Hoeren-Skript zum IT- und Internet-Recht aktualisiert

IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster und Richter am Oberlandesgericht Düsseldorf, hat seine im April 2011 zuletzt erschienenes Skripten zum IT- und Internet-Recht in überarbeiteter Fassung vorgelegt.

„Skript“ ist dabei stark untertrieben. Tatsächlich sind die beiden Hoeren-Skripte jeweils mehrere Hundert Seiten umfassende gewichtige IT-rechtliche Fachlektüre. Wohl dem, der ein Tablet oder einen e-Book-Reader damit bestücken kann.

Da speziell das Recht im Internet sich ähnlich dynamisch entwickelt wie das Netz selbst, waren erneut an etlichen Stellen Aktualisierungen nötig. Hoeren hat dazu Themen wie Social Media, Domainrecht, etliche Detailfragen aus dem Urheberrecht, das DE-Mail-Gesetz Verbraucherschutz bei Online-Geschäften, das Datenschutzrecht oder Fragen zu EDV-Verträgen überarbeitet oder neu mit aufgenommen. Aktualisiert wurden auch Kommentierungen aktueller Rechtsprechung, neuer relevanter Urteile sowie zahlreiche Literaturhinweise.

Hoeren weist bereits im Vorwort seines Buches darauf hin, „dass das Internet eine Dynamik hat, die die klassischen Buchverleger überfordert“. Eine gedruckte Ausgabe der beiden Skripte wäre daher wahrscheinlich bereits zum Zeitpunkt ihres Erscheinens veraltet. Eine digitale Publikation dagegen ermöglicht rasche Fortschreibungs- und Aktualisierungszyklen.

Auch die neue Fassung steht auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Uni Münster kostenlos zum Download bereit.

Cyber-War und Cyber-Abwehr

In den letzten Monaten nahm die medial gefühlte Aktivität von Hackergruppen weltweit zu. Allerdings sagen die Jahresberichte diverser mit Fragen der IT-Sicherheit befassten Institutionen ebenfalls seit Längerem solche Entwicklungen voraus. Das macht IT-Sicherheit zunehmend zu einem politischen Thema, so dass Staaten Institutionen aufbauen, die sich mit dem Schutz kritischer Infrastrukturen sowie möglichen Krisenreaktions- und Gefahrenabwehrstrategien befassen sollen.

Dazu zählt auch das in Deutschland von Bundesinnenminister Friedrich kürzlich eingeweihte Nationale Cyber-Abwehrzentrum (NCAZ), das bundesweit Informationen über IT-Sicherheitsvorfälle zu bewerten und abgestimmte Handlungsempfehlungen entwickeln soll und mit zunächst zehn Beschäftigten startet. Es wird vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit direkter Beteiligung des Bundesamtes für Verfassungsschutz (BfV) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Bundeskriminalamt (BKA), der Bundespolizei (BPol), dem Zollkriminalamt (ZKA), der Bundesnachrichtendienst (BND) sowie der Bundeswehr als assoziierte (zuarbeitende) Behörden gebildet.

Wobei die Bundeswehr bereits seit 2009 eine in der Tomburg-Kaserne in Rheinbach nahe Bonn stationierte Einheit „Informations- und Computernetzwerkoperationen“ unterhält, in der Soldaten für  digitale Angriffs- und Abwehroperationen vorbereitet werden. Sie wurden meist aus den Fachbereichen für Informatik an den Bundeswehruniversitäten rekrutiert und sollen der Armee operative Handlungsfähigkeit für kommende Internet-Konflikte geben, wie sie z.B. Estland bereits 2007 mit massiven dDOS-Attacken auf die Webserver öffentlicher Einrichtungen erlebte.

Hinzu kommt das CERTBw, eine Einheit die für die zentrale Überwachung der IT-Sicherheit der Bundeswehr zuständig ist und die ebenfalls mit etlichen anderen Behörden des zivilen Bereichs wie der Bundespolizei und dem BSI kooperiert. Zumindest informationstechnisch ist die Trennung zwischen Armee und Zivilsektor sowie die relative Inaktivität der Bundeswehr im Inneren längst Geschichte. Auch international haben sich die Streitkräfte bereits vor Jahren vernetzt und führen auch gemeinsame „Cyber-Manöver“ durch.

Kernaufgabe der nationalen Cyber-Abwehr soll der Schutz kritischer Infrastrukturen sein, also Dinge wie Energieversorgung, Finanzwesen, Verkehrsleittechnik, Flugverkehr, medizinische Versorgung usw., deren Beeinträchtigung durch informationstechnische Attacken schwerwiegende Folgen für die Bevölkerung haben kann.

Allerdings werden diese Aktivitäten durchaus auch kritisch gesehen. Macht- und Informationsbündelungen beim Staat haben selten positive Folgen – zu sehr locken Missbrauchsmöglichkeiten die stets nach Zugang zu Macht und Mitteln strebenden politischen Eliten. Und gerade die deutschen Innenminister der letzten fünfzehn Jahre haben bekanntlich mehr grundgesetzwidrige Vorhaben von echter Bedeutung losgetreten als alle, im jährlich erscheinenden Verfassungsschutzbericht genannten Organisationen zusammengenommen.

Wenn dann noch Dinge hinzukommen, wie die „Kriegserklärung“ der fast-schon-pleitegegangenen US-Regierung, die kürzlich ankündigte, auf Cyber-Attacken ggf. mit dem Einsatz konventioneller Waffen zu reagieren, trägt das nicht eben dazu bei, an Vernunft und Maß in den Köpfen ohnehin oft mit netzpolitischen Themen überforderter Politiker zu glauben. Sahen doch schon in den 80ern die Macher des Spielfilms „War-Games“ voraus, dass jugendlicher Spieltrieb und lose sitzendes Schießgerät in den Händen von Politikern und Militärs ohne wirksame öffentliche Kontrolle keine allzu gute Idee sind (im Film konnte der dritte Weltkrieg eben noch so verhindert werden).

Zumal es im Internet kaum verlässlich festzustellen ist, woher ein Angreifer kommt und ob er im Dienste eines Staates oder für private Klienten tätig ist. So wäre es z.B. für chinesische Hacker problemlos möglich, über Rechner in Russland in deutsche Rechenzentren einzudringen und darüber Ziele in den USA oder sonstwo anzugreifen (was auch häufiger geschieht). Für Abwehrkräfte wird es da schwierig, klar zu erkennen wer der Feind ist und von wo aus er womit angreift. Militärische Denkschemata kommen da rasch an ihr Ende.

