Spammer zwingen Anti-Spam-Start-up in die Knie

Das in Israel ansässige Anti-Spam-Start-up Blue Security musste seine Dienste unter dem Druck eines andauernden verteilten Netzwerkangriffes einstellen. Der von einem Bot-Netz "beachtlicher Größe" durchgeführte Distributed-Denial-Of-Service-Angriff (DDoS) betraf nicht nur die Server des Unternehmens, sondern auch die Mail- und Web-Server eines Teils der rund 500.000 Blue-Security-Nutzer, die mit massenhaftem Spam und sinnlosen Web-Anfragen überhäuft wurden. Man sei zu der Entscheidung gekommen, den Anti-Spam-Dienst ab dem heutigen Mittwoch einzustellen, um weiteren Schaden von den Nutzern und deren Internetprovidern abzuwenden, so die Firma in einer Presseerklärung. Man erwarte, dass sich die Angriffe auch in Zukunft wiederholen würden, selbst wenn man sich vorerst wieder davon erholen könnte. Derzeit dauert der Angriff noch an, die Firmen-Website ist noch nicht wieder erreichbar. Man wolle nun die Ermittlungen den Behörden überlassen.

Der laut Online-Magazin Wired News von dem Spam-Versender PharmaMaster am 2. Mai gestartete DDoS-Angriff legte zunächst die Datenbank-Server und somit die Website von Blue Security lahm. Der Spammer konnte sich außerdem eine wenig bekannte Filterfunktion gängiger Cisco-Router zunutze machen, die dem Schutz vor DDoS-Angriffen dienen soll, dabei aber den Zugriff auf die Blue-Security-Website von außerhalb Israels zeitweise völlig unmöglich machte. An die Adressen der Kunden, die ebenfalls von dem Angriff betroffen waren, konnte der Spammer vermutlich gelangen, indem er prüfte, welche E-Mail-Adressen in den vergangenen Monaten von Spam-Listen gestrichen wurden.

Blue Security setzt zum Streichen der Adressen seiner Kunden auf das so genannte Opt-Out-Verfahren. Dabei veranlasst der Empfänger einer unerwünschten Werbe-Mail selbst, dass seine Adresse von einer Spam-Liste gestrichen wird, ganz im Gegensatz zum Opt-in-Verfahren, bei dem man sich selbst auf einer Liste eintragen muss. Die dafür entwickelte Software Blue Frog läuft auf den Rechnern der Kunden und liefert dem Unternehmen Rückmeldung über erhaltenen Spam. Dabei verfolgten die israelischen Anti-Spammer einen zweistufigen Ansatz: Zunächst versuchten sie, den Spammer, den Betreiber der beworbenen Website und deren Internetprovider zu kontaktieren, um sie zum Akzeptieren der gesammelten Opt-Out-Listen zu bewegen. Führten die diplomatischen Schritte ins Leere, wurde ein Skript für die Blue-Frog-Software erstellt, das je eingehender Spam-Mail eine Opt-Out-Meldung an die beworbenen Websites verschickte.

Nach eigenen Angaben konnte Blue Security seit der Gründung 2004 unter anderem sechs der zehn größten Spam-Versender – insgesamt verantwortlich für rund ein Viertel des weltweiten Spam-Aufkommens – zur Kooperation bewegen. Dieses Vorgehen war offenbar erfolgreich, brachte dem kleinen Start-up jedoch laut US-Medien auch Kritik seitens Juristen und legal operierender Spammer ein: Die massenhaften Opt-out-Anfragen würden einem DDoS-Angriff durch die Blue-Frog-Community gleichen und verstießen damit unter Umständen sogar je nach Land gegen nationales Recht, über das sich das israelische Unternehmen wissentlich hinwegsetze.

Nach Einschätzung des Professors für US-Recht und Mitglied des Unternehmens-Beirates Peter Swires sei das Vorgehen, einen Opt-out pro empfangener Spam-Mail zu verschicken, jedoch zumindest mit dem US-Justizsystem vereinbar. Der 2003 zur Bekämpfung unerwünschter Werbe-Mails erlassene CAN-Spam-Act gebe Spam-Empfängern genau die notwendige rechtliche Rückendeckung.

Auch wenn Blue Security nun seinen Dienst unter dem massiven Druck der Spammer einstellen musste und seine Community-Website zum Monatsende vom Netz nehmen will, hat es jedoch gezeigt, dass der Community-Ansatz zur Verminderung der Spam-Plage funktioniere, so Swires. Für die Zukunft verspricht man sich von der Taktik mehr Erfolg, wenn sie große Unternehmen umsetzen, die koordinierten Angriffen wehrhafter Spammer mehr Zeit und Geld entgegensetzen könnten. (cr)