Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Spam im September 2014



Das nigerianische Erbe erwartet Sie
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Spam und das Gesetz

26.05.2010   |   Ihr Kommentar

Darja Gudkova

In zahlreichen Ländern, darunter auch Russland, verstoßen Spam-E-Mails gegen das Gesetz. Daher stellt sich die Frage, warum in erster Linie mit technischen und nicht mit juristischen Mitteln gegen unerwünschte E-Mails vorgegangen wird? Dieser Hintergrundartikel beschäftigt sich mit den Anti-Spam-Gesetzen und deren Wirksamkeit in verschiedenen Ländern. Zudem werden Probleme aufgezeigt, die einer effektiveren Durchsetzung der Gesetze im Wege stehen.

Warum Spam gefährlich ist und man kaum etwas dagegen tun kann

Jeder Internet- und E-Mail-Nutzer weiß nur zu gut, was Spam ist. Kein Wunder, wenn man bedenkt, dass der E-Mail-Traffic derzeit zu mehr als 85 Prozent aus Spam-Mails besteht.

Spam ist die Quelle einer ganzen Reihe von Problemen. Eine genaue Einschätzung ist nicht möglich, aber man kann davon ausgehen, dass hohe finanzielle Verluste durch überflüssigen Traffic und durch Server-Überbelastung entstehen. Die Leidtragenden dabei sind die Provider und die lokalen Netzwerke von Organisationen und Unternehmen sowie infolge des zusätzlichen Arbeitsaufwands die Angestellten. Dies sind allerdings nur einige der Probleme, die auf das Konto unerwünschter Nachrichten gehen. Da Spam-Mails anonym verschickt werden, bilden sie ein ideales Werkzeug für Cyberkriminelle – sie eignen sich zur Verbreitung von Werbung illegaler oder gefälschter Waren, zur Verbreitung von pornografischer Inhalte und für verschiedene Betrügereien. Darüber hinaus wird mit Hilfe von Spam auch Schadcode verbreitet, wobei sich das jeweilige Schadprogramm entweder im Anhang der unerwünschten Nachricht oder auf einer Webseite befinden kann, auf die ein Link in der Spam-Mail verweist. Zudem nutzen auch Phisher häufig Spam, um die Anwender auf gefälschte Internetseiten zu locken, die eigens zum Datenklau erstellt wurden.

Alle E-Mail-Systeme, darunter auch die kostenlosen, verwenden Spam-Filter, ohne die es schlicht unmöglich wäre, die legitimen E-Mails aus der Schwemme unerwünschter Nachrichten herauszufinden. Allerdings besteht auch die Möglichkeit, alle Spam-Mails herauszufiltern, ohne dass die legitime Korrespondenz darunter leidet. Daher finden wir immer wieder in unseren Eingangsordnern Einladungen zu irgendwelchen Seminaren, aufdringliche Werbung für potenzsteigernde Mittel, Mitteilungen über den Gewinn astronomischer Summen in obskuren Lotterien und anderen elektronischen Müll.

Eine der größten Schwierigkeiten im Kampf gegen Spam besteht darin, dass Spam ein globales Phänomen ist. In der virtuellen Welt gibt es keine Staatsgrenzen, daher können Spammer problemlos im internationalen Maßstab agieren. Ein und dieselbe Spam-Mail kann im Posteingang eines kanadischen Users und gleichzeitig auf dem Rechner eines Anwenders in Australien landen. Eine auf Chinesisch verfasste unerwünschte Werbemitteilung kann mit Hilfe eines russischen Steuerungszentrums über infizierte Computer in Indien verschickt werden. Wo sich dabei der Spammer selbst aufhält, kann man nur raten.

Die Gesetze gegen Spam hingegen gelten nur innerhalb definierter territorialer Grenzen und sind meist nicht nur von Land zu Land, sondern manchmal auch innerhalb der Grenzen eines Landes unterschiedlich. Es kann vorkommen, dass gar keine derartigen Gesetze existieren. In dieser Situation ist es natürlich sehr schwer, die Kriminellen zur Verantwortung zu ziehen.

Polizeiliche Ermittlungen gestalten sich daher meist überaus schwierig, und den Versendern von Spam ist kaum eine Schuld nachzuweisen. Das ist allerdings nicht das einzige Problem. Eine weitere Schwierigkeit liegt in der Bewertung der Gefahr und des Schadens, der durch Spam verursacht wird. Viele Menschen, insbesondere in den zuständigen Behörden, sehen einfach kein wirkliches Problem darin, dass elektronische Adressen mit Unmengen unerwünschter Mitteilungen überschwemmt werden. Daher wird dem Kampf gegen Spam weniger Aufmerksamkeit entgegengebracht als anderen. Internetbetrügereien.

