Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.36
  79. Anhang Abb. 4 – Infografik: Ablauf DKIM [eigene Darstellung]
  80. Deutsches Network Information Center
  81. Vgl. DKIM: Technik und Anwendungsszenarien, Florian Sager, Agitos Websolutions, S.6
  82. Vgl: http://www.kes.info/archiv/online/01-01-60-SMIMEvsOpenPGP.htm |06/2010
  83. Vgl. http://www.openpgp.org/
  84. Vgl. http://www.openpgp.org/about_openpgp/
  85. http://www.cryptool-online.org/index.php?option=com_content&view=article&id=96&catid=38&Itemid=117
  86. http://www.pgpi.org/doc/pgpintro/#p10
  87. http://www.pgp.com/de/products/packages/desktop_pro/
  88. http://www.pgp.com/products/universal_gateway_email/
  89. Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.57
  90. Netzwerk das aus hunderten von infizierten Rechnern besteht und von einem Host aus ferngesteuert werden kann um dessen Dienste anzusteuern/missbrauchen.
  91. Vgl. http://www.antispam.de/wiki/Botnetz | 07/2010
  92. Anhang Abb. 5 – Infografik: Funktionsweise von Greylisting mit SMTP-Sicht [S.57]
  93. Warteschlage für E-Mails deren Zustellvorgang noch nicht abgeschlossen ist.
  94. http://www.urz.uni-halle.de/greylisting.html | 08/2010
  95. Vgl.: http://www.ronet.de/service/greylisting.htm | 07/2010
  96. Vgl. http://www.sh-solutions.de/download/Greylisting.pdf | 07/2010
  97. Vgl. Technical Review: DKIM S.57
  98. Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.57
  99. Vgl.: Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.58
  100. Vgl.: Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.59
  101. Beliebig generierte Links, die aber dennoch zum gleichen Ziel führen.
  102. Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.91
  103. Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.91
  104. Vgl.: Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.90
  105. Denial of Service | Außergefecht setzen von Diensten durch Massenabfragen.
  106. Zum Beispiel: Amazon oder Ebay (Stand 24. Mai 2010)
  107. http://mail.google.com/support/bin/answer.py?hl=de&answer=114129
  108. Der Kontoverifikationsprozess unterscheidet sich in den Ländern
  109. Vgl. https://www.paypal-deutschland.de/privatkunden/erste-schritte/konto-bestaetigen.html
  110. De-Mail Infobroschüre S. 3
  111. Vgl. De-Mail Infobroschüre S. 3
  112. Phishing
  113. De-Mail Infobroschüre S. 9
  114. De-Mail Infobroschüre S. 9
  115. Für weitere Informationen siehe http://www.pgp.com/de/index.html
  116. De-Mail Infobroschüre S. 9
  117. De-Mail Infobroschüre S. 11
  118. De-Mail Infobroschüre S. 11
  119. Vgl. De-Mail Infobroschüre S. 14
  120. Vgl. De-Mail Infobroschüre S. 14
  121. GDV
  122. Vgl. De-Mail Infobroschüre S. 14
  123. Vgl. De-Mail Infobroschüre S. 5ff
  124. Vgl. De-Mail Infobroschüre S.5ff und S.9ff
  125. Vgl. De-Mail Infobroschüre S.5ff
  126. Vgl. De-Mail Infobroschüre S.9ff
  127. Vgl. De-Mail Infobroschüre S. 7
  128. Vgl. De-Mail Infobroschüre S.13ff
  129. Bürgerportalgesetz
  130. Infobroschüre S. 3
  131. Vgl. De-Mail Infobroschüre S. 3ff
  132. Vgl. De-Mail Infobroschüre S.17ff
  133. Vgl. 2. De-Mail Newsletter S.1ff
  134. Vgl. http://www.fn.de-mail.de/cln_093/DeMail/DE/Home/home_node.html, 5. Juni 2010, 14:23
  135. 2. Newsletter De-Mail, S.2
  136. Vgl. https://adresse-sichern.epost.de/epostbrief-was | 8/2010
  137. Vgl. https://adresse-sichern.epost.de/epostbrief-nutzer | 8/2010
  138. Vgl. https://adresse-sichern.epost.de/adressreservierung | 8/2010
  139. Vgl. https://portal.epost.de/login | 8/2010
  140. Vgl. https://adresse-sichern.epost.de/epostbrief-wofuer | 8/2010
  141. Vgl. https://service.deutschepost.de/epost/faq/f%C3%BCr-welche-kommunikationsanl%C3%A4sse-ist-der-e-postbrief-besonders-gut-geeignet | 8/2010
  142. Vgl. https://service.deutschepost.de/epost/downloads/154/Preisliste_E-Postbrief.pdf | 08/2010
  143. Vgl. https://service.deutschepost.de/epost/faq/wie-funktioniert-die-bezahlung-beim-e-postbrief | 8/2010
  144. Vgl. https://service.deutschepost.de/epost/faq/wie-wird-der-e-postbrief-bei-gesch%C3%A4ftskunden-eingerichtet | 8/2010
  145. Vgl. https://service.deutschepost.de/epost/faq/kann-ich-mit-dem-e-postbrief-auch-werben | 08/2010
  146. Vgl. http://www.arbeiterkammer.at/bilder/d101/RatgeberSozialeNetzwerke.pdf Infobroschüre S. 6 | Stand 05/2010
  147. Vgl. http://www.datenschutz.rlp.de | 05/2010
  148. Vgl. https://www.datenschutz-ist-buergerrecht.de | 05/2010
  149. Vgl. https://www.datenschutz-ist-buergerrecht.de | 05/2010
  150. Vgl. http://www.arbeiterkammer.at/bilder/d101/RatgeberSozialeNetzwerke.pdf Infobroschüre S. 6 | 05/2010
  151. Vgl. https://www.datenschutz-ist-buergerrecht.de | 05/2010
  152. Vgl. http://www.heise.de/ct/artikel/Megacommunities-948944.html | 05/2010
  153. http://wave.google.com
  154. Googles Hausmesse
  155. https://www.google.com/accounts/ServiceLogin?service=wave&passive=true&nui=1&continue=https%3A%2F%2Fwave.google.com%2Fwave%2F&followup=https%3A%2F%2Fwave.google.com%2Fwave%2Fnewuser&ltmpl=tempopensignups2
  156. http://wave.google.com/using-wave.html
  157. Siehe http://blog.seibert-media.net/2009/07/15/google-wave-ein-ausblick-auf-eine-neue-stufe-der-unternehmenskommunikation/ 03.06.2010, Abruf 14:57
  158. http://wave.google.com/extensions.html
  159. http://code.google.com/intl/de-DE/apis/wave/extensions/gadgets/guide.html
  160. http://code.google.com/intl/de-DE/apis/wave/extensions/robots/index.html
  161. Eigenes Anwendungsbeispiel
  162. Vgl. http://blog.seibert-media.net/2009/07/15/google-wave-ein-ausblick-auf-eine-neue-stufe-der-unternehmenskommunikation/
  163. Vgl. http://blog.seibert-media.net/2009/07/15/google-wave-ein-ausblick-auf-eine-neue-stufe-der-unternehmenskommunikation/
  164. http://wirtschaftslexikon.gabler.de/Definition/not-invented-here-syndrom.html

