Spam, Spam, Spam ...

Nicht dass Bill Gates beim World Economic Forum in Davos vor einigen Wochen vollmundig versprach, das „Spam-Problem“ binnen 2 Jahren gelöst zu haben, war die eigentliche Nachricht. Dass Spam überhaupt ein Thema dieser illustren Veranstaltung war, zeigt die Bedeutung des Problems für die weitere Entwicklung der Informationsgesellschaft. Und wer „Spam“ auf Google eingibt, bekommt sage und schreibe mehr als 16 Millionen Treffer angeboten, von denen sich nur einige, wenige auf den unappetitlichen Doseninhalt angeblich tierischer Herkunft beziehen. Nein, das Thema ist eindeutig der virtuelle Spam, der unsere Mail-Boxen verstopft. Einige Headlines, alle aus Googles Newsbereich, alle aus der letzten Woche, verdeutlichen eindrucksvoll die Schwere des Problems:
- „Spam behindert E-Commerce“
- „Spam beeinträchtigt E-Mail-Nutzung“
- „Spam-Welle“ bedroht auch Handys“
- „Anti-Spam-Gesetz der USA zeigt keine Wirkung“
Spam droht also das „Zentrale Nervensystem“ der neuen Ordnung, das Internet, wenn nicht lahm zu legen, dann doch nachhaltig zu beschädigen. Und das ist nur der Anfang: Die Marktforschungsfirma Jupiter Media Metrix schätzt, dass Verbraucher im Jahr 2006 mit über 206 Milliarden Junk-E-Mails zugemüllt werden: Das macht im Durchschnitt 1400 Mails pro Person. (Quelle: eco e.V.)

Und das ist eben nicht nur ärgerlich und lästig: Spam ist auch nicht nur der Viagra- und Porno-Müll, der täglich unser aller Inboxen verstopft. Denken Sie nur an „MyDoom“: Spam-Techniken, wie hier etwa das „Spoofing“ von Mail-Adressen, werden auch zur Verbreitung von Viren und Würmern im Internet genutzt. Neueste Variante in diesem Katz und Maus Spiel: die sog. „Osama-Spamware“, die in der letzten Woche die Nutzer von AOL’s Instant Messenger (AIM) überflutete. Damit wurde ein Link verbreitet, der angeblich zum Download eines Spieles führte. Tatsächlich wurde ein AIM-Plugin geladen, das nicht nur den eigenen Rechner mit den unmöglichsten Werbebotschaften überflutete. Die Message mit dem Link wurde auch automatisch an die gesamte Buddy-List des Nutzers versandt.

Rechnet man die durch solche und ähnliche Attacken entstehenden Schäden mit ein, erhöhen sich die heute Morgen erwähnten € 2,5 Milliarden plötzlich – je nach Quelle - auf $ 20 bis $ 50 Milliarden weltweit. Darüber hinaus zeigen diese Beispiele, dass das Spam-Problem in Zukunft nicht allein auf das Medium E-Mail beschränkt bleiben wird: so wie jetzt der AIM die Hintertür zu den Rechnern argloser Nutzer wurde, könnten wir schon bald den Spam-Befall von SMS und leichter noch MMS zu beklagen haben. Im Grunde lässt sich jede Anwendung, die uns mit einem öffentlichen Netzwerk verbindet, mit mehr oder weniger großem Aufwand nutzen, um die angeschlossenen Endgeräte zu „hijacken“ und den Nutzer mit Spam oder Schlimmerem zu überfluten: News-Feeds und Peer-To-Peer-Netze sind davon ebenso betroffen, wie Unified-Messaging-Systeme oder Video-On-Demand.

Zum dramatischen materiellen kommt damit auch noch ein unübersehbarer ideeller Schaden hinzu: Das, was die weltweiten Kommunikationsnetze ursprünglich einmal so attraktiv machte – einfacher und effektiver, preiswerter und personalisierter Austausch – scheint sich mit diesen Entwicklungen langsam in sein Gegenteil zu kehren. Niemand öffnet mehr freudig und gespannt den Datei-Anhang einer E-Mail, wenn er nicht ganz sicher weiß, was ihn erwartet. Und schon empfiehlt das amerikanische Technologie-Magazin „Wired“, sich in Mails einer förmlichen Sprache zu befleißigen, bestimmte Begriffe wie „opt“, „free“ oder gar „sex“, zumindest in der Betreff-Zeile ganz zu meiden, und schließlich auf die beliebten Fantasie-Namen als Screen-Name oder E-Mail-Kennung zu verzichten.

Wenn Sie sich solche und ähnlich rigorose Einschränkungen für jeden verfügbaren Netzwerk-Dienst vorstellen, wissen Sie, worauf ich hinaus will. Was ursprünglich einmal als Netz der „Freien und Gleichen“ begann, wird zunehmend reglementiert. Und zwar nicht „von oben“, sondern aus der schieren Notwendigkeit heraus, das Netzwerk funktional und nutzbar zu halten. Und schon überlegen erste Personen und einzelne Unternehmen, ob und wie sie vielleicht wieder ganz auf die netzwerkbasierte Kommunikation verzichten können. Das ist in der wissensbasierten, und daher auf den freien Austausch von Daten angewiesenen, globalisierten Informationsgesellschaft sicher nur eine Option für eine „kleine, radikale Minderheit“, zeigt aber die Ernsthaftigkeit des Problems.

Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) sprach auf einer eilends einberufenen Konferenz Anfang Februar in Brüssel vom erfolgreichen Kampf gegen den Spam schon als einer „Überlebensfrage für das Internet“. Und der EU-Industrie-Kommissar Erkii Liikanen forderte „wirksame Gesetze gegen Spam“. Allein, wie diese Wirksamkeit angesichts von Spammern aus Rumänien, Kirgisien und anderen „Offshore“ Ländern zu bewerkstelligen sein soll, verriet er nicht.

Skepsis ist durchaus angebracht, denn Gesetze für oder gegen was auch immer, haben bei der Entwicklung des globalen Netzwerkverbundes noch nie viel geholfen. Das soll nichts gegen den Wert solcher Gesetze sagen, sondern allein etwas gegen deren Durchsetzbarkeit in einer globalisierten Wirtschaft und Gesellschaft. Ebenso zeitnahe wie effektive Lösungen sind meiner Überzeugung nach weder vom amerikanischen „CAN-SPAM-Act“, noch von einer Novelle der UWGs im Bereich der EU zu erwarten. Und bis ähnliche Gesetze in anderen Ländern, von Latein-Amerika bis Asien verabschiedet oder gar durchgesetzt werden, dürfte sich das Problem, zumindest für uns persönlich, bereits „biologisch“ gelöst haben.

Verglichen damit, war die „Selbstverteidigung“ der Internet-Nutzer fast immer effektiver. Aber wie kann die, im Falle der Spam-Bekämpfung aussehen? Unterschiedliche Szenarien sind hier denkbar. Keine Angst, ich will Sie keineswegs auf romantischen Attacken, wie sie „Cyber-Aktionisten“ fordern, einschwören. Zumal professionelle Spammmer dafür so gut wie keine Angriffsfläche bieten.

Aber auch die unterschiedlichen Ansätze zu effektiven und umsetzbaren „Security-Policies“ im Unternehmen bis hin zu den technischen Lösungen mittels der genannten Bayes-Filter gehören dazu. Nur gleicht das Vorgehen der Programmierer auf beiden Seiten hier noch sehr dem alten „Katz und Maus Spiel“: Hast Du eine neue Filtererweiterung, denke ich mir eben eine neue Zeichen-Kombination aus. Abhilfe versprechen hier allenfalls neue, in den USA momentan heiß diskutierte, sog. „verhaltensbasierte“ Filter-Methoden. Noch weiter gehen die Anhänger einer anderen Anti-Spam-Technologie namens „SPF“ („sender permitted from“), die durch eine Erweiterung des SMTP-Protokolls nur noch Mails durchlassen, deren Nutzer die angegebene Domain und IP-Adresse registriert haben. Große amerikanische Provider von AOL bis MSN haben diesem, sicher sehr effektiven Verfahren bereits zugestimmt. Unter Datenschutz-Gesichtspunkten allerdings scheint diese Technik völlig inakzeptabel. Insbesondere, wenn man daran denkt, dass es perspektivisch nicht allein um Mails, sondern um alle möglichen von Spammern bedrohten Netzwerk-Dienste gehen könnte: Mit jeder Form von anonymer Internet-Nutzung wäre es damit bald vorbei. Ob die Mehrheit der Nutzer damit einverstanden wäre, wage ich persönlich eindeutig zu bezweifeln.

Was also bleibt zu tun?
Nun, ohne die anderen, genannten Ansätze vernachlässigen oder gar ablehnen zu wollen, geht es schließlich darum, das Übel an der Wurzel zu packen. Und diese Wurzel ist eben weder juristischer noch technischer, sondern wirtschaftlicher Natur.

Warum wird denn eigentlich gespammt? Doch nicht, um die eigenen technischen „Skills“ unter Beweis zu stellen, sondern einfach, weil damit Geld zu verdienen ist. Und zwar, selbst bei mikroskopisch kleinen Rücklauf-Quoten, immer noch sehr viel Geld. Vielleicht nicht für die Spammer selbst, oder gar für deren Programmierer. Sicher aber für die Hersteller und Verkäufer, all jener Produkte, die durch Spam-Mails vertrieben werden sollen. Und die lassen sich im Normalfall auch dingfest machen. Sie sitzen auch nicht in Rumänien, auf Tuva oder anderen Offshore-Locationen. Es sind Unternehmen mit einem Firmensitz und einer Postadresse – und die ist sicher nicht „gespooft“. Ob es um Wunderpillen oder Pornos geht, um Software oder Druckerpatronen - wer sie vertreibt, hat zumindest ein Warenlager und ein Firmenkonto.

So gut wie alle Finanz-Transaktionen im Internet werden entweder über ein Kreditkarten-Unternehmen oder ein Zahlungs-System (PayPal, Paysafe, T-Pay, Firstgate usw.) abgewickelt. Und selbst wenn der Verkäufer eine Internet-Apotheke auf Aruba oder ein Porno-Händler in Manila sein sollte, muss er bei ihnen einen sog. „Merchand-Account“ haben.

An all diesen Stellen kommt nun auch das Gesetz wieder ins Spiel. Denn ausgestattet mit dem entsprechenden juristischen Regelwerk, kann jeder Gerichtsvollzieher und jeder Staatsanwalt die Hand auf Warenlager und Firmenkonto legen. Damit erreicht man Hersteller und Verkäufer im eigenen Land. Alle anderen gehen wenigstens mittelbar über den Finanzdienstleister ins Netz: Jedes Kreditkartenunternehmen und jedes Zahlungssystem kann gezwungen werden, die spam-bezogenen Transaktionen zu stoppen, die Auszahlung an den Konto-Inhaber zu unterlassen und die entsprechenden Accounts aufzulösen.

Wenn so die gesamte Wertschöpfungskette der Hersteller und Verkäufer aller Waren, die durch Spam vertrieben werden, zusammenbricht, wird sich das Problem von ganz allein lösen. Wollen wir wetten?

Download Powerpoint-Präsentation (>1 MB)