Klemmt bald ein Trojaner Tausende vom Internet ab?

Im November letzten Jahres konnte das amerikanische FBI einen großen Ermittlungserfolg verzeichnen. Im Rahmen der multinational koordinierten Operation „Ghost Click“ gelang es ein Bot-Netz mit ca. vier Millionen von zusammengeräuberten Rechnern verteilt auf ca. 100 Ländern durch Einnahme der C&C-Server in New York stillzulegen.

Über einen Trojaner namens „DNS-Changer“ wurden die Rückmeldungen aus DNS-Abfragen auf den betroffenen Rechnern so manipuliert, dass sie zu den C&C-Servern des Botnetzes statt auf reguläre DNS-Server führten. Im Code von DNS-Changer fand man u.a. eine IP-Adresse, die zum Netzwerk des estnischen Providers Esthost gehörte. Esthost ist ein Tochterunternehmen von Rove Digital. Unter den vom FBI im November verhafteten Personen befand sich auch eine Führungskraft von Rove Digital. Laut der IT-Sicherheitsfirma Trend Micro sei bereits 2008 bekannt gewesen, dass das Unternehmen diverse kriminelle Kunden habe. Man habe diese Informationen aber vor der Öffentlichkeit zurückgehalten, um die Arbeit der Ermittlungsbehörden nicht zu stören.

Die gut Hundert vom FBI in New York in einem Rechenzentrum sichergestellten Server wurden zunächst weiter betrieben, auch wenn keine Botnetz-Aktivitäten mehr darüber abgewickelt werden. Doch am 8. März sollen die noch verbliebenen Botnetz-Server endgültig vom Netz gehen. Damit den infizierten Bots dadurch mangels korrekter DNS-Serververbindung nicht dasselbe wiederfährt, wäre es für deren Besitzer inzwischen an der Zeit, zu klären ob sie mit „DNS-Changer“ infizierte Rechner haben oder nicht.

Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit der Telekom unter www.dns-ok.de eine Schnelltest-Website eingerichtet, mit der man prüfen kann, ob der eigene Rechner befallen ist oder nicht. Dabei wird keine Software gestartet oder heruntergeladen. Die Seite überprüft nur, ob der eigene Rechner über einen der DNS-Server des Bot-Netzes geleitet wird oder nicht.

Ist das aber der Fall werden die Dinge schwierig. Zwar können viele Antivirenprogramme wie z.B. der kostenlose DE-Cleaner des Anti-Botnet-Beratungszentrums den DNS-Changer deaktivieren. Da sich dieser Trojaner jedoch per Rootkit-Funktionen sehr tief im befallenen System verankert, kann er oftmals nicht mehr rückstandsfrei entsorgt werden. Die verbleibenden Schadcodereste stellen jedoch ein Sicherheitsrisiko dar, das man nur noch durch ein komplettes Neuinstallieren des betroffenen Systems wieder los wird.

Sind Polizeicomputer wirklich sicher?

Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.

Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.

Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.

Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.

Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.

Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.

Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.

Doch warum ist das so?

Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.

Cyber-War und Cyber-Abwehr

In den letzten Monaten nahm die medial gefühlte Aktivität von Hackergruppen weltweit zu. Allerdings sagen die Jahresberichte diverser mit Fragen der IT-Sicherheit befassten Institutionen ebenfalls seit Längerem solche Entwicklungen voraus. Das macht IT-Sicherheit zunehmend zu einem politischen Thema, so dass Staaten Institutionen aufbauen, die sich mit dem Schutz kritischer Infrastrukturen sowie möglichen Krisenreaktions- und Gefahrenabwehrstrategien befassen sollen.

Dazu zählt auch das in Deutschland von Bundesinnenminister Friedrich kürzlich eingeweihte Nationale Cyber-Abwehrzentrum (NCAZ), das bundesweit Informationen über IT-Sicherheitsvorfälle zu bewerten und abgestimmte Handlungsempfehlungen entwickeln soll und mit zunächst zehn Beschäftigten startet. Es wird vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit direkter Beteiligung des Bundesamtes für Verfassungsschutz (BfV) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Bundeskriminalamt (BKA), der Bundespolizei (BPol), dem Zollkriminalamt (ZKA), der Bundesnachrichtendienst (BND) sowie der Bundeswehr als assoziierte (zuarbeitende) Behörden gebildet.

Wobei die Bundeswehr bereits seit 2009 eine in der Tomburg-Kaserne in Rheinbach nahe Bonn stationierte Einheit „Informations- und Computernetzwerkoperationen“ unterhält, in der Soldaten für  digitale Angriffs- und Abwehroperationen vorbereitet werden. Sie wurden meist aus den Fachbereichen für Informatik an den Bundeswehruniversitäten rekrutiert und sollen der Armee operative Handlungsfähigkeit für kommende Internet-Konflikte geben, wie sie z.B. Estland bereits 2007 mit massiven dDOS-Attacken auf die Webserver öffentlicher Einrichtungen erlebte.

Hinzu kommt das CERTBw, eine Einheit die für die zentrale Überwachung der IT-Sicherheit der Bundeswehr zuständig ist und die ebenfalls mit etlichen anderen Behörden des zivilen Bereichs wie der Bundespolizei und dem BSI kooperiert. Zumindest informationstechnisch ist die Trennung zwischen Armee und Zivilsektor sowie die relative Inaktivität der Bundeswehr im Inneren längst Geschichte. Auch international haben sich die Streitkräfte bereits vor Jahren vernetzt und führen auch gemeinsame „Cyber-Manöver“ durch.

Kernaufgabe der nationalen Cyber-Abwehr soll der Schutz kritischer Infrastrukturen sein, also Dinge wie Energieversorgung, Finanzwesen, Verkehrsleittechnik, Flugverkehr, medizinische Versorgung usw., deren Beeinträchtigung durch informationstechnische Attacken schwerwiegende Folgen für die Bevölkerung haben kann.

Allerdings werden diese Aktivitäten durchaus auch kritisch gesehen. Macht- und Informationsbündelungen beim Staat haben selten positive Folgen – zu sehr locken Missbrauchsmöglichkeiten die stets nach Zugang zu Macht und Mitteln strebenden politischen Eliten. Und gerade die deutschen Innenminister der letzten fünfzehn Jahre haben bekanntlich mehr grundgesetzwidrige Vorhaben von echter Bedeutung losgetreten als alle, im jährlich erscheinenden Verfassungsschutzbericht genannten Organisationen zusammengenommen.

