Trotz einer international bemühten Legislative ist nicht damit zu rechnen, dass sich die Spam-Menge in Zukunft konsolidiert, geschweige denn sinkt. Es ist an der Zeit, eine Anti-Spam-Strategie zu entwickeln. Sie liefert die Eckpunkte für die Produktwahl.

Spam ist Geschäft. Schnelles, schmutziges Business mit großen Gewinnen, trotz der teils obszönen Inhalte. Es ist daher nicht zu erwarten, dass Spammer freiwillig darauf verzichten, nur weil die Gesetzgeber in den USA und in Deutschland illegale Massenmails unter Strafe stellten. Spam wird es auch in Zukunft geben. Und wer meint, dass die Situation schon heute unerträgliche Ausmaße angenommen hat, wird sich darauf gefasst machen müssen, in spätestens zwei Monaten seine Meinung zu revidieren. Nach Angaben des Anti-Spam-Dienstleisters Brightmail waren 63 Prozent aller Internet-Mails, die im März verschickt wurden, bereits Spam. Er hat allein in dem Monat 2,93 Milliarden Spam-Nachrichten aus dem Datenstrom gefischt. Postini, ein anderer Anti-Spam-Provider, hat im April an einem einzigen Tag mehr als 80 Millionen Nachrichten aus insgesamt 109 Millionen herausgefiltert, aus dem gleichen Grund: Spam. Man darf die Zahlen relativieren, weil beide Anbieter ein Interesse daran haben, die Gefahr dramatischer darzustellen, als sie vielleicht ist. Die in der Praxis gewonnenen Werte des Mail-Servers der Network Computing haben allerdings ein ähnliches Niveau erreicht. Auch hier waren im April rund 80 Prozent aller eingehenden Nachrichten Spam. Da die Redaktions-Adressen extern bekannt sind, ist der hohe Anteil erklärbar. Allerdings überrascht schon, dass er so nahe an den Zahlen der Anti-Spam-Provider liegt. Das lässt düstere Prognosen zu. Man muss also was tun.

Auswahlkriterien

Bislang hat die Technik noch kein Konzept gefunden, das Spam vollkommen im Griff hat. Aber es gibt Anlass zu Optimismus. Die Hersteller entwickeln weitere Algorithmen und kombinieren sie miteinander, damit ihre Analyseergebnisse besser werden. Der Administrator hat nun aber die Qual der Wahl unter all den Angeboten. Wie geht man vor?

Bei Anti-Spam spielen die Faktoren Erkennungsgenauigkeit sowie die dafür notwendigen Investitions- und Lizenzkosten die entscheidende Rolle. Allein sie reduzieren die Vielzahl der Angebote auf eine überschaubare Größe.

Aus technischer Sicht ist die Erkennungsgenauigkeit fundamental. Produkte, die den meisten Spam blocken, ohne dabei legale Mails zu verwerfen, sind das Maß der Dinge. Alle Hersteller geben diese Kunst in eigenen Werten an. Inwieweit man diesen Glauben schenkt, bleibt jedem selbst überlassen. Wichtig ist, dass die Hersteller die gleiche Rechenweise verwenden wie man selbst, um den Wert zu ermitteln. Dabei lassen sich alle Fehler, die ein solches Produkt bei der Klassifizierung der E-Mails begehen kann, in einer simplen Formel ausdrücken: Spam als legale Mail (False-Negative) und legale Mail als Spam eingestuft (False-Positive), dividiert durch die Gesamtzahl aller Nachrichten.

Diese Formel spiegelt allerdings nicht wider, dass False-Positives weitaus größeren Ärger verursachen als False-Negatives. Eine False-Positive bedeutet, dass eine Person von einer legalen Mail überhaupt nichts erfährt, weil sie entweder in einem Spam-Ordner verschwindet oder, noch schlimmer, ungesehen vom Produkt gelöscht wird. Aus diesem Grund ist es sinnvoll, die Formel für die Erkennungsgenauigkeit zu gewichten. Dies liegt im Ermessen jedes Einzelnen. Die Real-World Labs haben in ihren eigenen Analysen False-Positives auf Grund ihrer Folgen für das Geschäft fünf Mal so stark gewertet wie False-Negatives. Unabhängig davon, welche Werte man nun zu Grunde legt, wichtig ist, diese Definitionen nicht aufzuweichen oder Sonderfälle zu definieren. Dies schwächt die Aussagekraft der Formel.

Der Preis für die Anti-Spam-Lösung ist wie bei jeder Investition für Sicherheitslösungen schwer zu argumentieren. Man gibt Geld aus für eine Technologie, die ein Problem lösen soll, das man selbst nicht verschuldet hat. Zudem wird keiner der Euros zusätzlichen Umsatz generieren. Da es aber keine Alternative gibt, will man die Eingangsboxen seiner Anwender halbwegs sauber halten, sollte man die Investitionen mit Kosteneinsparungen begründen.

Falls die IT-Abteilung genügend Zeit und das technische Wissen besitzt, keinen formalen Support braucht, dann lohnt ein Blick auf Anti-Spam-Konzepte aus der Open-Source-Gemeinde. Hier sind vor allem »SpamAssassin« (www.spamassassin.org) und «SpamBayes« (http://spambayes.sourceforge.net) zu nennen.

Ist die Anzahl der Kandidaten überschaubar, so ist der nächste Schritt ein Feldtest im eigenen Netz, in dem die Produkte zeigen müssen, was sie können. Jede Minute, die in diese Pilotprojekte fließt, wird sich am Ende auszahlen. Vorausgesetzt, man weiß genau, welche Funktionen im eigenen Netz von Bedeutung sind und welche Anforderungen zu erfüllen sind. Folgende Fragen helfen dabei, diese Kriterien zu umreißen:

• Ist die E-Mail kritisch für das Geschäftsmodell? Könnte daher eine verlorene E-Mail, die fälschlicherweise als Spam klassifiziert wurde, großen finanziellen Schaden verursachen? Ist das der Fall, so sollte das anvisierte Produkt jede E-Mail mit äußerster Vorsicht und Genauigkeit untersuchen. Zudem müssen die Anwender die Spam-Folder oder die Quarantäne schnell und einfach nach potenziell falsch klassifizierten Nachrichten durchsehen können.

• Soll das Produkt aggressive Anti-Spam-Grenzwerte für bestimmte Anwender setzen, während es andere eher leger behandelt? In dem Fall muss das Produkt multiple Profile unterstützen, damit sich das Management der Anwender und ihrer individuellen Regeln skalierbar gestalten lässt.

• Sollen Anwender ihre eigenen Grenzwerte setzen, Whitelisten pflegen und Blacklisten für Sender definieren? Sollen sie außerdem eigene Regeln ausformulieren und festlegen, wie das Produkt als Spam klassifizierte Nachrichten behandelt? Oder soll das Produkt komplett zentral administriert sein und einer für alle gültigen Policy gehorchen?

• Ist das eigene Unternehmen in Branchen wie der pharmazeutischen Industrie tätig, in der Diskussionen über Medikamente und Preise für das Alltagsgeschäft essenziell sind? In dem Fall sollte das Produkt diese Themen entsprechend genau kennen und ein Finetuning erlauben.

• Soll das anvisierte Produkt eintreffende Mails gleichzeitig auf Virenbefall prüfen?

Angebotslage

Derzeit werden Anti-Spam-Produkte in drei Varianten angeboten: als Software, die auf eigene Hardware installiert wird, als Appliance, auf der alle Funktionen vorinstalliert und -konfiguriert sind, und als Hosted-Service, bei dem weder Investitionen in Hard- noch in Software, dafür aber monatliche Gebühren pro User anfallen. Wie bei jeder Diskussion um interne versus outgesource Lösungen spielen Sicherheitsbedenken eine große Rolle. Wer kritische Informationen per Mail austauscht, möchte ungern einen externen Partner an Bord holen, der in die Nachrichten hinein schaut.

Interessanterweise fordern viele Anwender eine Anti-Spam-Strategie rein auf Desktop-Ebene. In dem Fall würden sich die Filter direkt in den Mail-Client, sei es Outlook oder Lotus-Notes, einklinken. Einige Gründe sprechen allerdings gegen einen solchen Ansatz. Sind die Anti-Spam-Filter nur an den Endpunkten und nicht in der Nähe des WAN-Eingangspunktes aktiv, wird der E-Mail-Server jede eintreffende Nachricht als legal klassifizieren. Spam wird also die Arbeitslast extrem erhöhen und so die Ressourcen des Servers verschwenden. Zusätzlich erzeugt der Desktop-Ansatz im Vergleich mit zentralen Konzepten einen weitaus größeren Aufwand bei der Implementierung und dem späteren Management. Mit einer Ausnahme: Kleine Unternehmen, die ihren E-Mail-Dienst ausgelagert haben, sind mit Desktop-Anti-Spam gut beraten.

Kostenkalkulation

Wie bei jeder Investition möchte man gerne erfahren, ob sie sich irgendwann rechnet. Eine Beispielanalyse des Return-on-Investment (ROI) soll einige Schlüsselwerte aufzeigen. Im Jahr 2003 hat nach Angaben der Radicati Group ein Unternehmen mit rund 10000 Mitarbeitern sein Mail-Aufkommen souverän mit 21 Exchange-Servern bewältigt. Darin sind sowohl legale wie illegale Nachrichten berücksichtigt. Zu der Zeit waren rund 24 Prozent der Mails bereits Spam. Rein rechnerisch bearbeiten also allein fünf der 21 Server den ganzen Tag nur E-Mail-Müll. Verschenkte Ressourcen, zumal die Spam-Menge bis heute stetig gewachsen ist. Zusätzliche Server bedeuten zusätzliche Kosten für Hardware, Betriebssystem, Anwendungen, Pflege, Administration, Upgrades, Platz im Serverraum, Werkzeuge, Personal, Infrastruktur, Backup und so weiter. Darin ist nicht aufgeführt, dass das Netz komplexer wird, je mehr Komponenten darin aufgesetzt sind.

Eine unangenehme Aufzählung, die sich allerdings nicht vermeiden lässt, wenn das Unternehmen Spam-Mails ohne Prüfung in das Netzwerk lässt. Falls man keine Gegenmaßnahmen ergreift, wird der Mail-Müll die Infrastruktur und die Anwender überfordern. Daher ist eine Anti-Spam-Strategie heute ein Muss, ähnlich zu anderen Sicherheitsdisziplinen. Denn ohne geht es heute nicht mehr. [ nwc, pm ]