10 Quellen

10.1 Print

  • e-f@cts - Kommunikation und Spam, BMWi, Ausgabe Nr.17 März 2007
  • SpamAssassin - Leitfaden zu Konfiguration, Integration und Einsatz, Alistair McDonald, Addison-Wesley, Ausgabe 2005
  • Technical Review - Spam, Linux-Magazin, Band 7 Ausgabe 2008
  • Spam und sein rechtlicher Hintergrund- Spam and the Juridical Background, Nadine Schäfer / Prof. Dr. Thoma , 1. Auflage 2005 / GRIN Verlag / ISBN 978 638 65907 9 / Seite 1
  • SPAM-Mails, was nun?, Prof. Dr. Norbert Pohlmann, Seite 2-4
  • DKIM: Technik und Anwendungsszenarien, Florian Sager, Agitos Websolutions, S.6
  • SPAM-Mails, was nun?, Prof. Dr. Norbert Pohlmann, Öffentliche Sicherheit, Hrsg.: Bundesministerium für Inneres (Österreich), Verlagspostamt, Nr. 9-10 Gerasdorf/Österreich 2005, Seite 2

10.2 Internet

11 Anhang

§ 39 Postgeheimnis (Auszug PostG)

(2) Zur Wahrung des Postgeheimnisses ist verpflichtet, wer geschäftsmäßig Postdienste erbringt oder daran mitwirkt. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die Erbringung der Postdienste erforderliche Maß hinaus Kenntnis vom Inhalt von Postsendungen oder den näheren Umständen des Postverkehrs zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Postgeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Postsendungen oder Postverkehr bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.


§ 206 Verletzung des Post- oder Fernmeldegeheimnisses (Auszug StGB)

(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft, eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.
(3) Die Absätze 1 und 2 gelten auch für Personen, die Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen, von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen von Post- oder Telekommunikationsdiensten betraut sind oder mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind.
(4) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die ihm als außerhalb des Post- oder Telekommunikationsbereichs tätigem Amtsträger auf Grund eines befugten oder unbefugten Eingriffs in das Post- oder Fernmeldegeheimnis bekanntgeworden sind, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(5) Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.


§ 303a Datenveränderung (Auszug StGB)

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.


