Würde jeder Empfänger von Spam-Mails seine ungewünschte Post täglich ausdrucken, käme das jeden Tag dafür weltweit benötigte Papier einem Zeitungsstapel von der Erde bis zum Mond gleich. Es ist jedoch nicht nur die Menge an Spam, Viren, Phishing oder Spyware, die das Leben erschweren, auch ihre Vielfältigkeit nimmt zu: So geht etwa von Blended Threats (Schadcode, der für seine Angriffe verschiedene Infektions- und Verbreitungstechniken parallel nutzt) oder Image-Spam (oftmals mit Schadcode behaftete Werbemails) eine zunehmende Gefahr für Netzwerke aus.

Aktienkurse mit Spam-Mails beeinflusst

Von vielen Anwendern lediglich als lästiges Ärgernis wahrgenommen, sind Spam-Mails und unsichere Websites zunehmend Teil krimineller Machenschaften. Man mag es kaum glauben: So genannte "Stock-Spam"-Attacken (Werbe-Mails, die zum Aktienkauf animieren) haben schon nachweislich reale Aktienkurse beeinflusst.

Ein aktuelles Beispiel: Ende März 2007 verbreitete sich eine Attacke mit Namen "VCDY Stock Spam" innerhalb von zehn Stunden über ein Netz von 50.000 Zombie-PCs in 44 Ländern. Kurz darauf stieg der Kurs des beworbenen Pennystocks um immerhin 13 Prozent, und das Handelsvolumen wuchs um ein Vielfaches an. Die Initiatoren dieser Attacken erzielen erhebliche Gewinne, während die Opfer das Nachsehen haben. Und das könnte jeder sein, denn neben Aktienkäufern werden sämtliche Nutzer von Zombie-PCs hinters Licht geführt, wenn ihre Internetleitung dabei zur Tatwaffe mutiert.

In der Schweiz sind PC-Besitzer seit April 2007 für den Schaden haftbar, den sie auf diese Weise anrichten, andere Länder dürften bald nachziehen. Es ist daher höchste Zeit, dass sich auch kleine und mittelständische Unternehmen in Deutschland über effektive Schutzmaßnahmen ernsthaft Gedanken machen - bevor ein Haftungsproblem entsteht. Denn um die Stock-Spam-Attacken, die mittlerweile einen Anteil von 30 Prozent am gesamten Spam-Aufkommen haben, in Gang zu setzen, werden zuvor zigtausende PCs mit Schadsoftware infiziert.

Der Vorsprung von Virenschreibern

Viele Attacken wie Blended Threats oder Image-Spam verbreiten sich vor allem deshalb so schnell, weil sie durch herkömmliche, rein auf textliche Inhalte fokussierte Filter schlüpfen können. Die Angreifer transportieren ihre Malware über geschickt getarnte Weblinks in E-Mails. Diese verweisen auf eine Website, von der Malware automatisch heruntergeladen wird. Die Hacker sind in der Lage, den ausgesetzten Schadcode jederzeit zu aktualisieren. Es scheint fast so, als würden die Malware-Schreiber damit im Kampf gegen die Antivirenhersteller siegen: Sobald eine neue Signatur erstellt ist, können sie hinter dem Link eine neue Schadsoftware verstecken.

Gefährlicher Image-Spam nimmt rapide zu

Weitere Brisanz entsteht durch Nachrichten, bei denen die Botschaft fast ausschließlich als Bild vorliegt - auch Bilder können gefährliche Links transportieren. Die Zahl dieser Image-Spam-Mails ist explodiert: Mittlerweile hat ein Drittel des gesamten Spam-Aufkommens, täglich rund 25 Milliarden Nachrichten, einen solchen Charakter. Mit jeder Spam-Attacke verändern sich die Bilder minimal, um herkömmliche Spam-Blocker auszuhebeln. 78 Prozent der unerwünschten Nachrichten wandern so ungehindert in die Mailboxen der Anwender.

Die Kombination mit präventiven Schutzmaßnahmen kann jedoch die Lücke schließen, bevor sie entsteht. Als geeignet für den präventiven Schutz am Gateway haben sich reputationsbasierte Verfahren erwiesen. Statt Inhalte analysieren sie das Sendeverhalten der Absender mittels statistischer Messungen. Das Ziel heißt, eine möglichst objektive Einschätzung der Seriosität einer Website oder eines E-Mail-Absenders zu erhalten. Diese Einschätzung ist oftmals a priori verfügbar: Zentrale Datenbanken analysieren bis zu 110 Parameter einer Internetadresse - und das von über 25 Prozent des weltweiten E-Mail-Aufkommens. Wichtig ist, dass eine eingebundene Sicherheits-Appliance am Gateway den Kontext der Verbindung scannt: wer die Nachricht gesendet hat, von wo sie abgeschickt wurde, auf welche Weise sie Endanwender adressiert und was sie enthält. Eine Nachricht ohne Text, die Spam-verdächtigen HTML-Code verwendet, von einer IP-Adresse eines einschlägigen Netzwerks kommt und dazu erst seit 30 Minuten E-Mails verschickt, ist sehr wahrscheinlich keine Nachricht, die ein Anwender erhalten möchte.