Die digitale Müllabfuhr muss aufrüsten

Robert Rothe ist Geschäftsführer und Gründer der Eleven GmbH.

Die Anforderungen an die digitale Müllabfuhr haben sich in der letzten Zeit drastisch gewandelt: Viele Verfahren, die vor zwei oder drei Jahren noch wirksam waren, sind in der Regel den heutigen Methoden der Spammer nicht mehr gewachsen. Kein Wunder, denn schliesslich warten diese fast schon monatlich mit neuen Kniffen auf, um die Filter zu umgehen.

Doch was macht einen guten Spam-Filter (siehe auch Marktübersicht Seite 26) aus? Ein naheliegendes Kriterium, um dies beurteilen zu können, ist die so genannte False-Negative-Rate. Sie beschreibt, wie viel Prozent der unerwünschten Werbeflut der Spam-Filter durchschnittlich durchlässt. Je niedriger die Zahl, umso besser ist die Filterleistung. Wirklich sinnvoll sind nur Lösungen, die einen Wert von unter drei Prozent, beziehungsweise eine Erkennungsrate von mindestens 97 Prozent erreichen. Sonst quellen die Posteingangsfächer bald trotz teurer Spam-Filter vor unerwünschten Nachrichten über.

Eine gute Erkennungsleistung allein nützt jedoch nur wenig. Selbst Spam-Filter mit einer utopischen Spam-Erkennungsrate von 100 Prozent können qualitativ schlecht sein, wenn ihre False-Positive-Rate ungenügend ist. Dann besteht nämlich die Gefahr, dass wichtige, geschäftsrelevante E-Mails nie beim Empfänger ankommen, weil sie fälschlich als Spam aussortiert wurden. Unternehmen sollten bei der Auswahl des Filters deshalb unbedingt darauf achten, dass die False-Positive-Rate nahe null ist. Selbst ein vermeintlich niedriger Wert von 0,1 Prozent bedeutet bei wöchentlich einer Million E-Mails, dass 10000 erwünschte Nachrichten verloren gehen.

Um also möglichst viele Spams herauszufiltern, ohne dass relevante Geschäftsmails verloren gehen, braucht es neue Filtermethoden. So genannte reaktive Lösungen wie Schwarze Listen von IP-Nummern, die gerne von Spammern verwendet werden, oder Schlagwort-basierte Verfahren gehen bei neuen Spam-Wellen und den immer ausgefeilteren Tricks der Spammer nicht selten in die Knie. Bestes Beispiel sind die Image-Spam-Attacken, bei denen die Werbebotschaften in Bilddateien untergebracht wurden. Ein Filter, der hier nach Schlüsselwörtern sucht, bleibt notgedrungen auf der Strecke. Diese Filter scheitern beispielsweise auch dann, wenn der Mailmüll als so genannter Container-Spam daherkommt. Bei dieser Variante ist die Werbebotschaft im Attachement, beispielsweise einer PDF- oder einer MP3-Datei, enthalten.

Hier haben Verfahren, die auf einem so genannten Kontrollsummen-Algorithmus beruhen, einen grossen Vorteil: Sie prüfen weder Inhalte noch IP-Adressen, sondern filtern nur nach dem charakteristischen Kriterium von Spam: die Eigenschaft, stets massenhaft an eine Vielzahl von Empfänger versendet zu werden. Um unerwünschte Post zu identifizieren, wird die E-Mail zunächst auf einen Code von wenigen Bytes reduziert. Dann wird die Ähnlichkeit der ein-gehenden E-Mails miteinander verglichen. Treffen innert kurzer Zeit gleiche oder ähnliche Nachrichten ein, steigt die Spam-Wahrscheinlichkeit. Diese Methode hat sich bislang als ein sehr effizientes Mittel im Kampf gegen die Spam-Flut erwiesen, weil damit auch die neuesten Varianten schnell erkannt und gefiltert werden können.

