Informationen über Spam
Transcrição
Informationen über Spam
WORKSHOP Informationen über Spam-Mails (Werbemails) Die meisten Internetnutzer in Deutschland werden einer Verbraucherstudie zufolge mit bis zu 100 SpamMails pro Woche überschwemmt. Jeder dritte Nutzer ist Opfer von Spam-Mails mit Viren oder unerwünschten Programmen. Der Bundestag hatte im Januar 2007 das Telemediengesetz beschlossen, mit dem Versendern von SpamMails ein Bußgeld von bis zu 50.000 Euro droht. Voraussetzung: Der Absender (Provider) muss seinen Sitz in Deutschland haben. Das Hauptproblem ist jedoch die Rückverfolgung, weil die meisten der unerwünschten Mails aus dem Ausland kommen. 1. Was ist Spam? Die Bezeichnung Spam steht für den unverlangten, massenhaften Versand von Nachrichten in elektronischer Form. E-Mails bieten den Spammern den Vorteil, kostengünstig, schnell und weltweit millionenfach versandt werden zu können, ohne dass die Empfänger etwas dagegen unternehmen können. Der Versand einer Mail an eine Million Empfänger geht beim Absender in wenigen Sekunden vonstatten und verursacht entsprechend kaum Kosten. Der Hauptanteil der Kosten - nämlich für das zeitintensive Herunterladen von E-Mails und für den benötigten Speicherplatz - entfällt auf die Empfänger und Provider. Die Qualität der Spams haben sich gefährlich und rasant weiterentwickelt. Inzwischen interessieren sich die Spammer mehr für Betrügereien und das Ausforschen geheimer persönlicher Daten als für die klassische Werbung. WORKSHOP Durch einen kompetenten Umgang mit elektronischen Medien kann sich jeder Einzelne jedoch effektiv vor Spam und seinen Auswirkungen schützen - im Privaten wie im Berufsleben. 1.1 Spam – wer steckt dahinter? Die Absichten der Spammer sind vielfältig: Unseriöse kommerzielle Anbieter nutzen Spam-Mails, um kostengünstig massenhaft Werbung zu verbreiten. Andere Spammer zielen mit Kettenbriefen auf die Aufmerksamkeit möglichst vieler Adressaten - ihre falschen Aufrufe und Warnungen werden von gutgläubigen Empfängern weitergeleitet und belasten elektronische Briefkästen weltweit. Kriminell wird es allerdings, wenn virenverseuchte, schädigende und betrügerische Mails verschickt werden. Hier kann ein falscher Klick große Vermögens- und Computerschäden nach sich ziehen. 1.2. Welche Arten von Spam gibt es? 1.2.1. Unaufgeforderte Werbemails Diätpräparate, Mittel zur Lebensverlängerung oder Potenzsteigerung, pornografische Angebote kommerzieller E-Mail-Spam ist eine billige Werbemethode. Für die Spammer lohnt sich das Geschäft bereits, wenn als Reaktion auf fünf Millionen Spams nur fünf Menschen ein Produkt kaufen (BSI). Um Beschwerden oder Fehlermeldungen zu vermeiden, werden bei solchen kommerziellen Spams häufig falsche Rückantwortadressen in der E-Mail angegeben. 1.2.2. Mails mit schädlicher Software wie Viren, Würmer und trojanische Pferde Malware (Malware: „malicious software“) sind schadhafte Programme, die mit dem Ziel entwickelt werden, Computersysteme zu attackieren. Die Malware-Attachments in E-Mails tragen häufig die Endungen .exe, .com, .pif oder .scr und können Schädlinge wie Viren, Würmer oder so genannte trojanische Pferde enthalten. Virenprogramme schleusen ihren Code in ein Computersystem ein, was zu nicht kontrollierbaren Veränderungen an Hard- oder Software führt. Viren können sich nicht selbst verbreiten. Computerwürmer verbreiten sich