Wenn dann noch Dinge hinzukommen, wie die „Kriegserklärung“ der fast-schon-pleitegegangenen US-Regierung, die kürzlich ankündigte, auf Cyber-Attacken ggf. mit dem Einsatz konventioneller Waffen zu reagieren, trägt das nicht eben dazu bei, an Vernunft und Maß in den Köpfen ohnehin oft mit netzpolitischen Themen überforderter Politiker zu glauben. Sahen doch schon in den 80ern die Macher des Spielfilms „War-Games“ voraus, dass jugendlicher Spieltrieb und lose sitzendes Schießgerät in den Händen von Politikern und Militärs ohne wirksame öffentliche Kontrolle keine allzu gute Idee sind (im Film konnte der dritte Weltkrieg eben noch so verhindert werden).

Zumal es im Internet kaum verlässlich festzustellen ist, woher ein Angreifer kommt und ob er im Dienste eines Staates oder für private Klienten tätig ist. So wäre es z.B. für chinesische Hacker problemlos möglich, über Rechner in Russland in deutsche Rechenzentren einzudringen und darüber Ziele in den USA oder sonstwo anzugreifen (was auch häufiger geschieht). Für Abwehrkräfte wird es da schwierig, klar zu erkennen wer der Feind ist und von wo aus er womit angreift. Militärische Denkschemata kommen da rasch an ihr Ende.

So wie es inzwischen private Söldnerfirma gibt, die Armeen mit Soldaten aufstocken, deren Tod auf dem Schlachtfeld für die Politiker zuhause keine negativen Konsequenzen hat, so ist es wohl auch nur eine Frage der Zeit, bis private „Cyber-Söldner-Unternehmen“ von Hackern und Wirtschaftsspionen bedrohten Firmen informationstechnische Feuerkraft für verdeckte Operationen mit nicht immer ganz legaler Zielsetzung anbieten werden. Zumal wir ja auch in Deutschland bereits Datenmissbrauchsskandale wie z.B. 2008 bei der Telekom oder 2009 bei der Deutschen Bahn hatten, bei denen freidrehende interne Sicherheitsabteilungen eine gewichtige Rolle spielten.

Realweltlich beschäftigt sich die Cyber-Abwehr im öffentlichen Sektor aber mit gewöhnlicheren Problemen. So hat z.B. die Polizei, die bereits seit Jahren hart am Auf- und Ausbau ihrer IT-forensischen Aufklärung arbeitet, schlicht damit zu kämpfen, dass die benötigten IT-Spezialisten kaum sinnvoll in die öffentlich-rechtlichen Besoldungsschemata und Entgeltordnungen einzupassen sind. Denn deren Gehaltsansätze wurden lange Zeit nicht angemessen fortgeschrieben, so dass staatliche Institutionen auf Personalsuche immer häufiger von den Firmen überboten werden, von denen sie sich anschließend teure externe Berater einkaufen müssen, um ihre Projektteams aufzustocken. Ein Problem mit dem sich auch das neue Cyber-Abwehrzentrum bald herumschlagen dürfte.

Auch sich in der Asservatenkammer stapelnde, beschlagnahmte Festplatten aus Hausdurchsuchungen nach Kinderpornografie oder Urheberrechtsverletzungen durchzusehen, ist nicht unbedingt die Traumvorstellung eines Informatikers mit Hacker-Know-how, der vom Kampf gegen weltbedrohende Cyberkrieger träumt. Aber Drecksjobs und Tagesgeschäft gibt es eben überall.

Es bleibt also abzuwarten, wohin sich das Thema Cyber-Abwehr noch entwickelt. Festzuhalten bleibt, dass Deutschland mit seinem Cyber-Abwehrzentrum lediglich eine Entwicklung nachvollzieht, die in zahlreichen anderen Staaten bereits stattgefunden hat.

Landgericht Düsseldorf verurteilt dDOS-Angreifer zu Haftstrafe

Wer durch dDoS-Angriffe (distributed Denial of Service) kommerzielle Websites anderer Leute lahmlegt, macht sich damit nach § 303b StGB (Computersabotage) strafbar. Dies entschied das Landgericht Düsseldorf laut dem kürzlich veröffentlichten Urteil vom 22. März 2011 (Az.: 3 KLs 1/11).

Inhaltlich ging es um einen Fall von teilweise versuchter, teilweise tatsächlich erfolgter  Erpressung. Der Angeklagte hatte im Laufe des vergangenen Jahres mehrere Betreiber von Sportwettenportalen damit bedroht, ihre Webseiten lahmzulegen, wenn sie ihm nicht eine geforderte Summe bezahlen würden. Um seiner Forderung Nachdruck zu verleihen, griff er die Firmen mit einem Botnetz an, worauf einige bezahlten, andere wiederum nicht. Deren Websites griff er einige Tage später erneut an, was nach Ansicht der Betreiber zu massiven Störungen ihrer Geschäfte sowie einem sechsstelligen Umsatzausfall und beträchtlichen Reparatur- und Wiederanlaufkosten führte.

Die Art und Weise der Lösegeldzahlung über eine ausländische Zahlungsabwicklungsgesellschaft ermöglichte aufgrund günstiger Umstände eine Rückverfolgung bis zum Täter, so dass Ermittlungen zu einer Anklage und schließlich zu einer Verurteilung wegen gewerbsmäßiger Erpressung in Tateinheit mit Computersabotage in mehreren Fällen und damit zu einer Freiheitsstrafe von zwei Jahren und zehn Monaten Haft führten.

Bei der Entscheidung dürfte es sich um eines der ersten Urteile eines deutschen Gerichts zur strafrechtlichen Wertung von dDOS-Angriffen handeln. Hinsichtlich der juristischen Beurteilung dieser Attacken folgt das Gericht Überlegungen in der juristischen Literatur, in der diese Thematik bereits seit einiger Zeit diskutiert wird.

Unabhängig davon können die Geschädigten natürlich auch noch zivilrechtlich Schadensersatzansprüche geltend machen. Auf den Täter dürfte damit zusätzlich zu den bereits aufgelaufenen Verfahrenskosten des Strafprozesses noch eine höhere Rechnung sowie (mindestens) ein Zivilprozess zukommen.

Darüber sollten auch jene Leute nachdenken, die sich überlegen, ob sie an einer Art „Flashmob mit dDOS-Anteil im Internet“ teilnehmen wollen, indem sie sich Tools wie etwa die quelloffene Lasttest-Software „Low Orbit Ion Cannon (LOIC)“ herunterladen, mit der sich Freiwillige im sog. „Hive-Mode“ zu einer Art Botnetz zusammenschließen und ein Ziel im Internet gemeinsam per dDOS angreifen können. Da die LOIC nicht mal die IP-Adressen der Beteiligten verfälscht oder maskiert, ist deren Rückverfolgung durch die damit Angegriffenen sogar besonders einfach.

dDOS-Attacken zählen zu den einfacheren Hackerangriffen, da man sich die dafür erforderlichen Tools (i.W. leistungsstarke Botnetze) einfach mieten kann und deren Bedienung dann keinerlei tiefergehendes technisches Wissen über Schadsoftware, Exploits oder Netzwerkprotokolle mehr erfordert. Aber rechtlich ist damit inzwischen nicht mehr zu spaßen.

