Spam-Bekämpfung und Content Security
Werbemüll mit wachsendem Ansteckungsrisiko
Spam ist der Zahnbelag auf dem Lächeln des E-Business: Die massenweise versandten unerwünschten Werbe-E-Mails sind lästig, kommen immer wieder und richten beim Ausbleiben von Gegenmaßnahmen mitunter beträchtlichen Schaden an. Denn immer öfter enthalten Spam-Mails auch Viren und Trojaner - nicht zuletzt mit dem Zweck, infizierte Rechner zum Spammer-Zombie zu machen. Deshalb geht der Trend hin zu integrierten Content-Security-Lösungen.
Ende 2004 verurteilte ein Gericht im US-Bundesstaat Virginia ein Geschwisterpaar, das einen
Monat lang Hunderttausende von Spam-Mails – unerwünschten Werbe-E-Mails – verschickt hatte, zu neun
Jahren Haft. Dieses Strafmaß liegt deutlich über dem, was Richter in Virginia und allgemein in den
USA im Schnitt für Raub oder Körperverletzung verhängen. Dies mag vielleicht manchem
werbemüllgeplagten Mailserveradministrator ein flüchtiges Lächeln aufs Gesicht zaubern. Aber was
viele Amerikaner für das Wirken eines funktionierenden Rechtssystems halten, ist tatsächlich nur
der Ausdruck von Hilflosigkeit: Spamming erfolgt internetbasiert und somit grenzübergreifend.
Deshalb ist dem Prob-lem mit herkömmlichen nationalen Rechtsmitteln kaum beizukommen.
Dies gilt sogar für die USA, laut Erhebungen des Security-Spezialisten Sophos nach wie vor
Spitzenreiter unter den Spam-Verbreiternationen: Amerikaner setzen über 35 Prozent aller Spam-Mails
in Umlauf. Mit stolzen 70 Prozent Anteil an der weltweiten digitalen Umweltverschmutzung bilden die
USA zusammen mit China und Korea eine "Achse des Spammens". Deutschland liegt laut Sophos mit 1,23
Prozent auf Platz zehn. Doch solche Aufstellungen zeigen vor allem den internationalen Charakter
des Problems: Den Vorteil weltweit verfügbarer Internetkommunikation – zu Zeiten des
E-Business-Hypes in höchsten Tönen gelobt und inzwischen als alltägliche Bequemlichkeit genutzt –
beutet eben auch die Spammer-Mafia aus. Und so liegt laut diversen Anbietern von Anti-Spam-Lösungen
der Anteil von Werbemüll am weltweiten E-Mail-Verkehr je nach Erhebung zwischen 60 und 90 Prozent.
Die Zahlen bleiben vage, da sie ständigen Schwankungen unterliegen und die Einschätzung, was als "
unerwünschte Werbebotschaft" gilt, variiert. Das Institut für Internetsicherheit (Ifis) der
Fachhochschule Gelsenkirchen ermittelte in einer Umfrage Ende 2004 unter deutschsprachigen – aber
teils international tätigen – Organisationen eine Spam-Belastung von 61,5 Prozent des
E-Mail-Aufkommens und stellte fest, dass vor allem Finanzdienstleister unter hoher
Werbemüllbelastung leiden. Die Anti-Spam-Organisation Spamhaus erwartet sogar, dass 2006 der
Werbemüllanteil bei 95 Prozent des E-Mail-Verkehrs liegen werde – wie manchmal schon heute.
