Verhasst, gefährlich und hochprofitabel - das Milliardengeschäft mit Spam: Wie es läuft, wer profitiert und wie man sich schützt.
Vertrauensfrage im Internet aktueller denn je
PRISM hat deutlich gezeigt, dass über das Internet übertragene Daten zugänglicher sind, als vielen lieb ist. Internetspionage, Cybercrime und eine ganze Vielfalt verschiedener Angriffsformen dominieren regelmäßig die mediale Berichterstattung und sind aktueller denn je. Die Verunsicherung bei Internetusern ist groß und viele fragen sich, ob und wem man im Internet überhaupt noch vertrauen kann.
Auf das Ausnutzen bzw. Vortäuschen von „Vertrauenssituationen“ für eigene Zwecke setzen auch Cyberkriminelle. So ist das aktuelle Bedrohungsbild im Internet noch immer stark von Trojanern, Viren und anderer Malware gezeichnet – ebenso wie durch Spam, der uns auf Schritt und Tritt im Internet verfolgt.
Wer den Schaden hat...
Der jährliche Schaden, der auf Internetkriminalität zurückzuführen ist, beläuft sich alleine in Österreich auf mehr als 6 Mio. Euro jährlich, wobei diese Summe aber noch keine Schäden aus Wirtschaftsspionage enthält – der gesamte weltweite Schaden wird gar auf mehr als 750 Milliarden Euro geschätzt1 und täglich werden in der EU rund 1 Million Menschen Opfer von Internetkriminalität. Betrachtet man den wirtschaftlichen Schaden, der alleine durch Spam entsteht, so wird dieser weltweit mit rund 50 Milliarden US-Dollar angenommen – als unterste Grenze. Studien zufolge verursacht Spam in Unternehmen außerdem einen geschätzten Aufwand (Kosten für verlorene Produktivität, Help-Desk-Kosten, technische Kosten etc.) von bis zu 2.000 US-Dollar pro Mitarbeiter und Jahr.
„Cybercrime ist und bleibt ein lukratives Geschäft“, stellt Robert Schischka, der Leiter von cert.at, der österreichischen Internet-Feuerwehr, einmal mehr fest. Klassische Gefahrenquellen wie Viren, Trojaner oder sonstige Malware haben aus Sicht der IT-Sicherheitsexperten von cert.at auch in Österreich noch immer Hochkonjunktur.
„Cyberkriminelle stehen einem schier unermesslichen Markt gegenüber und sehen jeden Menschen als ein potenziell gewinnbringendes Opfer an. Die kriminelle Energie der Menschheit ist so alt wie die Menschheit selbst – und findet im Internet ausreichend Nährboden, um sich auf Kosten anderer weiter zu vermehren.“
Das Geschäft mit Spam
Spam ist längst ein fester, wenn auch von den allermeisten verhasster Bestandteil des Internets. Täglich werden die Mailboxen der Österreicherinnen und Österreicher mit vermeintlich attraktiven Geschäftsmöglichkeiten nigerianischer Geschäftspartner, mit Lockangeboten potenzsteigernder Arzneimittel oder sonstiger mehr oder weniger legaler Produktkopien zwangsbeglückt. „Was den Eindruck der Trivialität erweckt ist längst ein beinhart kalkuliertes Geschäft mit enormer krimineller Energie geworden. Hinter Spam stecken weltweit agierende Netzwerke, die sich über Jahre hinweg ein engmaschiges und vor allem milliardenschweres Spam-Ökosystem geschaffen haben“, so Schischka. „Hier geht es um Größenordnungen, bei denen längst nichts mehr dem Zufall überlassen wird, denn das Geschäft mit Spam ist höchst lukrativ.“
