<

Anti-Spam-Programme

Spam belästigt Mitarbeiter, Spam kostet Arbeitszeit. Darf der Arbeitgeber deshalb Anti-Spam-Programme im Unternehmensnetzwerk installieren und konfigurieren, wie es ihm gefällt? Nein! - Was auf dem ersten Blick vielleicht selbstverständlich aussieht, macht beim genaueren Hinsehen eine differenzierte Betrachtung notwendig: Denn die Programme, die zur Spam-Abwehr eingesetzt werden, schaufeln unter Umständen auch wichtige Kundenmails auf den elektronischen Müllhaufen und liefern überdies häufig Statistiken, die zu voreiligen und falschen Schlüssen führen können. Worauf muss geachtet werden? Sechs Punkte für eine erste Annäherung an das Thema aus Arbeitnehmersicht...

1. Mit welchen Verfahren soll Spam erkannt werden?

In der Regel wenden Anti-Spam-Programme verschiedene Techniken gleichzeitig zur Erkennung an. Die kombinierten Verfahren bestehen üblicherweise aus

a) der Überprüfung von mehr oder weniger öffentlich zugänglichen Internet-Listen mit Spam-Adressen, bzw. Providern, von denen besonders viel Spam versendet wird oder die als unsicher eingestuft werden.

b) dem Vergleich des Nachrichtentextes der Mail mit Worten oder Wortfragmenten, die häufig von Spammern benutzt werden. Vergleichbare Verfahren werden für die Analyse der Mailheader (technische Begleitinformationen, die für den Datentransport von Mails durch Netz erforderlich sind) eingesetzt.

c) der Anwendung des sogenannten"greylisting"-Verfahrens: Dabei wird der erste Zustellversuch durch den entgegennehmenden Mailserver des Empfängers abgelehnt. Erst bei einem wiederholtem Zustellversuch wird die Mail an den Empfänger durchgestellt. Das Verfahren funktioniert deshalb recht gut, weil Spamsoftware und von Trojaner befallene Rechner typischerweise keinen erneute Zustellversuch unternehmen, während "normale" Mailserver die erneute Versendung in der Regel automatisch vornehmen.

d) einem selbstlernenden Spam-Identifikationsprogramm: Dem Programm wird übermittelt, welche Mails die Benutzer als Spam-Mail markiert haben. Im Laufe der Zeit "erlernt" das Programm bestimmte Muster, mit denen es eingehende Mail vergleicht. Ist die Mail einem der Muster sehr ähnlich, wird es als Spam eingestuft. Dieses Verfahren liefert erst nach einem längeren "Training" gute Ergebnisse, ist dann aber am leistungsfähigsten.

Wenn Verfahren d eingesetzt wird, ist die technische Realisierung interessant: Eine Möglichkeit ist, dass für jeden Arbeitsplatzrechner eigene Muster "antrainiert" werden. Sinnvoller dürfte eine zentrales "Training" der Antispamsoftware am Server sein. Dazu wäre dann aber eine tatsächliche Sicht auf die eingegangen Mails durch Personen erforderlich, die dann beurteilen, ob eine Mail Spam ist oder nicht. Heikel ist es, wenn die Systemadministration zu diesem Zweck lesenden Zugriff auf Mitarbeitermails erhalten soll.

2. Mails, die vom System als Spam deklariert werden

Wenn eine Mail erstmal als SPAM erkannt ist, kann man im Prinzip frei schalten und walten und damit tun, was man will:

a) Die unproblematischte Option ist es, die Mail zu markieren und dann an den Empfänger durchzustellen.

b) Weniger schön ist die Option, die Mail zu löschen und dem Empfänger nicht zuzustellen, ein Verfahren, das möglicherweise gegen das Fernmeldegeheimnis verstößt. Mail an den persönlichen Account muss grundsätzlich zugestellt werden, anders als bei virenverseuchter Mail ist mit der Zustellung auch keine unmittelbare Systemgefährdung verbunden. Dazu kommt das Problem, dass bei falsch markierten Spam-Mails die Mails dann tatsächlich verloren sind.

c) Kompromisslinie zwischen diesen beiden Lösungen ist das Markieren und Aussondern der Spam-Mails. Sie werden nicht direkt weiter geleitet, sondern irgendwo auf dem Server für eine bestimmte Zeit zwischengelagert und können bei Bedarf eingesehen werden. Im Vergleich zur Durchstellung (Variante a) ist es wahrscheinlich schwieriger, fehlerhaft markierte Mails zu erkennen - Das hängt davon ab, wie die Zugriffsmöglichkeit technisch realisiert wird; dies müsste man sich im Zweifel erläutern lassen.

3. Fehlerhaft als Spam deklarierte Mails

Große Probleme können entstehen, wenn die Spam-Filter zu scharf eingestellt sind. Dann landen erwünschte Mails fälschlicherweise im Spam-Ordner und werden ggf. nicht beachtet. Eine Gegenstrategie ist das Pflegen von sogenannten "white lists". Das sind Adresslisten, die eMail-Adressen enthalten, die nie vom System als Spam deklariert werden sollen. In die "white list" kommen dann z.B. alle Adressen von Geschäftspartnern hinein. Die Gegenstrategie hilft natürlich nicht beim Erstkontakt mit einem neuen Kunden, wenn dessen eMail-Adresse bislang unbekannt war.

Fragen in diesem Zusammenhang: Können die Mitarbeiter selber "white lists" pflegen?  Geklärt werden sollte auch, dass es nicht zu Lasten des Mitarbeiters geht, wenn dienstliche Mails vom System fälschlicherweise als Spam markiert und deshalb übersehen werden.

4. Laufender Betrieb

Es sollte sicher gestellt werden, dass eine inhaltliche Analyse von Mails ausschließlich über technische Lösungen erfolgt. Es wird keine elektronische Post von Personen gelesen, die nicht für sie bestimmt ist.

5. Statistiken der Anti-Spam-Programme

"XY bekommt viel SPAM => XY verdödelt viel Zeit im Internet" - Dieser Schluss ist falsch. Mitarbeiter haben auf die Zahl der Spams, die ihnen zugesanft werden, keinen Einfluss. Der Grund kann darin liegen, dass eine eMail-Adresse auf der Unternehmens-Internetseite veröffentlicht worden ist. - Spam-Roboter greifen Webseiten automatisch nach eMail-Adressen ab und versenden dann ihren Werbemüll. Aber schon ein nicht allzu ausgefallener Name kann für Spam sorgen. Eine Masche funktioniert so, dass man verschiedene Namen mit bekannten Domainnamen kombiniert auf gut Glück losschickt. Ein Spam-Programm sendet dann nicht nur an gerhard.schroeder@bundeskanzler.de, sondern auch gleich an gerhard.schroeder@t-online.de, gerhard.schroeder@aol.com oder gerhard.schroeder@firma.com. Der Arbeitgeber sollte deshalb versichern, dass er sich mit dem Betriebsrat einig darüber ist, dass sich aus der Anzahl und Art der an die Mitarbeiter versendeten Spams keine Rückschlüsse auf deren Verhalten ziehen lassen.

6. Tests der Anti-Spam-Programme

Die Leistungsfähigkeit Ihres Antiviren-Programms sollte überprüft werden. Bringen Sie in Erfahrung, was genau erfasst werden soll. Wichtig ist nicht nur die Zahl der markierten Spam-Mails im Verhältnis zum gesamten Maileingang, sondern auch die Fehlerrate: Wieviele Spam-Mails wurden nicht erkannt? Und wichtiger: Wieviele Mails wurden fälschlicherweise als Spam deklariert? Um das überprüfen und vergleichen zu können, braucht man aber persönlichen Einblick in die Postkörbe der Mitarbeiter. Hier wäre eine genaue Erläuterung des Evaluierungsverfahren nötig.

Dirk Hammann, tse

Link: Im Netz der Spammer - Wer Spam erhält, ist kein Schmuddelkind