Es ist ein trauriger Rekord. Auf nur 68 Millionen E-Mail-Accounts kamen im letzten Jahr innerhalb von acht Monaten rund 1,5 Milliarden Spam-Mails. Pro Woche. Ist eine Identifizierung von und Schutz vor Spam-Mails da überhaupt noch möglich? Immerhin wurde 2023 ein Zuwachs von rund 40 Prozent im Spam-Aufkommen verzeichnet. Und warum das ganze? Na klar, des Spaßes wegen. Und um ein bisschen Geld geht es natürlich auch.
Der Inhalt im Überblick
Nigerianische Prinzen, Philanthropie und Fake-Enkel
Trotz immer besser werdender Software zur Identifizierung und zum Schutz vor Spam-Mails nimmt das lukrative Geschäft mit Fishing- und Spammails nicht ab. Die United Internet AG ist mit den oben genannten 68 Millionen Accounts ein führender Anbieter und genießt mit den Marken 1&1, web.de und gmx.de Bekanntheit. Und dennoch hat auch so ein Markt-Riese seine Probleme: Auf 68 Millionen E-Mail-Accounts wurden in den ersten 8 Monaten des Jahres 2023 rund 1,5 Milliarden Mails wöchentlich als Spam oder Phishing registriert. Die starke Zunahme wird vor allem auf KI-generierte Spam-Mails zurückgeführt.
Der Prinz aus Zamunda oder der Nigeria-Scam
„Um das Fliegen zu lernen, muss man erst auf zwei Beinen stehen.“ So heißt es in dem „naiven Filmmärchen“ vom Prinzen aus Zamunda. Gemeint ist wohl, dass man Welt nur erobern kann, wenn man sich mit eigener Kraft aus dem Kokon der Armut befreit hat.
Diametral dazu verhält sich die Geschichte des Nigerianische Prinzen. Den gibt es leider wirklich, es handelt sich keineswegs um ein Filmmärchen, sondern um einen realen „Scam„. Und der geht so: Per E-Mail wird der redliche Adressat davon in Kenntnis gesetzt, ihm sei das Vermögen eines Prinzen aus Nigeria vermacht worden. Und tatsächlich gibt es da irgendwen (oder – dank KI – irgendwas), der diese Mail verfasst und versandt hat. Nur handelt es sich meistens weder um den Prinzen persönlich, noch um dessen Schatzmeister. Und leider existiert auch der große Reichtum des Prinzen nicht. Behauptet wird das dennoch. Nun würde aber die Hilfe des Mailempfängers benötigt, um die Millionensummen ins Ausland zu transferieren. Nämlich auf das Konto des Adressaten, der vor lauter Hilfsbereitschaft nahezu in Ohnmacht fällt. Jetzt nur noch rasch ein paar tausend Scheine für die angeblichen Gebühren überweisen, damit der Geldsegen schnell, wie ein afrikanischer Sommerregen, über das kleine Häuschen des gutgläubigen Empfängers danieder geht.
Nächstenliebe ist die einzig‘ Wa(h)re auf der Welt. Böse Zungen unterstellen zwar den Opfern eine gewisse Naivität. Schließlich weiß man doch seit Forrest Gump:
„Dumm ist der, der dummes tut.“
Aber damit macht man es sich gar einfach. Denn die in Aussicht gestellten Provisionen im zweistelligen Prozentbereich locken die Opfer, im Vorfeld Gelder – vorgeblich für Gebühren, Bestechungen etc. – zu bezahlen. Oftmals werden täuschend echt gestaltete Webseiten erstellt, die denen von Behörden und Banken sehr ähnlich sehen und von der Seriosität des Angebots überzeugen sollen.
„Das Leben ist wie eine Schachtel Pralinen – oder doch eher wie Dosenfleisch?