So wie es inzwischen private Söldnerfirma gibt, die Armeen mit Soldaten aufstocken, deren Tod auf dem Schlachtfeld für die Politiker zuhause keine negativen Konsequenzen hat, so ist es wohl auch nur eine Frage der Zeit, bis private „Cyber-Söldner-Unternehmen“ von Hackern und Wirtschaftsspionen bedrohten Firmen informationstechnische Feuerkraft für verdeckte Operationen mit nicht immer ganz legaler Zielsetzung anbieten werden. Zumal wir ja auch in Deutschland bereits Datenmissbrauchsskandale wie z.B. 2008 bei der Telekom oder 2009 bei der Deutschen Bahn hatten, bei denen freidrehende interne Sicherheitsabteilungen eine gewichtige Rolle spielten.

Realweltlich beschäftigt sich die Cyber-Abwehr im öffentlichen Sektor aber mit gewöhnlicheren Problemen. So hat z.B. die Polizei, die bereits seit Jahren hart am Auf- und Ausbau ihrer IT-forensischen Aufklärung arbeitet, schlicht damit zu kämpfen, dass die benötigten IT-Spezialisten kaum sinnvoll in die öffentlich-rechtlichen Besoldungsschemata und Entgeltordnungen einzupassen sind. Denn deren Gehaltsansätze wurden lange Zeit nicht angemessen fortgeschrieben, so dass staatliche Institutionen auf Personalsuche immer häufiger von den Firmen überboten werden, von denen sie sich anschließend teure externe Berater einkaufen müssen, um ihre Projektteams aufzustocken. Ein Problem mit dem sich auch das neue Cyber-Abwehrzentrum bald herumschlagen dürfte.

Auch sich in der Asservatenkammer stapelnde, beschlagnahmte Festplatten aus Hausdurchsuchungen nach Kinderpornografie oder Urheberrechtsverletzungen durchzusehen, ist nicht unbedingt die Traumvorstellung eines Informatikers mit Hacker-Know-how, der vom Kampf gegen weltbedrohende Cyberkrieger träumt. Aber Drecksjobs und Tagesgeschäft gibt es eben überall.

Es bleibt also abzuwarten, wohin sich das Thema Cyber-Abwehr noch entwickelt. Festzuhalten bleibt, dass Deutschland mit seinem Cyber-Abwehrzentrum lediglich eine Entwicklung nachvollzieht, die in zahlreichen anderen Staaten bereits stattgefunden hat.

Landgericht Düsseldorf verurteilt dDOS-Angreifer zu Haftstrafe

Wer durch dDoS-Angriffe (distributed Denial of Service) kommerzielle Websites anderer Leute lahmlegt, macht sich damit nach § 303b StGB (Computersabotage) strafbar. Dies entschied das Landgericht Düsseldorf laut dem kürzlich veröffentlichten Urteil vom 22. März 2011 (Az.: 3 KLs 1/11).

Inhaltlich ging es um einen Fall von teilweise versuchter, teilweise tatsächlich erfolgter  Erpressung. Der Angeklagte hatte im Laufe des vergangenen Jahres mehrere Betreiber von Sportwettenportalen damit bedroht, ihre Webseiten lahmzulegen, wenn sie ihm nicht eine geforderte Summe bezahlen würden. Um seiner Forderung Nachdruck zu verleihen, griff er die Firmen mit einem Botnetz an, worauf einige bezahlten, andere wiederum nicht. Deren Websites griff er einige Tage später erneut an, was nach Ansicht der Betreiber zu massiven Störungen ihrer Geschäfte sowie einem sechsstelligen Umsatzausfall und beträchtlichen Reparatur- und Wiederanlaufkosten führte.

Die Art und Weise der Lösegeldzahlung über eine ausländische Zahlungsabwicklungsgesellschaft ermöglichte aufgrund günstiger Umstände eine Rückverfolgung bis zum Täter, so dass Ermittlungen zu einer Anklage und schließlich zu einer Verurteilung wegen gewerbsmäßiger Erpressung in Tateinheit mit Computersabotage in mehreren Fällen und damit zu einer Freiheitsstrafe von zwei Jahren und zehn Monaten Haft führten.

Bei der Entscheidung dürfte es sich um eines der ersten Urteile eines deutschen Gerichts zur strafrechtlichen Wertung von dDOS-Angriffen handeln. Hinsichtlich der juristischen Beurteilung dieser Attacken folgt das Gericht Überlegungen in der juristischen Literatur, in der diese Thematik bereits seit einiger Zeit diskutiert wird.

Unabhängig davon können die Geschädigten natürlich auch noch zivilrechtlich Schadensersatzansprüche geltend machen. Auf den Täter dürfte damit zusätzlich zu den bereits aufgelaufenen Verfahrenskosten des Strafprozesses noch eine höhere Rechnung sowie (mindestens) ein Zivilprozess zukommen.

Darüber sollten auch jene Leute nachdenken, die sich überlegen, ob sie an einer Art „Flashmob mit dDOS-Anteil im Internet“ teilnehmen wollen, indem sie sich Tools wie etwa die quelloffene Lasttest-Software „Low Orbit Ion Cannon (LOIC)“ herunterladen, mit der sich Freiwillige im sog. „Hive-Mode“ zu einer Art Botnetz zusammenschließen und ein Ziel im Internet gemeinsam per dDOS angreifen können. Da die LOIC nicht mal die IP-Adressen der Beteiligten verfälscht oder maskiert, ist deren Rückverfolgung durch die damit Angegriffenen sogar besonders einfach.

dDOS-Attacken zählen zu den einfacheren Hackerangriffen, da man sich die dafür erforderlichen Tools (i.W. leistungsstarke Botnetze) einfach mieten kann und deren Bedienung dann keinerlei tiefergehendes technisches Wissen über Schadsoftware, Exploits oder Netzwerkprotokolle mehr erfordert. Aber rechtlich ist damit inzwischen nicht mehr zu spaßen.

Wurde die Schufa gehackt?

In den letzten Wochen gab es alle paar Tage Berichte in der Tagespresse über spektakuläre Hacks auf die Rechner von Unternehmen. Kürzlich musste sogar der Weltwährungsfonds eingestehen, unerwünschte „Gäste“ in seinen Systemen gehabt zu haben.