selbstständig - sie nutzen die Sicherheitslücken in EMail-Programmen. In einer E-Mail verpackt, verschicken sie sich selbst an sämtliche im Adressbuch befindliche E-Mail-Adressen. Trojanische Pferde nennt man Programme, die für den Anwender vordergründig nützliche Funktionen enthalten, jedoch Spionage-Aufträge "in ihrem Bauch" verbergen. Vom Nutzer unbemerkt installieren sie Anwendungen auf dem Rechner, die Passwörter oder andere vertrauliche Daten des Computernutzers aufspüren und diese bei der nächsten Datenübertragung an den Spammer übermitteln. Eine Trennung zwischen E-Mails, die Viren, Würmer oder trojanische Pferde enthalten, ist heute kaum mehr möglich, da sie zumeist in Kombination auftreten. 1.2.3. Hoaxes und Kettenbriefe: Ablenkende Warn- oder Falschmeldungen Eine Hoax ist, aus dem Englischen übersetzt, ein „schlechter Scherz“: falsche Warnungen vor Computerviren oder Kettenbriefen, die angeblich Unglück bringen, wenn sie nicht vielfach weiter versendet werden. Sie sollen den Leser dazu veranlassen, die empfangene Mail an möglichst viele E-Mail-Kontakte weiterzuleiten Gefährlicher sind jedoch illegale Schneeball- oder Pyramidensysteme per Kettenbrief. Der Empfänger wird aufgefordert, einen bestimmten Geldbetrag an den Absender zu zahlen. Im Gegenzug soll er Informationen darüber erhalten, wie er selbst die Kette zahlungswilliger Empfänger fortsetzen und (betrügerisch) Geld einnehmen kann. WORKSHOP 1.2.4. Betrügerische und schädigende Mails: Scam und Dialer-Programme Scamming (Betrug) tritt heute ebenfalls per E-Mail in Erscheinung. Die Empfänger werden mit falschen Geschichten dazu verleitet, Geld zu transferieren - um den Betrag anschließend angeblich in vielfacher Höhe zurück zu erhalten. 1.2.5. Phishing Eine hinterhältige Betrugsvariante ist das Phishing. Das Wort Phishing ist aus den englischen Begriffen Password (Passwort) und Fishing (Fischen) zusammengesetzt. Mit Phishing-Mails "angeln" Spammer nach Passwörtern und sensiblen Daten von Internetnutzern. Als Köder setzen sie dabei Namen und Logos seriöser Unternehmen ein und tarnen ihre E-Mails gern als angebliche Nachrichten eines Kreditinstituts. 2. Wie beuge ich Spam vor? Um mit anderen im Internet per Mail zu kommunizieren, muss man zwangsläufig seine E-Mail-Adresse bekannt geben. So lässt es sich kaum vermeiden, dass irgendwann auch ein Spammer die E-Mail-Adresse kennt. Welche Maßnahmen kann man also ergreifen, um Spam zumindest in einem erträglichen Maß zu halten? 2.1. Schutz vor Spam durch TECHNISCHE MASSNAHMEN 2.1.1. Sichere Konfiguration des eigenen Computers Die wichtigste Präventivmaßnahme gegen Spam ist, das Betriebssystem des Computers aktuell zu halten. Durch regelmäßiges Herunterladen von Updates und Sicherheitspatches lassen sich Lücken schließen, durch die ein Angriff auf den Rechner erfolgen könnte. Es ist auch ein Irrglaube, dass Microsoft durch das Herunterladen den eigenen PC ausspionieren würde… 2.1.2. Schutzprogramme installieren Jeder Rechner sollte heute über ein Virenschutzprogramm verfügen, das in kurzen Abständen aktualisiert (Live Update), sowie jährlich verlängert werden muss (Lizenz). Außerdem ist der Einsatz einer Firewall ("Brandschutzmauer") empfehlenswert. 