Frankfurter Allgemeine Zeitung, 15. Juli 2003
Die digitale Plage und der Frust mit der E-Mail
Die Flut an unerwünschter E-Mail nimmt groteske Ausmaße an. Mittlerweile bestehen mehr als 70 Prozent der täglich rund 30 Milliarden um den Globus flitzenden E-Mails aus lästiger Werbung. Das wichtigste bidirektionale Kommunikationsmittel des Zeitalters droht in einer Flut aus Informationsmüll unterzugehen.
Juristische Schritte gegen die Versender versanden meist im Gefüge der internationalen Strafverfolgungsbehörden. Um ihren Kunden weiterhin einen reibungslosen Schriftverkehr zu ermöglichen, setzen deutsche Unternehmen wie der Internet-Provider T-Online oder der Mailbox-Anbieter GMX daher auf aufwendige technische Methoden. „Spam“, so der Ausdruck für diese Art der unerlaubten Werbung und Belästigung, soll vom Provider abgefangen werden und nicht mehr beim Kunden ankommen. Dabei muß zwischen zwei Verfahren unterschieden werden, die nacheinander zum Einsatz kommen: dem Blocken und dem Filtern von Mail.
Beim Blocken schaut der Server im Rechenzentrum des Empfängers in einer internen Liste nach, ob er überhaupt willig ist, Post von dem Mail-Server des Versenders anzunehmen. Diese sogenannte „Blacklist“ besteht aus einer Reihe von Rechneradressen (IP-Adressen), von denen bekannt ist, daß schon einmal Spam über sie versandt wurde. Während der Empfänger am heimischen PC nicht mitbekommt, daß eine an ihn adressierte Mail bereits an den Toren seines Providers abgefangen wurde, erhält der Versender eine kurze Nachricht über seine Klassifizierung als Spam-Host.
Die schwarzen Listen werden von den E-Mail-Anbietern mühsam gepflegt, bei AOL Deutschland beispielsweise beschäftigen sich 30 Mitarbeiter mit dem Thema Spam. Die in aller Welt postierten Server erhalten täglich 1,6 Milliarden E-Mails, bei 75 Prozent handelt es sich nach Angaben von Tobias Riepe, Pressesprecher bei AOL Deutschland, um reinen Spam. Mittlerweile bieten Unternehmen und Organisationen die Blacklists zum Kauf an. Die meisten deutschen Mail-Dienste werten verschiedene Listen aus und gleichen sie mit den IP-Adreßlisten ab, von denen auf jeden Fall Mail angenommen wird (Whitelists). Gleichwohl kommt es immer wieder zu Pannen. So landete im vergangenen Jahr ein Mail-Server des deutschen Anbieters Web.de auf einer Blacklist. Die Folge: Die Kunden von Web.de konnten für einige Zeit keine Mail an bestimmte Adressen versenden.
Heute wird Spam auch über Privat-PCs versandt, die durch Würmer oder Viren infiziert sind. Sie sind Teil eines „Bot-Net“, eines Netzwerks von „Zombie-PCs“, die ferngesteuert und unbemerkt vom Benutzer als Datenschleuder für den massenhaften Versand von Spam-Mail agieren. Die Betreiber solcher Netze haben zeitweilig die Gewalt über 30000 Rechner und vermieten das Netzwerk an Interessenten. Die IP-Adressen der ahnungslosen Spam-Versender stehen auf keiner Blacklist, weisen aber doch einen Nachteil auf: Die meisten Nutzer des Internets wählen sich über einen Provider ins Netz der Netze ein und erhalten eine dynamische IP-Adresse, die sich bei jeder Einwahl ändert. Einige E-Mail-Diensteanbieter wie beispielsweise Web.de sind daher dazu übergegangen, grundsätzlich keine E-Mails von solchen DSL- oder Modem-Verbindungen anzunehmen. Privatleute oder kleinere Unternehmen, die ihren eigenen Mail-Server über DSL betreiben, können also keine Nachrichten an Web.de-Kunden senden.
