Spam ist in aller Munde – leider nicht so, wie es sich der amerikanische Markeninhaber Hormel Food Corporation wünschen würde. Denn wer sich heute mit dem Thema Spam befasst, denkt dabei in aller Regel nicht an den gleichnamigen Schinken in Dosen, der seit 1937 auf dem Markt ist. Spam hat sich in kurzer Zeit zum allgemein bekannten Ausdruck für ein Phänomen des Internets etabliert: unverlangte Werbung per E-Mail, die in rauen Mengen und ziellos verschickt wird. Tendenz: steigend.
Inzwischen sehen sich auch Regierungen in der Pflicht, die Werbeflut per Gesetz einzudämmen. So trat etwa zum 1. Januar dieses Jahres in den USA der “CAN-SPAM-Act” (Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003) in Kraft, der das Versenden von Spam unter Strafe stellt. Auch die Europäische Union hat eine Richtlinie erlassen, die voraussichtlich in diesem Jahr umgesetzt wird. In Deutschland arbeitet die SPD-Regierung derzeit an einem Gesetzentwurf, der für Spam Geld- und sogar Haftstrafen vorsieht.

Hohe Kosten

Den Unternehmen entstehen durch diese Massen-Mails erhebliche Kosten. Die Marktforscher von IDC haben errechnet, dass ein Unternehmen mit 500 Mail-Accounts und nur vier Spams pro Account und Tag einen finanziellen Schaden von jährlich über 60.000 Euro erleidet. Dabei wurden nur die Produktivitätsverluste der Mitarbeiter in Rechnung gezogen. Weitere Kosten, etwa die durch Spams vergeudeten Server-Kapazitäten oder Netzwerkbandbreiten, blieben unberücksichtigt.
Doch nicht nur in den Unternehmen hinterlässt Spam seine Spuren. Vor allem Organisationen, die E-Mail und Internet als Vertriebskanal zum Endkunden nutzen, erleiden zusätzlichen Schaden: Die Verbraucher betrachten diese Kommunikationswege zunehmend kritisch, Spams verleiden ihnen das Online-Vergnügen. Das ergab eine Studie in den USA, die vom Pew Internet & American Life Project im Oktober 2003 durchgeführt wurde. 25 Prozent der Befragten gaben an, wegen des ständig steigenden Spam-Aufkommens weniger E-Mail zu nutzen. Beeindruckende 70 Prozent erklärten, ihre Freude am Internet werde durch Spam getrübt. Und über die Hälfte findet es schwierig, durch die Werbeflut im Postfach zu den wichtigen Mails durchzudringen.
Es bleibt fraglich, ob gesetzliche Regelungen das Problem durchgreifend lösen können. Eine Erhebung von Brightmail, einem Anbieter von Spam-Filtern, ergab im Februar dieses Jahres ein anderes Bild. Demnach ist das Spam-Aufkommen trotz des CAN-SPAM-Acts im Januar leicht gestiegen. Brightmail gibt für diesen Monat den Spam-Anteil im gesamten Mail-Verkehr mit satten 60 Prozent an.

Unternehmen setzen sich zur Wehr

Die einzige Erfolg versprechende Strategie scheint also derzeit bei den Anwendern selbst zu liegen. Mit Anti-Spam-Lösungen versuchen betroffene Unternehmen, sich zur Wehr zu setzen. So etwa SAP: Dort kam der Wunsch nach Spam-Filtern von den Endanwendern selbst, berichtet Bernd Himmelsbach, bei SAP zuständig für das Design und den Betrieb der E-Mail-Infrastruktur. Dabei spielt Spam im Umfeld der SAP-Anwendungen keine Rolle: “Bei automatischen Prozessen, die beispielsweise von einer E-Mail angestoßen werden, haben Spams normalerweise keinen Einfluss. Das System achtet auf die Syntax einer Mail und ignoriert ohnehin alles, was nicht bekannt ist.” Bei der SAP-internen Lösung geht es darum, die persönlichen Mail-Accounts der Mitarbeiter werbefrei zu halten.

Allerdings galt es vor der Einführung des Filters, einige juristische Fragestellungen zu klären. In Deutschland etwa stellt jede Manipulation des Mail-Verkehrs unter Umständen eine Verletzung der Persönlichkeitsrechte dar, wenn die private E-Mail-Nutzung am Arbeitsplatz nicht explizit verboten ist. Hier gelten die üblichen Telekommunikationsgesetze. Anders in den USA. Dort kann es zu rechtlichen Schwierigkeiten führen, wenn ein Mitarbeiter Spam mit anstößigem Inhalt erhält. Erste Klagen gegen Unternehmen laufen bereits, da sich Mitarbeiter durch pornografische Spam am Arbeitsplatz sexuell belästigt fühlten und dafür das Unternehmen verantwortlich machten. Ihrer Meinung nach hätte es die Spam ausfiltern sollen.