2.1.3. Spam-Filter einsetzen Spam-Filter-Programme können unterschiedlich positioniert sein: Spam-Filter beim Provider Professionelle Filter können - mit Aufpreis - auf der Ebene des Providers eingesetzt werden. Den Mailfilter beim Provider kann der Verbraucher in der Regel nicht beeinflussen. Er muss sich darauf verlassen, dass der Provider den Spam-Filter ordnungsgemäß konfiguriert. Die Provider-Lösung hat gegenüber dem lokalen Mailfilter den Vorteil, dass Spam-Mails den Rechner in der Regel erst gar nicht erreichen und das Postfach nicht verstopfen. Spam-Filter auf dem PC des Nutzers Filterprogramme können Bestandteil des privaten E-Mail-Programms auf dem lokalen Rechner sein, wie zum Beispiel bei Outlook („Junk-E-Mail“) oder Tobit - oder ein spezielles Programm, das vom Internet heruntergeladen und auf dem PC installiert werden muss. Befindet sich der Mailfilter auf dem lokalen PC, muss der Nutzer den Mailfilter ständig aktualisieren und pflegen, damit Spams effizient erkannt werden („Lernfunktion“). Dafür bietet er aber den Vorteil, dass persönliche Einstellungen vorgenommen werden können. WORKSHOP Gratis erhältliche Mailfilter-Programme: • www.spamfighter.com • www.spamihilator.com • www.spamint.com Spam-Filter in Verbindung mit Anti-Virus-Filter Anti-Virus-Programme neuerer Generation bieten zusammen mit dem Virenschutz auch einen Spamschutz mit an. Dies ist mit Sicherheit die beste Lösung, da kostenlose Programme keine Garantie auf Aktualität geben und schlimmstenfalls irgendwann den Dienst ganz einstellen. Es wird empfohlen, sich sowohl auf dem eigenen PC als auch beim Provider durch Mailfilter vor Spam zu schützen. Gefiltert wird bei Mailfiltern nach verschiedenen Gesichtspunkten: • IP-Adresse Die Erfahrungen haben gezeigt, dass Spammings häufig von ganz bestimmten Computerzugängen ausgehen. Die Adresse, die ein Computer beim Zugang zum Internet zugewiesen bekommt, heißt IP-Adresse (Internet-Protokoll-Adresse). Diese IP-Adressen können als Filtermerkmale dienen. • Absenderadresse („Blockierte Absender“) Einige Verfahren nutzen die Absenderadresse zur Filterung - hier wird entweder die vollständige Absenderadresse ([email protected]) oder nur der Domain-Name (xxx.de) eingesetzt. Da Spammer ihre Adresse jedoch beliebig fälschen können, ist dieses Verfahren als einzige Filterung unzureichend. • Inhalt („Spam-Wörter“) Auch der Inhalt einer Mail kann zur Identifikation von Spam herangezogen werden. Hier können bestimmte Schlüsselwörter oder die Anzahl an Wiederholungen zu Bewertungskriterien werden. Spammer können solche Filtersysteme jedoch umgehen, indem sie typische Schlüsselwörter durch Sonderzeichen verfremden oder absichtlich falsch schreiben, so dass sie nicht mehr erkennbar sind (z.B. statt Viagra = V.i.a.g.r.a) • Pflege der Filterprogramme („Lernfunktion“) Viele Programme bieten dem Nutzer die Möglichkeit, zu den Filtermerkmalen eigene Schlüsselwörter und unverlangte Absenderadressen hinzuzufügen und so sein System zu "trainieren". • Blacklists Weniger geeignet erscheint die Filterung über Blacklists. In so genannten Blacklists ("Schwarze Listen") können die Spam-Filtermerkmale zusammengefasst werden. Blacklists enthalten Domains, Absenderadressen, IP-Adressen etc., die beim E-MailEmpfang gesondert behandelt werden sollen. Je nach Präferenz des Anwenders werden die entsprechenden E-Mails abgelehnt, gelöscht, verzögert oder als Spam gekennzeichnet. Schwarze Listen können auf dem lokalen Rechner oder zentral bei Providern geführt und eingesetzt