Und jetzt scheint die Schufa dran zu sein. Auf Gulli.com wurde über einen Angriff auf die Webserver der Wirtschaftsauskunftei berichtet, bei dem über Local File Inclusion Zugriffe auf dort vorhandene, aber nicht direkt zum Webangebot gehörende Daten möglich waren. Solche Attacken auf Webserver gehen üblicherweise Angriffen auf Systeme „weiter im Inneren“ einer Organisation voraus. Gleichzeitig sind sie aber auch Gradmesser für die Ernsthaftigkeit mit der eine Organisation IT-Sicherheit betreibt. Denn Webserver, die über leicht auffindbare Sicherheitslücken wie SQL Injection, File Inclusion und Cross-Site Scripting angegriffen werden können, deuten i.d.R. auf mangelndes operatives IT-Risikomanagement und fehlende Routinen zur sicherheitstechnischen Aktualisierung von außen erreichbarer Systeme hin. Der Hinweis an die Gulli-com-Redaktion kam von einer ungenannten Quelle und wurde von Sicherheitsexperten per Proof-of-Concept bestätigt. Auch Tagesschau.de griff das Thema auf und wies auf die Problematik der Kombination aus Massendatenspeicherung, fragwürdiger “Freiwilligkeit” der faktisch erzwungenen Datenabgabe durch Verbraucher und scheinbar laxe Sicherheitsstandards bei der Schufa hin.

„Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein und zeigt erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt“, so Sebastian Nerz, angehender Informatiker und Bundesvorsitzender der Piratenpartei Deutschland in einer Pressemeldung. „Ob SCHUFA oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher. Datensparsamkeit muss daher oberstes Gebot sein. Leider ist diese Erkenntnis immer noch nicht in der Politik angekommen. Große Datenhalden werden nach wie vor als eine Lösung und nicht als Teil des Problems gesehen.“

Und die Daten der Schufa dürften in der Tat einen beträchtlichen Wert am Datenschwarzmarkt darstellen, falls es Hackern mit wirtschaftskriminellen Motiven gelänge sie zu erbeuten. Hat doch die Schufa eine monopolartige Position erreicht, die es Verbrauchern fast unmöglich macht, am täglichen Geschäftsverkehr teilzunehmen, ohne laufend standardisierte Schufa-Einwilligungsklauseln zu unterschreiben. Eine Praxis, die z.B. im Arbeitsrecht bereits dazu geführt hat, dass dort datenschutzrechtliche Einwilligungen aufgrund des Machtungleichgewichts zwischen Arbeitnehmern und Arbeitgebern als rechtlich unbeachtlich angesehen werden, da die „Freiwilligkeit“ ihres Zustandekommens bezweifelt wird. Die Schufa dürfte über einen deutschlandweit wohl einzigartigen Bestand an Finanzdaten fast aller Inhaber von Bankkonten, Handynutzern, Kreditnehmern oder Kartenzahlern besitzen. Die enormen Vorratsdatenbestände der privatwirtschaftlichen Schufa kamen nur durch die oligopolartige Stellung der Wirtschaftsauskunfteien zustande, die es Verbrauchern nahezu unmöglich macht, an ihnen vorbei Bankgeschäfte oder bargeldlose Zahlungen zu tätigen.

Eine solche Organisation ist aufgrund vieler Gründe ein herausforderndes Ziel für Hacker. Sei es als Versuch zu Ruhm und Anerkennung innerhalb der Szene zu kommen, sei es aus räuberischen Motiven, sei es im Rahmen eines Vergeltungsschlages gegen eine, ihrer Ansicht nach zu mächtig gewordene Organisation.

Die in der Überschrift gestellte Frage kann  man mittlerweile als bereits beantwortet ansehen. Denn David Vieira-Kurz, der Gulli-com den Proof-of-Concept geliefert sowie die Schufa-Verantwortlichen gewarnt hat, berichtet auf seinem Blog Secalert.net dass die Schufa-Verantwortlichen ihm als Dank eine Flasche Sekt versprochen hatten, nachdem sie die Lücke im Webserver geschlossen hatten.

Unklar ist allerdings noch, ob nicht zwischenzeitlich auch Dritte die Lücke ausnutzen und sich Schufa-Daten beschaffen konnten.

Scareware – Mit Nervsoftware abkassieren

Es gibt viele Möglichkeiten, mit Schadsoftware Geld zu verdienen. Eine, die eher auf Trickbetrug, als auf Diebstahl von Daten oder Rechnerkapazitäten hinausläuft, ist sog. „Scareware“. Das ist Software, die den Nutzer verängstigen und verwirren soll, um ihn so zu Handlungen zu verleiten, von denen der Autor profitiert. Wenn man will also automatisiertes Social Engineering.

Das Prinzip ist einfach: Dem surfenden PC-Nutzer wird beispielsweise eine kostenlose Analyse seines Rechners auf Viren angeboten. Kostenlose und gute Virenkiller gibt es ja von mehreren Anbietern. Dazu muss er lediglich ein Programm aus dem Internet herunterladen, installieren und starten. Tut er dieses, so generiert das Programm rasch und mit zunehmender Häufigkeit und Penetranz Warnmeldungen, dass dieser oder jener Virus im System sei und das man möglichst rasch eine kostenpflichtige Sicherheitslösung kaufen, runterladen und einspielen möge. Bis hin zur Unbenutzbarkeit des Rechners, weil fast jeder Vorgang mit diesen Warnmeldungen unterbrochen wird. Folgt man den Hinweisen und lädt das zu bezahlende Update herunter, ist für einige Zeit Ruhe bis es erneut losgeht.

Nur: Es war zu keiner Zeit echte Schadsoftware auf dem Rechner. Dem Nutzer wurde lediglich vorgegaukelt, er hätte ein Problem. Das Problem kam erst mit dieser Art von Trickbetrug auf seine Festplatte. Das Prinzip der Scareware setzt auf den eher unmündigen, arglosen und neugierigen Nutzer, der viel ausprobiert und die oft eher kryptischen Meldungen inhaltlich nicht hinterfragt. Im schlimmsten Fall hat der Nutzer durch das Installieren der Scareware auf seinem Rechner erst vormals noch nicht vorhandene Sicherheitslücken aufgerissen. Schließlich läuft das Programm in aller Regel mit den (meist recht weitreichenden) Rechten des Benutzers und hat vollen Zugriff auf seine Daten.

Das Prinzip ist nicht wirklich neu. Heise Security berichtete bereits 2008 darüber.

Linux-Anwender sind hier, wie oftmals bei Schadsoftware außen vor, da sich deren Entwickler meist auf das deutlich verbreitetere Windows-Ökosystem konzentrieren.

Ein typischer Vertreter dieser Gattung von Nervsoftware ist „System Tool 2011“, eine Art Trojaner, der sogar als Drive-by-Download allein durch ungeschütztes Surfen im Internet seinen Weg auf die lokale Festplatte finden kann. Der aber auch von interessierten Nutzern oftmals gezielt runtergeladen und installiert wird.

Bis zu 100 Infektionen meldet das Tool bereits nach dem ersten Prüflauf. Allerdings existiert davon keine tatsächlich. Dafür wird man von System Tool rasch zum Bezahl-Dialog geführt, um die fiktiven Schädlinge sowie sein reales Geld loszuwerden. Mit ca. 50 $ für eine 24-Monatslizenz ist man dabei.

Richtig dreist wird die Scareware, wenn sie zur „Ransomware“  (ransom: Lösegeld) mutiert und Teile der Datenbestände des Benutzers löscht, verschlüsselt oder auf andere Art unbrauchbar macht – bis er diese durch Bezahlung einer Gebühr per Kreditkarte ins Ausland wieder auslöst.

Letztlich hilft da nur die Installation eines „richtigen“ Schutzprogramms gegen Schadsoftware aller Art. Es bringt i.d.R. Filter und Signaturen mit, die solche, auch PUPS („possibly unpopular software“) genannten Programme, erkennen und entfernen können.

Außerdem lohnt es sich, sich an die „12 Geboten der sicheren Computernutzung“ zu erinnern und nichts, das zum Ausprobieren aus dem Internet runtergeladen wurde, auf seinem Arbeits-PC zu installieren. Wer es sich gar nicht verkneifen kann, sollte hierfür einen isolierten Testrechner oder eine virtuelle Maschine innerhalb einer gesicherten Virtualisierungsumgebung verwenden.

Neues Hoeren-Skript zum Internet-Recht erschienen

IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster und Richter am Oberlandesgericht Düsseldorf, hat sein im Februar 2010 zuletzt erschienenes Skript zum Internet-Recht in überarbeiteter Fassung vorgelegt.

Da speziell das Recht im Internet sich ähnlich dynamisch entwickelt wie das Netz selbst, waren an etlichen Stellen Aktualisierungen nötig. Hoeren hat dazu Themen wie Internetzensur, Vorratsdatenspeicherung, das Thema De-Mail, die Verlängerung von urheberrechtlichen Schutzfristen für Leistungsschutzberechtigte, den Verbraucherschutz im Internet (z.B. neue Musterwiderrufsbelehrung für den Onlinehandel, Abofallen und Internetbetrug) sowie die Diskussion um ein zusätzliches Leistungsschutzrecht für Verleger überarbeitet oder neu aufgenommen. Aktualisiert wurden auch Bezüge zur BGH-Rechtsprechung und neuer relevanter Urteile.

Ebenfalls wurden mehrere Gesetzesvorhaben der laufenden Legislaturperiode, beispielsweise die Novellierungen zum Bundesdatenschutzgesetz, zur Internetzensur oder dem Arbeitnehmerdatenschutz integriert.

Auch die neue Fassung steht auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Uni Münster kostenlos zum Download bereit (PDF, 3,8 MB).

Stuxnet – Wenn die Schadsoftware zum Politikum wird

IT-Sicherheit gewinnt als Thema zunehmend auch an politischer Bedeutung. Zwar gibt es im Rahmen von e-Government-Initiativen oder beim Thema Schutz kritischer Infrastrukturen bereits seit längerem Schnittstellen zwischen IT-Sicherheit und staatlicher Tätigkeit. Und dass Schadsoftware als Waffe in Strategien informationeller Kriegsführung gilt, wird auch bereits seit längerem im militärischen Schrifttum diskutiert. Zumal speziell Hacker aus dem chinesischen und russischem Raum immer mal wieder ungefragt die Güte der Sicherheitsmaßnahmen interessanter Regierungs-IT in westlichen Staaten antesten.

Aber dass ein Computervirus es bis auf die diplomatische Ebene schafft, das gab es bisher noch nicht.  Stuxnet schaffte das in den letzten Tagen. Stuxnet ist ein Virus, der es vor allem auf Prozessleittechnik von Siemens abgesehen hat, wie sie in Fabriken, Kraftwerken u.ä. eingesetzt wird und der sich vor allem im sonnigen Klima des Irans und in Indien wohlzufühlen scheint, wie das bisherige Verbreitungsschema zeigt.

Analysen des Stuxnet-Codes brachten Erstaunliches zutage. Die Programmierer der Software hatten offenbar sehr gute Kenntnisse in spezifischer Siemens-Technologie. Etwas das nicht unbedingt zum Standard-Repertoire von Schadsoftware-Autoren gehört. Zudem verbauten sie darin mehrere noch unbekannte Ansätze zum Ausnutzen von Sicherheitslücken (zero day exploits). Solche Exploits sind rar und daher auch sehr wertvoll. Sie können am Datenschwarzmarkt durchaus 5-6stellige Summen pro Stück einbringen. Wer immer Stuxnet gebaut hatte  – er war bereit viel Geld dafür aufzuwenden (durch Kauf oder den Verzicht auf den Verkauf der Exploits). Die Stuxnet-Schöpfer haben anscheinend bereits länger an der Schadsoftware gearbeitet und dabei exklusives Wissen genutzt.

Die Sicherheitsfirma Kaspersky Lab erklärte, es handele sich um einen bisher einzigartigen und sehr ausgefeilten Malware-Angriff, der mit fundiertem Wissen um die Industrieanlagensteuerung mit SCADA-Technologie (Supervisory Control and Data Acquisition) durchgeführt wurde. Kaspersky geht deshalb davon aus, dass es sich um einen staatlich unterstützten Angriff handelt.

