ASTF

Wham, Bam, no more Spam?! Lösungsszenarien für das Spam-

Problem

13. Januar 2004

Gesellschaft für Informatik -Regionalgruppe Bremen Oldenburg

13.01.2004 2

ASTF

Trendbarometer: eco‘s ICTF Hotline

eco betreibt eine Hotline zur Entgegennahme von Hinweisen auf illegale Inhalte und Aktivitäten im Interneteco ist Gründungsmitglied der INHOPE Association, dem Dachverband von Hotlines (derzeit 18 Mitglieder in 16 Ländern)Aufkommen von Beschwerden über Spam wächst stetig (eco – insbesondere seit Mitte 2002)Derzeit ca. 7000 Beschwerden monatlichEinige Erfolge gegen beworbene Mehrwertdienste-rufnummern, um den wirtschaftlichen Anreiz für Spam zu nehmen

13.01.2004 3

ASTF

Das Problem I

Die Europäische Kommission geht in ihrer Pressemitteilung vom 15.07.2003 davon aus, dass Unternehmen in der EU im Jahr 2002 ein geschätzter Produktivitätsverlust von 2,5 Mrd. € und weltweit von 10 Mrd. € entstanden ist.

In den USA geht man derzeit schon von einer Spam-Rate in Höhe von 45% aller E-Mails bei einem Schaden in Höhe von 14 Mrd. USD aus.

13.01.2004 4

ASTF

Das Problem II

Verlust von Vertrauen in die elektronische Kommunikation.

Risiko des Kundenverlustes und der Rufschädigung aufgrund der ungewollten Zusendung gerade nicht für

Kinder und jugendliche geeigneter Materialien (Gartner-Studie 1999).

Erhöhte Kosten (Personal / Technik / Bandbreite)

Keine Vergütung für die Zustellung.

13.01.2004 5

ASTF

Spam in Zahlen: Aufkommen

Bundesverband Verbraucherzentrale• 500 Millionen Spam-Mails pro Woche – alleine in Deutschland

Messagelabs• 36 Prozent aller E-Mails sind Spam• 58% aus den USA, dicht gefolgt von China – mit 5,6%...

13.01.2004 6

ASTF

Spam in Zahlen: Aufkommen 2

Spiegel• 700 Spam Mails p.a. pro User in Deutschland

iX• Spam Volumen verdoppelt sich alle 6 Monate

13.01.2004 7

ASTF

Spam in Zahlen: nach Kategorien im Juni 2003

Weltweit (Brightmail Probe-Network):• Finanzdienstleistungen 22%• Kontaktmarkt / Porno 12%• Produkte allg.& PC 39%• Medikamente 3%• Religion 2%• Nigeria 4%• Freizeit / Urlaub 5%• Andere 13%

13.01.2004 8

ASTF

Spam in Zahlen: FTC Studie

FTC-Studie (April 03) zum Spam-Aufkommen

• 90% aller Spams sind „fragwürdigen Inhalts“• 33% aller Spams werden von gefälschten Adressen versandt• 63% der Spammer ignorieren opt-out-Versuche

13.01.2004 9

ASTF

Spam in Zahlen: Sichtweise der Nutzer

Spiegel-Netzumfrage (3300 Antworten)• 75% befürworten Strafverfolgung für Spam• 20% wollen rein technische Lösungen

Aladdin Knowledge Systems• 74% aller IT-Manager betrachten das Spam-Problem für ihr Unternehmen als schlimm

13.01.2004 10

ASTF

Aber das ist doch verboten???

E-Commerce-Richtlinie (2000/31/EG) der Europäischen Kommission sah Opt-Out vor eco und EuroISPA setzten sich damals für Opt-In ein Datenschutzrichtlinie für elektronische Kommunikation

(2002/58/EG) zwar nunmehr Opt-In vor, „Rettung“ kommt spät

Deutschland: Neuer Gesetzentwurf gegen unlauteren Wettbewerb aufgrund der EU-Richtlinie 2002/58/EG

13.01.2004 11

ASTF

Aktuelle Rechtslage in Deutschland

Die Rechtslage nach der Rechtsprechung – es gilt „OPT-IN“:

• Die Zusendung von Werbe-Mails ohne vorherigen geschäftlichen Kontakt zwischen den Parteien bzw. ohne ausdrückliche vorherige Zustimmung des Empfängers ist nicht zulässig.

• Es spielt keine Rolle, ob die Zusendungen an Privatpersonen oder Gewerbetreibende gingen oder für welchen kommerziellen Zweck in den Mails geworben wird.

13.01.2004 12

ASTF

Aktuelle Rechtslage in Deutschland

Die Rechtslage nach der Rechtsprechung – es gilt „OPT-IN“:

• Die Beweislast dafür, ob sich ein E-Mail-Empfänger in eine bestimmte Newsletterliste eingetragen hat, trägt der Betreiber des Newsletterdienstes bzw. der Absender der Werbe-Mail.

• Nach Ansicht des LG München I soll sogar derjenige als Mitstörer haften, der dem Spammer bestimmte Versendefunktionen (E-Cards, Newsletter) zur Verfügung stellt.

13.01.2004 13

ASTF

Definitionen / Arten

Opt-In

Confirmed Opt-In

Double Opt-In

13.01.2004 14

ASTF

Verbreitetes Missverständnis:

Bestätigungsmail des Versenders sei Spam

• In den betreffenden Urteilen ging es sachverhaltsmäßig nicht lediglich darum, dass eine Bestätigungsmail von dem Newsletterversender versendet wurde.

 

13.01.2004 15

ASTF

Verbreitetes Missverständnis:

Es ging darum,

• dass der Adressat per email aufgefordert wurde, "auf einen Aktivierungslink zu klicken, _falls_ er einen Newsletter von xy erhalten möchte, bzw die Mail zu löschen, falls er diesen Newsletter nicht will". Genau das aber sieht schwer nach Erstkontakt ohne vorherige Einwilligung aus...

• dass die Mail mit der Nachfrage nach der Bestätigung ihrerseits selbst als Werbung zu qualifizieren war.

13.01.2004 16

ASTF

Verbreitetes Missverständnis:

Fazit: reine kurz und sachliche Nachfragen nach der Bestätigung sind bisher _nicht_ als Spam qualifiziert worden. Dennoch: Nach wie empfiehlt es sich für die Versender, geeignete Nachweisverfahren vorrätig zu halten.

Empfehlung: Double – Opt-In !!!

13.01.2004 17

ASTF

Aktuelle Rechtslage in Deutschland

Ausnahme:

• Werbe-Mails sind in den Fällen erlaubt, in denen zwischen den Parteien bereits ein geschäftlicher Kontakt besteht oder diese sich mit der Zusendung einverstanden erklären. (Bsp: etwa einen E-Mail-Account bei „gmx.de“; regelmäßige Bestellungen bei „Tchibo“ etc.)

13.01.2004 18

ASTF

Die Rechtslage in Deutschland: Anspruchsgrundlagen:

§§ 823 Abs. 1, 1004 BGB (Eingriff in die Privatsphäre des Empfängers / Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb)

§§ 1, 3 UWG („Vorsprung durch Rechtsbruch“) Unterlassung möglich – Schadensersatz schwierig,

da Darlegungs- und Beweislast beim Empfänger (AG Frankfurt – Schadensersatz bei unaufgeforderter Faxwerbung (+) wegen des Aufwandes zur Ermittlung des Versenders, für E-Mail kein zusprechendes Urteil bekannt)

Abmahnungen und Klagen nur in DE sinnvoll

13.01.2004 19

ASTF

Zukünftige Rechtslage: EU – Richtlinie / UWG

Die Rechtslage nach der UWG-Reform - „OPT-IN bleibt grundsätzlich erhalten“

• Grundlage: Art. 13 der EU-Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)

13.01.2004 20

ASTF

Rechtslage: EU - Richtlinie

EU-Richtlinie gibt eindeutige Regelungen für Spam vor und verlangt „Opt-In“-Regelung

Unverlangtes Direktmarketing (Mail, Fax, Telefon) ist als „unzumutbare Belästigung“ wettbewerbswidrig

Umsetzung in Deutschland wird im Rahmen der Novellierung des Wettbewerbsrechtes (UWG) erfolgen

13.01.2004 21

ASTF

Rechtslage: UWG - Novellierung

Der Grundsatz: Opt-In wird beibehalten • § 7 Abs. 2 Nr. 2 UWG (RegE):

eine "unzumutbare Belästigung" ist anzunehmen bei "einer Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post, ohne dass eine Einwilligung der Adressaten vorliegt"

13.01.2004 22

ASTF

Rechtslage: UWG - Novellierung

Der neue Tatbestand Verschleierungsverbot der Absenderadresse - das Transparenzgebot - § 7 Abs. 2 Nr. 4 (RegE)

• „Werbung mit elektronischen Nachrichten, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann“ ist unlauter.

13.01.2004 23

ASTF

Rechtslage: UWG - Novellierung

Die Ausnahme: Qualifiziertes Opt-In-Prinzip - § 7 Abs. 3 als Ausnahmeregelung zu § 7 Abs. 2 UWG (RegE):

• „ Hat ein Unternehmer die elektronische Adresse eines Kunden im Zusammenhang mit dem Verkauf einer Ware oder einer Dienstleistung erhalten, kann er diese Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen nutzen, es sei denn, der Kunde hat diese Nutzung untersagt.“

13.01.2004 24

ASTF

Maßnahmen der Internetwirtschaft (1)

1. Deutscher Anti-Spam-Kongress im Mai 2003 auf Schloss Kransberg in Usingen

• 150 Teilnehmer• Riesige Medienresonanz• Einigung der ISPs unternehmensübergreifend

zusammen zu arbeiten

13.01.2004 25

ASTF

Maßnahmen der Internetwirtschaft (2)

Bildung der Anti-Spam-Task-Force

• Kick-off Meeting im August 2003 in Karlsruhe• Alle Major Player sind dabei• Gründung von 4 AGs ( 2 x Technik, Recht und

Messverfahren)

13.01.2004 26

ASTF

Mission Statement:

Die Internetwirtschaft ist geschlossen angetreten, um das Vertrauen in den Dienst E-Mail zurück zu gewinnen durch bestmögliche Reduzierung der Belästigung durch

Spam bestmögliche Förderung des seriösen Permission

Marketings Es geht nicht um die Entwicklung eines

Produkts, sondern um Empfehlungen für den Umgang mit Spam

13.01.2004 27

ASTF

Workpackages der ASTF:

Verbesserung der

• technischen Lösungsansätze,

• der Koordination untereinander,• Hinwirken auf Rechtsharmonisierung

13.01.2004 28

ASTF

Ausgangspunkt:

Spam kann nicht effizient mit rechtlichen Mitteln bekämpft werden Versender bleiben unerkannt Spam ist oft nicht justiziabel

technische Ansätze sind gefragt unternehmensübergreifende Ansätze sind

gefragt branchenübergreifende Ansätze sind gefragt internationale Ansätze sind gefragt

13.01.2004 29

ASTF

Mögliche Ko-operationspartner:

Potentielle Partner einer internationalen Allianz EuroISPA, nationale ISPAs WorldISPA Global Player Weltweite Anti-Spam-Initiativen Verbände mit anderen Zielgruppen Politik

Viele Kontakte werden bereits intensiv gepflegt!

13.01.2004 30

ASTF

Mögliche Kooperationspartner:

• Bisher kontaktiert: Microsoft Europe, Microsoft US of the US Anti-Spam initiative, AOLs Anti-Spam Unit in the US, Wanadoo (France), Internet Industry Association Australia, EuroISPA,ISPA UK, AFA-France, EuroCAUCE

• Outstanding:US Internet Industry Association, Canadian Association of Internet Providers (CAIP), Internet Society of China (ISC)

13.01.2004 31

ASTF

Grobplanung

Arbeitsgruppen arbeiten parallel (Abstimmung auch mit Direktversendern)

Die (Zwischen)ergebnisse werden zusammengeführt und diskutiert

Es wird ein zweites ASTF-Treffen geben Es wird ein Pilotprojekt geben, in dem die

Empfehlungen getestet werden

13.01.2004 32

ASTF

Maßnahmen:

Vorschläge wurden gesammelt Arbeitsergebnisse sind vertraulich, daher nur

allgemeine Darstellung Es folgt eine Übersicht über einige

Diskussionspunkte Zuvor jedoch ein Überblick über die derzeit

existenten Ansätze zur Spam-Bekämpfung

13.01.2004 33

ASTF

Überblick Maßnahmen - Problemzonen:

Noch immer offene „E-Mail-Relays“ Verstärkt offene Proxies Immer mehr WWW-Skripte (z.B. E-Mail-

Formulare) Fehlendes Know How bei Mailserver-

Verantwortlichen Immer flexiblere SPAM Techniken

13.01.2004 34

ASTF

Ansatzmöglichkeiten:

Absender bekämpfen Verfolgung zumeist schwierig / unmöglich

Wirtschaftlichen Anreiz nehmen Mehrwertdiensterufnummern bekämpfen Bei Bewerbung rechtswidriger Websites – Hinweis an Host

Filtern am Server Problem – Nachrichten gelangen nicht mehr an den Nutzer –

Haftungsfalle?

Filtern am Client Traffic für den ISP bleibt trotzdem

13.01.2004 35

ASTF

Überblick Maßnahmen – DNS-basierte Listen:

Prinzip: DNS Blocklisten filtern einzelne Mailserver respektive komplette

Netzwerke.

Vorteile: Administrativer Aufwand beim „Listen“-Betreiber Sehr schnelle und unproblematischen Implementierung

Nachteile: Vielzahl unterschiedlicher Listen Blocklisten können auch „Unschuldige“ betreffen (false positives) Ca 3/10 des SPAM-Aufkommens werden gefiltert

13.01.2004 36

ASTF

Maßnahmen – Überprüfen der Absender:

Prinzip: Ein Mailserver fragt während des E-Mail- Empfangs beim

sendenden Server an, ob der Absender existiert. Vorteile:

Leichte Implementierung im Bedarfsfall (laufende Spam-Attacke) Unproblematische Administration

Nachteile: Nicht alle Mailserver geben Auskunft ob ein Mailaccount

(Absender) existiert Spammer verwenden immer öfter eigene Mail Transfer Agents

(MTA) Ungefähr 1/10 des SPAM-Aufkommens können gefiltert werden

13.01.2004 37

ASTF

Maßnahmen – Statistische Filter:

Prinzip: SPAM-Mail‘s werden durch deren Inhalt identifiziert Klassifizierung nach klar definierten Regeln (z.B. „buy now“

können auf SPAM deuten), Filter „lernt“ Vorteile:

Sehr effektive Filtermethode Nachteile:

Ständiger Aufwand in der Administration Entwicklung eigener Filterregeln relativ schwierig (abhängig von

eingesetzter Software) Spammer können Nachrichten vor dem Versenden gegen

bekannte Regeln prüfen und Schutz umgehen

13.01.2004 38

ASTF

Maßnahmen – sonstige:

Header-Filter: Schlagwortsuche – wenig effektiv

Allow / Deny-Listen von Absenderadressen: Allow: Nicht empfehlenswert, weil man alle Absender

kennen muss Deny: Wenig effektiv, weil Spammer ständig die

verwendeten Adressen ändern

13.01.2004 39

ASTF

Was wird nun diskutiert?

Einigkeit besteht, dass eine Methode für sich nicht wirksam ist

Es kommt auf die Kombination verschiedener Ansätze an

Neben technische müssen organisatorische Maßnahmen treten

Aufklärung des Verbrauchers ist ebenfalls wichtig

Beispiele auf den folgenden Folien

13.01.2004 40

ASTF

Technische Ansätze

Authentifizierung Webmail /Freemail Anbieter? (anonym und

automatisch generierte Accounts?) HTTP Anwendungen (Formmail)

Open Relays / Trusted Networks Bilden von Trusted Networks (Allow all?) Open Relays / Proxies (Deny all?)

13.01.2004 41

ASTF

Technische Grundlagen – Allow & Deny

Deny Listen Unternehmensübergreifende Deny Lists? Qualität verfügbarer Deny Lists? Möglicherweise Zusammenarbeit mit Betreibern

Betreibern von Deny Lists?

Allow Listen Zentral geführte Allow List für gewünschtes Online-

Marketing Liste der „Trusted Networks“ als Allow List?

13.01.2004 42

ASTF

Technische Grundlagen - Filter

Sessionbasierte Filter Mechanismen Header Analysen? Regelbasierte Inhaltsanalysen Integration von Usern?

Individuelle Filter für User Vereinfachung der Pflege?

13.01.2004 43

ASTF

Technische Grundlagen - Mailserver

Abwehr von laufenden SPAM Attacken Session Limits? Transport Limit per Absender IP/Account?

Schutz der eigenen Infrastruktur Problemanalyse der derzeitigen Infrastruktur Aufbau eines Pflichtenheftes?

13.01.2004 44

ASTF

Aufgaben der Gruppe „Recht“:

Vorschläge der Technik-Gruppe auf ihre Rechtmäßigkeit prüfen

Ggf. Forderungen an den Gesetzgeber formulieren Klauselvorschläge für AGB und SLAs erarbeiten MoUs und Verträge zwischen Unternehmen und

Verbänden aufsetzen Rechtliche Rahmenbedingungen und Papiere für ein

Trusted Network?

13.01.2004 45

ASTF

Gruppe: Mess-Methoden:

Warum „Messen“? Funktionsnachweis der getroffenen Maßnahmen Eigene Erfolgskontrolle Aussagekräftige Zahlen für Politik und Öffentlichkeit -

Spambarometer

Was „Messen“? Auswertung der Herkunft aller „SPAM“ Menge der eingegangenen „SPAM“ per ISP Menge der erkannten „SPAM“ per ISP Menge der genehmigten Online-Werbung?

13.01.2004 46

ASTF

Maßnahmen:

Whitepaper als Resultat? Technische Empfehlungen Rahmenbedingungen für die Zusammenarbeit der

Unternehmen Richtlinien für Permission Marketing (Basis: eco‘s

Richtlinie für erwünschtes Online-Marketing) Kodex incl. Sanktionsmöglichkeiten? „Trusted Network“

ASTF

RA Oliver SümeArenzhofstr. 10

50769 Köln

Tel.: 0221 / 70 00 48 – 0Fax: 0221 / 70 00 48 – 11

E-Mail: oliver.sueme@eco.deWeb: http://www.eco.de