werden. Obwohl Blacklists als hilfreiches Mittel gegen Spam erscheinen, eignen sie sich nur sehr beschränkt für die Spam-Abwehr. Denn Spammer wechseln fortlaufend Absenderadressen und Mailserver, die Einträge in Blacklists hingegen erfolgen mit einiger zeitlicher Verzögerung WORKSHOP 2.2. Zehn Tipps zum Schutz vor Spam durch BEWUSSTES VERHALTEN Wer sich vor Spam schützen möchte, sollte seine E-Mail-Adresse hüten wie eine Bankgeheimzahl. Durch einfache Verhaltensregeln lässt sich die massenhafte Verbreitung einer Mailadresse verhindern oder zumindest verzögern. Tipp 1: Auswahl der E-Mail-Adresse Schon bei der Wahl der persönlichen Mailadresse sollten einige grundlegende Punkte Beachtung finden. Wer mit seiner E-Mail-Adresse seinen vollen Namen offenbart, darf sich nicht wundern, wenn er bald Spam mit einer persönlichen Anrede erhält. Der Punkt zwischen Vor- und Nachname ist eines der gängigsten Trennzeichen. Für Mailadressen sollten allerdings auch keine sehr außergewöhnlichen Zeichenketten verwendet werden - das birgt die Gefahr, selbst als Spammer eingestuft zu werden. Tipp 2: Weitergabe von E-Mail-Adressen Sie sollten E-Mail-Adressen möglichst nur Personen mitteilen, die sie persönlich kennen. Das gilt zunächst für die eigene E-Mail-Adresse, auch zum Beispiel beim Ausfüllen von OnlineFormularen: Hier sollte der Internetnutzer weder dem Empfang weiteren Werbematerials noch der Weitergabe seiner Daten an "dritte Unternehmen oder zu Marktforschungszwecken" zustimmen. Auch im Umgang mit Adressen von Freunden oder Bekannten gilt höchste Vorsicht: Wer Nachrichten gleichzeitig an mehrere Empfänger adressieren möchte, sollte die BCC-Funktion (BCC: "Blind Carbon Copy") seines E-Mail-Programmes nutzen: Die Empfängeradressen werden an Stelle des normalen Adressfeldes in das BCC-Feld eingetragen, damit sie später nicht in der Mail angezeigt werden. Das normale Adressfeld ("An"-Feld) bleibt leer bzw. enthält nur 1 Adresse. Viele Internetseiten bieten die Option, Artikel oder eine bestimmte Seite mit einem Klick an Freunde weiterzuleiten. Anwender investieren besser eine Minute Zeit in eine persönliche Mail, die auf den Link hinweist, als die E-Mail-Adresse eines Freundes über Online-Formulare an Fremde auszuliefern. Tipp 3: Wechseln der Mailadresse Je mehr Mailadressen ein Anwender hat, desto mehr Spam erhält er. Allerdings kann das häufige Wechseln der E-Mail-Adresse die Anzahl von Spam-Angriffen verringern, da den Spammern neue Adressen zunächst nicht bekannt sind. Ein Wechsel der Mailadresse bedeutet aber einen Mehraufwand für Nutzer und Kommunikationspartner, denn auch sie müssen ständig diese neue Adresse(n) aktualisieren. Tipp 4: Alternative Mailadressen Für die Teilnahme an Gewinnspielen und Newsgroups oder für Mailinglisten und NewsletterAbonnements sollte eine alternative Mailadresse eingerichtet werden. So lässt sich die eigene Identität verschleiern und der Spam im Postfach der Hauptadresse verringern. Tipp 5: Verschleiern der Mailadresse Im Web müssen alle Homepages eine E-Mail-Adresse der betreibenden Firmen oder Privatpersonen enthalten. Um den Kontakt auf der eigenen Homepage zu schützen, wird oft empfohlen, die eigene Mailadresse dort als Bilddatei abzuspeichern. Dies entspricht nicht den gesetzlichen Anforderungen. Tipp 6: Vorsicht bei falschen Betreffzeilen und Absendern Spammer setzen häufig falsche