Wham, Bam, no more Spam?! Lösungsszenarien für das Spam-Problem 13. Januar 2004 Gesellschaft für Informatik -Regionalgruppe Bremen Oldenburg

Trendbarometer: eco‘s ICTF Hotline eco betreibt eine Hotline zur Entgegennahme von Hinweisen auf illegale Inhalte und Aktivitäten im Internet eco ist Gründungsmitglied der INHOPE Association, dem Dachverband von Hotlines (derzeit 18 Mitglieder in 16 Ländern) Aufkommen von Beschwerden über Spam wächst stetig (eco – insbesondere seit Mitte 2002) Derzeit ca. 7000 Beschwerden monatlich Einige Erfolge gegen beworbene Mehrwertdienste-rufnummern, um den wirtschaftlichen Anreiz für Spam zu nehmen 13.01.2004

Das Problem I Die Europäische Kommission geht in ihrer Pressemitteilung vom 15.07.2003 davon aus, dass Unternehmen in der EU im Jahr 2002 ein geschätzter Produktivitätsverlust von 2,5 Mrd. € und weltweit von 10 Mrd. € entstanden ist. In den USA geht man derzeit schon von einer Spam-Rate in Höhe von 45% aller E-Mails bei einem Schaden in Höhe von 14 Mrd. USD aus. 13.01.2004

Verlust von Vertrauen in die elektronische Kommunikation. Das Problem II Verlust von Vertrauen in die elektronische Kommunikation. Risiko des Kundenverlustes und der Rufschädigung aufgrund der ungewollten Zusendung gerade nicht für Kinder und jugendliche geeigneter Materialien (Gartner-Studie 1999). Erhöhte Kosten (Personal / Technik / Bandbreite) Keine Vergütung für die Zustellung. 13.01.2004

Spam in Zahlen: Aufkommen Bundesverband Verbraucherzentrale 500 Millionen Spam-Mails pro Woche – alleine in Deutschland Messagelabs 36 Prozent aller E-Mails sind Spam 58% aus den USA, dicht gefolgt von China – mit 5,6%... Alle Zahlen – auch dieser kurzen Einführung – sind grundsätzlich mit Vorsicht zu genießen, denn kaum eine Institution kann nachvollziehbare Methoden vorweisen. Einig sind sich aber alle, dass Spam sich rasant vermehrt und erhebliche volkswirtschaftliche Schäden verursacht. 13.01.2004

Spam in Zahlen: Aufkommen 2 Spiegel 700 Spam Mails p.a. pro User in Deutschland iX Spam Volumen verdoppelt sich alle 6 Monate Alle Zahlen – auch dieser kurzen Einführung – sind grundsätzlich mit Vorsicht zu genießen, denn kaum eine Institution kann nachvollziehbare Methoden vorweisen. Einig sind sich aber alle, dass Spam sich rasant vermehrt und erhebliche volkswirtschaftliche Schäden verursacht. 13.01.2004

Spam in Zahlen: nach Kategorien im Juni 2003 Weltweit (Brightmail Probe-Network): Finanzdienstleistungen 22% Kontaktmarkt / Porno 12% Produkte allg.& PC 39% Medikamente 3% Religion 2% Nigeria 4% Freizeit / Urlaub 5% Andere 13% 13.01.2004

Spam in Zahlen: FTC Studie FTC-Studie (April 03) zum Spam-Aufkommen 90% aller Spams sind „fragwürdigen Inhalts“ 33% aller Spams werden von gefälschten Adressen versandt 63% der Spammer ignorieren opt-out-Versuche Frische Daten von der Federal Trade Commission, die zum Kampf gegen Spam aufgerufen hat. Die Umfrage wurde letzten Monat veröffentlicht. 13.01.2004

Spam in Zahlen: Sichtweise der Nutzer Spiegel-Netzumfrage (3300 Antworten) 75% befürworten Strafverfolgung für Spam 20% wollen rein technische Lösungen Aladdin Knowledge Systems 74% aller IT-Manager betrachten das Spam-Problem für ihr Unternehmen als schlimm Die überwältigende Mehrheit der Nutzer hat offensichtlich die Nase voll von Angeboten zur Penisverlängerung, fiktiven nigerianischen Ölmillionen und Wucherkrediten. IT-Manager: Davon übrigens 46% nur „moderat“ – ob das heißt, dass sie sich nicht trauen, das wahre Ausmaß des Problems darzustellen, oder selbst bereits aktives Spam-Filtering betreiben, wurde bei der Umfrage nicht erfaßt. 13.01.2004

