Über unsMediaKontaktImpressum
Thomas Schäfer 19. März 2019

Kalender-Spam – Wenn Spam bis ins Wohnzimmer gelangt

Seitdem vor über 40 Jahren ein Computerverkäufer aus den USA die weltweit erste Spam-Mail versendet hat, steigt das Spam-Volumen von Jahr zu Jahr immer mehr an. Alleine bei den beiden größten deutschen E-Mail-Anbietern GMX und WEB.DE werden täglich über 100 Millionen Mails in die Spam-Ordner zugestellt. Insgesamt ist das Spam-Aufkommen noch höher: Einlieferversuche, die aufgrund von Blacklisting gar nicht erst von den Mailservern angenommen werden, fehlen in dieser Statistik. Weil Spam-Filter aller größeren Provider immer besser und zuverlässiger werden, müssen Spammer ständig ihre Methoden anpassen. Jüngstes Phänomen in diesem Katz- und Maus-Spiel ist Kalender-Spam.

Dabei handelt es sich um eine neuere Entwicklung, bei der der eigentliche Schaden nicht in der E-Mail, sondern über angehängte Kalendereinträge erzeugt wird. Warum das größere Auswirkungen hat und wie das genau funktioniert, soll dieser Artikel erklären.

Einführung

Mit der Verbreitung von Mobiltelefonen nutzen immer mehr Menschen nicht nur E-Mail zur Kommunikation, sondern verwenden auch digitale Kalender, um ihr Leben zu organisieren. Mit dem Kalender in der Hosentasche ist es einfacher, den Überblick über die eigenen Termine zu behalten, und die Erinnerungsfunktion hilft dabei, auch unterwegs keinen wichtigen Termin zu verpassen. Das nutzen die Spammer für die Verbreitung ihrer unerwünschten Nachrichten aus.

Was ist Kalender-Spam?

Als Kalender-Spam bezeichnet man jede Art von ungewünschtem und unerlaubtem Spam, der über den Transport in einer E-Mail den Weg in den Kalender des Betroffenen findet. Der eigentliche Inhalt des Spams, d. h. Links auf Malware verbreitende Seiten oder der Versuch, über Phishing-Seiten an die Zugangsdaten des Empfängers zu kommen, unterscheidet sich dabei nicht vom E-Mail-Spam. Nur dass er in diesem Fall nicht in der E-Mail selbst, sondern im Inhalt eines an die E-Mail angehängten Kalendereintrages enthalten ist.

E-Mail- und Kalendersysteme sind in der Regel direkt miteinander verbunden, d. h. vom E-Mail-System erkannte Kalendereinträge werden direkt in den Kalender des Empfängers eintragen. Das ist im Fall von "richtigen" Kalendereinträgen gewünscht und sinnvoll, führt aber bei Kalender-Spam in der Regel zu den nachfolgend aufgeführten Beeinträchtigungen.

Warum bringt für mich als Nutzer Kalender-Spam größere Beeinträchtigungen als "normaler" Spam?

Für E-Mail-Spam gibt es bereits sehr gute Erkennungsmechanismen. Kommt doch mal eine unerwünschte Spam-Mail durch, nervt das natürlich auch, Kalender-Spam greift allerdings noch tiefer in die Privatsphäre des Menschen ein: Das hängt unter anderem mit der unterschiedlichen Wahrnehmung von Nachrichten und Zeit zusammen:

  • Kalender-Spam kann zu einer Beeinträchtigung der Wahrnehmung eines Menschen führen: So ist es beispielsweise denkbar, dass aufgrund vieler gefälschter Termine echte und wichtige Termine im Kalender übersehen werden. Praktisch kann das dazu führen, dass man Flüge verpasst oder sein Kind nicht wie ausgemacht vom Training abholt.
  • Kalendereinträge sind meistens automatisch mit Erinnerungen verbunden, d. h. man wird zur eingestellten Zeit vor dem Termin daran erinnert. Im Falle von Kalender-Spam wird nicht nur eine Nachricht gesendet, sondern über die damit verbundene Erinnerung wird der Empfänger nochmals gestört.
  • Serientermine fügen nicht nur einen einzelnen Eintrag im Kalender, sondern viele Einträge in vorher definierten Zeitabständen hinzu. Damit kann der Spammer mit einem einzigen per E-Mail transportierten Kalendereintrag nicht nur eine einmalige Beeinträchtigung erzeugen, sondern mehrere immer wiederkehrende.
  • Gibt es bei E-Mails nur eingeschränkte Möglichkeiten, zu erkennen, ob die Nachricht den Empfänger wirklich erreicht hat, sieht eine Kalendereinladung vor, dass immer eine Aktion ausgeführt wird, d. h. die Einladung entweder angenommen oder abgelehnt wird. Mit diesem – für gewollte Kalendereinträge notwendigen – Feedback kann der Spammer erkennen, ob sein Kalendereintrag angekommen ist und die Empfängeradresse wirklich existiert. Durch dieses Feedback ist auch klar, dass sich jemand um diese Empfängeradresse kümmert, was sie umso wertvoller für ihn macht.
  • Im E-Mail-Postfach lassen sich mehrere E-Mails, also auch Spam-Mails, auf einmal direkt löschen. Bei Kalendereinträgen ist dies aufgrund des vorher beschriebenen Feedbackzyklus nicht vorgesehen. Stattdessen muss jeder Eintrag einzeln bearbeitet werden.
  • Darüber hinaus lassen sich mit diesen Anhängen Kalendereinträge in der Zukunft erzeugen. Wenn dann z. B. erst 4 Wochen nach dem Eingang der E-Mail eine Erinnerung daran erfolgt, kann nicht mehr oder nur sehr schlecht nachvollzogen werden, woher dieser Kalendereintrag ursprünglich kam, um geeignete Maßnahmen für die Zukunft zu ergreifen.

