Was macht Spamhaus eigentlich?

Die Grundlagen der Geschäftstätigkeit von Spamhaus

Spamhaus analysiert gewaltige Mengen von Daten und stellt Listen mit Internetressourcen auf, die eine schlechte Reputation haben, weil sie mit bösartiger Aktivität in Verbindung gebracht werden.

Selbst bei diesem einen Satz besteht vermutlich schon Erklärungsbedarf:

• Mit „Internetressourcen“ meine ich IP-Adressen [1], Domains [2], Cryptowallet-Adressen, E-Mail-Adressen und Malware-Dateien.
• Mit „bösartige Aktivität“ meine ich alle Internetkriminalität, wie beispielsweise Ransomware, Malware, Phishing und Spam. Ich sollte noch anmerken, dass Spamhaus „Spam“ als Nachrichten definiert, die „unaufgefordert und in Massen versendet werden“.
• Mit „gewaltige Mengen von Daten“ meine ich, dass wir durchschnittlich in einem Zeitraum von 24 Stunden in etwa folgende Datenmengen verarbeiten:
  • 4 Milliarden SMTP-Verbindungen (die sich auf E-Mails beziehen)
  • 3 Millionen Domains
  • 18.000 Malware-Samples

Diese Listen mit IP-Adressen und Domains werden von IT- und Sicherheitsspezialisten genutzt. Sie ermöglichen Kontrollen und Einblicke, welche die Branche dazu benötigt, ihre Nutzer vor den oben beschriebenen bösartigen Aktivitäten zu schützen. Und wenn ich „Nutzer“ sage, meine ich auch Sie, wenn Sie diesen Text lesen.

Wie werden diese Listen zur IP- und Domain-Reputation zusammengestellt?

Kurz gesagt: in mühevoller Kleinarbeit, dank jahrelanger Erfahrung und zusammen mit der gesamten Internetgemeinschaft.

Beginnen wir mit dem letzten Punkt, der gesamten Internetgemeinschaft. Ohne eine Gemeinschaft, die Daten teilt, wäre das Internet wie der Wilde Westen. So wurde es häufig auch in seinen Anfängen bezeichnet.

ABER MAN KANN DOCH SEINE DATEN NICHT EINFACH TEILEN (höre ich Sie ausrufen). Richtig. Persönlich identifizierbare Informationen (PII) können und sollten nicht geteilt werden. Niemals. Mit der Infrastruktur, die Ihre internetbasierten Aktivitäten unterstützt, hängen jedoch bestimmte Verbindungen zusammen, ob Sie nun E-Mails versenden oder empfangen, im Internet surfen oder sich im Buchhaltungssystem Ihres Unternehmens anmelden.

Diese Verbindungen beinhalten keine persönlich identifizierbaren Informationen. Trotzdem kann ihre Analyse ergeben, ob sie von Angreifern für Betrug missbraucht werden oder – im harmloseren Fall – Ihr örtlicher Supermarkt damit seine Kunden mit Spam, also Werbe-E-Mails zumüllt.

Daten werden nah und fern geteilt

Spamhaus hat ein gigantisches Netzwerk aus Sensoren, die Verbindungsdaten innerhalb der Netzwerke sammeln. Dazu zählen beispielsweise Behörden auf der ganzen Welt, branchenführende Internet-Serviceprovider bis hin zu spezialisierten Recherche- und Analystenteams. Und nicht zu vergessen interne Spam-Fallen und Honey Pots. Die Daten werden aus all diesen Quellen zusammengetragen.

Jetzt fragen Sie vielleicht: „Warum vertrauen die Leute Spamhaus diese Daten an?“ Die Frage ist durchaus gerechtfertigt. Was mich zum Punkt „Erfahrung“ bringt.

Über 20 Jahre unabhängige Tätigkeit nach hohen ethischen Standards

Erinnern Sie sich daran, dass ich die Anfänge des Internets mit dem Wilden Westen verglichen habe? Nun, Spamhaus wurde immerhin schon im Jahr 1998 von Steve Linford gegründet. Steve gefiel es nicht, wie viel Spam und Missbrauch es im Internet gab, also begann er, die damit verbundenen IP-Adressen aufzulisten. Je mehr Gleichgesinnte sich dem Kampf gegen Missbrauch im Internet anschlossen, umso mehr Schwung kam in die Sache.

The Spamhaus Project stellt schon seit vielen Jahren IP- und Domain-Reputationslisten zusammen. Wer daran mitwirken möchte, sollte sich bei Spamhaus bewerben. Die Recherchespezialisten des Projekts stammen aus der ganzen Welt, und ihre Geschichten sind vielfältig. Doch sie haben eins gemeinsam: Die Leidenschaft, etwas zu bewirken, die richtigen Hebel zu stellen und das Internet sicherer zu machen.

Das klingt vielleicht pompös, doch es ist die reine Wahrheit, das können Sie mir glauben. Sie werden nur mit Mühe Leute finden, die sich stärker dafür engagieren, das Richtige für das Internet zu tun. Grundlage für alles, was wir bei Spamhaus tun, ist ethisches Verhalten.

Man nehme also unsere Erfahrung, Kultur und Unabhängigkeit (wir sind keinen Aktionären zur Rechenschaft verpflichtet), dann versteht man leichter, warum Organisationen aus der ganzen Welt uns diese Daten anvertrauen.

Was machen die Recherchespezialisten mit den Daten?

Unvoreingenommene Listen zusammenstellen

Zunächst sollte ich vielleicht noch darauf hinweisen, dass die Recherche- und Analysefachleute von The Spamhaus Project strikte Richtlinien befolgen müssen. Meinungen und Vorurteile dürfen bei den Listeneinträgen keine Rolle spielen. Die Richtlinien, d. h. die Kriterien für die Dinge, die in die Listen aufgenommen werden, werden sorgsam definiert und im Laufe der Jahre gemeinsam mit der Branche optimiert, um aufzudecken, welche Internetressourcen möglicherweise böse Absichten haben. Und die Richtlinien funktionieren. Vor Kurzem hat einer unserer Mitarbeiter eine E-Mail identifiziert, die nicht echt war, obwohl sie von der Infrastruktur des FBI versendet wurde. Jemand hatte das System des FBI gehackt und munter Spam-Mails an zahllose Kontakte verschickt.

Durch schlechte Entscheidungen kann man auch auf einer Blocklist landen

Natürlich kommen nicht nur diejenigen, welche die Infrastruktur des FBI hacken, auf die Liste. Viele Personen und Organisationen landen dort, weil sie unbedarft handeln. Häufig ist es nicht nur ein Problem, aufgrund dessen Ihre IP-Adresse oder Ihr Domain Name auf der Liste landen, sondern es sind gleich mehrere. Beispielsweise wird Ihre Website vielleicht von einer Infrastruktur gehostet, auf der sich gleichzeitig unzählige Phishing-Websites befinden. Oder Sie versenden direkt in der ersten Woche nach der Registrierung Ihrer Domain E-Mails an zahlreiche Kontakte, ohne irgendeine Authentifizierung vorzunehmen. Technische Aspekte und falsches Verhalten wie diese können dazu führen, dass Sie auf der Domain Blocklist landen.

Welche Techniken nutzen wir für die Verarbeitung der Daten?

Wir setzen viele verschiedene Prozesse ein, um die Daten zu analysieren und die Reputation abzuklopfen, vom maschinellen Lernen über Heuristik bis hin zu manuellen Untersuchungen. Sobald eine Internetressource die Kriterien für die Aufnahme in die Liste erfüllt, wird sie genau dort auch gelistet.

Löschen von IP-Adressen und Domains aus einer Spamhaus-Liste

All diese Listen mit IP-Adressen und Domains sind ja schön und gut. Doch wie kann man eine IP-Adresse, Domain oder ähnliches wieder löschen lassen, wenn man sich auf einer Blocklist wiederfindet?

Dafür gibt es den „Checker“, mit dessen Hilfe Nutzer herausfinden können, ob ihre IP-Adresse oder Domain in einer sogenannten Blocklist geführt wird. Der Nutzer kann zunächst herausfinden, warum er überhaupt auf der Liste steht und was er tun muss, um nicht erneut dort zu landen – und schließlich die Löschung des Eintrags beantragen.

Wenn der Antrag bei unserem Team eingeht, prüfen wir die Echtheit und bemühen uns, alle Fragen des Nutzers zu beantworten, bevor wir den Antrag genehmigen.

Hilfe für die technisch nicht so Versierten

Vor nicht allzu langer Zeit ist Alex, einer unserer Senior Threat Analysts, den Checker Schritt für Schritt mit einem älteren Herrn durchgegangen, um die Probleme zu beheben, die dieser mit seinen E-Mails hatte. Die beiden haben tatsächlich stundenlang zu ergründen versucht, warum er immer wieder auf unserer Liste landete. Dabei stellte sich schließlich heraus, dass das Problem seine Türklingel war, die munter Spam verschickte! Mehr über diese Episode lesen Sie in „Wenn Türklingeln durchdrehen“.

Eine ernste Sache

Natürlich gibt es auch immer wieder echte Angreifer, welche die Löschung ihrer Einträge verlangen. Natürlich ist nicht jeder, der gerne aus einer Blocklist entfernt werden möchte, auch unschuldig – bei Weitem nicht …  Einige unserer Mitarbeitenden wurden sogar mit dem Tode bedroht – und das ist kein Scherz. Wenn man Cyberkriminelle daran hindert, Geld zu ergaunern, nehmen sie dies sehr persönlich.

Und was hat das jetzt mit Ihnen zu tun?

Auch wenn Sie selbst noch nie etwas von Spamhaus gehört haben, schützen unsere IP- und Domain-Reputationsdaten zurzeit mehr als 3 Milliarden Nutzer – auch Sie.

Unsere Daten fließen in zahlreiche renommierte Sicherheitssoftware-Anwendungen ein.

Internet-Serviceprovider und Hosting-Firmen nutzen die Daten, um bösartige Aktivitäten in ihren Netzwerken aufzudecken.

Die Recherche-, Analyse- und Technikfachleute von The Spamhaus Project sind die stillen Helden des Internets. Klingt vielleicht kitschig. Ist aber wahr.

Ein Hinweis für die Fachleute unter Ihnen: Ich weiß, dass ich in meiner Erklärung der Begriffe DNS und E-Mail recht frei war. Mir ist bewusst, dass jeder, der etwas mehr davon versteht, an der einen oder anderen Stelle des Artikels zusammenzucken wird. Bitte verzeihen Sie mir. Ich habe mich bemüht, alles so einfach wie möglich zu erklären, damit auch Laien verstehen können, was Spamhaus eigentlich macht. 🙂

___________________________

[1] IP-Adressen: Alles, was mit dem Internet verbunden ist, hat eine IP-Adresse – das gilt sogar für Türklingeln! Lesen Sie hier die technischen Details nach: https://en.wikipedia.org/wiki/IP_address

[2] Domains: Der Text, der einer IP-Adresse zugeordnet ist. Lesen Sie hier die technischen Details nach: https://en.wikipedia.org/wiki/Domain_name