Von Charles Taite, CTO von Beginfinite Inc.
Foto:
Nur wenige Jahre ist es her, als Bill Gates erklärte das Spam-Problem sei spätestens 2006 gelöst. Es schien als sollte er Recht behalten, wie so oft: Der Einsatz von Anti-Spam-Software in Unternehmen zeigte Wirkung. Anfang 2006 ging das Spam-Aufkommen drastisch zurück. In vielen Fällen blieben nur noch ein bis zwei Spam-Nachrichten unerkannt und drangen bis in die Mailboxen der User vor. Nicht nur der Microsoft-Chef dachte, dass die Spam-Plage Geschichte wäre.
Machen wir einen Sprung nach Dezember 2006. Ist das Spam-Problem wirklich gelöst?
Nein! Lediglich der erste Akt der Spam-Story, nennen wir Sie "Spam Wars", ist abgeschlossen und Bill Gates hat dieses Mal nicht Recht behalten. Im Gegenteil, wir stecken mitten im zweiten Akt. Das Blatt in dieser Story hat sich gewendet und es sieht danach aus, als ob das Spam-Problem immer größer wird. Der Stand der Dinge ist, dass seit einigen Wochen und Monaten das weltweite Spam-Aufkommen aus verschiedenen Gründen sprunghaft angestiegen ist. Die Experten überschlagen sich mit Ihren Meldungen und Warnungen. Neun von zehn E-Mails sind bereits Spam-Mails und es ist kein Ende in Sicht.
Die Rechnung ist einfach
Nehmen wir an, dass eine Anti-Spam-Lösung 97 Prozent der eingehenden unerwünschten Nachrichten abfängt. Bei einem Spam-Aufkommen von 100 pro Mailbox, erhält man folglich drei Spam-Nachrichten pro Tag. Damit konnten wir zu Beginn des Jahres leben. Heute hat man allerdings das Gefühl, als würde man von der Spam-Welle überschwemmt werden. Aus drei Spam-Mails sind in vielen Fällen zehn oder noch mehr Werbe-Mails pro Tag geworden, die Ihren Weg in die Mailboxen der User finden.
Die eingesetzte Spam-Lösung arbeitet deswegen aber nicht unzuverlässiger als zuvor. Die Server-Statistiken der eingesetzten Lösung beweisen es. Die Erkennungsrate liegt immer noch bei ca. 97%. Doch statt 100 Spams bekommt man nun bis zu 400 unerwünschte Nachrichten pro Tag. Zurück zum Rechenbeispiel: Bei der durchaus guten Erkennungsquote von 97 Prozent werden somit von 400 Nachrichten 388 als SPAM identifiziert. Zwölf Spam-Mails gelangen letztendlich in die User-Mailbox.
Hintergründe der SPAM-Flut
Wie bereits erwähnt, das Spam-Aufkommen ist in den letzten Wochen und Monaten drastisch angestiegen. Die Spam-Versender haben gezielt Computerviren eingesetzt, um infizierte Rechner zu einem riesigen Netzwerk zusammenzufassen und dieses als so genanntes Botnet (steht für Robot Network) zu missbrauchen. Stellen Sie sich einfach vor, dass Tausende PCs gleichzeitig und ununterbrochen Spam-Mails verschicken. Schätzungen zur Folge liegt die Anzahl der infizierten Rechner sogar im hohen sechsstelligen Bereich, Tendenz steigend. Das erklärt auch warum eine relativ geringe Anzahl von "professionellen" Spam-Versendern die Zahl der Werbe-Mails in ungeahnte Höhen schraubt.
Spam 2.0
Botnets sind nicht mehr wegzudenken, denn für die Span-Versender sind diese Netzwerke eine Wunderwaffe - eine günstige Lösung, die dafür aber höchsteffektiv ist. Und der Kampf gegen die Botnets scheint zudem aussichtslos. Für jeden Botnet-PC, der entdeckt, gesäubert oder auf eine "Schwarze Liste" (Blacklist) gesetzt wird, werden zwei neue PCs infiziert und von Spammern Zweck entfremdet. Ein Kampf gegen Windmühlen. Wir müssen wohl akzeptieren, dass Botnets und die damit einhergehende Spam-Flut ein Problem sind, mit dem wir leben müssen. Wir befinden uns inmitten des zweiten Teils der Spam-Geschichte: SPAM 2.0.