Was sind die technischen Grundlagen für Kalendereinträge und damit auch für Kalender-Spam?

Ein einzelner Kalendereintrag besteht aus einer Textdatei mit fest definierten Name/Value-Paaren in jeder Zeile. Der Internet-Standard RFC 5545 [1] beschreibt die Internet Calendaring and Scheduling Core Object Specification – das iCalendar-Format. Kalendereinträge und damit auch die Anhänge der E-Mails sind in diesem Format erstellt. Zusammengefasst beinhaltet eine solche Datei bestimmte vorgegebene Parameter wie z. B.

BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//ABC Firma//Mein Produkt//DE
BEGIN:VEVENT
...
END:VEVENT
END:VCALENDAR

Dazwischen befindet sich die individuelle Beschreibung genau dieses Kalendereintrages mit Informationen zum Start, der Dauer, einer eindeutigen ID, einem Titel, einer Beschreibung und weiteren optionalen Parametern.

Dabei sorgt ein einzelner Parameter (in diesem Fall RRULE) dafür, dass aus einem einzelnen Kalendereintrag einer mit täglicher Wiederholung wird.

Transportiert werden diese Anhänge in multipart-mixed-formatierten E-Mails. Dabei hat sich als bewährte Praxis durchgesetzt, diese Kalendereinträge auf zwei verschiedene Arten anzuhängen:

  • als text/calendar part mit der Methode method=REQUEST und
  • als application/ics part mit einer content-disposition:attachment in BASE64-Codierung.

Damit werden sie von allen gängigen E-Mail-Providern (Apple, Google, Microsoft, WEB.DE, GMX, FastMail und allen anderen) richtig erkannt und in die standardkonformen Kalendersysteme eingetragen.

Weitere Informationen zum iCalendar-Format finden sich z. B. in diesem Developers Guide [2] von CalConnect: The Calendaring and Scheduling Consortium.

Was kann ich tun, um mich gegen Kalender-Spam zu schützen?

Neben dem gewissenhaften Umgang mit der Veröffentlichung der eigenen E-Mail-Adresse sollte man sich bei seinem Kalenderserveranbieter bzw. den verwendeten Programmen zur Anzeige seines Kalenders die Einstellungen näher anschauen. Ein guter Anbieter gibt seinem Kunden vielfältige Einstellungsmöglichkeiten, die die Auswirkungen von Kalender-Spam einschränken können.

Als erstes ist hier natürlich die Einstellung interessant, welche per E-Mail erhaltenen Kalendereinträge überhaupt direkt beim Eingang der Mail in den Kalender eingetragen werden. Dies lässt sich oft auf die im Adressbuch eingetragenen Kontakte und deren E-Mail-Adressen beschränken oder komplett abschalten. Die letzte Option ist, zumindest wenn man sonst wenige Einladungen zu Kalendereinträgen bekommt, z. B. im privaten Umfeld nützlich.

Eine weitere, wichtige Einstellungsmöglichkeit ist die Standardeinstellung für Erinnerungen. Wenn die Standardeinstellung vorsieht, immer eine Erinnerung für einen Kalender zu hinterlegen, wird dem Termin selbst dann eine Erinnerung hinzugefügt, wenn der Termin an sich gar keine Erinnerungen enthält. Dies gilt nicht nur für die Einstellungen am eigentlichen Kalenderserver, sondern auch in den verwendeten Programmen oder Apps zur Anzeige des Kalenders.