Chronologie der Anti-Spam-Gesetzgebung

In den 1980er Jahren wurden die ersten gesetzlichen Richtlinien geschaffen, die die Aktivität im Internet regeln sollten. Ein Jahrzehnt später wurde allmählich eine internationale rechtliche Grundlage entwickelt. Die meisten Gesetze wurden allerdings erst Ende der 1990er, Anfang der 2000er Jahre verabschiedet. Das bedeutet aber nicht, dass bis dahin alle Verbrechen, die über das Internet verübt wurden, straffrei blieben – die meisten fielen unter die bereits existierenden Gesetze. Doch mit dem technischen Fortschritt und der allgemeinen Verbreitung des Internets wurde die genauere Definition von Cyberbetrugsmethoden unabdingbar.

Am 8. Juni 2000 erschien die Richtlinie 2000/31/EG des Europäischen Parlaments und des Europarats über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr" – „E-Commerce-Richtlinie"). In dieser Richtlinie wird der Prozess eines Kaufabschlusses über das Internet genau beschrieben.

Am 23. Dezember 2001 erschien die Konvention des Europarats gegen Cyberkriminalität. Bisher haben 46 Staaten die Konvention unterzeichnet, von denen 24 das Dokument ratifiziert haben. Die Konvention schreibt die Schaffung von Gesetzen und anderen erforderlichen Maßnahmen zur Unterbindung von Cyberkriminalität vor. Die Konvention streift ein breites Spektrum von Cyberverbrechen, wie etwa den ungesetzlichen Zugriff auf persönliche Daten, Computerbetrug, die Verbreitung von Kinderpornografie über das Internet sowie die Verletzung von Autorenrechten. Leider gehören China, Russland und einige lateinamerikanische Staaten – die größten Quellen von Spam und Schadcode – nicht zu den Unterzeichnern dieses Dokuments.

Am 12. Juli 2002 erschien die Richtlinie 2002/58/EG des Europäischen Parlaments und des Europarats über die Verbreitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Diese Direktive ist zum Schutz von persönlichen Daten und der Privatsphäre im elektronischen Bereich bestimmt. Unter anderem geht es um die Unzulässigkeit von unverlangten kommerziellen Versendungen.

Juristisch sind beide genannten Richtlinien zwar eingeschränkt, dennoch waren sie die Grundlage für zahlreiche europäische Länder, ihre eigenen Gesetze gegen Cyberkriminalität und Spam zu verfassen und zu ratifizieren.

Nach der Annahme der Konvention gegen Cyberkriminalität sowie nach dem Erscheinen der Direktive des Europäischen Parlaments und des Europarats haben viele europäische Staaten, aber auch die USA und Australien, Anti-Spam-Gesetze verabschiedet oder bestehende Gesetze entsprechend ergänzt.

Während Europa und die USA in den Jahren 2000 bis 2003 eine Reihe von Anti-Spam-Gesetzen verabschiedet haben, zogen die osteuropäischen und lateinamerikanischen Länder erst einige Jahre später nach. Im Jahr 2006 wurden in Russland und China Anti-Spam-Gesetze verabschiedet, im Jahr 2008 brachten Indien und Brasilien entsprechende Gesetzentwürfe ein. Die Beteiligung dieser Länder am Kampf gegen unerwünschte elektronische Versendungen ist überaus wichtig, da gerade sie zu den Hauptquellen von Spam zählen. Denn im Jahr 2009 waren Russland, Brasilien und Indien auf den Plätzen zwei, drei und vier bei den Top 10 der Spam versendenden Länder, China lag auf Platz acht.


Spam-Herkunftsländer im Jahr 2009

Die wichtigste Gesetze im Kampf gegen Spam

Offensichtlich findet zwischen den gesetzgebenden Organen der einzelnen Länder ein reger Erfahrungsaustausch statt. Daher ähneln sich die Gesetze in den verschiedenen Ländern. Für viele Gesetze gegen Spam sind die folgenden Komponenten charakteristisch:

  • Das OPT-IN-Prinzip: Versendungen sind nur dann zulässig, wenn der Anwender diese bestellt hat
  • Das OPT-OUT-Prinzip: Der Anwender muss jederzeit die Möglichkeit haben, die Versendung abzubestellen
  • In der Mail muss der Absender deutlich zu erkennen sein, das Feld „Von“ muss korrekt ausgefüllt sein, es darf keine gefälschten Informationen über die Quelle der Mitteilung und über ihren Weg über die Mail-Server geben.
  • Der Betreff der Mitteilung muss den Inhalt des Schreibens wiedergeben, in Werbemitteilungen muss ein entsprechender Hinweis enthalten sein.
  • In der Mail müssen Kontaktdaten des Absenders enthalten sein, insbesondere eine gültige Rückadresse.
  • Es darf keine Software zum Sammeln von Adressen verwendet werden.

Das OPT-IN-Prinzip ist – als wichtigstes Element in der Anti-Spam-Gesetzgebung – überall in die Gesetzestexte aufgenommen worden. Allerdings gibt es Unterschiede und Beschränkungen. So betrifft das Gesetz in Großbritannien nur E-Mails, die an die Privatadresse der Anwender geschickt werden, was im Umkehrschluss bedeutet, dass Spam-Mails, die an Geschäftsadressen geschickt werden, nicht mehr unter das Anti-Spam-Gesetz fallen. In Deutschland sind Werbeversendungen auch dann zulässig, wenn der Anwender bei dem betreffenden Unternehmen in der Vergangenheit bereits etwas gekauft hat.

Eines der bekanntesten Gesetze gegen Spam ist der amerikanische „CAN-SPAM Act“ (Controlling the Assault of Non-Solicited Pornography and Marketing Act). Diesem Gesetz zufolge muss eine unverlangte kommerzielle Versendung entsprechend gekennzeichnet sein (im Betreff der Mail muss der Hinweis „AD” von “Advertisement” – Werbung – hinzugefügt werden), die physische Adresse des Absender-Unternehmens muss enthalten sein und der Empfänger muss die Möglichkeit haben, die Versendung abzubestellen. Zudem verbietet das Gesetz das Sammeln von E-Mail-Adressen mittels Einblick auf Internetseiten und die automatische Auswahl von Adressen durch Substitution. Eine Verletzung des „CAN-SPAM Act“ kann eine Geldstrafe oder sogar Freiheitsentzug zur Folge haben. In diesem Gesetz fehlt allerdings das OPT-IN-Prinzip: Ein Einverständnis des Anwenders zum Empfang der Versendung ist nicht erforderlich. Das bedeutet, dass es erlaubt ist, beliebig viele elektronische Mitteilungen zu versenden, wenn eine korrekte Rückadresse angegeben ist und das OPT-OUT-Prinzip beachtet wird.

Obgleich das OPT-IN-Prinzip nicht enthalten ist, hat sich das amerikanische Bundesgesetz gegen Spam als recht effektiv erwiesen. Allein im Jahr 2009 wurden in den USA einige Schuldsprüche unter Anwendung des „CAN-SPAM Act“ gefällt. Insbesondere wurde der „King of Spam”, Alan Ralsky, wegen Betrugs, verbrecherischer Absprache und der Durchführung von groß angelegten Spam-Versendungen zu vier Jahren und drei Monaten Gefängnisstrafe verurteilt, bei gleichzeitiger Konfiszierung von 250.000 unrechtmäßig erworbenen US-Dollar. Danach erwarten ihn weitere fünf Jahre auf Bewährung.

Das derzeit strengste Anti-Spam-Gesetz ist der australische „Spam Act 2003“. Das Gesetz fordert, dass dem Anwender Informationen über den Absender der Mitteilung sowie die Möglichkeit zum Abbestellen angezeigt werden. Es verbietet die Verwendung von Software zum Sammeln von E-Mail-Adressen und verlangt überdies die vorherige Zustimmung des Empfängers. Die in diesem Gesetz festgelegten Strafen sind sehr hoch und können bis zu 1,1 Millionen australische Dollar betragen (etwa 800.000 US-Dollar) – für jede unerwünschte Mitteilung, die an mehrere Adressen geschickt wurde. Im Kampf gegen Spam bezieht die australische Regierung zudem aktiv die Internet-Provider mit ein, die Zombies in den Netzen aufdecken (infizierte Anwendercomputer, die Schadprogramme und Spam versenden) und den Anwendern helfen sollen, befallene Rechner zu desinfizieren. Darüber hinaus wurde für die Nutzer ein komfortables Tool erstellt, mit dessen Hilfe sie sich leicht über Spam beschweren können: Mit nur einem Mausklick kann man ein Muster der unerwünschten Mitteilung an die staatlichen Behörden schicken, die für den Kampf gegen Spam zuständig sind.

