E-Mail-Spam und seine Auswirkungen auf Unternehmen, Umwelt und Gesellschaft 1 Einleitung 5 2 Spam und seine Auswirkungen 6 2.1 Begriffsherkunft und Historie 6 2.2 Definition von Spam 7 2.3 Spam und ähnliche Plagen 9 2.3.1 Kommerzielle Werbung 10 2.3.2 Nicht-Kommerzielle Werbung 10 2.3.3 Betrug 11 2.3.4 Aktienspam 12 2.3.5 Malware 12 2.3.6 Kollateraler Spam 13 2.3.7 Prozentuale Verteilung und Trends der Spam-Kategorien 14 2.4 Probleme durch Spam 16 3 Die Funktionsweise von Spam 17 3.1 Technische Grundlagen 17 3.1.1 Das SMTP-Protokoll 17 3.1.2 Versand, Transport und Zustellung von E-Mails 18 3.1.3 Der Weg einer E-Mail vom Absender zum Empfänger 19 3.1.4 Fehlermeldungen 20 3.1.5 Die Anfälligkeit von SMTP für Spam 21 3.2 Wie Spammer operieren 22 3.2.1 Wie Spammer an E-Mail-Adressen gelangen 22 3.2.2 Wie Spammer E-Mail-Adressen verifizieren 24 3.2.3 Wie Spam versandt wird 25 3.3 Anti-Spam-Maßnahmen im Überblick 30 3.3.1 Gesetzgeberische Maßnahmen 30 3.3.2 Organisatorische Maßnahmen 30 3.3.3 Technische Maßnahmen 31 4 Auswirkungen von Spam 33 4.1 Kosten durch den Empfang von Spam 33 4.1.1 Direkte Kosten 33 Inhalt III 4.1.2 Indirekte Kosten 34 4.2 Auswirkungen auf Unternehmen 36 4.3 Auswirkungen auf die Gesellschaft 38 4.4 Auswirkungen auf die Umwelt 40 5 Fazit und Prognose 43 1 Einleitung „In zwei Jahren ist das Spam-Problem gelöst!“ Dies ist weniger eine kühne Behauptung des Autors zu Beginn dieser Arbeit, sondern eine Aussage von Bill Gates im Jahr 2004 auf dem Weltwirtschaftsgipfel in Davos 1 . Ohne hier auf den genauen Kontext der Aussage einzugehen, kann festgehalten werden: Er lag gewaltig daneben, denn das Gegenteil ist Realität. Gab es im Jahr 2004 nach Schätzungen von Sophos ungefähr 8 Mrd. Spam-Mails weltweit pro Tag 2 , so stieg das Spam-Aufkommen seitdem unaufhaltsam an und lag im Jahr 2008 bei ungefähr 170 Mrd. Spam-Mails pro Tag 3 . Ist dies einfach nur lästig, oder ein ernstzunehmendes Problem mit ökonomischer Relevanz? Aufgrund ausgefeilter Spam-Filter erhalten wir heute nur noch wenige Spam-Nachrichten in unsere Postfächer. Trotzdem wirft das Thema viele Fragen auf: Wie kam es eigentlich zu dem Begriff „Spam“? Ist Spam ausschließlich auf das Medium E-Mail begrenzt? Wie gelangen die Spammer eigentlich an meine E-Mail-Adresse? Warum ist es immer noch möglich, dass Spammer ihre Nachrichten verschicken? Welche Kosten entstehen eigentlich für einen Spam-Filter? Wie hoch ist der Ausfall an Arbeitszeit für das manuelle Löschen nicht erkannter Spam-Nachrichten in meinem Unternehmen, in Deutschland oder gar weltweit? Weltweit muss eine große IT-Infrastruktur mit der Spam-Problematik befasst sein. Wie wirkt sich das eigentlich auf die Umwelt aus? Mit diesen und weiteren Fragen befasst sich die vorliegende Projektarbeit zum Thema “E-Mail-Spam und seine Auswirkungen auf Unternehmen, Umwelt und Gesellschaft. Um ein schlüssiges Gesamtbild zu erhalten, wird vorab ein Überblick über Historie, Definitionen, Klassifizierung und Probleme durch Spam gegeben. Außerdem werden die Funktionsweise von Spam mit technischen Grundlagen und die Anti-Spam-Maßnahmen vorgestellt. Im Anschluss werden die aktuelle technische Trends und die Entwicklung der beworbenen Inhalte von Spam aufgezeigt. Schließlich wird nach einem kurzen Resümee noch eine eigene Prognose zur Entwicklung der Spam-Problematik erstellt. 1 Vgl. Bishop, 2007 2 Vgl. OECD, 2004 3 Vgl. ICF International, 2009, S. 3 2 Spam und seine Auswirkungen Heutzutage werden die Begriffe Spam und E-Mail häufig in einem Atemzug genannt. Aber wie kam es eigentlich zu Spam? Was gab es zuerst, E-Mail oder Spam? In diesem Kapitel sollen zunächst die grundlegenden Fragen geklärt werden. Der Begriff Spam wird historisch untersucht und es wird eine Definition für Spam festgelegt. Ein weiterer Schwerpunkt dieses Kapitels ist die Klassifikation von Spam. Schließlich sollen die durch Spam entstehenden Probleme aufgezeigt werden. 