Die Entwicklung von E-Mail-Spam

Es gibt zwei Arten, E-Mail-Spam zu betrachten.

1. Er landet in deinem Posteingang, du klickst auf „Löschen“ – was ist schon dabei?

2. Ein internationales Katz-und-Maus-Spiel, bei dem dein Posteingang und das, was darin landet, an vorderster Front stehen, während Big Tech, Regierungsbehörden und kriminelle Organisationen um deine Sicherheit, deine Aufmerksamkeit und dein Bankkonto kämpfen.

Die zweite Sichtweise mag dramatisch klingen, aber wenn sie dir ein paar Kopfschmerzen und vielleicht sogar etwas Geld erspart, lohnt es sich, sie zu verstehen, oder?

Nun … alles beginnt mit einem Witz über eine Dose Dosenfleisch.

Was ist eine Spam-E-Mail, und warum heißt sie Spam?

Es gibt vieles, was Spam sein kann: Werbung, Betrug, unerwünschte Newsletter, die Liste ist lang. Aber eines ist Spam nicht: erwünscht. Wie ein Mückenschwarm, der beim ersten Hinweis auf den Sommer auftaucht, kommt Spam fast immer in großen Mengen. Er ist unaufgefordert, unerwünscht und ziemlich verdammt lästig.

Aber warum teilt er seinen Namen mit einer Dose Dosenfleisch aus Schweineschulter und Schinken? Dafür können wir uns bei einem berühmten Sketch von Monty Python bedanken, in dem das Wort „spam“ immer und immer wieder wiederholt wurde, fast bis zum Wahnsinn. Dadurch wurde „spam“ zum Symbol für das Unaufhörliche und Unerwünschte. 1993 griff ein findiger Internetnutzer diese Idee auf und bezeichnete eine Flut wiederholter Beiträge als Spam – und voilà, der Name blieb hängen.

Doch trotz seines skurrilen Ursprungs erfasst das Wort selbst nicht, wie schädlich Spam sein kann – oder wie schwer er loszuwerden ist. Wie Mücken tragen Spam-E-Mails oft gefährliche Inhalte in sich, die auf deinen Geräten verheerenden Schaden anrichten können. Ganz zu schweigen vom Risiko für deine persönlichen Daten und der Migräne, die ein von dubioser Werbung überfluteter Posteingang verursachen kann. Aber die Geschichte zu verstehen hilft. Wenn du nachvollziehen kannst, wie Spam seinen Weg in deinen Posteingang findet, wirst du ihn besser draußen halten können.

Wann wurde die erste Spam-E-Mail verschickt?

Woher kommt Spam also? Du wirst vielleicht überrascht sein zu erfahren, dass die erste Spam-E-Mail verschickt wurde, bevor das Internet überhaupt existierte. Sie kam nicht von einer dubiosen kriminellen Gruppe, sondern von einem einzelnen Vermarkter, der eine neue Computerreihe verkaufen wollte, und ob du es glaubst oder nicht: Sie brachte Millionen ein.

1978 verschickte Marketingmanager Gary Thuerk über ARPANET, das militärische Netzwerk vor dem Internet, eine E-Mail an rund 400 Personen. Seine Nachricht war ein Werbetext für eine Präsentation der neuen DECSYSTEM-20-Computer. Die E-Mail brachte etwa 13 Millionen US-Dollar Umsatz ein, verärgerte aber fast alle, die sie erhielten.

Der interessanteste Teil dieser Geschichte aus der Spam-Historie ist nicht, wann die E-Mail verschickt wurde, sondern das zweischneidige Schwert hinter E-Mail-Spam. Einerseits lässt sich mit Werbung, die an Hunderte, Tausende oder sogar Millionen Menschen gesendet wird, erschreckend viel Geld verdienen. Andererseits ist Spam ganz offensichtlich lästig. Leider ist genau dieses Spannungsverhältnis das, was Spam durch seine turbulente Geschichte begleiten wird.

Wie hat sich Spam im Laufe der Jahrzehnte entwickelt?

Wenn du das Glück hattest, im Zeitalter des Schutzes durch Google und Microsoft aufzuwachsen, erinnerst du dich vielleicht nicht an die Anfangstage des Internets, als das Entfernen von Spam aus dem Posteingang eher eine manuelle Aufgabe war.

1980er–1990er: Der Wilde Westen der E-Mail

1983, ein Jahr vor George Orwells Vorhersage eines totalitären Superstaats, nahm etwas ganz anderes Gestalt an. Zum ersten Mal wurde es möglich, dass sich mehrere unabhängige Netzwerke miteinander verbinden konnten. So entstand die Grundlage für das heutige globale Netzwerk von Netzwerken – oder das Internet, wie wir es nennen.

Im folgenden Jahrzehnt gingen Millionen neuer Nutzer online und richteten E-Mail-Adressen ein. Es gab keine zentrale Instanz, die sagte: „Das dürft ihr nicht“, und E-Mail konnte im Grunde als kostenloser Werbekanal dienen. Eine Nachricht wurde an Tausende, sogar Millionen Menschen verschickt – fast ohne Kosten.