Fakt ist, dass die aktuellen beziehungsweise traditionellen Anti-Spam-Lösungen (Anti-Spam 1.0) dieser neuen Herausforderung nicht gewachsen sind. Anti-Spam 1.0 basiert in den meisten Fällen auf ein sich automatisch aktualisierendes Regelwerk, ein mehr oder weniger - in den meisten Fällen weniger - selbstlernendes System, das die PCs effektiv vor Spam schützen soll. Diese Methode ist durchaus erfolgreich, wirkt aber leider nicht mehr bei einem derart hohen Spam-Aufkommen, wie wir es zurzeit erleben.
Ein einfaches Beispiel macht es deutlich: Nehmen wir an, dass ein einzelner Spammer bisher in der Lage war zwei Millionen Spam-Nachrichten pro Tag zu versenden. Ab einem Durchsatz von 83.000 Spam-Nachrichten pro Stunde - das ist ungefähr das stündliche Aufkommen, um zwei Millionen Spams pro Tag versenden zu können - gelangen rund 300.000 Werbe-Mails in die Mailboxen der Benutzer. Denn erst nach vier Stunden nach dem Start des Absendevorgangs gelangt die Spam-Nachricht auf der Schwarzen Liste. Verfügt die eingesetzte Anti-Spam-Lösung über ein automatisiertes Regel-Update, ist das Problem relativ kurzfristig gelöst. Auf diese Weise landen vielleicht ein bis zwei Spam-Nachrichten in der Empfänger-Mailbox. Der Rest wird dank Regel-Update als Spam identifiziert.
Die Anzahl der Spam-Mails im Eingangskörbchen zeigt somit an, wie aktuell die eingesetzte Anti-Spam-Lösung ist. Kurz gesagt: Liegen viele Spams in der Mailbox, ist das Regel-Update zu langsam. Das erklärt auch warum eine Mailbox Spams enthält, die eigentlich geblockt und ins Quarantäne-Verzeichnis verschoben werden müssten. Das ist auch kein Wunder, es dauert einfach seine Zeit, bis Spam auf die herkömmliche Art und Weise als solcher erkannt wird.
Wenn wir uns jetzt das Szenario mit Spam 2.0 vorstellen, dann reden wir heute nicht mehr von zwei Millionen Spam-Mails pro Tag. Die Zeiten sind endgültig vorbei. Stattdessen kann der Spammer mit einem Botnet mühelos bis zu zehn Millionen Spams versenden. Statt des Durchsatzes von 83.000 Nachrichten pro Stunde, werden nun stündlich 415.000 Mails verschickt. Bevor dieser Spammer schließlich in einer Blacklist auftaucht, hat er in derselben vierstündigen Periode satte 1,66 Millionen Spam-Nachrichten versendet. Eine herkömmliche Anti-Spam-Lösung ist mit dieser Spam-Flut völlig überfordert.
Was sind die Lösungsansätze?
Die Antwort klingt auf den ersten Blick ganz einfach: Anti-Spam-Lösungen brauchen bessere Erkennungsraten. Statt 97 sollten künftig 99 Prozen erkannt werden. Doch so einfach ist das nicht. Auch bei einer Erkennungsrate von 99 Prozent werden bei einem derartigen Spam-Volumen immer noch vier bis fünf unerwünschte Mails unbemerkt in die Mailbox der Benutzer gelangen. Der Empfang von nur ein bis zwei Spam-Nachrichten pro Tag, wie zu Beginn 2006, wäre nur mit einer Erkennungsrate von mindestens 99,5 Prozent realisierbar.
