Teure Spamfallen

Täglich werden derzeit ­knapp 300 Milliarden E-Mails verschickt – nur rund 30 Milliarden davon haben einen mehr oder weniger nützlichen Inhalt und fallen nicht in die Kategorie nerviger Spam.

Heute unvorstellbar, aber auch das Massenphänomen Spam hat einmal klein angefangen. 1978 verschickte der DEC-Mitarbeiter Gary Thuerk 400 Mails an Teilnehmer des Internet-Vorläufers Arpanet, um Computerzubehör zu verticken. Reich wurde er mit dem damals neuen Geschäftsmodell nicht, dafür handelte er sich prompt jede Menge Ärger ein. Das US-Verteidigungsministerium, Betreiber des Arpanets, nahm Thuerk schneller in die Mangel, als dieser Bestell­eingänge prüfen konnte. Aber die Zeiten des Arpanet, wo sich die Benutzer fast noch alle persönlich kannten, sind lange vorbei. Wer sich heute mit dem Erfolgsmedium E-Mail und der Begleiterscheinung Spam beschäftigt, sollte ein Gefühl für große Zahlen haben. Laut dem schwedischen Internetdienstleister Pingdom wurden letztes Jahr 107 Billionen E-Mails verschickt, rund 90 Prozent davon sollen Spam gewesen sein. Wer nicht gerade Finanzjongleur oder Mathematiker ist, dürfte mit den zwölf Nullen dieser Zahlen vorstellungsmäßig ein Problem haben. Etwas fasslicher ist schon der Versand pro Tag gerechnet. Täglich werden derzeit knapp 300 Milliarden E-Mails verschickt, wovon freilich nur rund 30 Milliarden einen mehr oder weniger nützlichen Inhalt haben und nicht in die Kategorie nerviger Spam fallen. Auf die Goldwaage sollte man die Zahlen von Pingdom nicht legen. Der Anteil von Spam etwa wird von anderen Analysten leicht abweichend beziffert, bei den Größenordnungen von rund 90 bis 95 Prozent sind sich die Marktforscher jedoch weitgehend einig.

Einig sind sich die Auguren auch darüber, dass Spam gewaltige Kosten verursacht. Alleine den durch Spam induzierten jährlichen Energieverbrauch beziffert eine ältere McAfee-Studie aus 2009 mit 33 Milliarden Kilowattstunden – in etwa der Jahresverbrauch einer Großstadt wie Wien. Auch die vergeudete Lebens- und Arbeitszeit für Aussortierung und Sichtung summiert sich auf locker 100 Milliarden Arbeitsstunden pro Jahr. Besonders leiden natürlich die Provider. Die wertvolle Infrastruktur ist fast zur Gänze damit ausgelastet, Potenzmittelchen, Glücksspiel oder windige Finanzgeschäfte zu verkaufen. Was der ganze Spamwahnsinn auf Heller und Cent kostet, kann niemand genau sagen. Die Universität Maryland hat 2005 zumindest versucht, einmal die Größenordnungen dingfest zu machen. Schon damals soll Spam der US-Volkswirtschaft 22 Milliarden Dollar jährlich gekostet haben. Kein Wunder also, dass die Methoden zur Spamabwehr in jüngster Zeit fast schon brachiale Züge annehmen. Microsofts »Digital Crime Unit« hat im März in internationaler Kooperation mit Providern, Unis und Polizei etwa die Spamschleuder Rustock lahmgelegt, ein Jahr davor Waledoc. Ganz uneigennützig handelt Microsoft nicht. Beide Spammer bedienten sich – aufgrund von Sicherheitslücken – Millionen »fernsteuerbarer« Windows PCs. Ein für die Reputation der Redmonder nicht gerade förderlicher Umstand. Noch brachialer und naturgemäß investigativer agierte erst jüngst das FBI.

