Grenzen der Spambekämpfung
Warum sich Spam nicht per Gesetz verbieten lässt
Die meisten Spammails kommen aus den USA und China. Diese wenig spektakuläre Aussage ist dem neuesten Quartalsbericht der britischen Antivirenfirma Sophos zu entnehmen. Interessanter wird der Bericht, wenn er zumindest ansatzweise die Frage nach den Bedingungen stellt, unter denen Spam verbreitet wird. Der Bericht kommt dabei zu dem Ergebnis, dass nationale Gesetze wie der mehr als halbherzige US-Can-Spam-Act wenig geeignet sind, das Spamaufkommen zu beeinflussen. Auch spektakuläre Festnahmen in den USA und die Verurteilung illegaler Spammer zu medienwirksam hohen Strafen ändern daran nichts.
Es ist mehr als zwei Jahre her, dass Microsoft-Gründer und Noch-Vordenker Bill Gates das Spamproblem grundsätzlich für gelöst erklärte. Innerhalb von nur zwei Jahren sei der Spuk vorbei, erklärte Gates im Januar 2004 vollmundig auf dem Weltwirtschaftsgipfel in Davos. Gut zweieinhalb Jahre später rollt die Spamlawine noch immer weitgehend ungebremst durchs Netz. Das US-Emailsicherheitsunternehmen MessageLabs hat für die letzten zwölf Monate eine durchschnittliche weltweite Spamrate von rund 59 Prozent ermittelt. Mehr als jede zweite Mail ist also immer noch Bandbreite, Arbeitszeit und Nerven kostender Werbemüll. Besserung ist nicht in Sicht.
Spammails beleben das Geschäft – zumindest bei Sicherheits- und Emailfilterfirmen wie Sophos oder MessageLabs. Es gilt die Gleichung: Je bedrohlicher die Lage an der Spamfront, desto voller die Auftragsbücher der professionellen Spambekämpfer. Der zähe Kampf gegen unerwünschte Werbemails bzw. die Entwicklung, Bereitstellung und Anwendung von Filtertechniken zum Aussortieren unerwünschten Werbemülls sind schließlich ihr Geschäft. Die Statistiken der Filterbranche sind deshalb immer mit gebührender Vorsicht zu genießen. Doch schon der Blick ins eigene Emailpostfach kann jedem Nutzer zeigen, dass die Junkmail-Statistik von MessageLabs in ihrer Tendenz richtig liegt: Die Spamlawine rollt auch weiterhin durchs Netz und scheint sich laut MessageLabs weltweit derzeit bei einer Spamrate von durchschnittlich mehr als 50 Prozent einzupegeln. Im Einzelfall kann sie auch deutlich höher liegen.
Dienstleister wie die Abteilung Technische Infrastruktur (ATIS) der Universität Karlsruhe haben tagtäglich mit einem riesigen Berg an Werbemüll zu kämpfen. Die ATIS kontrolliert den zentralen Mailserver der Fakultät für Informatik mit Hilfe des Open-Source-Programms Spamassassin auf Spam. Spammails werden ausgefiltert, markiert und in einem Junkmailordner abgespeichert. Kein Spamfilter arbeitet mit hundertprozentiger Sicherheit. „Leider kommt es doch von Zeit zu Zeit vor, dass eine ‚richtige’ Mail (false positive) vom Spamassassin als Spam markiert wird und somit in der Spambox landet“, heißt es auf der ATIS-Webseite. Deshalb werden die Accountbesitzer per so genannter Montagsmail über ihr persönliches Spamaufkommen informiert und aufgefordert, die als Spam ausgefilterten Mails noch einmal „von Hand“ zu überprüfen.
Wie hoch das Spamaufkommen allein an der Fakultät für Informatik der Uni Karlsruhe ist, zeigen die Statistiken, die die ATIS seit Mitte 2003 akribisch führt. Aktuell erhalten die dortigen Accountbesitzer, Mitarbeiter und Studenten rund 240.000 Mails pro Woche, davon rund 190.000 Spammails. Nur rund 50.000 Mails sind Ham, also „richtige“ Emails. Die überwiegende Mehrzahl der auflaufenden Mails (rund 80 Prozent) ist Werbemüll. Allein am 27.7. dieses Jahres gingen ungefähr 10.000 „Nutzmails“ und rund 27.000 Spammails auf dem Mailserver in Karlsruhe ein.