„Das Verhaltensmuster von Stuxnet deutet darauf hin, dass der Virus offenbar nur in Anlagen mit einer speziellen Konfiguration aktiv wird“, so ein Sprecher von Siemens. Handelt es sich also um einen gezielten Akt von Cyber-Terrorismus, ausgehend von einem Geheimdienst oder einer militärischen Einrichtung? Diese Ansicht wird jedenfalls von der iranischen Regierung vertreten, die sich einer sich rasch ausbreitenden Virenplage auf einer inzwischen fünfstelligen Anzahl Rechnern gegenübersieht. Und zwar nicht auf den Chatbooks burkatragender Facebook-Nutzerinnen sondern auf für das Land wichtigen Prozessrechnern bis hin zur Atomanlage in Buschehr. Vertreter der iranischen Atomenergiebehörde arbeiten daran, den Wurm wieder aus den Rechnern zu entfernen.

Der Beauftragte für Informationstechnologie im iranischen Industrieministerium, Mahmud Liaji äußerte gegenüber der Presse, dass Stuxnet vor allem von Siemens entwickelte Kontrollsysteme angegriffen habe. Demnach knackt Stuxnet Systeme, die Industrieanlagen, Kraftwerke und auch Ölpipelines und -plattformen steuern, und liefert deren Informationen an noch unbekannte externe Empfänger weiter.

Stuxnet scheint demnach eher aufs Spionieren denn aufs Sabotieren ausgelegt worden zu sein. Gut möglich, dass sich da eine ernstzunehmende diplomatische Krise anbahnt. Zumal die iranische Führung aufgrund des weltweiten Drucks auf ihr Atomprogramm ohnehin etwas zur Paranoia neigt.

Noch offen ist, woher Stuxnet kam und wer ihn entwickelt hat. Klassische Motive zum Bau von Schadsoftware wie Internetbetrug, Spamverteilung oder Datendiebstahl zu kommerziellen Zwecken waren offensichtlich nicht Ziel der Entwickler. Und so vermuten auch Experten von Kaspersky, dass Stuxnet der Auftakt zu einem neuen Zeitalter ist: Die Zeit des Cyberterrorismus, der Cyberwaffen und der Cyberkriege, wie es Eugene Kaspersky, Chef und Mitgründer des Unternehmens formulierte. Kaspersky Lab geht daher davon aus, dass Stuxnet ein Prototyp künftiger Cyberwaffen sein könnte und ein inforationelles Wettrüsten in Gang setzen wird.

Ein Wettrüsten, das die Anbieter von IT-Sicherheitslösungen sowie Methoden zu deren Überwindung oder Umgehung zu den Waffenschmieden der informationellen Kriegsführung machen könnte.

Und so fordert General Michael Hayden, ehemaliger Direktor der Geheimdienste CIA und National Security Agency (NSA) bereits eine Ächtung des Cyber-Kriegs. Wahrscheinlich mehr als nur gut informiert darüber, was in den Waffenkammern und Laboren der Welt dazu entwickelt wird. Und wohl wissend, wie locker die US-Regierung sich Waffenächtungen (z.B. der von Landminen oder Streumunition) gegenüber sonst so verhält.

Clickjacking – der entführte Mausklick

Eine (nicht mehr ganz so) neue Angriffsmethode auf die Daten argloser Internetnutzer hinterlässt zunehmend Spuren in der Fachpresse: das Clickjacking.

Beim Clickjacking werden durch manipulierte Codeteile in Webseiten deren Nutzer dazu gebracht, durch Mausklicks Aktionen vorzunehmen, die tatsächlich zu ganz anderen Auswirkungen führen können, als es erwartet und angezeigt wurde.

Ein vereinfachtes Beispiel: Ein Nutzer klickt auf einen „Gefällt mir“-Button auf irgendeiner Webseite. Die erwartete Funktion besteht darin, dass nun die Webseite im Nachrichtenfluss der  Facebook-Freunde dieses Nutzers erscheint. Tatsächlich hat er aber in einem (optisch unsichtbar gemachten) Menü einen Link mit der Funktion „Webcam meines Rechners für den Zugriff von außen freischalten“, „Inhalt meines Mailadressbuchs an Adresssammelserver X schicken“ oder gar „Schadsoftware X im Hintergrund runterladen und installieren“ angeklickt.

Alles so vorbereitet und automatisiert dass es der Nutzer nur noch abnicken, äh -klicken muss. Da nur wenige Nutzer dazu zu bewegen sind, das freiwillig zu tun, muss es ihnen unbemerkt untergeschoben werden. Dabei hilft das Clickjacking. Technisch ist es bereits seit längerem kein Problem mehr, Webseiten mit für den Leser unsichtbaren Komponenten „anzureichern“, die im Hintergrund Aktivitäten entfalten. Dazu zählen z.B. Zählpixel auf Nachrichtenseiten, mit deren Hilfe Verwertergesellschaften abschätzen können, wie hoch der Anteil des einzelnen Urhebers an einem zu verteilenden Tantiementopf ausfällt. Oder im Hintergrund unbemerkt aufgebaute Verbindungen zu Werbemittelservern, die abhängig von ihnen übermittelten statistischen Nutzerdaten bestimmte Werbebanner ausliefern.

Zum Teil werden diese Funktionen von aktivem Programmcode, sog. „Scripts“, bewerkstelligt, die der Browser mit der Webseite herunterlädt und dann beim Rendern der Daten auf dem lokalen Rechner ausführt.

Für geplante böswillige Manipulationen und Attacken auf Nutzer werden die Webseiten entweder gezielt dafür erstellt und die Links darauf in Spam-Mails oder per Social-Media verbreitet. Oder aber es werden bekannte Webseiten, z.B. Nachrichtenportale möglichst unbemerkt gehackt und der Schadcode in sie eingebaut. Ein besonders beliebtes Ziel für Clickjacking-Angriffe sind Social-Media-Plattformen wie Facebook, Twitter oder XING, da dort die Nutzer ständig und in Größenordnungen selbst erstellte Inhalte verbreiten können, die dann in den Browsern (und auf den Rechnern) anderer Nutzer landen.

Doch wie genau wird nun der Anwender dazu gebracht, eine für ihn nachteilige Aktivität auszulösen?

Immer wieder gern genommen werden dafür iFrames (inline frames). Das sind HTML-Codeelemente mit denen sich Inhalte anderer Quellen (z.B. die bereits erwähnten Schadcodefragmente) in Webseiten einfügen lassen. Das kann dann auch ein Javascript sein, dass mit einem anklickbaren aber unsichtbaren Bedienelement unbemerkt dem Mauszeiger folgt. Der Anwender wird also, egal ob er auf Ja, Nein, den Rand oder sonst einen Bereich klickt, immer den Angriff auslösen – daher der Name „Clickjacking“.

