Schätzungen gehen davon aus, dass bis zu 90 Prozent des gesamten Mail-Aufkommens aus Spam besteht. "Werbe-Mails und andere unerwünschte E-Mails kosten nicht nur Zeit und Geld, sondern gefährden langfristig das Vertrauen der Menschen und Unternehmen in die elektronische Kommunikation und die gesamte Informationstechnologie", sagte Udo Helmbrecht, Präsident des BSI.
Verschärft wird die Situation noch dadurch, dass ein Großteil der unerwünschten Mails heute nicht mehr von Gelegenheits-Spammern versendet wird. Absender sind vielmehr "Profis, die mit Kriminellen in einer regelrechten Untergrundwirtschaft verbunden sind, in der unter anderem Mail-Adressen, Listen von infizierten Rechnern und Kreditkartennummern gehandelt werden", wie das BSI schreibt.
Für die Sicherheitsfachleute ist das massenhafte Auftauchen von Spam zudem auch eine Folge von schlecht gesicherten Systemen in Unternehmen. Eine Absicherung gegen die ungewollte Mail-Flut ist jedoch nicht nur aus wirtschaftlicher, sondern auch aus juristischer Sicht für Unternehmen dringend erforderlich.
Denn was viele CIOs nicht wissen: Ihr Unternehmen und im Falle des Falles auch der IT-Leiter können für die Verbreitung von Spam in Haftung genommen werden, wenn sie die gesetzlichen Mindestanforderungen an die IT-Sicherheit nicht beachten.
Das BSI rät daher jedem Unternehmen, eine E-Mail-Policy zu entwickeln, die in die allgemeine IT-Sicherheitspolitik eingebunden wird. Sie sollte unter anderem Anweisungen an Mitarbeiter zum Umgang mit der E-Mail-Adresse in der Firma und mit Spam enthalten.
Darüber hinaus sollten in der E-Mail-Policy grundsätzliche Entscheidungen über den Betrieb von Anti-Spam-Lösungen festgehalten werden. Diese wiederum sollten die Grundlage für Betriebsvereinbarungen, Allgemeine Geschäftsbedingungen und Service-Level-Agreements bilden. Bestandteil der Policy, so das BSI, sollten darüber hinaus auch vorbeugende Maßnahmen für Notfallsituationen beim Auftreten von Spam- oder Virenwellen sein.
Die Studie "Anti-Spam-Strategien" des BSI enthält detaillierte technische Empfehlungen zur Abwehr unerwünschter Mails und illustriert diese mit etlichen Fallbeispielen und Kostenberechnungen. Sie beschäftigt sich außerdem mit finanziellen und juristischen Aspekten von Spam-Attacken.