USA, Mutterland des Spam
Der meiste weltweit zirkulierende Spam kommt aus den USA, weiß Sophos zu berichten. Im zweiten Quartal dieses Jahres stammten 23,2 Prozent der Mails, die in den weltweit aufgestellten „Spamfallen“ der britischen Antivirenfirma aufgelaufen sind, aus den USA, dem Mutterland des Spam. China und Hongkong folgen auf Platz zwei der Länder mit der höchsten Spamverbreitung. Rund 20 Prozent des weltweiten Spamaufkommens sind chinesischen Ursprungs. Mengenmäßig weit abgeschlagen und im einstelligen Bereich folgen Südkorea (7,5 Prozent), Frankreich (5,2 Prozent) und Spanien (4,8 Prozent) auf den Plätzen drei bis fünf. Deutschland rangiert in der Liste des „Dreckigen Dutzends“ der Spamversenderländer hinter Italien und vor Großbritannien auf Platz neun. Nur 2,5 Prozent des weltweiten Spamaufkommens stammten im zweiten Quartal 2006 aus heimischen Gefilden.
Wichtiger als diese Momentaufnahme zum zweiten Quartal dieses Jahres ist die Frage, wie sich das Spamaufkommen über einen längeren Zeitraum entwickelt hat. Für den Spitzenreiter im dreckigen Dutzend der Spamversenderländer ergibt sich dabei eine interessante Entwicklung. Während die USA laut Sophos noch vor zwei Jahren für 56,74 Prozent, also für gut die Hälfte des weltweiten Spamaufkommens verantwortlich waren, hat sich dieser Anteil schrittweise immer weiter reduziert. Der niedrigste Wert wurde im ersten Quartal dieses Jahres mit 23,1 Prozent gemessen. Der aktuelle Wert für das zweite Quartal 2006 liegt mit 23,2 Prozent geringfügig höher. Die USA haben somit ihr Spamaufkommen innerhalb von nur rund zwei Jahren um gut die Hälfte reduziert. Nur noch ein Viertel allen Spams, der weltweit zirkuliert, ist derzeit made in USA.
Die USA gehören mit zu den Ländern, die das Spamproblem mit juristischen Mitteln angehen wollen. Am 1. Januar 2004 trat der umstrittene Can Spam Act, der US-Spammer mit zum Teil hohen Strafen belegt, in Kraft. Das Gesetz, das Kritiker auch als I-Can-Spam-Act verhöhnen, habe zwar mit dafür gesorgt, dass US-Spammern das Leben schwerer gemacht worden sei, meint Graham Cluley von Sophos. Gleichzeitig bezweifelt der Sicherheitsexperte jedoch grundsätzlich die Wirksamkeit des umstrittenen Gesetzes. Das Spamproblem werde dadurch keinesfalls gelöst.
Als das US-Anti-Emailmüll-Gesetz in Kraft trat, standen die Spammer, die ihren Werbemüll von den USA aus unter die Leute brachten, vor der Wahl, ihre Werbebotschaften entweder gesetzeskonform zu gestalten und zu verbreiten oder in die Illegalität abzuwandern. Um mit dem schönfärberisch so genannten Direktmarketing per Email auch weiterhin Geld verdienen zu können, bereiteten viele US-Spammer ihren Werbemüll gesetzeskonform auf. Sie kennzeichneten ihre Mails mehr oder weniger deutlich als Werbemails, versahen sie wie gefordert mit eindeutigen Absenderangaben und boten den Empfängern die gesetzlich vorgeschriebene Möglichkeit, sich per Mausklick auf den entsprechenden „Opt-out-Link“ aus den Mailinglisten der Direktmarketing-Firmen auszutragen. Spammails mit sexuellen Inhalten wurden eindeutig als solche gekennzeichnet.