Erneuter Hackerangriff auf NPD-Websites

Hacker haben in den letzten Tagen etliche Websites der Nationaldemokratischen Partei Deutschlands (NPD) gehackt sowie sich Zugang zu parteiinternen Daten verschafft und diese veröffentlicht.

Die diversen Websites der NPD zählen zu den Lieblingszielen der hackenden Besucher des alljährlich zu Jahresende in Berlin stattfindenden Chaos Communication Congress. Fast jedes Jahr werden beträchtliche Mengen an Arbeitszeit der freischaffenden Sicherheitsexperten der NPD „gespendet“ um deren Systeme durch kreatives Penetration Testing u.ä. auf Sicherheitslücken durchzuprüfen. Daher sollten die NPD-Rechner inzwischen eigentlich zu den bestgeprüftesten und gehärtesten Parteiservern in Deutschland zählen.

Das dem wohl eher nicht so zu sein scheint, stellte kürzlich die Hackergruppe „No Name Crew“ unter Beweis. Sie drang in Dutzende Websites der NPD ein und konnte sogar parteiinterne Datenbanken kopieren und diese zusammen mit etlichen anderen NPD-Dokumenten auf ihrer eigenen Website zur gefälligen Begutachtung bereitstellen.

Besonders heikel: Die Hacker der „No Name Crew“ haben eine Liste von angeblichen NPD-Spendern veröffentlicht. Darin werden über 400 Personen mit Namen und Adresse aufgelistet, die der rechtsextremen Partei in einem allerdings nicht genannten Zeitraum Geld gespendet haben sollen.

Allerdings distanzierte sich die Hackergruppe von der Antifa und den Aktivisten der Gruppe „Anonymous“, nachdem zunächst vermutet wurde, dass die Angreifer aus dem Umfeld antifaschistisch geprägter Polithacker kommen würden. Publicity ist den Hackern der „No Name Crew“ jedoch gewiss – berichteten doch neben Insiderseiten wie Gulli.com auch u.a. Spiegel Online, die Sueddeutsche oder auch Welt Online über den NPD-Hack. „Ich weiß, dass ich mit meiner Aktion auf ein breites Interesse der Öffentlichkeit stoßen werde“, so der Anführer der Truppe, der sich selbst „Darkhammer“ nennt.

Und in der Tat: Der Hack dürfte die NPD wie der sprichwörtliche Hammer aus der Dunkelheit getroffen haben. Denn derzeit scheint der Provider der NPD („naweko – Agentur für Neue Medien“, eine Firma, die dem Landesvorsitzenden der NPD Saarland, Frank Lanz gehört) immer noch mit Schadensbegrenzung beschäftigt zu sein. Die Defacements der gehackten Seiten wurden vom Netz genommen und etliche der betroffenen NPD-Domains sind nicht mehr erreichbar. Ob die NPD sicherheitstechnisch nachbessert, werden wir wohl spätestens im Dezember erfahren, wenn der nächste Chaos Communication Congress stattfindet.

Allerdings weiß man bei allen Skandalen und Aufregerthemen, welche die NPD betreffen ja letztlich nie so genau, was davon auf die braune Truppe selbst zurückführbar ist und wo der Verfassungsschutz die Hände mit drin hatte. Zudem bleibt abzuwarten, ob die NPD Strafanzeige erstatten und staatsanwaltliche Ermittlungen in der Sache anstreben wird.

Kommt jetzt das Ende des Internetsperrengesetzes?

Gut gemeint ist im Ergebnis oftmals das Gegenteil von gut gemacht. Das musste auch die CDU und speziell deren ehemalige Bundesfamilienministerin „Zensursula“ von der Leyen erfahren. Diese wollte sich 2009 im Zuge des anstehenden Wahlkampfes mit einem Gesetz zur Bekämpfung der Kinderpornografie hervortun, ignorierte dabei aber jede Form von fachlichen Erkenntnissen hierzu und war sich sogar nicht zu schade, in der laufenden politischen Diskussion falsche Behauptungen und manipulierte oder bewusst falsch interpretierte Statistiken zu verbreiten.

Letztlich war der politische Druck so groß, dass die Regierung das Gesetz zwar in Kraft setzte, aber auf dessen Vollzug verzichtete. An sich ein sehr merkwürdiges Verfahren, da geltendes Recht nicht einfach per Verfügung außer Kraft gesetzt werden kann. Will man ein Gesetz nicht mehr, so muss man es auf dem gleichen Weg wieder abschaffen, auf dem man es in die Welt gesetzt hat: per Parlamentsbeschluss im Bundestag.

Das zumindest hat die Regierung vorgestern im Kabinett beschlossen. Das „Zensursula“-Gesetz ist damit möglicherweise bald Geschichte.

Ausschlaggebend war die an sich banale Erkenntnis, dass es effektiver ist, Kinderpornografie zu löschen anstatt nur den Zugriff darauf mit z.T. leicht zu umgehenden Filtern zu erschweren. Zumal sich die meisten Internet-Provider kooperativ zeigten und gemeldete Funde zügig von ihren Servern putzten. Schließlich ist Kinderpornografie fast weltweit illegal und daher leicht in den jeweils verwendeten vertraglichen Vereinbarungen mit Kunden so einzuordnen, dass die Provider sie ohne Bedenken hinsichtlich zu erwartender Klagen der Kunden löschen können.

Zumal etwa 80% der weltweit verbreiteten Kinderpornografie gar nicht über öffentlich zugängliche Websites angeboten wird. Stattdessen werden geschlossene Benutzergruppen, Chatrooms, Tauschbörsen und andere Formen des klandestinen Datenaustauschs genutzt, die einen hohen Grad an Anonymität gewährleisten und die mit einfachen Filtersystemen so gut wie gar nicht zu beeinträchtigen sind. Da ist schlicht gute alte Polizeiarbeit gefragt: fahnden, forschen, ermitteln, festnehmen, anklagen. Und inzwischen lese ich ja auch alle paar Monate, dass Polizeiermittler den einen oder anderen Kinderpornoring ausheben. Das sind dann auch größere Schläge gegen die „Szene“, die es ermöglichen Täter realweltlich zur Verantwortung zu ziehen und Bestände an kinderpornografischem Material endgültig zu vernichten (einschließlich aller Sicherheitskopien). Das ist allerdings auch eher unpopulär, unspektakulär und ungeeignet zur politischen Profilierung.

Andererseits ist der Regierung nahezu alles zuzutrauen. Gut möglich, dass das Thema Internetzensur über den Umweg EU wieder in den politischen Prozess eingebracht wird. Das geschah bereits in der Vergangenheit öfter, wenn es darum ging unpopulären Vorhaben den Weg zu ebnen, für die man auf demokratischem Wege keine Mehrheiten bekam oder für die niemand persönlich geradestehen wollte. Aktuelle Beispiele dafür sind die Ergebnisse der ACTA-Verhandlungen oder die „Censilia“-Debatte.