RTR-Geschenk für Adressensammler

Die US-Behörde übernahm Mitte April die Kontrolle über Coreflood, ein Netz, das seine Spamflut laut dem US-Magazin Wired über rund zwei Millionen schlecht gesicherte und »gekaperte« Windows PCs verteilt hat. Ein harter und in den Statistiken sofort spürbarer und segensreicher Schlag gegen Spammer, aber laut Kritikern auch gegen Bürger- und Datenschutzrechte. Statt den Kriminellen fuhrwerkt jetzt das FBI auf privaten Windows-Rechnern herum und nimmt sich das Recht heraus, dort ungefragt »Malware« zu löschen oder Systemkonfigurationen zu verändern, oder in einem Aufwaschen möglicherweise gleich auch Daten auszu­lesen. Im Kampf gegen unerwünschten Spam zeigen sich auch Gesetzgeber und Behörden in den letzten Jahren zunehmend bemüht. Telekom-Regulatoren rund um den Globus bieten etwa den Eintrag in Robinsonlisten, die den unerwünschten Empfang von E-Mail-Spam wenn schon nicht verhindern, so zumindest reduzieren sollen. Den Vogel schießt hier freilich der heimische Telekom-Regulator RTR ab.

Auf der Webseite der RTR kann man seine E-Mail-Adresse in eine Robinsonliste eintragen. Österreichische wie EU-Unternehmen sind verpflichtet, diese Liste als definitives Ausschlusskriterium für Werbemails aller Art zu betrachten (siehe unten). Zum leichteren Adressabgleich für Unternehmen stellt die RTR die verschlüsselte Liste auch gleich online zum Download bereit. Das ist als Service für seriöse Unternehmen gut gemeint und im E-Commerce-Gesetz zumindest indirekt auch so vorgesehen – aber ziemlich kontraproduktiv. Schon mit einfachsten technischen Mittel konnte der Report Plus mehr als 2.300 – mithin gut jede zehnte – der derzeit eingetragene Mail­adressen entschlüsseln. Darunter auch prominente Adressen, wie etwa die von Kurt Einzinger, Vorstand der Providervereinigung ISPA und Mitglied des Europäischen Datenschutzrates. Dass die Robinsonliste aufgrund der Downloadmöglichkeit relativ einfach gehackt werden kann, ficht die RTR bislang nicht weiter an. »Aufgrund des gesetzlichen Auftrags, diese Liste zu führen und auf Anfrage zur Verfügung zu stellen, wird die Liste weiterhin so geführt werden«, so die offizielle Stellungnahme der RTR. Immerhin war die Datenschutzlage schon einmal schlechter. In der Anfangszeit der Robinsonliste wurde diese gar unverschlüsselt verteilt, was unseriöse Unter­nehmen prompt für Spamzwecke ausnutzten. Die RTR reagierte – wer damals die bösen Spam-Buben tatsächlich waren, will die RTR aber bis heute für sich behalten: »Nach entsprechender Unterlassungsaufforderung wurden diese (Unternehmen) dann auch unverzüglich entfernt«, so das dürre offizielle Statement auf Anfrage des Report Plus.

Nur »ehrliche« Spammer blechen heftig

Auch seriöse heimische Unternehmen ignorieren die Bestimmungen des gar nicht so jungen heimischen Telekom-Gesetzes bisweilen. Das bringt etwa Andreas Manak, Wiener Rechtsanwalt und Universitäts-Lektor für E-Commerce-Recht, in Rage. Seine höflichen Bitten an Unternehmen, man möge ihn nicht weiter mit unverlangten Werbemails bombardieren, verpufften bisweilen zwischen Ignoranz und Frechheit. Wer die freundlichen Hinweise auf die geltende Rechtslage besonders pampig ignoriert, hat dann prompt eine Klage am Hals, die nicht zu gewinnen ist. Die rechtlichen Rahmenbedingungen sind eindeutig und mittlerweile bis zum Anschlag ausjudiziert (siehe unten). Alleine die Verwaltungsstrafe kann bis zu 37.000 Euro kosten. Wer prospektive Kunden mit unverlangten Werbemails belästigt, bringt nicht nur diese, sondern möglicherweise auch die Konkurrenz gegen sich auf. Unterlassungsklagen samt einstweiliger Verfügung werden auch bei Mitbewerbern zunehmend beliebter. Wer so eine Klage wegen unlauteren Wettbewerbs am Tisch liegen hat, ist gut beraten, ein sofortiges Anerkenntnis auszusprechen. Zumindest dann, wenn man tatsächlich ein »Spamsünder« ist.