Der Ansatzpunkt für Schutz gegen Clickjacking besteht also darin, es nur vertrauenswürdigen Webseiten zu gestatten, aktive Inhalte wie Scripts auf den eigenen Rechner zu übertragen und dort zur Ausführung zu bringen. Dabei können browserspezifisch getroffene Sicherheitseinstellungen in aktuellen Webbrowsern helfen. Oder auch PlugIns wie NoScript für Firefox, dass es dem Nutzer erlaubt jeder Website genau „auf die Finger zu sehen“ von woher sie welche Inhalte bezieht und es ihr für jeden Inhalt und jede Quelle einzeln zu erlauben oder zu verbieten. Speziell NoScript wurde erst kürzlich um Filterfunktionen für unsichtbare Inhalte wie sie mit Clickjacking-Attacken einhergehen erweitert.

Allerdings hat diese Vorgehensweise auch zwei Nachteile:

1. Ein Großteil der Webseiten funktioniert ohne Scripts nicht oder zumindest nicht richtig. Man kommt also ohne Prüfungen im Einzelfall sowie überlegtem Wählen von Sicherheitseinstellungen nicht herum – je nachdem welche Seiten man regelmäßig benutzt und wie gut der Schutz sein soll.
2. Man muss wissen was man tut.

Deutlich weiter reichen die Möglichkeiten für Unternehmen, um ihre Arbeitsplatzrechner vor scriptbasierten Attacken zu schützen.

Zeitlich begrenzte Sitzungen: Webapplikationen, bei denen der User ständig eingeloggt bleiben kann – wie z.B. bei Facebook – sind sehr anfällig für Clickjacking-Attacken. Deshalb sollten Anwender in regelmäßigen Abständen bzw. nach einer gewissen Zeit der Inaktivität automatisch abgemeldet werden. Oft beenden Anwender auch ihre Sitzungen nicht durch Abmelden sondern durch Schließen des Browserfensters. Die Sitzung bleibt dann im Hintergrund noch offen und kann ggf. von Dritten unbemerkt übernommen werden (z.B. durch Session Hijacking).

Anti-Spam-Maßnahmen: Clickjacking beginnt damit, dass der User zum Aufrufen gefährlicher Webseiten verleitet wird. Das geschieht häufig über Spam-Mails mit darin enthaltenen Links. Werden die Müllmails durch einen wirksamen Spamschutz gefiltert, nimmt diese Bedrohung bereits deutlich ab.

Gefilterte Webzugriffe: Web-Filter am Proxy-Server eines Unternehmens können Schadcodeverteilseiten blockieren oder User zumindest davon abhalten, gefährliche Seiten zu besuchen, die vielleicht Clickjacking-Code beinhalten. Wahlweise können sie Schadcodefragmente zu erkennen versuchen (heuristischer Filter) oder rein sperrlistenbasiert den Zugriff auf bestimmte Seiten blocken. Beides arbeitet allerdings nicht wirklich zuverlässig. Weder erkennt die Heuristik alles, noch sind die Sperrlisten stets aktuell und vollständig.

Webapplikationen vor Clickjacking-Scripts schützen: Web Application Firewalls können den gesamten Inhalt einer Website nach verdächtigem Code durchforsten und machen es Angreifern so sehr schwer, seinen Schadcode auf der Webseite einzuschleusen. Die Schutzmaßnahme der Wahl für Seitenbetreiber, die um ihren Ruf fürchten, wenn ihnen Hacker Schadcode unterschieben, der dann an die Kunden des Unternehmens verteilt wird.

Webanwendungs-Formulare schützen: In Webseiten mit Foren, Kommentarfunktionen und anderen Möglichkeiten für Nutzereingaben können  Web Application Firewalls dafür sorgen, dass diese Eingaben nicht ungeprüft und ungefiltert in nachgelagerten Systemen verarbeitet und weiterverbreitet werden.

Erneut geht es also um ein Hase-und-Igel-Spiel zwischen Angriff und Abwehr.

Wache über deinen Laptop auf dass er nicht über dich wachet!

Laptops, Notebooks und Netbooks aktueller Baureihen haben meist eines gemeinsam: Die eingebaute Webcam, um das Gerät für Videochats und ähnliches einsetzen zu können.

Außerdem haben eigentlich alle programmierbaren Geräte, die man an ein Netzwerk hängt noch eine weitere Eigenschaft gemein: Man kann sie fernsteuern.

Nimmt man beides zusammen, so erhält man eine aus der Ferne steuerbare Videoüberwachung für unbedarfte Laptop-Nutzer.

Wie kürzlich bekannt wurde, wurde in Rheinland ein Mann festgenommen, der einen Trojaner entwickelt und an etwa 150 Leute verteilt hatte, mit dem sich die Videokamera eines damit infizierten Rechners aktivieren und so das nähere Umfeld des Rechners ausspähen ließ.  Er hatte die Spähsoftware über soziale Netzwerke an zahlreiche Schülerinnen verteilt, wohl um indiskrete Blicke unter deren Höschen einfangen zu können. Als man ihn festnahm fand man in seiner Wohnung u.a. einen Rechner, auf dem die Videofeeds aus zahlreichen Kinderzimmern einliefen. Ein mit Netzwerken vertrauter Profi war er wohl nicht, da die Ermittler ihn anhand seiner unverschleierten IP-Adresse leicht orten und zurückverfolgen konnten.

Entdeckt wurde das Ganze von IT-Berater Thomas Floß vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), der auch Vorträge zum Thema Datenselbstschutz an Schulen hält. Eltern hatten ihn um die forensische Untersuchung eines Rechners gebeten, bei dem ihnen ein eigenartiges Betriebsverhalten der Webcam aufgefallen war.

Der Datenschutzverband dazu in einer Pressemeldung:

Der Täter hatte zuvor den Messenger-Zugang eines Mitschülers geknackt und über dessen Profil alle Kontakte aus dessen Adressbuch angeschrieben. Den besonders hübschen Mädchen – ihre Bilder hatte er zuvor in Online-Communities geprüft – schickte er mit Absender des Mitschülers eine als Bildschirmschoner getarnte Schadsoftware. Die erlaubte ihm nicht nur, Bilder und andere Daten von den Rechnern herunter zu laden, sondern auch per Webcam jederzeit in die Zimmer der Mädchen zu sehen.