Nachdem das australische Anti-Spam-Gesetz verabschiedet worden war, nahm die aus Australien versendete Spam-Menge rasch ab. War Australien noch vor der Annahme des Gesetztes unter den Top 10 der Spam versendenden Länder, so findet sich der fünfte Kontinent nun nicht einmal mehr in den Top 20. Leider bedeutet das nicht, dass es in Australien selbst nun weniger Spam gibt – die Spammer haben ihre Aktivitäten einfach in andere Regionen verlagert. Diejenigen Spammer aber, die weiterhin auf dem Territorium von Australien aktiv sind, werden zur Verantwortung gezogen. So wurde im März 2010 ein australischer Mobilfunkbetreiber für die Versendung kommerzieller Werbung unter Verletzung der nationalen Anti-Spam-Gesetzgebung zur Zahlung einer Strafe in Höhe von 22.000 Dollar verurteilt (etwas mehr als 20.000 US-Dollar).

Das chinesische Anti-Spam-Gesetz aus dem Jahr 2006 berücksichtigt die Erfahrungen anderer Länder auf diesem Gebiet und lässt zudem einige interessante Neuerungen einfließen. Das Gesetz basiert auf dem OPT-IN-Prinzip, wobei die Werbemitteilung sogar mit vorheriger Einverständniserklärung des Empfängers den Hinweis „AD” enthalten muss. Zudem wird festgelegt, dass der Absender dem Empfänger die Möglichkeit geben muss, die Versendung abzubestellen (OPT-OUT). Verboten sind zudem die Verwendung von Software zum Sammeln von Adressen sowie der Verkauf von Adressen. Das chinesische Anti-Spam-Gesetz regelt auch die Tätigkeit der Provider: Bevor er E-Mail-Dienste anbietet, muss sich der Provider registrieren und sich eine staatliche Lizenz ausstellen lassen; bei Verletzung der Vorschriften drohen den Providern Strafen und der Entzug der Lizenz.

In Russland gibt es zwei wichtige Gesetze, die die Anwender vor Spam schützen: das Föderative Gesetz Nr. 38 „Über die Werbung“ vom 13. März 2006 und das Föderale Gesetz Nr. 152 „Über die persönlichen Daten“ vom 27. Juli 2006. In beiden Gesetzen wird eindeutig festgelegt, dass Versendungen nur mit dem vorherigen Einverständnis des Empfängers verschickt werden dürfen (d.h. das OPT-IN-Prinzip muss beachtet werden). In der Praxis werden diese Gesetze leider nur selten angewendet. Der Grund dafür liegt darin, dass die Gesetze viele Ausnahmen enthalten und die Formulierungen nicht immer eindeutig sind (zum Beispiel fehlt eine Definition des Begriffs „Spam“). Unverständlich ist auch, wie ausgerechnet der Betreiber oder der Verbreiter der Werbung die Zustimmung des Adressaten beweisen soll. Einige Juristen sind der Meinung, die Tatsache, dass die Beweislast für eine solche Zustimmung bei dem Betreiber oder Verbreiter der Werbung liegt, widerspreche der Unschuldsvermutung: Der Umkehrschluss ergibt, dass der Verbreiter der Werbung schuldig ist, wenn er nicht das Gegenteil beweist.

Kampf gegen Spammer: Wunsch und Wirklichkeit

Wie man sieht, gibt es in praktisch allen Industrienationen und auch in vielen Schwellenländern eine Anti-Spam-Gesetzgebung. Trotzdem steigt der Anteil von Spam mit jedem Jahr weiter an. In den Jahren 2003 bis 2004, als die Anti-Spam-Gesetze in den USA und den großen europäischen Staaten verabschiedet wurden, waren viele der Meinung, dass Spam verschwinden würde. Allerdings sind seitdem mittlerweile sieben Jahre ins Land gegangen, es wurden neue Gesetze verabschiedet und bestehende verbessert, doch die Spam-Situation hat sich zum Negativen verändert. Wie kann das sein?

Erstens handelt es sich bei Spam – wie bereits erwähnt – um ein internationales Phänomen, das keine Grenzen kennt. Daher werden nur diejenigen Gesetze Früchte tragen, die internationalen Charakter haben. Dabei geht es selbstverständlich nicht um eine Gesetzgebung, die über den föderalen Gesetzen einzelner Staaten steht. Doch die internationalen Gesetze der verschiedenen Länder sollten zumindest auf allgemeingültigen Prinzipen basieren.

