Verschont Cablecom Spammer?

Wie empfindlich das Riesengebilde namens Internet ist, zeigen die tagtäglich millionenfach verschickten Spam- und Wurmmails. Ein einziger kleiner Störenfried kann tausenden anderen Benutzern die Freude am Internet vergällen.

Seriöse Internet Service Provider (ISP) haben längst erkannt, dass nur ein möglichst spam- und virenfreies Netz auch ein stabiles, schnelles und vertrauenswürdiges Netz sein kann. Die zweite Erkenntnis ist die, dass "das Internet" nicht an den Grenzen des eigenen IP-Nummernbereiches aufhört. Will heissen: Wer mit Partnern in anderen Netzbereichen kommunizieren will, hat sich an gewisse Regeln zu halten. Die Gebote "Du sollst keine Viren verbreiten" und "Du sollst keinen Spam verschicken" sind nur die wichtigsten zwei.

Deshalb verfügen praktisch alle Internetprovider über einen so genannten Abuse-Desk. Dieser ist eine Anlaufstelle, die sich um Netzmissbrauch aller Art kümmert. Der Abuse-Desk ist dann zuständig, wenn ein eigener Kunde anderen Benutzern durch missbräuchliche oder gar gefährliche Nutzung des Netzes auf den Wecker geht, also etwa mit Hackversuchen oder - was häufiger vorkommt - durch Versand von Spam oder Würmern. Wie meine bisherigen Erfahrungen zeigten, funktionieren die meisten Abuse-Desks in der Schweiz ganz gut: Was an einen verantwortungsvollen Abuse-Desk gemeldet wird, kann man für gewöhnlich binnen 24 oder 48 Stunden als erledigt betrachten.

Nicht so bei der Cablecom. Der PCtipp erhielt von ein und derselben Cablecom-Hispeed-IP-Adresse über zwei Wochen lang Spam der rassistischen Art; in Form von mehr als 200 Exemplaren jenes Spams, der durch PCs verschickt wird, die sich mit dem Sober.H-Trojaner [1] infiziert haben. Rund dreissig Beschwerden (natürlich inklusive komplette Mail-Kopfzeilen) an abuse@cablecom.ch fruchteten jedoch überhaupt nichts. Nach elf Tagen unablässigem Spamregen regte sich allmählich Unmut - und nicht nur mein eigener: In Antispam-Newsgroups beklagen sich Benutzer schon länger immer wieder über die unzureichende Leistung des Cablecom Abuse-Desks.

Jetzt wollten wir von Cablecom genauer wissen, wie deren Strategie in Sachen Netzmissbrauch aussieht. Stefan Hackh, Mitarbeiter der Cablecom-Pressestelle gab Auskunft: "Das Abuse-Team ist dem Bereich Customer Care angegliedert und ist mit fünf Vollzeitstellen besetzt." An akutem Personalmangel konnte es also nicht liegen. Trotzdem bohrten wir nach, um zu erfahren, wie der Abuse-Desk in Missbrauchsfällen vorgeht. Cablecom wich der Frage eher aus: "Heutige Trojaner haben eine so genannte Mail Engine implementiert, die sich automatisch auf einem ungeschützten PC einrichtet. Von diesem PC aus versandte Mails verwenden dann nicht mehr unsere Mail-Plattform. Dagegen tun wir, was technisch möglich ist."

Stefan Hackh sprach damit das Problem an, dass viele Wurm- oder Spam-Mails vom PC aus direkt an den Server des Empfängers geschickt werden; also nicht den Weg über den Mailserver des eigenen Providers nehmen. Dieses Phänomen ist jedoch nicht allzu neu und bei jedem anderen Abuse-Desk durchaus ein Grund für sofortiges Einschreiten.

Könnte es also sein, dass Cablecom sich nur dann zuständig fühlt, wenn Spam- oder Wurm-Mails über den Cablecom-eigenen Mailserver gehen? Klingt eigentlich fast so. "Wenn Mails nicht über unsere Mailplattform verschickt werden, haben wir keine Möglichkeit, den Missbrauch zu bemerken oder zu ahnden", bestätigt Hackh, fügt jedoch beschwichtigend hinzu: "Wird Cablecom aber über solche Vorkommnisse informiert und stellt sich heraus, dass ein Kunden-PC verseucht ist und deshalb beispielsweise Spam verschickt, wird er von uns wenn möglich innerhalb 24 bis 48 Stunden nach dem Erkennen informiert."

Also alles in Butter, sollte man meinen. Bleibt immer noch die Diskrepanz zwischen den angestrebten 24 bis 48 Stunden und den über zwei Wochen, in denen wir vergeblich versucht hatten, Cablecom zu einer geeigneten Massnahme zu bewegen. Erst als wir uns dann mit kritischen Fragen an die Cablecom-Pressestelle wandten, wurde unsere 14 Tage alte Beschwerdemail an den Abuse-Desk plötzlich bearbeitet, zwei Tage später hatte der Spuk ein Ende.

Dieser Umstand und der in Missbrauchs-Belangen eher schlechte Ruf von Cablecom erhärten jedenfalls den Verdacht, dass es sich der Kabel- und Internetbetreiber in Sachen Bekämpfung von Netzmissbrauch immer noch zu leicht macht.

Und wie sehen das andere Provider? Handeln deren Abuse-Desks, auch wenn die verschickten Mails nicht über den eigenen Mailserver gehen? Die Antwort von Bluewin-Pressesprecherin Myriam Ziesack bestätigte meine eigenen, bisher guten Erfahrungen mit dem Bluewin-Abuse-Team: "Ja, definitiv! Schliesslich entsteht da viel Traffic, der uns auch Geld kostet und andere Kunden verärgert. Deshalb sehen wir es als unsere Pflicht, den Kunden zu informieren. Wir machen ihn darauf aufmerksam und geben ihm Tipps, wie er den Virus wieder eliminieren kann und wie er solches in Zukunft vermeidet. Wenn nach einer schriftlichen Information keine Besserung eintritt, greifen wir schon mal zum Mittel einer Sperrung. Schliesslich wollen wir das Internet sauber halten."

Ähnlich sieht das Monika Walser, Pressesprecherin von Sunrise: "Wenn wir Hinweise drauf erhalten, dass ein Kunde sich einen solchen Trojaner zugezogen hat, dann wird er selbstverständlich informiert. Bei absichtlichem oder wiederholtem Missbrauch sprechen wir eine Verwarnung aus." Dass dies auch bei Sunrise kein leeres Marketinggewäsch ist, konnten wir selber schon mehrmals nachvollziehen: Spammende Nervensägen werden innert kurzer Zeit abgeklemmt.

Hier sprechen Bluewin und Sunrise übrigens dieselbe Sprache wie die ASTA (Anti-Spam Technical Alliance). Diese ist eine Allianz, die von Yahoo, Microsoft, Earthlink und AOL ins Leben gerufen wurde. In ihrem kürzlich veröffentlichten Dokument [2] propagiert die ASTA das Prinzip des "Guten Nachbars". Eine gute Netz-Nachbarschaft bedeutet hier, dass Provider eine Mitverantwortung dafür übernehmen sollen, was ihr Netz in Richtung andere Netze via Port 25 (E-Mail) verlässt und dass Missbräuche möglichst zeitnah unterbunden werden sollen.

Eine unzureichende Abuse-Desk-Politik kann sich für einen ISP und besonders für dessen Kunden als Bumerang erweisen. Bluewin-Sprecherin Myriam Ziesack weiss um die möglichen Auswirkungen einer unguten Nachbarschaft: "Würden wir nichts unternehmen, könnten andere Internet Provider dazu übergehen, den Mailverkehr von Bluewin zu sperren."

Genau dies könnte früher oder später auch der Cablecom passieren. Ein zu lascher Abuse-Desk lockt schnell gewerbsmässige Spammer an, die hoffen, dass der ISP sie möglichst lange gewähren lässt. Eine Sperre des Cablecom-E-Mail-Verkehrs durch andere ISPs hätte auch für seriöse Hispeed-Kunden unliebsame Folgen. Denn diese würden sich in Sachen E-Mail eines Tages in einer Art Intranet wiederfinden und könnten nur noch mit Benutzern kommunizieren, die ebenfalls via Hispeed im Netz unterwegs sind.

Nichtsdestotrotz informiert aber auch Cablecom [3] auf einer separaten Sicherheits-Seite ausführlich über mögliche Gefahren im Internet, ähnlich wie dies auch Bluewin [4] und Sunrise [5] tun.