Neun von zehn: Spam dominiert den Mailverkehr
„Wir haben es beim gesamten weltweit versendeten E-Mail - Aufkommen mit rund 90 Prozent Spam zu tun“, so Schischka. „Für die Endanwender bleibt vieles im Verborgenen, weil eine sehr große Anzahl an Spamnachrichten bereits im Vorfeld erkannt und ausgefiltert wird. Daher erscheint das Problem oft kleiner als es tatsächlich ist. Die Flut an Mails, die täglich rund um die Welt geschickt wird hat dazu geführt, dass Anwender zwar zunehmend kritischer mit Informationen umgehen. Dem Geschäft mit Spam bringt das jedoch keinen Abbruch. Vor allem, da Spammer immer professioneller vorgehen und der Spam zunehmend zielgerichteter und dadurch noch gefährlicher wird.“
Spam als Objekt wissenschaftlicher Begierde
Um dem Geschäft mit Spam auf den Grund zu gehen hat die schaftlicher Begierde University of California in San Diego unter Beteiligung zahlreicher weiterer Institute und Experten im Rahmen einer Studie das weltweite Spam-Ökosystem analysiert. Im Zentrum stand dabei die ganzheitliche Betrachtung der Spam-Wertschöpfungskette und dabei insbesondere der Faktor der Monetarisierung von Spam – denn wo Geschädigte sind gibt es auch Profiteure. In mehrmonatiger Arbeit wurden insgesamt rund 1 Milliarde URLs analysiert, die aus Spam-Mails, Botnetzen oder sonstigen Feeds stammen. Das Ergebnis: spannende Einblicke in das weltweite Spam-Netzwerk.
Der erste Akt: Mit Werbung fängt alles an
Die dabei identifizierte Spam-Wertschöpfungskette setzt sich im Wesentlichen aus drei Teilen zusammen: Werbung (advertising), Klick-Unterstützung (click-support) und Umsetzung (realization). „E-Mails sind als Werbeform grundsätzlich anerkannt und daher auch bei Spammern sehr beliebt“, erklärt Schischka. „Die Änderung im Kommunikationsverhalten macht aber auch vor Spammern nicht halt. So ist Spam mittlerweile ein Thema in Blogs, in Suchmaschinen oder etwa in sozialen Netzwerken wie Facebook, Twitter & Co.“
Zahlreiche Maßnahmen wie das Abschalten von Botnetzen, Blacklistings (laufend aktualisierte Listen mit bekannten Spammern) und andere Aktionen haben dazu geführt, das Spamaufkommen in den letzten Jahren zu reduzieren. „Wie auch bei klassischer Kriminalität passen sich Spammer jedoch sehr schnell an und sind ihren Verfolgern mindestens einen Schritt voraus“, ergänzt der cert.at Leiter.
Der zweite Akt: Ein Klick ins Verderben
Spammer sind immer darauf angewiesen, dass der Empfänger auf Spam reagiert – für gewöhnlich durch Klicken auf entsprechende URLs. Dabei setzen sie auf automatische Weiterleitungen, entsprechende Domains, greifen auf eigene Name- und Web-Server zu oder bedienen sich spezieller „Partnerprogramme.“
„Das Rollenbild des Spammers ist heutzutage vielmehr jenes eines koordinierenden Geschäftsmannes, als das eines Hackers mit Hornbrille. Und das Spam-Ökosystem zeichnet sich durch eine starke Spezialisierung aus. Die ‚dunkle Seite der Macht‘ greift dazu auf ein ausgesprochen vielseitiges und breit aufgestelltes Partnernetzwerk zurück. So werden Infrastruktur, Rechenleistung und Webspace kurzerhand zugekauft, anstatt sie selbst zu betreiben. Das zeugt von einer enormen Professionalisierung“, erklärt Schischka.
Der dritte Akt: Das Gold macht die Regeln
Ein entscheidender und somit auch erfolgskritischer „Bottleneck“ im Spam-Ökosystem ist neben den ersten beiden Faktoren aber der Geldfluss – die eigentliche Zahlung selbst. Damit Spammer auch hier aus dem größtmöglichen Potenzial schöpfen können, setzen sie bevorzugt auf etablierte Kreditkartenanbieter (wie z.B. Visa oder Mastercard). Das Spam-Ökosystem definiert sich ins- gesamt durch hohe Komplexität, die durch zahlreiche Beteiligte entsteht: durch Banken und Kreditkartenunternehmen, Produzenten (zumeist gefälschter Ware), Logistiker/ Lieferanten, weitere Mittelsmänner und natürlich auch durch Käufer und Verkäufer.
Eine Pille reist um die Welt
Am Beispiel einer Viagra-Pille lässt sich die Komplexität dieses Systems eindrucksvoll darstellen: Am Anfang steht eine Spam-Mail, die von einem infizierten Rechner in den USA (der Teil eines riesigen Botznetzes mit mehreren zehntausend PCs ist) versendet wurde. Durch Click auf den angegebenen Link gelangt der User auf eine Domain, die in Russland registriert ist. Der dahinterliegende Nameserver steht in China und die Website selbst wird in Brasilien gehostet. Kommt es zur Bestellung erfolgt die Zahlungsabwicklung über ein Portal, das seinen Ursprung in der Türkei hat, während die abwickelnde Transaktionsbank selbst in Aserbeidschan sitzt. Das Kuvert mit der vermeintlichen Original Viagra-Lieferung wiederum trägt einen Aufgabestempel aus Indien, wo auch ein gänzlich unbekannter Produzent seinen Sitz hat, der in die USA liefert.
Wie man Spam bekämpft
Ein Ergebnis der Studie ist, dass die Beschneidung des Zahlungsverkehrs den größten Effekt auf Spam hat. Vor allem da sich aufgrund der untersuchten Spam-Fälle herausgestellt hat, dass 95% des weltweiten Zahlungsverkehrs im Zusammenhang mit Spam von nur drei Banken abgewickelt wird.
„So wie jedes Geschäft definiert sich auch das Geschäft mit Spam durch den Faktor Geld. Während alle anderen Beteiligten relativ mühelos substituiert werden können, ist die Auswahl der Zahlungsabwickler gering – und daher für die Bekämpfung ein zentrales Einfallstor. Denn ohne ein funktionierendes System der Zahlungsinfrastruktur wird es für Spammer entscheidend schwieriger, ihr rundherum aufgebautes Spam-Ökosystem zu finanzieren. Dreht man den Geldhahn zu, trocknet über kurz oder lang das gesamte System aus“, so Schischka.
Grüße aus Asien: Woher der Spam kommt
Betrachtet man die Herkunft des weltweiten Spam-Aufkommens, so kristallisieren sich dabei 12 Länder heraus. Im Ranking dieses „dreckigen Dutzends“, das regelmäßig von Sophos erhoben wird, lagen zuletzt (Stand März 2013) die USA (18,3%) an der Spitze, gefolgt von China (8,2%) und Indien (4,2%). Kumuliert führt jedoch Asien (36,6%) vor Europa (27,5%) und Nord Amerika (22%). Auf den weiteren Plätzen: Süd Amerika (10,9%), Afrika (2,6%), Andere (0,4%).
Dieses Ranking sagt zwar nichts über tatsächliche Herkunft der Spammer aus, die verdeckt im Hintergrund agieren, es gibt aber einen guten Überblick über die aktuelle Verteilung von Botnetzen. So ist es offensichtlich für Angreifer einfacher, PCs in Asien als in Nord Amerika unter ihre Kontrolle zu bringen.
