Mit dem vom Kabinett gebilligten und am 11.2.09 im Bundestag diskutierten Gesetzentwurf zum elektronischen Bürgerportal sind jetzt Sicherheits- und Datenschutzaspekte des Projektes umrissen.

Telekom und Deutsche Bahn zuständig für Daten

De-Mail soll nur von akkreditierten und staatlich geprüften Providern angeboten werden. In wie weit diese sicherer sind als andere, wird sich erst noch herausstellen müssen. Kritiker bemängelten, dass mit der Deutschen Telekom, T-Systems, der Deutschen Post oder der Deutschen Bahn mehrere ehemalige oder demnächst ehemalige Staatsbetriebe an der Umsetzung des Systems beteiligt wurden. Andere Konkurrenten wie zum Beispiel die Strato AG hatten hierbei das Nachsehen.

Zur Teilnahme soll der Bürger einen Account bei einem der jeweiligen Anbieter von De-Mail anlegen. Einrichten kann das Postfach nur, wer auch eindeutig identifizierbar ist. Dies geschieht zum Beispiel gegen Vorlage des Ausweises in einer Postfiliale oder später über den elektronischen Pass.

Allerdings war es gerade der Umgang mit den Kunden-oder Mitarbeiterdaten, der den staatsnahen Konzernen in den vergangen Monaten sehr viel negative Presse einbrachte. Das Vertrauen der Bevölkerung in diese Unternehmen dürfte nicht unbedingt gefördert worden sein. Aber genau mit der Akzeptanz beim Bürger steht und fällt das Projekt.

Die Finanzierung ist derzeit durch ein ePorto geplant. Die Frage, die sich dabei stellt: Warum sollte auf einen kostenpflichtigen Service (De-Mail) zurückgegriffen werden, der sich bereits kostenlos (E-Mail) etabliert hat? Ob die Frage nach Sicherheit bei der Mehrzahl der Bürger bereits angekommen ist, wird sich erst noch zeigen müssen.

Schutz gegen Spam und Diebstahl?

"Jeder soll in die Lage versetzt werden, sich gegen unerwünschtes Mitlesen, Diebstahl wichtiger Daten, Betrug im Internet und gegen Spam besser zu schützen", umriss Bundesinnenminister Wolfgang Schäuble in der Berliner Zeitung.

Dem setzte die Datenschutzexpertin der Grünen, Silke Stokar, ebenfalls in der Berliner Zeitung entgegen: "Ich bezweifle, dass Herr Schäuble, wenn er unerwünschtes Mitlesen verhindern will, auch sich selber meint." Das Projekt müsse auf jeden Fall von externen Datenschützern gründlich untersucht werden.

Des Weiteren fordert sie, dass für den Bürger eindeutig klar werden muss, welche Behörden Zugriff auf die De-Mails haben. Zuständig für De-Mail wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein, das wiederum direkt dem Innenministerium untersteht.

Das BSI selbst beschreibt auf seiner Seite zum Gesetz über die Errichtung der Institution in Paragraph 3 Aufgaben, Punkt 6, dass das Amt den Strafverfolgungs- und Verfassungsschutzbehörden bei der Auswertung und Bewertung von Informationen zuarbeitet. Wie weit der Begriff Information hierbei gefasst wird, ist nicht weiter definiert.  

Kritik an Datensicherheit

Aber auch die technischen Seite des Projektes wird durchaus kritisch gesehen. So z. B. von der Opposition im Bundestag oder dem Bundesdatenschutz-Beauftragten Peter Schaar. Letzterem reicht es nicht aus, dass die Dienstanbieter bei De-Mail untereinander verschlüsselt miteinander kommunizieren.

Schaar sieht die die Gefahr, dass Dritte die Nachrichten auslesen oder gar verändern könnten und bevorzugt eine End-End-Verschlüsselung. Bei dieser Technik können mit entsprechenden Schlüsseln nur Absender und Empfänger die Nachrichten lesen.

Trotz der vielen offenen Fragen läuft die Pilotphase des Projektes im Sommer diesen Jahres in Friedrichshafen an.

Sucht ein Wähler also im Internet beim absoluten Marktführer Google nach der Hamburger FDP, sieht er auf den ersten Blick Begriffe wie "Spam" oder "FDP kassiert Abmahnung". Hintergrund der vermasselten Außendarstellung ist ein Werbevideo der FDP für das die Werbeagentur Oysterbay mit fragwürdigen Methoden Marketing machte. Die Werber verschickten E-Mails an Blogger, die aussahen wie ein freundlicher Tipp eines Lesers und kommentierten unter falschem Namen in Blogs.

Täuschungsversuch mit erfundenem Absender

Dazu nutzten sie den erfundenen Namen "Niklas Sörensen". Dem Pseudonym beschaffte die Agentur auch eine kostenlose GMX-E-Mail-Adresse, um den Absender zu verschleieren. Der Blogger Hanno Zulla entdeckte den Täuschungsversuch und machte ihn öffentlich. Eine Fülle von empörten Blog-Beiträgen und Kommentaren folgte. Zulla mahnte die FDP ab, die Partei akzeptierte eine strafbewehrte Unterlassungserklärung.
Technorati Profile

Dass die FDP die Unterlassungserklärung abgegeben hat, ist jedoch nicht mit einem Schuldeingeständnis gleichzusetzen. Hätte die Partei die Abmahnung nicht akzeptiert, so hätte der Fall – und somit die Frage, ob unaufgefordert verschickte und nicht deutlich als solche gekennzeichnete Wahlwerbung juristisch zulässig ist – vor Gericht geklärt werden müssen. Die für die FDP tätige Werbeagentur Oysterbay hatte die Mail nicht über eine agentureigene Mailadresse versandt, sondern den erfunden Namen "Niklas Sörensen" und eine kostenlose GMX-E-Mail-Adresse verwendet.