2.1 Begriffsherkunft und Historie Im Jahr 1937 brachte das Unternehmen „Hormel Foods Corporation“ aus Minnesota ein Frühstücksfleisch unter dem Namen Hormel Spiced Ham auf den Markt 4 . Später wurde der Namen des Produkts - im Rahmen eines Kundenwettbewerbs - in das geschützte Warenzeichen SPAM® geändert 5 . Es gibt - auch innerhalb der Hormel Foods Corporation - widersprüchliche Aussagen, ob Spam die Abkürzung für „Shoulder of Pork and Ham“ 6 oder ein Kunstwort für „Spiced Ham“ ist. Der Begriff Spam wird heute häufig als Synonym für eine unnötig häufige Verwendung und Wiederholung benutzt. Dies ist darauf zurückzuführen, dass Spam während der Rationierung der Nahrungsmittel im 2. Weltkrieg eines der wenigen Lebensmittel war, die unbeschränkt erhältlich waren. Dieser Überfluss des Fleisches förderte die Entwicklung des Begriffs als Synonym für die Omnipräsenz an unerwünschten Nachrichten. Eine weitere Spur führt zu „The Spam Sketch“ von Monty Python und einiger weiter englischer Komiker 7 . Hier wird das Wort Spam so häufig verwendet, dass die ursprüngliche Bedeutung des Wortes verblasst und Spam nunmehr allgemein für die wahllose Streuung und Wiederholung ein und derselben Sache steht, die bei den Betroffenen Ärger verursacht. Der erste Beleg für eine unerwünschte Verbreitung kommerzieller Werbung ist schon viel älter als das Internet. Laut dem britischen Historiker Matthew Sweet warben Londoner Zahnärzte bereits im Mai 1864 per Telegramm für ihre Dienste. Sie nutzten die Möglichkeit, Telegramme massenhaft an einen großen Kreis unbekannter Empfänger zu versenden. 8 4 Vgl. Hormel Foods Corporation, o. J. 5 Vgl. o.V., The Chambers Dictionary, 1993, S. 1652 6 Vgl. Patten, 2000 7 Vgl. youtube/watch?v=anwy2MPT5RE 8 Vgl. The Economist, 2007 Die erste Spam-E-Mail wurde wohl am 3. Mai 1978 verschickt. Damals verschickte Gary Thuerk, Marketing Manager bei der US-Computer-Firma DEC, per ARPANET Werbung für eine Verkaufsveranstaltung eines neuen Computermodells. Statt jeden Empfänger individuell anzuschreiben, schickte er aus Zeitmangel die Werbung in einer einzigen E-Mail an ca. 400 Empfänger an der US-Westküste 9 . Wohl auch aufgrund dieser Werbung verkaufte Gary Thuerk, nach eigenen Angaben 10 , in den nächsten Wochen PCs im Wert von ca. 12 Millionen US-Dollar. Diesem Erfolg versuchen Spammer seitdem weltweit nachzueifern. Damals war das Versenden unerwünschter Werbung allerdings noch nicht unter dem Begriff Spam bekannt. Der Begriff wurde u.a. durch die Omnipräsenz des Frühstückfleisches während des 2. Weltkrieges und durch den Sketch von Monty Python von Internetnutzern nach und nach übernommen. Im Jahr 1998 veröffentlichte das New Oxford Dictionary of English unter dem Begriff Spam neben der Beschreibung des geschützten Lebensmittels eine weitere Definition 11 . 2.2 Definition von Spam Die Definition des New Oxford Dictionary of English lautete: „Irrelevant or inappropriate messages sent on the Internet to a large number of newsgroups or users“. Dies ist allerdings keine allgemeingültige Definition. Vielmehr existiert eine Vielzahl an verschiedenen Definitionen 12 . Auch die Legislative hat sich in vielen Ländern Arbeitsdefinitionen geschaffen 13 . Das Fehlen einer übereinstimmenden Definition bringt einige Probleme mit sich. So ist ein gemeinsames grenzüberschreitendes Vorgehen gegen Spam schwierig, wenn jedes Land eigene gesetzliche Definitionen hat oder gar die Rechtsprechung mangels gesetzlicher Regelungen eigene Auslegungen entwickeln muss 14 . Außerdem können Statistiken zum Spam-Aufkommen kaum miteinander verglichen werden. 