Jeder hat seinen Preis: Einblick in kriminelle Preislisten
Experten der Ruhr-Universität Bochum6 haben das Geschäftsmodell von Spammern quantifiziert – und sind so in der Lage, einen Einblick in kriminelle Preislisten zu geben. So kann man eine Million E-Mail Adressen in einschlägigen Kreisen um nur 25 bis 50 US-Dollar erwerben. Der Versand von einer Million Spam E-Mails über Botnetze kostet zwischen 100 und 500 US-Dollar. Den Versand größerer Bestellungen, wie etwa von täglich 100 Millionen Spam-Nachrichten über einen Zeitraum von einem Monat gibt es bereits ab rund 10.000 US-Dollar. Selbst Botnetze kann man relativ günstig zukaufen: 10.000 PCs gibt es bereits um 300 bis 800 US-Dollar. Wie auch im echten Leben bestimmen dabei Nachfrage und Angebot den Preis.
Universität Wien: Die Situation am Ende der Leitung
Welche Auswirkungen das weltweite Spam-Ökosystem mit sich bringt kennt eine Person sehr genau: Wolfgang Breyha ist Unix System Administrator am Zentralen Informatikdienst der Universität Wien – und in dieser Funktion „Postmaster“ und Hauptverantwortlicher für das Mailsystem der größten Universität Österreichs.
„Die Universität Wien betreibt eines der ältesten und auch größten Mailsysteme des Landes“, erklärt Breyha. „Mit rund 100.000 Benutzer-Accounts reiht sich die Universität Wien, obwohl sie kein kommerzieller Anbieter ist, unter die fünf größten Mailbetreiber Österreichs ein.“
Erfahrung im Kampf gegen Spam
Das Mailsystem der Universität Wien wurde 2005 nach dem Wechsel von Wolfgang Breyha an den Zentralen Informatikdienst (ZID) von Grund auf neu entwickelt. Dabei sind sowohl
seine Erfahrungen, die er bei namhaften österreichischen Internet Service Provider (ISPs) gesammelt hat, als auch jene aus der langen Historie des alten Systems der Universität Wien (die erste.at-Domain wurde bereits 1988 von der Universität Wien registriert) eingeflossen. Der Einsatz von Open Source Technologien war dabei eine zentrale Anforderung. "Das Ergebnis ist ein effizienter, aber auch flexibel erweiterbarer Spamfilter, der seither stetig weiterentwickelt und an die jeweils aktuellen Anforderungen angepasst wird. Nur so kann das von unseren Nutzern gewohnt hohe Qualitätsniveau auf Dauer gehalten werden."
Auch die Spam-Abwehr setzt auf drei Akte
In der Bekämpfung von Spam setzt die Universität Wien auf ein dreigliedriges System: In einem ersten Schritt werden alle eingehenden Mails im Hinblick auf die Erfüllung von technischen Mindestansprüchen analysiert. Auf diese Weise werden beispielsweise automatisierte Mailbots erkannt und deren Mails erst gar nicht angenommen.
Als nächstes werden eingehende Mails durch ein komplexes Filtersystem geleitet, das unter anderem auch das bekannte Open Source Scoringsystem „SpamAssassin“ verwendet. Dieses analysiert Mails ganzheitlich und dabei vor allem auf inhaltlicher Ebene (auf typische Spam-Merkmale wie URLs, eingebettete HTML-Inhalte, verdächtige Schreibweisen, Sonderzeichen uvm). Als Ergebnis erhält jedes E-Mail einen Score zugewiesen, der die Spam-Wahrscheinlichkeit definiert.
„Je höher dieser Wert ausfällt, desto eher handelt es sich dabei um Spam. Unser System filtert seit Inbetriebnahme konstant mehr als 95% des Spams erfolgreich aus. Unser Hauptaugenmerk liegt dabei immer auf der Vermeidung sogenannter ‚false positives‘“, so Breyha. „Hinzu kommt, dass wir aufgrund der großen Zahl an Benutzer-Accounts und das laufende Monitoring koordinierte Spam-Attacken von Botnetzen sehr schnell erkennen und automatisiert darauf reagieren können.“
Enorme Rechenleistung
Welche Ressourcen hinter dem Mailsystem der Universität Wien stehen, veranschaulichen folgende Zahlen: Zu Spitzenzeiten im Jahr 2008/09 wurden bis zu 10.000 Spam-Mails pro Minute identifiziert. Seit Inbetriebnahme des aktuellen Mailsystems im Juni 2006 wurden bis heute rund 2 Milliarden Spam-Mails erkannt. Am Höhepunkt der Spamwelle 2009 wurden alleine 1,2 Millionen Spam-Mails pro Tag gezählt.
