Informationen über Spam

WORKSHOP
Informationen über Spam-Mails (Werbemails)
Die meisten Internetnutzer in Deutschland werden einer Verbraucherstudie zufolge mit bis zu 100 SpamMails pro Woche überschwemmt. Jeder dritte Nutzer ist Opfer von Spam-Mails mit Viren oder
unerwünschten Programmen.
Der Bundestag hatte im Januar 2007 das Telemediengesetz beschlossen, mit dem Versendern von SpamMails ein Bußgeld von bis zu 50.000 Euro droht. Voraussetzung: Der Absender (Provider) muss seinen
Sitz in Deutschland haben. Das Hauptproblem ist jedoch die Rückverfolgung, weil die meisten der
unerwünschten Mails aus dem Ausland kommen.
1. Was ist Spam?
Die Bezeichnung Spam steht für den unverlangten, massenhaften Versand von Nachrichten in
elektronischer Form.
E-Mails bieten den Spammern den Vorteil, kostengünstig, schnell und weltweit millionenfach versandt
werden zu können, ohne dass die Empfänger etwas dagegen unternehmen können. Der Versand einer
Mail an eine Million Empfänger geht beim Absender in wenigen Sekunden vonstatten und verursacht
entsprechend kaum Kosten. Der Hauptanteil der Kosten - nämlich für das zeitintensive Herunterladen von
E-Mails und für den benötigten Speicherplatz - entfällt auf die Empfänger und Provider. Die Qualität der
Spams haben sich gefährlich und rasant weiterentwickelt. Inzwischen interessieren sich die Spammer
mehr für Betrügereien und das Ausforschen geheimer persönlicher Daten als für die klassische Werbung.
WORKSHOP
Durch einen kompetenten Umgang mit elektronischen Medien kann sich jeder Einzelne jedoch effektiv vor
Spam und seinen Auswirkungen schützen - im Privaten wie im Berufsleben.
1.1 Spam – wer steckt dahinter?
Die Absichten der Spammer sind vielfältig: Unseriöse kommerzielle Anbieter nutzen Spam-Mails, um
kostengünstig massenhaft Werbung zu verbreiten. Andere Spammer zielen mit Kettenbriefen auf die
Aufmerksamkeit möglichst vieler Adressaten - ihre falschen Aufrufe und Warnungen werden von
gutgläubigen Empfängern weitergeleitet und belasten elektronische Briefkästen weltweit. Kriminell wird
es allerdings, wenn virenverseuchte, schädigende und betrügerische Mails verschickt werden. Hier kann
ein falscher Klick große Vermögens- und Computerschäden nach sich ziehen.
1.2. Welche Arten von Spam gibt es?
1.2.1. Unaufgeforderte Werbemails
Diätpräparate, Mittel zur Lebensverlängerung oder Potenzsteigerung, pornografische Angebote kommerzieller E-Mail-Spam ist eine billige Werbemethode. Für die Spammer lohnt sich das
Geschäft bereits, wenn als Reaktion auf fünf Millionen Spams nur fünf Menschen ein Produkt
kaufen (BSI). Um Beschwerden oder Fehlermeldungen zu vermeiden, werden bei solchen
kommerziellen Spams häufig falsche Rückantwortadressen in der E-Mail angegeben.
1.2.2. Mails mit schädlicher Software wie Viren, Würmer und trojanische Pferde
Malware (Malware: „malicious software“) sind schadhafte Programme, die mit dem Ziel entwickelt
werden, Computersysteme zu attackieren. Die Malware-Attachments in E-Mails tragen häufig die
Endungen .exe, .com, .pif oder .scr und können Schädlinge wie Viren, Würmer oder so genannte
trojanische Pferde enthalten.
Virenprogramme schleusen ihren Code in ein Computersystem ein, was zu nicht
kontrollierbaren Veränderungen an Hard- oder Software führt. Viren können sich nicht
selbst verbreiten.
Computerwürmer verbreiten sich selbstständig - sie nutzen die Sicherheitslücken in EMail-Programmen. In einer E-Mail verpackt, verschicken sie sich selbst an sämtliche im
Adressbuch befindliche E-Mail-Adressen.
Trojanische Pferde nennt man Programme, die für den Anwender vordergründig nützliche
Funktionen enthalten, jedoch Spionage-Aufträge "in ihrem Bauch" verbergen. Vom Nutzer
unbemerkt installieren sie Anwendungen auf dem Rechner, die Passwörter oder andere
vertrauliche Daten des Computernutzers aufspüren und diese bei der nächsten
Datenübertragung an den Spammer übermitteln.
Eine Trennung zwischen E-Mails, die Viren, Würmer oder trojanische Pferde enthalten, ist
heute kaum mehr möglich, da sie zumeist in Kombination auftreten.
1.2.3. Hoaxes und Kettenbriefe: Ablenkende Warn- oder Falschmeldungen
Eine Hoax ist, aus dem Englischen übersetzt, ein „schlechter Scherz“: falsche Warnungen vor
Computerviren oder Kettenbriefen, die angeblich Unglück bringen, wenn sie nicht vielfach weiter
versendet werden. Sie sollen den Leser dazu veranlassen, die empfangene Mail an möglichst viele
E-Mail-Kontakte weiterzuleiten
Gefährlicher sind jedoch illegale Schneeball- oder Pyramidensysteme per Kettenbrief.
Der Empfänger wird aufgefordert, einen bestimmten Geldbetrag an den Absender zu zahlen. Im
Gegenzug soll er Informationen darüber erhalten, wie er selbst die Kette zahlungswilliger
Empfänger fortsetzen und (betrügerisch) Geld einnehmen kann.
WORKSHOP
1.2.4. Betrügerische und schädigende Mails: Scam und Dialer-Programme
Scamming (Betrug) tritt heute ebenfalls per E-Mail in Erscheinung. Die Empfänger werden mit
falschen Geschichten dazu verleitet, Geld zu transferieren - um den Betrag anschließend
angeblich in vielfacher Höhe zurück zu erhalten.
1.2.5. Phishing
Eine hinterhältige Betrugsvariante ist das Phishing. Das Wort Phishing ist aus den englischen
Begriffen Password (Passwort) und Fishing (Fischen) zusammengesetzt. Mit Phishing-Mails
"angeln" Spammer nach Passwörtern und sensiblen Daten von Internetnutzern. Als Köder setzen
sie dabei Namen und Logos seriöser Unternehmen ein und tarnen ihre E-Mails gern als angebliche
Nachrichten eines Kreditinstituts.
2. Wie beuge ich Spam vor?
Um mit anderen im Internet per Mail zu kommunizieren, muss man zwangsläufig seine E-Mail-Adresse
bekannt geben. So lässt es sich kaum vermeiden, dass irgendwann auch ein Spammer die E-Mail-Adresse
kennt.
Welche Maßnahmen kann man also ergreifen, um Spam zumindest in einem erträglichen Maß zu halten?
2.1. Schutz vor Spam durch TECHNISCHE MASSNAHMEN
2.1.1. Sichere Konfiguration des eigenen Computers
Die wichtigste Präventivmaßnahme gegen Spam ist, das Betriebssystem des Computers aktuell zu
halten. Durch regelmäßiges Herunterladen von Updates und Sicherheitspatches lassen sich
Lücken schließen, durch die ein Angriff auf den Rechner erfolgen könnte.
Es ist auch ein Irrglaube, dass Microsoft durch das Herunterladen den eigenen PC ausspionieren
würde…
2.1.2. Schutzprogramme installieren
Jeder Rechner sollte heute über ein Virenschutzprogramm verfügen, das in kurzen Abständen
aktualisiert (Live Update), sowie jährlich verlängert werden muss (Lizenz). Außerdem ist der
Einsatz einer Firewall ("Brandschutzmauer") empfehlenswert.
2.1.3. Spam-Filter einsetzen
Spam-Filter-Programme können unterschiedlich positioniert sein:
Spam-Filter beim Provider
Professionelle Filter können - mit Aufpreis - auf der Ebene des Providers eingesetzt
werden.
