Die SPAM-Cops haben Phishing-Mails im Visier. ©Shutterstock

SPAM ist eines der größten Security-Probleme im Netz. Allein die beiden größten deutschen E-Mail-Anbieter WEB.DE und GMX haben 2016 rund 42 Milliarden E-Mails als SPAM erkannt und gefiltert, ein Anstieg von gut zehn Prozent im Vergleich zum Vorjahr. Und der läuft in Wellen ab: Für Ende November zum Beispiel rechnen Security-Experten rund um den „Black Friday“ mit einem erhöhten Phishing-Aufkommen. Dem will man Herr werden: Die SPAM-Cops, ein Team aus Security-Spezialisten, bereitet sich auf die Online-Shopping Hochsaison vor. Ein Interview mit Christian Schäfer-Lorenz, Abteilungsleiter für E-Mail-Sicherheit und Chef der SPAM-Cops bei WEB.DE und GMX.

F: Was macht den „Black Friday“ für Online-Kriminelle so besonders interessant?   

A: Zum Black Friday läutet der Online-Handel traditionell das Weihnachtsgeschäft ein, oft mit massiven Preisnachlässen – da ist die Kaufbereitschaft natürlich besonders hoch. Online-Kriminelle haben so mehr Chancen auf erfolgreiches Phishing: Mit einer täuschend echt gefälschten Shop-Seite lassen sich zum Beispiel Zugangsdaten stehlen und später, beim vermeintlichen Bezahlvorgang, dann auch Kreditkarten- oder PayPal-Daten. In dieser Situation, wenn Schnäppchen winken und der Jagdinstinkt aktiv ist, neigen Menschen häufig zu schnellem und unkritischem Handeln und klicken eher auf einen dubiosen Link oder schauen in einer Mail nicht genau hin.

F: Was tun die SPAM-Cops konkret gegen diese Attacken?

A: In allererster Linie ist unsere Aufgabe als Mail-Security-Experten oder SPAM-Cops, einen Katalog von Kriterien aufzustellen, anhand derer man Schadmails erkennen und ausfiltern kann, bevor der Kunde den Link klickt. Dazu gehören ganz klassische Merkmale wie „Wo kommt die E-Mail her?“, „Ist der Absender auf einer schwarzen Liste?“, „Empfangen wir besonders viele Mails aus diesem IP-Bereich“ und dergleichen mehr. Und dann heißt es für uns: Muster erkennen und Querverbindungen herstellen: „Gab es kürzlich einen größeren Hack bei einem Anbieter, bei dem viele E-Mail-Adressen abhandengekommen sind?“, „Welche Techniken sind bei den Onlinekriminellen gerade sozusagen in Mode?“, solche Fragen müssen wir uns stellen. Um den SPAM genauer zu analysieren, arbeiten wir unter anderem mit so genannten SPAM-Traps, also Köder-E-Mail-Konten, mit denen wir möglichst viele verschiedene SPAM-Mails einfangen möchten. Diese Mails können wir dann genauer untersuchen, können die URLs der Phishing-Links und Absender identifizieren und in unseren Systemen auf entsprechende Blacklists setzen.

F: Viele Wettbewerber setzen beim Kampf gegen SPAM im Allgemeinen und gerade Phishing im Besonderen auch auf die Hilfe von Systemen mit künstlicher Intelligenz. Wie schätzen Sie das ein?

A: Ich denke, es kommt auf den geschickten Einsatz von beidem an, von Mensch und Maschine. Ein erfahrener Mail-Security-Experte oder SPAM-Cop kann bei der Bewertung einzelner potenzieller SPAM-Mails viel umfassender beurteilen, ob eine konkrete Gefahr besteht oder nicht; er kann beispielsweise mögliche Wertschöpfungsketten hinter einer SPAM-Attacke erkennen, sprich: Was passiert, wenn ein Link in einer Phishing Mail geklickt wurde? Wie kommt der Online-Betrüger mit dieser oder jener Methode an sein Geld? Da stecken viel Erfahrung und einiges an sehr spezifischem Fachwissen drin. Computersysteme mit künstlicher Intelligenz kommen bei uns auch zum Einsatz und insbesondere dafür geeignet, große Mengen von Daten nach vorgegebenen Parametern zu filtern oder darin Muster zu erkennen. Letztendlich ergänzen sich da Mensch und Maschine im Idealfall und ermöglichen einen effektiven Kampf gegen diverse SPAM-Techniken.

F: Gibt es denn klare Grenzen, an denen die KI nicht mehr weiterkommt? Also einen Punkt, an dem die SPAM-Erkennung auf jeden Fall ausschließlich von einem menschlichen SPAM-Cop erledigt werden kann?

A: Ja, die gibt es durchaus. Ein gutes Beispiel ist da die so genannte „Gray-Mail“. So bezeichnen wirails, die von einem vertrauenswürdigen Absender kommen, der Opfer eines Hacks wurde. Der Absender ist bei der maschinellen SPAM-Bekämpfung ein wichtiges Kriterium; eine KI würde also die Schadmail wahrscheinlich erst einmal für unbedenklich halten. Erst wenn dem menschlichen SPAM-Cop dann der Inhalt auffällt lässt sich eine solche SPAM-Mail zweifelsfrei identifizieren. Ein zweites Szenario ist ähnlich komplex: Es kommt durchaus vor, dass Onlinekriminelle für den Versand von SPAM in größerem Umfang einen vertrauenswürdigen E-Mail-Service-Provider nutzen. Dazu kaufen sie mit falscher Identität bei einem der großen ESPs ein Kontingent und verschicken gut getarnte Phishing-Mails an eine Menge von E-Mail-Adressen, die zum Beispiel aus einem Datenbank-Hack stammen. Wenn das beim ESP nicht auffällt, können diese E-Mails viele automatische SPAM-Mechanismen überwinden – der Absender ist ja vertrauenswürdig. Auch hier kommt der Mensch, der SPAM-Cop ins Spiel, der mit all seiner Erfahrung die betrügerische Absicht erkennen und entsprechende Gegenmaßnahmen einleiten kann. KI-Systeme alleine sind dazu aktuell noch nicht in der Lage.

F: Abschließend – was kann der einzelne Nutzer denn tun, um sich selbst weiterhin vor SPAM zu schützen?

A: Man sollte in jedem Fall mit einer gesunden Portion Skepsis in den eigenen Posteingang schauen. E-Mails von unbekannten Absendern oder mit allzu verlockenden Angeboten sollte man besonders kritisch betrachten, da hilft oft das Bauchgefühl besser weiter als jede künstliche Intelligenz. Vor allem sollte man Links in E-Mails nur anklicken, wenn man dem Absender und dem Kontext der E-Mail wirklich vertraut. Mein Tipp ist: Sobald Ihnen an einer E-Mail etwas spanisch vorkommt, markieren Sie sie als SPAM oder melden Sie sie an uns weiter über unser Hilfe-Formular zum Thema Phishing. Damit helfen Sie uns zum einen, neue SPAM-Trends zu erkennen, und zum anderen trainieren Sie ihren persönlichen SPAM-Filter im eigenen Postfach. Und dieser SPAM-Filter ist tatsächlich so eine Art kleiner, künstlicher Intelligenz für Ihr persönliches Postfach – er lernt dann, dass Sie E-Mails von diesem Absender mit diesen Inhalten als verdächtig einstufen und wird sie beim nächsten Mal mit höherer Wahrscheinlichkeit in den SPAM-Ordner einführen. Auf diese Art hilft KI auch bei WEB.DE und GMX: Der Mensch erkennt die Gefahr, und die KI unterstützt ihn dann bei der Abwehr.

F: Vielen Dank für das Gespräch.