Die Anwaltskosten für die Abmahnung trägt die FDP.

Den Hintergrundartikel zu dieser Kurzmeldung finden sie hier.

Ein Internetnutzer gab gestern bei Google die Suchbegriffe „blog wahl* hamburg“ ein und landete auf dem Weblog des Hamburgers Hanno Zulla. Der Betreiber des Blogs schien dem Unbekannten igendwie sympatisch gewesen zu sein, denn er schickte ihm kurzerhand eine freundliche E-Mail, in der er auf einen FDP-Wahlwerbespot mit dem Schauspieler Sky du Mont aufmerksam machte – „Hallo, Kennst Du schon den FDP-Wahlwerbespot für die Bürgerschaftswahlen in HH? Wäre der nicht etwas für deinen Blog?“. Es folgte ein Link zur Videoplattform Youtube und „Viele Grüße, Niklas“. Sonst nichts: Kein Impressum, keine Adresse.

Die IP-Adresse von Mailabsender und Google-Suche führte den Blogger zur Oysterbay, einer Werbeagentur mit Kunden wie Mustang Jeans oder Axel-Springer-Verlag. Sowohl die FDP als auch Oysterbay bestätigten politik-digital.de auf Anfrage, dass die Werbeagentur von der FDP für Marketing beauftragt wurde. Die FDP distanziert sich jedoch von unlauteren Methoden.

Blogger Hanno Zulla ärgerte sich über die unerwünschte Mail, rief bei Oysterbay an und wurde nach eigener Aussage mit dem Absender der Mail – Niklas Sörensen – verbunden. Dieser gab zu, dass er die E-Mail verschickt hatte, jedoch sei das Ganze nicht als Spam, sondern nur als Hinweis auf den Werbespot gedacht gewesen. Mit wem Hanno Zulla tatsächlich gesprochen hat, wird wohl ein Rätsel bleiben, denn heute bestätigte Agentur-Geschäftsführer Wulf-Peter Kemper gegenüber politik-digital.de, dass Niklas Sörensen gar keine reale Person, sondern nur ein Pseudonym sei.

Auf die Frage, warum Oysterbay die Werbebotschaft unter einem Pseudonym getarnt über eine GMX-Adresse verschickte und nicht offiziell über eine E-Mail-Adresse der Agentur, antwortete Kemper: „Wenn Mails von einer Werbeagentur kommen, dann werden sie weggeklickt, mit einer GMX-Adresse haben wir mehr Chancen, da rein zu kommen.“
Bei der FDP sieht man das anders: „Eine Verbreitung des Werbespots über E-Mail-Spamverteiler ist in Deutschland nicht zulässig“, so Thomas Heldberg von der FDP, „Die Agentur nutzt deshalb nur legale Wege wie Youtube.“
Laut Agentur-Geschäftsführer Kemper sollte mit der Aktion übrigens niemand getäuscht, sondern nur eine inhaltliche politische Diskussion angestossen werden. Für Kemper war die besagte Mail zudem „deutlich als Wahlwerbung kenntlich gemacht.“ Er kündigte aber an, dass Oysterbay die Hinweis-Mails ab jetzt testweise offiziell im Namen der Agentur verschicken wird.

Neben Hanno Zulla hat noch mindestens ein weiterer bei Google (Update sgievert 9.2.08: zwei, darunter Markus Beckedahl von netzpolitik.org) weit oben aufgeführter Blogger die getarnte Werbemail erhalten.

Getreu dem Motto „Feuer mit Feuer bekämpfen“ will PleaseSpam.us auf die Funktionsweise von SpamBots aufmerksam machen. Diese Programme durchsuchen das WWW automatisch nach auf Webseiten veröffentlichten E-Mail-Adressen, an die dann unaufgefordert Werbemails verschickt werden. Darüber hinaus möchte das Projekt kritisch die zunehmende Verbreitung von Social-Bookmark-Plattformen wie digg.com, del.icio.us und mister-wong.de hinterfragen und eine Diskussion über den „Missbrauch von E-Mail als ein Massen-Übertragungs-System“ anstoßen.

Mit einer kurzen Begründung versehen kann jede E-Mail-Adresse vorgeschlagen werden. Alle eingegangenen Vorschläge stehen dann im internen Nutzerbereich der Website zur Abstimmung. Die Adressen mit den meisten Stimmen werden auf der Startseite und somit an für SpamBots exponierter Stelle veröffentlicht. Auf Platz eins steht derzeit im übrigen die E-Mail-Adresse des US-Amerikanischen Präsidenten.

Die Hürde ist jedoch nicht groß. Um eine Adresse auf die Startseite zu wählen reichen derzeit schon die Stimmen von 18 Mitgliedern aus. Wenn die eigene Adresse fälschlicherweise dort landet, dann besteht die einzige Chance zur Löschung darin, einen Antrag zu stellen, über den dann wiederum die Mitglieder entscheiden müssen.

Abstimmen kann übrigens nur, wer sich mit einer persönlichen E-Mail-Adresse anmeldet.
PleaseSpam.us versichert, dass die bei der Anmeldung eingegebene Adresse geheim bleibt und vor Spam-Bots sicher ist – zumindest bis zu dem Zeitpunkt, bis man selbst auf der Liste landet.
Bleibt die Frage, ob die Aktion tatsächlich eine Diskussion anstoßen kann oder nur noch mehr Spam erzeugt. Die Bots werden sich auf jeden Fall freuen.

