Spam

Mit dem Begriff Spam bezeichnet man unerwünschte, massenweise verschickte E-Mail-Nachrichten und Newsgruppen-Artikel. Im Detail wird unterschieden zwischen

  • UBE (unsolicited bulk email): nicht ausdrücklich bestellte, in großen Mengen versandte E-Mail
  • UCE (unsolicited commercial email): nicht ausdrücklich bestellte, kommerzielle Werbung per E-Mail
  • ECP (excessive crosspost): in unangebracht vielen Newsgruppen veröffentlichter ("geposteter") Artikel
  • EMP (excessive multipost): in unangebrachter Anzahl gepostete, gleichlautende Artikel in einer oder mehreren Newsgruppen.

Leider lassen sich aus dieser Klassifizierung keine allgemeingültigen Kriterien ableiten, anhand derer Spam eindeutig identifiziert werden könnte. Der Ansatz, Spam als Massenmail zu charakterisieren, hat den Makel, dass er nicht auf der Wahrnehmung der Betroffenen basiert: Der Empfänger erhält schlicht und einfach Mail, die ihn nicht interessiert; dass auch tausende andere mit denselben Nachrichten bombardiert werden, tut für ihn nichts zur Sache. Aus Empfängersicht - und diese muss bei allen Betrachtungen über Gegenmaßnahmen ein zentraler Gesichtspunkt sein - ist also "unerwünscht" das typische Merkmal von Spam. Dabei handelt es sich allerdings um ein subjektives, der elektronischen Datenverarbeitung nicht zugängliches Kriterium. Aus diesem Grund ist auch der Versuch, Spam über seinen Inhalt zu definieren, zum Scheitern verurteilt: Nachrichten, die für manche Empfänger unerwünscht sind, können für andere durchaus nützlich und willkommen sein. Vielfach werden etwa Werbematerial, Produktinformationen oder Preislisten völlig bewusst und aus freien Stücken bei Geschäftspartnern angefordert und sollen auf Wunsch des Empfängers regelmäßig übermittelt werden.

Das ist auch schon die Achillesferse aller Antispam-Aktivitäten: Selbst bei Einsatz der höchstentwickelten künstlichen oder gar menschlichen Intelligenz (und wer will schon, dass seine eMail vor der Zustellung probegelesen wird?) ist es nicht möglich, zweifelsfrei zu beurteilen, ob eine Nachricht erwünscht ist oder nicht. Deshalb gibt es auch bis heute keinen Konsens über eine gleichzeitig präzise und sinnvolle Definition von Spam: Letztendlich kann darüber nur der Empfänger entscheiden.

Zur Frage, wie die Spammer zu den E-Mail-Adressen der Menschen gelangen, die von ihnen beglückt werden, gibt es mehrere Antworten:

  • Aus Artikeln, die in Newsgruppen und öffentlich zugänglichen Mailinglisten gepostet wurden.
  • Aus Webseiten, die Kontaktadressen oder überhaupt ganze E-Mail-Verzeichnisse (z.B. des gesamten Instituts) enthalten. Insbesondere Mailadressen, die mit Suchmaschinen wie Google zu finden sind, stehen auch Spammern zur Verfügung.
  • Eintragung der E-Mail-Adresse bei Online-Gewinnspielen, Freemailern usw.: Es gibt immer wieder Berichte, wonach Spam an Adressen geschickt worden sein soll, die nur bei solchen Anlässen verwendet wurden.
    Auch Verzeichnisdienste mit LDAP, Whois-Datenbanken usw. gelten als Adressquellen für Spammer.
  • Es ist zwar bisher kein derartiger Fall dokumentiert, aber sicher nur eine Frage der Zeit, bis auch E-Mail-Würmer programmiert werden, die sich nicht nur verbreiten, sondern auch gleich eine Kopie des Adressbuchs des befallenen Rechners an Spam-Firmen versenden.
  • HTML-Nachrichten können durch Einbettung von Framesets und Bildern (Webbugs) den Mailklienten veranlassen, zur Darstellung einer Nachricht auf den Webserver des Spammers zuzugreifen. Zunehmend werden dafür nummerierte URLs verwendet, anhand derer der Spammer feststellen kann, wer seinen Spam im Mailklienten geöffnet hat. Klarerweise ist die Infomation, dass eine bestimmte Mailadresse tatsächlich aktiv ist, für den Spammer bares Geld wert.

Spam ist in vielen Ländern - auch in Österreich - ohnehin verboten. § 107 des österreichischen Telekommunikationsgesetzes lautet:

 (...) Die Zusendung einer elektronischen Post als Massensendung oder zu Werbezwecken bedarf der vorherigen - jederzeit widerruflichen - Zustimmung des Empfängers.

In Europa verbieten außerdem noch Dänemark, Deutschland, Finnland, Griechenland, Italien und Norwegen das Versenden unverlangter kommerzieller E-Mail (UCE).

In manchen Ländern ist Spam erlaubt, bis der Empfänger widerspricht. Dieses sogenannte Opt-Out-Verfahren zeugt von einem besonderen Realitätsbezug der entsprechenden Gesetzgeber: Wie soll man jemandem, von dem man im vorhinein nichts weiß und der sich meist im nachhinein kaum finden lässt (mehr dazu später), die Zusendung von Werbung verbieten? Zudem geht es nicht um einen oder zehn Absender, sondern um tausende. Diese Art der Regelung ist daher völlig wirkungslos.

In einigen Ländern wird noch geprüft und beraten, allerdings gibt die EU-Richtlinie 2002/58/EC vom 31. Juli 2002 Anlass zur Hoffnung:

Artikel 13
Unerbetene Nachrichten
1. Die Verwendung von automatischen Anrufsystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post für die Zwecke der Direktwerbung darf nur bei vorheriger Einwilligung der Teilnehmer gestattet werden.

In den USA gibt es keine einheitliche Regelung; allerdings haben zahlreiche Bundesstaaten Maßnahmen ergriffen (siehe http://www.spamlaws.com/, öffnet eine externe URL in einem neuen Fenster):

  • In Kalifornien muss UCE Instruktionen für das Opt-Out sowie - unter gewissen Voraussetzungen - die Kennzeichnung ADV: oder ADV:ADLT im Subject enthalten. (g) In the case of email that consists of unsolicited advertising material for the lease, sale, rental, gift offer, or other disposition of any realty, goods, services, or extension of credit, the subject line of each and every message shall include "ADV:" as the first four characters. If these messages contain information that consists of unsolicited advertising material for the lease, sale, rental, gift offer, or other disposition of any realty, goods, services, or extension of credit, that may only be viewed, purchased, rented, leased, or held in possession by an individual 18 years of age and older, the subject line of each and every message shall include "ADV:ADLT" as the first eight characters.
  • In Florida gibt es keine speziellen Bestimmungen über Spam; Anwälte, die durch unverlangte Mail werben, müssen jedoch legal advertisement ins Subject schreiben.
  • Louisianas Gesetzgeber waren besonders kreativ: Dort ist es verboten, unverlangte kommerzielle Mail an mehr als 1000 Empfänger zu senden, wenn die Nachricht gefälschte Routing-Informationen (Received:-Header) enthält oder der Versand unter Verstoß gegen die Benutzungsbedingungen des jeweiligen Providers erfolgt (Strafrahmen: 5000 USD).
  • In Washington darf man kommerzielle E-Mail versenden, sofern sie nicht den Domainnamen Dritter ohne Genehmigung verwendet, gefälschte Routing-Informationen enthält oder ein falsches oder missverständliches Subject aufweist.
  • In Japan besteht eine Regelung, derzufolge E-Mail-Werbung als solche deklariert werden sowie Opt-Out-Instruktionen enthalten muss.

Fazit: Nicht nur in Bananenrepubliken ist Spammen erlaubt oder höchstens ein bisserl verboten.

Wir sind gewohnt, dass Fehlverhalten, das der Gesellschaft schadet und gegen die guten Sitten verstößt, geahndet wird, und ärgern uns, wenn der Bösewicht ungestraft davonkommt. Wieso also legt niemand den Spammern das Handwerk?

Einer der Gründe wurde oben beschrieben: Um einen Spam-Versender mit juristischen Mitteln belangen zu können, muss sein Tun zuerst einmal verboten sein. Gerade im Internet schlägt aber die Globalisierung zu: Auch wenn wir noch so heftig mit unserem § 107 TKG wedeln, wird das den Absender in China nicht kümmern (lediglich in der EU gilt das Prinzip, dass das Recht des Empfängerlandes anzuwenden ist). Auch der günstige Fall, dass Spam im Land des Absenders ebenfalls verboten ist, bedeutet noch lange nicht, dass mit vertretbarem Aufwand gegen diesen vorgegangen werden kann: Der Staatsanwalt (oder welche Behörde auch immer zuständig sein mag) eines anderen Landes wird sich von unsereinem kaum dazu zwingen lassen, aktiv zu werden. Aus dem Spam-Verbot ist ohnehin kein subjektives Recht des Empfängers auf Bestrafung des Täters abzuleiten; daher ist es auch nicht möglich, selbst ein derartiges Verfahren zu betreiben. Dasselbe gilt, falls der Spam-Versender gegen die Benutzungsbedingungen seines Providers verstoßen hat: Dem Empfänger entstehen daraus keinerlei Rechte - er ist ja nicht Vertragspartner.

Wie sieht es nun im eigenen Land aus? Es herrscht allgemein Einigkeit darüber, dass Spam aus Österreich außergewöhnlich selten anzutreffen ist. In einschlägigen Newsgruppen wird jedoch immer wieder berichtet, dass die für die Spam-Problematik zuständige Behörde, das Fernmeldebüro, keine oder kaum erkennbare Tätigkeit entfaltet. Die Frage, ob § 107 TKG in Österreich nicht ebenso totes Recht ist wie das Hupverbot, bleibt mangels veröffentlichter Statistiken leider offen.

Neben dem (Verwaltungs-)Strafrecht gibt es aber natürlich noch das Zivilrecht:

  • Eine Variante ist, die Unterlassung weiterer Zusendungen zu erstreiten. Das bedeutet aber für das Spam-Opfer einen immensen Aufwand und ein nicht unbeträchtliches finanzielles Prozessrisiko. Diesem steht selbst im Erfolgsfall ein relativ geringer Nutzen gegenüber, da man vom selben Absender (zumindest erkenn- und nachweisbar) ohnehin nur im Ausnahmefall mehrmals Spam bekommt. Ein generalpräventiver Effekt - in dem Sinn, dass der Spammer oder gar andere Spammer von weiteren derartigen Aktivitäten abgeschreckt würden - folgt daraus leider nicht.
  • Anders sieht die Sache aus, wenn ein Konkurrent Spam versendet: Hier kann man mit der Keule des Unlauteren Wettbewerbs vorgehen.
  • Auch Klagen auf Schadenersatz sind prinzipiell möglich und bereits erfolgreich praktiziert worden. Wie bei der Unterlassungsklage gilt auch hier, dass das Prozessrisiko einem nur geringen Schadenersatz-Betrag gegenübersteht. Große Firmen/Institutionen, die vom selben Absender eine große Menge Spam erhalten haben, könnten zwar den entstandenen Aufwand für Serverbelastung und eventuell Wartung sowie die entgangene Arbeitszeit in Rechnung stellen. Gerade in diesen Fällen wird eine Verfolgung aber in der Regel ausbleiben: Die Rechtsabteilungen großer Organisationen haben oft weder die Kapazität noch den sportlichen Ehrgeiz zur Spam-Bekämpfung.

Im Zusammenhang mit dem Internet - der angeblichen einzigen funktionierenden Anarchie - wird gern das Schlagwort "Selbstregulierung" ins Treffen geführt. Internet-Provider können tatsächlich einiges dagegen unternehmen, dass ihre Kunden Spam versenden. Zwar gibt es genügend Provider, die keinerlei Bedenken gegen gut zahlende Spammer in ihrem Kundenkreis haben; der Großteil verbietet Fehlverhalten aber mehr oder weniger ausdrücklich (z.B. durch Verweis auf die Netiquette) in einem entsprechenden Passus der Allgemeinen Geschäftsbedingungen. Leider bleibt ein Verstoß dagegen oft folgenlos: Die attraktive Möglichkeit, Konventionalstrafen vorzusehen, wird kaum wahrgenommen - die meisten Provider behalten sich lediglich das Recht vor, im Falle eines Missbrauchs den Zugang des Bösewichts zu sperren. Allerdings ist in einschlägigen Mailinglisten immer wieder zu lesen, dass Provider angesichts einer drohenden Schadenersatzklage des Zugangsinhabers davor zurückschrecken, die angekündigten Konsequenzen in die Realität umzusetzen.

Rein rechtlich ist also nicht viel Unterstützung im Kampf gegen den Spam zu erwarten - und dabei wurde noch gar nicht auf den Gesichtspunkt eingegangen, dass der tatsächliche Absender einer Spam-Nachricht nur in seltenen Fällen überhaupt entlarvt werden kann.

1. Vermeiden Sie E-Mail-Adressen, deren Alias nur aus 3 oder 4 Buchstaben besteht (Beispiel: xy@tuwien.ac.at)
Über Adressgeneratoren werden beispielsweise regelmäßig Werbemails an alle 2-, 3- und 4-buchstabigen Variationen bekannter Domains (zum Beispiel Yahoo, Hotmail, GMX oder web.de) gesendet. Auch E-Mail-Adressen, deren Alias aus gängigen Vornamen oder Begriffen besteht, werden von Spammern oft auf Verdacht hin angemailt. Besser sind vollständige Namen wie vorname.nachname@tuwien.ac.at

2. Benutzen Sie zwei E-Mail-Adressen: Eine öffentliche und eine private.
Je freigiebiger Sie mit Ihrer E-Mail-Adresse umgehen, desto größer ist Ihr Spam-Risiko. Es ist daher sinnvoll, sich eine Hauptadresse für die elektronische Korrespondenz und eine weitere für alle anderen Zwecke anzulegen.

3. Verwenden Sie Ihre Hauptadresse nur, wenn Sie tatsächlich mit jemandem kommunizieren wollen.
Ihre Hauptadresse sollten Sie niemals für einen der folgenden Zwecke verwenden: Teilnahme an Gewinnspielen, Registrierung für kostenlose Dienste oder Produktregistrierungen, E-Mail-Adressverzeichnisse, Mailinglisten, Newsletter-Abos, Einträge in Gästebüchern, Diskussionsforen oder Usenet, Domain-Registrierungen, Versand von e-Cards, Online-Shopping.

4. Reagieren Sie niemals auf eine Spam-Mail.
Werbemails enthalten oft den Hinweis, der Empfänger könne eine erneute Zusendung durch eine Antwort-Mail mit einem bestimmten Betreff oder durch das Anklicken eines Links verhindern. Durch eine solche Reaktion erreichen Sie jedoch das genaue Gegenteil: Der Absender weiß jetzt, dass Ihre E-Mail-Adresse gültig ist und Sie Ihren Account nutzen, und dieses Wissen macht Ihre Adresse für Spammer noch wertvoller.

5. Klicken Sie niemals auf einen Link in einer Spam-Mail.
In Spam-Mails enthaltene Links führen oftmals zur Installation eines sogenannten "Dialers", also eines Einwahlprogramms, das sich über eine teure 0190-Nummer ins Internet einwählt. (Dies ist an der TU Wien keine so große Gefahr, da keine Modems für die Internetverbindung an den Arbeitsplätzen verwendet werden!)

6. Schicken Sie Kettenbriefe oder Virenwarnungen nicht weiter.
Zumindest nicht, ohne ihren Wahrheitsgehalt vorher zu überprüfen. Denn auch die vielen oft über Jahre hinweg kursierenden Kettenbriefe und Falschmeldungen (wie angebliche Virenwarnungen oder E-Mail-Unterschriftenlisten) erhöhen das Mail-Müll-Aufkommen erheblich. Viele dieser Hoaxes sind seit langem "enttarnt", werden aber dennoch munter weiter versendet. Ausgezeichnete und stets aktuelle Informationen zu diesem Thema finden Sie zum Beispiel unter http://hoax-info.tubit.tu-berlin.de/, öffnet eine externe URL in einem neuen Fenster

7. Verwenden Sie Verteilerlisten oder das BCC-Feld, wenn Sie eine E-Mail an mehrere Empfänger versenden. 
Dies dient zum einen dem Schutz der Privatsphäre Ihrer Korrespondenzpartner, denen die Entscheidung darüber, wem sie ihre E-Mail-Adresse geben möchten, am besten selbst überlassen werden sollte. Gleichzeitig verhindern Sie dadurch auch die unkontrollierte Weiterverbreitung dieser Adressen.

8. Meiden Sie öffentliche Adressverzeichnisse
Sie nutzen gerne Online-Services wie Instant-Messenger oder Chats? Diese Anbieter führen oftmals ein öffentlich zugängliches Mitgliederverzeichnis. Auf die Aufnahme in diese Verzeichnisse sollten Sie verzichten oder Ihre Zweitadresse angeben. Das gleiche gilt natürlich auch für reine Adressverzeichnisse, die es verschollenen Bekannten ermöglichen sollen, Ihre E-Mail-Adresse ausfindig zu machen.

9. Eigene Homepage? Tarnen Sie Ihre E-Mail-Adresse.
Mit vollautomatischen Such-Tools durchkämmen Spammer das Internet auf der Suche nach E-Mail-Adressen. Geben Sie deshalb Ihre E-Mail-Adresse nicht im Klartext auf Ihrer Homepage an. Bessere Lösungen sind ein Kontaktformular oder eine Textgrafik.

10. Nutzen Sie unser zentrales Spam Markierungsservice.

11. Verwenden sie einen SpamBlocker z.B. Mailshield aus der Campussoftware, dieser filtert Mails direkt am Mailserver.

oder ein Freeware Produkt z.B. SpamPal, öffnet eine externe URL in einem neuen Fenster.

Service Center

Logo Service Center

© TU Wien

Ticketsystem-Online-Portal, öffnet eine externe URL in einem neuen Fenster
Hotline 01 588 01 42002

help@it.tuwien.ac.at
1040 Wien, Operngasse 11, EG

Das Service Center ist MO-FR (werktags) von 8:00 bis 16:00 Uhr digital erreichbar und wird zusätzlich von 8:00 bis 12:00 Uhr (werktags) persönlich vor Ort tätig sein.

Sicherheits- und Schutzmaßnahmen, öffnet eine externe URL in einem neuen Fenster