Bild nicht mehr verfügbar.

Foto: APA/AP/Las Vegas News Bureau, Darrin Bush
Wissen Sie welches Gasgemisch am besten geeignet ist, um das Erbrechen von PatientInnen zu verhindern? Oder dass medizinischer Sauerstoff "vorrangig in tiefkalt verflüssigter Form im Kryobereich angewendet (zum Beispiel in Blut-, Samen-, Gewebebanken) oder auch gasförmig zum Spülen von Leitungen", verwendet wird? Sollte Sie dies nicht interessieren, so kann ich Ihnen zudem von gut 50 Personen, die ich bis gestern gar nicht kannte, Namen, Beruf, Arbeitgeber, Arbeitsort, Telefonnummern, Adressen, Familienstand und Hobbies liefern - und dies alles wegen eines kleinen E-Mails und sehr viel Unerfahrenheit der AnwenderInnen.

Spam - das unbekannte Wesen

Das Thema Spam ist seit geraumer Zeit ein heißes Thema in der IT: Hunderte lästige und unerwünschte E-Mails verstopfen die Postfächer und sorgen bei den AdministratorInnen und AnwenderInnen für graue Haare. Das Problem an Spam ist aber nicht nur die Überflutung der Mailboxen, sondern viel mehr das Datensammeln. Die Spam-VersenderInnen wollen mit ihren Angriffen unwissende oder unachtsame AnwenderInnen dazu bringen, möglichst viele persönliche Informationen preis zu geben. Das Problem ist bekannt, wird diskutiert und ernst genommen, dachte ich, bis gestern, als ich Zeuge eines äußerst erfolgreichen Spam-Angriffs werden durfte, wie der folgende "Erlebnisbericht" zeigt.

Es begann am Samstag

Die heimische "Spam-Story" begann - zumindest für mich - am Samstag, dem 10. Februar um 8:45 Uhr. Ein mir bislang nicht bekannter Mann - nennen wir ihn der Einfachheit Hr. Braun - meldete sich per Mail mit den Worten "Sehr geehrte Damen und Herren! Bekomme in den letzten Tagen Spam-Nachrichten in holländischer Sprache die ursprünglich an ihre Adresse gesendet wahrscheinlich automatisch weitergeleitet wurden." Die Antwort wurde an eine Absendeadresse (xyz@noteslist.edvgnet.at - wobei sich unter xyz auch ein Wortteil eines großen österreichischen Vereines findet) geschickt-. Wenig später dürfte Herrn Braun die Erkenntnis gekommen sein, dass es sich dabei nicht um den Verein als Absender, sondern eine Spamattacke handeln könnte und er schickte - wieder an den gesamten Verteiler - eine weitere E-Mail mit folgendem Inhalt "Wusste nicht, dass mein Mail automatisch an alle Empfänger in der Verteilerliste generiert wird. Werde am Montag auf anderem Wege und bei anderer Stelle versuchen, den Fehler zu eruieren und evtl. zukünftig Spams über eine derartige Verteilerliste zu verhindern. Bitte nicht auf meine Mails antworten." Eigentlich wollte ich beide Mails löschen, habe es dann aber doch vergessen - im Nachhinein glücklicherweise.

"Störts mi ned beim hackeln! behaltets euren quatsch!"

Das Wochenende verlief ruhig und ohne weitere Komplikationen, doch dann kam, was kommen musste: Montag, Arbeitsbeginn und damit allem Anschein nach auch das Ausschalten des menschlichen Verstandes. Die Warnung des Herrn Braun dürfte sang- und klanglos in den digitalen Weiten verhallt sein, anders ist es wohl nicht zu erklären, dass ab Montag 8:34 eine wahre Flut von Antworten mein Postfach zumüllte. Hunderte AnwenderInnen beschwerten sich bei der Spam-Adresse über den Spam und verlangten die Streichung von der Liste. NAhezu alle AnwenderInnen waren sich sicher, dass der Verein hinter dieser Aktion stehe und beschwerten sich daher besonders über diese "sinnlose Werbeaktion". Alle einzelnen AbsenderInnen und die Inhalte ihrer Mails aufzuzählen, würde den Rahmen sprengen, aber meine persönlichen Highlights waren:

  • "Wie komme ICH eigentlich zu dem vergnügen???????? Ich habe (ausser das ich mitglieg bin) mit dem verein xyz nicht viel zu tun."

  • "Ich ersuche Sie, dies auf anderem Weg zu klaeren!! Ist Ihnen schon aufgefallen, dass Sie (und einmal ich jetzt auch) eine Menge Spams erzeugen durch diesen sinnlosen Emailverkehr??"

  • "Sehr geehrte Damen und Herren, ich darf Sie höflichst ersuchen keine mails mehr über diese Adresse zu versenden. Für jene die es nicht Wissen sollten, es handelt sich hier scheinbar um eine fingierte Verteilliste, welche das Ziel verfolgt SPAM zu erzeugen und mit dem Adressaten in keinster Weise was zu tun hat. Schon zu erkennen an der nicht erreichbaren Adresse --> http://www.edvgnet.at . Also liegt es an Ihnen diese Adresse aus ihren Verteillisten zu nehmen und keine Nachrichten mehr zu senden. Herzlichen Dank !!!" (Auch diese Warnung, die nicht nur die Spammer, sondern auch die hunderten aufgeregten AnwenderInnen erreichte, blieb ungehört - Anm. d. Red.)

  • "Störts mi ned beim hackeln! behaltets euren quatsch!"

  • "Bitte löschen Sie mich umgehend aus der Verteilerliste, bekomme laufend Mails!"

  • "Bitte es ist verständlich das es ärgerlich ist das wir Spams bekommen, aber es ist noch viel lästiger das ich die Meinung von jedem einzelnen dazu lesen muss."

  • "wenn jetzt jeder schreibt "bitte hört damit auf" dann wird nie mit dem Mails schluss sein die jeden so aufregen!"

  • "also erstmal hasse ich spams und diese aktion hier finde ich zum kotzen"

    Dutzende E-Mails und einige Stunden später war mit dem Spaß dann urplötzlich Schluss. Keine Ahnung was passiert war, aber die Mailbox blieb von weiteren Ansuchen um Streichung verschont. Man könnte nun meinen, damit wäre das Problem vielleicht gelöst, aber dem ist bei Weitem nicht so.

    Datendiebe

    Ich gestehe, ich bin kein professioneller Spammer. Ich habe keine Ahnung mit Hilfe welcher Werkzeuge und Tools man die Daten am besten filtert und dann daraus das meiste Kapital schlägt. Ich weiß aber, dass man für eine bestätigte, aktive E-Mailadresse Geld bekommen kann, auch legal. Und ich weiß auch, dass "Direct Marketing" wohl noch das geringste Übel sein könnte, dass mich erwarten, wenn die Datenräuber ihre Beute verkaufen.

    Ich weiß (fast) Alles

    Nach dem Ende der überaus unterhaltsamen Mail-Diskussion, die bei mir auch die Frage aufwirft, haben die Medien versagt und wissen die Leute wirklich nicht über die große Bedrohung bescheid, startete ich zu eigenen Nachforschungen. Herr Braun, dessen Mail mich in diesem Spam-Fall, als erstes erreichte, hat im wirklichen Leben einen sehr seltenen Namen, daher startet ich meine Recherche bei ihm. Das einzige Tool, welches ich benutzte war Google und wenig später wusste ich einiges über Herrn Braun: zumindest ein Kind, ein Sohn, im Westen Österreichs bei einer Behörde beschäftigt, Foto war ebenfalls kein Problem. Hobbies, Lebensphilosophie und so weiter und dies innerhalb einer Minute - Google sei dank.

    Schön wie klein die Welt ist

    Viele andere TeilnehmerInnen an dem Spam-Verkehr waren schon im Vorhinein wenig um ihre Daten und um Sicherheit besorgt. Viele wissen auch gar nicht, wie viel über sie im Netz zu finden ist und noch mehr wissen nicht, wie sie die Daten aus den Suchmaschinen heraus bekommen sollen. Ein Unterfange, dass neben Geld auch viel Zeit erfordert. Und dennoch wurde alles getan um nicht länger anonym zu bleiben. Nicht nur eigenen E-Mail-Adressen wurden bestätigt, auch gleich Vorgesetzte oder IT-Administratoren "CC"-gesetzt und somit eine weitere bestätigte E-Mail-Adresse für die Spammer. Das schöne am E-Mail-Verkehr ist zudem, dass viele Daten in der Signatur mitgeschickt werden. Natürlich sind dies keine geheimen Informationen, aber auf jeden Fall mal eine weitere Dateiangaben, die sich verkaufen lässt. Firmenadressen, Telefon-, Fax- und Handynummern, sogar Mitgliedsnummern und ähnliches wurde da ohne Bedenken an die Verteiler gesendet.

    Alle Angaben ohne Gewähr

    Vor dem letzten Absatz möchte ich natürlich noch darauf hinwiesen, dass es durchaus sein kann, dass einige der gewonnenen Ergebnisse gar nicht auf die Spam-Opfer zutreffen. Vielleicht nur ein Namens-Vetter, der im Internet besser erfasst ist, aber wer weiß. Viele Datensätze zeigen aber, dass die meisten Personen mit den von mir gefundenen Daten übereinstimmen. So liegen Arbeitsplatz und Sportverein in der gleichen Gegend. Daraus wiederum konnte man sehr leicht weitere Datensätze generieren.

    Gase und die dotcom-Blase

    Die Spam-Opfer kamen aus den unterschiedlichsten Branchen - überraschenderweise auch von fast allen großen Banken - und den unterschiedlichsten Funktionen. ControllerInnen, Sales-MitarbeiterInnen von Zeitungen, SekräterInnen, leitende und weniger leitende MitarbeiterInnen - jeder, der sich beschweren wollte und konnte, sendete seine Daten weiter. Nach weiteren 10 Minuten mit Google kenne ich einige Personen besser als meine guten Freunde. Wer lief wann einen Marathon und in welcher Zeit, wessen LebenspartnerIn spielt in einer Blasmusikkapelle, welche Gase eignen sich besonders für den Einsatz bei Schweissarbeiten - diese Webseite war mir vorher auch nicht bekannt, aber dort gab es auch einige weitere brauchbare Informationen. Wer hat sich über Unterstützung durch Freunde und Kollegen gefreut, wer hat Urlaubsfotos und Grußkarten versendet oder bereit gestellt. Ich kenne ihre Kinder, ihre Freunde, ihren Arbeitsplatz und ihre KollegInnen, ich kann sie nun am Handy oder in der Firma anrufen. Ihre Mailadresse kenne ich ohnehin – vielleicht lade ich sie alle mal zu einem Kaffee ein, schriftlich auf dem Postweg. Das Schlimmste daran aber ist, ich wollte es ja gar nicht wissen; was aber machen die Leute, die diese Daten wirklich haben wollten? (Roger G. Arecuk)