Und auch Bundesinnenminister Friedrich (CDU) dürfte aufgemerkt haben. Will er doch unter dem euphemistisch gewählten Begriff der „Mindestspeicherfrist“ die vom Bundesverfassungsgericht verworfene Vorratsdatenspeicherung wieder einführen. Da es ihm hierfür aber an Sachargumenten mangelt, fallen die entsprechenden Verlautbarungen regelmäßig eher pöbelnd und klagend aus.

Auch im Rest der CDU werden zunehmend Forderungen nach der Verlängerung und Verschärfung bürgerfeindlicher sog. „Antiterrorgesetze“ laut. Mit der Orientierung an der freiheitlich-demokratischen Grundordnung nehmen es solche Politiker meist nicht ernster als Teile der NPD (die wenigstens offen zu ihrer Kritik an der FDGO stehen).

Zumindest eine Erkenntnis ist bei eigentlich allen Parteien inzwischen angekommen: Netzpolitische Themen sind heikel und können nicht mehr einfach weggedrückt werden. Sie zu ignorieren kostet die etablierten Parteien bei Wahlen inzwischen regelmäßig die letzten paar Prozentpunkte, die für eine auskömmliche Positionierung bei Koalitionsverhandlungen benötigt werden. Und kleine, rein klientelistisch orientierte Parteien wie die FDP drohen gar ganz in der Versenkung zu verschwinden. Obwohl wir den Fall des Zensursula-Gesetztes mit Sabine Leutheusser-Schnarrenberger einer bürgerrechtlich profilierten FDP-Politikerin zu verdanken haben.

So gesehen haben z.B. die Piraten schon jetzt einen beträchtlichen Einfluss auf die Gestaltung der politischen Landschaft in Deutschland. Obwohl sie noch weit davon entfernt sind, eigene Abgeordnete in den Bundestag oder in Länderparlamente entsenden zu können.

Sicherheit in sozialen Netzwerken fördern – Das Social Network Security Portal

Soziale Netzwerke haben sich in den letzten Jahren zunehmend zu einem Massenphänomen entwickelt. Ihre Nutzerzahl sowie das in ihnen gelagerte und täglich neu hinzukommende Datenvolumen wachsen nahezu exponentiell. Menschen nutzen solche Dienste zunehmend, um damit ihr Leben zu organisieren, sich zu unterhalten, sich mit anderen auszutauschen oder gemeinsame Projekte zu planen.

Die so entstehenden Datenbestände sind nicht nur für die Betreiber dieser Systeme von  Interesse sondern auch für Dritte. Firmeninterna lassen sich so zusammenrecherchieren, die Abwerbung von Schlüsselpersonal vorbereiten, die Hobbys von Bewerbern und Geschäftspartnern ausspähen. Fälle von Cyberstalking, Cybermobbing oder sexueller Belästigung sind nicht nur aktenkundig sondern füllen bereits etliche Regalmeter in den Lagern der Ermittlungsbehörden.

Es „menschelt“ eben überall, wo Menschen einander begegnen.

Kürzlich riefen daher einige IT-Sicherheitsexperten die Seite socialnetworksecurity.org ins Leben. Sie wollen damit auf Sicherheitslücken in sozialen Netzwerken hinweisen und so Druck auf deren Betreiber ausüben. Bislang listen sie bereits 46 entdeckte Schwachstellen in 28 Netzwerkplattformen auf und weisen auch darauf hin, was bereits behoben wurde und was noch nicht.

Zudem gibt es Sicherheitstipps für Nutzer und Betreiber sozialer Netzwerke.

Es sind meist diese Sicherheitslücken und Schwachstellen, durch die Daten abfließen können. Dabei sind grundsätzlich zwei Arten von Lücken möglich.

Unzureichend, unüberlegt oder falsch gesetzte Einstellungen der Benutzer zum Schutz ihrer Daten.
Dagegen anzugehen erfordert entsprechende Handhabungskenntnisse der Nutzer sowie deren wohlüberlegte Nutzung auf den jeweiligen Plattformen. Aber auch Einstellmöglichkeiten, die sowohl übersichtlich und selbsterklärend als auch ausreichend und sicher sind. So hat z.B. Facebook mit seinen über den ganzen Account verteilten Einstelloptionen hat da noch viel Verbesserungspotential.

Schwachstellen, technische Defekte und Qualitätsmängel der Systemplattformen.
Soziale Netzwerke sind im Grunde genommen nichts anderes als webbasierte Server-Applikationen, die ihre Daten in Datenbanken ablegen. Sie lassen sich mit den gleichen Methoden angreifen wie Webanwendungen und Webserver generell. Beliebte Angriffsformen sind dabei immer wieder Code-Injection, Cross-Site Scripting (XSS) oder Cross-Site Request Forgery (CSRF).

Nutzer und Hacker können entdeckte Schwachstellen an die Betreiber von socialnetworksecurity.org (anonym wenn gewünscht) melden. Diese nehmen aber nur solche Schwachstellen an, für die ihnen
präzise Beschreibungen oder andere Nachweisformen des tatsächlichen und reproduzierbaren Bestehens mitgeschickt werden.

Allerdings haben sich Schwachstellen mittlerweile zu einem Wirtschaftsfaktor entwickelt, wie z.B. die ct‘ zuletzt in der Ausgabe 5/2011 unter dem Titel „Das Geschäft mit den Bugs“ berichtete. Man kann sie legal an Firmen wie Zero Day Initiative (ZDI) oder iDefense Security Intelligence Services verkaufen. Diese betreiben kostenpflichtige Informationsdienste für Softwareanbieter, in denen sie diese Schwachstellen z.T. mit ausführlichen Hinweisen zur Eindämmung darstellen. Andererseits werden gerade für „frische“ Schwachstellen (Zero Day Exploits) in verbreiteten Softwareprodukten und Systemen durchaus 5-6stellige Beträge auf Hackerschwarzmärkten im Cyber-Untergrund bezahlt.

Es bleibt abzuwarten, in wie weit Projekte wie socialnetworksecurity.org für mehr Sicherheitsbewusstsein bei den Entwicklern und Betreibern sozialer Netzwerke zu sorgen vermögen. Bzw. wo dies der Schwarzmarkthandel mit Exploits tun wird.