Auch wenn der oben beschriebene Scam für viele vielleicht ein alter Hut ist. Das Grundschema dieses sogenannten „Vorschussbetrugs“ bleibt immer gleich. Mit seriös wirkenden E-Mails aber auch Briefen, Faxen, SMS und WhatsApp-Nachrichten, versuchen angebliche Rechtsanwälte Schatzmeister oder Philanthropen aus dem Ausland, Bürger und Bürgerinnen von einem unverhofftem Geldsegen in Millionenhöhe zu überzeugen.
„Meine Mama hat immer gesagt, das Leben ist wie eine Schachtel Pralinen. – Man weiß nie, was man kriegt“
Unverhofft kommt oft, aber wenn etwas zu schön ist, um wahr zu sein, dann ist es meistens auch nicht wahr. Deshalb greift man im echten (Online-) Leben oft nicht in die Pralinenschachtel, sondern in eine Dose voller Schinken. Aber warum denn Schinken?
Definition: Was ist eine Spam-Mail?
Spam-Mails sind unerwünschte E-Mails (z.B. Werbemails). Diese können auch Schadprogramme enthalten (z.B. in Form einer gefälschten Bewerbung). SPAM war ursprünglich ein Markenname für Dosenfleisch und ein Kofferwort aus SPiced hAM. Der Begriff kommt also ursprünglich aus dem Lebensmittel-Bereich.
Während der Rationierung im Krieg war Spam eines der wenigen Nahrungsmittel, die in Großbritannien praktisch überall und unbeschränkt erhältlich waren. Die Omnipräsenz dieses Fleisches, ähnlich wie später die der unerwünschten Botschaften, war für die Namensgebung verantwortlich.
Welche Arten von Spam-Mail gibt es?
Manche Machenschaften im Internet haben keinen unmittelbaren Schaden zur Folge. Oft aber gehen mit den oben genannten Taten empfindliche Folgen für die Betroffenen einher. Sei es die Stilllegung der IT-Infrastruktur durch Überlastung, Viren oder ähnlichem, der Diebstahl von Konto- oder Login-Daten, bis hin zum Identitätsdiebstahl oder der gutgläubigen Transaktion von mehreren tausend Euro.
Der Schaden von Spam hat demnach viele Gesichter und lässt sich in unterschiedliche Kategorien aufteilen. Es wird unterschieden zwischen unerwünschtem, aber im Grunde unschädlichem Werbe-Spam (28 %) und schädlichen Cyberangriffen, darunter Erpressungs- (34 %) und Betrugsmails (32 %). Im Bereich der E-Mails mit betrügerischem Hintergrund nehmen Phishing-Mails den größten Anteil ein (84 %). Identifizierung von und Schutz vor Spam-Mails ist also wichtig. Sehen wir uns einmal ein paar konkrete Beispiele an:
Betrugsversuch: (Massenhaftes) Versenden von Phishing-E-Mails
Phishing-Mails zielen darauf ab vertrauliche Informationen zu stehlen, indem Sie Anhänge oder Links auf gefährliche Webseiten enthalten. Dazu braucht es eine Absenderadresse, einen Absendernamen, einen Mailserver und eine Mailvorlage. Die Infos bekommt man beispielsweise über Xing oder LinkedIn. Jetzt können die Opfer angeschrieben und ihr Vertrauen erschlichen werden. So geben sie freiwillig Unternehmens- oder persönliche Daten heraus, welche missbraucht werden: Von der Bestellung von Waren bis hin zur Manipulation von Aktienkursen. Dabei werden oftmals zunächst Daten gesammelt und erst später „Geschäftsmodelle“ für deren illegale Verwendung entwickelt.