Gute Filter sind das eine im Kampf gegen Spam. Das andere ist die schiere Masse der Müllmails. Von ihr geht mittlerweile die grösste Gefahr für die E-Mail-Infrastruktur eines Unternehmens aus. Denn diese wird durch das Anschwellen des Mail-Volumens immer wieder an ihre Belastungsgrenze gebracht. Hauptverantwortlich dafür ist das dramatische Spam-Wachstum um zirka 5000 Prozent seit 2005. Dies entspricht einer Verfünfzigfachung in nur zwei Jahren. Für viele Unternehmen ist dies kaum noch tragbar, und dies trotz Spam-Filtern. Denn der durchschnittliche Spam-Anteil liegt derzeit bei bis zu 95 Prozent. In einem Grossunternehmen kann das Spam-Volumen zu Spitzenlastzeiten somit 60 GByte am Tag erreichen.

Um aufgrund dieses ständig wachsenden E-Mail-Aufkommens nicht immer wieder die Speicherkapazitäten der Server erhöhen zu müssen, bieten sich so genannte ASP-Dienste (Application Service Providing) an. Bei diesem Konzept wird der Filter nicht direkt auf den Servern des Unternehmens installiert, sondern als Dienstleistung in Form eines vorgeschalteten Mailservers angeboten. Die Verwendung eines solchen ausgelagerten Filters bringt eine Reihe von Vorteilen mit sich und ist für Unternehmen jeder Grösse interessant.

Erstens entlastet und schützt der ASP-Dienst die E-Mail-Infrastruktur des Unternehmens. Weil die unerwünschte Post direkt beim Dienstleister landet, erreicht sie die firmeneigenen Server gar nicht erst, kann dort also auch keinen Schaden anrichten. Unerwünschte E-Mails lassen sich so wahlweise bereits auf dem Server des Service-Anbieters löschen, abweisen oder in Quarantäne verschieben. Reguläre E-Mails hingegen werden nach der Prüfung umgehend zugestellt - die Verzögerung beträgt meist deutlich weniger als eine Sekunde. Zudem erfordern ASP-Dienste keine Installationen und damit keine Veränderungen an der bisherigen E-Mail-Infrastruktur. Nach der erstmaligen Einrichtung entfällt zudem jeglicher administrative Aufwand, da die gesamte Pflege und Wartung der Lösung beim Dienstleister liegt.

Zusätzlichen Schutz bietet eine E-Mail-Firewall, welche die reguläre E-Mail-Kommunikation auch in Lastsituationen wie zum Beispiel bei gezielten Spam-Angriffen oder Denial-of-Service-Attacken sicherstellt. Auf Basis der regelmässig geprüften E-Mails eines Unternehmens ermittelt die Lösung die wichtigsten Kommunikationspartner. In Lastsituationen werden Zustellversuche von als weniger relevant ermittelten Partnern auf einen späteren Zeitpunkt verschoben, die wichtige Kommunikation wird jedoch trotz der hohen Serverbelastung wie gewohnt und verzögerungsfrei gewährleistet.

Im Bereich der E-Mail-Sicherheit zeichnen sich somit momentan zwei zukunftsweisende Entwicklungen ab: Aufgrund der stets wechselnden Methoden der Spammer haben Filter, die E-Mails auf das Massenmail-Kriterium überprüfen, die Nase vorn. Sie bieten neben einer hohen Erkennungsleistung eine äusserst niedrige False-Positive-Rate. Ein weiterer Trend liegt im ressourcenschonenden ASP-Modell. Durch einen ausgelagerten Anti-Spam-Dienst können Unternehmen nicht nur Zeit, sondern auch Serverkapazität sparen - was sich bei den aktuellen Mengen von Spam schnell bezahlt macht. Inhouse-Filter eignen sich aufgrund der Kosten und des Aufwands für Aufrüstungen und Pflege fast nur für grosse Unternehmen und Internet Service Provider mit mehreren Millionen Nutzern, die über die entsprechenden Ressourcen in der IT-Abteilung verfügen.