§ 3 Begriffsbestimmungen (Auszug TKG)

(6) "Diensteanbieter" jeder, der ganz oder teilweise geschäftsmäßig
  • Telekommunikationsdienste erbringt oder
  • an der Erbringung solcher Dienste mitwirkt;
(10) "geschäftsmäßiges Erbringen von Telekommunikationsdiensten" das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht;
(22) "Telekommunikation" der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen;
(23) "Telekommunikationsanlagen" technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können;


§ 88 Fernmeldegeheimnis (Auszug TKG)

(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.


§ 7 unzumutbare Beslästigung (Auszug UWG)

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.
(2) Eine unzumutbare Belästigung ist stets anzunehmen
  1. bei Werbung unter Verwendung eines in den Nummern 2 und 3 nicht aufgeführten, für den Fernabsatz geeigneten Mittels der kommerziellen Kommunikation, durch die ein Verbraucher hartnäckig angesprochen wird, obwohl er dies erkennbar nicht wünscht;
  2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung,
  3. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, oder
  4. bei Werbung mit einer Nachricht, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.


§ 6 Besondere Informationspflichten bei kommerziellen Kommunikationen (Auszug TMG)

(1) Diensteanbieter haben bei kommerziellen Kommunikationen, die Telemedien oder Bestandteile von Telemedien sind, mindestens die folgenden Voraussetzungen zu beachten:
  1. Kommerzielle Kommunikationen müssen klar als solche zu erkennen sein.
  2. Die natürliche oder juristische Person, in deren Auftrag kommerzielle Kommunikationen erfolgen, muss klar identifizierbar sein.
  3. Angebote zur Verkaufsförderung wie Preisnachlässe, Zugaben und Geschenke müssen klar als solche erkennbar sein, und die Bedingungen für ihre Inanspruchnahme müssen leicht zugänglich sein sowie klar und unzweideutig angegeben werden.
  4. Preisausschreiben oder Gewinnspiele mit Werbecharakter müssen klar als solche erkennbar und die Teilnahmebedingungen leicht zugänglich sein sowie klar und unzweideutig angegeben werden.


Abb. 1 – Infografik: Herkunft der Spam-Mails (in % aller Spam-Mails)
Bild:Infografik_Herkunft_der_Spam-Mails.jpg

entnommen: http://www.bmwi.de/BMWi/Navigation/Technologie-und-Innovation/Informationsgesellschaft/spam,did=55486.html
Quelle: Sophos Security Thread Report 2007


Abb. 2 – Infografik: Schematischer Aufbau einer Public-Key Infrastruktur
Bild:Abb._2_DKIM_Infrastruktur.JPG

Quelle: Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.35


Abb. 3 – Infografik: Signaturwert Einbettung im E-Mail Header
Bild:Abb._3_DKIM_E-Mail_Header_2.JPG

Quelle: Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.35


Abb. 5 – Infografik: Funktionsweise von Greylisting mit SMTP-Sicht
Bild:Abb._4_Greylisting_Ablauf.JPG

Quelle: Technical Review: Spam – E-Mail sicher und benutzbar halten, Linux-Magazin 07/2008, S.57


§ 4 Internationale Berichtspflichten TKG

Die Betreiber von öffentlichen Telekommunikationsnetzen und die Anbieter von Telekommunikationsdiensten für die Öffentlichkeit müssen der Bundesnetzagentur auf Verlangen die Informationen zur Verfügung stellen, die diese benötigt, um Berichtspflichten gegenüber der Europäischen Kommission und anderen internationalen Gremien erfüllen zu können.


Zombie-Rechner

Bei Zombie-Rechnern handelt es sich um PCs, die mit Viren und Trojanern befallen sind. Diese Rechner fungieren ohne Wissen des Eigentümers als Spam-Versender. Es gibt sogenannte Trojaner-Netzwerke, mit denen leicht massenhafte E-Mails verschickt werden können oder wiederrum weitere Rechner veranlasst werden können einen Denial-Angriff auf eine Website zu starten.


Spamhaus.org setzt Österreichs Domainverwaltung unter Druck

Der Spamjäger Spamhaus.org [1] versucht, die österreichische Domainregistrierungsstelle nic.at [2] massiv unter Druck zu setzen. Obwohl über die Einrichtungen von nic.at keine Spam-Nachrichten verschickt wurden, ist die IP-Range der E-Mail-Server von nic.at auf der Spamblock-Liste (SBL) gelandet[3]. Mit den Einträgen auf der SBL versucht Spamhaus die Registrierungsstelle dazu zu zwingen, bestimmte .at-Domains zu löschen. Unter den inkriminierten Domains sollen Subdomains eingerichtet worden sein, die unter Phishing-Verdacht stehen. Spamhaus.org-CEO Steve Linford wollte gegenüber heise online keine Stellungnahme zu den Vorfällen abgeben.