Es geht aber auch allgemeiner. Während der Präsidentschaftswahl in den USA 2016 wurde beispielsweise an Demokraten massenhaft folgende Zeilen verschickt:
„Someone just used your password to try to sign into your Google account
Google stopped this sign-in attempt. You should change your password immediately“
Klickte man auf den entsprechenden Link, wurde man auf eine täuschend echt aussehende Seite geleitet. Einmal die Daten dort eingegeben, wurden sie abgegriffen und direkt zweckentfremdet. So konnten unter anderem Informationen aus dem Gmail-Konto des US-amerikanischen Politikberaters John Podesta kopiert werden. Andere Phishing-Opfer ermöglichten Angreifern zeitgleich Zugang zum Computernetzwerk des Wahlkomitees der Demokraten.
Erpressung mit persönlichen Daten oder pikanten Vorwürfen per E-Mail
Eine andere beliebte Masche ist die Erpressung per E-Mail, wie auch die Verbraucherzentrale berichtet: Man(n) habe einen Porno geguckt, und dabei sei die Kamera gehackt worden:
„Zahle Bitcoins oder ich veröffentliche Videos von dir, auf denen du masturbierst.“
Um den Druck zu erhöhen (sic!), können die Mails auch persönliche Daten wie Handynummer, Postanschrift oder Bankverbindung enthalten.
Zwar sind die behaupteten Sachverhalte in anonymen Erpressungsschreiben oft haltlos. Doch wie schützt man sich am besten vor solch einer unangenehmen Situation? Wer auf Nummer sicher gehen will, klebt oder deckt seine Kamera ab, wenn sie nicht gebraucht wird. Auch beim Handy. Zudem sollte man wie immer Software, Betriebssystem sowie Schutzprogramme stets aktuell halten.
E-Mail-Anhang und HTML-Elemente: Verbreitung von Malware
Auch Malware kann leicht mittels Spam-Mails verteilt werden. Zu einiger Berühmtheit hat es das Schadprogramm Emotet gebracht, bei dem der ganze Prozess quasi automatisch abläuft. Emotet nistet sich auf den Rechnern seiner Opfer ein, lädt unbemerkt weitere Schadsoftware und verteilt sich selbst an gespeicherte Kontakte. Dazu lässt es seine E-Mails so aussehen, als seien es Antworten auf früher verschickte Nachrichten. Gemein. Noch übler ist es, wenn fortgeschrittene KI eingesetzt wird.
Man muss übrigens mit einigen Irrtümern aufräumen, die noch aus alten Zeiten stammen. Viele E-Mails werden heutzutage im HTML-Format verschickt. Diese Format bildet sozusagen das Gegenstück zu reinen Text-Mails. Der Vorteil: Man kann verschiedene Schriftarten, Designs usw. auswählen, um die E-Mail übersichtlich und schick zu gestalten. Der Nachteil: Im sogenannten Quellcode einer HTML-formatierten E-Mail lauert die Gefahr: Denn dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der HTML E-Mail auf dem Computer des Empfängers ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss.
Einen tieferen Einblick in die Möglichkeiten von Malware und deren Erscheinungsformen bietet dieser Artikel von uns.
Werbe-Spam-Mails als Geschäftsmodell
Unerwünschte Werbung, insbesondere per E-Mail, ist in unserem Rechtskreis durch (europäische) Gesetzgebung im Wettbewerbsrecht und Datenschutzrecht weitgehend reguliert. Teilweise auch unter Androhung von Vertragsstrafen und Schadensersatz schon länger verboten. Dabei wird Werbung an sich nicht verteufelt. Erwägungsgrund 47 DSGVO heißt es ausdrücklich:
„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“
Dennoch: Unzumutbare Werbung ist verboten und kann zu Schmerzensgeld führen. Wird trotzdem gemacht. Möchte man ein Geschäft machen, braucht man massenhaft belebte E-Mail-Adressen. Mittels einer Software werden weltweit Internetseiten nach veröffentlichen E-Mail-Adressen abgegrast. Da ein User sich im Internet ständig mit dessen E-Mail-Adresse registrieren muss (v.a. Gewinnspiele…), wird dies durch die Software aufgespürt. Bei einem Auffinden einer E-Mail-Adresse wird diese in eine Datenbank geschrieben und steht dem Geschäftemacher damit zur Verfügung. Und dann?