Geht es nach den Plänen der Großen Koalition, soll
die Voprratsdatenspeicherung ab dem 1. Januar 2008 starten. Wenn
der Bundestag zustimmt, müssen Telekommunikationsdienstleister
wie Telekom oder Arcor auch ohne konkreten Verdacht für sechs
Monate nachhalten, wer wann wo mit wem in Kontakt war. So soll die
Strafverfolgung erleichtert werden. Der Inhalt von Telefongesprächen,
besuchten Webseiten oder SMS ist davon nicht betroffen.

Mit folgenden Tipps und Tricks kann jeder Internetnutzer die Speicherung
dieser Informationen legal umgehen:

Telefonieren

Die Nutzung von öffentlichen Telefonen und Telefonzellen ist
die einfachste anonyme Alternative zu Vertragshandy, Internettelefonie
und Festnetztelefon. Um beim Mobiltelefonieren keine nachvollziehbaren
Verbindungsdaten zu hinterlassen, sollte man Prepaid-Karten für
das Handy benutzen. Diese müssen nicht auf den eigenen Namen
registriert werden. In einigen Fällen kann man diese Guthaben-Karten
auch für mobiles Internet via UMTS einsetzen und sich so drahtlos
und – zumindest in Sachen Vorratsdatenspeicherung – überwachungsfrei
im Internet bewegen.

Surfen im Internet

Internet ohne Speichern der persönlichen Kommunikationsdaten:
Hier reicht es eigentlich, sich über einen Internetanschluss
einzuwählen, der nicht unter dem eigenen Namen registriert
ist. Das geht am Einfachsten, wenn man in Internetcafés surft
oder offene Funknetzwerke verwendet. Dabei sollte man jedoch jederzeit
auf die Verwendung von verschlüsselten Internetseiten achten.

Eine weitere Möglichkeit, der Vorratsdatenspeicherung im Internet
zu entgehen, sind so genannte Anonymisierungsnetzwerke wie Anon
Proxy oder TOR.
Bei diesen oft kostenlosen Diensten lädt man sich ein bestimmtes
Porgramm herunter, dass die Verbindung zum Internet über eine
ganze Reihe zwischengeschalteter Verbindungsstellen übernimmt.
Dann kann man ruhig über die eigene Internetverbindung ins
Netz gehen, da nur die Nutzung dieser Anonymisierungsdienste, nicht
aber das tatsächliche Kommunikationsziel gespeichert werden
kann – wenn die Anonymisierungserver wie beim TOR-Netzwerk
außerhalb der Europäischen Union stehen.

Eine technisch kompliziertere Möglichkeit ist der Einsatz
von Virtuellen Privaten Netzwerken (VPN) mit einem Rechner außerhalb
der EU. Hier wird wie bei einem lokalen Netzwerk eine direkte Verbindung
mit einem Rechner in einem anderen Land aufgebaut, von dem aus dann
der Zugriff auf das Internet erfolgt. Ähnlich wie bei den Anonymisierungsnetzwerken
wird bei Virtuellen Privaten Netzuwerken nur der Zugriff auf den
Rechner gespeichert, alles dahinter kann nicht erfasst werden.

E-Mail

Auch wenn E-Mails von Natur aus nicht anonym sind, kann man mit
einigen Tricks der geplanten Speicherung eigener Daten entgehen
und so relativ unerkannt via E-Mail kommunizieren.

Der einfachste Trick ist die Nutzung des Entwurf-Ordners eines
gemeinsamen E-Mailkontos bei einem willkürlichen Webmailprovider
wie Gmail.com oder GMX. Wenn mehrere Leute das Passwort haben, müssen
die Mails erst gar nicht verschickt werden und sind trotzdem von
mehreren Nutzern abrufbar.

Beste Möglichkeit ist die Verwendung von E-Mail-Diensten,
die ihren Sitz außerhalb der Europäischen Union haben
und die eine verschlüsselte Kommunikation zulassen. Die Verbindungsdaten
müssen dann nicht beim jeweiligen Internetzugangsdienstleister
gespeichert werden.

Technisch aufwändiger ist die Verwendung von Remailern. Technisch
versierte Nutzern können so Ihre E-Mail ohne Absender und über
viele, schwer nachvollziehbare Umwege versteckt zum Empfänger
senden.

Diese Hinweise beziehen sich jedoch nur auf die Umgehung der Vorratsdatenspeicherung;
um den eigentlichen Inhalt zu verschlüsseln, empfiehlt sich
die Verwendung von Verschlüsselungssoftware wie zum Beispiel
Pretty-Good-Privacy.

Der Arbeitskreis Vorratsdatenspeicherung hat eine Liste
von Programmen zusammengestellt, die dabei helfen können,
keine verfolgbare Spuren im Internet zu hinterlassen und eigene
Informationen zu schützen.

Nur ein Klick, schon verschwindet der nervende Werbemüll im
virtuellen Papierkorb. Hielte sich jeder daran, wäre das weltweite
Geschäft mit Spam-E-Mails nicht derart einträglich, wie
es der Fall ist. Einer Studie
des Magazins "Consumer Reports" zufolge kauften über
eine halbe Million US-Surfer im Vormonat ein Produkt, das per Spam
beworben wurde. Zum 5.
Deutschen Anti Spam Kongress, der am 5. September in Köln
stattfindet, kommen Experten zusammen, die sich dem Kampf gegen
die elektronische Belästigung verschrieben haben. Schwerpunkt
in diesem Jahr ist das neuartige "Stock Spam", der massenhafte
E-Mail-Versand von Aktienempfehlungen, bei dem einzig der Urheber
Kasse macht, indem er den Kurs von Wertpapieren in schwindelerregende
Höhen treibt. Zudem steht das kriminelle "Phishing"
auf dem Kongressplan, also betrügerische E-Mails mit dem Ziel,
an Zugangsdaten für Online-Banking zu gelangen. 2006 stieg
die Zahl der Phishing-Opfer um ein Viertel auf über 3000 Fälle,
so eine Hochrechnung des Branchenverbandes BITKOM. Dabei wurden
im Schnitt 4000 Euro erbeutet.