Den Mailfilter beim Provider kann der Verbraucher in der Regel nicht beeinflussen. Er
muss sich darauf verlassen, dass der Provider den Spam-Filter ordnungsgemäß
konfiguriert. Die Provider-Lösung hat gegenüber dem lokalen Mailfilter den Vorteil, dass
Spam-Mails den Rechner in der Regel erst gar nicht erreichen und das Postfach nicht
verstopfen.
Spam-Filter auf dem PC des Nutzers
Filterprogramme können Bestandteil des privaten E-Mail-Programms auf dem lokalen
Rechner sein, wie zum Beispiel bei Outlook („Junk-E-Mail“) oder Tobit - oder ein spezielles
Programm, das vom Internet heruntergeladen und auf dem PC installiert werden muss.
Befindet sich der Mailfilter auf dem lokalen PC, muss der Nutzer den Mailfilter ständig
aktualisieren und pflegen, damit Spams effizient erkannt werden („Lernfunktion“). Dafür
bietet er aber den Vorteil, dass persönliche Einstellungen vorgenommen werden können.
WORKSHOP
Gratis erhältliche Mailfilter-Programme:
• www.spamfighter.com
• www.spamihilator.com
• www.spamint.com
Spam-Filter in Verbindung mit Anti-Virus-Filter
Anti-Virus-Programme neuerer Generation bieten zusammen mit dem Virenschutz auch
einen Spamschutz mit an.
Dies ist mit Sicherheit die beste Lösung, da kostenlose Programme keine Garantie auf
Aktualität geben und schlimmstenfalls irgendwann den Dienst ganz einstellen.
Es wird empfohlen, sich sowohl auf dem eigenen PC als auch beim Provider durch
Mailfilter vor Spam zu schützen.
Gefiltert wird bei Mailfiltern nach verschiedenen Gesichtspunkten:
• IP-Adresse
Die Erfahrungen haben gezeigt, dass Spammings häufig von ganz bestimmten
Computerzugängen ausgehen. Die Adresse, die ein Computer beim Zugang zum Internet
zugewiesen bekommt, heißt IP-Adresse (Internet-Protokoll-Adresse). Diese IP-Adressen
können als Filtermerkmale dienen.
• Absenderadresse („Blockierte Absender“)
Einige Verfahren nutzen die Absenderadresse zur Filterung - hier wird entweder die
vollständige Absenderadresse ([email protected]) oder nur der Domain-Name (xxx.de)
eingesetzt. Da Spammer ihre Adresse jedoch beliebig fälschen können, ist dieses
Verfahren als einzige Filterung unzureichend.
• Inhalt („Spam-Wörter“)
Auch der Inhalt einer Mail kann zur Identifikation von Spam herangezogen werden. Hier
können bestimmte Schlüsselwörter oder die Anzahl an Wiederholungen zu
Bewertungskriterien werden. Spammer können solche Filtersysteme jedoch umgehen,
indem sie typische Schlüsselwörter durch Sonderzeichen verfremden oder absichtlich
falsch schreiben, so dass sie nicht mehr erkennbar sind (z.B. statt Viagra = V.i.a.g.r.a)
• Pflege der Filterprogramme („Lernfunktion“)
Viele Programme bieten dem Nutzer die Möglichkeit, zu den Filtermerkmalen eigene
Schlüsselwörter und unverlangte Absenderadressen hinzuzufügen und so sein System zu
"trainieren".
• Blacklists
Weniger geeignet erscheint die Filterung über Blacklists. In so genannten Blacklists
("Schwarze Listen") können die Spam-Filtermerkmale zusammengefasst werden.
Blacklists enthalten Domains, Absenderadressen, IP-Adressen etc., die beim E-MailEmpfang gesondert behandelt werden sollen. Je nach Präferenz des Anwenders werden
die entsprechenden E-Mails abgelehnt, gelöscht, verzögert oder als Spam gekennzeichnet.
Schwarze Listen können auf dem lokalen Rechner oder zentral bei Providern geführt und
eingesetzt werden.