Beispiel:
Ein „Geschäftemacher“ schreibt eine E-Mail mit der Werbung für ein Produkt zu einem Preis von 10 €. Diese E-Mail versendet er voll automatisch mittels einer E-Mail-Adressen-Liste, welche durch die Software die Adressen aus dem Internet gefiltert wurden, an 1.000.000 User. Auf diese E-Mail reagieren 1% der User und kaufen das Produkt.
„1.000.000 * 1% *10 € = 100.000 €“
Lohnt sich also, denn die Kosten für das Event sind marginal.
Verbreitung von Hoaxes bzw. Fakenews
Hoaxes sind Falschmeldungen, die gemeinhin in reißerischer Form verschickt werden, und daher per E-Mail, Instant Messenger oder auf anderen Wegen (z. B. SMS, MMS oder soziale Netzwerke) verbreitet, von vielen für wahr gehalten und daher an Freunde, Kollegen, Verwandte und andere Personen weitergeleitet werden.
Zwar hat sich der Bereich mittlerweile in die sozialen Netzwerke verlagert, siehe oben, seit der Erfindung von Hoaxes werden auch E-Mails zur Verbreitung von Hoaxes verwendet. Wichtig ist es, den Hoax zu erkennen. Stark reißerische Clickbaits, übertriebene News, kaum zu glauben oder alle Bekannten müssen es auch wissen… Hier sollten die Warnsignale angehen.
Daher ist der beste Rat: Nutzen Sie als Schutz gegen Hoaxes Ihren gesunden Menschenverstand.
Woher nehmen Spammer meine E-Mail-Adresse?
Oben sind wir schon auf einige Möglichkeiten eingegangen, wie Spammer an Ihre E-Mail-Adresse kommen. Es gibt aber noch weitere Möglichkeiten zur Identifizierung und Schutz vor Spam-Mails:
- Gekaufte E-Mail-Listen
Im Darknet können E-Mail-Listen gekauft werden. - E-Mail-Harvesting
Kriminelle setzen Software ein, die das Internet durchsucht und E-Mail-Adressen mit dem @-Symbol findet. - Daten-Leaks
Hacker verwenden alle Informationen, die sie bei ihren Angriffen erbeuten. E-Mail-Adressen, Kreditkartennummern, Anmeldeinformationen und so weiter. - Gefälschte Websites
Die Opfer denken, sie melden sich auf einer echten Website an – aber statt des Gewinns oder den Zugang zu Ihrem Konto bekommen sie nur Unmengen an Spam-Mails.
Identifizierung und Schutz vor Spam-Mails
Wir haben jetzt ein umfassendes Bild darüber, mit welchen Tricks gearbeitet wird, aber haben Lösungen bisher nur angeschnitten. Was tun also, gegen Spam-Mails?
Woran erkenne ich eine Spam-Mail?
Indizien für Spam E-Mails können sein:
- unbekannte Absender-Adresse
- ungewöhnlicher, oft kryptisch anmutender Absendername
- anonyme Ansprache
- kein Impressum
- kein Abmelde-Link wie bei einem seriösen >Newsletter
- Weblinks oder anklickbare Bilder im E-Mail-Text
- merkwürdiger Betreff oder Inhalt
- viele Grammatik- und Rechtschreibfehler
- Zip-, Word- oder Excel-Dateien im Anhang
Indizien für eine Phishing Mail:
- Der Text der Mail gibt dringenden Handlungsbedarf vor, etwa: „Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …“.
- Drohungen kommen zum Einsatz: „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …“.
- Sie werden aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.
- Die E-Mail enthält Links oder Formulare.
- Die Mail scheint von einer bekannten Person oder Organisation zu stammen, jedoch kommt Ihnen das Anliegen des Absenders ungewöhnlich vor.
Schutz vor Spam: Was kann man tun?
Gebe Sie Daten, insbesondere die E-Mail-Adresse nur an, wenn es wirklich notwendig ist. Vermeiden Sie Gewinnspiele. Verwenden Sie für weniger wichtige Internet-Dienste eine Zweit-E-Mail-Adresse, die Sie sonst für keine weiteren Aktivitäten nutzen. So schützen Sie ihr Postfach vor Spam-Mails.
Vermeiden die Veröffentlichung Ihrer E-Mail-Adresse.
Nutzen Sie Spam-Filter.
„Als Spam-Filter wird eine Software bezeichnet, die sich um das Erkennen und Aussortieren von unerwünschten Mitteilungen kümmert. Solche Spam-Filter werden von jedem professionellen E-Mail-Anbieter und E-Mail-Programm verwendet.“
Schutz für den Alltag
Leider gibt es keine 100%ige Sicherheit. Denken ist der beste Schutz vor Betrug. Falls es Sie doch einmal erwischt, handeln Sie schnell. Nur keine falsche Scham. Sehr viele Menschen werden Opfer von Spam-Mails, Phishing, Hoaxes oder Scams. Die Tricks der Betrüger werden immer besser und vielfältiger. Wenden Sie sich an die Polizei und/oder die Spezialeinheiten für Cybercrime. Fragen Sie vorher nach Zuständigkeiten und verlieren Sie keine Zeit. Wenn Sie aber mit gesundem Menschenverstand im Online-Leben unterwegs sind Spam-Emails identifizieren und ausreichenden Schutz haben, sowie ein paar Grundregeln einhalten, dann wird Ihnen nichts passieren. Vorsicht ist geboten, Angst ist ein schlechter Begleiter.
Cyber Awareness ist nicht nur Sache der Anwender. Beim Schutz vor Phishing würde ich noch einen Schritt weiter gehen und Microsoft in die Pflicht nehmen. Leider ist es möglich, dass sich jeder ohne Authentifizierung durch Angabe einer Mobilfunknummer, eine Outlook Email-Adresse zulegen kann, was zur folge hat, dass Microsoft mittlerweile selbst zu einer Spamschleuder geworden ist, aber nicht darauf reagiert, wenn man sie darauf aufmerksam macht. Bei jedem anderen Email-Provider ist das mittlerweile Pflicht, nur Microsoft schert sich nicht darum und erklärt stattdessen, wie man sich vor Spam schützt, das grenzt schon an Heuchelei. Genau so dumm war es von Microsoft, irgendwann mal auf die Idee zu kommen, Dateinamenerweiterungen auszublenden, was zur folge hat, das unbedarfte Anwender noch schlechter erkennen können, ob ein Klick auf eine Datei unerwünschte Folgen hat. Gegen solch ein Verhalten sollte es auch rechtliche Möglichkeiten im Sinne des Verbraucherschutzes geben.
Es ist wünschenswert, dass an „allen Strängen“ gezogen wird. Gleichwohl stellen sich tatsächliche Herausforderungen, die bisher in der Praxis kaum gelöst werden konnten.
Anonymität im Netz kann wichtig sein. So gibt es das Spannungsfeld zwischen Beeinträchtigung und Sicherheit. Forderungen nach mehr Kontrolle sind verständliche Folge, gleichwohl stellt sich die Frage: Was ist hinzunehmen?
Grundsätzlich gibt es bereits einige Gesetze, die Schutz vor Spam bieten, oder der Identifikation dienen sollen.
Z.B. § 7 UWG oder § 7 TDDDG. Zu letzterem schreibt die Fachliteratur:
(Noch zur gleichlautenden Vorschrift im TTDSG):
„Die Vorlage eines amtlichen Ausweises kann dagegen nur gefordert werden, wenn sie „erforderlich“ ist. Damit ist eine Ausweiskontrolle oft nicht zulässig. Eine Pflicht zur Identitätsfeststellung besteht in jedem Fall nicht.
