PDF [5,6 MB] - bei der IBH IT-Service GmbH

ibh.de

PDF [5,6 MB] - bei der IBH IT-Service GmbH

Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Private E-Mail-Nutzung

im Unternehmen

und Abwehr von Spam

Prof. Dr. Thomas Horn

IBH IT-Service GmbH

Gostritzer Str. 61-63

01217 Dresden

info@ibh.de

www.ibh.de

1


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Inhaltsverzeichnis

1. Was ist Spam?

2. Zivilrechtliche Maßnahmen gegen Spammer

3. Filtermaßnahmen und rechtliche Probleme

4. Sind Unternehmen Diensteanbieter?

5. Das Problem der Filter

6. Verweigerung der Mail-Annahme

7. Aufbau einer Mail

8. Maßnahmen zur Spam-Abwehr

9. Erziehlte Ergebnisse

10. Produktentwicklung

11. Kollateralschäden bei Spam-Abwehr

In der vorliegenden Präsentation werden diverse Rechtsauffassungen und Gesetze zitiert bzw.

diskutiert, was aber nicht zu der Annahme berechtigt, dass es sich in der Präsentation um eine

Rechtsberatung im Sinne des Rechtsberatungsgesetzes (RBerG) handelt.

2

2


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Was ist Spam?

◆ umgangssprachlich:

jede Form unerwünschter Mail, die uns in unserem Persönlichkeitsrecht

verletzt und/oder uns in unserer täglichen Arbeit behindert

◆ Anteil an Spam-Mails ist häufig schon mehr als 98%

● mehr Ressourcen (Bandbreite, Serverleistung, Plattenkapazität etc.)

● zunehmende Belastung der Mitarbeiter des Unternehmens

● 0,5h/Arbeitstag ca. 6% der Arbeitszeit

bei 20 Mitarbeitern ein Schaden von 40.000-50.000€/Jahr

● weitere Verluste durch erhöhte Investitionen an Hard- und Software sowie

aufwändigere Pflege der IT-Systeme.

◆ Durch DoS-Angriffe (Denial of Service) und Angriffe mittels Schadcode

wird die Funktionsfähigkeit der lebenswichtigen IT-Infrastrukturen von

Unternehmen und staatlichen Behörden auf allen Ebenen bedroht

◆ Bereits im Juni 2005 hat die Bundesregierung einen „Nationalen Plan

zum Schutz der Informationsinfrastrukturen (NPSI)“ verabschiedet, der

vom Bundesministerium des Innern (BMI) veröffentlicht wurde:

IT-Systeme sind … Hackerangriffen und Bedrohungen durch Computerviren und

-würmer ausgesetzt. Viele der schädlichen Programme und gezielten Angriffe gehen

zunehmend auf das Konto organisierter Kriminalität und terroristischer Angreifer. Das

Hauptmotiv ist nicht mehr … an Bekanntheit zu gewinnen, sondern es geht darum, aus

den Angriffen finanziellen Nutzen zu ziehen oder volkswirtschaftlichen Schaden

anzurichten.“

3

3


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Was ist Spam?

◆ Für einen umfassenden Schutz der Informationsinfrastrukturen in

Deutschland gibt die Bundesregierung dabei drei strategische Ziele vor:

● Prävention: Informationsinfrastrukturen angemessen schützen

● Reaktion: Wirkungsvoll bei IT-Sicherheitsvorfällen handeln

● Nachhaltigkeit: Deutsche IT-Sicherheitskompetenz stärken – international

Standards setzen“

◆ Das BMI dazu am 15.8.2007 den „Umsetzungsplan KRITIS des

Nationalen Plans zum Schutz der Informationsinfrastrukturen“ zum

Schutz von kritischen Infrastrukturen (KRITIS) in einem ersten Entwurf

veröffentlicht. Zu den kritischen Infrastrukturen zählen:

● „Energie“ mit den Elektrizitäts- und Gasversorgern

● „Informationstechnik/Telekommunikation“

● „Finanz-, Geld- und Versicherungswesen“

◆ Im Auftrag des BMI beschäftigt sich seit Jahren auch das das

Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der

Spam-Problematik:

Studie vom März 2005: „Antispam-Strategien – Unerwünschte E-Mails

erkennen und abwehren“

◆ Diese Studie kann in ihrem grundsätzlichen Inhalt immer noch als

aktuell eingestuft werden. In technischen Details gibt es heute teilweise

verbesserte oder weiterentwickelte Ansätze.

4

4


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Zivilrechtliche Maßnahmen gegen

Spammer

◆ Unerwünschte Werbung per E-Mail ist durch das Wettbewerbsrecht in

der EU rechtlich einheitlich geregelt

◆ Rechtliches Vorgehen gegen Spammer löst das Spam-Problem an sich

nicht, weil:

● ein rechtliches Vorgehen in der Regel an den Ländergrenzen scheitert, da

die meisten Spammer aus dem Ausland kommen

● in den USA und in anderen Ländern Spam nur dann verboten ist, wenn

diesem Mailverkehr ausdrücklich widersprochen wurde

● die meisten Spammer sich nicht an die Gesetze halten und nur mit

unvertretbar hohem Aufwand ermittelt werden können

● die große Masse der Spammer ihre Identität verschleiert und zum Spammen

gehackte (manipulierte) Computer sonst „ehrenwürdiger“ Firmen oder

Einrichtungen sowie in zunehmenden Umfang sogenannte „Botnetze“ aus

infiltrierten Heim-PCs benutzt

◆ Die rechtliche Definition von unerwünschter Werbung („Spam“) ist nicht

identisch mit unserer üblichen Definition von Spam

◆ Die Auffassung von Spam ist subjektiv auch unterschiedlich

5

5


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Ausweg: Filtermaßnahmen

◆ Inzwischen setzen fast alle Unternehmen und Behörden

Mailfilter zum Aussortieren von Spam-Mails und von Mails mit

Schadcode (Viren, Würmer etc.) ein

◆ Andernfalls könnte die eingehende E-Mail-Flut nicht bewältigt

werden

◆ Automatisiertes Filtern von E-Mails ohne Kenntnis und

Zustimmung des Empfängers kann rechtliche Probleme nach

sich ziehen

◆ Das OLG Karlsruhe (Januar 2005) stellte fest, dass „das gezielte

Filtern von E-Mails grundsätzlich als strafrechtlich relevant“

anzusehen sei

◆ Es ist aber bis heute nicht bestätigt, ob das auch für die Spam-

Abwehr zur Funktionserhaltung der E-Mail-Systeme so gilt

◆ Ausnahme: Gemäß StGB §34 (Notstand) und TKG §109

(Schutzmaßnahmen) gibt es erweiterte Befugnisse für die IT-

Abteilung

6

6


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Rechtliche Probleme

◆ E-Mail-Verkehr unterliegt wie Telefonie- und Faxverkehr

dem Fernmeldegeheimnis, das durch das Grundgesetz

(GG), Art. 10, geschützt wird: „Das Briefgeheimnis sowie

das Post- und Fernmeldegeheimnis sind unverletzlich“

◆ Weitere Gesetze:

TKG §88 Fernmeldegeheimnis

„(2) Zur Wahrung … ist jeder Diensteanbieter verpflichtet“

StGB § 202

Verletzung des Briefgeheimnisses

„wer unbefugt einen verschlossenen Brief …, die nicht zu seiner

Kenntnis bestimmt sind, öffnet …“

StGB § 206

Verletzung des Post- oder Fernmeldegeh.

„wer unbefugt … eine Sendung, die … zur Übermittlung anvertraut

worden ist, öffnet … oder unterdrückt … oder dies gestattet oder

fördert.“

StGB § 303a

Datenveränderung

„wer rechtswidrig Daten löscht, unterdrückt, … oder verändert …“

7

7


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Telekommunikationsgesetz (TKG)

◆ 1996 mit der Privatisierung der Post- und Telekommunikationsdienste

ist im §88 TKG das Fernmeldegeheimnis definiert worden:

(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre

näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang

beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf

die näheren Umstände erfolgloser Verbindungsversuche.

(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die

Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie

begründet worden ist.

(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die

geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des

Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder

den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse

über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1

genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke,

insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine

andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf

Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des

Strafgesetzbuches hat Vorrang.

8

8


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Strafgesetzbuch (StGB)

◆ Bei Verletzung des GG Art.10 bzw. des TKG §88 findet das StGB

Anwendung:

StGB § 202 Verletzung des Briefgeheimnisses

(1) Wer unbefugt

1. einen verschlossenen Brief oder ein anderes verschlossenes Schriftstück, die

nicht zu seiner Kenntnis bestimmt sind, öffnet oder

2. sich vom Inhalt eines solchen Schriftstücks ohne Öffnung des Verschlusses unter

Anwendung technischer Mittel Kenntnis verschafft, wird mit Freiheitsstrafe bis zu

einem Jahr oder mit Geldstrafe bestraft, wenn die Tat nicht in § 206 mit Strafe bedroht

ist.

(2) Ebenso wird bestraft, wer sich unbefugt vom Inhalt eines Schriftstücks, das nicht zu

seiner Kenntnis bestimmt und durch ein verschlossenes Behältnis gegen Kenntnisnahme

besonders gesichert ist, Kenntnis verschafft, nachdem er dazu das Behältnis geöffnet

hat.

(3) Einem Schriftstück im Sinne der Absätze 1 und 2 steht eine Abbildung gleich.

9

9


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Strafgesetzbuch (StGB)

„StGB § 206 Verletzung des Post- oder Fernmeldegeheimnisses

(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem

Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem

eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder

Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder

mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1

bezeichneten Unternehmens unbefugt

1. eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut

worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des

Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,

2. eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung

unterdrückt oder

3. eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen

gestattet oder fördert.

10

10


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Strafgesetzbuch (StGB)

(3) Die Absätze 1 und 2 gelten auch für Personen, die

1. Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen,

2. von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen

von Post- oder Telekommunikationsdiensten betraut sind oder

3. mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage

oder mit Arbeiten daran betraut sind.

(4) …

(5) Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter

Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen

der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die

Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das

Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser

Verbindungsversuche.

11

11


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Strafgesetzbuch (StGB)

StGB § 303a Datenveränderung

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht

oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

◆ Fakt ist, wenn einem Mailserver ein Schriftstück („eine Mail“) anvertraut

wurde, und der Mailserver den Empfang auch gegenüber dem Absender

bestätigt hat, dann muss nach Gesetzeslage diese Mail auch

ungeöffnet, also auch unkontrolliert, dem Empfänger zugestellt werden.

◆ So lange die Mail nach der Kontrolle in einen gesonderten Folder

einsortiert und damit auch zugestellt wurde, bewegen wir uns in einer

gewissen Grauzone, weil die Mail nur zum Zwecke der Gefahrenabwehr

geöffnet und kontrolliert wurde.

◆ Wenn der Adressat dazu schriftlich seine Einwilligung gegeben hat,

dann ist man in der Fachliteratur der Meinung, dass dies dann juristisch

nicht anfechtbar sei.

12

12


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Sind Unternehmen Diensteanbieter?

◆ Sind Unternehmen im Sinne des TKG Diensteanbieter bzw.

erbringt ein Unternehmen geschäftsmäßig Telekommunikationsdienste

für die angestellten Mitarbeiter?

◆ Antwort:

Wenn private Internetnutzung (Mail, WWW etc.)

ausgeschlossen wird, dann ist das Unternehmen kein

Diensteanbieter

◆ Auch BSI empfiehlt den Abschluß von Betriebsvereinbarungen

zum Ausschluß der privaten Internet-Nutzung

◆ Ganz sauber ist diese Regelung, wenn im Außenverkehr

nur funktions- oder bereichsbezogene Mail-Konten benutzt

werden, wie z.B. buchhaltung@ibh.de. Namentliche E-Mail-

Konten sollten explizit als namentliche E-Mail-Konten

bezeichnet werden und nicht als persönliche E-Mail-Konten,

damit für Fremde nicht der Eindruck einer privaten Internet-

Nutzung erweckt wird

13

13


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Das Problem der Filter

◆ Filter bieten keine sichere Erkennung von Spam

ja

Mail ist SPAM ?

