1 / 47

Wham, Bam, no more Spam?! Lösungsszenarien für das Spam-Problem

Wham, Bam, no more Spam?! Lösungsszenarien für das Spam-Problem. 13. Januar 2004 Gesellschaft für Informatik -Regionalgruppe Bremen Oldenburg. Trendbarometer: eco‘s ICTF Hotline. eco betreibt eine Hotline zur Entgegennahme von Hinweisen auf illegale Inhalte und Aktivitäten im Internet

rosa
Download Presentation

Wham, Bam, no more Spam?! Lösungsszenarien für das Spam-Problem

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Wham, Bam, no more Spam?!Lösungsszenarien für das Spam-Problem 13. Januar 2004 Gesellschaft für Informatik -Regionalgruppe Bremen Oldenburg

  2. Trendbarometer: eco‘s ICTF Hotline • eco betreibt eine Hotline zur Entgegennahme von Hinweisen auf illegale Inhalte und Aktivitäten im Internet • eco ist Gründungsmitglied der INHOPE Association, dem Dachverband von Hotlines (derzeit 18 Mitglieder in 16 Ländern) • Aufkommen von Beschwerden über Spam wächst stetig (eco – insbesondere seit Mitte 2002) • Derzeit ca. 7000 Beschwerden monatlich • Einige Erfolge gegen beworbene Mehrwertdienste-rufnummern, um den wirtschaftlichen Anreiz für Spam zu nehmen 13.01.2004

  3. Das Problem I • Die Europäische Kommission geht in ihrer Pressemitteilung vom 15.07.2003 davon aus, dass Unternehmen in der EU im Jahr 2002 ein geschätzter Produktivitätsverlust von 2,5 Mrd. € und weltweit von 10 Mrd. € entstanden ist. • In den USA geht man derzeit schon von einer Spam-Rate in Höhe von 45% aller E-Mails bei einem Schaden in Höhe von 14 Mrd. USD aus. 13.01.2004

  4. Das Problem II • Verlust von Vertrauen in die elektronische Kommunikation. • Risiko des Kundenverlustes und der Rufschädigung • aufgrund der ungewollten Zusendung gerade nicht für Kinder und jugendliche geeigneter Materialien (Gartner-Studie 1999). • Erhöhte Kosten (Personal / Technik / Bandbreite) • Keine Vergütung für die Zustellung. 13.01.2004

  5. Spam in Zahlen: Aufkommen • Bundesverband Verbraucherzentrale • 500 Millionen Spam-Mails pro Woche • – alleine in Deutschland • Messagelabs • 36 Prozent aller E-Mails sind Spam • 58% aus den USA, dicht gefolgt von China – mit 5,6%... 13.01.2004

  6. Spam in Zahlen: Aufkommen 2 • Spiegel • 700 Spam Mails p.a. pro User in Deutschland • iX • Spam Volumen verdoppelt sich alle 6 Monate 13.01.2004

  7. Spam in Zahlen: nach Kategorien im Juni 2003 • Weltweit (Brightmail Probe-Network): • Finanzdienstleistungen 22% • Kontaktmarkt / Porno 12% • Produkte allg.& PC 39% • Medikamente 3% • Religion 2% • Nigeria 4% • Freizeit / Urlaub 5% • Andere 13% 13.01.2004

  8. Spam in Zahlen: FTC Studie • FTC-Studie (April 03) zum Spam-Aufkommen • 90% aller Spams sind „fragwürdigen Inhalts“ • 33% aller Spams werden von gefälschten Adressen versandt • 63% der Spammer ignorieren opt-out-Versuche 13.01.2004

  9. Spam in Zahlen: Sichtweise der Nutzer • Spiegel-Netzumfrage (3300 Antworten) • 75% befürworten Strafverfolgung für Spam • 20% wollen rein technische Lösungen • Aladdin Knowledge Systems • 74% aller IT-Manager betrachten das Spam-Problem für ihr Unternehmen als schlimm 13.01.2004

  10. Aber das ist doch verboten??? • E-Commerce-Richtlinie (2000/31/EG) der Europäischen Kommission sah Opt-Out vor • eco und EuroISPA setzten sich damals für Opt-In ein • Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) zwar nunmehr Opt-In vor, „Rettung“ kommt spät • Deutschland: Neuer Gesetzentwurf gegen unlauteren Wettbewerb aufgrund der EU-Richtlinie 2002/58/EG 13.01.2004

  11. Aktuelle Rechtslage in Deutschland • Die Rechtslage nach der Rechtsprechung – es gilt „OPT-IN“: • Die Zusendung von Werbe-Mails ohne vorherigen geschäftlichen Kontakt zwischen den Parteien bzw. ohne ausdrückliche vorherige Zustimmung des Empfängers ist nicht zulässig. • Es spielt keine Rolle, ob die Zusendungen an Privatpersonen oder Gewerbetreibende gingen oder für welchen kommerziellen Zweck in den Mails geworben wird. 13.01.2004

  12. Aktuelle Rechtslage in Deutschland • Die Rechtslage nach der Rechtsprechung – es gilt „OPT-IN“: • Die Beweislast dafür, ob sich ein E-Mail-Empfänger in eine bestimmte Newsletterliste eingetragen hat, trägt der Betreiber des Newsletterdienstes bzw. der Absender der Werbe-Mail. • Nach Ansicht des LG München I soll sogar derjenige als Mitstörer haften, der dem Spammer bestimmte Versendefunktionen (E-Cards, Newsletter) zur Verfügung stellt. 13.01.2004

  13. Definitionen / Arten • Opt-In • Confirmed Opt-In • Double Opt-In 13.01.2004

  14. Verbreitetes Missverständnis: • Bestätigungsmail des Versenders sei Spam • In den betreffenden Urteilen ging es sachverhaltsmäßig nicht lediglich darum, dass eine Bestätigungsmail von dem Newsletterversender versendet wurde. 13.01.2004

  15. Verbreitetes Missverständnis: • Es ging darum, • dass der Adressat per email aufgefordert wurde, "auf einen Aktivierungslink zu klicken, _falls_ er einen Newsletter von xy erhalten möchte, bzw die Mail zu löschen, falls er diesen Newsletter nicht will". Genau das aber sieht schwer nach Erstkontakt ohne vorherige Einwilligung aus... • dass die Mail mit der Nachfrage nach der Bestätigung ihrerseits selbst als Werbung zu qualifizieren war. 13.01.2004

  16. Verbreitetes Missverständnis: • Fazit: reine kurz und sachliche Nachfragen nach der Bestätigung sind bisher _nicht_ als Spam qualifiziert worden. Dennoch: Nach wie empfiehlt es sich für die Versender, geeignete Nachweisverfahren vorrätig zu halten. • Empfehlung: Double – Opt-In !!! 13.01.2004

  17. Aktuelle Rechtslage in Deutschland • Ausnahme: • Werbe-Mails sind in den Fällen erlaubt, in denen zwischen den Parteien bereits ein geschäftlicher Kontakt besteht oder diese sich mit der Zusendung einverstanden erklären. (Bsp: etwa einen E-Mail-Account bei „gmx.de“; regelmäßige Bestellungen bei „Tchibo“ etc.) 13.01.2004

  18. Die Rechtslage in Deutschland: • Anspruchsgrundlagen: • §§ 823 Abs. 1, 1004 BGB (Eingriff in die Privatsphäre des Empfängers / Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb) • §§ 1, 3 UWG („Vorsprung durch Rechtsbruch“) • Unterlassung möglich – Schadensersatz schwierig, da Darlegungs- und Beweislast beim Empfänger (AG Frankfurt – Schadensersatz bei unaufgeforderter Faxwerbung (+) wegen des Aufwandes zur Ermittlung des Versenders, für E-Mail kein zusprechendes Urteil bekannt) • Abmahnungen und Klagen nur in DE sinnvoll 13.01.2004

  19. Zukünftige Rechtslage: EU – Richtlinie / UWG • Die Rechtslage nach der UWG-Reform - „OPT-IN bleibt grundsätzlich erhalten“ • Grundlage: Art. 13 der EU-Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) 13.01.2004

  20. Rechtslage: EU - Richtlinie • EU-Richtlinie gibt eindeutige Regelungen für Spam vor und verlangt „Opt-In“-Regelung • Unverlangtes Direktmarketing (Mail, Fax, Telefon) ist als „unzumutbare Belästigung“ wettbewerbswidrig • Umsetzung in Deutschland wird im Rahmen der Novellierung des Wettbewerbsrechtes (UWG) erfolgen 13.01.2004

  21. Rechtslage: UWG - Novellierung • Der Grundsatz: Opt-In wird beibehalten • § 7 Abs. 2 Nr. 2 UWG (RegE): eine "unzumutbare Belästigung" ist anzunehmen bei "einer Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post, ohne dass eine Einwilligung der Adressaten vorliegt" 13.01.2004

  22. Rechtslage: UWG - Novellierung • Der neue TatbestandVerschleierungsverbot der Absenderadresse - das Transparenzgebot - § 7 Abs. 2 Nr. 4 (RegE) • „Werbung mit elektronischen Nachrichten, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann“ist unlauter. 13.01.2004

  23. Rechtslage: UWG - Novellierung • Die Ausnahme: Qualifiziertes Opt-In-Prinzip - § 7 Abs. 3 als Ausnahmeregelung zu § 7 Abs. 2 UWG (RegE): • „ Hat ein Unternehmer die elektronische Adresse eines Kunden im Zusammenhang mit dem Verkauf einer Ware oder einer Dienstleistung erhalten, kann er diese Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen nutzen, es sei denn, der Kunde hat diese Nutzung untersagt.“ 13.01.2004

  24. Maßnahmen der Internetwirtschaft (1) • 1. Deutscher Anti-Spam-Kongress im Mai 2003 auf Schloss Kransberg in Usingen • 150 Teilnehmer • Riesige Medienresonanz • Einigung der ISPs unternehmensübergreifend zusammen zu arbeiten 13.01.2004

  25. Maßnahmen der Internetwirtschaft (2) • Bildung der Anti-Spam-Task-Force • Kick-off Meeting im August 2003 in Karlsruhe • Alle Major Player sind dabei • Gründung von 4 AGs ( 2 x Technik, Recht und Messverfahren) 13.01.2004

  26. Mission Statement: • Die Internetwirtschaft ist geschlossen angetreten, um das Vertrauen in den Dienst E-Mail zurück zu gewinnen durch • bestmögliche Reduzierung der Belästigung durch Spam • bestmögliche Förderung des seriösen Permission Marketings • Es geht nicht um die Entwicklung eines Produkts, sondern um Empfehlungen für den Umgang mit Spam 13.01.2004

  27. Workpackages der ASTF: • Verbesserung der • technischen Lösungsansätze, • der Koordination untereinander, • Hinwirken auf Rechtsharmonisierung 13.01.2004

  28. Ausgangspunkt: • Spam kann nicht effizient mit rechtlichen Mitteln bekämpft werden • Versender bleiben unerkannt • Spam ist oft nicht justiziabel • technische Ansätze sind gefragt • unternehmensübergreifende Ansätze sind gefragt • branchenübergreifende Ansätze sind gefragt • internationale Ansätze sind gefragt 13.01.2004

  29. Mögliche Ko-operationspartner: • Potentielle Partner einer internationalen Allianz • EuroISPA, nationale ISPAs • WorldISPA • Global Player • Weltweite Anti-Spam-Initiativen • Verbände mit anderen Zielgruppen • Politik • Viele Kontakte werden bereits intensiv gepflegt! 13.01.2004

  30. Mögliche Kooperationspartner: • Bisher kontaktiert: Microsoft Europe, Microsoft US of the US Anti-Spam initiative, AOLs Anti-Spam Unit in the US, Wanadoo (France), Internet Industry Association Australia, EuroISPA,ISPA UK, AFA-France, EuroCAUCE • Outstanding:US Internet Industry Association, Canadian Association of Internet Providers (CAIP), Internet Society of China (ISC) 13.01.2004

  31. Grobplanung • Arbeitsgruppen arbeiten parallel (Abstimmung auch mit Direktversendern) • Die (Zwischen)ergebnisse werden zusammengeführt und diskutiert • Es wird ein zweites ASTF-Treffen geben • Es wird ein Pilotprojekt geben, in dem die Empfehlungen getestet werden 13.01.2004

  32. Maßnahmen: • Vorschläge wurden gesammelt • Arbeitsergebnisse sind vertraulich, daher nur allgemeine Darstellung • Es folgt eine Übersicht über einige Diskussionspunkte • Zuvor jedoch ein Überblick über die derzeit existenten Ansätze zur Spam-Bekämpfung 13.01.2004

  33. Überblick Maßnahmen - Problemzonen: • Noch immer offene „E-Mail-Relays“ • Verstärkt offene Proxies • Immer mehr WWW-Skripte (z.B. E-Mail-Formulare) • Fehlendes Know How bei Mailserver-Verantwortlichen • Immer flexiblere SPAM Techniken 13.01.2004

  34. Ansatzmöglichkeiten: • Absender bekämpfen • Verfolgung zumeist schwierig / unmöglich • Wirtschaftlichen Anreiz nehmen • Mehrwertdiensterufnummern bekämpfen • Bei Bewerbung rechtswidriger Websites – Hinweis an Host • Filtern am Server • Problem – Nachrichten gelangen nicht mehr an den Nutzer – Haftungsfalle? • Filtern am Client • Traffic für den ISP bleibt trotzdem 13.01.2004

  35. Überblick Maßnahmen – DNS-basierte Listen: • Prinzip: • DNS Blocklisten filtern einzelne Mailserver respektive komplette Netzwerke. • Vorteile: • Administrativer Aufwand beim „Listen“-Betreiber • Sehr schnelle und unproblematischen Implementierung • Nachteile: • Vielzahl unterschiedlicher Listen • Blocklisten können auch „Unschuldige“ betreffen (false positives) • Ca 3/10 des SPAM-Aufkommens werden gefiltert 13.01.2004

  36. Maßnahmen – Überprüfen der Absender: • Prinzip: • Ein Mailserver fragt während des E-Mail- Empfangs beim sendenden Server an, ob der Absender existiert. • Vorteile: • Leichte Implementierung im Bedarfsfall (laufende Spam-Attacke) • Unproblematische Administration • Nachteile: • Nicht alle Mailserver geben Auskunft ob ein Mailaccount (Absender) existiert • Spammer verwenden immer öfter eigene Mail Transfer Agents (MTA) • Ungefähr 1/10 des SPAM-Aufkommens können gefiltert werden 13.01.2004

  37. Maßnahmen – Statistische Filter: • Prinzip: • SPAM-Mail‘s werden durch deren Inhalt identifiziert • Klassifizierung nach klar definierten Regeln (z.B. „buy now“ können auf SPAM deuten), Filter „lernt“ • Vorteile: • Sehr effektive Filtermethode • Nachteile: • Ständiger Aufwand in der Administration • Entwicklung eigener Filterregeln relativ schwierig (abhängig von eingesetzter Software) • Spammer können Nachrichten vor dem Versenden gegen bekannte Regeln prüfen und Schutz umgehen 13.01.2004

  38. Maßnahmen – sonstige: • Header-Filter: • Schlagwortsuche – wenig effektiv • Allow / Deny-Listen von Absenderadressen: • Allow: Nicht empfehlenswert, weil man alle Absender kennen muss • Deny: Wenig effektiv, weil Spammer ständig die verwendeten Adressen ändern 13.01.2004

  39. Was wird nun diskutiert? • Einigkeit besteht, dass eine Methode für sich nicht wirksam ist • Es kommt auf die Kombination verschiedener Ansätze an • Neben technische müssen organisatorische Maßnahmen treten • Aufklärung des Verbrauchers ist ebenfalls wichtig • Beispiele auf den folgenden Folien 13.01.2004

  40. Technische Ansätze • Authentifizierung • Webmail /Freemail Anbieter? (anonym und automatisch generierte Accounts?) • HTTP Anwendungen (Formmail) • Open Relays / Trusted Networks • Bilden von Trusted Networks (Allow all?) • Open Relays / Proxies (Deny all?) 13.01.2004

  41. Technische Grundlagen – Allow & Deny • Deny Listen • Unternehmensübergreifende Deny Lists? • Qualität verfügbarer Deny Lists? • Möglicherweise Zusammenarbeit mit Betreibern Betreibern von Deny Lists? • Allow Listen • Zentral geführte Allow List für gewünschtes Online-Marketing • Liste der „Trusted Networks“ als Allow List? 13.01.2004

  42. Technische Grundlagen - Filter • Sessionbasierte Filter Mechanismen • Header Analysen? • Regelbasierte Inhaltsanalysen • Integration von Usern? • Individuelle Filter für User • Vereinfachung der Pflege? 13.01.2004

  43. Technische Grundlagen - Mailserver • Abwehr von laufenden SPAM Attacken • Session Limits? • Transport Limit per Absender IP/Account? • Schutz der eigenen Infrastruktur • Problemanalyse der derzeitigen Infrastruktur • Aufbau eines Pflichtenheftes? 13.01.2004

  44. Aufgaben der Gruppe „Recht“: • Vorschläge der Technik-Gruppe auf ihre Rechtmäßigkeit prüfen • Ggf. Forderungen an den Gesetzgeber formulieren • Klauselvorschläge für AGB und SLAs erarbeiten • MoUs und Verträge zwischen Unternehmen und Verbänden aufsetzen • Rechtliche Rahmenbedingungen und Papiere für ein Trusted Network? 13.01.2004

  45. Gruppe: Mess-Methoden: • Warum „Messen“? • Funktionsnachweis der getroffenen Maßnahmen • Eigene Erfolgskontrolle • Aussagekräftige Zahlen für Politik und Öffentlichkeit - Spambarometer • Was „Messen“? • Auswertung der Herkunft aller „SPAM“ • Menge der eingegangenen „SPAM“ per ISP • Menge der erkannten „SPAM“ per ISP • Menge der genehmigten Online-Werbung? 13.01.2004

  46. Maßnahmen: • Whitepaper als Resultat? • Technische Empfehlungen • Rahmenbedingungen für die Zusammenarbeit der Unternehmen • Richtlinien für Permission Marketing (Basis: eco‘s Richtlinie für erwünschtes Online-Marketing) • Kodex incl. Sanktionsmöglichkeiten? • „Trusted Network“ 13.01.2004

  47. RA Oliver Süme Arenzhofstr. 10 50769 Köln Tel.: 0221 / 70 00 48 – 0 Fax: 0221 / 70 00 48 – 11 E-Mail: oliver.sueme@eco.de Web: http://www.eco.de

More Related