(Taeger/Gabel/Munz, 4. Aufl. 2022, TTDSG § 7 Rn. 3)“
Daneben gibt es zivilrechtliche Ansprüche:
„Wird Werbung an eine private E-Mail-Adresse versandt, ohne dass der Empfänger mit der E-Mail-Werbung einverstanden ist, erfüllt dies den Tatbestand eines rechtswidrigen Eingriffs in das allgemeine Persönlichkeitsrecht gemäß 823 BGB. Der Empfänger hat somit gegen den Spammer einen Unterlassungsanspruch gemäß § 1004 BGB. (Schirmbacher, VuR 2007, S. 54)“
Auch gibt es bereits Ordnungswidrigkeiten- und Straftatbestände:
„Eine Strafbarkeit gem. § 269 StGB ist immer dann gegeben, wenn der Täter eine falsche E-Mail-Adresse bewusst im Zusammenhang mit rechtlich relevanten Erklärungen in elektronischer Form benutzt, zum Beispiel beim Absenden von E-Mails oder als Ausstellerangabe in elektronischen Dokumenten.“
(NJW 2004, 3519, beck-online)
Microsoft selbst versucht, durch vertragliche Verpflichtung seiner Nutzer dem Problem Herr zu werden:
„Hinsichtlich der Nutzung der Kommunikationsdienste sind Sie verpflichtet, insbesondere folgende Aktivitäten zu unterlassen: Kettenbriefen, Junk-E-Mails, Massenwerbesendungen (Spam) oder sonstigen nicht angeforderten Nachrichten kommerzieller oder anderer Art zu verwenden“
Nutzungsbedingungen unter (https://www.microsoft.com/de-de/rechtliche-hinweise/nutzungsbedingungen#layout-container-uidd9c0), dort: Nutzung von Diensten.
Die Literatur schätzte die Lage jedenfalls im Jahre 2007 wie folgt ein:
„E-Mail-Provider sind hingegen gezwungen, zum Wohle ihrer Kunden einen erheblichen Filter- und Beseitigungsaufwand zu betreiben. Zur Vermeidung von Kundenbeschwerden und ungewollter Nutzung seines Speicherplatzes setzen E-Mail-Dienstleister Personal ein, das versucht, die Speicherung und Weiterleitung von Spam-Mails zu unterbinden. Nutzlose Spam-Mails blockieren Speicherplatz mit dem Risiko, dass der Provider seinen vertraglichen Verpflichtungen gegenüber seinen Kunden nicht mehr nachkommen kann. Zudem entstehen dem Provider Kosten für die Bereithaltung von Speicherplatz, Strom und sonstiger Infrastruktur.“
(VuR 2007, 54, beck-online)“
Die Rechtsprechung aber ist sich den Realitäten wohl bewusst, wenn sie ausführt:
„Unerwünschte Kontaktaufnahmeversuche ist zwar durchaus lästig, aber im Hinblick auf die vermehrte Angabe von Kontaktdaten [im Internet] nicht zu vermeiden. Unerwünschte Nachrichten oder auch Anrufe mit betrügerischem Inhalt sind typische, mit der Nutzung digitaler Kommunikationsmittel verbundene Beeinträchtigungen und Risiken, die allgemein auftreten (Rn. 53). Anrufe und Emails könnten somit auch Ergebnis einer rein zufälligen Rufnummernanwahl und/oder Kontaktierung von im Internet leicht abgreifbaren Telefonnummern und E-Mail-Adressen sein (Rn. 60).“
https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2024-N-8094?hl=true
Eine Lösungsmöglichkeit könnte die Einrichtung einer „DE-Mail“ sein: (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Digitale-Verwaltung/De-Mail/Vorteile-und-Funktionen/vorteile-und-funktionen.html)
Betroffene können sich hier über Hilfsangebote informieren:
https://www.polizei-beratung.de/infos-fuer-betroffene/cybercrime/