Betreffzeilen und gefälschte Absenderadressen ein. Mit dem Betreff "Re: Ihre Anmeldung", "Klassentreffen" oder Ähnlichem wird versucht, beim Empfänger persönliche Bezüge herzustellen, um ihn dazu zu veranlassen, die Mail zu öffnen. Anwender sollten daher vor dem Öffnen Betreffzeile und Absender einer Mail kontrollieren. Dazu muss die Vorschau-Funktion des E-Mail-Programms deaktiviert sein. Ist diese Funktion aktiviert, werden alle eingehenden Mails automatisch geöffnet. WORKSHOP Tipp 7: Dateianhänge Dateianhänge (Attachments) von unbekannten Absendern sollten in keinem Fall geöffnet werden! Häufig enthalten Spam-Attachments Viren, Würmer, Trojaner oder andere Schadprogramme, die beispielsweise Endungen wie .exe, .com, .pif oder .scr tragen. Tipp 8: Werbemails ignorieren Um Adressen zu sammeln, generieren Spammer unzählige fiktive Mailadressen, an die sie massenhaft Werbemails versenden. Wer auf eine Werbemail antwortet, bestätigt den Spammern, dass diese Mailadresse tatsächlich existiert und hilft ihnen somit, ihre Adresslisten zu vervollständigen. Oft enthalten Werbemails die Option, abbestellt zu werden. Anwender sollten die dort angegebenen Links auf keinen Fall öffnen, da sie dadurch den Erhalt zahlloser weiterer Werbezusendungen riskieren. Tipp 9: Spam-Mail löschen und Beschwerde einlegen Spam-Mails sollten niemals geöffnet und immer unverzüglich gelöscht werden. Die Absender von Spam-Mails ausfindig zu machen, ist in vielen Fällen schwierig, da sie meist vom Ausland aus agieren. Tipp 10: Mailblockaden vermeiden Damit Ihre E-Mails nicht über Blacklists aussortiert werden, sollte bei der Auswahl der eigenen Mailadresse und der Betreffzeile auf Seriosität geachtet werden. Reizworte, die eine sexuelle oder erotische Bedeutung haben, stehen auf dem Index vieler Spam-Filter. Mails werden teilweise auch ausgefiltert, wenn ihre Dateianhänge bestimmte Formate haben (.exe, .vbs, .zip etc.). Solche Dateien am Besten komprimieren („zippen“) und dann erst verschicken. 3. Wie wehre ich mich im Nachhinein gegen Spam? Spamming ist rechtswidrig. Werden Privatpersonen mit unverlangten Werbemails belästigt, liegt eine Verletzung des allgemeinen Persönlichkeitsrechts vor, bei Unternehmen ein Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb. Hieraus ergibt sich ein Unterlassungsanspruch sowie ein Schadensersatzanspruch. Der Versand von Spam als solchem ist noch kein Straftatbestand. Bei rechtswidrigen (zum Beispiel pornographischen, beleidigenden oder rechtsextremen) Inhalten oder bei so genannter Malware (Viren, Würmer und Trojaner) kann es allerdings anders aussehen. Wie in anderen Ländern der EU gilt in Deutschland die verbraucherfreundliche „Opt-In-Regelung“: Danach ist die Übersendung von E-Mail-Werbung nur bei vorheriger Einwilligung des Empfängers rechtens. Die Beweislast liegt beim Versender der unverlangten E-Mail - er muss nachweisen, dass ihm das Einverständnis des Empfängers vorliegt, E-Mails mit werbendem Inhalt zu erhalten. 3.1. Maßnahmen, die ergriffen werden können (als Verbraucher): 3.1.1. Unterlassungsanspruch In den Paragraphen 823 und 1004 des Bürgerlichen Gesetzbuches (BGB) ist geregelt, dass betroffene Verbraucher gegenüber dem Versender unverlangter Spam-Mails Unterlassungsansprüche geltend machen können. Begründet wird dies damit, dass eine unverlangte WerbE-Mail die Aufmerksamkeit des Betroffenen über Gebühr in Anspruch nimmt und zu einer unzumutbaren Belastung des Privat- und Arbeitsbereiches führt. 