Nerviges Dosenfleisch

Jeder kriegt es, aber nur wenige kennen seinen Namens-Ursprung:
"Spam" war ein 1936 entstandener Markenname für Dosenfleisch
der amerikanischen Firma Hormel Food – zusammengesetzt aus
"Spiced Porc and Ham“, also gewürztes Schweinefleisch.
Schon im Zweiten Weltkrieg soll die kulinarische Grausamkeit aufgrund
seiner langen Haltbarkeit und massenhaften Verfügbarkeit unter
Soldaten wenig geliebt worden sein. Ähnlich ergeht es heute
dem unerwünschten elektronischen Nachfolger. Erst durch eine
Episode der britischen Comedyserie "Monty Phython’s Flying
Circus" wurde Spam zum Synonym für ungebetene Massen-E-Mails:
In dem dreiminütigen Sketch fällt das Wort „Spam"
mehr als 100 Mal, wodurch jede Unterhaltung unmöglich wurde.
Heute steht "Spam“ für unerwünschte, meist
auf elektronischem Weg übertragene Nachrichten, die massenhaft
versandt und dem Empfänger unverlangt zugestellt werden. In
der Regel haben sie werbenden Inhalt. Ebenfalls dazu zählen
unsinnige Einträge in Newsgroups oder Kettenbriefe. Eine Übersicht
der Spam-Typen finden Sie in unserem Glossar.

Bundesrepublik seit 2006 mit Anti-Spam-Gesetz

Rund vier Fünftel aller Spam-E-Mails, die in deutschen Postfächern
landen, stammen aus dem Ausland. Spamming ist ein weltweites Problem
und muss daher auf globaler Ebene gelöst werden, sind sich
Experten einig. Internationale Zusammenarbeit und eine grenzüberschreitende
Rechtsverfolgung werden immer wichtiger. Laut einer aktuellen
Rangliste der gemeinnützigen Organisation Spamhaus.org
liegt Deutschland auf Platz sechs der weltweit führenden Herkunftsländer
von Spam-E-Mails. Die USA führen demnach mit deutlichem Vorsprung
gegenüber China und Russland. Gesamt betrachtet, liegt der
asiatische Kontinent ganz vorn. Grund sind die von Land zu Land
unterschiedlich harten Gesetze gegen die Drahtzieher.

Die USA versuchten 2004, das Spam-Problem durch das landesweite
Gesetz CAN SPAM ACT einzudämmen, mit dem Täter zu Haftstrafen
von bis zu fünf Jahren und Geldbußen in Millionenhöhe
verurteilt werden können. In Europa ist seit 2004 das Verschicken
unverlangter Werbemails verboten. Hierzulande begegnet man der Herausforderung
mit wettbewerbs- und zivilrechtlichen Mitteln, nicht aber mit strafrechtlichen
Sanktionen. Im Juni 2006 verabschiedete der Deutsche Bundestag eine
Art Anti-Spam-Gesetz (Elektronisches Geschäftsverkehrvereinheitlichkeitsgesetz,
ElGVG), das Verbraucher vor unerwünschter Werbung schützt.

Es besagt: Wird Werbung elektronisch versandt, muss in der Kopf-
und Betreffzeile klar erkennbar sein, wer der Absender ist und ob
es sich um eine Werbenachricht handelt. Damit soll dem Bürger
das Ausfiltern von unerwünschtem Spam erleichtert werden. Bei
Verstoß droht dem Absender ein Bußgeld von bis zu 50
000 Euro. Kritiker dagegen fordern eine Erhöhung der Strafe
um das Zehnfache. Werbe-Mails aus dem Ausland, die das Hauptproblem
darstellen, fallen allerdings nicht unter das Gesetz. Deshalb sei
die Verordnung kaum ausreichend, um der Spam-Flut beizukommen, betonen
Experten.

Um die Kräfte zu bündeln und die internationale Rechtsdurchsetzung
zu verbessern, haben sich zahlreiche Organisationen und Initiativen
gebildet, wie die OECD
Task Force on Spam, die Initiative
London Action Plan (LAP) oder das EU-Pilotprojekt SpotSpam,
das als europaweite Sammelstelle für Spam-Beschwerden dient.

50 Milliarden Euro Schaden im Jahr

Spam verursacht jedes Jahr Kosten in Milliardenhöhe. Neben
den Internet-Übertragungskosten für Empfang und Versand
kostet das Lesen, Löschen oder Beantworten dieser Belästigungspost
wertvolle Arbeitszeit. Verstopfen Spam-E-Mails das Postfach über
den begrenzten Speicher hinaus, wird sogar erwünschte Post
abgewiesen. So versäumt der Betroffene schnell wichtige Fristen
oder verpasst Aufträge. Im schlimmsten Fall droht der Serverabsturz
und mit ihm teure Reparaturkosten. Der Löwenanteil fällt
an durch den notwendigen Einsatz von Anti-Spam-Filtern. Wird zudem
die eigene Mail-Adresse durch Dritte für den Spam-Versand missbraucht,
kann das eigene Image darunter leiden. Die durch Spam entstandenen
Zusatzkosten für 2005 wurden weltweit mit 50 Milliarden Euro
beziffert.