nein

Mail als

SPAM

erkannt ?

ja

nein

Positive

Mail kann gelöscht werden

Falsch-Negative

Mails sind lästig

Falsch-Positive

manuelle Behandlung

Negative

Mail wird zugestellt

◆ Löschen der Spam-Mails bzw. Nichtauswertung des Spam-

Folders kann zu erheblichen Reputationsverlusten führen

◆ Bei Vollkaufleuten ist der Nichterhalt einer E-Mail vor

Gericht wenig glaubwürdig

◆ Falsch-negative E-Mails sind zwar lästig, stellen aber kein

juristisches Problem dar.

14

14


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Verweigerung der Mail-Annahme

◆ Wenn ein Mailserver eine Mail übernommen hat, dann muss

der Absender darauf vertrauen können, dass die Mail dem

Empfänger zugestellt wird

Angreifer

Internet

Ablehnen

der Mail

Filter

Annahme

der Mail

Filter

Mailserver

Posteingang

Quarantäne

◆ Eine Mail ist einem Server zur Weitervermittlung eindeutig

anvertraut, wenn dieser die Mail ordnungsgemäß

angenommen und quittiert hat (OLG Karlsruhe)

◆ juristische Beurteilung des Übergangs der Verantwortung

für eine Mail entspricht der technischen Sichtweise

15

15


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Prüfungen vor dem Empfang

◆ Ist die Domain bzw. die Mailadresse in der White-List?

ja Mail annehmen

◆ Ist die Domain bzw. die Mailadresse in (der) Black-List?

ja Mail nicht annehmen

◆ Existenz bzw. Korrektheit der Domain des Absenders?

nein Mail nicht annehmen

◆ Legitimation der IP-Adresse als E-Mail-Server?

nein Mail nicht annehmen

◆ Kann Mail unter der Mailadresse empfangen werden?

nein Mail nicht annehmen

◆ wenn Domain/Mailadresse nicht in White-List ist, aber auch

nicht abzuweisen ist?

Greylisting

temporärer Fehlerkode, dann beim wiederholten Senden

Annahme (10min-4h)

16

16


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Beispiel: Mail-Server ibh.de (10/2007)

Defensives Abweisen von Mail (Spamhaus, Domain)

3500

3000

2500

2000

1500

Positive

Abgelehnt

Negative

1000

500

0

00:00 02:00 04:00 06:00 08:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00

17

17


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Beispiel: Angenommene E-Mails

◆ Im Tagesmittel wurden 690 Mails pro User angenommen

Mail ist SPAM ?

ja

nein

Mail als

SPAM

erkannt ?

ja

nein

Positive

515 (74,6%)

Falsch-Negative

99 (14,3%)

Falsch-Positive

5 (0,7%)

Negative

71 (10,3%)

◆ 520 wurden als Positives gewertet, davon 5 Falsch-Positive

◆ 99 Mails wurde nicht als Spam erkannt

◆ 76 Mails waren kein Spam (nur 11%)

◆ Vorschlag:

● mehr Mails zurückweisen, statt annehmen

● Greylisting für "verdächtige Mails"

● aggressiveres Filtern nach der Annahme

18

18


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Statistische Auswertung

der Größe von Spam-Mails

90% sind kleiner als 11 kByte

(3090 Spam-Mails vom 18.9.-22.9.2007)

1000

900

800

700

600

500

400

300

200

100

0

2 kB

4 kB

6 kB

8 kB

10 kB

12 kB

14 kB

16 kB

18 kB

20 kB

22 kB

24 kB

26 kB

28 kB

30 kB

32 kB

34 kB

36 kB

38 kB

40 kB

42 kB

44 kB

46 kB

48 kB

50 kB

19

19


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Aufbau einer Mail

C:\> telnet hades.ibh.de 25

220 hades.ibh ESMTP Postfix (Debian/GNU)

EHLO bob.ibh.de

250-hades.ibh

250-8BITMIME

250 SIZE 33554432

MAIL FROM: horn@ibh.de

250 2.1.0 Ok

RCPT TO: beck@ibh.de

250 2.1.5 Ok

DATA

From: Thomas Horn

To: André Beck

Subject: Test-Mail

Das ist nur eine Test-Mail.

mfg

TH

.