Das klingt unmöglich? Ist es auch, jedenfalls für Anti-Spam 1.0-Lösungen. Gegen Spam 2.0 brauchen wir Anti-Spam 2.0, um uns zuverlässig vor Werbe-Mails zu schützen. Dieser Spam-Schutz sollte sich durch zusätzliche proaktive Technologien auszeichnen, wenn er Erkennungsraten von 99,5 Prozent oder gar höher haben soll. Häufigerer Update der Regeln und das Vertrauen in die Blacklists reichen in diesem Fall nicht mehr aus.
Die bisherigen reaktiven Technologien sind veraltet, sie öffnen die Türen und sind somit anfällig gegenüber den leistungsstarken Botnets. Auch wenn das Regelwerk anstatt stündlich künftig sogar minütlich aktualisiert wird, ist der Schutz vor Spam unzureichend. Das Wachstum der Botnets und einhergehend der drastische Anstieg der Spam-Mails ist auch langfristig nicht zu stoppen.
Wie könnte denn eine AntiSpam 2.0-Lösung aussehen? Derartige Software müsste automatisiert trainiert werden, damit sie "Ham" (das Gegenteil von Spam) eindeutig als solchen detektiert, nur in diesem Falle kann das System zuverlässig vor Spam-Attacken geschützt werden.
Das automatische Training kann so eingestellt werden, dass die Software fortlaufen Spam- und Ham-Nachrichten aus verschiedenen Quellen sammelt. So lernt das System selbständig die Eigenschaften der Benutzer und wird ständig aktualisiert. Ein derartiger Filter reagiert wesentlich schneller auf neue Spam-Bedrohungen als die herkömmlichen Anti-Spam-Produkte.
Wie erkenne ich Ham?
Das Problem mit den unerwünschten Nachrichtei besteht generell darin, dass der Schwerpunkt zu sehr auf die Spam-Erkennung gelegt wurde. Spam ist doch nicht wichtig! Wichtig sind für den Benutzer nur die Nachrichten, die er auch bekommen will, als Ham. Wenn eine eine Anti-Spam-Lösung zuverlässig alle Ham-Nachrichten erkennt, dann sind zwangsläufig alle anderen E-Mails aus Sicht des Empfängers Spam-Nachrichten.
Das sollte auch der Lösungsansatz für eine Anti-Spam 2.0-Software sein. Spam ist eigentlich egal und rückt in den Hintergrund. Auf diese Weise ist man nicht nur vor der aktuellen Spam-Flut geschützt, sondern auch vor allen anderen Bedrohungen, die über die Botnets in Zukunft ausgesendet werden. Es ist also nicht nötig auf irgendwelche Updates zu warten, während das System und die Mailboxen mit Spam-Mails bombardiert werden.
Im Gegensatz zu den Ham-Nachrichten ändert sich Spam regelmäßig und in sehr kurzen Abständen. Auch das sollte sich ein moderner E-Mail-Filter zu Nutze machen. Er sollte automatisch die Ham-Eigenschaften erlernen, dann ist es für ihn noch einfacher zwischen Gut und Böse also zwischen Ham und Spam zu unterscheiden, denn die Eigenschaften der unerwünschten Mails ändern sich ständig, währen die üblich Posteingang gleich bleibt. Anti-Spam 2.0-Software dreht den Spieß einfach um, und stellt die bisherige Denkweise völlig auf den Kopf. Mit dieser unkonventionellen, aber sehr erfolgreichen Methode, könnte derartige Software sehr erfolgreich werden.
Schlussbemerkung
Dieser Artikel soll lediglich einen kurzen Überblick über das aktuelle Spam-Problem und dessen Hintergründe geben. Er dient auch keiner wissenschaftlichen Analyse. Er soll einfach und verständlich zeigen, was hinter der aktuellen Spam-Flut steckt und warum neue Wege zur Spam-Abwehr notwendig sind. Klar ist auch, dass der massenweise Versand von Spam-Mails über Botnets nicht das einzige Mittel der Spammer ist. Das ist nichts Neues. Über diverse HTML-Tricks, Änderungen der Mail-Eigenschaften oder aktuell via Bilder-E-Mails, werden die Spammer weitere Wege suchen, um eingesetzte Filter zu umgehen. Wahrscheinlich wird schon bald das nächste Kapitel der Spam-Story aufgeschlagen.