9 Für den Wortlaut der original Nachricht vgl. Templeton, o.J. 10 Vgl. CBC News, 2008 11 Vgl. Aguilar, 1998 12 Verbreitete Meinungen werden hier dargestellt: Mueller, o.J.; Alvergnat, 1999, S. 1; Gauthronet & Etienne Drouard, 2001, S. 14 13 Vgl. Bueti, 2005, S. 10ff 14 Vgl. ebd., S. 58 Eine einheitliche, vollständige und praktikable Definition zu finden ist schwierig, da sie Elemente des Konsumentenverhaltens, der Psychologie des Empfängers, der übergeordneten rechtlichen Rahmenbedingungen, wirtschaftlicher Überlegungen und technische Belange berücksichtigen müsste 15 . Außerdem gibt es weltweit zu viele Interessen, die eine Definition durchsetzen wollen. Daher stellt die Working Group on Internet Governance (WGIG) 16 nicht in Aussicht, dass eine einheitliche Definition gefunden wird 17 . Trotz der Uneinigkeit bezüglich einer allgemeingültigen Definition von Spam herrscht weitgehend Einigkeit darüber, dass Spam-Nachrichten typischerweise bestimmte Eigenschaften besitzen. Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) klassifiziert diese Eigenschaften von Spam in primäre und sekundäre Eigenschaften (s. Tab. 1). Erfüllt eine Nachricht alle Eigenschaften mit primärem Charakter, so handelt es sich definitiv um Spam, und zwar in Form einer unverlangten kommerziellen Massen-E-Mail, der sog. Unsolicited Commercial Email (UCE). Die Eigenschaften mit sekundärem Charakter sind weitere Indizien für das Vorliegen einer Spam-Nachricht. 15 Vgl. OECD, 2004, S. 6 16 Die WGIB war eine internationale Expertengruppe zur Erläuterung der Sachfragen des Themas Internet Governance. Sie wurde durch den Generalsekretär der Vereinten Nationen, Kofi Annan ins Leben gerufen. 17 Vgl. Working Group on Internet Governance, o.J., S. 1 18 Vgl. OECD, 2004, S. 8 Umfassender ist der Begriff der Unsolicited Bulk Email (UBE), da er auf den kommerziellen Aspekt verzichtet. Als Mindestvoraussetzungen für das Vorliegen einer Spam-Nachricht sollen für diese Arbeit, in Anlehnung an die Definition der ITU 19 , folgende Eigenschaften gelten: Hier ist zu beachten, dass beide Voraussetzungen kumulativ eintreten müssen. Es reicht also nicht aus, wenn eine E-Mail unverlangt oder Massen-E-Mail ist. Eine unverlangte, aber persönliche E-Mail (z.B. die Geburtstagsgrüße eines Kommilitonen) ist ebenso wenig als Spam einzustufen, wie auch eine Massen-E-Mail dann kein Spam ist, wenn man mit dem Empfang einverstanden ist (z.B. beim Abonnement eins Newsletters). Von einer Massen-E-Mail (engl. Bulk-Mail) spricht man, wenn viele Empfänger eine Nachricht mit gleichem Inhalt erhalten. Dies wird nicht durch eine Personalisierung der E-Mail verhindert, etwa durch die Anrede mit Vor- und Nachnamen, da der Absender auch dann nicht auf die persönlichen Umstände des einzelnen Empfängers eingeht. 2.3 Spam und ähnliche Plagen Die Belästigung durch Spam ist leider kein Phänomen, das nur auf das Medium E-Mail beschränkt ist. Daneben existiert eine Vielzahl weiterer Arten von Spam. Dies sind z.B. Link-Spam wie Blogspam, Wikispam und Social Bookmark-Spam Suchmaschinenspam Spam over Instant Messaging (SPIM), unerwünschte Nachrichten z.B. über ICQ Spam over Internet Telephony (SPIT), z.B. unerwünschte Anrufe per Skype Spam over Mobile Phone (SPOM), z.B. unerwünschte Nachrichten per SMS Ein detailliertes Eingehen auf alle Arten würde den Umfang dieser Ausarbeitung sprengen. Daher konzentriert sich vorliegende Arbeit auf E-Mail-Spam. Da Spammer aus den verschiedensten Motiven handeln, gibt es verschiedene Arten von Spam, die sich z.T. in der Wirkung und den Verbreitungswegen