SPAM WARS: EPISODE II

• Home
• Magazin
• Know How
• Virus, Malware & Spamschutz

SPAM Problem gelöst?

Nur wenige Jahre ist es her, als Bill Gates erklärte das SPAM Problem sei spätestens 2006 gelöst. Es schien als sollte er Recht behalten, wie so oft: Der Einsatz von Anti-SPAM Software in Unternehmen zeigte Wirkung. Anfang 2006 ging das SPAM-Aufkommen drastisch zurück. In vielen Fällen blieben nur noch 1-2 SPAM-Nachrichten unerkannt und drangen bis in die Mailboxen der User vor und nicht nur der Microsoft Chef dachte, dass die SPAM-Plage Geschichte ist.

Machen wir einen Sprung nach Januar 2007. Ist das SPAM-Problem wirklich gelöst? Nein! Lediglich der erste Akt der SPAM-Story, nennen wir Sie „SPAM WARS“, ist abgeschlossen und Bill Gates hat dieses Mal nicht Recht behalten. Im Gegenteil, wir stecken mitten im zweiten Akt. Das Blatt in dieser Story hat sich gewendet und es sieht danach aus, als ob das SPAM-Problem immer größer wird. Der Stand der Dinge ist, dass seit einigen Wochen und Monaten das weltweite SPAM-Aufkommen aus verschiedenen Gründen sprunghaft angestiegen ist. Die Experten überschlagen sich mit Ihren Meldungen und Warnungen. 9 von 10 E-Mails sind bereits SPAM-Mails und es ist kein Ende in Sicht.

Die Rechnung ist einfach

Nehmen wir an, dass eine Anti-SPAM-Lösung 97% der eingehenden SPAM-Nachrichten abfängt. Bei einem SPAM-Aufkommen von 100 SPAMs pro Mailbox, erhält man folglich 3 SPAM-Nachrichten pro Tag. Damit konnten wir zu Beginn des Jahres leben. Heute hat man allerdings das Gefühl, als würde man von der SPAM-Welle überschwemmt werden. Aus 3 SPAM-Mails sind in vielen Fällen 10 oder noch mehr SPAM-Mails pro Tag geworden, die Ihren Weg in die Mailboxen der User finden. Die eingesetzte SPAM-Lösung arbeitet deswegen aber nicht unzuverlässiger als zuvor. Die Server Statistiken der eingesetzten Lösung beweisen es. Die Erkennungsrate liegt immer noch bei ca. 97%. Doch statt 100 SPAMs bekommt man nun bis zu 400 unerwünschte Nachrichten pro Tag. Zurück zum Rechenbeispiel: Bei der durchaus guten Erkennungsquote von 97% werden somit von 400 Nachrichten 388 als SPAM identifiziert. 12 SPAM-Mails gelangen letztendlich in die User-Mailbox.

Hintergründe der SPAM-Flut

Wie bereits erwähnt, das SPAM-Aufkommen ist in den letzten Wochen und Monaten drastisch angestiegen. Die SPAM-Versender haben gezielt Computerviren eingesetzt, um beliebig infizierte Rechner zu einem riesigen Netzwerk zusammenzufassen und diese als so genannte Botnets (steht für Robot Networks) zu missbrauchen. Stellen Sie sich einfach vor, dass Tausende PCs gleichzeitig und ununterbrochen SPAM-Mails verschicken. Schätzungen zur Folge liegt die Anzahl der infizierten Rechner sogar im hohen 6-stelligen Bereich. Tendenz steigend. Das erklärt auch warum eine relativ geringe Anzahl von „professionellen“ SPAM-Versendern die Zahl der SPAM-Mails in ungeahnte Höhen schraubt.

SPAM 2.0

Botnets sind nicht mehr wegzudenken, denn für die SPAM-Versender sind Botnets eine Wunderwaffe. Eine günstige Lösung, die dafür aber höchsteffektiv ist. Und der Kampf gegen die Botnets scheint zudem aussichtslos. Für jeden Botnet-PC, der entdeckt, gesäubert oder auf eine „Schwarze Liste“ (Blacklist) gesetzt wird, werden 2 neue PCs infiziert und von Spammern Zweck entfremdet. Ein Kampf gegen Windmühlen. Wir müssen wohl akzeptieren, dass die Botnets und die damit einhergehende SPAM-Flut ein Problem sind, mit dem wir leben müssen. Wir befinden uns inmitten des zweiten Teils der SPAM-Geschichte: SPAM 2.0.