250 2.0.0 Ok: queued as 9065C1C53F79

QUIT

221 2.0.0 Bye

Envelope

Header

Body

So lange der empfangende

E-Mailserver noch nicht das

„250 OK“ gegeben hat, ist das

Tatbestandsmerkmal „zur

Übertragung anvertraut” gemäß

StGB § 206 Abs. 2 Nr. 2 noch

nicht gegeben.

Content

Mail Queue ID

(analog einer Einschreiben-Einlieferungsnummer)

20

20


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Maßnahmen zur Spam-Abwehr

◆ Auswertung des SMTP-Dialogs

● HELO/EHLO-Filter

● MAIL FROM-Filter

● RCPT TO-Filter

◆ Einsatz diverser Blacklists (Spamhaus, NiX-Spam etc.)

◆ Einsatz von Whitelists (z.B. dnswl.org)

◆ Greylisting temporäres Ablehnen einer Mail

◆ Tarpitting Zeitverzögerung der Antworten

◆ Freqenzanalyse

◆ Größe der Nachricht

vorerst nicht erforderlich gewesen

◆ Analyse der Anhänge/Anti-Virus-Analyse

Einsatz von ClamAV

21

21


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Maßnahmen zur Spam-Abwehr

◆ Analyse des Headers

Einsatz von SpamAssassin, F-PROT u.a.

◆ Analyse des Bodies (Content-Analyse)

Einsatz von SpamAssassin

◆ NDR-Filter (Non Delivery Reports)

◆ DCC – unscharfe Prüfsummen Sender Confirmation

◆ Sender Confirmation

hat sich nicht bewährt

◆ Sender Policy Framework

bei SPF-RR als Ausnahme vom Greylisting

◆ Sender ID (Caller ID) Software?

◆ DomainKeys Identified Mail (DKIM)

◆ Sender Rewriting Scheme (SRS)

22

22


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Erzielte Ergebnisse

Statistik vom 17.12.2007 (28.800 Mails)

Anzahl Status

7513 550 5.7.1 ... Rejected: listed at ix.dnsbl.manitu.net

6464 451 4.7.1 Greylisting in action, please come back later

4344 550 5.7.1 ... Rejected: listed at sbl-xbl.spamhaus.org

4222 421 4.3.2 Connection rate limit exceeded.

2332 Sent

866 550 5.7.1 ... Relaying denied. Proper authentication required.

512 550 5.7.1 ... Relaying denied. IP name lookup failed []

499 rejecting commands from [] due to pre-greeting traffic

423 550 5.7.1 ... Relaying denied. IP name possibly forged []

182 553 5.1.8 ... Domain of sender address MAILADDR does not exist

163 550 5.7.1 Blocked by SpamAssassin

117 550 5.0.0 ... get rid of your SPAM elsewhere

72 550 5.0.0 ... User unknown

49 451 4.1.8 Domain of sender address MAILADDR does not resolve

19 450 4.4.0 ... Relaying temporarily denied. Cannot resolve PTR record

6 421 4.3.2 Too many open connections.

23

23


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Produkt

„Optimierte AntiSpam-Maßnahmen“

Produktentwicklung IV/2007-I/2008

◆ AntiSpam-Maßnahmen im SMTP-Dialog

24

24


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Produkt

„Optimierte AntiSpam-Maßnahmen“

Produktentwicklung IV/2007-I/2008

◆ AntiSpam-Maßnahmen durch Content-Filter

25

25


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Kollateralschäden bei Spam-Abwehr

26

26


Private E-Mail-Nutzung im Unternehmen und Abwehr von Spam

Vielen Dank!

Fragen Sie!

Wir antworten.

www.ibh.de

27

Weitere Magazine dieses Users
Ähnliche Magazine