3.1.2. Anspruch auf Löschung personenbezogener Daten WORKSHOP Der Empfänger unverlangter Werbemails hat Anspruch auf Löschung der personenbezogenen Daten (Name, Anschrift, Geburtsdatum etc.). Die E-Mail-Adresse des Empfängers hingegen muss der Spammer nicht löschen, er muss sie aber durch einen Filter sperren (OLG Bamberg, Urteil vom 14.04.2005 - Aktenzeichen: 1 U 143/04). 3.1.3. Unverlangte Newsletter Ein Newsletter, den der Empfänger nicht bestellt hat, ist eine Art von Spam. Der Versand ist nur dann legal, wenn der Versender die Kontaktdaten im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten und der Empfänger der Nutzung seiner E-Mail-Adresse nicht widersprochen hat (§ 7 Abs. 3 UWG). 3.1.4. Anspruch auf Löschung von Spam-Mails gegenüber dem Provider Spam-Filter gehören bei Usern und Providern zur Standardausrüstung - ihr Einsatz stellt jedoch ein juristisches Problem dar. Löschen Unternehmen oder Provider E-Mails ohne Kenntnis und Zustimmung des Empfängers, ist dieses nach § 303a StGB (Strafgesetzbuches) strafbar. Daher werden meist die Spam-Mails zwar dem Empfänger zugestellt, jedoch erhalten sie eine eindeutige Kennzeichnung, z.B. ***SPAM*** in der Betreffzeile. 3.1.5. Auskunftsansprüche gegenüber dem Provider Privatpersonen hingegen haben laut Bundesdatenschutzgesetz lediglich einen Auskunftsanspruch gegenüber dem Versender einer Spam-E-Mail. Momentan haben Privatpersonen grundsätzlich keinen Rechtsanspruch auf eine Auskunft durch den Provider nach § 13a Unterlassungsklagengesetz (UKlaG. 3.1.6. Strafbarkeit von Phishing-Mails Immer mehr Online-Banking-Kunden lassen sich von so genannten Phishing-Mails fehlleiten. Diese gefälschten Mails - angeblich von einer Bank - sollen sensible Kontodaten und Geheimzahlen ausspionieren. Derzeit ist gerichtlich noch nicht geklärt, ob der reine PhishingVorgang, also das Ausspionieren an sich, strafbar ist. Zum Teil wird die Auffassung vertreten, bei dem reinen Phishing-Vorgang handele es sich um eine straflose Vorbereitungshandlung. Spätestens jedoch, wenn der Phisher die geangelten Daten einsetzt und nachweislich auf das Konto des Opfers zugreift, liegt der Straftatbestand des Computerbetrugs nach § 263a des StGB (Strafgesetzbuch) und/oder der Beihilfe zum Computerbetrug nach 263a StGB vor. Bemerkt ein Bankkunde, dass er Opfer eines Phishers geworden ist, der sich Kontodaten verschafft hat, sollte er umgehend sein Kreditinstitut informieren. Da die Phisher zumeist außerhalb deutscher oder europäischer Gerichtsbarkeit handeln, trägt die Bank das Risiko des Missbrauchs. Allerdings kann die Bank Schadensersatzansprüche gegen ihren Kunden geltend machen, wenn dieser fahrlässig gehandelt hat, indem er den Pishing-Angriff nicht unverzüglich nach Feststellung bei seinem Kreditinstitut gemeldet hat. Der Straftatbestand der Computersabotage liegt bei Phishing-Mails vor, die in Kombination mit schadhaften Programmen wie Viren, Trojanern oder Würmern Manipulationen am PC des Empfängers verursachen. Quellen: Heise Nachrichtendienst, T-Online, n-tv sowie verschiedene juristische Abhandlungen (Internet-Recherche) ©Wolfgang Werz 2007/08 - Weitergabe nur nach Anfrage und unter Verwendung dieser Copyright-Hinweise erlaubt! Kein Anspruch auf Vollständigkeit! Stand: Dezember 2008