Das Arbeitnehmerdatennutzgesetz

Vor zwei Tagen nahm ich an einer Vortragsveranstaltung zum Thema Arbeitnehmerdatenschutz im DGB-Haus in München teil. Unter dem Motto „ArbeitnehmerDATENSCHUTZ – geht anders!“ stellte Rechtsanwalt Rüdiger Helm die rechtlichen Details des aktuellen Gesetzesentwurfs der Regierung zum Arbeitnehmerdatenschutz vor. Bereits in den letzten Monaten war dieser Entwurf Gegenstand zahlreicher Artikel in der informationstechnischen und rechtlichen Fachpresse und wurde mal mehr, mal weniger kritisch interpretiert. Auch der DGB ließ seine Rechtsabteilung in einer Form Stellung nehmen, die sich am ehesten als juristisch fundierter Totalverriss des Vorhabens zusammenfassen lässt.

Die wohl positivste Aussage, die man über den Gesetzesentwurf machen kann, besteht darin, dass aktuell datenschutzrelevante Themen wie Biometrie, Geoinformations- und Ortungsdienste, soziale Netzwerke, Videoüberwachung oder medizinische Tests an Arbeitnehmern überhaupt mal zum Gegenstand gesetzlicher Regelungen werden. Statt wie bisher in einer datenschutzrechtlichen Grauzone betrieben zu werden.

Bereits seit mehreren Legislaturperioden beinhaltete jeder Koalitionsvertrag auch eine Absichtserklärung zum Thema Arbeitnehmerdatenschutz. Und so findet man auch im Koalitionsvertrag der aktuellen CDU/CDSU/FDP-Regierung auf S. 106 diesen Absatz:

Privatheit ist der Kern persönlicher Freiheit. Wir setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam schützen. Es dürfen nur solche Daten verarbeitet werden, die für das Arbeitsverhältnis erforderlich sind. Datenverarbeitungen, die sich beispielsweise auf für das Arbeitsverhältnis nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante Gesundheitszustände beziehen, müssen zukünftig ausgeschlossen sein. Es sollen praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden. Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.

Inhaltlich ist das geplante Arbeitnehmerdatenschutzgesetz jedoch zum wirtschaftsliberalen Arbeitnehmerdatennutzgesetz geworden, dass deshalb auch bezeichnenderweise mit „Der Arbeitgeber darf …“ eingeleitet wird. Es ersetzt den bisherigen § 32 im BDSG durch eine neue Formulierung mit zwölf Unterabschnitten sowie Einzelanpassungen in einigen anderen Gesetzen.

Das grundlegende Problem mit dem jede Form von Regelung zum Thema Daten im Arbeitsverhältnis umzugehen hat, ist das potentielle Misstrauen der Arbeitnehmer und Arbeitgeber einander gegenüber zu Beginn des potentiellen Arbeitsverhältnisses. Fehlendes Vertrauen soll durch Offenlegung bestimmter Informationen vor dem Eingehen eines Arbeitsverhältnisses ersetzt werden – das Geschäftsmodell der Wirtschaftsauskunfteien.  Dabei besteht jedoch ein beträchtliches Machtungleichgewicht. Während ein Bewerber bis kurz vor Abschluss des Arbeitsvertrages oft nicht mal über Elementarien wie Gehalt, Zusatzleistungen, Arbeitszeit, Urlaubsanspruch, Tarifbindung, Arbeitsumfeld, Chef und Kollegen, versprochene und tatsächliche Entwicklungschancen verbindlich aufgeklärt wird, hätten Unternehmen und Personaler gerne eine Offenlegung sämtlicher Details des Vorlebens aller Bewerber in einem Umfang, von der sonst Geheimdienste träumen.

Doch beginnen wir mit den fragwürdigen „Highlights“ des Gesetzesentwurfs:

§32c räumt dem Arbeitgeber erstmals ein Recht auf Nutzung von Daten zur Leistungs- und Verhaltenskontrolle ein. Er wird ergänzt durch § 32i, der stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrollen anhand von Telekommunikationsdaten ermöglicht. Damit könnten sämtliche Betriebsvereinbarungen zum Thema betriebliche IT-Systeme, die entsprechende Ausschlussklauseln enthalten, demnächst zur Diskussion gestellt werden. Die Wertigkeit des § 87.6 BetrVG, auf den sich Betriebsräte diesbezüglich meist stützen und mit dem sich eine Leistungs- und Verhaltenskontrolle praktisch ausschließen lässt, dürfte deutlich abnehmen. Damit wird ein Eckpfeiler der betrieblichen Mitbestimmung in Frage gestellt.

§32d räumt den Unternehmen eine Recht zur Massendatenverarbeitung zum Zwecke der „Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen“ ein. Mit ihm werden die diversen Datenskandale der letzten Jahre künftig legalisiert.  Gleichzeitig erhalten private Unternehmen so Befugnisse, die derzeit Ermittlungsbehörden und Staatsanwaltschaften vorbehalten sind. Ein besonderes Augenmerk hat dabei der Begriff der „schwerwiegenden Pflichtverletzung“ verdient. Er taucht häufiger im Gesetzestext auf und bedeutet mangels Inhalt das, was Arbeitgeber und Rechtsprechung im Laufe der Zeit daraus machen werden. Der Rechtsprechung zu Bagatellkündigungen kann man entnehmen, dass bereits der Verzehr von zum Wegwerfen bestimmten Nahrungsmitteln des Arbeitgebers eine solche „schwerwiegenden Pflichtverletzung“ darstellen kann.

Überhaupt ist der ganze Text gespickt mit unbestimmten Rechtsbegriffen wie „berechtigten“ oder „schutzwürdigen“ Interessen, „zulässigen“, „erforderlichen“, „geeigneten“ oder „verhältnismäßigen“ Dingen, „betrieblichen Gründen“, „tatsächlichen Anhaltspunkten“ sowie den bereits erwähnten „schwerwiegenden Pflichtverletzungen“. Das liest sich fluffig und sagt so gut wie nichts aus. Im Zweifel ist es somit den Entscheidern in den Unternehmen, ihren Rechtsabteilungen und Anwälten sowie den Gerichten überlassen, konkretere Bedeutungen in den Text hineinzulesen und herauszuurteilen. Eine Sprache, die an die Auswirkungen ausgiebigen THC-Konsums erinnert.

Auch in den weiteren Paragraphen lassen sich ähnliche Dinge finden, so z.B. die Pflicht für Beschäftigte an ärztlichen Untersuchungen und Eignungstests teilzunehmen (§ 32c) oder der erlaubte Einsatz von Ortungssystemen zur Koordinierung des Einsatzes der Beschäftigten (§ 32g).

Regierungen hatten in der Vergangenheit im Bereich des öffentlichen Rechts, welches die Beziehungen zwischen Staat und Bürger regelt, bereits häufiger versucht, ihre gesetzlichen Zugriffsmöglichkeiten auf Informationen über die Bevölkerung immer weiter auszudehnen. In Folge kam es auch etliche Male zu Urteilen des Bundesverfassungsgerichtes, dass ihnen dann Grenzen hinsichtlich der Zweckbindung, der Verhältnismäßigkeit, der Transparenz sowie der Sicherheit staatlicher Datensammelei setzte und dabei stets auch Normenklarheit forderte. So manches bewusst unklar formulierte Gesetz wanderte dann in den Shredder oder musste nachgebessert werden. Doch Bundestagsabgeordnete besitzen anscheinend leider oftmals den Intellekt und das Lernvermögen von Stubenfliegen, so dass es immer wieder zu solchen Gesetzen kommt.