Fakt ist, dass die aktuellen bzw. traditionellen Anti-SPAM-Lösungen - bleiben wir bei der Symbolik und nennen die bisherigen Lösungen einfach Anti-SPAM 1.0 - dieser neuen Herausforderung nicht gewachsen sind. Anti-SPAM 1.0 basiert in den meisten Fällen auf ein sich automatisch aktualisierendes Regelwerk, ein mehr oder weniger – in den meisten Fällen weniger – selbstlernendes System, das die PCs effektiv vor SPAM schützen soll. Diese Methode ist durchaus erfolgreich, wirkt aber leider nicht mehr bei einem derart hohen SPAM-Aufkommen, wie wir es zurzeit erleben.

Ein einfaches Beispiel macht es deutlich: Nehmen wir an, dass ein einzelner Spammer bisher in der Lage war 2 Millionen SPAM-Nachrichten pro Tag zu versenden. Ab einem Durchsatz von 83.000 SPAM-Nachrichten pro Stunde (das ist ungefähr das stündliche Aufkommen, um 2. Mio. SPAMs pro Tag versenden zu können) gelangen die ersten SPAM-Mails in die Mailboxen der Benutzer. 4 Stunden und mehr als 300.000 SPAMs später landet die versendete SPAM-Nachrichten schließlich auf der Schwarzen Liste. Verfügt die eingesetzte Anti-SPAM-Lösung über ein automatisiertes Regel-Update, ist das Problem relativ kurzfristig gelöst. Auf diese Weise gelangen vielleicht ein 1 oder 2 SPAM-Nachrichten in die Empfänger-Mailbox. Der Rest wird dank Regel-Update identifiziert.

Die Anzahl der SPAM Mails im Eingangsbuch zeigt somit an, wie aktuell die eingesetzte Anti-SPAM-Lösung ist. Kurz gesagt: Liegen viele SPAMs in der Mailbox, ist das Regel-Update zu langsam. Das erklärt auch warum eine Mailbox SPAMs enthält, die genauso aussehen wie Mails, die geblockt und ins Quarantäne Verzeichnis verschoben wurden. Sie müssen sich also nicht wundern. Es dauert einfach seine Zeit bis SPAM auf die herkömmliche Art und Weise erkannt wird.

Wenn wir uns jetzt das Szenario mit SPAM 2.0 vorstellen, dann reden wir heute nicht mehr von 2 Millionen SPAM-Mails pro Tag. Die Zeiten sind endgültig vorbei. Stattdessen kann der Spammer mit einem Botnet mühelos bis zu 10 Millionen SPAMs versenden. Statt des Durchsatzes von 83.000 Nachrichten pro Stunde, werden nun stündlich 415.000 Nachrichten verschickt. Bevor dieser Spammer schließlich in einer Blacklist auftaucht, hat er in derselben 4-stündigen Periode satte 1,66 Millionen SPAM-Nachrichten versendet. Eine herkömmliche Anti-SPAM-Lösungen (Anti-SPAM 1.0) ist mit dieser SPAM-Flut völlig überfordert.

Was sind die Lösungsansätze?

Die Antwort klingt auf den ersten Blick ganz einfach: Anti-SPAM-Lösungen brauchen bessere Erkennungsraten. Statt 97% sollten künftig 99% erkannt werden. Doch so einfach ist das nicht. Auch bei einer Erkennungsrate von z.B. 99% werden bei einem derartigen SPAM-Volumen immer noch 4-5 SPAM-Mails (basierend auf den oben aufgeführten Zahlen) unbemerkt in die Mailbox der Benutzer gelangen. Der Empfang von nur 1-2 SPAM-Nachrichten pro Tag, wie zu Jahresbeginn, wäre nur mit einer Erkennungsrate von mindestens 99,5% realisierbar. Das klingt unmöglich? Ist es auch. Jedenfalls für Anti-SPAM 1.0 Lösungen.

