Nach einer veröffentlichten Umfrage des Instituts für Internetsicherheit (Link 1) (IFIS) zur Fragen der E-Mail-Kommunikation kommt das Institut zu dem Ergebnis, das jeder Schutzmechanismus für sich genommen Vor- und Nachteile hat und die E-Mail Kommunikation nicht zu einem sicheren Dienst macht. Das Institut hat festgestellt, dass es bei der Belastung mit Spam und Viren große Unterschiede zwischen Behörden einerseits und der Privatwirtschaft andererseits gibt.
In der Untersuchung gaben beteiligten Behörden eine Spamrate von 20,4 Prozent an, GmbHs registrieren 64 Prozent Spam und Aktiengesellschaften sogar 69,9 Prozent. Ein Vergleich der Branchen zeigt, dass die Finanz- und IT-Branche am stärksten mit Spam belastet sind. Sie erhalten nach eigenen Angaben im Schnitt sogar 86,1 Prozent Spam-Mails und das, obwohl insbesondere der Finanzsektor eine Spitzenposition bei E-Mail-Verschlüsselung und dem Einsatz von Signaturen einnimmt.
"Die Unterschiede bei AGs und GmbHs liegen vor allem in der Größe der AGs und der stärkeren Verpflichtung zur Außendarstellung", erklärt IFIS-Chef Norbert Pohlmann (Link 2). "Wir meinen, dass deutlich mehr Spam bereits auf IP-Ebene abgeblockt werden könnte. Derzeit überprüfen nur rund ein Drittel der Befragten die ankommende Mail auf IP-Ebene und filtern dabei auch nur rund 9 Prozent an Spam aus. Einen größeren Filtereffekt haben derzeit näher am Empfänger angesiedelte Inhalts- und Bayes-basierte Filter, bei denen weitere 61 Prozent der ankommenden Spam-Mails gefiltert werden. "Mit einer Rate von 30 Prozent könnte man immerhin leben", so Pohlmann weiter.
"E-Mail-Server im Netz müssen transparenter werden", meint Pohlmann. "Die E-Mail-Server-Authentifizierung ist einfach zu langsam. Zwar ist die Zahl der Unternhemen, die bereits SPF- und ähnliche Einträge für ihre Mails eintragen, mit derzeit 5 Prozent schon beachtlich, allerdings sollte man Mailserverlisten besser den Service-Providern überlassen und nicht den einzelnen Unternehmen. Notfalls kann auch bei der IP-Registry RIPE ein Prozedere erwogen werden, um mittels dessen IP-Adressbezieher die Adressen ihrer Mailserver bekanntzugeben. Inwieweit sich eine solche -Zwangsregistrierung- von Mailserver-Adressen realisieren lässt, ist allerdings fraglich".
Insgesamt wird empfohlen, vorerst doch wieder die Kombination mehrerer Mechanismen einzusetzen. Die vorgenommene Studie wird auch beim Treffen der Anti-Spam-Task-Force (Link 3) am 11.02.05 vorgestellt, wo Norbert Pohlmann Mitglied ist. Das IFIS wird zukünftig regelmäßig Studien durchführen, die dann als Barometer für weitere Spam-Entwicklungen dienen können.
|