Als Ergebnis des Eintrags auf der SBL werden die von nic.at versandten E-Mails von den meisten Mailservern nicht angenommen. Die SBL-Daten werden in der Regel automatisch unter der Annahme übernommen, dass darauf nur IP-Adressen verifizierter Spam-Quellen und von Spam-Unternehmen verzeichnet sind. Auch ein Wechsel der IP-Adressen half nic.at nicht, da auch der neue Bereich von Spamhaus.org umgehend gelistet wurde[4].

Seit Januar wurde nic.at von verschiedenen Seiten aufgefordert, insgesamt 15 bestimmte .at-Domains zu löschen. Unter diesen Domains sollen auf fünfter oder sechster Ebene Subdomains angelegt worden sein, die auf Phishing-Seiten verwiesen haben sollen. Nic.at will die 15 Domains allerdings nicht löschen. Dies wäre rechtswidrig und verstoße gegen die Vertragsbestimmungen der Domainregistrierungen sowie die Rechtsprechung des österreichischen Obersten Gerichtshofs (OGH [5]). Auch andere Länderdomain-Registrierungsstellen, wie etwa DENIC, würden in gleichartigen Fällen keine Domains löschen. Spamhaus.org meint, dass die Löschungen unproblematisch wären. Noch nie habe ein Phisher Klage erhoben, wenn eine seiner Domains deaktiviert worden sei.

Im Mai trafen sich Vertreter von nic.at und Spamhaus.org zufällig auf einem Kongress in Wien. Dabei erörterten sie ihre jeweiligen Standpunkte, fanden jedoch keine gemeinsamen Nenner. In der Folge informierte Spamhaus.org den Provider von nic.at und drohte damit, dass dieser die Internetverbindungen kappen würde. Als nic.at die Domaindelegierungen weiterhin nicht löschte, wurden die IP-Adressen der E-Mail-Server von nic.at mit dem Vermerk "Spam support" auf die Spamblock-Liste gesetzt. Das Angebot von nic.at, die Domainregistrierungen aufzuheben, wenn sich Registrierungsdaten (etwa die Anschrift) als falsch erwiesen würden, lehnte Spamhaus.org ab. "Wir sind selbstverständlich gegen Phishing und Spam", erklärte nic.at-Geschäftsführer Richard Wein gegenüber heise online, "Aber in diesen Fällen sind uns die Hände gebunden. Wir sind kein Gericht." Kein Verständnis hat Wein dafür, dass die Mailserver seines Unternehmens auf eine Spam-Sperrliste gesetzt wurden: "Wir spammen nicht und unterstützen das auch nicht." Da Spamhaus.org in Großbritannien beheimatet ist, sucht nic.at nun Rat bei britischen Anwälten.

Quelle: www.heise.de [6] - 19.06.2007


Österreichischer Providerverband empfiehlt Verzicht auf Spamhaus.org-Liste

Der österreichische Internetprovider-Verband ISPA [7] rät seinen Mitgliedern, bei der Spambekämpfung auf die Spamblock-Liste (SBL) von Spamhaus.org [8] zu verzichten. Anlass für die aktuelle Empfehlung ist ein Listing [9] der österreichischen Registrierungsstelle nic.at [10] , ohne dass diese selbst Spam-Mail verschickt hätte. Spamhaus.org möchte mit dem Listing, das zwischenzeitlich [11] den Mail-Verkehr von nic.at weitgehend blockiert hatte, Druck ausüben. Nic.at soll dazu gebracht werden, 15 .at-Domains zu löschen, weil Subdomains dieser Domains dazu verwendet worden sein sollen, auf Phishing-Websites zu verweisen. Die Registrierungsstelle weigert sich jedoch, die Domains ohne gerichtlichen Auftrag zu löschen, da das der österreichischen Rechtslage widerspreche.

Die ISPA sieht nicht ein, dass Server auf der SBL landen, die gar nicht zum Versenden von Spam genutzt werden. Dadurch würde der Einsatz der SBL zur Filterung legitimer E-Mails führen ("false positives"). In einem Rundschreiben an die ISPA-Mitglieder heißt es: "Nachdem Spamhaus bereits einige Male solche Überreaktionen getätigt hat – wobei nicht nur wirkliche Spam versendende IP-Adressen von ihr geblockt wurden und der aktuelle Fall zeigt, wie willkürlich und ohne Legitimation und Kontrolle von Spamhaus geblockt wird – sehen wir es als einzig sinnvolle Möglichkeit an, solange diese Vorgehensweisen nicht deutlich geändert werden, unseren Mitgliedern zu empfehlen, die Spamhaus Blocking List nicht mehr zu verwenden."

Quelle: www.heise.de [12] - 22.06.2007

Persönliche Werkzeuge