Anti-Spam-Kongress: Strafverfolger sind gefordert

Technisch sind Spammer, Scammer und Phisher nicht zur Strecke zu bringen, vielmehr müssten Behörden und Strafverfolger mehr gegen den technologisch stets bestens gerüsteten "Untergrund-Wirtschaftszweig" tun, sagte Rob Thomas. Der Gründer der Sicherheitsforschergruppe Team Cymru sprach heute beim 4. Anti-Spam-Kongress des Eco-Verbands und der IHK in Köln. "Es geht nicht um Technologie, es geht um Verbrechen und Verbrechensbekämpfung." Thomas verwies auf Angebote und Erfolgsmeldungen der Betrüger in einschlägigen IRC-Kanälen, vom Zugriff auf Bankkonten in Millionenhöhe bis zum Knacken mächtiger Cisco-GSR-Server mit hunderten von Peeringpartnern. Der Handel mit den geknackten Maschinen, mit Kreditkartendaten und Malware für Angriffe sei mehr als schwunghaft.

"Es sind nicht nur Microsoft-Server, Cisco und Linux sind ebenfalls mehr und mehr betroffen. In den vergangenen zweieinhalb Monaten haben wir auch immer mehr Unix-Botnetze gesehen", schildert Thomas. Ideologische Überlegungen seien den Missetätern fremd, vielmehr wichen sie aus, wenn Microsoft-Server und PCs sicherer würden. "Die handeln mit ihren eigenen Blacklisten, in denen die sichersten Netze verzeichnet sind oder die, in denen man jedesmal verfolgt wird." Spammer, Scammer und Phisher seien nicht nur "Kids", auch 50- oder 60-Jährige seien aktiv.

Auch Vertreter des von Eco mit ins Leben gerufenen SpotSpam-Projekts forderten ein stärkeres juristisches Vorgehen gegen Spammer und Phisher. SpotSpam soll nach den Vorstellungen ihrer Initiatoren die europäische "Spambox" schlechthin werden. Rechtsanwalt Thomas Rickert, der im Auftrag von Eco seit dem 3. Spam-Gipfel im vergangenen Jahr die rechtlichen Grundlagen für die Spambox geschaffen hat, musste dabei vor allem darauf achten, datenschutzrechtliche Probleme auszuschließen: Nationale Partner von SpotSpam könnten nun etwa die personenbezogenen Daten behalten, wenn sie die individuellen Spammeldungen an Spotspam weiterleiten. Damit die Meldungen gerichtsverwertbar seien, würden sie mit einer ID versehen, die dann fürs gerichtliche Verfahren aufgelöst würde. Auch privaten Partnern, etwa großen ISPs, stehe diese Möglichkeit offen. Auch sie könnten Spam- oder Phishing-Mails in die Datenbank einpflegen, ohne Kundendaten weitergeben zu müssen.

Behörden und private, einschließlich den an der Plagiierung ihrer Markennamen interessierten, Markenrechtsinhabern können in der SpotSpam-Datenbank eine anonymisierte Suche nach Themen, IP-Adressen oder IP-Adressbereichen durchführen. Wie beim Datenschutz werden dabei unterschiedliche gesetzliche Regelungen innerhalb und außerhalb Europas berücksichtigt. Nicht nur Strafverfolger erhalten Zugriff, sondern auch Wettbewerbsbehörden, Verbraucherschützer oder Telekomregulierer. Dem deutschen "Bündnis gegen Spam" werde neben der Wettbewerbszentrale und dem Bundesverband Verbraucherschutzzentralen auch die Bundesnetzagentur angehören, sagte Frank Ackermann vom Eco-Verband.

SpamSpot-Partner Microsoft hat nach Angaben von Craig Spiezle inzwischen rund 250 Verfahren gegen Spammer angestrengt. Der Microsoft-Manager (Director Windows Live Strategy) unterstrich in Köln die "sehr guten Ergebnisse" des Sender ID Framework/SPF. Knapp 40 Prozent der bei Hotmail eingehenden legitimen E-Mail nutze die im DNS hinterlegten IP-Adresseinträge zur Authentifizierung ihrer Mailserver, sagte Spiezle gegenüber heise online. Die hohe Verbreitungsrate rief bei den anwesenden deutschen Teilnehmern in Köln Stirnrunzeln hervor. Auf Spiezles Frage, wer von den Anwesenden Sender ID umgesetzt hatte, meldete sich nur Philippe Nicard von Epsilon Interactive, ein Mailprovider, der Marketingunternehmen unterstützt. Der von der Internet Engineering Task Force (IETF) geplante DKIM-Standard werde wohl in Zukunft mit Sender ID/SPF koexistieren, meinte Spiezle.

Microsoft setzt neben Sender ID auch noch auf weitere Techniken, von eingekauften und eigenen Blocklisten über Heuristik bis zu Microsoft Phishing Filter, mit dem verdächtige Seiten dem User als mögliche Phishing-Seiten transparent gemacht werden sollen. "Natürlich können die Nutzer selbst noch entscheiden, ob sie auf die Seite gehen," so Spiezle. Fehlendes Problembewusstsein bei den Nutzern führt allerdings nach Ansicht der Experten oft dazu, dass Phishing-Warnungen missachtetwerden. Eine bessere und vor allem verständlichere Information zu den Gefahren sei daher besonders wichtig. (Monika Ermert) / (anw)