Enges Kontrollnetz
Das den Datenverkehr umschließende Kontrollnetz wird enger. Damit aber nicht genug: Das Eigentumsverhältnis eines E-Mail-Accounts geht durch die breitgefaßte Einverständniserklärung in Anti-Spam-Techniken langsam auf den Diensteanbieter über. Um Datenfluß und Geschäft aufrechtzuerhalten, besteht er auf immer stärkeren Eingriffsmöglichkeiten bei den Konten der Kunden. Unternehmen, Universitäten und alle anderen Organisationen, die Mail geschäftsmäßig regelmäßig verbreiten, stehen vor einem Spam-Dilemma. Um den betrieblichen Ablauf zu gewährleisten, müßten sie bei Massenangriffen Spam eigentlich an ihren Netzgrenzen rigoros löschen oder ganze IP-Adreßbereiche sperren – unterliegen damit aber immer der Gefahr, daß sie gegen die verbotene Nachrichtenunterdrückung verstoßen. Ulrich Pordesch, IT-Sicherheitskoordinator der Fraunhofer-Gesellschaft: „Wegen des Verbots der Mailunterdrückung zwingt uns das Telekommunikationsgesetz faktisch, Spam durchzuleiten. Wir dürfen ihn nur markieren oder separat, aber zugänglich abspeichern, nicht aber zentral löschen. “
Niedrige Serverlast
Etwas weniger dramatisch sieht es Jürgen Taeger, Rechtsinformatik-Professor an der Universität Oldenburg: „Das Strafgesetzbuch stellt zwar das Abfangen und Löschen von E-Mails durch Provider und sogar durch private und öffentliche Arbeitgeber unter Strafe, aber nur, wenn nicht durch allgemeine Geschäftsbedingungen in den Providerverträgen oder durch Einwilligungen eine Erlaubnis zum Filtern erteilt wird.“ Rechtlich auf der sicheren Seite sind die Diensteanbieter nach der Einschätzung von Taeger dann, wenn die Spams zudem in einen vom Adressaten einsehbaren Ordner abgelegt werden, bevor sie vom Nutzer oder Betreiber in Zeitintervallen gelöscht werden. Seit kurzem analysieren einige deutsche Mail-Provider die Frequenz eingehender Mails. Sie erfassen die Anzahl der vom selben Mail-Server in einem Zeitraum abgeschickten Nachrichten und vergleichen sie mit der bisherigen Mail-Frequenz dieses Rechners. Kommen plötzlich Tausende Mails von einem Server, von dem bisher kaum E-Mail kam, landet der Server auf der hauseigenen Blacklist. Selbiges gilt, wenn ein Rechner versucht, viel Post an nichtexistente E-Mail-Adressen zu senden. Alle diese Verfahren auf IP-Ebene haben einen Vorteil: Da die Spam-Mail erst gar nicht angenommen wird, bleibt die Serverlast beim Provider niedrig. Firmen wie T-Online und 1&1 filtern eigenen Angaben zufolge bis zu 70 Prozent des Spam allein über die Blacklists und die SMTP-Kontrolle aus.
Umstrittene Blacklists
Juristisch ist dieses Vorgehen umstritten. E-Mail unterliegt dem Fernmeldegeheimnis, und während bei der Virenfilterung noch von einem unausgesprochenen Einverständnis der Adressaten ausgegangen wird, soll es ja durchaus Leute geben, die regelmäßig über Neuerungen auf dem Potenzmittelmarkt aufgeklärt werden wollen. Außerdem ist durch Blacklists auch nicht auszuschließen, daß „false positives“, wie die versehentlich aussortierten seriösen E-Mails heißen, unter den nicht zugestellten Sendungen sind. Die Empfänger erhalten aber über die per Blacklists abgewiesenen Mail-Versuche keine Nachricht vom Provider. Während diese sich die Funktion der hinter die schwarzen Listen geschalteten heuristischen Mail-Filter noch meist durch den Kunden bestätigen lassen, ist dieser dem Aussieben durch die Blacklists ungefragt ausgeliefert. Jürgen Taeger: „Eine pauschale Einwilligung in das Blacklisting ist – anders als bei der Filterung und Umleitung in Spam-Ordner – wohl nicht möglich.“
Bisher ziehen sich Mail-Unternehmen, aber auch Firmen, Universitäten und Behörden auf den Standpunkt zurück: Was gar nicht erst angenommen wird, muß auch nicht weitergeleitet werden. Niemand hat, so ihre Meinung, einen Rechtsanspruch darauf, daß sich ihre Server überhaupt mit seinem Rechner „unterhalten“. Aus ihrer Sicht ist eine Nachricht ihnen erst dann anvertraut, wenn die E-Mail komplett auf ihrem Mail-Server liegt. Aber diese Rechtsansicht ist ungeklärt: Immerhin muß der Mail-Server in den Header der Mail schauen, um die IP-Adresse zu extrahieren – einen Teil der Nachricht hat das Unternehmen oder die Behörde also durchaus schon entgegengenommen.