Es gibt SPAM 2.0, dann brauchen wir Anti-SPAM 2.0, um uns zuverlässig vor SPAM zu schützen. Dieser SPAM-Schutz sollte sich durch zusätzliche proaktive Anti-SPAM-Technologien auszeichnen, wenn er Erkennungsraten von 99,5% oder höher haben soll. Ein Update der Regeln und das Vertrauen in die Blacklists reicht in diesem Fall nicht mehr aus. Die bisherigen reaktive Technologien sind veraltet und öffnen die Türen und somit die Anfälligkeit für die leistungsstarken Botnets. Auch wenn das Regelwerk anstatt stündlich künftig sogar minütlich aktualisiert wird, ist der Schutz vor SPAM unzureichend. Das Wachstum der Botnets und einhergehend der drastische Anstieg der SPAM-Mails ist auch langfristig nicht zu stoppen.

Wie könnte eine Lösung aussehen?

Einen anderen Lösungsansatz verfolgen wir von GWAVA beispielsweise mit unserer neuen Anti-SPAM/ Anti-Viren-Lösung für Novell GroupWise Systeme „GWAVA 4“. Durch automatisches Training der Software und durch eine „HAM“ (Gegenteil von SPAM) – Erkennung, wird das System zuverlässig vor SPAM-Attacken geschützt:

Das automatische Training – GWAVA 4 kann so eingestellt werden, dass es automatisch SPAM und HAM-Nachrichten aus verschiedenen Quellen sammelt. So lernt das System selbständig die Eigenschaften der Benutzer und wird fortlaufend aktualisiert. Somit reagiert GWAVA 4 wesentlich schneller auf neue SPAM-Bedrohungen. GWAVA 4 bietet zwar weiterhin die Möglichkeit das Regelwerk durch „normale“ Updates zu aktualisieren, jedoch sollte das nicht als primärer Schutz gegen SPAM eingesetzt werden.

Die „HAM“ Erkennung – Das Problem besteht generell darin, dass der Schwerpunkt in der SPAM-Bekämpfung zu sehr auf die SPAM-Erkennung gelegt wurde. SPAM ist doch nicht wichtig! Wichtig sind für den Benutzer nur die Nachrichten, die er auch bekommen will: HAM. Stellen Sie sich vor eine Anti-SPAM-Lösung erkennt zuverlässig alle HAM-Nachrichten. Dann sind zwangsläufig alle anderen E-Mails aus Sicht des Empfängers SPAM-Nachrichten. Das ist auch der Lösungsansatz von GWAVA 4. SPAM ist eigentlich egal und rückt in den Hintergrund. Auf diese Weise ist man nicht nur vor der aktuellen SPAM-Flut geschützt, sondern auch vor allen anderen Bedrohungen, die über die Botnets in Zukunft ausgesendet werden. Es ist also nicht nötig auf irgendwelche Updates zu warten, während das System und die Mailboxen mit SPAM-Mails bombardiert werden.

Im Gegensatz zu den HAM-Nachrichten ändert sich SPAM regelmäßig und in sehr kurzen Abständen. Auch das machten wir uns in GWAVA 4 zu Nutze. Da GWAVA automatisch die HAM-Eigenschaften erlernt, ist es dank der sich stetig ändernden SPAMs noch einfacher zwischen Gut und Böse also zwischen HAM und SPAM zu unterscheiden. Somit dreht GWAVA den Spieß einfach um und stellt die bisherige Denkweise völlig auf den Kopf. Mit dieser unkonventionellen, aber sehr erfolgreichen Methode, ist GWAVA sehr erfolgreich.

Schlussbemerkung

Dieser Artikel soll lediglich einen kurzen Überblick über das aktuelle SPAM-Problem und dessen Hintergründe geben. Er dient auch keiner wissenschaftlichen Analyse. Er soll einfach und verständlich zeigen, was hinter der aktuellen SPAM-Flut steckt und warum neue Wege zur SPAM-Abwehr notwendig sind. Klar ist auch, dass der massenweise Versand von SPAM-Mails über Botnets nicht das einzige Mittel der Spammer ist. Das ist nichts Neues. Über diverse HTML-Tricks, Änderungen der Mail-Eigenschaften oder aktuell via Bilder-SPAM, werden die Spammer weitere Wege suchen, um eingesetzte Anti-SPAM-Lösungen zu umgehen. Wahrscheinlich wird schon bald das nächste Kapitel der SPAM-Story aufgeschlagen.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema