Für die Sicherheitsexperten von WEB.DE und GMX ist die Menge der identifizierten Spam-Mails ein deutliches Zeichen. „Wir stellen bei unseren Spam-Messungen einen kontinuierlichen Anstieg der kriminellen Aktivitäten im Netz fest“, sagt Sebastian Koye, Leiter E-Mail-Sicherheit bei WEB.DE und GMX. „Das bedeutet: Die Zahl der automatisierten Spam-Versender und Bot-Netze nimmt weiter zu.“
Dunkelziffer liegt noch höher
Neben den identifizierten Spam-Mails ist das Spam-Aufkommen insgesamt noch höher, wird aber wirksam durch Techniken wie beispielsweise Blacklisting eingedämmt. Viele Millionen Mails pro Tag werden erst gar nicht in die E-Mail-Systeme von WEB.DE und GMX hinein gelassen, weil sie etwa von IP-Adressen kommen, die auf einer „schwarzen Liste“ stehen. „Gelangt trotzdem eine Spam-Mail auf unsere Server“, so Sebastian Koye, „wird sie genau untersucht. Erkennen wir sie anhand verschiedener Kriterien als Spam, landet sie natürlich im Spam-Ordner. So schützen wir unsere Nutzer effektiv vor Spam im Posteingang.“
Social Engineering und Emotional Spam nimmt zu
Neben dem steigenden Spam-Volumen stellen die IT-Sicherheitsprofis auch eine veränderte Qualität der Spam-Mails fest: Wo früher ein Text in schlechtem Deutsch dazu aufforderte, einen Phishing-Link innerhalb der E-Mail anzuklicken, sehen Spam-Mails heute beispielsweise einem echten Newsletter oder der Rechnung eines großen Unternehmens täuschend ähnlich. Und auch inhaltlich werden die Tricks der Spam-Versender immer raffinierter. Eine besonders perfide Masche: Der so genannte CEO-Spam. „Bei diesem so genannten ‚Social Engineering‘-Trick tut der Angreifer so, als sei er Vorstandsmitglied eines Unternehmens“, so Sebastian Koye. „Dann schreibt er an einen Mitarbeiter oder eine Mitarbeiterin mit Budget-Verantwortung und bittet um die kurzfristige Überweisung einer größeren Summe Geld, weil man spontan einen guten Deal abschließen oder eine kleinere Firma kaufen möchte. Das Geld landet dann natürlich beim Betrüger.“
Ein weiterer Spam-Trend sind stark emotionale Botschaften, die entweder einschüchtern, verängstigen oder besonders neugierig machen sollen. Das können zum Beispiel fingierte Schreiben von Rechtsanwälten sein, eine gefälschte Bestellbestätigung eines Onlineshops oder der Hinweis auf den Empfang einer Nachricht in einem sozialen Netzwerk. Das Problem daran ist: Die Nutzer sind oft bei diesen Netzwerken angemeldet oder haben kürzlich etwas online gekauft, halten die Nachrichten also durchaus für legitim. Das wissen die Spam-Versender aus anderen Quellen wie z.B. groß angelegten Datenlecks bei Onlinehändlern, und so ist die Spam-Variante deutlich effektiver als eine einfache Phishing-Mail.
Digitales Wettrüsten geht weiter
Diese steigende Qualität der Spam-Mails zeigt deutlich, dass der Kampf gegen schädliche und betrügerische E-Mails an Bedeutung gewinnt. Sebastian Koye sieht dabei neben den Anbietern auch die Nutzer selbst in der Pflicht: „Es ist ein digitales Wettrüsten. Spam-Versender und Online-Kriminelle auf der einen, E-Mail-Anbieter auf der anderen Seite. Jedes Mal, wenn von der Gegenseite etwas Neues kommt, passen wir unsere Sicherheitsalgorithmen und Filtersysteme an. Dabei können uns auch die Nutzer unterstützen: Indem sie zum Beispiel verdächtige E-Mails selbst als Spam markieren und in die entsprechenden Ordner verschieben und insgesamt noch größere Vorsicht beim Umgang mit unbekannten E-Mails walten lassen.“
Sechs Tipps zum Umgang mit Spam
- Tipp 1: Spam-Filter lernen permanent weiter: Wurde eine Spam-Nachricht mal nicht erkannt, sollte diese zunächst als Spam markiert werden (zum Beispiel, indem sie in den Spamordner verschoben wird) und nicht direkt gelöscht werden. Denn durch jede als Spam gekennzeichnete Mail lernt das System etwas darüber, was für den individuellen Nutzer Spam ist und was nicht. So werden die persönlichen Spam-Filter im E-Mail-Postfach trainiert.
- Tipp 2: Mail-Adressen sollten nicht überall angegeben werden: E-Mail-Adressen sollten nicht unbekümmert öffentlich im Netz, wie zum Beispiel in Foren, Blogs oder sozialen Netzwerken, veröffentlicht werden. Internet-Kriminelle gehen dort gezielt auf die Suche nach E-Mail-Adressen, denen sie Spam zusenden können.
- Tipp 3: Sinnvoll ist es auch, mehrere E-Mail Adressen für verschiedene Anwendungen zu nutzen. So kann beispielsweise eine E-Mail-Adresse für die Korrespondenz mit Freunden und Behörden genutzt werden, eine andere fürs Online-Shopping und eine dritte für die Reisebuchung oder Foren. Damit werden die Angriffsziele weiter verteilt und die persönliche Identität eines Bürgers beschränkt sich nicht nur auf eine einzige E-Mail-Adresse.
- Tipp 4: Auf Spam-Nachrichten sollte niemals geantwortet werden. Hintergrund: Die Spam-Versender wissen durch eine Antwort, dass die Adresse gültig und vergeben ist – und verwenden sie auch in Zukunft für ihre unerwünschten Nachrichten. Eine weitere Gefahr versteckt sich hinter Links, die eine mögliche „Abbestellung“ von Spam-Nachrichten oder Newslettern vortäuschen, da diese oft gefälscht sind. Einem Abmelde-Link sollte man nur dann folgen, wenn der Absender bekannt und vertrauenswürdig ist. Besser ist es, die Homepage des Versenders zu besuchen und die Abbestellung dort vorzunehmen.
- Tipp 5: Vorsicht bei Rechnungen: Nutzer sollten kritisch bei eingegangenen Mails sein: Wer bei einem Anbieter beispielsweise keinen Vertrag hat, aber Rechnungen von ihm erhält, sollte dort zunächst nachfragen (oder online im entsprechenden Nutzerkonto nachsehen), statt Links in der Mail zu folgen oder Anhänge zu öffnen.
- Tipp 6: Bewusstes Nutzerverhalten: Hier hilft ein wachsames Auge im Umgang mit Mails und Links. Diese sollten nicht arglos geöffnet bzw. aufgerufen werden. Im Zweifel sollte beispielsweise ein Link in einer Mail nicht angeklickt werden, sondern die URL des Absenders direkt in den Browser eingegeben werden.