Die digitale Müllabfuhr muss aufrüsten

Robert Rothe ist Geschäftsführer und Gründer der Eleven GmbH.

Die Anforderungen an die digitale Müllabfuhr haben sich in der letzten Zeit drastisch gewandelt: Viele Verfahren, die vor zwei oder drei Jahren noch wirksam waren, sind in der Regel den heutigen Methoden der Spammer nicht mehr gewachsen. Kein Wunder, denn schliesslich warten diese fast schon monatlich mit neuen Kniffen auf, um die Filter zu umgehen.

Doch was macht einen guten Spam-Filter (siehe auch Marktübersicht Seite 26) aus? Ein naheliegendes Kriterium, um dies beurteilen zu können, ist die so genannte False-Negative-Rate. Sie beschreibt, wie viel Prozent der unerwünschten Werbeflut der Spam-Filter durchschnittlich durchlässt. Je niedriger die Zahl, umso besser ist die Filterleistung. Wirklich sinnvoll sind nur Lösungen, die einen Wert von unter drei Prozent, beziehungsweise eine Erkennungsrate von mindestens 97 Prozent erreichen. Sonst quellen die Posteingangsfächer bald trotz teurer Spam-Filter vor unerwünschten Nachrichten über.

Eine gute Erkennungsleistung allein nützt jedoch nur wenig. Selbst Spam-Filter mit einer utopischen Spam-Erkennungsrate von 100 Prozent können qualitativ schlecht sein, wenn ihre False-Positive-Rate ungenügend ist. Dann besteht nämlich die Gefahr, dass wichtige, geschäftsrelevante E-Mails nie beim Empfänger ankommen, weil sie fälschlich als Spam aussortiert wurden. Unternehmen sollten bei der Auswahl des Filters deshalb unbedingt darauf achten, dass die False-Positive-Rate nahe null ist. Selbst ein vermeintlich niedriger Wert von 0,1 Prozent bedeutet bei wöchentlich einer Million E-Mails, dass 10000 erwünschte Nachrichten verloren gehen.

Der Filter muss intelligent werden

Um also möglichst viele Spams herauszufiltern, ohne dass relevante Geschäftsmails verloren gehen, braucht es neue Filtermethoden. So genannte reaktive Lösungen wie Schwarze Listen von IP-Nummern, die gerne von Spammern verwendet werden, oder Schlagwort-basierte Verfahren gehen bei neuen Spam-Wellen und den immer ausgefeilteren Tricks der Spammer nicht selten in die Knie. Bestes Beispiel sind die Image-Spam-Attacken, bei denen die Werbebotschaften in Bilddateien untergebracht wurden. Ein Filter, der hier nach Schlüsselwörtern sucht, bleibt notgedrungen auf der Strecke. Diese Filter scheitern beispielsweise auch dann, wenn der Mailmüll als so genannter Container-Spam daherkommt. Bei dieser Variante ist die Werbebotschaft im Attachement, beispielsweise einer PDF- oder einer MP3-Datei, enthalten.

Hier haben Verfahren, die auf einem so genannten Kontrollsummen-Algorithmus beruhen, einen grossen Vorteil: Sie prüfen weder Inhalte noch IP-Adressen, sondern filtern nur nach dem charakteristischen Kriterium von Spam: die Eigenschaft, stets massenhaft an eine Vielzahl von Empfänger versendet zu werden. Um unerwünschte Post zu identifizieren, wird die E-Mail zunächst auf einen Code von wenigen Bytes reduziert. Dann wird die Ähnlichkeit der ein-gehenden E-Mails miteinander verglichen. Treffen innert kurzer Zeit gleiche oder ähnliche Nachrichten ein, steigt die Spam-Wahrscheinlichkeit. Diese Methode hat sich bislang als ein sehr effizientes Mittel im Kampf gegen die Spam-Flut erwiesen, weil damit auch die neuesten Varianten schnell erkannt und gefiltert werden können.