Was war das Ergebnis? In den 1990er-Jahren explodierte Spam – und ebenso die Bemühungen, ihn zu kontrollieren. 1994 starteten die Anwälte Canter & Siegel ihre berüchtigte Anzeige zur „Green Card Lottery“ in Tausenden von Usenet-Gruppen, was oft als die erste große kommerzielle Spam-Kampagne gilt. Schon bald folgten Gegenmaßnahmen. Das Mail Abuse Prevention System (MAPS) führte 1996 die erste Real-time Blackhole List ein, die E-Mails von bekannten Spam-Servern blockierte, und Gruppen wie Spamhaus erstellten Sperrlisten und teilten Erkenntnisse, um Spammer fernzuhalten.

2000er: Das Jahrzehnt, in dem Spam düster wurde

Die 2000er markierten zwar das Ende des Jahrtausends, doch für viele war es der eigentliche Beginn der Flut lästiger E-Mails in den Posteingängen. Google, Yahoo und Microsoft sprangen alle auf den Zug zur Spam-Bekämpfung auf. Aber es ging nicht mehr um kitschige Werbung oder Schnell-reich-werden-Maschen – Spam wurde düsterer. Spammer hatten begonnen, „Botnets“ zu nutzen, also Netzwerke infizierter Computer, um Spam in riesigem Maßstab zu versenden.

Regierungen entschieden, dass es Zeit war einzugreifen. 2003 führten die USA den CAN-SPAM Act ein (Controlling the Assault of Non-Solicited Pornography and Marketing). Er verpflichtete Spammer dazu, Abmeldeanfragen zu respektieren und irreführende Betreffzeilen zu vermeiden, doch der Haken war, dass die Verantwortung weiterhin bei den Empfängern lag, sich abzumelden. Europa ging dagegen strenger vor. Die EU führte ein Opt-in-System für E-Mail-Marketing ein, was bedeutete, dass Unternehmen keine kommerziellen E-Mails versenden durften, ohne vorher eine Erlaubnis einzuholen.

Die 2000er markierten die eigentliche Explosion des Katz-und-Maus-Spiels, das Spam definieren sollte. Spammer erfanden neue Tricks, und Verteidiger fanden Wege, ihnen entgegenzuwirken. Nimm zum Beispiel die Bayes-Filterung: Sie scannt die Wörter in einer E-Mail, berechnet Wahrscheinlichkeiten und entscheidet, ob es sich um Spam oder eine echte Nachricht handelt. Als sie erstmals aufkam, war das ein Durchbruch darin, wie E-Mail-Anbieter gegen Spam vorgehen konnten. 2004 sagte Bill Gates sogar voraus, dass das Spam-Problem innerhalb von zwei Jahren gelöst sein würde. Aber wie immer passten sich Spammer schnell an.

Beispiele für dieses Hin und Her beim Spam in der Praxis:

Die moderne Ära: Als Spam lernte zu denken

Stephen Hawking warnte einst, dass Menschen für KI eines Tages das sein könnten, was Hunde für Menschen sind – ein ernüchternder Gedanke. Und auch wenn das düster klingt, ist es keine Übertreibung zu sagen, dass der Aufstieg der KI ebenso transformativ sein könnte wie die Erfindung der Dampfmaschine. Es ist also kein Wunder, dass KI den Kampf zwischen denen prägt, die mit Spam Profit machen wollen, und denen, die ihn kontrollieren möchten. Der Unterschied ist, dass KI im Gegensatz zu herkömmlichen Spam-Filtern lernen und sich anpassen kann.

Die Ironie dabei ist, dass Betrüger dieselben Werkzeuge nutzen, um ihre Spam-E-Mails zu verbessern, die Studierende verwenden, um ihre Prüfungen zu bestehen. Vor KI-Tools waren Spam-E-Mails voller Tippfehler, Grammatikfehler und offensichtlicher Warnsignale. Jetzt können dank großer Sprachmodelle massenhaft Spam-E-Mails mit fehlerfreier Grammatik, lokalisiertem Tonfall und personalisierten Aufhängern versendet werden. Statt 10’000 identische E-Mails zu verschicken, können Betrüger 10’000 leicht unterschiedliche E-Mails senden und Zensurmechanismen umgehen. Indem sie Texte durch Modelle laufen lassen, die Spam-Bewertungen simulieren, können Angreifer ihre Nachrichten so lange anpassen, bis sie „sicher“ erscheinen.

Die E-Mail-Giganten tun dasselbe. Sie nutzen KI und maschinelles Lernen nicht nur, um Inhalte zu scannen, sondern auch, um das Verhalten von Absendern, Netzwerksignale und sogar den Kontext von Nachrichten zu analysieren. Gmail kann zum Beispiel heute verdächtige Muster erkennen, etwa plötzliche E-Mail-Wellen von neuen Domains oder Inhalte, die bekannte Phishing-Köder nachahmen, und sich in Echtzeit anpassen, um neue Spam-Kampagnen zu stoppen.

Welche Auswirkungen hatte Spam auf E-Mail und Unternehmen?

Wenn wir zur Ursprungsgeschichte von Spam und zu seinem Namensvetter von Monty Python zurückgehen, war das Thema einfach: lästig. Damals wurde der meiste Spam genau so gesehen. Doch in den Jahrzehnten seitdem ist er weit gefährlicher geworden. Ein Klick auf den falschen Link kann heute Viren oder ernsthafte finanzielle Verluste bedeuten.

Und nicht nur Einzelpersonen sind gefährdet. Seit den 2000ern haben Betrüger ausgeklügelte Methoden entwickelt, um größere Ziele anzugreifen. Viele dieser Maschen haben sogar eingängige Spitznamen, die herunterspielen, wie ernst die Folgen sein können.

Beispiele für Spam, der auf Unternehmen abzielt:

Massen-Spam und Betrug – Massen-E-Mails überschwemmen noch immer täglich Posteingänge, von lästiger Werbung bis hin zu gefälschten Lotterien oder „nigerianischer Prinz“-Maschen. Sie sind eher niedrigschwellig, verstopfen aber Posteingänge und können Mitarbeitende trotzdem täuschen.

Phishing-E-Mails – Sie geben sich als vertrauenswürdige Marken aus und locken Nutzer auf gefälschte Websites. Früher plump, sind diese Phishing-E-Mails heute ausgefeilt, automatisiert und kaum noch vom Original zu unterscheiden.

Spear-Phishing und Whaling – Gezielte Angriffe, die echte Namen oder Projekte nutzen, um bestimmte Mitarbeitende zu täuschen. Wenn sie auf Führungskräfte abzielen, nennt man das „Whaling“, und der Gewinn kann enorm sein.Business Email Compromise (BEC) – Kriminelle geben sich als CEOs, Anbieter oder HR aus, um Mitarbeitende dazu zu bringen, Geld zu überweisen oder Daten zu senden.

Malware und Ransomware – Spam enthält oft schädliche Anhänge oder Links. Ein einziger Klick kann Viren oder Ransomware freisetzen, ganze Systeme lahmlegen und Unternehmen Millionen kosten.

Die eigentliche Gefahr liegt jedoch im Ausmaß der Folgen. Spam verschwendet in enormem Umfang Zeit. Mitarbeitende, die E-Mails anzweifeln, oder Manager, die Fehlalarme untersuchen. All das nagt an der Produktivität.

Was Spam wirklich kostet

Das FBI schätzt, dass allein Business Email Compromise mehr als 50 Milliarden US-Dollar zwischen 2013 und 2022 gekostet hat. Deshalb entwickelt sich der Kampf gegen Spam ständig weiter. Filter schauen inzwischen über Schlüsselwörter hinaus und scannen Muster, Anhänge und sogar das Verhalten von Absendern. Gesetze wie CAN-SPAM und DSGVO legen Regeln für Einwilligung und Transparenz fest. Und E-Mail-Anbieter haben Schutzmechanismen wie SPF, DKIM und DMARC hinzugefügt, wodurch es für Angreifer viel schwieriger wird, sich als jemand anderes auszugeben.

Wie bekämpfen wir Spam heute?

Moderne Spam-Filter werden von KI angetrieben und maschinellem Lernen. Sie können das Verhalten von Absendern und den Kontext der Nachricht analysieren und sich dann in Echtzeit anpassen.

Aber Aufmerksamkeit ist weiterhin wichtig. Selbst mit den besten Spam-Filtern muss die Schulung von Mitarbeitenden zu einem zentralen Bestandteil der Spam-Bekämpfung werden. Heutzutage führen Unternehmen regelmäßig Sensibilisierungsprogramme durch, die Menschen beibringen, langsamer zu handeln und Warnsignale zu erkennen oder Anfragen zu überprüfen, bevor sie reagieren. Dazu gehören unter anderem:

Wo du anfangen kannst

Was ist also die Lehre aus Jahrzehnten des Katz-und-Maus-Spiels? Kurz gesagt: Spammer werden sich immer anpassen, und Spam wird nie wirklich verschwinden – er wird sich nur weiterentwickeln. Deshalb ist es deine beste Chance, dafür zu sorgen, dass deine Abwehrmaßnahmen dasselbe tun. Wachsamkeit ist entscheidend. Noch besser ist es, sich einen E-Mail-Anbieter mit fortschrittlichen Filter- und Authentifizierungstools zu holen. Letztlich bist du am besten aufgestellt, deinen Posteingang zu schützen, wenn du mehrere Lösungen kombinierst. Und wenn du eine Erinnerung brauchst, hilft Monty Python weiter.