Über einen Kamm geschoren
Anti-Spam vergleichen
Anti-Spam-Lösungen gibt es viele - doch wie lassen sie sich vergleichen? Die Entscheidung für das wirkungsvollste Produkt kann sich im Grunde auf wenige, exakt zu bestimmende Parameter stützen, anhand derer die Genauigkeit objektiv bemessen wird.
E-Mail-Verantwortliche in Unternehmen und Organisationen wissen, dass Spam mit einem Anteil von 95 Prozent am gesamten E-Mail-Aufkommen der weitaus größte E-Mail-Ressourcenfresser im Unternehmen ist. Deshalb lässt sich in der Regel folgender Grundsatz geltend machen: Je weniger von diesen unerwünschten Nachrichten empfangen, zugestellt und archiviert werden müssen, umso besser. Aus diesem Grund nimmt die eingesetzte Anti-Spam-Lösung eine zentrale Rolle ein: Sie trägt auf der einen Seite zur Zufriedenheit der Nutzer bei, weil diese merklich weniger Spam erhalten, und entlastet auf der anderen Seite die vorhandenen Ressourcen, da weniger Speicherkapazität benötigt wird. Doch woran lässt sich erkennen, welche Lösung die wirkungsvollste für ein Unternehmen ist? Dafür benötigt der Verantwortliche Zahlen und Standards, anhand derer er sich orientieren und die zur Auswahl stehenden Lösungen vergleichen kann. Die Berechnung dieser Werte erfolgt unter Zuhilfenahme verschiedener Parameter und erlaubt es den Unternehmen, ganz objektiv die Genauigkeit der einzelnen Produkte zu ermitteln und sich für das passende zu entscheiden. Glücklicherweise sind die dafür benötigten mathematischen Grundlagen nicht anspruchsvoller als die für einfache Prozentrechnung, was das folgende Rechenbeispiel verdeutlichen soll.
Die "Filterrate" ist der Ausgangspunkt dieses Exkurses. Sie stellt einen Prozentwert dar und berechnet sich aus der Anzahl der insgesamt empfangenen E-Mails und der darin enthaltenen Menge von Spam-Nachrichten. Bei empfangenen 1000 E-Mails, von denen 900 Spam sind, ergibt sich also eine Filterrate von 90 Prozent.
Neben der berechneten Filterrate müssen zudem zwei weitere Werte berücksichtigt werden, um zu einem korrekten Ergebnis zu kommen: die Negativrate und die Positivrate. Beide lassen sich nach erfolgter Filterung basierend auf falsch erkanntem Spam berechnen.
Die Negativrate bezeichnet sämtlichen Spam, der nicht als solcher erkannt wurde und schließlich ungewollt in die Postfächer gelangt. Ähnlich der Filterrate lässt sich auch dieser Wert recht einfach berechnen. Ergibt sich also die Negativrate aus der Anzahl der nicht erkannten Spam-Mails nach Filterung, bedeutet das für das obige Beispiel folgende Berechnung: Sind von den insgesamt 100 empfangenen E-Mails immer noch zehn unerwünschte Spam-Nachrichten, wäre die Negativrate zehn Prozent. Ein hoffentlich in der Praxis nie erreichter Wert, denn dieser sollte sich normalerweise im Promillebereich bewegen. Angenommen, beim Empfänger handelt es sich um einen Internet-Service-Provider, der sechs Millionen E-Mails gefiltert hat und insgesamt 10.000 falsche Negative berichtet, ergibt sich mit einer Negativrate von 0,16 Prozent ein durchaus akzeptabler Wert.
Bedauerlicherweise ist kein Computersystem perfekt, und so kommen zu den Spam-E-Mails, die fälschlicherweise den Filter passieren konnten, auch immer wieder so genannte "False Positives". Dabei handelt es sich um legitime Nachrichten, die fälschlicherweise als Spam klassifiziert wurden. Die Berechnung der Positivrate erfolgt wie die der Negativrate. Beide Werte ergeben in ihrer Addition die Genauigkeitsrate der eingesetzten Anti-Spam-Lösung.
Vergleichbarkeit herstellen
Auf den ersten Blick scheint es, als könne man Anti-Spam-Produkte verschiedener Hersteller am besten mit einem identischen Satz an E-Mails testen und die daraus gewonnenen Zahlen als Entscheidungsgrundlage verwenden. Diese Vorgehensweise ist aber leider ungeeignet, da sie zu stark vereinfacht. Wie man aus den beiden Grafiken ersehen kann, schwanken die Spam-Werte von Tag zu Tag und von Monat zu Monat. Die Lösungen sind also nicht immer perfekt, und wie schlecht sie wirklich sind, wird meist erst später sichtbar - nämlich dann, wenn die Genauigkeitsrate stetig fällt oder stark schwankt und die Anwender sich über "durchgerutschten" Spam beschweren. Daher wird die Geschwindigkeit, mit der die Genauigkeitsrate jeweils wieder nach oben pendelt, als Beurteilungskriterium immer wichtiger. Je schneller dies der Fall ist, umso besser hat der Hersteller sich den neuesten Spam-Formen gestellt und filtert sie. Diese ständige dynamische Anpassung über einen langen Zeitraum hinweg ist der eigentliche Gradmesser der Qualität. Er zeigt sich beim Anwender allerdings dann am deutlichsten, wenn eine langfristige Bindung zu einem Hersteller besteht. Viele Bindungen sind aber eher solche auf kürzere Zeit, denn eine große Anzahl von Anwendern sucht permanent nach einer "besseren" Lösung und ist deshalb wechselwillig. Die Vorgehensweise, einen Standardkorpus mit Spam-Nachrichten zu erstellen und daraufhin das Produkt mit der höchsten Filterrate zu wählen, greift auch unter Qualitätsgesichtspunkten zu kurz: Weil der gesammelte "alte" Spam zum Zeitpunkt des Tests bereits bekannt ist, besagt ein Test hier nur, dass von der geprüften Lösung in der Vergangenheit eine bestimmte Form von Spam erkannt wurde. Diese Erkenntnis ist jedoch irrelevant für aktuelle Bedrohungen.
Schnelle Reaktionszeiten auf neue Spam-Formen bieten beispielsweise Lösungen, die es erlauben, umgehend Rückmeldung über aktuelle Angriffe zu geben. Damit können Übergriffe erheblich schneller eingedämmt und abgewehrt werden als durch statische Lösungen, für die erst neue Regeln erstellt und Programm-Updates durchgeführt werden müssen. Letztlich gibt tatsächlich nur die Betrachtung über einen längeren Zeitraum darüber Aufschluss, welche Lösung die am besten passende ist.
Lesen Sie mehr zum Thema
