Cyber-Kriminelle werden immer raffinierter

Zwar hat das Volumen von Spam insgesamt deutlich abgenommen. Fortgeschrittene Verschleierungsmethoden machen Attacken mit Mal- oder Spyware, Phishing oder Viren aber immer bedrohlicher. Statt schadhafter Mailanhänge nutzen Cyber-Kriminelle immer öfter Links als Tarnung. Diese Links führen etwa zu gefälschten Rechnungen oder Paketversandbenachrichtigungen, mit denen Vorlagen renommierter Firmen täuschend echt nachgebildet werden. 
 

Spam belastet die Produktivität in Unternehmen

Die meisten unerwünscht zugesandten Mails sind harmlos. Aber das Aussortieren von Werbemüll aus der täglichen E-Mail-Flut kostet teure Arbeitszeit. Zudem belastet Spam die Internetverbindung und blockiert IT-Ressourcen auf Rechnern und Servern. Deshalb dient Spamschutz nicht allein der IT-Sicherheit, sondern vor allem auch der Produktivität in Unternehmen. 
 

 

Standardlösungen stoßen schnell an ihre Grenzen

In E-Mail-Systemen wie Microsoft Outlook, Mozilla Thunderbird oder auch bei Webbrowsern wie Safari ist ein leistungsfähiger Spamschutz standardmäßig integriert. Die Filter sortieren zuverlässig weit über 90 Prozent Spam aus dem Posteingang aus. Solche Spamfilter sind in Ordnung, solange man nur ein relativ kleines Unternehmen betreibt. Bei einer großen Anzahl von Postfächern erfordern diese Lösungen aber einen immer höheren Administrationsaufwand. Sie gewährleisten auch nicht genügend Sicherheit, wenn es um den Versand hochsensibler Daten geht.

Professionelle Software zum Spamschutz bietet dafür spezielle Features, wie hochgradige Verschlüsselungstechnologie. Darüber hinaus ist professionelle Software auch noch rechtssicher. Das ist besonders dort wichtig, wo Postversand und Schriftverkehr überwiegend oder ausschließlich digital ablaufen. Für alle Unternehmen, die mit hochsensiblen Daten hantieren oder die eine rechtssichere Lösung brauchen, empfiehlt sich die Einrichtung einer umfassenden Security-Suite zum Spamschutz. 
 

Die Quarantänefalle: Wenn der Spamschutz voreilig ist

Alle herkömmlichen Spamfilter haben eine Gemeinsamkeit: Als Spam klassifizierte Mails landen in einem Spamordner – eine Art Quarantänestation für Mails. Je nach Nutzereinstellung werden Mails im Spamordner auch nach einer gewissen Zeit automatisch gelöscht. Allerdings sortieren die Spamfilter auch manchmal Mails aus, die kein Spam sind. Das bezeichnet man als „Falsch positiv“. Wenn der Empfänger nicht regelmäßig seinen Spamordner checkt, können solche Mails leicht für immer verloren gehen. Und das kann teuer werden. Einen Rechtsanwalt aus Bonn hat das Landgericht Bonn 2014 dafür zu 90.000 Euro Schadensersatz verurteilt (Az.: 15 O 189/13). Die Mail enthielt ein für seine Mandantin vorteilhaftes Vergleichsangebot. Weil sie versehentlich im Spamordner gelandet war, leitete der Anwalt die Mail nicht fristgerecht weiter. Der Fall war für das Gericht klar: Die Mail war mit der Einlieferung beim Mailserver rechtsgültig zugestellt. Juristisch hatte der Anwalt nicht anders gehandelt als jemand, der seine Post nicht öffnet und dann sagt, er habe von nichts gewusst. 
 

Rechtssichere Lösungen – professionelle Spamfilter ohne Spamordner

Eine rechtssichere Lösung für solche fehlgeleiteten Mails hat etwa der Anbieter noSpam mit seinem Filter „Protection“ entwickelt. Das System weist verdächtige Mails ab, schiebt sie aber nicht in einen Spamordner. Damit wird die Mail rechtlich gesehen nicht zugestellt. Der Absender erhält eine automatische Nachricht über die Nichtzustellung. Der Absender kann dann reagieren, seinerseits den Empfänger kontaktieren und um eine Mail bitten. Mit der Zusendung einer Mail an den ursprünglichen Absender landet dieser auf einer dynamischen Whitelist. Mails von Adressen, die auf dieser Whitelist stehen, werden vom System nicht länger als Spam abgewiesen.

Als weiteres Sicherheits-Feature ist in das System die „Zero Hour Technologie“ von Cyren integriert. Weltweit nutzen mehr als 600 Millionen Anwender dieses System zum Schutz vor Viren, Malware, Spyware und Phishing. Das System scannt täglich bis zu 100 Milliarden Nachrichten im Netz und identifiziert aus wiederkehrenden Mustern in Echtzeit bedrohliche Mails.

Einen ähnlichen Ansatz verfolgt der Berliner Jurist und E-Mail-Experte Peer Heinlein mit seiner Software „ELEMENTS Anti Spam“. Die Open-Source-Lösung erkennt Viren und Spam schon während der Datenübertragung. Auch hier wird der Absender über die Ablehnung informiert, kann Schritte ergreifen, sich aber keinesfalls darauf berufen, seine Mail sei zugestellt worden. Die von zahlreichen Hochschulen – etwa der LMU München – genutzte Software gibt's auch als Hosted Service.
 

Zusätzliche IT-Sicherheit durch verschlüsselte Mails

Höchste Datensicherheit für professionelle Nutzer verspricht der Anbieter Reddoxx mit seiner „Reddoxx-Suite“. Der TÜV-zertifizierte Spamschutz für fünf bis 50.000 Mailaccounts basiert auf dem patentierten CISS-System (Confirmation Interactive Site Service). Dabei müssen sich unbekannte Mailabsender vor der Zustellung der Mail verifizieren. Zur Suite gehört auch der sogenannte MailSealer, der ausgehende Mails nach dem internationalen Verschlüsselungsstandard S/MIME codiert und Mails zuverlässig vor unbefugtem Zugriff schützt.

Auf dem höchsten Stand der IT-Sicherheit rangiert das Systemhaus Karl Gross mit seinem „antispameurope“. Der große Vorteil des nach ISO 27001 zertifizierten Systems für Kunden: Sie benötigen weder Software noch Hardware und es entsteht keinerlei Wartungsaufwand. Alle Mails laufen vor der Zustellung automatisiert über ein deutsches Rechenzentrum des Dienstleisters und werden dort auf Spam, Malware oder Viren gescannt. Der Weiterversand an den Kunden läuft TSL-verschlüsselt. Als Spam identifizierte Mails landen auf einer Quarantäneliste des Dienstleisters – nicht beim Kunden. Das Systemhaus verspricht eine 365/7/24-Verfügbarkeit, eine Top-Filterrate von 99,9 Prozent und eine „Falsch positiv“-Rate von unter 0,0004 Prozent. 
 

Fazit

In Unternehmen mit vielen Arbeitsplätzen und einem hohen Aufkommen an E-Mails sind professionelle Lösungen zum Spamschutz den gängigen Filtern für kleine IT-Infrastrukturen klar überlegen. Sie schützen zuverlässig sensible Daten und die IT-Ressourcen von Unternehmen. Dennoch ist zur IT-Sicherheit eine hohe Awareness-Kultur erforderlich. Aufmerksame Benutzer, die E-Mails von unbekannten Absendern oder solchen mit Auffälligkeiten misstrauisch begegnen, bleiben eine letzte Hürde für Cyber-Kriminelle.