Archiv

Posts Tagged ‘spam’

Serie Virenschutz: Einleitung, Angriffswege

2010-02-22 4 Kommentare

Virenscanner sind weitgehend unnütz. Dazu wollte ich gerade einen eigenen Artikel schreiben. Nachdem der Entwurf zu lang wurde und zu viele Tipps enthielt, wie man sich wirklich gegen Viren und Malware schützt, habe ich mich entschlossen, eine Serie daraus zu machen.

Sich vor Schadsoftware zu schützen ist gerade für Menschen mit geringen Computerkenntnissen schwer. Viele verzichten daher darauf und riskieren damit nicht nur, dass ihre persönlichen Daten ausgespäht oder zerstört werden – sie gefährden und schädigen auch andere, denn ein verseuchter Rechner wird meist dazu missbraucht, Spam zu versenden, Angriffe auf andere Rechner durchzuführen oder andere illegale Dinge zu tun. (Ja, auch die Verbreitung von Kinderpornographie kann auf diese Art und Weise stattfinden.)

Insbesondere durch die Werbung der Antivirensoftwarehersteller entsteht oft der Eindruck, ein gutes Antivirenprogramm sei der beste Schutz oder würde reichen, um sich zu schützen. Das ist leider Unsinn, wie im folgenden erklärt und begründet wird.

Entgegen der üblichen, veralteten Kategorisierung in Viren, Würmer etc. würde ich die heute gängige Schadsoftware (Malware) nur noch nach dem Infektionsweg in zwei Kategorien einteilen: Exploit-Malware und Datei-Malware. Datei-Malware bekommt man, wenn man ein vermeintliches „Update“ herunterlädt oder eine vermeintliche Rechnung (.pdf.exe) in einer E-Mail öffnet, die aber den Virus enthält. Dagegen schützt ein gesunder Menschenverstand und einige Grundkenntnisse. Exploit-Malware hingegen bekommt man, indem man eine eigentlich nicht ausführbare Datei, z. B. PDF, HTML, JPEG, DOC oder ähnliches, mit fehlerhafter Software öffnet, und die Datei so manipuliert ist, dass sie den Fehler ausnutzt um Malware zu installieren.

Die Tendenz geht derzeit immer mehr zu Exploits. Eine Infektion über Exploits setzt allerdings voraus, dass eine Sicherheitslücke vorhanden ist und der Angreifer versucht, genau diese Lücke auszunutzen. Die ständigen nervigen Updates schließen diese Lücken. Meist erfahren die Hersteller von Lücken, bevor Virenschreiber diese missbrauchen, und geben Updates heraus. Wochen oder Monate nachdem das Update öffentlich wurde, schwappt dann eine Virenwelle durch das Land und infiziert diejenigen, zu zu faul oder zu ahnungslos waren, um die Updates zu installieren. Es gibt auch seltene „Zero-Day-Exploits“, die öffentlich bekannt werden, bevor ein Update verfügbar ist. Dagegen ist Schutz nur sehr schwer möglich. Aber auch diese Exploits werden selten in großem Maße ausgenutzt, bis ein Update verfügbar ist.

Generell sollte man nicht mit vollen Adminrechten arbeiten, damit Malware sich nicht so leicht einnisten kann. Was unter XP noch relativ umständlich sein kann, ist in den neueren Windows-Versionen viel leichter (und vor allem standardmäßig aktiv), was die Verbreitung von Malware bei den neuen Versionen bereits deutlich gesenkt hat.

Spezielle Tipps zum Schutz vor den einzelnen Malwarearten gibt es in den weiteren Teilen. Dabei gehe ich davon aus, dass als Betriebssystem Windows (XP oder neuer) und als Browser Mozilla Firefox verwendet wird, welcher relativ sicher ist und viele Funktionen bietet. Wer noch den Internet Explorer nutzt, sollte dringend wechseln, da mit diesem die Sicherheit nicht gewährleistet werden kann. Hier nicht erwähnte Browser sind nicht unbedingt unsicherer, aber ich kann nur für Firefox Ratschläge für eine gute Konfiguration geben.

Wichtig: Es geht hier um den Schutz für Privatrechner vor allgemeinen, gestreuten Angriffen. Wenn jemand gezielt in einen bestimmten Rechner rein will, kommt er i.d.R. rein. Der Schutz von Firmennetzen ist eine Wissenschaft für sich.

Die Artikel, die diese Woche erscheinen werden:

Ich verweise sicherheitshalber darauf, dass diese Serie urheberrechtlich geschützt ist. Es ist natürlich erlaubt und willkommen, darauf zu verlinken. Es ist ebenso in Ordnung, kurze Teile mit klarer Quellenangabe zu zitieren. Ich habe natürlich auch nichts dagegen, wenn sich jemand Artikel abspeichert, an ein paar Freunde schickt oder für sie ausdruckt. Es ist aber nicht in Ordnung, ganze Artikel ungefragt auf die eigene Website zu übernehmen, den Inhalt ohne Quellenangabe zu verwenden oder gar in irgendwelche Tippsammlungen zu übernehmen oder gedruckte Fassungen davon weiterzuverkaufen.

Werbeanzeigen

Adresshandel – heute: E-Mail-Adressen bei Gewinnspielen

2009-05-01 10 Kommentare

Heute mal ein etwas längerer, etwas länger „gewachsener“ Artikel zum Thema „Adresshandel“ und „Was passiert wenn man (s)eine E-Mail-Adresse bei einem Gewinnspiel eingibt. Wem es zu lang ist, kann sich unten die Zusammenfassung abholen. Zum Schluss werde ich ein Fazit ziehen, was gemacht werden sollte.

Es war einmal, vor fast einem Jahr, dass ich eines der zahlreichen Gewinnspiele fand, die im Internet so herumschweben. Ziel dieser Gewinnspiele ist es, Adressen zu sammeln, die man dann mit Werbung vollmüllen kann. Eines dieser Gewinnspiele wollte sich mit Name und E-Mail-Adresse begnügen, und es war offensichtlich, dass der einzige Zweck es ist, möglichst weit handelbare Datensätze zu bekommen. Es wird von AdROM, einem österreichischen Werbe- und Adresshandelsunternehmen, betrieben. Im Moment steht auf der Seite in kleiner hellgrauer Schrift auf dunkelweißem Grund:

Meine Angaben dürfen von adRom,  HappyDigits und den Sponsoren [Anm.: das ist ein Link auf eine Liste mit 47 Firmen] und deren Partnerunternehmen verarbeitet und genutzt werden (auch von externen Datenverarbeitern wie zB Datenerfassern, Internetdienst-Anbietern, Lotteriegesellschaften sowie Energieberatern). Die personenbezogene Nutzung wird ausschließlich auf die Organisationen und Unternehmen aus den verschiedensten Branchen [Anm.: Link auf eine Liste von 24 Branchen] beschränkt, die meinen erkennbaren Interessen und Wünschen entgegenkommen. […]

Kurzfassung: Wir verkaufen die Daten an alles und jeden weiter und Sie sind damit einverstanden, endlos zugemüllt zu werden.

Ich hab natürlich sofort mitgemacht. Und nein, das meine ich nicht sarkastisch oder ironisch. Google Mail bietet einen hervorragenden Service, wenn man mal schnell eine E-Mail-Adresse braucht, die man für nichts persönliches nutzen will, sondern eher für den Empfang „hochwertiger Produktinformationen“ und nichts anderes. Mal schauen, wie schlimm es wird, dachte ich mir, und vergaß den Account vorerst. Heute habe ich mal quasi zufällig wieder reingeschaut: Über 200 Mails innerhalb des letzten Monats, der Großteil davon von Google freundlicher- und korrekterweise direkt in die Spamtonne verfrachtet. Meinen „erkennbaren Interessen“ entsprach der Müll sicher nicht, insbesondere z. B. an Kontaktlinsen und Autoreifen bin ich eher weniger interessiert. Aber da wurden die Daten vermutlich nicht „personenbezogen genutzt“, schließlich wurde ich nur ganz normal zugemüllt. (Mal abgesehen davon weiß ich natürlich nicht mehr, ob die Klausel vor einem Jahr genauso da stand, das Web Archive hat diesen äußerst hochwertigen und erhaltenswerten Teil der Internetkultur leider nicht für die Nachwelt erhalten.)

Da AdROM eine österreichische Firma ist, das Gewinnspiel aber auf einer .de-Domain läuft, weiß ich nicht, ob deutsches Datenschutzrecht anwendbar ist, ich habe auch keine Ahnung, ob nach dem deutschen oder österreichischen Datenschutzrecht erlaubt ist, mit einer derartigen „Zustimmung“ im Kleingedruckten bei einem Gewinnspiel eine derartige Adresshandels- und Spamorgie zu veranstalten. Ich befürchte leider ja. Was macht man also nun, wenn man jeden Tag sechs frische, unerwünschte Mails auf seiner wertvollen Haupt-E-Mail-Adresse bekommt? Nun, das Bundesdatenschutzgesetz (BDSG)  ist nicht ganz für die Tonne: Man hat ein Widerspruchsrecht. Wenn man widerspricht, darf einem die Firma keine Werbung mehr schicken und muss die personenbezogenen Daten (z. B. Adressen) löschen bzw. sperren. Das würde aber allein wenig bringen, deswegen ist der Datenhändler auch verpflichtet, alle Käufer der Daten darüber zu benachrichtigen, damit diese die Daten ebenfalls löschen oder sperren.

BDSG § 28 Abs. 4:
Widerspricht der Betroffene bei der verantwortlichen Stelle der Nutzung oder Übermittlung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Nutzung oder Übermittlung für diese Zwecke unzulässig. […]

BDSG §35 Abs. 7:
Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben werden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.

Das BDSG ist zwar von unübersichtlich verteilten Ausnahmen geradezu durchsetzt, aber diese Vorschriften scheinen generell auch in der Praxis zu funktionieren. Der für die jeweilige Firma zuständige Landesdatenschutzbeauftragte ist auch gerne bereit, der Firma Nachhilfe zu erteilen, wenn diese der Meinung ist, dass das BDSG für sie nicht gilt. Diese Nachhilfe kann für die Firma unter Umständen auch kostenpflichtig sein.

Um vom Widerspruchsrecht Gebrauch zu machen, gibt es einen netten Formbrief, der allgemein als T5F bekannt ist. Ich habe mir angewöhnt, immer die unfreundliche Variante inkl. Zusatzkeule zu schicken, da ich des Öfteren auf die normale Variante keine Antwort innerhalb der Frist erhielt, auf die Variante mit der Drohung, den Landesdatenschutzbeauftragten zu informieren, kamen fast immer innerhalb weniger Tage sehr freundliche und kooperative Antworten.

In der Regel ist ein T5F recht wirksam. Ich habe am 21.3. daher einen solchen geschickt. Diesen Beitrag hatte ich da schon geschrieben, aber noch nicht veröffentlicht. Für den unwahrscheinlichen Fall, dass jemand googeln sollte, wollte ich keinen Anlass geben, gründlicher als sonst zu arbeiten.

Einige Tage darauf, am 26.3., erhielt ich eine Antwort, welche unter anderem besagte, dass meine Daten gelöscht bzw. gesperrt wurden. Anscheinend wurde jedoch „vergessen“, dies den Unternehmen zu melden, denen die Adresse verkauft worden war. Eine Woche ließ ich mich weiter zumüllen (unter anderem weil ich besseres zu tun hatte) und stellte fest, dass der Spam keineswegs abgenommen hatte. Ich schickte also am 2.4. eine Aufforderung, mir mitzuteilen, an wen die Adresse verkauft wurde, sowie die Sperrung an die Adresskäufer weiterzuleiten. Enthalten war ein Hinweis, dass ich andernfalls den zuständigen Landesdatenschutzbeauftragten darum bitten werde, sich der Sache anzunehmen.

Noch am selben Tag erhielt ich die Antwort, dass sämtliche „Sponsoren“ benachrichtigt worden seien. Die Frage, wem die Adresse verkauft wurde, wurde einfach ignoriert, obwohl ich sie sicherheitshalber in Fettschrift gesetzt hatte. Anhand dessen, was ich in dem Account gefunden habe, gehe ich davon aus, dass es mindestens folgende Anbieter waren:

Reisemagazin.de
Reisen.de
Auto.de
Hotel24.eu
Preisvergleich.de
karstadt.de
discount24.de
myby.com
Geld.de
Lami24.de
preise-vergleichen.de
trip.de
versicherungen.de
urlaubstours.com
auvito.de
hotelreservierung.de
myprinting
„myprinting empfieht PokerRing“
Resoba.de
ab-in-den-urlaub.de
i-magazine.de
wiel.mailnews24.com
(der Kram wurde von Google dirket in die Spamtonne verfrachtet, wo er hingehört)

karstadt.de
discount24.de (viel Müll, sieht nach täglich aus)
Quelle
Tchibo
Neckermann
(der Kram hat es leider in den Posteingang geschafft – interessant, dass manche Absender mal im Spam landen und mal nicht)

Viele dieser Seiten werden vermutlich von wenigen Unternehmen betrieben, aber das ist mir eigentlich weitgehend egal. Was mich recht positiv überrascht hat, war, dass nach dem 9.4. (eine Woche nach meiner zweiten Mail) fast gar kein Müll mehr ankam. Nur Reisen.de hielt es scheinbar für nötig, mich weiter zuzumüllen. Wie sich herausstellte, gehört Reisen.de zu Unister, einer Marketingfirma, die vor allem mit generischen Domains (und unerwünschten Newslettern…) ihr Geschäft betreibt. Zu Unister gehören nach deren Angaben:

unister.de
ab-in-den-urlaub.de
auto.de
auvito.de
geld.de
preisvergleich.de
urlaubstours.de
jux.de
schuelerprofile.de
reisen.de
hotelreservierung.de
versicherungen.de

Auf einen weiteren SPAM (denn genau das ist es spätestens ab dem Zeitpunkt wo die genug Zeit hatten den Widerspruch zu bearbeiten) von Reisen.de am 11.4. schrieb ich am 12. an deren zuständige Abteilung eine Mail. Ich bat auch darum, mir zu sagen, ob Adrom die Benachrichtigung an Reisen.de vergessen hatte oder warum sonst ich noch weiter Müll erhalte. Pünktlich am 20.4., dem letzten Tag der Frist, erhielt ich eine Standardmail, die meine Fragen nicht beantwortete (und mir nur verriet, was ich schon wusste, nämlich dass meine Adresse aus dem besagten Gewinnspiel stammt) – nicht ohne dass ich am 17. nochmal Werbung bekommen hätte. Ich wies dann nochmal am 21. darauf hin, dass meine Fragen nicht beantwortet wurden, ich nun die Schnauze voll habe und dem Landesdatenschutzbeauftragten was zu tun geben werde, sobald ich Zeit und Lust habe und gab ihnen nochmal die Gelegenheit, eine Stellungnahme abzugeben, wenn sie denn wollen. Wollten sie scheinbar nicht.

Ich bin übrigens nicht der Einzige, der das nicht so toll findet.

Zusammenfassung:

  • Einmal beim Gewinnspiel mitmachen führt zu über 200 Mails/Monat
  • T5Fs funktionieren überraschend gut, auch wenn man oft nachhaken muss (nach 2 Mails ist der Großteil weg, nach der dritten kommt gar kein Müll mehr)
  • Fehler passieren bei Adresshandels-Geschichten immer – aber gerade da wären sie eigentlich leicht vermeidbar. Es wird meiner Meinung nach einfach geschlampt, weil es keine saftigen Strafen gibt
  • Die Newsletter werden von Google Mail (und hoffentlich vielen anderen Filtern) dahin einsortiert wo sie hingehören, nämlich in die Spamtonne. (Die Unternehmen, die den Müll verschicken, sollten sich vielleicht Gedanken darüber machen, dass das daran liegt dass die Leute den Müll nicht wollen und nie bestellt haben…)
  • Ausländische Datenhändler in Ländern ohne vernünftiges Datenschutzrecht könnten ein richtig böses Problem darstellen
  • Wenn man seine Adresse nirgendwo einträgt, spart man sich den Stress. Mit meinen echten Adressen habe ich solche Probleme kaum.

Was getan werden sollte:

Wie ich teilweise bereits in meinem letzten Artikel zu dem Thema erläutert habe, sollte die Politik einiges tun, um sowas zu unterbinden. So sehr die Adresshändler das ärgern würde, weil sie von einem Tag auf den anderen was Anständiges machen müssten, könnte ein komplettes Verbot von Adresshandel sinnvoll sein. Denn die Ausmaße, die das inzwischen annimmt, überschreiten jegliche Maßstäbe der Vernunft.

Die Versandhändler, die darüber jammern, dass ihre Geschäftsgrundlage hin wäre, übertreiben. Niemand redet von einem Komplettverbot von Werbung per e-Mail oder Post (wobei, wenn ich so recht überlege, das einen Gedanken wert sein könnte ;-)). Ich will explizit nicht den Versand von Newslettern, Katalogen und Werbung an Kunden oder Interessenten verbieten, die das Zeug angefordert haben. Gelegentliche Werbung an gekaufte Adressen, um Neukunden zu bekommen, wäre auch noch eventuell denkbar. Aber dann bitte nicht mehr als einmal im Quartal. Mehrmals wöchentlich zugeschickte unerwünschter Newsletter von mehreren Firmen nerven höllisch. Also: entweder Adresshandel komplett verbieten, oder zumindest strikte Beschränkungen der Häufigkeit für die Werbung an solche Adressen.

Aber auch Newsletter an Kunden sind eine Pest: Einige Online-(Buch)händler sind wohl der Meinung dass Newsletter ganz toll und wichtig sind und mindestens einmal wöchentlich an alle Kunden raus müssen. Bei jeder Bestellung sind sie dann standardmäßig ausgewählt, wenn man also zehnmal ohne Newsletter bestellt, es aber einmal übersieht, hat man die Pest trotzdem. Ich finde das äußerst unhöflich, auch wenn man darüber streiten könnte, ob das per Gesetz verboten werden muss. Bei einigen Firmen habe ich deswegen jedenfalls meine Kundenkonten schon gelöscht. Lesen kann den Müll in den Massen eh keiner. Eine strikte Opt-In-Regelung, bei der solche Felder aktiv angekreuzt werden müssten (statt vorausgewählt zu sein), wäre sinnvoll. Die sollte natürlich erst recht bei der Weitergabe von Adressdaten gelten. Und zu guter Letzt sollte, wenn Adresshandel erlaubt bleibt, für automatisiert weitergegebene Adressen eine einfache (2-3 Klicks) Möglichkeit existieren, sich bei allen Firmen, die die Adresse aus der gleichen Quelle haben, auszutragen. Für die endgültige Ausführung der Abmeldung würde ich eine Frist von 2-3 Werktagen vorschlagen. Bei Verstößen (aus Schlampigkeit) müssten schmerzhafte, bei absichtlicher Missachtung ruinöse Strafen drohen.