Ähnliches ist bereits in vergangenen Jahren geschehen. So wurde 2008 ein zypriotischer Hacker zu vier Jahren Haft verurteilt, nachdem er per Webcam-Trojaner junge Frauen über ihre Laptops ausgespäht und sie zudem mit indiskreten Fotos erpresst hatte (um so noch mehr Material zu erhalten). Ein ähnlich gelagerter Fall wurde dieses Jahr in den USA bekannt.

Und zum Jahresanfang 2010 kam heraus, dass in Pennsylvania ein Schulverband mit einer Spähsoftware präparierte Schul-Laptops für die Heimarbeit an Schüler ausgegeben und diese dann zur Ausspähung der Schüler in ihrer Freizeit genutzt hatte. Mit der Folge, dass aufgebrachte Eltern derzeit dabei sind, eine Sammelklage gegen den Schulverband auf den Weg zu bringen.

Daher gilt es insbesondere für die Nutzung mobiler Endgeräte einige Sicherheitsregeln zum Datenselbstschutz zu beachten, die Thomas Floß anhand des aktuellen Falles so zusammenfasst:

„Der nichts ahnende Mitschüler hatte ein zu simples Passwort gewählt, ermöglichte so den Zugang zu den ICQ-Adressen seiner Mitschülerinnen. Die wiederum hatten zu leichtfertig die vermeintlich vom Mitschüler kommende Datei geöffnet. So konnte sich der Trojaner auf den Rechnern breit machen. „Dass über Wochen niemand das Ausspähen bemerkt hat, liegt letztlich daran, dass zu wenig darauf geachtet wird, ob der Rechner noch arbeitet, während man selbst schon nicht mehr daran sitzt“, so Floß. Er empfiehlt allen Kids dringend, den Rechner auszuschalten, wenn er gerade nicht genutzt wird sowie regelmäßig aktualisierte
Virenscanner einzusetzen.

Informationeller Selbstschutz wird daher ein immer wichtigerer Teil der digitalen Alltagskompetenz.

Mailmüll – Das ungelöste Problem

Praktisch jeder, der E-Mail nutzt kenn das Phänomen: Mailmüll in Form unverlangt zugeschickter Mails, in denen versucht wird Pharmaprodukte, Kredite, Penisverlängerungen, sexuelle Dienstleistungen oder was auch immer zu verkaufen. In denen mal mehr, mal weniger geschickt versucht wird, den Leser zu Zahlungen zu verleiten. Oder ihn anderweitig zu übertölpeln. Dafür hat sich im Laufe der Zeit der Begriff „SPAM-Mail“ etabliert, obwohl es fachlich korrekt eher UBE (unsolicited bulk mail) bzw. UCE (unsolicited commercial mail) heißen müsste.

Nach fast jährlich neu vorgenommenen Untersuchungen von Maildiensteanbietern und Sicherheitsexperten macht SPAM inzwischen etwa 95-98% des weltweiten Gesamtaufkommens an E-Mail aus. Gemessen in dafür verbrauchtem Speicherplatz, Datenübertragungskapazitäten, Strom für damit unnütz befasste Rechner sowie verlorene Arbeitszeit kommen jedes Jahr aufs Neue dreistellige Milliardenschäden weltweit für die Handhabung von Mailmüll zusammen.

Dass der Einzelne von uns nicht täglich für jede Nutzmail 90 Müllmails aussortieren muss, liegt daran, dass Maildiensteanbieter heute leistungsfähige und hochentwickelte Filtersysteme einsetzen, die aus der trüben Klärbrühe in den Mailservern informationelles Trinkwasser machen.

Solche Filter analysieren jede Mail noch bevor sie dem Nutzer zugestellt wird, auf eine Vielzahl von Kriterien und geben dann eine Art gewichtete Schätzung ab. Wird dabei z.B. ein vorgegebener Punktwert überschritten ist es Müll, ansonsten eine einwandfreie E-Mail. Die Herausforderung besteht darin, möglichst alle Müllmails zu erkennen aber so gut wie keine gute Mail fälschlich als Müll auszusortieren (false positive). Allerdings gibt es hier wie auch beim Thema Schadsoftware einen Rüstungswettlauf, so dass es immer wieder vorkommt, dass neuartig konstruierte Müllmails trotzdem zugestellt werden bis die Filter seitens der Hersteller aktualisiert wurden und dann auch die neue Art Spam erkennen und filtern können.

Ein weiteres Mittel für die Betreiber von Maildiensten ist das automatisierte Führen von Sperrlisten auf denen Rechner erscheinen von denen aus Mailmüll verschickt wird. Von solchen Müllschleudern werden keine Mails angenommen und weiter verteilt.

Da das Filtern von anderer Leute Mail streng genommen einen Eingriff in das gesetzlich gut geschützte Telekommunikationsgeheimnis darstellt (§ 88 TKG, § 206 StGB), ist der Spam-Filter bei vielen Mailkontenbetreiber eine abschaltbare Option falls man darauf verzichten will (nicht zu empfehlen!). Oder die Spam-Mails werden nicht gelöscht sondern nur in ein spezielles Verzeichnis verschoben. Dort kann der Nutzer der Mailbox bei Bedarf nachsehen, ob nicht versehentlich etwas Nützliches falsch klassifiziert wurde und dort gelandet ist. Webmailanbieter wie z.B. GMX und Web.de arbeiten so.

Die zweite Verteidigungslinie ist oft das Mailprogramm selbst. Zumindest für Nutzer, die ihre Mails auf einen Rechner herunterladen, anstatt sie per Webbrowser zu lesen. In praktisch allen Mailprogrammen sind Spam-Filter eingebaut, die die heruntergeladenen Mails vorfiltern und Müllmails entweder löschen oder in ein separates Verzeichnis wegfiltern. Spam-Filter in Mailprogrammen arbeiten meistens nach einem Verfahren, das Fachleute als Bayes-Algorithmus bezeichnen. Es ist eine Art „lernendes System“, das aus vom Nutzer manuell klassifizierten E-Mails und deren Strukturen rasch lernt, Müllmails von guten Mails zu trennen. Gewissermaßen der „kleine Bruder“ der Filter in den großen Mailservern der Provider.

Doch wo kommen die Spam-Mails eigentlich her? Und wie wird damit Geld verdient?

Einen Bestand aus einer Million ungeprüfter Mailadressen am Datenschwarzmarkt zu erwerben, kostet nur wenige Hundert Euro. In einer ähnlichen Größenordnung liegt das Anmieten eines Botnetzes zum ferngesteuerten Aussenden der Mails. Und auch die Zahlungsabwicklung für solche „Graumarktgeschäfte“ kann so gestaltet werden, dass Ermittler sich äußerst schwer tun, den sprichwörtlichen „Fluss des Geldes“ zurückzuverfolgen.

Gelingt es einem Massenmailversender nur jeden zehntausendsten Empfänger z.B. Viagra vom chinesischen Schwarzmarkt für 50 € zu verkaufen, so hat er mit einer Aussendung 100 Verkäufe mit einem Ertrag von 5.000 € abzüglich der Kosten generiert. Da Spiel lässt sich durchaus wöchentlich mit wechselnden Adressbeständen wiederholen. Natürlich weitab von  jeder Regulierung und jeder Form von Verbraucherschutz, wie wir sie in Deutschland für Fernabsatzgeschäfte, neue Wettbewerbsformen oder die Geschäftsabwicklung im Internet sowie das Dokumentieren der Geschäfte in einer finanzamtsverträglichen Form kennen.

Auch Phishing (password fishing) ist nach wie vor eine beliebte Form des Trickbetrugs im Internet, die das ihre zum Müllmailaufkommen beiträgt. Beim Phishing werden Internetnutzer dazu verleitet, eine Webseite aufzurufen und dort z.B. Identifikations- und Transaktionsdaten für einen Bankkontenzugriff einzugeben. Beispielweise, in dem sie eine Mail erhalten, der entnommen werden kann, dass ihre Sparkasse etwas an ihrem Online-Banking-System umgestellt hätte und daher ein erneuter Login mit PIN, TAN und Bestätigung erforderlich sei, um das Bankkonto weiter nutzen zu können.

Das ist zwar Unsinn und die Banken warnen inzwischen regelmäßig ihre Kunden, dass sie grundsätzlich von sich aus keine Zugangsdaten per Mail abfragen. Aber es funktioniert immer wieder. Waren die Phishing-Mails vor Jahren noch an ihrer meist kruden Orthografie erkennbar, sind sie heute i.d.R. professionell getextet und layoutet und so von einer „offiziellen“ Mail eines Unternehmens kaum zu unterscheiden.

Neben Werbung und Trickbetrug wird mit Spam-Mails auch Schadsoftware verbreitet. Entweder in Form von Links auf präparierte Webseiten, die per Drive-by-Download eingebetteten Schadcode verteilen. Oder als Trojaner versteckt in Dateianhängen. So werden u.a. die bereits erwähnten Botnetze aufgebaut, um sie gegen Entgelt an Dritte vermieten zu können. Spätestens hier wird Spam vom lästigen Problem zur gefährlichen Bedrohung, um das sich auch Verantwortliche für die Informationssicherheit und den Datenschutz in Unternehmen zu kümmern haben.

In vielen Ländern ist das Versenden von Massenmails illegal. In den USA wurde 2007 ein spektakulärer Gerichtsfall ausgeurteilt, in dessen Verlauf ein Mailbetrüger für eine Reihe von Untaten zu einer langjährigen Gefängnisstrafe verurteilt wurde. Auch Bußgelder und Entschädigungsforderungen im Millionenbereich wurden bereits verhängt. Aber viele Länder haben auch schlicht wichtigere Probleme, als sich um Belästigung und Betrug an Ausländern im Internet zu kümmern.

Der Einzelne kann also nicht viel mehr tun als Spam-Filter zu nutzen und deren Filterverhalten hin und wieder zu kontrollieren. Unternehmen können die Müllabfuhr im Mailserver entweder selbst mit einem Kaufprodukt erledigen. Oder das Thema Mailabwicklung und Spam-Filterung ganz oder teilweise an Dienstleister abgeben.

Außerdem kann es sinnvoll sein, mehrere Mailadressen zu haben, von denen man manche „öffentlich sichtbar“ z.B. in ein Web-Impressum oder auf die Firmenhomepage setzt, von wo sie in der Regel rasch auch in den Datenbanken der Mailadresssammler gelangen. Während man andere Mailadressen nur für persönliche Kontakte oder zum Zusammenfassen der Mails anderer Konten verwendet und diese auch nur persönlich weitergibt.

Die Datenübertragungsprotokolle für das Internet, auf deren Technik auch der weltweite Mailverkehr beruht (SMTP – simple mail transfer protocol, DNS – domain name system), stammen aus den späten 70ern als Müllmails noch unbekannt waren, da schon die damals verfügbaren Bandbreiten das Versenden großer Mengen an E-Mail nicht zugelassen hätten. Es gibt neue Protokolle, welche es Spammer erschweren oder gar unmöglich machen würden, Müllmails zu versenden. Doch sie müssten eine bereits bestehende weltweite Infrastruktur ersetzen, um zu funktionieren. Ein Parallelbetrieb mehrerer zueinander inkompatibler Strukturen für E-Mail dürfte schon aus Kostengründen sowie fehlender Nutzerakzeptanz ausscheiden.

Auch die Idee für jede Mail eine Art „Porto“ von einem Cent zu erheben (ggf. erst ab der 50. oder 100. Mail pro Tag und Nutzer), um so das Versenden von Massenmails unattraktiv zu machen , konnte sich aufgrund abrechnungstechnischer Probleme und Akzeptanzprobleme bei den an Pauschaltarifen gewohnten Nutzern nicht durchsetzen.

Ein weiterer Ansatz wäre das in Deutschland vom Staat vorangetriebene Projekt DE-Mail, bei dem aber nicht die Kommunikation sondern das sichere gerichtsfeste Zustellen von elektronischen Einschreiben im Vordergrund steht. Da dazu jedoch absehbar teure, vom Benutzer zu bezahlende Infrastruktur (elektronische Signatur und Zertifikate, Smartcards, Kartenleser usw.) benötigt wird, während der Nutzen eher bei Unternehmen und Verwaltungen liegt, dürfte auch die DE-Mail das Müllmailproblem auf absehbare Zeit nicht lösen.

Wir werden also noch eine ganze Weile lang mit Spam leben müssen.