it-schule-logo  
Werbung?
Selbstverständlich können Sie hier werben. IT-Schule.de ist ausschließlich an themenbezogener Werbung in stabiler Partnerschaft interessiert.
Orientierung: Start >> Nachrichten >> Recht / Datenschutz >> Österreichs Regulierer verbessert endlich Anti-Spam-Liste

Österreichs Regulierer verbessert endlich Anti-Spam-Liste

Email-Adressen werden nun nicht mehr im Klartext herausgegeben

2007-04-20, Quelle: Eigenbericht (fastix (a.k.a. Jörg Reinholz))
Behörden haben eine lange Leitung. Die österreichische Regulierungsbehörde RTR (Rundfunk und Telekom Regulierungs-GmbH) ist dafür ein gutes Beispiel:

Seit Jahren gab die österreichische Regulierungsbehörde die Mailadressen der "Spamschutzliste" an interessierte Firmen im Klartext heraus. Man kann davon ausgehen, dass sich einige schwarze Schafe die Liste genommen oder gar an Dritte weitergegeben haben nachfolgend Spam just an diejenigen verschickt wurde, die sich dort eingertragen haben, weil sie eben keinen Spam wollten.

Heute ist bei heise.de zu lesen:

Ab sofort werden die Daten nur noch in Form von Hash-Werten herausgegeben. So kann ein werbewilliges Unternehmen überprüfen, ob bestimmte Daten seiner Kunden in der Liste vermerkt sind. Das Auslesen aller gelisteten E-Mail-Adressen ist nicht mehr möglich.

Die bisherige Handhabung hatte sich als Bumerang erwiesen. Nicht nur einmal wurden ausschließlich zum Test der Anti-Spam-Liste generierte Postfächer mit Werbemüll und Viren bedacht. In der Behördensprache heißt das "widmungswidrige Verwendung" – eine Strafbestimmung dafür hat der Gesetzgeber allerdings vergessen. Als Ergebnis wurden in über fünf Jahren nicht einmal 19.000 Adressen eingetragen.

Quelle: heise.de:Österreichs Regulierer verbessert Anti-Spam-Liste

Spätestens seit dem 22.10.2005 sollte das Problem -und die Lösung- der RTR bekannt gewesen sein, denn der Autor schrieb an die Behörde:

------------------------------------------------------------------------------------------
Missbrauchsmöglichkeiten Ihrer Mailschutzliste
(Jörg Reinholz, Sat Oct 22 11:45:18 2005)
Sehr geehrte Damen und Herren!

Ich schreibe Ihnen wegen Ihrer Ausführungen zur Mailschutzliste
(http://www.rtr.at/web.nsf/deutsch/Telekommunikation_Konsumentenservice_E-Commerce-Gesetz)

Dort findet sich ein Passus, der zu meiner Verwunderung beiträgt:

Zitat:
Bin ich durch das Eintragen in die Liste vor weiteren Spam-E-Mails
geschützt?
Nein. Spam wird überwiegend von Personen versandt, denen die rechtlichen
Vorschriften egal sind. Diese Personen werden die Liste auch nicht
beachten.

Wer kann die Liste abrufen?
Die RTR-GmbH muss die Liste jedem "Diensteanbieter der
Informationsgesellschaft" zur Verfügung stellen. Das ist vereinfacht
ausgedrückt jeder, der im Internet wirtschaftlich tätig ist - also ein
Großteil aller Unternehmen in Europa. Die RTR-GmbH hat keine
Möglichkeit, zu überprüfen, ob es sich dabei um ein seriöses Unternehmen
handelt, oder um ein unseriöses Unternehmen, das die Liste dazu
missbraucht, erst recht E-Mails an die Adressen auf der Liste zu
versenden.

---

Das lässt in mir den Verdacht aufkommen, dass Sie erstens diese Liste im
Klartext weitergeben und zum Zweiten selbst die Möglichkeit sehen, dass
ausgerechnet ein Spammer sich die Liste besorgt und benutzt.

Warum orientieren Sie sich nicht an dem, was seit Jahren der Stand der
Technik ist? Es gibt freie Einweg-Verschlüsselungsverfahren wie z.B.
MD5. Damit verschlüsselte Texte sind noch immer nicht zu entschlüsseln,
es handelt sich um einen sogenannten "Fingerabdruck".

Warum geben Sie nicht statt der Klartext-Adressen den jeweiligen
"Fingerabdruck" der einzelnen Adressen als Liste heraus? Zur Prüfung hat
dann der Anwender die bei ihm vorliegende Mailadresse auf die gleiche
Art zu verschlüsseln und prüft den entstehenden "Fingerabdruck" gegen
jene in Ihrer Liste.

Das Verfahren ist probat und weder technisch noch hinsichtlich der
Rechenleistung wirklich anspruchsvoll. Ich bitte Sie eindringlich zu
prüfen, ob Sie das Verfahren nicht so anwenden wollen.

Eine Java- Anwendung, die den Vergleich vornimmt, ist sehr leicht zu
schreiben und würde plattformabhängig funktionieren.

Ein anderes mögliches Verfahren besteht in der Einrichtung eines
Dienstes: Dieser nimmt die zu prüfende Mailadresse entgegen, prüft auf
dem bei Ihnen stehenden Server und meldet nur "listed" oder "not
listed" zurück. Ein solcher Dienst liese sich auch durch
Zugangskennungen hinreichend schützen.

Beide Verfahren haben die Eigenschaft, dass der Nachfrager keine einzige
Mailadresse von Ihnen bekommt, dies würde den genannten Mißbrauch
unmöglich machen.


Mit freundlichen Grüßen


Jörg Reinholz
------------------------------------------------------------------------------------------

Die Antwort lautete übrigens sinngemäß: Nein, das wollen wir nicht, das müssen wir nicht und uns ist auch kein Fall des Missbrauches bekannt...

Die Rundfunk und Telekom Regulierungs-GmbH (RTR) gibt Ihre Informationen zum Verfahren hier bekannt, benutzt wird ein SHA-1 Schlüssel.






<<< zurück <<<
© 2004 fastix® Webdesign & Consult, Kassel AGBImpressum (auf der Startseite)
Weitere Angebote von fastix® WebDesign & Consult: