INTERNET - Möglichkeiten und Dienste

Prof. Jürgen Plate

Kleiner E-Mail-Knigge

Allgemeines

So wie man im Geschäftsleben den "DIN-Brief" oder ähnliche Standardisierungen kennt, so gibt es auch für E-Mails einige Grundregeln. Niemand wird mal eben einen dahingeschluderten Brief abschicken, denn das würde dem Image schaden. Erstaunlicherweise sind viele bei E-Mail nicht so sensibel. E-Mails tendieren zwar dazu, etwas salopper formuliert zu werden als Papierkommunikation, aber sollte es nicht auch bei E-Mails eine gewisse Schmerzgrenze geben? Bedenken Sie dabei, welchen Eindruck Ihr virtueller Gegenüber von Ihnen bekommt.

Wenn man also jemandem etwas mitteilen will, sollte man dafür sorgen, daß der Empfänger das auch lesen kann. Dies geht über die bloße Möglichkeit, den Text zu entziffern, hinaus. Ein gut lesbarer Text wird wesentlich mehr Aufmerksamkeit erfahren. Auch will sich sicher niemand als jemand outen, der von elementaren Grundregeln der elektronischen Kommunikation keine Ahnung hat. In den vergangenen mehr als 25 Jahren haben sich Regeln für das E-Mail-Schreiben herausgebildet, die von jedem erfahrenen Internet-Nutzer eingehalten werden:

Die Wahl des Subjects (Betreff). Hier achte man auf Aussagekraft. Da viele Mail-Programme eine Übersichtsliste der E-Mails mit begrenzter Länge darstellen, sollte sich der Inhalt vor allem am Anfang des Subjects finden. Lange Subjects sollte man vermeiden, da einige Programme dabei Probleme haben (z.B. fügt Netscape unmotiviert Leerzeichen ein).
Realname. Der Realname ist der wirkliche Name des Absenders (also Vor- und Nachname). Er sollte auf jeden Fall in der From-Zeile stehen. Das muß man in der Konfiguration des Mail-Programms erledigen.
Unterteilung in Absätze. Texte lesen sich besser, wenn sich das Auge an optischen Marken festhalten kann. Endlose Absätze sind einfach schlecht lesbar. Man trenne Absätze durch Leerzeilen.
Zeilenlänge und Umbrüche. Eigene Texte sollte man auf etwa 70 Zeichen pro Zeile umbrechen (die meisten Mail-Programme machen das auf Wunsch automatisch). Längere Zeilen sind schlecht lesbar und führen oftmals beim Zitieren (Quoten) zu Problemen. Wörter mittels Bindestrich zu trennen, ist unüblich und beim Umformatieren von Zitaten ausgesprochen lästig; dies sollte man nur in extremen Ausnahmefällen machen, etwa wenn sonst halbleere Zeilen resultieren würden.
Zeichensätze. Standard ist ASCII; kurz gesagt ist das alles, was man braucht, um einen englischen Text zu schreiben, es fehlen also insbesondere die Umlaute diverser Sprachen. Der nächste gängige Zeichensatz ist ISO-8859-1 (auch "latin1" genannt). Neuer ist ISO-8859-15, der sich von vorgenanntem vor allem durch das Euro-Zeichen unterscheidet. Verwenden sollte man nur Zeichen, die das Mail-Programm des Empfängers richtig dekodieren kann. Mit ASCII kann jeder umgehen. Mit ISO kommt eigentlich auch jeder klar. Nach Möglichkeit vermeiden sollte man Nicht-ASCII-Zeichen im Header und im Subject.
Einfacher Text mit einer nicht-proportionalen Schriftart (alle Zeichen sind gleich breit, etwa Courier) hat natürlich nur sehr begrenzte Möglichkeiten, ist aber für E-Mail zweckmäßig; nur mit derartigen Schriften ist es möglich, Effekte wie Unterstreichungen oder "Tabellen" so zu schreiben, daß alle sie lesen können.
Signatures. Hier kann man am Ende einer Mail (typischerweise automatisiert) noch ein paar Zeilen mit Informationen, witzigen Sprüchen o.ä. anfügen. In RFC-1855 heißt es aber, daß eine Signature (oder nennen wir's Visitenkarte) maximal vier Zeilen lang sein sollte. Zur Trennung vom Text fügt man vor der Signatur eine Zeile ein, die zwei Minus- und ein Leerzeichen (also "-- "; in genau dieser Reihenfolge) und nichts anderes enthält. Das Leerzeichen ist wichtig! Ordentliche Mail-Programme können dann die Signatur automatisch abtrennen. Daß man auch in fünf Zeilen etwas sagen kann, zeigt folgendes Beispiel:
```
--
            (__)   ==         Prof. Juergen Plate         ==   (__)
  ~~~\------(..)   ==   Fachhochschule Muenchen, FK 04    ==   (oo)------\
    * ||    (__)   ==   Lothstrasse 64, 80335 Muenchen    ==   (__)    || |
    * ||w--||      ==       Telefon +49-(0)89-1265-0      ==      ||--w|| ~
```
Wer unbedingt noch weitere Informationen unterbringen will, kann z. B. konform zum Standard, das "Organisation"-Feld des Mail-Headers ausfüllen. Das geht beispielsweise mit Netscape folgendermaßen.
Unter Edit -> Mail and Newsaccount-Settings auf den obersten Eintrag klicken (der sollte die Absenderadresse enthalten) und dort unter Organisation den Namen der Firma oder Hochschule eintragen. Das wird dann sauber im Kopf jeder Mail vermerkt. Deshalb hat auch die Absender-E-Mail-Adresse nichts in der Signature zu suchen (steht ja schon im Header).
Von allzu vielen Informationen in einer E-Mail (Web- oder Post-Adressen sowie Telefonnummern) ist eher abzuraten. Man weiß nie, in welche Hände E-Mails fallen; inzwischen gibt es schon etliche Roboterprogramme, welche Webadressen, E-Mailadressen und Telefonummern aus den Signatures extrahieren und diese Daten dann Werbefirmen anbieten; frei nach dem Motto "30000 Telefonnummern aus deutschen Firmen".
Großgeschriebene Wörter werden von der überwiegenden Mehrheit als Schreien 'gehört'. Es mag in der E-Mail zwar Teile geben, bei denen es nötig ist, zu Schreien, ABER SELTEN DIE GANZE E-MAIL LANG! Schreien Sie die Leute nicht an. Es ist unhöflich.
Die sogenannten "V-Cards" und ähnlicher Tüddelkram blasen die E-Mail nur unnötig auf und haben keinen praktischen Nutzwert. Kennt man den Empfänger nicht, sollte man auch mit Informationen sparsam sein (siehe auch bei "Signatures"). Kennt man sich oder hat man öfter miteinander zu tun, genügt der einmalige Austausch von Adresse und Telefonnummer - das muß dann nicht an jede E-Mail angehängt werden.
Überprüfung der Einstellungen des Mail-Programms. Am Anfang oder nach Wechsel der Mailsoftware sollte man überprüfen, daß die eigene E-Mail dem entspricht, was hier beschrieben ist. Dazu schickt man sich selbst eine E-Mail, die möglichst viele der hier aufgeführten Punkte erkennen läßt. Insbesondere sollte man sein Programm konform zu den Standards machen (RFC-Dokumente). Bei Outlook kann dies durch ein kleines Häkchen im Einstellungsmenü geschehen. Klicken Sie unter Exttras - Optionen auf dem Reiter E-Mail-Format auf dem Knopf internationale Optionen und wählen Sie im Pop-Up-Menü den Punkt "Kopfzeilen von Antworten und Weiterleitungen in Englisch" aus. Dann können Sie auch gleich noch unter "Codierung für ausgehende Nachrichten" den Punkt "Westeuropa(ISO)" auswählen. Bei Outlook Express findet sich der Knopf "Internationale Einstellungen" auf dem Reiter "Senden" des Optionen-Dialogs.

Gleich noch ein Hinweis: Bei Outlook Express sehen Sie sofort die E-Mail in einem Vorschaufenster, sobald Sie auf eine Nachricht im Posteingang klicken. Manche Viren werden schon durch diese Vorschau aktiviert. Daher sollten Sie das Vorschaufenster abschalten. Die Einstellung dazu ist aber nicht leicht zu finden. Sie versteckt sich unter Ansicht - Layout. Im folgenden Dialog deaktivieren Sie das Kontrollkästchen "Vorschaufenster anzeigen". Bestätigen Sie die Änderungen nacheinander mit "Übernehmen" und "OK".

Regeln für Antwortmails (Zitieren)

Am Anfang sollte man vor allem sagen, auf wen man sich bezieht. Weitere Angaben sind fast immer überflüssig, da sie im Header ablesbar sind (z.B. Subject der Bezugsnachricht, Message-ID der Bezugsnachricht (bei den meisten Programmen)). Diese Einleitungszeile sollte man kurz halten, maximal zwei Zeilen reichen. Lange "witzige" Einleitungen langweilen schnell. Selbiges gilt erfahrungsgemäß auch für Anreden etc.

Zitieren Das Zitieren der vorangegangenen Mail erfolgt durch Voranstellen des Größer-Zeichens an jedem Zeilenanfang. Das macht in der Regel das Mail-Programm automatisch. Wichtig ist dabei, daß die zitierten Zeilen keinesfalls umbrochen werden. Hiervon ausgenommen sind natürlich händische Eingriffe, um den Text zu trennen oder besser lesbar zu machen.
Wichtig ist die Frage, wie viel man denn nun zitieren soll. Die Antwort ist einfach: So viel, wie für das Verständnis der Antwort nützlich oder notwendig ist, so wenig wie möglich! Das heißt insbesondere, daß man all das, auf das man nicht eingeht, komplett löscht. Möchte man eine längere Passage des Vorredners zusammenfassen, so schreibt man in eine einzelne Zeile in eckigen Klammern ein/zwei Stichworte hin und löscht dafür den betreffenden Abschnitt. Zwischen Zitaten und den eigenen Texten, die man dort zwischen die Zitaten schreibt (jeweils unter die Bezugsstelle), wo sie inhaltlich hingehören, fügt man zur optischen Trennung eine Leerzeile ein.
Die normale Leserichtung ist von links nach rechts und von oben nach unten, und man erwartet in dieser Richtung auch eine zeitliche und logische Abfolge in den Texten, die man liest. Vor allem Leser, die eine Menge von E-Mails lesen (und damit, nebenbei bemerkt, ideale Antwortgeber sind), schätzen es sehr, wenn sie zuerst den Text lesen können, auf den man sich bezieht. Das Zitat dient hier als Erinnerungshilfe, die natürlich dann nicht gegeben ist, wenn das Zitat am Ende steht.
Außerdem ist es hierzulande so üblich. Das mag ein schwaches Argument sein. Aber mal ehrlich: ist man nicht verwundert, wenn man erst die Antwort erhält und dann die Frage gestellt bekommt?
Es sollte klar sein, daß es ein Kardinalfehler ist, "Vollquotes", noch dazu am Ende der Mail (sogenanntes TOFU = Text Oben Fullquote Unten), einzufügen. Das will keiner mehr lesen. Leute, die so etwas tun, nennt man Vollquottel.
Subject verändern. Gelegentlich möchte man bereits im Subject kennzeichenen, daß sich das Thema verschoben hat, dann ändert man das Subject. Ständige Änderungen ohne wirklichen Grund oder gar, um dort schlagwortartig eine Aussage zu plazieren, sind schlechter Stil.
Re: Antworten - und nur solche - tragen am Anfang des Subjects die Zeichenkette "Re:" plus Leerzeichen. Jegliche andere Kennung ist von Übel und kann von den meisten Programmen nicht richtig erkannt werden (außerdem ist es nicht Standard-Konform). Auch bei Outlook läßt sich das einstellen!

Attachments

Anhänge (Attachments) sind meist lästig, wenn nicht klar ist, daß der Empfänger genau weiß, was er damit soll, was vor allem bei proprietären Datenformen (z.B. Word-Dateien, vcard) schwierig sein kann. HTML verbietet sich aus denselben Gründen (und hat noch dazu in fast allen Fällen keinen Mehrwert). Office-Benutzer glauben immer, ihre Dokumente im jeweiligen Format per E-Mail weitergeben zu müssen. Natürlich kann man jegliche Dateien als Anhang einer E-Mail (sogenanntes Attachment) verschicken - was mitunter auch sinnvoll ist. Nur sollte man dabei immer auch an den Empfänger denken, denn nicht immer ist ein Attachment notwendig oder sinnvoll. Für alle Attachments gilt: Wer solche Dateien erhält, muss natürlich auch das passende Programm zur Darstellung der Inhalte besitzen. Teilweise kann ein Attachment auch Gefahren bergen. Office-Dokumente können Makroviren enthalten. Daher sind viele Empfänger heute sensibilisiert (siehe unten Viren, Phishing) und eher Abgeneigt solche Dateien zu öffnen. Aber auch "harmlose" Makros können beim Empfänger nicht gewünschte Effekte hervorrufen. Hinzu kommt, daß der Empfänger möglichst auch die passende Office-Version besitzen muß, um das Dokument zu öffnen.

Eine weitere Gefahr ist das ungewollte Preisgeben von Daten. Office-Dokumente enthalten Daten über den Autor, das Erstellungsdatum, den Dateipfad, den Makropuffer, den Löschpuffer (Stichwort: Änderungen verfolgen) und vielleicht noch mehr. Es gab einmal den Fall einer Powerpoint-Präsentation mit einer Preisliste darin. Die Präsentation zeigte zwar nur die Verkaufspreise der eingebundenen Excel-Tabelle. Nach Herauslösen der Tabelle war aber die Spalte "Einkaufspreis" wieder sichtbar. Mitunter weden sogar Fonts ins Dokument eingebunden. Die (unwissentliche) Weitergabe von Fonts kann sogar zu Copyright-Konflikten und damit vor den Kadi führen.

In etlichen Fällen ist es auch nicht nötig einen schön formatierten Text weiterzugeben. Gerade bei E-Mails reicht meist einfacher Text. Oft geschieht das Anhängen eines Dokuments nur aus Faulheit (statt den Inhalt mit Cut-and-paste zu übernehmen. Soll aber soch ein "schönes" Dokument versendet werden, bieten sich die Formate PDF, HTML, XML, LaTeX oder RTF an.

Legenden und Hoaxes

Legenden sind recht unterhaltsam, wenn sie das erste Mal auftauchen; verzeihbar auch noch beim zweiten Mal, aber nicht mehr, wenn's das siebte Mal ist, wenn es sie schon seit Monaten oder Jahren gibt. (Beispiel: Kostenlose Mobiltelefone von 'bitte passende Firma einsetzen', der arme Craig Shergold, der gerne eine Visitenkarte möchte oder die Virenwarnung, die man an alle Freunde und Bekannten verschicken soll). Diese Geschichten leben weiter, weil es offensichtlich Menschen gibt, die denken, daß Sie für jedermann neu sein müssen, weil sie doch jetzt erst davon gehört haben. Wenn man sich die vielen Webseiten über Legenden und Hoaxes ansieht, ist es eine Schande, daß viele bereit sind, ihre Glaubwürdigkeit zu ruinieren, indem sie an solche Geschichten glauben. Man muß davon ausgehen, daß die Absender die Geschichten glauben, weil sie diesen Müll verschicken, ohne daß sie nachgedacht oder vorher einmal die einschlägigen Webseiten gelesen haben.

E-Mail-Viren und SPAM

Neulinge im Netz werden öfters erschreckt durch die Meldung, daß man keinesfalls eine E-Mail mit dem Betreff "Good Times" (oder auch einem anderen Subject) lesen soll, da sonst ein Virusprogramm auf den Rechner gelangt. Das stimmt natürlich nicht. Durch alleiniges Lesen einer E-Mail kann meist nichts passieren. Leider sind einige Betriebssysteme und E-Mail-Programme inziwischen so angreifbar geworden, daß schon beim Öffen der E-Mail ein in der Mail enthaltener Programmcode zur Ausführung gelangt. Da hilft es nur, auf andere Programme auszuweichen. Anders verhält es sich, wenn diese E-Mail eine angehängte Datei ("Attachment") mit sich führt. Diese Datei kann sehr wohl Gefahren mit sich bringen:

Wenn es sich um eine ausführbares Programm handelt, besteht die Möglichkeit, daß dieses Programm Viren enthält - nicht anders, als wenn Sie das Programm auf Diskette erhalten hätten.
Bei Winword-Dokumenten können sich im Dokumen sogenannte "Makroviren" verbergen. Das sind Word-Makros mit schädlichen Funktionen, die gegebenenfalls automatisch aktiviert werden, wenn Sie das Dokument mit Winword öffnen.
Zu dieser Gruppe gehört z. B. auch das Melissa-Virus, das sich die Adressendatenbank von Outlook schnappt und sich selbst an alle dort aufgeführten Adressen schicht. Da nun Sie als Absender in den Mails stehen, bekomen Sie wohlmöglich auch noch den Zorn der Empfänger ab. Melissa war erkennbar durch den Registry-Eintrag "HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?".
Melissa und ähnliche Viren führen dazu, daß man nicht nur Mails von unbekannten Absendern mißtrauen muß, sondern auch solchen von Bekannten.
Ähnliches gilt auch für andere Anwendung mit Skriptsprache, z. B. Excel. Die Problematik bei Microsoft besteht unter anderem darin, daß beispielsweise der Internet-Explorer andere Microsoft-Applikationen grundsätzlich als vertrauenswürdig betrachtet und daher auch keine Warnung erfolgt.
Dateien im PDF-Format können auch gefährliche Inhalte haben. Der Acrobat-Reader zum Betrachten der Dokumente kann auch beliebige Kommandos auf dem PC starten. Diese Kommandos können sich hinter harmlosen Buttons verbergen (z. B. "Zurück zum Inhalt").

Es gibt noch ein paar andere Sorten von E-Mail, die zwar nicht gefährlich, aber doch lästig sind. Wie bei der Briefpost kommen mit der Zeit auch Werbe-E-Mails, welche die Mailbox verstopfen. Die zweite Sorte sind Kettenbriefe wie man sie auch seit vielen Jahren kennt. Meist tragen sie ein Subject der Art "MAKE MONEY FAST". Schließlich geistern seit jahrzehnten herzerweichende E-Mails durch das Netz, die von einem krebskranken Jungen erzählen (z. B. Craig Shergold), der gerne noch ins Guinness-Buch der Rekorde kommen möchte und dem man deshalb eine Postkarte oder Visitenkarte schicken soll. Tun Sie das nicht, denn entweder ist der Kleine schon 30 - 40 Jahre alt oder längst verstorben.

Wie war das mit "I Love You"?

Eine Textdatei mit einigen wenigen Ablaufbefehlen für die Programmiersprache Visual Basic erschütterte nachhaltig das Vertrauen in die E-Mail als Kommunikationsmittel. Die verhängnisvolle Botschaft war dabei Virus, Wurm und Trojanisches Pferd in einem.
Das Virus des "I Love You"-Briefes löschte Bild- und Tondateien in den Formaten .jpg und .mp3 und verbarg Videodateien im MPEG-Format. Aber nur bei Menschen, die ein bestimmtes E-Mail-Programm von Microsoft benutzten.
Das Trojanische Pferd des "I Love You"-Briefes versuchte, eine Web-Seite aufzurufen und von ihr die Datei winbugsfix.exe ins heimische System zu kopieren. Das war ein Programm, das Passworteingaben und andere Einstellungen des Internet Connection Wizard von Microsoft sowie alle Internet-Adressen interner Server an einen Empfänger auf den Philippinen schicken wollte.
Der Wurm im "I Love You"-Brief schickte über die E-Mail-Software Microsoft Outlook an jeden Eintrag im Adressbuch eine Kopie seiner selbst. Ein anderer Teil des Skriptes hatte es auf die privaten Besucher von Chatforen abgesehen. Jeder, die die Chatsoftware mIRC benutze, bekam automatisch auch den "I love You"-Brief.

Zeitungen und Multimedia-Firmen verloren ihre Bild-Datenbanken. Warum? Gab es keine Datensicherung? Kein Backup? Tatsächlich dokumentiert die schnelle Verbreitung des "I Love You"-Virus ein derartiges Maß an fehlendem Sicherheitsbewußtsein selbst in großen Firmen und Institutionen, dass die Experten nachgerade verzweifeln.

Die Links innerhalb des Scripts offenbaren drei Pseudonyme von Usern, zum Beispiel: http://www.skyinet.net/~koichi. Auf deren Homepage lag das Programm, das "I Love You" zur Datenspionage verwenden wollte. Seinen Provider verrät uns zum Beispiel die Datenbank Allwhois. Man muß nur skyinet.net in das Suchfenster eingeben und erhält Namen, Adresse und Telefonnummer: Sky Internet,Inc., L/G Victoria I Bldg. 1670 Quezon Ave, Quezon, Ph 1103 8000, +63 2 411-2005. So kommt man auch sicher an deren Kunden mit dem Pseudonym "koichi".

Was kommt sonst noch mit der E-Mail

Die meisten Mail-Programme werfen sofort den Web-Browser an, wenn sich HTML-codierter Text in der E-Mail befindet. Leider ist es eine Unsitte, dass viele Programme als Voreinstellung den Versand von HTML-codierten Dokumenten haben. Damit kann man sich neben den oben genannten Viren auch beispielsweise das folgende einhandeln (original so bei mir eingetroffen):

<BODY>
<P><FONT Color="#100001" FACE="Verdana" SIZE="2">
<B>Hey Du</B><BR><BR>
Am besten sofort anrufen:
<BR>
<B>Tel 0067.710.523
</B><BR>
Total affig!
<BR><BR>
EineÜberraschung von ??
</FONT>
<img src="http://lll.0lo.org/l0/RpC.ddd?a=plate@fhm.edu&b=0067SS"
  width="0" height="0" border="0">
</P></BODY>

Sobald die E-Mail geöffnet wird, ruft der Bilder-Link (<img src=...) ein Programm namen RpC.ddd auf und gibt ihm die beiden Werte von a (plate@fhm.edu) und b (0067SS) mit. Damit weiß das System des Spammers nicht nur, daß die E-Mail-Adresse gültig ist, sondern sogar wann und von welchem Rechner (IP-Nummer) aus die E-Mail gelesen wurde.

Wer wissen will, wie intelligent E-Mail-Viren heute sind, der kann sich die vier Artikel bei Heise Security durchlesen. Sie sind nicht nur echt witzig geschrieben, sondern auch echt interessant:

http://www.heise.de/security/artikel/59611

Was ist eigentlich Spam? Und was bedeutet ECP, EMP, UBE, UCE?

Zunächst eine knappe Erläterung der Abkürzungen:

Spam: Belästigende Massennachricht (Mail und News)
ECP: Massen-Crossposting (News)
EMP: Massenposting aus vielen identischen Einzelpostings bestehend (News)

Wird ein Artikel gleichlautend in übermäßig viele Newsgroups gepostet oder crosspostet, so spricht man im ersten Falle von Spam oder EMP (excessive multiple posting), im zweiten von Velveeta bzw. ECP (excessive cross-posting).

SPAM steht für "Spiced Pork and hAM(*)", so eine Art Preßfleisch, das in Amerika verkauft wird (sieht aus wie Katzenfutter). Es gibt einen Sketch aus Monty Python's Flying Circus, in dem ein Paar in einem Restaurant die Speisekarte vom Kellner vorgelesen bekommt und in jedem Gericht ist SPAM drin, zum Teil sogar mehrfach. Auch in dem Restaurant sitzt eine Gruppe Wikinger, die am Ende des Sketches 'Lovely Spam, wonderful Spam!' singen. Insgesamt kommt in dem Sketch das Wort SPAM ca. 120 mal vor.

(*) Manche Leute behaupten, es steht für Synthetically Produced Artificial Meat.

Bei E-Mail spricht man von:

UBE: Unerwünschte Massennachricht (unsolicited bulk E-Mail)
UCE: Unerwünschte Werbenachricht (unsolicited commercial E-Mail)

Da UCE zunehmend lästiger wird, sind in letzter Zeit einige Leute auf die Idee gekommen, ihre News-Artikel unter einer falschen Adresse zu posten. Im Body des Artikels finden sich dann meistens Hinweise auf eine gültige Adresse. Diese Methode, sich gegen UCE zu wehren, ist jedoch problematisch. Wird der Domain-Teil der Adresse verändert, kann es passieren, daß diese Adresse trotzdem gültig ist (sogar 'xxx.de', 'nospam.de' oder 'deletethis.de' sind beim DE-NIC registriert. Wird nur der Namens-Teil der Adresse verändert, erhält zumindest der Postmaster einer Fehlermeldung per Mail. Die UCE-Versender bekommen von Fehlermeldungen/Bounces dagegen in der Regel nichts mit, da sie fast nie unter einer gültigen E-Mail-Adresse ihre UCE versenden bzw. keine gültige Rücksendeadresse angegeben haben.

Sinnvoller ist es deshalb, das Problem UCE an der Wurzel zu packen. Dies kann durch das Einrichten von Teergruben oder durch das Filtern von bekannten Spammer-Domains geschehen.

Spammer wollen mit einfachsten Mitteln Geld verdienen!
Entweder locken Spammer ihre Opfer mit SPAM-Methoden auf Webseiten, um dort ein bestimmtes Produkt zu verkaufen (z.B. über einen Link zu einem kostenpflichtigen Porno-Angebot oder zu den gefürchteten 0190-Dialern). Oder sie versuchen, eine Website bekannt zu machen, die sich über Werbung finanziert, und auf möglichst viele Besucher angewiesen ist.
Spammer versuchen ihren Empfängern zu schaden
Manchmal versuchen Spammer einfach nur, möglichst viel Datenverkehr zu erzeugen, um E-Mail-Server lahmzulegen, und die Ressourcen von Konkurrenten zu verschwenden. Rechtlich gesehen ist das Versenden von SPAM in den EU-Staaten eine kriminelle Handlung! Die augenblickliche Gesetzeslage sieht zwar theoretisch einen rechtlichen Schutz für die Opfer vor, jedoch dürfte es praktisch äusserst schwierig sein, Spammern bis in die rechtsfreien Untiefen des Internets zu folgen... (in der Regel versuchen Spammer mit effektiven Mittel ihre Herkunft zu verschleiern...)

Die Tricks der Spammer

Um Ihre Opfer zu erreichen, brauchen die Spammer zuerst eine gültige E-Mail-Adresse, an die sie auf verschiedenen Wegen gelangen:

Der E-Mail Anbieter (z.B. ein Anbieter kostenloser E-Mail-Zugänge) verkauft die E-Mail-Adressen der Kunden weiter. Selbst wenn der E-Mail-Anbieter im Grunde seriös ist, kann es sein, dass er die E-Mail-Adresse des Opfers an einen vermeintlich seriösen Werbekunden weiterverkauft, dieser die Adressen verwendet aber zusätzlich an unseriöse Anbieter weiterverkauft.
Der Spammer findet die E-Mail-Adresse über spezielle Suchmaschinen, die das Internet systematisch nach E-Mail-Adressen durchsuchen.
Durch Ausprobieren: Der Spammer spielt alle möglichen Empfängernamen bei einer Domain durch.

Wenn der Spammer systematisch gebräuchliche Namen aus einem Wörterbuch vor die Domainnamen größerer Websites setzt, z.B. john@gmx.de, meier@firma.de, usw., ist die Wahrscheinlichkeit ziemlich groß, dass er mit einem Teil dieser Mails einen Empfänger erreicht.

Wenn die Mail an einen ungültigen Empfänger gerichtet ist, wird gewöhnlich eine Fehlermeldung an den Absender (in diesem Fall den Spammer) zurückgeschickt, und der Spammer kann die nächste Möglichkeit ausprobieren. Wenn die Mail einen gültigen Empfänger erreicht, und keine Fehlermeldung zurückkommt, weiß der Spammer, dass die Adresse existiert, und speichert diese in seiner "Opfer-Datenbank"

In der Regel wird der Spammer aber versuchen seine Absenderadresse zu verschleiern, bzw. einfach eine ungültige Absenderadresse anzugeben, so dass er auf direktem Weg keine Antwort erhalten kann. Um trotzdem eine Bestätigung über die Existenz des Opfers zu erhalten, benutzt er einen einfachen Trick:

Er merkt sich einfach zu jeder versendeten E-Mail einen systematisch erzeugten Schlüssel, z.B. eine lange Zufallszahl. Diese Zahl wird in einen gewöhnlichen Hyperlink eingebaut, z.B:

...

Um sich aus dieser Mailingliste wieder auszutragen klicken Sie auf:

http://www.firma.de/reply.cgi?id=2374654000332

Wenn der naive Empfänger jetzt auf diesen Link klickt, oder die Nachricht zurückschickt, braucht das Programm auf dem Webserver nur noch den übergebenen Schlüssel mit den gemerkten Schlüsseln zu vergleichen, und kennt wieder eine gültige Opferadresse mehr.

Doch selbst, wenn man nicht auf die Links in der SPAM-Mail klickt, kann er Spammer z.B. bei HTML-Mails den Link als externe Ressource verlinken (Bilder, Töne, Flash). Die E-Mail enthält dann einen Hyper-Link in der Art

<img src="http://www.firma.de/reply.cgi?id=2374654000332">

Dieser Link wird vom Mail-Programm normalerweise als Link auf ein Bild interpretiert. Es wird daher versuchen, das Bild von der angegebenen Adresse zu laden. Und dort freut sich schon der Webserver des Spammers auf die ID des Besuchers.

Selbstverständlich werden die Netzwerkeffekte des Internets auch von den Spammern genutzt, so dass die Datenbankbestände vieler einzelner Spammer zusammengefasst und auf CDs an andere Spammer weiterverkauft werden (die Angebote für diese CDs werden teilweise als SPAM verschickt).

Phishing - Passwort-Fischer

Seit Ende 2004 gibt es eine weitere Plage: "Phishing". Das klingt nach "fischen gehen" - und genau so ist es auch. Das Wort setzt sich aus "Password" und "fishing" zusammen, also "angeln nach Passwörtern". Es ist der Oberbegriff für illegale Versuche, Computeranwendern Zugangsdaten (Loginnamen, Passwörter, Kreditkartendaten, Bank-TANs, etc.) zu entlocken. Phishing ist also eine Form des Trickbetruges mit Methoden des Social Engineering. Immer öfter fälschen Phishing-Betrüger E-Mails und Internetseiten, womit sie einen neuen Weg gefunden haben, um an vertrauliche Daten heran zu kommen - die Nutzer geben ihre Daten einfach freiwillig preis.

Gängige Ziele von Phishing-Attacken sind Zugangsdaten für Banken (Onlinebanking), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Durch den anschließenden Mißbrauch der gestohlenen Zugangsdaten wird den Opfern Schaden zugefügt. Als Bank oder Firma getarnt fordern die Betrüger den Empfänger in der E-Mail auf, seine Daten zu aktualisieren - weil beispielsweise die Kreditkarte ablaufe, das Passwort erneuert werden müsse oder die Zugangsdaten verloren gegangen seien. Der Inhalt der so genannten Phishing-Mails wirkt manchmal erbärmlich dilettantisch, teilweise aber auch täuschend echt. Diese E-Mails im HTML-Format zeigen einen scheinbar "offiziellen" Link an, hinter dem sich jedoch ein Link auf die Webseite des "Phischers" verbirgt. Der Empfänger wird für die Dateneingabe also auf eine Internetseite geführt, die z. B. der Banken-Homepage ähnlich sieht. Auf den ersten Blick scheint alles ganz normal, selbst die Eingabeformulare sehen gleich aus. Folgt er der Aufforderung in der E-Mail, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt dient nur noch dazu, nachträgliches Mißtrauen des Anwenders zu zerstreuen. Eine kurze Bestätigung oder eine Fehlermeldung. Dann wird das Opfer auf die echte Webseite weitergeschickt. Eine weitere Variante besteht darin, ein Formular direkt innerhalb der E-Mail einzubinden, welches zur Eingabe der Daten auffordert und diese an die Urheber sendet. Auf eine gefälschte Website wird hierbei ganz verzichtet.

Die Phishing-Betrüger nutzen dabei entweder Internetadressen, die sich nur geringfügig von denen der renommierten Firmen unterscheiden. Oder aber sie fälschen die Adressleiste des Browsers mit einem Java-Script. Man glaubt also, man sei auf einer seriösen Seite, ist es aber nicht. Eine Adresszeile der Form http://192.168.22.33/security/ verrät gleich, daß man sich nicht auf den Seiten einer Bank befindet. Deshalb werden oft Webadressen verwendet, die den originalen Adressen ähneln, z.B. http://www.login-beispielbank.de/. Seit Anfang 2005 besteht die Möglichkeit, Umlaute innerhalb von Webadressen zu verwenden. Daraus resultieren auch neue Möglichkeiten der Adress-Namensverfäschung. Lautet beispielsweise die Originaladresse http://www.koelner-bank.de, kann der Phischer http://www.kölner-bank.de verwenden. Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische "a" unterscheidet sich optisch in keiner Weise vom lateinischen "a". Es kann z.B. das "a" in "bank" bei http://www.beispielbank.de/ kyrillisch dargestellt werden. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.

Banken und Versicherungen versenden niemals per E-Mail die Aufforderungen, Zugangsdaten einzugeben. Keinesfalls fragen sie nach Transaktionsnummern oder Transaktionspasswörtern für das Onlinebanking. Sie senden Ihnen bei sicherheitsrelvanten Fragen Briefe und Einschreiben oder man bittet Sie, persönlich in der Filiale vorzusprechen. Folgen Sie deshalb niemals Weblinks aus einer unaufgefordert zugesandten E-Mail. Geben Sie vielmehr die URL zum Onlinebanking immer von Hand in die Adresszeile des Browsers ein oder benutzen Sie im Browser gespeicherte Favoriten/Lesezeichen, die Sie selbst angelegt haben. Meist lassen sich Phishing E-Mails an folgenden Merkmalen erkennen:

Es geht um eine "Sicherheitsüberprüfung", "Verifikation" oder "Freischaltung". Alles, was wichtig klingt.
Die Nachricht enthält ein Link.
Es wird angedroht, bei Nichtbeachtung würde ein Zugang gesperrt oder gelöscht oder sonst etwas Schlimmes.
Es fehlt die persönliche Anrede. Es gibt nur eine allgemeine Anrede ("Sehr geehrter Kunde", "Sehr geehrters EBay-Mitglied").
Rechtschreib- und Grammatikfehler im Text.

Beispiel:

Sehr geehrter Kunde!

Ihr Konto wurde von der Datensicherheitsdienst zufalligerweise zur Kontrolle
gewaehlt. Um Ihre Kontoinformation durchzunehmen, bitten wir, damit Sie uns
mit allen Angaben versorgen, die wir brauchen. Sonst koennen wir Sie identifizieren
nicht und sollen Ihr Konto fuer seine Verteidigung blockieren. Fuellen Sie bitte
das Formular aus, um alle Details Ihres Kontos zu pruefen.

Danken schoen.

Pharming

Phishing, als Möglichkeit an Passwörter und PINs von unbedachten Usern zu gelangen ist hinreichend bekannt. Nun kristallisiert sich ein neuer Trend beim Abgreifen dieser Daten heraus: Pharming. Pharming ist einfach ein neuer Name für einen relativ alten Angriff, das sogenannte "Domain-Spoofing".

Pharming könnte sich zu einer noch größeren Bedrohung für die Sicherheit im Netz entwickeln als Phishing. Auch beim Pharming wird versucht, Passwörter und Geheimnummern abzugreifen. Selbst ein sorgfältiger Internetnutzer kann Opfer von Pharming-Angriffen werden.

Anders als beim Phishing landet bei einem erfolgreichen Pharming-Angriff selbst ein User, der vorausschauend keinem Link in einer Phishing-Mail folgt und stattdessen die URL per Hand im Browser eingibt, oder die Seite über einen Bookmark aufruft, auf einer falschen Seite. Diese Seite sieht dann zwar wie die originale Seite aus und taucht auch mit dem originalen Namen in der URL-Zeile auf, residiert aber auf dem Server eines Angreifers.

Pharming nutzt die Auflösung von Namen zu IP-Adressen im Internet aus. Wenn ein User eine Adresse (z. B. "www.stadtsparkasse.de") eingibt, muss diese URL-Adresse zu einer numerischen Adresse (wie 193.99.144.80) aufgelöst werden, über die dann eine Verbindung aufgebaut werden kann. Diese Namensauflösung führen DNS-Server (DNS = Domain Name System) durch, die dazu Datenbanken von IP-Adressen und Domain-Namen verwalten. Aber auch lokal werden Adresslisten verwaltet, die einem Domain-Namen einer Adresse zuordnen. Bei Windows ist dies die Datei C:\WINDOWS\system32\drivers\etc\hosts, bei Linux /etc/hosts. Wenn dort eine Zuordnung eingetragen wird, verwendet der Browser (und auch alle anderen Internet-Programme) diese Datei, bevor andere Nameserver abgefragt werden.

Pharming-Betrüger manipulieren die Hosts-Datei so, dass einem bestimmten Domain-Namen eine andere numerische Adresse zugeordnet wird. Der Benutzer landet also auf einer ganz anderen Website auf einem ganz anderen Server, als er denkt. Davon merkt der Benutzer aber nichts, weil die dort hinterlegte Website der eigentlichen Zielseite exakt nachgebildet ist. Gibt man dort seine Zugangsdaten ein, haben die Betrüger leichtes Spiel und können anschließend mit der Benutzerkennung zum Beispiel bei Internetauktionen mitbieten oder im Falle einer gefälschten Bank-Seite das Girokonto leer räumen.

Damit Pharming funktioniert muss zuerst ein Schadprogramm auf den Rechner des Nutzer gelangen. Dies geschieht über Viren, Trojaner oder Würmer, die sich zum Beispiel im Dateianhang von Spam-E-Mails verstecken. Pharming wird auch mittels "DNS-Cache-Poisoning" erreicht. Dabei wird der DNS-Cache des Providers durch bestimmte Methoden mit präparierten Einträgen "vergiftet", indem man ihm schon vor einer Anfrage eine gefälschte Antwort schickt. Diese gefälschte Antwort wird im Cache des DNS gespeichert und bei Anfragen von Clients zurückgeliefert. Somit erreicht den User die falsche IP-Adresse für eine Domain, die in Wirklichkeit auf den Server des Angreifers verweist. Da Cache-Poisoning-Angriffe seit langem bekannt sind, gibt es auch Methoden zur Abwehr. Kaum ein System lässt sich damit noch austricksen. Allerdings machen Fehlkonfigurationen und Schwachstellen auch heute noch Server und Caching-Proxies verwundbar.

Nach Angaben des Sicherheitsdienstleisters Messagelabs haben Betrüger einen neuen Phishing-Trick entwickelt, um an die Anmelde- und Konteninformationen von Bankkunden zu gelangen. Dazu versenden sie E-Mails mit Scripting Code, der die Hosts-Datei von Windows-Rechnern manipuliert. Die Betrüger tragen für bestimmte Banken eigene IP-Adressen in die Hosts-Datei ein, die zu präparierten Servern führen. Selbst wenn man keinem Link folgt und stattdessen die URL per Hand eingibt oder einen Bookmark aufruft, landet man durch diesen Trick der Angreifer auf der falschen Seite. Bislang habe man bei Messagelabs aber erst wenige solcher Mails abgefangen. Abhilfe soll des Abschalten von Windows Scripting Host bringen. Auch Viren und Würmer, etwa MyDoom, manipulieren die Hosts-Datei, um Antivirensoftware am Online-Update ihrer Signaturen zu hindern.

Schutz vor Pharming

Sie sollten immer eine aktuelle Virensoftware installiert haben.
Sie sollten keine Dateianhänge von E-Mails unbekannter Herkunft zu öffnen.
Niemals, also auch nicht von bekannten Absendern, sollte man ausführbare Dateien in Dateianhängen öffnen (exe, bat, pif oder com).
Passwörter und Geheimnummern sollte man nur über sichere Internetverbindungen eingeben. Diese erkennt man zunächst daran, dass die Webadresse mit "https://" beginnt. Aber auch solche vermeintlich sichere Verbindungen können von Pharming-Betrügern auf präparierte Webseiten umgeleitet werden.
Deshalb: Am unteren Rand der gängigen Browser befindet sich bei sicheren Verbindungen das Symbol eines Vorhängeschlosses. Per Mausklick auf dieses Symbol wird das Sicherheitszertifikat einer Webseite angezeigt. Meldet der Browser, dass er das Zertifikat eines Servers nicht verifizieren kann, ist Vorsicht geboten.

Weiterführende Links

Zum Inhaltsverzeichnis