Obwohl Blacklists als hilfreiches Mittel gegen Spam erscheinen, eignen sie sich nur sehr
beschränkt für die Spam-Abwehr. Denn Spammer wechseln fortlaufend Absenderadressen
und Mailserver, die Einträge in Blacklists hingegen erfolgen mit einiger zeitlicher
Verzögerung
WORKSHOP
2.2. Zehn Tipps zum Schutz vor Spam durch BEWUSSTES VERHALTEN
Wer sich vor Spam schützen möchte, sollte seine E-Mail-Adresse hüten wie eine Bankgeheimzahl. Durch
einfache Verhaltensregeln lässt sich die massenhafte Verbreitung einer Mailadresse verhindern oder
zumindest verzögern.
Tipp 1: Auswahl der E-Mail-Adresse
Schon bei der Wahl der persönlichen Mailadresse sollten einige grundlegende Punkte Beachtung
finden. Wer mit seiner E-Mail-Adresse seinen vollen Namen offenbart, darf sich nicht wundern,
wenn er bald Spam mit einer persönlichen Anrede erhält. Der Punkt zwischen Vor- und Nachname
ist eines der gängigsten Trennzeichen. Für Mailadressen sollten allerdings auch keine sehr
außergewöhnlichen Zeichenketten verwendet werden - das birgt die Gefahr, selbst als Spammer
eingestuft zu werden.
Tipp 2: Weitergabe von E-Mail-Adressen
Sie sollten E-Mail-Adressen möglichst nur Personen mitteilen, die sie persönlich kennen.
Das gilt zunächst für die eigene E-Mail-Adresse, auch zum Beispiel beim Ausfüllen von OnlineFormularen: Hier sollte der Internetnutzer weder dem Empfang weiteren Werbematerials noch
der Weitergabe seiner Daten an "dritte Unternehmen oder zu Marktforschungszwecken"
zustimmen.
Auch im Umgang mit Adressen von Freunden oder Bekannten gilt höchste Vorsicht: Wer
Nachrichten gleichzeitig an mehrere Empfänger adressieren möchte, sollte die BCC-Funktion
(BCC: "Blind Carbon Copy") seines E-Mail-Programmes nutzen: Die Empfängeradressen werden
an Stelle des normalen Adressfeldes in das BCC-Feld eingetragen, damit sie später nicht in der
Mail angezeigt werden. Das normale Adressfeld ("An"-Feld) bleibt leer bzw. enthält nur 1 Adresse.
Viele Internetseiten bieten die Option, Artikel oder eine bestimmte Seite mit einem Klick an
Freunde weiterzuleiten. Anwender investieren besser eine Minute Zeit in eine persönliche Mail, die
auf den Link hinweist, als die E-Mail-Adresse eines Freundes über Online-Formulare an Fremde
auszuliefern.
Tipp 3: Wechseln der Mailadresse
Je mehr Mailadressen ein Anwender hat, desto mehr Spam erhält er. Allerdings kann das häufige
Wechseln der E-Mail-Adresse die Anzahl von Spam-Angriffen verringern, da den Spammern neue
Adressen zunächst nicht bekannt sind. Ein Wechsel der Mailadresse bedeutet aber einen
Mehraufwand für Nutzer und Kommunikationspartner, denn auch sie müssen ständig diese neue
Adresse(n) aktualisieren.
Tipp 4: Alternative Mailadressen
Für die Teilnahme an Gewinnspielen und Newsgroups oder für Mailinglisten und NewsletterAbonnements sollte eine alternative Mailadresse eingerichtet werden. So lässt sich die eigene
Identität verschleiern und der Spam im Postfach der Hauptadresse verringern.
Tipp 5: Verschleiern der Mailadresse
Im Web müssen alle Homepages eine E-Mail-Adresse der betreibenden Firmen oder
Privatpersonen enthalten. Um den Kontakt auf der eigenen Homepage zu schützen, wird oft
empfohlen, die eigene Mailadresse dort als Bilddatei abzuspeichern. Dies entspricht nicht den
gesetzlichen Anforderungen.
Tipp 6: Vorsicht bei falschen Betreffzeilen und Absendern
Spammer setzen häufig falsche Betreffzeilen und gefälschte Absenderadressen ein. Mit dem
Betreff "Re: Ihre Anmeldung", "Klassentreffen" oder Ähnlichem wird versucht, beim Empfänger
persönliche Bezüge herzustellen, um ihn dazu zu veranlassen, die Mail zu öffnen.
Anwender sollten daher vor dem Öffnen Betreffzeile und Absender einer Mail kontrollieren. Dazu
muss die Vorschau-Funktion des E-Mail-Programms deaktiviert sein. Ist diese Funktion aktiviert,
werden alle eingehenden Mails automatisch geöffnet.
WORKSHOP
Tipp 7: Dateianhänge
Dateianhänge (Attachments) von unbekannten Absendern sollten in keinem Fall geöffnet werden!
Häufig enthalten Spam-Attachments Viren, Würmer, Trojaner oder andere Schadprogramme, die
beispielsweise Endungen wie .exe, .com, .pif oder .scr tragen.
Tipp 8: Werbemails ignorieren
Um Adressen zu sammeln, generieren Spammer unzählige fiktive Mailadressen, an die sie
massenhaft Werbemails versenden. Wer auf eine Werbemail antwortet, bestätigt den Spammern,
dass diese Mailadresse tatsächlich existiert und hilft ihnen somit, ihre Adresslisten zu
vervollständigen. Oft enthalten Werbemails die Option, abbestellt zu werden. Anwender sollten
die dort angegebenen Links auf keinen Fall öffnen, da sie dadurch den Erhalt zahlloser weiterer
Werbezusendungen riskieren.
Tipp 9: Spam-Mail löschen und Beschwerde einlegen
Spam-Mails sollten niemals geöffnet und immer unverzüglich gelöscht werden. Die Absender von
Spam-Mails ausfindig zu machen, ist in vielen Fällen schwierig, da sie meist vom Ausland aus
agieren.
Tipp 10: Mailblockaden vermeiden
Damit Ihre E-Mails nicht über Blacklists aussortiert werden, sollte bei der Auswahl der eigenen
Mailadresse und der Betreffzeile auf Seriosität geachtet werden. Reizworte, die eine sexuelle oder
erotische Bedeutung haben, stehen auf dem Index vieler Spam-Filter. Mails werden teilweise auch
ausgefiltert, wenn ihre Dateianhänge bestimmte Formate haben (.exe, .vbs, .zip etc.). Solche
Dateien am Besten komprimieren („zippen“) und dann erst verschicken.
3. Wie wehre ich mich im Nachhinein gegen Spam?
Spamming ist rechtswidrig. Werden Privatpersonen mit unverlangten Werbemails belästigt, liegt eine
Verletzung des allgemeinen Persönlichkeitsrechts vor, bei Unternehmen ein Eingriff in den eingerichteten
und ausgeübten Gewerbebetrieb. Hieraus ergibt sich ein Unterlassungsanspruch sowie ein
Schadensersatzanspruch.
Der Versand von Spam als solchem ist noch kein Straftatbestand. Bei rechtswidrigen (zum Beispiel
pornographischen, beleidigenden oder rechtsextremen) Inhalten oder bei so genannter Malware (Viren,
Würmer und Trojaner) kann es allerdings anders aussehen.
Wie in anderen Ländern der EU gilt in Deutschland die verbraucherfreundliche „Opt-In-Regelung“: Danach
ist die Übersendung von E-Mail-Werbung nur bei vorheriger Einwilligung des Empfängers rechtens. Die
Beweislast liegt beim Versender der unverlangten E-Mail - er muss nachweisen, dass ihm das
Einverständnis des Empfängers vorliegt, E-Mails mit werbendem Inhalt zu erhalten.
3.1. Maßnahmen, die ergriffen werden können (als Verbraucher):
3.1.1. Unterlassungsanspruch
In den Paragraphen 823 und 1004 des Bürgerlichen Gesetzbuches (BGB) ist geregelt, dass
betroffene Verbraucher gegenüber dem Versender unverlangter Spam-Mails
Unterlassungsansprüche geltend machen können. Begründet wird dies damit, dass eine
unverlangte WerbE-Mail die Aufmerksamkeit des Betroffenen über Gebühr in Anspruch nimmt und
zu einer unzumutbaren Belastung des Privat- und Arbeitsbereiches führt.