Zumal dem Verfassen verfassungswidriger Gesetze seitens des Verfassungsschutzes weniger Aufmerksamkeit zufließt als dem Publizieren grundgesetzlich fragwürdiger Parteiprogramme. Zumindest fehlen in den jährlichen Verfassungsschutzberichten regelmäßig die Seiten über beobachtete Aktivitäten von Regierungsparteien, deren Abgeordnete häufiger grundgesetzwidrige Gesetze verfassen und beschließen.

In wie weit jedenfalls an Gesetze die das Verhältnis von Bürgern  und Unternehmen ähnliche Qualitätsansprüche anzulegen sind, wie an das Verhältnis zwischen Bürgern und Staat, wäre sicherlich eine interessante Rechtsfrage. Daher sehen Juristen wie z.B. Referent Helm durchaus Ansatzpunkte für Verfassungsklagen, sollte dieses Gesetz so in Kraft treten.

Zumal man auch ohne juristischen Sachverstand rasch erkennen kann, dass der Anspruch auf Verwirklichung der eigenen Persönlichkeit (Art 2 GG) mit einer solchen Rahmensetzung für betriebliches Datensammeln zur Hohlphrase verkommt.

Welche Formen des Widerstandes gegen das wirtschaftsliberale Arbeitnehmerdatennutzgesetz wären auf welcher Ebene denkbar?
•    Betrieblich Ebene: Abschluss entsprechend restriktiver Betriebsvereinbarungen sowie Information und Aufklärung der Beschäftigten im Rahmen von Betriebsversammlungen und Betriebsratspublikationen.
•    Arbeitsrechtliche Ebene: Klagen, die auf die Auslegung der zahlreichen unbestimmten Rechtsbegriffe abzielen.
•    Politische Ebene: Die bereits erwähnten Verfassungsklagen. Sowie Unterstützung von Organisationen sowie Mitarbeit bei Initiativen, die sich gegen Gesetze dieser Art einsetzen (Piratenpartei, Arbeitskreis Vorratsdatenspeicherung, Chaos Computer Club, Deutsche Vereinigung für Datenschutz, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, AK Elena beim DGB München …).

Bezüglich des Arbeitnehmerdatennutzgesetzes halte ich es mit Sarah Palin: „Don’t retreat – reload!“ (nicht zurückziehen – nachladen!)

Herausforderung Cloud-Computing

Cloud Computing, also das Auslagern von Daten und IT-Diensten in die Rechenzentren von IT-Dienstleistern, gewinnt immer mehr an medialer Popularität. Dabei stößt man jedoch rasch auf etliche Probleme, wenn das Thema tatsächlich im Unternehmen umgesetzt werden soll. Denn den oftmals erhofften Einsparungen an IT-Kosten stehen beträchtliche Mehraufwände im Bereich Datenschutz und Informationssicherheit gegenüber. Hinzu kommen bislang noch ungelöste Compliance-Risiken. Dies hat die Gesellschaft für Informatik kürzlich in einem Thesenpapier verdeutlicht, dass diese Herausforderungen in den Bereichen Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance aus technischer und juristischer Sicht beschreiben thematisiert.

Außerhalb ihrer Standorte können Unternehmen ihre Vorstellungen von Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit meist nicht durchsetzen. Man muss sich schon darauf verlassen, wie weit Verträge, Service-Level-Agreements (SLAs) mit Cloud-Betreibern und deren Subunternehmern im Problemfall wirklich reichen.

Dies – sowie etliche noch offene rechtliche Fragen – führt dazu, dass viele Firmen der Cloud-Technologie eher zurückhaltend begegnen und eher zu Etablierung einer „private cloud“, also einem unternehmensinternen Angebot neigen. So können unternehmensinterne Policies, Vorgaben und Strategien leicht übertragen werden. Das aber ist dann letztlich wieder nur eine weitere technologische Spielwiese der internen IT. Ob dadurch die oft als Pro-Argument aufgeführten Rationalisierungs- und Konsolidierungseffekte erzielt werden können, dürfte fraglich sein.

Will ein Unternehmen jedoch echtes Outsourcing per Cloud Computing betreiben, sollte es sich der Tatsache gewahr werden, dass zwar die Technik und das dazugehörige Personal ausgelagert werden kann. Dass aber die Probleme in Form von Haftungsfragen, Risikoerwägungen, Compliance-Auflagen oder sonstigen, meist rechtlichen Fallstricken im Haus bleiben. Man kommt als Entscheider den Anforderungen seiner Umwelt eben nicht einfach durch das Fremdvergeben eines Auftrags aus.

Dabei beginnen die Probleme oftmals bereits mit der scheinbar simplen Frage, wie sensible Daten zum Cloud-Betreiber hin und von dort wieder zurück ins Kundenunternehmen kommen. Werden dafür öffentliche Netze genutzt, sind Fragen nach hohen und sicheren Verschlüsselungsstandards, Zugriffsrechten, Identity Management und Netzverfügbarkeit zu klären. Oft ist eine echte Ende-zu-Ende-Verschlüsselung auch gar nicht machbar, wenn z.B. Daten Verarbeitungszwischenschritte beim Cloud-Betreiber durchlaufen sollen.

Auch gilt es zu beachten, dass der aktuelle Stand der Technik bei Virtualisierung, Lastausgleich, geografischer Verteilung, Sicherungs- und Sicherheitsmaßnahmen sowie der Datenübertragung über Netzwerke generell nicht unbedingt als sicher und fehlerfrei angesehen werden kann. Es können sich darin kritische, für Dritte gut ausnutzbare Sicherheitslücken befinden. Für Auftraggeber ist das nicht immer nachvollziehbar – wollen sie solche „technischen Probleme“ ja gerade deswegen auslagern, da es ihnen oft am Know-how und den Kapazitäten fehlt, so etwas selbst beurteilen und lösen zu können. Und das obwohl z.B. die datenschutzrechtlichen Auflagen zum Thema Auftragsverarbeitung (§ 11 BDSG) dies explizit dem Auftraggeber als Pflicht bei der laufenden Kontrolle seines Auftragnehmers abfordern.