Werbemüll, der sich an die gesetzlichen Vorgaben hält, wird nicht mehr als Spam gezählt. Der gesetzeskonform gestaltete Spam fällt somit aus der „offiziellen“ Statistik heraus. Während die „offizielle“ Spamstatistik suggeriert, der Berg an Spammails werde langsam, aber stetig abgetragen, bleibt die Belastung der Emailnutzer mit unerwünschtem Werbemüll mindestens konstant. „Schuld“ ist der Can-Spam-Act, der – übrigens auf Grund einer intensiven Lobbyarbeit der US-Direktmarketingfirmen – zwischen legalen Werbemails und illegalem Spammüll trennen will und damit die Statistik schönt. Hätte sich der US-Gesetzgeber gegen die Direktmarketing-Lobby und für ein fortschrittliches Opt-in-Modell entschieden, wäre grundsätzlich jeder unverlangte Werbemüll illegal geworden. Das Opt-out-Prinzip unterstellt demgegenüber, dass eine Spammail, die die gesetzlichen Vorschriften einhält, grundsätzlich legal ist. Dem Empfänger obliegt es, sich per Klick auf den obligatorisch vom Gesetz vorgeschriebenen Opt-out-Link aus der Mailingliste des Spamversenders auszutragen.
Helfen strengere Gesetze?
Es stellt sich die Frage, ob und inwieweit Gesetze wie der Can-Spam-Act wenigstens in der Lage sind, der Verbreitung des als illegal definierten Werbemülls, der sich nicht an die gesetzlichen Verbreitungsvorschriften hält, wirksam Einhalt zu gebieten. Auch hier muss man dem US-Gesetz ein denkbar schlechtes Zeugnis ausstellen. Das Gesetz setzt auf Abschreckung. Illegalen Spammern drohen hohe Strafen. Voraussetzung ist, dass diese Spammer erstens in den USA leben und zweitens auch ermittelt werden. Das wird jedoch zunehmend schwieriger. Der Spamversand erfolgt heutzutage größtenteils über Botnetze, die zu diesem Zweck von Spamverbreitern betrieben oder angemietet werden. Wer tatsächlich hinter einer Spamkampagne steckt, lässt sich – von Ausnahmen abgesehen - kaum ermitteln. Ross und Reiter bleiben unbekannt.
Es fällt auf, dass erstaunlicherweise gerade Russland nicht zum dreckigen Dutzend der Spamversenderländer zählt. Ist Spam aus Russland also Mangelware? Sophos sagt nein. Man habe Beweise dafür, dass viele Spammer aus Russland stammen und ihren Spam über riesige Botnetze verbreiten. Erst kürzlich habe man eine russische Spamming-Preisliste entdeckt. Eine Spamkampagne an elf Millionen russische Adressen werde darin für 500 US-Dollar angeboten. Der Spammailversand an eine unsortierte Liste von rund einer Million Emailnutzern koste demzufolge nur schlappe 50 Dollar. Die Zombie-PCs, über die der Spamversand anschließend erfolgt, stehen auf der ganzen Welt – vorrangig aber in den USA und China.
Geht man davon aus, dass der heutige Werbemüll tatsächlich größtenteils über Botnetze verbreitet wird, dann sagen Statistiken, wie sie Sophos und andere Sicherheitsfirmen mit steter Regelmäßigkeit verbreiten, über die Nationalität der Spamverbreiter und ihrer Auftraggeber überhaupt nichts aus. Solchen Statistiken ist „nur“ noch zu entnehmen, in welchen Ländern sich die Rechner befinden, die als Teil eines Botnetzes zum Spamversand missbraucht werden. Sophos hat diesen Zusammenhang zumindest ansatzweise erkannt. Die Realität sei nun mal, dass man das Spamaufkommen nicht durch strengere Gesetze, sondern nur durch Aufklärung der Nutzer reduzieren könne, heißt es im Quartalsbericht. Die (Windows-)PCs der Nutzer würden permanent Gefahr laufen, gekapert und einem kriminellen Botnetz einverleibt zu werden. Der Nutzer sei gefragt, meint Graham Cluley von Sophos. Er müsse wirksame Maßnahmen ergreifen und „seinen Computer absichern, damit das Zombie-PC-Problem endlich zum Stillstand kommt“.