Das Internet wird täglich von Millionen Spam-Mails überflutet. Um diese Flut unerwünschter Nachrichten einzudämmmen, erstellen spezialisierte Anbieter schwarze Listen. Darauf stehen Server, von denen aus Spam verschickt wird - und die deshalb blockiert werden.

Die spezialisierten Dienste agieren wie Seismografen in der virtuellen Welt: Sie sammeln Spam und ziehen daraus ihre Schlüsse. Gibt es Anzeichen, dass ein Server für den Versand von Spam und Viren-Mails missbraucht wird, tritt ein Antispamdienst in Aktion.

Sobald die Intensität der Angriffe eine bestimmte Schwelle überschritten hat, setzt der Antispamdienst den betreffenden Server respektive dessen IP-Adresse auf eine Sperrliste - im Fachjargon auch Blacklist genannt.

Fluch und Segen zugleich

Daran orientieren sich viele Unternehmen. Sie filtern und blockieren eingehende Emails anhand solcher Listen - selbst wenn die eigentlichen Verfasser der Emails nichts verbrochen haben. Ausschlaggebend ist nur, über welchen Server die Emails verschickt worden sind.

Diese Listen sind so Fluch und Segen zugleich. Sie helfen, problematische Server zu identifizieren und die Flut von unnützen Emails einzudämmen. Gleichzeitig kann es geschehen, dass normaler Email-Verkehr nicht mehr fliesst, weil ein Server auf einer Blacklist gelandet ist.

Dies kann beispielsweise passieren, wenn ein Server Ziel eines Angriffes von Cyberkriminellen wurde. Leidtragende können aber auch unbescholtene Emailnutzer oder kleine und mittlere Unternehmen sein, welche ihren Email-Verkehr über Server von Telekommunikations- und IT-Dienstleistern abwickeln.

Jüngst konnten etwa 400 Kunden von UPC Cablecom nur eingeschränkt oder gar nicht mailen, weil ein Server des Kabelnetzbetreibers auf die schwarze Liste des Antispamdienstes SpamCop gelandet ist. Die Zeitschrift «Beobachter» hatte den Fall publik gemacht.

Hohe Dunkelziffer

Mit dem Problem blockierter Server schlagen sich aber nicht nur Internetprovider wie UPC Cablecom herum. Betroffen sei grundsätzlich jedes Unternehmen mit eigenem Mailserver, erklärte IT-Experte Guido Rudolphi gegenüber der Nachrichtenagentur sda. Rudolphi hat sich darauf spezialisiert, die Identität von Cyberkriminellen zu enthüllen.

Anzeige

Wie viele Fälle es tatsächlich gibt, lässt sich nur schwer eruieren - auch weil sich betroffene Konzerne bedeckt halten. Auf Anfrage möchte kein Unternehmen Zahlen herausrücken: Niemand steht gerne als Hort von Spammails da.

Es sei durchaus möglich, dass einzelne IP-Adressen oder ganze Server wegen Spamversand oder anderen missbräuchlichen Aktivitäten auf Blacklists unterschiedlicher Anbieter landen, schreibt Swisscom auf Anfrage vage.

Keine Zahlen liefert auch die Melde- und Analysestelle Informationssicherheit (MELANI), die im Auftrag des Bundes die Betreiber kritischer Infrastrukturen wie etwa Internetprovider subsidiär vor Angriffen schützt. MELANI weise solche Fälle nicht gesondert aus, hält Max Klaus fest. Der stellvertretende Leiter von MELANI verweist aber auf die möglicherweise hohe Dunkelziffer bei Cyberkriminalität.

Private Anbieter bringen auch Probleme

Angesichts der globalen digitalen Vernetzung spielen spezialisierte Anbieter eine immer wichtigere Rolle. Alleine in den letzten Jahren seien mehrere hundert Antispamdienste gegründet worden, sagt Rudolphi. Ihnen kommt zugute, dass der Aufwand für Unternehmen enorm hoch ist, sich vor Gefahren aus dem Internet zu schützen.

Die Präsenz privater Anbieter bringe aber auch Probleme mit sich, sagt Klaus. Wie der Fall bei Cablecom zeige, seien die Raster der Sperrung meistens sehr grob. Viele Maildienstleister und Mailserverbetreiber übernehmen die Blacklists von Anbietern nämlich ungeprüft und bringen aufgrund einiger weniger Sünder viele Unschuldige in Verruf.

Dagegen können Unternehmen mit blockierten Servern theoretisch relativ leicht vorgehen. Laut Rudolphi reicht es, beim betreffenden Anbieter vorstellig zu werden. Angesichts der hunderten Sperrlisten falle es den Firmen in der Praxis jedoch schwer, den Überblick zu behalten, so der IT-Experte.

Grösster Angriff in der Geschichte

Blockierte Server sind für Rudolphi aber kein Hinweis darauf, dass Sicherheitslücken bestehen. «Ein Unternehmen kann natürlich immer mehr in die IT-Sicherheit investieren. Solange Menschen aber auf Betrüger hereinfallen oder selbst zu Betrügern werden, sind Internetprovider machtlos.» In den Augen der Experten steht die Schweiz im internationalen Vergleich insgesamt gut da.

Ins Visier der Angreifer geraten dabei zunehmend die Antispamdienste selbst. Im vergangenen März wurde Spamhaus Ziel eines massiven Angriffes, mit dem der in Genf ansässige Dienst zum Erliegen gebracht werden sollte. Laut MELANI war es einer der grössten Angriffe «in der Geschichte des Internets».

(sda/dbe)