Juristische Klippen umschiffen

Gemeinsam mit den hausinternen Rechtsexperten und dem Datenschutzbeauftragten hat die IT-Abteilung von SAP in Zusammenarbeit mit SAP Hosting daher einen Grundsatz festgelegt: Der Einsatz des Spam-Filters ist freiwillig. Um in Deutschland nicht mit den Fernmeldegesetzen zu kollidieren, gilt hier laut Himmelsbach die Opt-In-Lösung. Jeder Mitarbeiter, der den Filter nutzen will, muss ihn explizit aktivieren. “Das geht mit wenigen Mausklicks und kann von jedem Anwender ohne Schwierigkeiten vom eigenen PC aus selbst erledigt werden”, so Himmelsbach. In den USA dagegen gilt Opt-Out. Zum Schutz des Unternehmens ist der Spam-Blocker dort bei jedem Mail-Account aktiviert. Es steht den Mitarbeitern aber frei, ihn auszuschalten. Auf diese Weise trägt SAP trotz einer weltweit einheitlichen Lösung den unterschiedlichen Rechtsgepflogenheiten in den einzelnen Ländern Rechnung.
Der Wunsch nach einem Spam-Schutz bei den SAP-Mitarbeitern ist kein Einzelfall. So berichtet auch Gerhard Langer, Consulting Engineer bei dem auf Sicherheitsfragen spezialisierten Dienstleister Ampeg GmbH, von steigendem Spam-Aufkommen: “Bis zu 70 oder gar 80 Prozent Spam-Anteil sind heute nicht mehr ungewöhnlich. Im Schnitt sind 30 bis 40 Prozent aller E-Mails, die ein Unternehmen bekommt, Spam.” Dabei beobachtet Langer einen interessanten Effekt: “Ältere Unternehmen, die bereits seit vielen Jahren das Internet nutzen, sind meist stärker von Spam betroffen als andere.” Den Grund dafür sieht er darin, dass die Mitarbeiter noch vor einigen Jahren recht sorglos mit ihren Mail-Adressen umgegangen sind. Zu Beginn der flächendeckenden Internet-Nutzung habe sich kaum jemand etwas dabei gedacht, seine Adresse in News-Groups oder bei anderen Gelegenheiten zu nennen.
Aus Langers Erfahrung gehört heute ein Spam-Filter am Mail-Server zwar nicht zur Standardausstattung, aber immer mehr Firmen interessieren sich dafür. “Das Problem wird sich nicht von selbst lösen, da mit Spam viel Geld verdient wird – trotz der immensen Streuverluste. Da der Versand von Millionen von Mails fast nichts kostet, reicht es, wenn einer von 100.000 Empfängern auf die Werbung reagiert.” Rund 250 Millionen Euro habe die Spam-Branche laut Langer im Jahr 2002 umgesetzt.

Technologische Reife

Die heute vorhandenen Technologien hält Langer allerdings nicht bei allen Anbietern für ausgereift. So sei die rein heuristische Suche, die die Basis vieler Spam-Filter bildet, zu unzuverlässig. Bei der heuristischen Filterung versucht das System, den Inhalt der Mail beispielsweise durch Schlüsselworte zu klassifizieren. Oft seien diese Heuristiken in englischer Sprache entworfen, erläutert der Berater. Die Übertragung in andere Sprachen funktioniere nicht immer optimal. Zudem sei es bei der heuristischen Suche schwer, zwischen einer Spam und einem abonnierten Newsletter zu unterscheiden. Besser seien Methoden, die analog zur Virensuche auf Signaturen, also bekannten Mustern, basieren, die gegen eine Datenbank abgeglichen werden. Diese sind sprachunabhängig. Allerdings muss wie bei Virenscannern sichergestellt sein, dass der Spam-Filter regelmäßig mit Updates versorgt wird.
Als unzuverlässig stuft Langer auch das altbekannte Verfahren des Blacklistings ein. Dabei werden komplette Internet-Domänen am Mail-Server blockiert und deren Mails direkt abgewiesen. Die Basis dazu bilden schwarze Listen (Black Lists), die von verschiedenen Anbietern mehr oder weniger regelmäßig herausgegeben werden. “Es gibt nur sehr wenige gute Anbieter in diesem Bereich. Mit den meisten Listen kann man nur einen kleinen Prozentsatz der Spams wegfangen.”
Langer rechnet damit, dass Spam-Filter bis in zwei Jahren zum Standard der IT gehören. Er sieht dabei den Trend, Spam-Filter und Virenschutz in einer Lösung zu vereinen: “Beides funktioniert mit Content-Filtern, beides ist am Mail-Server notwendig.”

Spam-Filter rechnen sich schnell

Wie alles in der IT verursachen auch Spam-Filter Kosten: Neben den Lizenzen und dem Implementierungsaufwand muss Hardware beschafft werden, das System benötigt Wartung und Administration. Davon sollten sich Anwender beim Einführen einer Spam-Abwehr jedoch nicht abschrecken lassen. IDC rechnet vor: Ein Unternehmen mit einem Spam-Anteil von nur zehn Prozent hat bereits mit Produktivitätsverlusten zu kämpfen, die es rechtfertigen können, einen Filter einzuführen.