Durch zahlreiche Erfolge der jüngsten Vergangenheit ist es gelungen, weltweit etliche Botnetze abzuschalten. „Wir bemerken sofort, wenn ein Botnetz vom Netz genommen oder im anderen Fall eine neue, koordinierte Spam-Attacke gestartet wird. Im Langzeitvergleich der letzten Jahre sehen wir deutlich ein Rückgang des weltweiten Spam-Aufkommens – wenngleich sich dieses noch immer auf hohem Niveau befindet“, so Breyha.
The trend is not your friend
Während das Spam-Volumen deutlich zurückgegangen ist, hat sich das Gefährdungspotenzial hingegen enorm verschärft. „Spammer werden zunehmend aggressiver und setzen verstärkt auf Phishing.“ Dabei gelangen User durch Klicken auf einen URL auf vermeintlich bekannte, aber gefälschte Webseiten, auf denen sie höchstpersönliche, sensible Daten eingeben sollen (z. B. Bank- oder Kreditkartendaten oder sonstige Zugangsdaten aller Art). „Vor allem nimmt das zielgerichtete Phishing stark zu. Globale Cyberkriminelle agieren zunehmend auch nach der Devise ‚think globally, act locally‘. So wurde die Uni Wien in der Vergangenheit selbst mehrmals Opfer eines zielgerichteten Phishing-Angriffs, indem User auf gefälschten Instituts-Webseiten zur Eingabe persönlicher Daten aufgefordert wurden. Die so erschlichenen Mailkonten werden oft umgehend zum Versand von Spam-Mails verwendet.“
Kein Ende in Sicht: Der Kampf geht weiter
IT-Sicherheitsexperten geben den Kampf gegen weltweiten Spamnetzwerke daher nicht auf. Erst im Juli des vergangenen Jahres wurde mit dem Abschalten des Botnetzes „Grum“ das drittgrößte Spam-Netzwerk der Welt aus dem Verkehr gezogen, indem die Kommando-Server vom Netz genommen wurden. Diese haben sich unter anderem in Panama, Russland, der Ukraine und anderen Ländern befunden. Nach Schätzungen soll „Grum“ für knapp ein Fünftel des weltweiten Spam-Aufkommens verantwortlich gewesen sein.
Erste Hilfe: Wie man sich schützt
„Der beste Schutz gegen Bedrohungen aus dem Internet ist und bleibt noch immer, PCs, Tablets und sonstige Geräte aktuell zu halten und Schutzsoftware regelmäßig zu aktualisieren“, so Schischka und Breyha im Gleichklang. „Und natürlich spielt am
Ende des Tages der Faktor Mensch selbst immer noch die entscheidende Rolle. Denn egal, wie ausgefeilt Software auch ist, eines kann sie noch immer nicht ersetzen: Hirn und Hausverstand.“
Die Experten raten daher einmal mehr, sich stets aufmerksam im Internet zu bewegen und nicht blind Aufforderungen zur Eingabe persönlicher Daten oder ähnlichem zu folgen. Im Zweifelsfall ist es immer sicherer, einmal zu oft bei seiner Bank, seinem Webmailbetreiber oder sonstigem Anbieter nachzufragen – damit Herr und Frau Österreich erst gar nicht Teil des Spam-Ökosystems werden. Und zu guter Letzt gilt stets: Langfristig gibt es SPAM als erfolgreiches Geschäftsmodell nur solange es auch Kunden gibt, die etwas kaufen. Spam ist kein Selbstzweck, sondern ein Vertriebskanal – und ohne Kunden ist dieser uninteressant.