“Viele Anti-Spam-Techniken versagen”

EnterpriseManagementSicherheit

Sascha Siekmann ist mit 20 Jahren Erfahrung bereits ein ‘Veteran’ im Bereich elektronisches Messaging.

In den 80er-Jahren programmierte er kostenlose Software zur Verbindung von PCs mit Mailbox-Systemen über Einwahl-Modems – mit der damals atemberaubenden Geschwindigkeit von 1200 Bit pro Sekunde. Zu Beginn der 90er Jahre verknüpfte er bei CompuServe das E-Mail-System ‘cc:Mail’ mit den Foren, so dass die Benutzer beider Seiten sicher über CompuServe Mail, X.400, SMTP und Fax kommunizieren konnten.

Siekmann hatte Positionen in den Bereichen Technik, Produktmanagement und Produktmarketing bei Computer 2000, Lotus Deutschland, cc:Mail USA, IBM Deutschland, SuSE Deutschland und Scalix Großbritannien inne. Als Unternehmer startete er seit 1987 zahlreiche auf elektronisches Messaging spezialisierte Firmen. Momentan ist Siekmann als Technical Support Engineer für Cloudmark tätig, einen Anbieter von Messaging-Sicherheitslösungen der Carrier-Klasse.

silicon.de: Wie viel Prozent des gegenwärtigen E-Mail-Aufkommens sind Spam?

Sascha Siekmann: Ein genauer Wert lässt sich gar nicht so einfach beziffern, da die Internet Service Provider (ISP) jeweils unterschiedliche Spam-Aufkommen verzeichnen. Verwenden sie beispielsweise Blacklists, erhalten sie deutlich weniger Spam als ISPs, die keinerlei Empfangsrestriktionen anwenden. Bei letzteren sehen wir Zahlen bis zu 95 Prozent und mehr.

silicon.de: Die Branche versucht seit Jahren, Herr des Problems zu werden – etwa mit Ideen wie ‘DomainKeys’ oder ‘Sender Policy Framework’. Sind diese Versuche endgültig am Ende?

Sascha Siekmann: Gegenwärtig sieht es leider ganz danach aus. Die erfolgreichen automatisierten Account-Registrierungen bei Microsoft Live und Google haben Spammern Millionen von Mailboxen verschafft, die alle mit ausgehenden DKIM und SPF senden – daher laufen diese Verfahren leider ins Leere.

silicon.de: Wie läuft heute eine typische Spam-Attacke auf einen ISP ab?

Sascha Siekmann: Eine typische Attacke war bis vor kurzem ein so genannter “rotierender Blogspot-Spam”. Der Spam bestand aus kurzen Texten und der Blogspot-URL. Die ISPs wurden dann von Botnets mit eingehenden SMTP-Verbindungen geflutet. Alle 60 Sekunden wird eine neue, unverbrauchte Google-Seite verwendet. Wir konnten dies bei einer Kampagne messen.

silicon.de: Wie kann sich der ISP verteidigen?

Sascha Siekmann: Indem er genügend Kapazität bereitstellt und sein Netzwerk aktiv verwaltet. Neben Anti-Spam-Plattformen gehört Rate Limiting auf Protokoll- und Netzwerkebene zum Abwehrrepertoire. Damit wird zum Beispiel die maximale Anzahl von E-Mails, die eine IP-Adresse senden kann, auf einen angemessenen Wert gesenkt. Essentiell ist aber auch eine schnelle Anti-Spam-Plattform, die solche Spitzen verarbeiten kann.

silicon.de: Angenommen, der ISP setzt eine Anti-Spam-Plattform ein. Leidet dann nicht die Performance und der Stromverbrauch steigt?

Sascha Siekmann: Das kommt auf die Anti-Spam-Plattform an. Cloudmarks Ansatz beruht zum Beispiel auf einem CPU-schonenden Fingerabdruck-Verfahren. Das Erstellen der Fingerabdrücke funktioniert im Vergleich zu einer Volltext-Analyse schneller. Die Volltext-Analyse wird möglicherweise durch Dateianhänge und Komprimierung kompliziert.

Eine lokale Datenbank, die bei jeder Cloudmark-Installation erstellt wird, ermöglicht einen hohen E-Mail-Durchsatz bei geringer zusätzlicher Last der Anti-Spam-Plattform. Im Vergleich zu anderen Verfahren ist die CPU-Auslastung hier geringer, wodurch ISPs Stromkosten sparen können.

silicon.de: Nutzen die Spammer Tricks, die vor einem Jahr noch unbekannt waren?

Sascha Siekmann: Ich denke, ja. Dass Spam aus vertrauenswürdigen Quellen kommt, war bisher ein Phänomen, mit dem sich nur große ISPs auseinandersetzen mussten. Mittlerweile sieht sich jeder ISP mit dem Problem des von Botnets ausgehenden Spam konfrontiert.

silicon.de: Sie warnen vor neuen Spam-Formen auf Web-2.0-Plattformen wie MySpace. Was macht diesen Spam so gefährlich?

Sascha Siekmann: Aufgrund ihrer Natur speichern diese Plattformen eine Vielzahl persönlicher Daten, was deren Verlust besonders unangenehm macht. Oft werden Anwender zum Beispiel via E-Mail zu einer Webseite gelockt, die dann bei dem Opfer einen Trojaner installiert. Ist dies einmal geschehen, sind keine Daten auf diesem PC mehr vertraulich.

Andere bekannte Angriffe sind ‘bösartige’ API-Anwendungen auf diesen Plattformen, die sich als nützliche Anwendung tarnen. Ist die Anwendung installiert, sind alle Kontakte dieses Nutzers ebenfalls bedroht.