unterscheiden. Dieser Abschnitt zeigt anhand einiger Beispiele und Statistiken, welche Arten von Spam es gibt. 19 Vgl. Bueti, 2005, S. 3 2.3.1 Kommerzielle Werbung Ein Versender von kommerzieller Werbung verfolgt die Absicht, den Empfänger zur Bestellung eines Produktes oder einer Dienstleistung zu bewegen. In Deutschland droht dem Versender solcher Nachrichten u.a. ein wettbewerbsrechtliches Ordnungsgeld 20 . Aus diesem Grund und der imageschädigenden Wirkung wird Spam heute kaum noch von seriösen Firmen eingesetzt. Typischerweise werden derzeit vor allem Internetdienstleistungen beworben aber auch - oftmals gefälschte 21 - Arzneimittel wie Potenzmittel (s. Abb. 1) und fragwürdige Diätpillen. Abb. 1 - Beispiel für kommerzielle Werbung Eine detaillierte Übersicht über die prozentuale Verteilung ist in Abb. 7 dargestellt. 2.3.2 Nicht-Kommerzielle Werbung Neben der kommerziellen Werbung wird Spam vereinzelt auch dafür genutzt, um für Religion oder aber eine politische Partei zu werben. So wurde z.B. im Vorfeld der Bundestagswahl 2009 von der FDP eine zweifelhafte E-Mail-Werbekampagne in Auftrag gegeben (s. Abb. 2) 22 . 20 Gem. § 20 iVm. § 7 UWG, vgl. Gesetz gegen den unlauteren Wettbewerb, 2004 21 Vgl. Tawab, 2010 22 Vgl. Ungerer, 2009 Abb. 2 - Beispiel für nicht-kommerzielle Werbung 2.3.3 Betrug Auch Betrüger verschicken Spam-Nachrichten. Sie nutzen die Naivität und Unwissenheit der Internetnutzer aus und versprechen ihnen hohe Gewinne. Weitverbreitet ist die Angabe, dass der Betroffene einen hohen Geldbetrag gewonnen hat (s. Abb. 3). Dabei muss er aber erst in Vorleistung treten, um angebliche Gebühren u.ä. zu bezahlen. Abb. 3 - Beispiel für Betrug Weitere Einstiegsszenarien zum sog. Vorschussbetrug sind etwa Gebrauchtwagenverkauf-Offerten oder Einladungen zu Internet Single-Börsen. Außerdem versuchen Betrüger - mittels des sog. Phishings - Login-Daten etwa zu Banken oder Online-Auktionshäusern auszuspähen. 2.3.4 Aktienspam Beim Aktienspam deckt sich der Spammer vor Beginn seiner Kampagne mit Aktien eines Unternehmens ein. Im Anschluss verschickt er eine Spam-Nachricht, die hohe Kurssprünge bei dieser Aktie verspricht (s. Abb. 4). Oft erweckt die Nachricht den Anschein einer angeblich fehlgeleiteten Insiderinformation und soll die Anleger dazu verleiten schnell „zuzuschlagen“. Lassen sich ausreichend Empfänger der Nachricht von der Empfehlung täuschen und kaufen die Aktie, so steigt in Folge des hohen Handelsvolumens auch der Kurs. Zu diesem Zeitpunkt verkauft der Spammer die Aktie meist zu einem deutlich höheren Kurs als dem Kaufkurs 23 . Daraufhin fällt der Kurs oft dramatisch, so dass die übrigen Anleger meist hohe Verluste einfahren. Abb. 4 - Beispiel für Aktienspam 2.3.5 Malware Die bisher genannten Spam-Kategorien zielten unmittelbar auf den Menschen ab, der das System bedient. Spammer verschicken jedoch auch Spam-Nachrichten, die zusätzlich Schadsoftware (sog. Malware) enthalten, die unmittelbar das Computersystem infizieren soll. Bei diesem zusätzlichen Bestandteil spricht man auch vom sog. Payload. Ein Grund für den Versand von Malware ist, das Computersystem zu infizieren und dadurch zum Bestandteil eines Botnetzes zu machen. Botnetze sind riesige Netzwerke ferngesteuerter Computer und werden vor allem zum Versand von Spam eingesetzt (s. 3.2.3.5). Dabei nutzen die Absender gezielt das Interesse des Empfängers an aktuellen Ereignissen, um sie in die Falle zu locken. An Feiertagen, bei Naturkatastrophen oder bei Skandalen von Prominenten und Politikern haben die Spammer Hochkonjunktur und reagieren oft blitzschnell. 23 Vgl. Böhme & Holz, 2006
Posted on: Tue, 13 Aug 2013 16:09:48 +0000
Trending Topics
Recently Viewed Topics
© 2015