Die Suche nach den Kostenträgern für die Spam-Jagd

Über das Ziel herrschte Einigkeit beim 4. deutschen Anti-Spam Summit: Unerwünschte E-Mail-Werbung und mehr noch das grassierende Phishing muss noch energischer verfolgt werden. Wer dafür Geld und Zeit investieren soll, dazu gibt es allerdings auch nach Jahren der Debatte noch unterschiedliche Vorschläge. Vertreter des polnischen Verkehrsministeriums und des Schweizer Staatssekretariats für Wirtschaft sehen eine besondere Verantwortung der Internet-Provider; beide Länder haben in ihre derzeit novellierten Telekommunikationsgesetze eine Verpflichtung für die Provider hineingeschrieben.

"Internet-Provider in Polen tun nicht genug," kritisierte Wioletta Pacler, im polnischen Verkehrsministerium für Telekommunikation zuständig, in der abschließenden Podiumsdiskussion. "Das ist der Grund, warum wir sie im neuen Gesetz dazu verpflichten, etwas zu unternehmen. Wir werden auch Bußen für Provider schaffen, die dem nicht nachkommen." Pacler sieht allerdings auch im fehlenden Wettbewerb auf dem Provider-Markt einen Grund dafür, dass Kunden nicht besser gegen Spam geschützt werden.

Ihr Schweizer Kollege Philipp Barner vom Staatssekretariat für Wirtschaft meinte: "Schweizer Provider tun viel. Daher sehen wir wohl auch nicht so viel Spam in der Schweiz." Trotzdem aber hat auch der Schweizer Gesetzgeber in das voraussichtlich im April kommenden Jahres in Kraft tretende neue Telekommunikationsgesetz eine explizite Verpflichtung für die Provider aufgenommen. "Wir haben eine Bestimmung im Paragraph 45, die Provider verpflichtet, sofortige Maßnahmen gegen Spam zu ergreifen, die aus ihren Netzen heraus versandt wird. Wenn das Spamming weitergeht, kann der entsprechende Kunde vom Netz genommen werden."

Die deutsche Gesetzeslage erlaubt einem Provider derzeit allerdings kein "Outbound Filtering", erinnerte Stephan Menzel von GMX in der Diskussion. Damit ist es den Providern nicht möglich, Spam vorsorglich abzufangen. Inwieweit Providern in anderen Ländern dies erlaubt ist, konnten die vertretenen Behörden nicht mit Sicherheit sagen. Wout de Natris vom niederländischen Telekom-Regulierer Opta, gleichzeitig der erste Vorsitzende des Europäischen Netzwerks der für Spam zuständigen Behörden, musste bei der Frage passen.

De Natris plädierte dafür, die Behörden, denen die Jagd auf Spammer aufgegeben werde, mit einem entsprechenden Budget und ausreichend qualifiziertem Personal auszustatten, damit Spammer und Scammer wirklich effektiv verfolgt werden können. "Die Polizei", meinte de Natris, "interessiert sich wenig für diese Fälle, solange es nicht um Terrorismus geht." Andererseits schrecken die Provider selbst auch vor dem Aufwand einer Klage gegen einen Spammer zurück. Mit der Zunahme von Phishing-Attacken, auf deren Entwicklung man beim Kölner Kongress ein besonderes Augenmerk legte, könnte es in Zukunft mehr Klagen und auch drängendere Fälle für die Strafverfolgung geben.

Jörg Schwenk, Vorsitzender der Arbeitsgruppe Identitätsschutz im Internet, unterstrich, dass der klassische Schutz beim Online-Banking, die Verwendung von TAN-Nummern, dann löchrig wird, wenn die SSL-Sitzungen der Kunden angegriffen werden. Genau das sei inzwischen durch auf Kundenrechner eingeschleuste Trojaner schon geschehen. Vorerst sei der mobile TAN-Schutz, wie ihn etwa die Deutsche Postbank einsetze, wohl noch am wenigsten angreifbar. Mit der steigenden Komplexität von Mobiltelefonen könne sich das allerdings ebenfalls ändern. Mit Acallno:A sei ein mobiler Virus beschrieben worden, der die Weiterleitung der entsprechenden mTAN-SMS an den Angreifer erlaube.

Vielleicht werde die Zukunft im Online-Banking daher speziell für die Banksitzungen eingesetzter "dummer", mit dem PC verbundener Kartenleser gehören, auch Trusted Computing biete möglicherweise einen Ausweg. Sicher ist vor allem eines, sagte Rob Thomas vom Team Cymru: "Die Banken verlieren niemals eigenes Geld. Vielleicht verlieren sie Geld, aber niemals ihr eigenes." Hatten bislang die Banken entwendete Beträge den Kunden noch zurückerstattet, geht der Trend nun dahin, dies nicht mehr bedingungslos zu tun. Die Deutsche Bank etwa habe, erklärte Schwenk, in ihren vertraglichen Bedingungen bereits aufgenommen, dass die Kunden für die Sicherheit ihrer PCs verantwortlich sind. (Monika Ermert) (jk)