Das deutsche Parlament diskutiert derzeit – wenn auch teils halbherzig und mit Rücksichtnahme
auf Werbeinteressen der Industrie – eine gesetzliche Reglementierung des Spam-Versands. Dem Erfolg
solcher Maßnahmen steht unter anderem entgegen, dass die Spammer natürlich um die Unbeliebtheit und
– je nach Gesetzeslage eines Landes – Illegalität ihres Tuns wissen. So verschleiern sie mit immer
raffinierteren Methoden Ursprung und Spam-Charakter ihres Werbemülls. Das reicht bis zum Kapern
fremder Rechner und somit bis zur Computerkriminalität. Spezielle Trojaner degradieren PCs mit
Breitbandanschluss zu unfreiwilligen Spam-Relays, so genannten Zombies: "Spammer bedienen sich
heute verstärkt Trojaner- und Hacker-Technologien", stellt der Spam-Report 2004 vom Moskauer
Kaspersky Lab fest. "2004 wurde die unerwünschte Post hauptsächlich mithilfe von Programmen
versandt, die speziell für die Anforderungen der Spammer entwickelt worden waren. Diese Programme
erlauben es, den Spam-Versand von Computern aus durchzuführen, die zuvor durch eine
Trojaner-Komponente infiziert wurden." Spammer setzen inzwischen koordinierte Zusammenschlüsse von
Zombies – "Botnets" genannt (von "Robot Network") – für Kampagnen ein. Über Ausdehnung und Größe
dieser Bot-Netze ist noch nicht viel bekannt," so Christian Dietrich vom Ifis. "Es ist jedoch davon
auszugehen, dass von diesen Quellen auch in Zukunft eine nicht zu vernachlässigende Bedrohung
insbesondere für den E-Mail- Dienst ausgeht."
Der Verkauf entsprechender Programme ist heute offenbar ein blühender Schwarzmarkt. Neben E-Mail
sind auch andere Kommunikationsverfahren betroffen: Die Branche kennt bereits "Spim" (Spam over
Instant Messaging) und "Spit" (Spam over Internet Telephony). Insbesondere dem Risko einer Welle
werbeverseuchter VoIP-Nachrichten schenken die Unternehmen bisher zu wenig Beachtung.
Die Halbwelt der Spam-Versender liefert sich mit der erblühten Spam-Bekämpfungsindustrie ein
Hase-und-Igel-Rennen, wie man es von Virenautoren und Antivirenherstellern kennt. Eine reine
Schlagwortsuche ist schon längst nutzlos, da Spammer zentrale Stichworte vielfältig verfremden: Das
reicht von einfachen orthografische Manipulation ("V1agra") und dem Einfügen nutzloser HTML-Tags
(die keinen Effekt auf die Leserlichkeit haben, aber Scanner irritieren sollen) bis zum Verteilen
der Buchstaben auf HTML-Tabellen oder die Einbindung der Werbebotschaft in Bilddateien. Da Spam oft
mit gefälschten Absenderadressen arbeitet, greifen einfache statische Adressfilter kaum mehr.
Auf technisch verschleierten Werbemüll reagierte die Anti-Spam-Herstellerschaft mit zahlreichen
Gegenmaßnahmen: Dazu zählen anwenderspezifische und unternehmensweite Whitelists, das Erfassen von
Spam-Versendern in Onlinedatenbanken (Realtime Black-Hole Lists, RBLs), das Filtern anhand von
online gesammelten Signaturen, Hash-Werten (Distributed Checksum Clearinghouse, DCC) oder in Mails
verwendeten URLs, das Scannen von Attachments, Greylisting (temporäres Abweisen von E-Mails) und
das Errechnen einer Spam-Wahrscheinlichkeit durch den statistischen Abgleich legitimer und
unerwünschter E-Mails (Bayes-Filter). Manche Anti-Spam-Anbieter unterhalten umfassende verteilte
Honeypot-Netze, um Spam-Mails selbst zu entdecken und die RBLs schnell zu aktualisieren. Gegen
Bayes-Filter wehren sich Spammer wiederum durch das Einfügen wahlloser oder unverdächtiger
Textbausteine ("Noise"), gegen RBLs durch die sehr kurzfristige Nutzung legitim erworbener
E-Mail-Adressen für eine Spamming-Aktion ("Fly-by-Night-Spamming") – ein anhaltender Wettlauf, der
immer wieder in eine neue Runde geht.