Ausgelagerte geografisch verteilte, sich u.U. im Ausland befindliche Cloud-Rechenzentren Dritter machen es für den Auftraggeber äußerst schwierig, bei eingetretenen Sicherheitsvorfällen selbst forensische Untersuchungen anzustellen, bei sicherheitstechnischen Analysen zu substanziellen Ergebnissen zu gelangen oder den Auskunftspflichten gegenüber ermittelnden Behörden und Staatsanwaltschaften zeitnah nachkommen zu können. Diese schlicht auf den Dienstleister zu verweisen, dürfte in den seltensten Fällen akzeptiert werden, da die Verantwortung rechtlich beim Auftraggeber geblieben ist und nicht mit in die Cloud abgeschoben werden kann.

Und selbst wenn es Ermittlungsbehörden gelänge, auf die Systeme des Cloud-Betreibers zuzugreifen bzw. Beschlagnahmungen durchzuführen, dürfte dabei der auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud-Betrieb empfindlich gestört werden (Schadensersatzansprüche Dritter!). Auch dürften eventuell gewonnene und potentiell manipulierte Abzüge der Daten aus der Cloud nur verminderten Beweiswert vor Gericht haben. Wobei es zu diesem Problem noch kaum Rechtsprechung gibt, deutsche Gerichte aber in solchen Fragen als sehr konservativ gelten.

Bei unternehmenskritischen Fragen auf die Dienste Dritter zurückzugreifen, bedeutet das Eingehen von Abhängigkeitsverhältnissen. Ein Stück weit ist das unumgänglich, wenn man sich die Vorteile des globalen und verteilten arbeitsteiligen Wirtschaftens zunutze machen will. Es kann aber auch bedeuten, dass die eigenen IT-Systeme zum Stehen kommen, wenn der Cloud-Betreiber über Nacht in die Insolvenz geht und abgeschaltet wird. Cloud-Verträge müssen daher stets auch Regeln enthalten, wie in solchen Fällen rasch zu einem anderen Dienstleister oder zurück in eine (dann noch existente?) interne IT gewechselt werden kann. Je komplexer die ausgelagerten IT-Systeme sind, desto anspruchsvoller ist so ein Rückwechsel-Vorhaben. Rasch kann da ein sog. „Vendor-lock-in“, d.h. eine existenzielle und kurzfristig nicht überwindbare Abhängigkeit von einem Anbieter eintreten. Auch ist bei genauerem Hinsehen längst nicht alles, was vertraglich vereinbart wurde, auch technisch umsetzbar (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).

Öffentliche Clouds können bei entsprechender Nutzung durchaus den Charakter kritischer Infrastrukturen annehmen, sofern sie allgemein und weitverbreitet verwendet werden. Dadurch werden schließlich sogar kartellrechtliche Aspekte wie die „Essential-facilities-Doktrin“ tangiert, welche die wenigsten IT-Entscheider mit auf dem Radar haben dürften.

Und so kommt die Gesellschaft für Informatik auch völlig zutreffenderweise zu dem Schluss, dass sich beim Cloud Computing stark erhöhte Anforderungen an die Absicherung unternehmenseigener und auch privater Datenverarbeitung ergeben werden. Und zwar hinsichtlich Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung Berechtigter) und Verfügbarkeit der verarbeiteten Daten sowie der genutzten IT-Systeme. Hinzu kommen auch stark erhöhte Anforderungen an die rechtliche Absicherung (Compliance).

Mailmüll – Das ungelöste Problem

Praktisch jeder, der E-Mail nutzt kenn das Phänomen: Mailmüll in Form unverlangt zugeschickter Mails, in denen versucht wird Pharmaprodukte, Kredite, Penisverlängerungen, sexuelle Dienstleistungen oder was auch immer zu verkaufen. In denen mal mehr, mal weniger geschickt versucht wird, den Leser zu Zahlungen zu verleiten. Oder ihn anderweitig zu übertölpeln. Dafür hat sich im Laufe der Zeit der Begriff „SPAM-Mail“ etabliert, obwohl es fachlich korrekt eher UBE (unsolicited bulk mail) bzw. UCE (unsolicited commercial mail) heißen müsste.

Nach fast jährlich neu vorgenommenen Untersuchungen von Maildiensteanbietern und Sicherheitsexperten macht SPAM inzwischen etwa 95-98% des weltweiten Gesamtaufkommens an E-Mail aus. Gemessen in dafür verbrauchtem Speicherplatz, Datenübertragungskapazitäten, Strom für damit unnütz befasste Rechner sowie verlorene Arbeitszeit kommen jedes Jahr aufs Neue dreistellige Milliardenschäden weltweit für die Handhabung von Mailmüll zusammen.

Dass der Einzelne von uns nicht täglich für jede Nutzmail 90 Müllmails aussortieren muss, liegt daran, dass Maildiensteanbieter heute leistungsfähige und hochentwickelte Filtersysteme einsetzen, die aus der trüben Klärbrühe in den Mailservern informationelles Trinkwasser machen.

Solche Filter analysieren jede Mail noch bevor sie dem Nutzer zugestellt wird, auf eine Vielzahl von Kriterien und geben dann eine Art gewichtete Schätzung ab. Wird dabei z.B. ein vorgegebener Punktwert überschritten ist es Müll, ansonsten eine einwandfreie E-Mail. Die Herausforderung besteht darin, möglichst alle Müllmails zu erkennen aber so gut wie keine gute Mail fälschlich als Müll auszusortieren (false positive). Allerdings gibt es hier wie auch beim Thema Schadsoftware einen Rüstungswettlauf, so dass es immer wieder vorkommt, dass neuartig konstruierte Müllmails trotzdem zugestellt werden bis die Filter seitens der Hersteller aktualisiert wurden und dann auch die neue Art Spam erkennen und filtern können.

Ein weiteres Mittel für die Betreiber von Maildiensten ist das automatisierte Führen von Sperrlisten auf denen Rechner erscheinen von denen aus Mailmüll verschickt wird. Von solchen Müllschleudern werden keine Mails angenommen und weiter verteilt.

Da das Filtern von anderer Leute Mail streng genommen einen Eingriff in das gesetzlich gut geschützte Telekommunikationsgeheimnis darstellt (§ 88 TKG, § 206 StGB), ist der Spam-Filter bei vielen Mailkontenbetreiber eine abschaltbare Option falls man darauf verzichten will (nicht zu empfehlen!). Oder die Spam-Mails werden nicht gelöscht sondern nur in ein spezielles Verzeichnis verschoben. Dort kann der Nutzer der Mailbox bei Bedarf nachsehen, ob nicht versehentlich etwas Nützliches falsch klassifiziert wurde und dort gelandet ist. Webmailanbieter wie z.B. GMX und Web.de arbeiten so.