3.1.2. Anspruch auf Löschung personenbezogener Daten
WORKSHOP
Der Empfänger unverlangter Werbemails hat Anspruch auf Löschung der personenbezogenen
Daten (Name, Anschrift, Geburtsdatum etc.). Die E-Mail-Adresse des Empfängers hingegen muss
der Spammer nicht löschen, er muss sie aber durch einen Filter sperren (OLG Bamberg, Urteil
vom 14.04.2005 - Aktenzeichen: 1 U 143/04).
3.1.3. Unverlangte Newsletter
Ein Newsletter, den der Empfänger nicht bestellt hat, ist eine Art von Spam. Der Versand ist nur
dann legal, wenn der Versender die Kontaktdaten im Zusammenhang mit dem Verkauf einer
Ware oder Dienstleistung erhalten und der Empfänger der Nutzung seiner E-Mail-Adresse nicht
widersprochen hat (§ 7 Abs. 3 UWG).
3.1.4. Anspruch auf Löschung von Spam-Mails gegenüber dem Provider
Spam-Filter gehören bei Usern und Providern zur Standardausrüstung - ihr Einsatz stellt jedoch
ein juristisches Problem dar. Löschen Unternehmen oder Provider E-Mails ohne Kenntnis und
Zustimmung des Empfängers, ist dieses nach § 303a StGB (Strafgesetzbuches) strafbar.
Daher werden meist die Spam-Mails zwar dem Empfänger zugestellt, jedoch erhalten sie eine
eindeutige Kennzeichnung, z.B. ***SPAM*** in der Betreffzeile.
3.1.5. Auskunftsansprüche gegenüber dem Provider
Privatpersonen hingegen haben laut Bundesdatenschutzgesetz lediglich einen Auskunftsanspruch
gegenüber dem Versender einer Spam-E-Mail. Momentan haben Privatpersonen grundsätzlich
keinen Rechtsanspruch auf eine Auskunft durch den Provider nach § 13a Unterlassungsklagengesetz (UKlaG.
3.1.6. Strafbarkeit von Phishing-Mails
Immer mehr Online-Banking-Kunden lassen sich von so genannten Phishing-Mails fehlleiten.
Diese gefälschten Mails - angeblich von einer Bank - sollen sensible Kontodaten und
Geheimzahlen ausspionieren. Derzeit ist gerichtlich noch nicht geklärt, ob der reine PhishingVorgang, also das Ausspionieren an sich, strafbar ist. Zum Teil wird die Auffassung vertreten, bei
dem reinen Phishing-Vorgang handele es sich um eine straflose Vorbereitungshandlung.
Spätestens jedoch, wenn der Phisher die geangelten Daten einsetzt und nachweislich auf das
Konto des Opfers zugreift, liegt der Straftatbestand des Computerbetrugs nach § 263a des StGB
(Strafgesetzbuch) und/oder der Beihilfe zum Computerbetrug nach 263a StGB vor.
Bemerkt ein Bankkunde, dass er Opfer eines Phishers geworden ist, der sich Kontodaten
verschafft hat, sollte er umgehend sein Kreditinstitut informieren. Da die Phisher zumeist
außerhalb deutscher oder europäischer Gerichtsbarkeit handeln, trägt die Bank das Risiko des
Missbrauchs. Allerdings kann die Bank Schadensersatzansprüche gegen ihren Kunden geltend
machen, wenn dieser fahrlässig gehandelt hat, indem er den Pishing-Angriff nicht unverzüglich
nach Feststellung bei seinem Kreditinstitut gemeldet hat.
Der Straftatbestand der Computersabotage liegt bei Phishing-Mails vor, die in Kombination mit
schadhaften Programmen wie Viren, Trojanern oder Würmern Manipulationen am PC des
Empfängers verursachen.
Quellen: Heise Nachrichtendienst, T-Online, n-tv sowie verschiedene juristische Abhandlungen (Internet-Recherche)
©Wolfgang Werz 2007/08 - Weitergabe nur nach Anfrage und unter Verwendung dieser Copyright-Hinweise erlaubt!
Kein Anspruch auf Vollständigkeit!
Stand: Dezember 2008