Cocktail-Ansatz
Die führenden Anti-Spam-Anbieter vertrauen schon längst nicht mehr auf nur eine bestimmte
Abwehrmethode. Gefragt ist vielmehr ein mehrstufiger, sinnvoll gestaffelter Mix verschiedener
Verfahren, bekannt als "Cocktail-Ansatz". Intelligente Spam-Filter wehren einen Teil eingehender
Spams bereits auf der Netzwerkebene ab. Sie erkennen Versuche, neue E-Mail-Adressen zu sammeln
(Address Harvesting Attacks) und sortieren Mails an nicht existierende E-Mail-Adressen aus. Der
Abgleich mit Whitelists, Blacklist und RBLs bildet eine weitere Hürde. Durch "Reputationsfilter"
werten Anti-Spam-Anbieter sämtliche Daten ihrer Kundennetzwerke aus und führen dies mit den
Ergebnissen von Internet-Monitoring-Diensten zusammen. Ziel ist die Ermittlung der "Reputation"
(des "guten Rufs" oder der Vertrauenswürdigkeit) jeder IP-Adresse weltweit. Dies dient vor allem
dazu, die häufig wechselnden Zombies zu erkennen und deren Traffic zu blockieren. Um schnell
agieren zu können, aktualisiert zum Beispiel Symantec seinen Reputationsfilter alle fünf bis zehn
Minuten und verteilt ihn im Push-Verfahren an die Kontrollpunkte.
Was durch dieses Netz schlüpft, unterziehen Anti-Spam-Lösungen einer heuristischen Analyse. Hier
kommen die rechenaufwändigeren Verfahren wie Bayes-Filter zum Einsatz, die erlaubten E-Mail-Verkehr
("Ham") von Spam zu unterscheiden lernen – allerdings oft auf Kosten der Treffergenauigkeit. Im
Optimalfall errechnet eine intelligente Anti-Spam-Lösung eine zuverlässige
Gesamtwahrscheinlichkeit, dass es sich bei einer E-Mail um Müll handelt. Ciphertrust zum Beispiel
gibt an, über 2000 Charakteristiken zu untersuchen und daraus die Spam-Einstufung zu ermitteln. Die
Lösung von Kaspersky Lab wiederum setzt auf einen linguistischen Analyzer, der versucht, den Sinn
jeder E-Mail-Nachricht herauszufinden.
Die Anti-Spam-Hersteller behaupten durchwegs, eine Trefferquote von 95 Prozent und mehr zu
erreichen. Noch wichtiger ist allerdings, dass die Rate der fälschlich als Spam ausgesonderten
Mails (False Positives) möglichst gering bleibt. Denn hier droht Ärger mit Geschäftspartnern oder
gar Umsatzausfall. Die Anbieterschar brüstet sich entsprechend mit False-Positive-Raten von 0,01
Prozent und noch weit darunter. Aber selbst solch niedrige Quoten ersparen es Anwendern nicht, die
Quarantäneordner ihrer E-Mail-Accounts nach etwaigen Fehlbewertungen zu durchkämmen. Letztlich
bedeutet das: Heutige Spam-Filter können den Anwendern Zeit und Nerven sparen, beinhalten aber
keinen vollständigen Automatismus zur Spam-Abwehr.
Der Security-Service-Provider Message-labs bietet sogar ein SLA (Service Level Agreement) auf
seine proklamierte Trefferquote von 95 Prozent und die False-Positive-Rate von 0,0004 Prozent. "Wir
sind die einzigen, die Zahlen hinter unsere Erkennungsraten setzen und die Kunden ausbezahlen, wenn
wir unser SLA nicht einhalten können", so Paul Wood, Information Security Analyst bei Messagelabs. "
Der Service kombiniert die Vorhersagetechnik Skeptic mit Symantecs Brightmail-Antispam-Technik –
einschließlich der weltweit umfassendsten Datenbank von Spam-Signaturen." Solche Anti-Spam-SLAs
sollten künftig bei Service-Providern zum Standard gehören.
Neue und kombinierte Angriffe
Die Kunst der Spam-Verschleierung entwickelt sich rasant weiter. Bedenklich ist laut Andrej
Nikishin von Kaspersky Lab eine Spam-Variante, die aus ASCII-Buchstaben grafische Nachrichten formt
(siehe Bild). Entsprechend arbeitet Kaspersky am Ausbau seiner Grafik-Spam-Erkennung. Vor allem
aber zeigt sich eine zunehmende Verschränkung von Spam mit diversen Angriffsmechanismen. Michael
Rudrich, Regional Sales Manager Central Europe bei Ciphertrust, betont, "dass derzeit gerade die
Zahl der Zombies stark ansteigt. Phish-ing (Betrug, um den Anwender zur Herausgabe persönlicher
Daten zu bewegen), Spoofing (Vorspiegelung falscher Tatsachen) und Pharming (Umleitung von
Anwendern auf gefälschte Websites) sind Probleme, die zeigen, dass die Angriffe der Spammer immer
spezifischer werden und nicht mehr nur durch schiere Menge gekennzeichnet sind."
Besorgnis erregend ist laut Paul Wood von Messagelabs die kürzlich aufgetretene Kombination von
Phising mit einem Trojaner-Download: "Ein und dieselbe E-Mail versucht nicht nur, Bankinformationen
zu stehlen, sondern installiert zugleich eine Backdoor auf dem Computer. Das ist ein neues Niveau
des Zusammenspiels von Spam und Virus. Beunruhigend ist auch Phishing, das vorgibt, von einem
Arbeitskollegen zu stammen, der nach Login-Informationen fragt, und das hochgradig gezielte
Versenden von E-Mails mit dem Ziel der Industriespionage." Volker Zinser, Senior Systems Engineer
bei Symantec, ergänzt: "Außerdem enthalten Spam-Mails oft Links auf dubiose Webseiten, auf denen
sich Anwender immer häufiger automatisch Spyware-Programme herunterladen." Im Extremfall kann Spam
also bis zum Kapern der digitalen Identität eines Benutzers führen: "Diebstahl persönlicher Daten
(Identity Theft) und die daraus entstehenden Schäden werden das größte Problem bei der
kommerziellen Nutzung des Internets darstellen," so Dr. Horst Joepen, Senior Vice President Senior
Alliances bei Cyberguard.
Integrierte Abwehransätze
Kombinierte Angriffe auf die Content Security (Sicherung digitaler Inhalte) erfordern
koordinierte Abwehrmaßnahmen. Der nächstliegende Schritt ist die Verbindung von Anti-Virus und
Anti-Spam, wie zahlreiche Anbieter sie schon heute im Portfolio führen. "Da Spam und Viren oft
ähnliche Verbreitungsstrategien verwenden," so Blackspider-Consultant Detlev Narr, "erkennt ein
heuristische Virenscanner Viren oft anhand ihrer Spam-Charakteristik."
Vielseitige Content-Security-Anbieter wie Ciphertrust verbinden Anti-Spam mit der Abwehr von
Viren und Würmern, Phishing, schädlichem Code und Spyware und bieten zudem Verschlüsselung, Policy
Enforcement (Durchsetzung von Unternehmensrichtlinien) und Compliance Control (Überwachung der
Einhaltung gesetzlicher Bestimmungen). Neben den zahlreichen Anbietern von Softwarelösungen und
Appliances wie Aladdin, Borderware, Ciphertrust, GFI, Ironport, ISS, Kaspersky, Surfcontrol,
Symantec und Webwasher/Cyberguard zählen zur Anbieterschaft immer mehr Dienstleister, die Content
Security als Managed-Service liefern, darunter Blackspider, Messagelabs oder Spamstopshere.
Messagelabs zum Beispiel verbindet Anti-Virus und Anti-Spam mit Content- und Image-Kontrolle sowie
Managed Encryption. Die Roadmap des Dienstleisters weist in Richtung Zusatzdienste wie
E-Mail-Archivierung und den Schutz von Instant Messaging.
Symantec bietet inzwischen ebenfalls einen Service für Hosted Mail Security. Der Anbieter
kombiniert zudem Traffic Shaping mit der E-Mail-Kontrolle. "Inhaltsbasierte Filterung und die
Integration mit einer E-Mail-Firewall sind weitere Themen, mit denen wir uns derzeit beschäftigen,"
so Symantec-SE Zinser. "Wichtig wird auch die Prüfung auf Richtlinienkonformität." Auf mehr
Vielseitigkeit zielt auch Webwashers Unified-Threat-Management-Plattform: Sie unterstützt in der
neuesten Version den Einsatz mehrerer Anti-Virus-Engines.
Der digitalen Heuschreckenplage technische Abwehrmittel entgegenzustellen, kann zwangsläufig nur
eine reaktive Maßnahme bleiben. Um das Übel bei der Wurzel zu packen, wären zwei Wege denkbar: per
Gesetzgeber und per Standardisierungsgremien.