Aber das ist doch verboten??? E-Commerce-Richtlinie (2000/31/EG) der Europäischen Kommission sah Opt-Out vor eco und EuroISPA setzten sich damals für Opt-In ein Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) zwar nunmehr Opt-In vor, „Rettung“ kommt spät Deutschland: Neuer Gesetzentwurf gegen unlauteren Wettbewerb aufgrund der EU-Richtlinie 2002/58/EG 13.01.2004

Aktuelle Rechtslage in Deutschland Die Rechtslage nach der Rechtsprechung – es gilt „OPT-IN“: Die Zusendung von Werbe-Mails ohne vorherigen geschäftlichen Kontakt zwischen den Parteien bzw. ohne ausdrückliche vorherige Zustimmung des Empfängers ist nicht zulässig. Es spielt keine Rolle, ob die Zusendungen an Privatpersonen oder Gewerbetreibende gingen oder für welchen kommerziellen Zweck in den Mails geworben wird. 13.01.2004

Aktuelle Rechtslage in Deutschland Die Rechtslage nach der Rechtsprechung – es gilt „OPT-IN“: Die Beweislast dafür, ob sich ein E-Mail-Empfänger in eine bestimmte Newsletterliste eingetragen hat, trägt der Betreiber des Newsletterdienstes bzw. der Absender der Werbe-Mail. Nach Ansicht des LG München I soll sogar derjenige als Mitstörer haften, der dem Spammer bestimmte Versendefunktionen (E-Cards, Newsletter) zur Verfügung stellt. 13.01.2004

Definitionen / Arten Opt-In Confirmed Opt-In Double Opt-In 13.01.2004

Verbreitetes Missverständnis: Bestätigungsmail des Versenders sei Spam In den betreffenden Urteilen ging es sachverhaltsmäßig nicht lediglich darum, dass eine Bestätigungsmail von dem Newsletterversender versendet wurde.   13.01.2004

Verbreitetes Missverständnis: Es ging darum, dass der Adressat per email aufgefordert wurde, "auf einen Aktivierungslink zu klicken, _falls_ er einen Newsletter von xy erhalten möchte, bzw die Mail zu löschen, falls er diesen Newsletter nicht will". Genau das aber sieht schwer nach Erstkontakt ohne vorherige Einwilligung aus... dass die Mail mit der Nachfrage nach der Bestätigung ihrerseits selbst als Werbung zu qualifizieren war. 13.01.2004

Verbreitetes Missverständnis: Fazit: reine kurz und sachliche Nachfragen nach der Bestätigung sind bisher _nicht_ als Spam qualifiziert worden. Dennoch: Nach wie empfiehlt es sich für die Versender, geeignete Nachweisverfahren vorrätig zu halten. Empfehlung: Double – Opt-In !!! 13.01.2004

Aktuelle Rechtslage in Deutschland Ausnahme: Werbe-Mails sind in den Fällen erlaubt, in denen zwischen den Parteien bereits ein geschäftlicher Kontakt besteht oder diese sich mit der Zusendung einverstanden erklären. (Bsp: etwa einen E-Mail-Account bei „gmx.de“; regelmäßige Bestellungen bei „Tchibo“ etc.) 13.01.2004

Die Rechtslage in Deutschland: Anspruchsgrundlagen: §§ 823 Abs. 1, 1004 BGB (Eingriff in die Privatsphäre des Empfängers / Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb) §§ 1, 3 UWG („Vorsprung durch Rechtsbruch“) Unterlassung möglich – Schadensersatz schwierig, da Darlegungs- und Beweislast beim Empfänger (AG Frankfurt – Schadensersatz bei unaufgeforderter Faxwerbung (+) wegen des Aufwandes zur Ermittlung des Versenders, für E-Mail kein zusprechendes Urteil bekannt) Abmahnungen und Klagen nur in DE sinnvoll 13.01.2004

Zukünftige Rechtslage: EU – Richtlinie / UWG Die Rechtslage nach der UWG-Reform - „OPT-IN bleibt grundsätzlich erhalten“ Grundlage: Art. 13 der EU-Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) 13.01.2004

Rechtslage: EU - Richtlinie EU-Richtlinie gibt eindeutige Regelungen für Spam vor und verlangt „Opt-In“-Regelung Unverlangtes Direktmarketing (Mail, Fax, Telefon) ist als „unzumutbare Belästigung“ wettbewerbswidrig Umsetzung in Deutschland wird im Rahmen der Novellierung des Wettbewerbsrechtes (UWG) erfolgen 13.01.2004

Rechtslage: UWG - Novellierung Der Grundsatz: Opt-In wird beibehalten § 7 Abs. 2 Nr. 2 UWG (RegE): eine "unzumutbare Belästigung" ist anzunehmen bei "einer Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post, ohne dass eine Einwilligung der Adressaten vorliegt" 13.01.2004

Rechtslage: UWG - Novellierung Der neue Tatbestand Verschleierungsverbot der Absenderadresse - das Transparenzgebot - § 7 Abs. 2 Nr. 4 (RegE) „Werbung mit elektronischen Nachrichten, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann“ ist unlauter. Somit schafft der Gesetzgeber einen neuen Tatbestand zur Begründing der Wettbewerbswidrigkeit bei SPAM. / (Eigene Anm: Diese Regelung wird selbstverständlich nur den nach dem UWG klagebefugten Parteien zugute kommen können. Verbraucher können sich dagegen auf Verletzung des Transparenzgebotes nicht berufen. Ungeachtet dessen, dürfte fraglich sein, wie man einen Absender mit verschleierter Identität z.B. mit ladungsfähiger Anschrift ausfindig machen kann?!) 13.01.2004

Rechtslage: UWG - Novellierung Die Ausnahme: Qualifiziertes Opt-In-Prinzip - § 7 Abs. 3 als Ausnahmeregelung zu § 7 Abs. 2 UWG (RegE): „ Hat ein Unternehmer die elektronische Adresse eines Kunden im Zusammenhang mit dem Verkauf einer Ware oder einer Dienstleistung erhalten, kann er diese Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen nutzen, es sei denn, der Kunde hat diese Nutzung untersagt.“ Absatz 3 regelt die Zulässigkeit von Werbung mittels elektronsicher Post ohne ausdrückliche Einwilligung des Empfängers. Danach kann der Unternehmer eine im Zusammenhang mit dem Verkauf eines Produktes oder einer Dienstleistung erhaltene E-Mail-Adresse zukünftig zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden. Der Unternehmer darf die E-Mail-Adresse von vornherein nur dann nicht versenden, wenn der Kunde von Beginn dies untersagt hat. Zudem kann der Kunde jederzeit dem weiteren Empfang von Mails untersagen. Der Unternehmer muss ihm zu einer solchen Untersagung "jederzeit" die Möglichkeit geben.   Eigene Anm.: Damit regelt der Gesetzgeber die bisher problematischen Fälle der „vermuteten Einwilligung“. Insofern wird für klare Verhältnisse gesorgt: Innerhalb einer Kundenbeziehung darf der Unternehmer nunmehr grundsätzlich davon ausgehen, dass der Kunde mit dem Empfang von weiteren Mails einverstanden ist: ein qualifiziertes "Opt-In"-Modell wird statuiert. Unklar ist, was unter "im Zusammenhang mit dem Verkauf einer Ware oder einer Dienstleistung" exakt gemeint ist. Ob hierunter nur die Geschäfte fallen, bei denen eine Ware oder eine Dienstleistung auch tatsächlich verkauft wird, oder ob auch schon bloße Verhandlungen und vorhergehende Informationsgespräche erfaßt sind. Streitträchtig dürfte auch der Begriff "ähnliche Waren oder Dienstleistungen" sein. 13.01.2004

Maßnahmen der Internetwirtschaft (1) 1. Deutscher Anti-Spam-Kongress im Mai 2003 auf Schloss Kransberg in Usingen 150 Teilnehmer Riesige Medienresonanz Einigung der ISPs unternehmensübergreifend zusammen zu arbeiten 13.01.2004

Maßnahmen der Internetwirtschaft (2) Bildung der Anti-Spam-Task-Force Kick-off Meeting im August 2003 in Karlsruhe Alle Major Player sind dabei Gründung von 4 AGs ( 2 x Technik, Recht und Messverfahren) 13.01.2004

Mission Statement: Die Internetwirtschaft ist geschlossen angetreten, um das Vertrauen in den Dienst E-Mail zurück zu gewinnen durch bestmögliche Reduzierung der Belästigung durch Spam bestmögliche Förderung des seriösen Permission Marketings Es geht nicht um die Entwicklung eines Produkts, sondern um Empfehlungen für den Umgang mit Spam 13.01.2004

Workpackages der ASTF: Verbesserung der technischen Lösungsansätze, der Koordination untereinander, Hinwirken auf Rechtsharmonisierung 13.01.2004

Spam kann nicht effizient mit rechtlichen Mitteln bekämpft werden Ausgangspunkt: Spam kann nicht effizient mit rechtlichen Mitteln bekämpft werden Versender bleiben unerkannt Spam ist oft nicht justiziabel technische Ansätze sind gefragt unternehmensübergreifende Ansätze sind gefragt branchenübergreifende Ansätze sind gefragt internationale Ansätze sind gefragt 13.01.2004

Mögliche Ko-operationspartner: Potentielle Partner einer internationalen Allianz EuroISPA, nationale ISPAs WorldISPA Global Player Weltweite Anti-Spam-Initiativen Verbände mit anderen Zielgruppen Politik Viele Kontakte werden bereits intensiv gepflegt! 13.01.2004

Mögliche Kooperationspartner: Bisher kontaktiert: Microsoft Europe, Microsoft US of the US Anti-Spam initiative, AOLs Anti-Spam Unit in the US, Wanadoo (France), Internet Industry Association Australia, EuroISPA,ISPA UK, AFA-France, EuroCAUCE Outstanding:US Internet Industry Association, Canadian Association of Internet Providers (CAIP), Internet Society of China (ISC) 13.01.2004

Die (Zwischen)ergebnisse werden zusammengeführt und diskutiert Grobplanung Arbeitsgruppen arbeiten parallel (Abstimmung auch mit Direktversendern) Die (Zwischen)ergebnisse werden zusammengeführt und diskutiert Es wird ein zweites ASTF-Treffen geben Es wird ein Pilotprojekt geben, in dem die Empfehlungen getestet werden 13.01.2004

Vorschläge wurden gesammelt Maßnahmen: Vorschläge wurden gesammelt Arbeitsergebnisse sind vertraulich, daher nur allgemeine Darstellung Es folgt eine Übersicht über einige Diskussionspunkte Zuvor jedoch ein Überblick über die derzeit existenten Ansätze zur Spam-Bekämpfung 13.01.2004

Überblick Maßnahmen - Problemzonen: Noch immer offene „E-Mail-Relays“ Verstärkt offene Proxies Immer mehr WWW-Skripte (z.B. E-Mail-Formulare) Fehlendes Know How bei Mailserver-Verantwortlichen Immer flexiblere SPAM Techniken 13.01.2004

Ansatzmöglichkeiten: Absender bekämpfen Verfolgung zumeist schwierig / unmöglich Wirtschaftlichen Anreiz nehmen Mehrwertdiensterufnummern bekämpfen Bei Bewerbung rechtswidriger Websites – Hinweis an Host Filtern am Server Problem – Nachrichten gelangen nicht mehr an den Nutzer – Haftungsfalle? Filtern am Client Traffic für den ISP bleibt trotzdem 13.01.2004

Überblick Maßnahmen – DNS-basierte Listen: Prinzip: DNS Blocklisten filtern einzelne Mailserver respektive komplette Netzwerke. Vorteile: Administrativer Aufwand beim „Listen“-Betreiber Sehr schnelle und unproblematischen Implementierung Nachteile: Vielzahl unterschiedlicher Listen Blocklisten können auch „Unschuldige“ betreffen (false positives) Ca 3/10 des SPAM-Aufkommens werden gefiltert 13.01.2004

Maßnahmen – Überprüfen der Absender: Prinzip: Ein Mailserver fragt während des E-Mail- Empfangs beim sendenden Server an, ob der Absender existiert. Vorteile: Leichte Implementierung im Bedarfsfall (laufende Spam-Attacke) Unproblematische Administration Nachteile: Nicht alle Mailserver geben Auskunft ob ein Mailaccount (Absender) existiert Spammer verwenden immer öfter eigene Mail Transfer Agents (MTA) Ungefähr 1/10 des SPAM-Aufkommens können gefiltert werden 13.01.2004

Maßnahmen – Statistische Filter: Prinzip: SPAM-Mail‘s werden durch deren Inhalt identifiziert Klassifizierung nach klar definierten Regeln (z.B. „buy now“ können auf SPAM deuten), Filter „lernt“ Vorteile: Sehr effektive Filtermethode Nachteile: Ständiger Aufwand in der Administration Entwicklung eigener Filterregeln relativ schwierig (abhängig von eingesetzter Software) Spammer können Nachrichten vor dem Versenden gegen bekannte Regeln prüfen und Schutz umgehen 13.01.2004

Allow / Deny-Listen von Absenderadressen: Maßnahmen – sonstige: Header-Filter: Schlagwortsuche – wenig effektiv Allow / Deny-Listen von Absenderadressen: Allow: Nicht empfehlenswert, weil man alle Absender kennen muss Deny: Wenig effektiv, weil Spammer ständig die verwendeten Adressen ändern 13.01.2004

Was wird nun diskutiert? Einigkeit besteht, dass eine Methode für sich nicht wirksam ist Es kommt auf die Kombination verschiedener Ansätze an Neben technische müssen organisatorische Maßnahmen treten Aufklärung des Verbrauchers ist ebenfalls wichtig Beispiele auf den folgenden Folien 13.01.2004

Open Relays / Trusted Networks Technische Ansätze Authentifizierung Webmail /Freemail Anbieter? (anonym und automatisch generierte Accounts?) HTTP Anwendungen (Formmail) Open Relays / Trusted Networks Bilden von Trusted Networks (Allow all?) Open Relays / Proxies (Deny all?) 13.01.2004

Technische Grundlagen – Allow & Deny Deny Listen Unternehmensübergreifende Deny Lists? Qualität verfügbarer Deny Lists? Möglicherweise Zusammenarbeit mit Betreibern Betreibern von Deny Lists? Allow Listen Zentral geführte Allow List für gewünschtes Online-Marketing Liste der „Trusted Networks“ als Allow List? 13.01.2004

Technische Grundlagen - Filter Sessionbasierte Filter Mechanismen Header Analysen? Regelbasierte Inhaltsanalysen Integration von Usern? Individuelle Filter für User Vereinfachung der Pflege? 13.01.2004

Technische Grundlagen - Mailserver Abwehr von laufenden SPAM Attacken Session Limits? Transport Limit per Absender IP/Account? Schutz der eigenen Infrastruktur Problemanalyse der derzeitigen Infrastruktur Aufbau eines Pflichtenheftes? 13.01.2004

Aufgaben der Gruppe „Recht“: Vorschläge der Technik-Gruppe auf ihre Rechtmäßigkeit prüfen Ggf. Forderungen an den Gesetzgeber formulieren Klauselvorschläge für AGB und SLAs erarbeiten MoUs und Verträge zwischen Unternehmen und Verbänden aufsetzen Rechtliche Rahmenbedingungen und Papiere für ein Trusted Network? 13.01.2004

Gruppe: Mess-Methoden: Warum „Messen“? Funktionsnachweis der getroffenen Maßnahmen Eigene Erfolgskontrolle Aussagekräftige Zahlen für Politik und Öffentlichkeit - Spambarometer Was „Messen“? Auswertung der Herkunft aller „SPAM“ Menge der eingegangenen „SPAM“ per ISP Menge der erkannten „SPAM“ per ISP Menge der genehmigten Online-Werbung? 13.01.2004

Whitepaper als Resultat? Maßnahmen: Whitepaper als Resultat? Technische Empfehlungen Rahmenbedingungen für die Zusammenarbeit der Unternehmen Richtlinien für Permission Marketing (Basis: eco‘s Richtlinie für erwünschtes Online-Marketing) Kodex incl. Sanktionsmöglichkeiten? „Trusted Network“ 13.01.2004

E-Mail: oliver.sueme@eco.de RA Oliver Süme Arenzhofstr. 10 50769 Köln Tel.: 0221 / 70 00 48 – 0 Fax: 0221 / 70 00 48 – 11 E-Mail: oliver.sueme@eco.de Web: http://www.eco.de