Wer sich derart reumütig zeigt, begrenzt wenigstens die Kosten der Verwaltungsstrafe auf rund 3.400 Euro. Am härtesten trifft die verschärfte Rechtslage freilich seriöse »Spammer«, die lediglich in Unkenntnis der Gesetze agieren. »Wer sich teilweise an die Spielregeln hält, kann verfolgt werden. Wer seine Identität jedoch kunstvoll verschleiert, bleibt ungeschoren«, sagt Anwalt Andreas Manak. Ähnlich formuliert es die RTR. Ein Eintrag in die Robinsonliste werde nur von seriösen Unternehmen respektiert. Ein wirksamer Schutz vor Spam sei das freilich nicht, da sich die wirklich bösen Buben ohnehin nicht darum scheren. Ein Umstand, mit dem der Gesetzgeber nicht nur bei E-Mail-Spam, sondern auch bei »Cold Calling« via Telefon kämpft. Auch dort werden die Regeln aktuell verschärft, freilich nicht immer ganz schlüssig. Laut jüngster Regierungsvorlage werden belästigten Telefonteilnehmern vermehrt Schutzrechte eingeräumt. Freilich nur dann, wenn die ausführenden Call Center so dumm sind, ihre Rufnummer nicht zu unterdrücken. Tun sie das nämlich, bleibt ihre Identität skurrilerweise durch das Fernmeldegeheimnis geschützt. Da dürften ein paar Lobbyisten und Einflüsterer wieder ganze Arbeit geleistet haben. Der einzige Ausweg für belästigte Telefonkunden: Sie könnten eine Fangschaltung beantragen. Die Kosten dafür bleiben jedoch an den Kunden hängen.

>> Wann Ignoranz für Unternehmen teuer wird:

Böse Spammer ignorieren die gesetzlichen Vorgaben ohnehin. Aber auch seriöse Unternehmen sind sich der Rahmenbedingungen oft nicht bewusst. Und das kann teuer werden. Wer unaufgefordert Spam verschickt, dem droht zunächst einmal eine Verwaltungsstrafe. Nicht nur Fernmeldebüros können tätig werden, sondern auch die Empfänger via Unterlassungsklage. Bereits das könnte bis zu 37.000 Euro kosten. Richtig schmerzhaft wird Spamversand, wenn unternehmerische Konkurrenten zur juristischen Keule greifen und neben Unterlassung noch eine einstweilige Verfügung nach dem UWG bewirken. Wie können seriöse Unternehmen die Klippen umschiffen? Nach dem geltenden Opt-in-System gibt es nur zwei Fälle, in denen Direktwerbung per E-Mail erlaubt ist: Entweder hat der Empfänger ausdrücklich schriftlich zugestimmt oder es liegt eine konkludente Zustimmung vor, beispielsweise wenn der Empfänger im Rahmen eines  Vertragsabschlusses seine E-Mail-Adresse mitteilt und einer Werbenutzung nicht widerspricht. Die Robinsonliste der RTR ist ohnehin zu beachten – auch wenn sie als schwer kompromittiert angesehen werden kann (siehe weiter unten).

>> Regulator liefert »sichere« Robinson-Adressen frei haus:

Die Idee ist bestechend: Wer seine E-Mail-Adresse beim Telekom-Regulator in die »Robinsonliste« einträgt, wird — zumindest von seriösen Unternehmen — nicht mehr mit Spam belästigt. Auch auf Sicherheit wird geachtet: Die Mail-Adressen sind verschlüsselt. Als Service und für Abgleichzwecke stellt die RTR die verschlüsselte Liste sogar zum Download bereit. Das freilich ist ein Geschenk für Cracker. Schon mit einfachsten technischen Mitteln konnte etwa der Report-Verlag über 2.300 E-Mail-Adressen rekonstruieren. Dass damit ausgerechnet eine Robinsonliste schwer kompromittiert ist, ficht die RTR nicht an. Die Liste bleibt laut Auskunft des Regulators online. Wer sich trotzdem eintragen will, sollte seine E-Mail-Adresse wenigstens nach dem Muster von sicheren Passwörtern wählen — mithin eine Adresse mit langen und möglichst »sinnlosen« Zeichenketten. Alles andere kann in Sekunden geknackt werden.