Landesweite Verbote sind hilfreich – zum Beispiel, um die laut Ifis-Mitarbeiter Dietrich "nicht
eindeutig geklärte Rechtssituation" der Service-Provider endlich eindeutig klarzustellen. Eine
international einheitliche – und wirksam umgesetzte – Verfolgung von Spammern scheint jedoch leider
utopisch.
Nur schwer greifbares Übel
Auch ein neuartiger, gegen Spam gesicherter E-Mail-Kommunikationsstandard ist noch nicht in Sicht. Die Branche hat zwar mit verschiedenen Ansätzen - darunter auch SPF (Sender-Permitted From) - Schritte in Richtung einer Authentifizierung der Absender unternommen, aber auf breiter Front etabliert hat sich noch kein Verfahren. "Die wohl größte Enttäuschung ist", klagt Alyn Hockey, Director of Research bei Clearswift, "dass SPF - einst als großartiges Werkzeug zur Spam-Bekämpfung bejubelt - nur von den Spammern selbst wirklich genutzt wurde."
"Wirksam wären allein zuverlässige und standardisierte Kennzeichnungen für erwünschte E-Mail-Kommunikation", so Cyberguards Dr. Joepen. "Dies setzt aber eine ähnliche Infrastruktur voraus, wie sie für sichere verschlüsselte Datenübertragung geschaffen wurde."
Als sehr aufwändig erscheinen auch die Alternativen: "Ansätze wie Challenge-Response-Systeme und Microcharging (Gebühren für E-Mails) klingen gut, erfordern aber enorm viel Infrastruktur und Einsatz, bevor sie nutzbar sind", meint Clearswift-Mann Hockey. Andrej Nikishin vom russischen Security-Spezialisten Kaspersky Lab warnt dabei vor einer allzu großen Behinderung der Benutzer: "Eine kompliziertere Gestaltung der Netzwerkprotokolle beeinträchtigt die Kommunikation, und da werden die Anwender protestieren. Deshalb können wir uns im Kampf gegen Spam im Augenblick nur auf technische Methoden stützen."
Fazit: mehr Aufklärung nötig
Der Einsatz aktueller Anti-Spam-Techniken und -Dienste dämpft die Plage Spam auf ein mehr oder
weniger erträgliches Maß. Alltag ist hier ein ständiger Wettlauf zwischen Spamming- und
Spam-Bekämpfungstechniken, ein Ende ist wieder einmal nicht in Sicht. Angesichts eines laut
Ifis-Forscher Dietrich "mangelnden E-Mail-Sicherheitsbewusstseins" sollten technische
Abwehrmaßnahmen auf jeden Fall – da sind sich die Spam-Bekämpfer einig – durch Aufklärungskampagnen
Ergänzung finden. "Bisher wurde die Aufklärung der Nutzer, der Unternehmen und Behörden noch stark
vernachlässigt," rügt Michael Rudrich von Ciphertrust. "Nur so können Sicherheitsrichtlinien und
Gesetzgebung definieren, was für elektronische Kommunikation in Unternehmen akzeptabel ist und was
nicht." Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt Unternehmen wie
Service-Providern die Ausarbeitung einer Policy für den Umgang mit Spam, die auch Maßnahmen für
Notfallsituationen beinhaltet.
Unternehmen, Anwender, die Content-Security-Branche, Gesetzgeber und Standardisierungsgremien
sind also gefordert, den Kampf gegen Spam, Spim, Spit und Konsorten möglichst umfassend und
effektiv zu gestalten. Denn erstens nimmt die Werbemüllplage sonst garantiert weiter zu, zweitens
erweist sich Spam zunehmend als Bestandteil vielschichtiger Angriffsmuster. Ohne effektive
Abwehrmaßnahmen laufen insbesondere Unternehmen, die derzeit auf VoIP (Voice over IP) umstellen,
ins offene Messer: Denn welches Unternehmen wünscht verärgerte Anwender, die täglich erleben
müssen, dass sieben von zehn Nachrichten auf der VoIP-Mailbox für Penisverlängerung,
Potenzmittelkauf oder Kreditaufnahmen werben?
Lesen Sie mehr zum Thema