Roland Steidle, Rechtsanwalt bei Waldeck Rechtsanwälte in Frankfurt am Main, kritisiert diesen Standpunkt der Unternehmen: „Grundsätzlich ist im Verhältnis zwischen Providern und Kunden davon auszugehen, daß E-Mails vom Provider anzunehmen und auch zuzustellen sind.“ Dies wird besonders bei kostenpflichtigen Mail-Accounts deutlich, bei denen ein Kunde für die Möglichkeit, Mails zu empfangen, zahlt. Bei Kunden eines Providers, die ihre Mailbox geschäftlich nutzen, können sogar entsprechende gesetzliche Pflichten nach dem Teledienstegesetz bestehen.
Systemzensur möglich
Manche E-Mail erreicht schon heute ihr Ziel nicht mehr – ohne daß der eigentliche Empfänger davon etwas mitbekommt. So wirkungsvoll die Blacklists sind, so sehr greifen sie in den bislang bedingungslosen Transport elektronischer Nachrichten ein. Der bisherige Grundsatz, jede technisch einwandfrei ins System eingebrachte Nachricht auch zu transportieren, wird zunehmend ausgehöhlt. Was heute noch als technische Maßnahme gegen Spam gilt, kann morgen als Bauteil einer Systemzensur mißbraucht werden.
Freier Weg nur noch für erwünschte Mails
Damit das Vertrauen in das Medium E-Mail nicht weiter schwindet, suchen Internet-Organisationen und Provider nach neuen technischen Möglichkeiten der Mail-Kontrolle. Die aktuelle Idee hinter den Bemühungen setzt auf eine Umkehrung der Verhältnisse: Die globalen Mail-Server sollen nicht mehr die unerwünschten Briefe aussortieren, sondern nur noch die erwünschten durchlassen. Dafür sollen sich die weltweiten Absender-Domains gegenseitig authentifizieren. Mehrere Verfahren sind im Gespräch, AOL und andere Firmen präferieren das „Sender Policy Framework“ (SPF), Microsoft setzt auf „SenderID“, Yahoo, Google Mail und Lycos auf „Domain Keys“.
Alle diese Verfahren haben eines gemeinsam: Die am System teilnehmenden Provider und Organisationen veröffentlichen im Domain Name System (DNS), welches normalerweise für die Auflösung einer Internet-Adresse wie www.faz.net in die dahinterstehende IP-Nummer (hier: 193.227.146.1) zuständig ist, die Angabe, welche Mail-Server E-Mails aus ihren Domains heraus versenden dürfen. Gefälschte Absenderadressen sollen so verhindert werden.
SPF funktioniert nur, wenn es weit verbreitet ist. So lange müssen alle Mail-Server nach wie vor Mail von Domains ohne SPF-Eintrag annehmen, können diese jedoch als potentiell verdächtig einstufen. Ein weiterer Nachteil: SPF wie Sender ID lassen nur schwerlich die Weiterleitung (forwarding) von Mail zu, scheint die Nachricht doch von einem falschen Rechner zu kommen. Zudem tauchen in letzter Zeit vermehrt gefälschte SPF-Einträge auf – wieder einmal adoptieren Spamer eine Technik schneller als die legitimen E-Mail-Versender. Neben SPF und Sender ID buhlt das Domain-Keys-Verfahren um die Akzeptierung als Internet-Standard. Es gilt als komplex, aber technisch ausgereift. Der Nachteil: Es benötigt viel Kapazität in den Rechenzentren, nutzt es doch eine asymmetrische Verschlüsselung. Die Mail wird mit einer digitalen Signatur versehen, die der empfangende Server anhand eines Schlüssels, der im DNS dieser Domain verfügbar ist, verifiziert. Schlägt dies fehl, wird die Nachricht nicht ausgeliefert.