Fakt ist: Viele Internetnutzer gehen zu sorglos mit ihrer persönlichen
E-Mail-Adresse um. Am wirkungsvollsten ist es, Spam-E-Mails bereits
im Vorfeld zu vermeiden. Das können Sie tun, um das Spam-Aufkommen
in Ihrem Postfach zu reduzieren:

Alternativen E-Mail-Account zulegen

Sorgen Sie dafür, dass Spammer nicht an Ihre Haupt-E-Mail-Adresse
kommen, die Sie im normalen Post-Verkehr, also mit Freunden oder
am Arbeitsplatz, nutzen. Wer häufiger seine Identität
bei der Teilnahme an Gewinnspielen, beim Ausfüllen von Anmeldeformularen,
in Chat-Räumen oder beim Schreiben in Newsgroups preisgibt,
riskiert, dass seine Mailbox mit lästigen Werbebotschaften
überfüllt wird. Besonders Chat-Räume und Newsgroups
sind eine bei Spammern und Adressensammlern äußerst beliebte
„Recherchemöglichkeit“. Daher ist es besonders
zu empfehlen, sich alternative E-Mail-Accounts für bestimmte
Internetaktivitäten wie Online-Shopping, Chats oder Online-Auktionen
einzurichten. Eine kostenlose und auf Wunsch zeitlich begrenzte
E-Mail-Adresse bekommen Sie leicht bei gängigen E-Mail-Anbietern
(z.B. GMX, WEB.de, Hotmail, AOL, etc.).

Vorsichtig mit Mail-Adressen umgehen

Spam-Programme durchforsten automatisch Internetauftritte nach
E-Mail-Adressen. Verwenden Sie deshalb wichtige E-Mail-Adressen,
die Sie für längere Zeit verwenden wollen, in der Öffentlichkeit
nach Möglichkeit nicht so, dass sie für jedermann abrufbar
sind. Es empfiehlt sich, auf einer Internet-Präsenz die Kontakt-E-Mail-Adresse
nicht im Klartext, sondern in Form einer kleinen Bild-Datei (z.B.
GIF) darzustellen. Allerdings wird dadurch das Einlesen der Mailadresse
nicht nur für Spammer erschwert, sondern auch für Menschen
mit Behinderungen oder mit technischen Einschränkungen beim
Internetzugang. Alternativ lässt sich die Adresse auch unter
Verwendung von Leerzeichen oder dem Ausdruck "[at]“ statt
"@“ angeben.

Filterprogramme einsetzen

Viele der Standard-E-Mail-Programme können mittlerweile alle
empfangenen E-Mails nach bestimmten Adressen filtern und Nachrichten
einer bestimmten E-Mail-Adresse oder ganzen Domain blockieren. Verfügt
Ihr E-Mail-Programm dennoch über keine Filtermöglichkeiten,
gibt es zahlreiche Hilfsprogramme, die die eigene Mailbox überprüfen
können und unerwünschte E-Mails löschen, noch bevor
man die Mailbox zum Lesen öffnet. "AntiSpamWare“,
"SpamEater Pro“, "SpamFlush“, "SpamKiller“,
"Super-SpamKiller Pro“ oder "SPAMfighter“
sind nur einige der zahlreichen Werkzeuge, die mittlerweile für
alle Betriebssysteme erhältlich sind. Wer einen der kostenlosen
E-Mail-Dienste wie etwa GMX oder WEB.de nutzt, kann die dort vorhandenen
Spam-Filter aktivieren.

Den eigenen PC sicher konfigurieren

Halten Sie das Betriebssystem Ihres Computers durch neueste Updates
und Sicherheitspatches ständig aktuell. Das schließt
Sicherheitslücken. Über neuste Updates kann man sich per
Einstellung automatisch benachrichtigen lassen. Jeder Rechner sollte
über ein Virenschutzprogramm verfügen, das in kurzen Abständen
aktualisiert werden muss. Außerdem ist der Einsatz einer Firewall
sinnvoll. Diese Anwendung überprüft alle Daten, die der
User aus dem Netz lädt sowie die Daten, die von dem Computer
ins Netz geschickt werden.

Nicht auf Werbe-E-Mails antworten oder deren Dateianhang
öffnen

Spammer setzen häufig falsche Betreffzeilen wie "Re:
Ihre Anmeldung" oder "Klassentreffen" und gefälschte
Absenderadressen (.z.B. ebay.de oder Bundeskriminalamt) ein. Sie
geben sich als Freunde, Arbeitskollegen oder seriöse Unternehmen
aus, um einen persönlichen Bezug herzustellen und Sie dazu
zu veranlassen, die Mail zu öffnen. Anwender sollten daher
vor dem Öffnen Betreffzeile und Absender einer Mail kontrollieren.
Dazu muss die Vorschau-Funktion des E-Mail-Programms deaktiviert
sein, da sonst alle eingehenden Mails automatisch geöffnet
werden. Offenbaren Sie in Ihrer Adresse möglichst nicht Ihren
vollen Namen, sonst können Spam-Programme Sie in Werbe-Mails
persönlich ansprechen. Es empfehlen sich eher Muster wie smeier@provider.de.

Bestellen Sie nie etwas über unerwünschte E-Mails. Sie
könnten nicht nur betrügerischen Verkaufsmethoden zum
Opfer fallen, sondern verbreiten Ihre Adresse auch innerhalb der
Spammer-Community.