Die zweite Verteidigungslinie ist oft das Mailprogramm selbst. Zumindest für Nutzer, die ihre Mails auf einen Rechner herunterladen, anstatt sie per Webbrowser zu lesen. In praktisch allen Mailprogrammen sind Spam-Filter eingebaut, die die heruntergeladenen Mails vorfiltern und Müllmails entweder löschen oder in ein separates Verzeichnis wegfiltern. Spam-Filter in Mailprogrammen arbeiten meistens nach einem Verfahren, das Fachleute als Bayes-Algorithmus bezeichnen. Es ist eine Art „lernendes System“, das aus vom Nutzer manuell klassifizierten E-Mails und deren Strukturen rasch lernt, Müllmails von guten Mails zu trennen. Gewissermaßen der „kleine Bruder“ der Filter in den großen Mailservern der Provider.

Doch wo kommen die Spam-Mails eigentlich her? Und wie wird damit Geld verdient?

Einen Bestand aus einer Million ungeprüfter Mailadressen am Datenschwarzmarkt zu erwerben, kostet nur wenige Hundert Euro. In einer ähnlichen Größenordnung liegt das Anmieten eines Botnetzes zum ferngesteuerten Aussenden der Mails. Und auch die Zahlungsabwicklung für solche „Graumarktgeschäfte“ kann so gestaltet werden, dass Ermittler sich äußerst schwer tun, den sprichwörtlichen „Fluss des Geldes“ zurückzuverfolgen.

Gelingt es einem Massenmailversender nur jeden zehntausendsten Empfänger z.B. Viagra vom chinesischen Schwarzmarkt für 50 € zu verkaufen, so hat er mit einer Aussendung 100 Verkäufe mit einem Ertrag von 5.000 € abzüglich der Kosten generiert. Da Spiel lässt sich durchaus wöchentlich mit wechselnden Adressbeständen wiederholen. Natürlich weitab von  jeder Regulierung und jeder Form von Verbraucherschutz, wie wir sie in Deutschland für Fernabsatzgeschäfte, neue Wettbewerbsformen oder die Geschäftsabwicklung im Internet sowie das Dokumentieren der Geschäfte in einer finanzamtsverträglichen Form kennen.

Auch Phishing (password fishing) ist nach wie vor eine beliebte Form des Trickbetrugs im Internet, die das ihre zum Müllmailaufkommen beiträgt. Beim Phishing werden Internetnutzer dazu verleitet, eine Webseite aufzurufen und dort z.B. Identifikations- und Transaktionsdaten für einen Bankkontenzugriff einzugeben. Beispielweise, in dem sie eine Mail erhalten, der entnommen werden kann, dass ihre Sparkasse etwas an ihrem Online-Banking-System umgestellt hätte und daher ein erneuter Login mit PIN, TAN und Bestätigung erforderlich sei, um das Bankkonto weiter nutzen zu können.

Das ist zwar Unsinn und die Banken warnen inzwischen regelmäßig ihre Kunden, dass sie grundsätzlich von sich aus keine Zugangsdaten per Mail abfragen. Aber es funktioniert immer wieder. Waren die Phishing-Mails vor Jahren noch an ihrer meist kruden Orthografie erkennbar, sind sie heute i.d.R. professionell getextet und layoutet und so von einer „offiziellen“ Mail eines Unternehmens kaum zu unterscheiden.

Neben Werbung und Trickbetrug wird mit Spam-Mails auch Schadsoftware verbreitet. Entweder in Form von Links auf präparierte Webseiten, die per Drive-by-Download eingebetteten Schadcode verteilen. Oder als Trojaner versteckt in Dateianhängen. So werden u.a. die bereits erwähnten Botnetze aufgebaut, um sie gegen Entgelt an Dritte vermieten zu können. Spätestens hier wird Spam vom lästigen Problem zur gefährlichen Bedrohung, um das sich auch Verantwortliche für die Informationssicherheit und den Datenschutz in Unternehmen zu kümmern haben.

In vielen Ländern ist das Versenden von Massenmails illegal. In den USA wurde 2007 ein spektakulärer Gerichtsfall ausgeurteilt, in dessen Verlauf ein Mailbetrüger für eine Reihe von Untaten zu einer langjährigen Gefängnisstrafe verurteilt wurde. Auch Bußgelder und Entschädigungsforderungen im Millionenbereich wurden bereits verhängt. Aber viele Länder haben auch schlicht wichtigere Probleme, als sich um Belästigung und Betrug an Ausländern im Internet zu kümmern.

Der Einzelne kann also nicht viel mehr tun als Spam-Filter zu nutzen und deren Filterverhalten hin und wieder zu kontrollieren. Unternehmen können die Müllabfuhr im Mailserver entweder selbst mit einem Kaufprodukt erledigen. Oder das Thema Mailabwicklung und Spam-Filterung ganz oder teilweise an Dienstleister abgeben.

Außerdem kann es sinnvoll sein, mehrere Mailadressen zu haben, von denen man manche „öffentlich sichtbar“ z.B. in ein Web-Impressum oder auf die Firmenhomepage setzt, von wo sie in der Regel rasch auch in den Datenbanken der Mailadresssammler gelangen. Während man andere Mailadressen nur für persönliche Kontakte oder zum Zusammenfassen der Mails anderer Konten verwendet und diese auch nur persönlich weitergibt.

Die Datenübertragungsprotokolle für das Internet, auf deren Technik auch der weltweite Mailverkehr beruht (SMTP – simple mail transfer protocol, DNS – domain name system), stammen aus den späten 70ern als Müllmails noch unbekannt waren, da schon die damals verfügbaren Bandbreiten das Versenden großer Mengen an E-Mail nicht zugelassen hätten. Es gibt neue Protokolle, welche es Spammer erschweren oder gar unmöglich machen würden, Müllmails zu versenden. Doch sie müssten eine bereits bestehende weltweite Infrastruktur ersetzen, um zu funktionieren. Ein Parallelbetrieb mehrerer zueinander inkompatibler Strukturen für E-Mail dürfte schon aus Kostengründen sowie fehlender Nutzerakzeptanz ausscheiden.

Auch die Idee für jede Mail eine Art „Porto“ von einem Cent zu erheben (ggf. erst ab der 50. oder 100. Mail pro Tag und Nutzer), um so das Versenden von Massenmails unattraktiv zu machen , konnte sich aufgrund abrechnungstechnischer Probleme und Akzeptanzprobleme bei den an Pauschaltarifen gewohnten Nutzern nicht durchsetzen.

Ein weiterer Ansatz wäre das in Deutschland vom Staat vorangetriebene Projekt DE-Mail, bei dem aber nicht die Kommunikation sondern das sichere gerichtsfeste Zustellen von elektronischen Einschreiben im Vordergrund steht. Da dazu jedoch absehbar teure, vom Benutzer zu bezahlende Infrastruktur (elektronische Signatur und Zertifikate, Smartcards, Kartenleser usw.) benötigt wird, während der Nutzen eher bei Unternehmen und Verwaltungen liegt, dürfte auch die DE-Mail das Müllmailproblem auf absehbare Zeit nicht lösen.

Wir werden also noch eine ganze Weile lang mit Spam leben müssen.