Zudem sollte es einen einheitlichen einfachen Kooperations-Mechanismus für die verschiedenen Staaten untereinander auf diesem Gebiet geben. Beispielsweise könnte zum Zwecke einer solchen Kooperation eine internationale, nicht kommerzielle Organisation gegründet werden, die die exekutiven Organe der unterschiedlichen Länder in ihrem Kampf gegen Spam unterstützt – eine Art Cyber-Interpol, die sich sowohl mit den Problemen des Cyberbetrugs wie auch mit dem Problem Malware und Spam beschäftigt. Derartige Organisationen (wie etwa CERT) gibt es in Europa bereits, die sich aktiv für eine Vereinheitlichung der Gesetze und eine Erleichterung der Zusammenarbeit zwischen den Ländern im Kampf gegen Spam einsetzen. Die Zusammenarbeit auf diesem Gebiet ist in Ländern anderer Regionen sehr viel weniger entwickelt.

Zweitens gibt es in keinem einzigen Land der Welt Gesetze, die gegen die Auftraggeber von Spam vorgehen, obwohl diese sehr viel einfacher aufzuspüren und zur Verantwortung zu ziehen sind: Ihre Kontaktdaten sind in jeder beliebigen Spam-Mail abgebildet. Die Auftraggeber können im Gegensatz zu den Spammern nicht anonym bleiben. Ein solches Gesetz könnte Kleinunternehmen aus dem Spam-Geschäft vertreiben, übrig blieben nur Betrüger und Verkäufer illegaler Waren. Das könnte wiederum zu einem allgemeinen Vertrauensverlust in Bezug auf Spam führen. Problematisch könnte ein solches Gesetz allerdings werden, weil es Gelegenheit zu Fälschungen und Verleumdungen bietet. Denn um einem Konkurrenten etwas unterzuschieben, bräuchte man nur Spam in seinem Namen zu versenden. Trotzdem sollte es mit Hilfe eines klugen juristischen Ansatzes möglich sein, ein solches Gesetz zu verfassen, dass den Anteil von Spam wesentlich verringern würde.

Allerdings ist mehr als nur effektive Anti-Spam-Gesetze notwendig, um kleine Unternehmen davon abzuhalten, ihre Waren und Dienstleistungen mit Hilfe von Spam zu bewerben. Kleinunternehmen müssen die Möglichkeit bekommen, ihre Tätigkeiten und Produkte legal per E-Mail und anderen elektronischen Kommunikationsmitteln anzupreisen. Dann würde der Anwender in seinem Posteingang die Werbemitteilungen sehen, die ihn vielleicht interessieren, und der Werbende könnte die Adressen seiner potentiellen Kunden leicht finden. Zu diesem Zweck gibt es Portale mit der Möglichkeit, Versendungen zu bestellen und auch wieder abzubestellen. In den Ländern, in denen solche Systeme relativ gut entwickelt sind (wie etwa in den USA), nehmen Kleinunternehmen die Dienste von Spammern praktisch gar nicht in Anspruch. In Russland wird diese Möglichkeit auf einigen Plattformen angeboten, doch diese sind nicht sehr benutzerfreundlich und werden so kaum genutzt.

Ein weiteres wichtiges Element im Kampf gegen Spam ist die Aufklärungsarbeit. In erster Linie sollte sie sich an die Vertreter der exekutiven Organe und der Gerichtsbarkeit richten. Sollten diese mit dem gesamten Spektrum an Problemen vertraut sein, die durch Spam verursacht werden, sind sie in der Lage, die entsprechenden Gesetze auf den Weg zu bringen und bei Verletzung dieser Gesetze angemessene Maßnahmen zu ergreifen.

Fazit

Keine einzige Gesetzesinitiative für sich allein kann uns vollständig von Spam befreien. Doch wenn es sich im Bewusstsein der Weltöffentlichkeit verankert, dass Spam ein ernstzunehmendes und komplexes Problem ist, und jedes Land entsprechende gesetzgeberische Initiativen und eine entsprechende Gerichtspraxis entwickelt, wenn in vollem Umfang eine internationale Zusammenarbeit aufgebaut wird und ein Maßnahmenpaket zur Aufklärung der Anwender geschnürt wird, dann besteht Anlass zur Hoffnung, dass wir entscheidende Fortschritte bei der Lösung der von Spam verursachten Probleme machen werden.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Spam im September 2014
Spam im Juli 2014
Gewinn garantiert oder das wahre Gesicht der falschen Fortuna
Spam im Januar 2014
Kaspersky Security Bulletin. Spam im Jahr 2013
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen