Spam Das Geschäft mit dem E-Müll

Spam-Mails sind lästig, Viren gefährlich - das ist hinlänglich bekannt. Doch was verdienen die Produzenten des Datenmülls? Eine Untersuchung zeigt, dass sogar "Minijob-Spammer" monatlich Tausende Euro verdienen.

Hamburg - Die Deutschen sind Weltmeister im Mülltrennen. Ob Papier, Glas oder Bioabfälle - sie haben für alles einen extra Behälter parat und entledigen sich diszipliniert und umweltbewusst ihres Unrats. Mit bestimmtem Müll haben allerdings sogar die Bundesbürger ihre liebe Müh: Täglich werden sie mit digitalem Datenabfall, auch Spam genannt, förmlich überschwemmt. Der digitale Abfalleimer quillt über, der E-Müll landet im regulären Posteingang und muss von Hand aussortiert werden. Eine nervtötende Angelegenheit, die Unternehmen zudem Millionen kostet.

Und die virtuelle Müllkippe wächst: Der Anteil der Spam-Nachrichten unter den weltweit verschickten E-Mails wird auf rund 80 Prozent geschätzt, Tendenz steigend. Doch während ein Großteil der Internetnutzer unter der Last des Müllbergs stöhnt, ist das Geschäft mit Spam und mit Malware, also Programmen, die auf dem Rechner unerwünschte Funktionen ausführen, für einige wenige äußerst rentabel. Mit dem Abfangen von Adress- und Kontodaten (Phishing) sowie dem Aufspielen von Viren verdienen sie ihren Lebensunterhalt.

Vertraut man einer Untersuchung des Internetsicherheitsanbieters G-Data, verdienen "Minijob-Spammer", die nur 20 Stunden pro Monat arbeiten und dabei 400 Millionen Spam-Mails versenden, problemlos 7000 Euro im Monat. Auch für den Auftraggeber lohnt sich demnach das Geschäft mit dem Datenabfall: Der Versand von 20 Millionen Spam-Mails kostet gerade einmal 350 Euro. In der Produktpalette gibt es auch das Programm für den Eigenversand der Müllmails inklusive fünf Millionen Adressen. Kostenpunkt: 140 Euro.

Auch für sogenannte DDoS-Attacken (Distributed Denial of Service), bei denen Rechner so lange mit Anfragen bombardiert werden, bis sie arbeitsunfähig sind, haben sich fragwürdige Geschäftsleute Schnäppchenangebote einfallen lassen. Die ersten zehn Minuten eines DDoS-Angriffs sind für den Auftraggeber oftmals kostenlos, damit er sich von der Leistungsfähigkeit des Anbieters überzeugen kann. Danach wird der Untersuchung zufolge pro Stunde (20 Dollar) oder Tag (100 Dollar) bezahlt.

Die Recherchen ergaben zudem, dass private User-Daten regelrecht verschleudert werden. Zehn Millionen E-Mail-Adressen sind demnach bereits für 100 Euro zu haben. Im Vergleich dazu kosten Kreditkarteninformationen ein kleines Vermögen: Sie sind durchschnittlich drei Euro wert. "Wie auf jedem anderen Markt bestimmen Angebot und Nachfrage den Preis", erklärt Ralf Benzmüller, Leiter der G-Data Security Labs, die Schnäppchenpreise für die sensiblen Daten.

5000 Euro für SAP-Sicherheitslücke

5000 Euro für SAP-Sicherheitslücke

Unternehmen wie Privatleute rüsten zwar mithilfe von Antivirenprogrammen und Firewalls gegen die Cyberattacken auf. Doch es gibt immer wieder Sicherheitslücken, die von eigens darauf spezialisierten Hackern ausgespäht werden - und mit denen Bares verdient werden kann.

Einen Weg, die Sicherheitslücken gewinnbringend an den Kunden zu bringen, bietet ein Portal mit dem eigentümlichen Namen Wabisabilabi: Dort können Hacker ihre Erkenntnisse meistbietend versteigern - und das nicht nur an die Herstellerfirmen. Jeder Interessent kann sich durch Angabe von Name, Telefonnummer und E-Mail-Adresse sowie einer Kopie des Personalausweises bei dem Portal anmelden und für Sicherheitslücken mitbieten - ob die Identität damit sicher überprüft werden kann, ist fraglich.

Ein Vorsatz des Schweizer Unternehmens lautet Transparenz, beispielsweise veröffentlicht Wabisabilabi die zuletzt versteigerten Programmlücken und deren Preise. Da ist etwa zu lesen, dass sich der User Frankrijk eine Lücke in einem SAP-Programm 5000 Euro hat kosten lassen. Wer Frankrijk ist und was er mit dem Sicherheitsmangel vorhat, bleibt - zumindest für den Endverbraucher - im Dunkeln.

Ziel des Unternehmens ist nach eigenem Bekunden, die Sicherheit im Internet zu erhöhen. Indem jeder vermeintliche Sicherheitsexperte Lücken aufdecken kann und besser für seine Bemühungen entlohnt wird, soll der Anreiz verringert werden, die empfindlichen Informationen an schwarze Schafe zu verkaufen.

Kann Hacking also tatsächlich zum seriösen Geschäftsmodell werden? So einfach ist das nicht. Denn beim Kauf der Sicherheitslücken im Netz ist in Deutschland Vorsicht geboten: Der Paragraf 202c Strafgesetzbuch, der erst im August dieses Jahres in Kraft trat und als Hacker-Paragraf bekannt ist, stellt das vorbereitende Ausspähen und Abfangen von Daten unter Strafe. "Dazu gehören auch das Ausspähen von Sicherheitslücken und deren Erwerb", erklärt Rechtsanwalt und Onlinerechtsexperte Udo Vetter.

Wenn jemand beispielsweise die Sicherheitsmechanismen einer Bank vorsätzlich überwinde, sei das strafbar, so Vetter: "Das ist virtueller Hausfriedensbruch."

Fotostrecke: Die skurrile Welt der Spam-Mails

Verwandte Artikel