Öffnen Sie keine unbekannten Dateianhänge (tragen häufig
die Endungen .exe, .com, .pif oder .scr und enthalten oft Viren
oder Trojaner) und beantworten Sie keine E-Mails dubioser Absender.
Oft enthalten diese am Anfang oder Ende Anmerkungen wie: "Klicken
Sie hier, wenn Sie keine weiteren Mails mehr von uns erhalten möchten"
oder "Antworten Sie mit dem Betreff ‘Remove’, um von der Verteilerliste
gelöscht zu werden". Das sollten Sie tunlichst vermeiden,
denn das zeigt dem Absender, dass dieses Postfach aktiv ist, was
Ihre Adresse für den Weiterverkauf wertvoller macht und in
Zukunft noch mehr Reklame nach sich ziehen kann. Ausnahmen sind
natürlich von Ihnen bestellte Newsletter, die Sie durch eine
Antwort abbestellen können. E-Mails mit unbekanntem Absender
im Zweifelsfall lieber löschen.

Grundsätzlich darf nur derjenige mittels E-Mail-Werbung angeschrieben
werden, der seine Einwilligung hierzu erteilt hat (Die Beweislast,
das es eine Einwilligung gibt, liegt beim Absender) oder bereits
eine laufende Geschäftsbeziehung zu dem Versender unterhält
(z.B. durch Online-Shopping). Ist das nicht der Fall, ist die Mail
unverlangt und verletzt das Persönlichkeitsrecht von Privatpersonen
bzw. ist bei Unternehmen unzumutbar im Sinne des Gesetzes gegen
den unlauteren Wettbewerb. Immer unzulässig ist der Versand
von E-Mail-Werbung jedoch, wenn die Identität des Absenders
verheimlicht wird oder keine gültige Adresse existiert, unter
der sich der Empfänger abmelden kann.

Robinsonliste

Es gibt Listen für Postanschriften und auch für E-Mail-Werbung,
in die man sich eintragen kann, wenn man keine unverlangte Werbung
wünscht. Eine davon ist die Robinsonliste
des Interessenverband Deutsches Internet e.V. Registrierte Unternehmen
haben Zugriff auf die Liste und können die eingetragenen Adressen
aus ihrer Datenbank löschen.

Wo kann ich mich beschweren?

Um gegen die Übeltäter gerichtlich klagen zu können,
ist eine ladungsfähige Adresse notwendig. Die Absender von
Spam-Mails ausfindig zu machen, ist jedoch in vielen Fällen
schwierig, da diese meist vom Ausland aus agieren. In jedem Fall
können sich Anwender beschweren und damit helfen, die Spam-Flut
einzudämmen:

Seit dem 1. Januar 2007 nimmt die Internet-Beschwerdestelle des
Verbandes der deutschen Internetwirtschaft eco e.V. Spam-Beschwerden
an. Infos dazu unter www.internet-beschwerdestelle.de.

Für Rechtsberatungen zum Thema Spam stehen seitdem die Verbraucherzentralen
zur Verfügung.

Beschwerden können per E-Mail auch unter Beifügung der
vollständigen Spam-E-Mail und dem Original-Mail-Header eingereicht
werden unter der Adresse:
spam@internet-beschwerdestelle.de
Wie man den Header einer E-Mail mit seinem eigenen E-Mail-Programm
anzeigen lassen kann, wird hier
beschrieben.

Zu den Partnern des eco-Verbandes gehören in Sachen Spam-Verfolgung
unter anderem:

Der Bundesverband der Verbraucherzentralen (VZBV).
Dieser ist zuständig für Beschwerden von Privatpersonen
und erreichbar unter
beschwerdestelle@vzbv.de.

Die Zentrale zur Bekämpfung unlauteren Wettbewerbs (WBZ).

Diese ist Ansprechpartner für geschädigte Unternehmen
und erreichbar unter
mail@wettbewerbszentrale.de.

Beschwerden an diese Stellen senden Sie ebenfalls unter Beifügung
der vollständigen Spam-E-Mail und dem original Mail-Header.

Spam-E-Mails, die Mehrwertdiensterufnummern enthalten (z.B. (0)900er
Nummern) bzw. dem Empfänger teure Dialer-Programme "vermitteln“,
können als Beschwerden an die Bundesnetzagentur (BNetzA) [www.bundesnetzagentur.de]
weitergeleitet werden.

Bis die Betrüger merken, dass sie selbst betrogen
wurden, haben sie meist wertvolle Zeit und Energie verloren, um
andere Betrügereien zu begehen. In Deutschland sind es Sven
Udo und seine Mitstreiter von Scambaiter-Deutschland, die gegen
diese Form der Internet-Kriminalität kämpfen. Worum es
beim Scambaiting geht, ob jeder Scambaiter werden kann und wie gefährlich
das Anti-Scammen ist, erzählt Sven Udo im Interview mit politik-digital.de.

politik-digital: Die so genannte
“Nigeria-Connection“ gilt als weltweit größte
und bekannteste Online-Betrüger-Gruppe. Ihre Mitglieder geben
sich als Regierungsangestellte, hohe Beamte oder Millionenerben
aus und versprechen den Empfängern ihrer Spam-Mails große
Reichtümer. Vorher werden die potenziellen Opfer jedoch zur
Kasse gebeten – daher auch der Name “Vorschussbetrug”.
Welches Ziel verfolgen Sie und ihre Mitstreiter von Scambaiter-Deutschland
im Kampf gegen solche Scammer?

Sven Udo: Mit unserer Internetseite scambaiter.info
haben wir vor eineinhalb Jahren erstmals in Deutschland eine Informations-
und Diksussionsplattform zum Thema Scambaiting, mit starkem Fokus
auf der “Nigeria-Connection“, geschaffen. Zuvor gab es
dazu ausschließlich englischsprachige Web-Angebote. Unsere
Motivation ist es, Menschen im Umgang mit solchen Online-Betrügern
aufzuklären und Scammer-Opfern zu helfen. In Deutschland gibt
es mittlerweile zwischen 30 und 50 aktive Scambaiter. In unserem
Forum sind bis heute circa 10.000 Beiträge zu 1.200 verschiedenen
Sachverhalten rund um das Thema Scambaiting erschienen. Dass unsere
Arbeit auf fruchtbaren Boden stößt, zeigen die zunehmenden
User-Anfragen. Hauptziel von Scambaiter-Deutschland ist und bleibt,
Scammer vom Betrügen via Internet abzuhalten und ihnen finanzielle
Mittel, zum Beispiel durch längere Telefongespräche auf
Kosten der Betrüger, zu entziehen. Das macht sie auf lange
Sicht handlungsunfähig.

Worum geht es Ihnen allgemein beim Scambaiting – um Selbstjustiz
und Rache?

Der Versuch des Vorschussbetrugs ist in Deutschland nicht strafbar.
Mir persönlich geht es beim Scambaiting weder um Rache, noch
um Selbstjustiz. Selbst wenn ich Lynch- oder Rachegelüste hätte:
dem sind technische Grenzen gesetzt. Da ich mein “Gegenüber“
im Internet nicht kenne und nie physischen Kontakt mit ihm habe,
kann ich schlichtweg keine Rache oder Selbstjustiz üben. Es
geht Scambaitern darum, die Scammer ohne Zwang zu “Taten“
zu bewegen, die sie freiwillig in Erwartung ihrer “Beute“
tun. Das bedeutet zum Beispiel, dass ich versuche, sie dazu zu bringen,
verschiedene Dokumente oder Fotos an mich zu schicken. Ziel ist
letztendlich, dass der Betrüger irgendwann merkt, dass er sich
mit dem Falschen angelegt hat. Die Kunst des Scambaitings ist es,
diesen Moment solange wie möglich hinauszuzögern, dem
Scammer also Zeit zu stehlen und ihn so vom Betrügen abzuhalten.

Wie entsteht der Kontakt zu den Scammern?

Grundsätzlich bekomme ich sehr viele Betrüger-Angebote
per E-Mail. Damit das auch so bleibt, muss ich stets selbst aktiv
werden. Über einen besonderen E-Mail-Account habe ich mir mehrere
E-Mail-Adressen eingerichtet. Da Scammer vor allem die Gästebücher
von Webseiten nach E-Mail-Adressen ihrer potentiellen Opfer abgrasen,
suche ich mir zwei bis drei Gästebücher von stärker
besuchten Internetseiten heraus. Dann schreibe ich einen netten
Eintrag hinein und hinterlege meine Adresse. Meist erhalte ich bereits
24 Stunden danach die ersten Scammer-Angebote per E-Mail. Zum Schluss
suche ich mir die Betrüger-Offerten heraus, die mich persönlich
besonders interessieren.

Scambaiter verwenden im Kontakt mit Scammern multiple virtuelle
Persönlichkeiten – nach welchem Muster kreieren Sie Ihre Charaktere
im Web?

Virtuelle Personen mit denen ich bisher erfolgreich war, heißen
zum Beispiel
„Sir Casper Le Theater” (Sir und Boheme) oder
„Ng Chang” (Chinarestaurantbesitzer und Entenbrater)
. Das hört sich im ersten Moment vielleicht komisch und unprofessionell
an, die Kreation solcher Charaktere bedeutet aber einiges an Aufwand.
Keiner meiner virtuellen Persönlichkeiten steht von vornherein
fest. Sie entstehen immer im Kontext der jeweiligen Scammer-Mails.
Das heißt, ich entwerfe einen virtuellen Charakter, der zu
dem Scammer und der Art seiner Betrügerei passt. Mailt mir
beispielsweise ein angeblicher Banker aus der Schweiz, der mit mir
ein Bankgeschäft abwickeln will, werde ich zu Sven
Udo, dem Eigentümer des real nicht existierenden Berliner
Hotels „L’hôtel et gîte”.

Welche persönlichen und technischen Voraussetzungen
muss ein Scambaiter unbedingt haben?

Im Prinzip kann jeder Scambaiting betreiben. Es gibt keine spezifischen
persönlichen Charaktereigenschaften, die man unbedingt mitbringen
muss. Allerdings sollte man ein gutes technisches Verständnis
besitzen, IP-Adressen erkennen können und wissen wie man seine
Anonymität schützt. Außerdem ist es unerlässlich,
die Zusammenhänge des Scambaitings zu verstehen, die nicht
auf dem Computerbildschirm zu sehen sind. Es empfiehlt sich generell,
mit anderen Scambaitern zusammenzuarbeiten, um sich gegenseitig
auszutauschen.

Unterliegt Scambaiting nicht einem Verfallsdatum, da sich
die Scammer anpassen und sich mittlerweile auf die Aktionen der
Scambaiter eingestellt haben?

Kurioserweise ist das nicht der Fall – Scambaiting hat kein
Verfallsdatum. Ohne Frage steht fest, dass die Nigeria-Connection
als Gruppe weiß, dass es uns Scambaiter gibt. Mit Hilfe unserer
Software bei scambaiter.info haben wir sogar herausgefunden, dass
Mitglieder der Nigeria-Connection gelegentlich versuchen, bei uns
mitzulesen. Aus diesem Grund haben wir einen geschlossenen Foren-Bereich
eingerichtet und kontrollieren jedes Neumitglied im Vorfeld. Obwohl
die Scammer wissen, dass jemand gegen sie arbeitet, ziehen sie jedoch
keinerlei Konsequenzen daraus – im Gegenteil: ich habe den
Eindruck, die Zahl der Scammer steigt kontinuierlich an.

Haben Scammer bestimmte Zielgruppen oder Auswahlkriterien
bezüglich ihrer Opfer?

Nein. Die Online-Betrüger sammeln wahl- und ziellos E-Mail-Adressen
im Internet, zum Beispiel in Gästebüchern großer
Internetseiten. Sie erstellen, entweder manuell oder mit Hilfe entsprechender
Software, komplexe Adressdatenbanken. Innerhalb der Nigeria-Connection
gibt es sogar einige, die mit dem Weiterverkauf dieser Adressen
Geld verdienen. Die Scammer setzen sich vorher in keiner Weise individuell
mit ihren potentiellen Opfern auseinander. Dass die Scammer nicht
wissen, wem sie schreiben, beweisen auch unpersönliche Standardformulierungen,
die sie immer wieder in ihren Köder-E-Mails verwenden.

Wie vernetzt sind die Mitglieder der Scambaiting-Szene
untereinander, insofern das das Erfordernis der Anonymität
in der Szene überhaupt zulässt?

Viele aktive Scambaiter in Deutschland sind auf Vereinsebene als
Mitglieder bei antispam.de
organisiert. Das heißt wiederum nicht, dass sich alle untereinander
kennen. Die Anonymität bleibt größtenteils erhalten.
Es haben sich aber kleinere Freundschaftsgruppen von Scambaitern
herausgebildet. Wem gegenüber man die Anonymität dann
aufhebt, ist eine rein individuelle Entscheidung. Ich persönlich
habe zum Beispiel sehr engen Kontakt zu Orion,
dem Mitbetreiber und -autor unserer Internetseite scambaiter.info.
Ohne, dass Dritte davon wissen, pflegen wir privat ein freundschaftliches
Verhältnis und arbeiten besonders in technischen Fragen eng
zusammen.

Wie gefährlich ist das Ködern von Online-Kriminellen,
etwa von Mitgliedern der Nigeria-Connection?

Wenn man sich an die allgemeinen Sicherheitskriterien hält,
sehe ich kein größeres Gefahrenpotential. Dazu gehört,
dass Scambaiter stets nicht-private E-Mail-Adressen verwenden ,
die sie in den jeweiligen Gästebüchern hinterlassen. Bei
Bedarf können diese jederzeit abgeschaltet werden. Ohne Einhaltung
solch wichtiger “Spielregeln“, setzt man sich zweifellos
der Gefahr aus, irgendwann ungewollt Offline-Kontakt mit kriminellen
Scammern (auf Grund der geographischen Nähe zum Beispiel aus
Osteuropa) zu haben. Man sollte nie vergessen, dass man es mit real
existierenden Verbrechern zu tun hat, deren Gewaltpotential entsprechend
hoch sein kann.

Photo by Pankaj Patel on Unsplash

politik-digital.de: Der Kongress in diesem Jahr steht unter
dem Motto „Ist das Internet noch zu retten“. Klingt
pessimistisch: Ist Internetnutzung ohne Spam überhaupt noch
denkbar?

Sven
Karge: Spam ist wie Grippe. Wenn Sie die haben, dann gehen
Sie in die Apotheke, kaufen sich Medikamente, legen sich drei Tage
hin, dann ist es wieder weg und dann kommt es mal wieder. Auf lange
Sicht kriegen wir alle das Problem ohne technische Lösungen,
also ohne, dass wir Spamfilter davor schalten, nicht weg. Man muss
bedenken, dass Spam 25 Prozent des E-Mail-Verkehrs ausmacht. Da
kommen Sie ohne technische Lösungen überhaupt nicht zurande.

Ihr Verband eco hat das europaweite Projekt „SpotSpam“
angestoßen. Was steckt dahinter?

Uns mangelt es gar nicht an der Rechtslage, sondern an der Rechtsdurchsetzung.
Spam ist ein internationales Problem. Deswegen haben wir mit „SpotSpam“
eine europäische Datenbank eingerichtet, damit zuständige
Behörden in ganz Europa darauf zugreifen und sich austauschen
können. Wir wollen quasi verhindern, dass die Holländer
und die Deutschen parallel an einer Sache arbeiten und jeder erfindet
das Rad neu. Stattdessen können sie sehen, wer welche Informationen
hat und sich gegenseitig helfen. Die Datenbank dient dazu, die Rechtsdurchsetzung
für die zuständigen Behörden zu erleichtern.

Woher kam der Gedanke zum Gipfel?

Vor fünf Jahren hatte ich die Idee, wir machen hier den ersten
Deutschen Anti-Spam-Kongress und jetzt geht ein Ruck durch die IT-Branche
und wir finden hier Lösungen, wir vernetzen uns hier international.
Ich habe mir echt gedacht, da tun sich die technischen Köpfe
global einfach zusammen und dann tauscht man sich auch mit den Behörden
aus und dann koordiniert alles und das kriegt man doch einfach hin:
Das war ziemlich naiv von mir.

Warum ist es so schwer, das Problem Spam in den Griff zu
bekommen?

Das Geschäft lohnt sich einfach! So wie sich Geldfälschung
lohnt und Betrug, lohnt sich auch Spam und deshalb wird es auch
immer welche geben, die da mitmachen. Aber alternativ zu sagen,
dann lassen wir es doch einfach, geht schon mal gar nicht, denn
dann können wir die E-Mail vergessen. Dann können wir
alle wieder zu Fax und reiner Post zurückkehren. Auch mit den
Anstrengungen, die heute unternommen werden: Dass wir Spam voll
und ganz eliminieren, dass wird einfach nicht klappen, denn Sie
werden auch Mord und Totschlag trotz Gesetzen nicht verhindern können.
Aber wir müssen darauf achten, dass wir das Spam-Ausmaß
ständig eindämmen.