Erinnerungen werden auf verschiedenen Seiten erzeugt und ausgelöst. Serverseitig können dies z. B. Erinnerungen per Mail sein. In den verwendeten Programmen oder Apps (also clientseitig) sind dies z. B. PopUps oder Banner. Diese werden über getrennte Einstellungen konfiguriert.

Vorsichtig bzw. sehr bewusst sollte man mit der Erinnerungsoption per Mail umgehen. Bietet der Kalenderserver diese Option an und verwendet man dazu eine Kalender-App auf dem Smartphone mit eigenen Einstellungen, wird man eventuell sogar doppelt über den kommenden Termin informiert.

Diese Maßnahmen dienen der Vorsorge für den Ernstfall bzw. für die Organisation dafür, wie man im Regelfall mit den gewünschten Kalendereinträgen umgehen möchte.

Wenn ein ungewollter Kalendereintrag in den eigenen Kalender gelangt ist

Auf jeden Fall sollte man den Kalendereintrag nicht aktiv zu- oder absagen. Wie schon vorher erwähnt führt das standardkonforme Verhalten des Kalenderservers dazu, dass der Organisator dieses Kalendereintrages (also der Spammer) die E-Mail-Adresse verifiziert bekommt und man damit den Startschuss für weitere Versuche gibt.

Am einfachsten ist es, wenn das User Interface des Kalenderanbieters im Browser oder in der verwendeten App die Option "als Spam markieren" schon anbietet. Dies führt nämlich zu einer direkten Entfernung des Kalendereintrages ohne die unerwünschte Feedbackschleife zum Spammer.

Apple bietet diese Funktion neben einer Implementierung im eigenen iCloud-Web-Portal [3] auch in seiner Kalender-App an [4]. Allerdings nur, wenn der Kalendereintrag im eigenen iCloud-Kalenderserver eingetragen wurde. Für extern eingebundene Kalender ist diese Funktion noch nicht verfügbar. Sollte man als Nutzer allerdings viele dieser unerwünschten Kalendereinträge in seinem Kalender haben, ist auch dies sehr unkomfortabel, da dies für jeden dieser Einträge einzeln durchgeführt werden muss.

Wenn diese Funktion nicht verfügbar ist oder eben viele dieser Einträge vorhanden sind, gibt es für den Nutzer meist nur eine etwas umständliche Art und Weise, um alle unerwünschten Einträge ohne Feedbackschleife zum Spammer zu entfernen: Einen weiteren Kalender anzulegen, alle unerwünschten Einträge in diesen zu verschieben und anschließend den angelegten Kalender zu löschen. In diesem Fall einer kompletten Kalenderlöschung werden die darin enthaltenen Einträge alle auf einmal ohne Rückmeldung an den Organisator entfernt.

Was machen die Kalenderserveranbieter, um ihre Kunden vor Kalender-Spam zu schützen?

Wie schon oben erwähnt haben sich viele der großen Kalenderserverbetreiber (Apple, Google, FastMail, GMX, OpenXchange, WEB.DE, ...) in CalConnect [5] organisiert, um eine Plattform für einen Austausch untereinander zu bieten und sich der gemeinsamen Standardisierung des Themas zu widmen.

Im Rahmen des technischen Komitees CALSPAM [6] wurde – in Zusammenarbeit mit der Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)[7] – im Januar 2019 ein Best-Practice Document veröffentlicht. Das Calendar operator practices – Guidelines to protect against calendar abuse[8] beschreibt zum einen die Eingangsvektoren für eine solche Beeinträchtigung, zum anderen schlägt es Handlungsoptionen für jeden dieser Schritte vor. Da die Kalender- oder Mailsysteme der verschiedenen Anbieter technisch unterschiedlich funktionieren und aufgebaut sind, gibt es hier keine einheitliche Implementierung, sondern eine Diskussion und Einigung über sinnvolle Optionen zur besseren Bekämpfung von Kalender-Spam.

Im Rahmen dieser Zusammenarbeit wurden auch Hersteller und Betreiber von Spam- und Virenerkennungssoftware für diese Art von Spam sensibilisiert und Fortschritte bei der Erkennung von Kalender-Spam schon im Mailverkehr erreicht.

Aktuelle Wahrnehmung des Problems

Mit der immer mehr zunehmenden Smartphone-Nutzung wächst auch die Nutzung von digitalen Kalendern. In einer im Dezember 2018 veröffentlichten repräsentativen Umfrage hat GMX Zahlen zur privaten Nutzung von Kalendersystemen veröffentlicht [9]. Demnach verwendet ein Drittel (33 Prozent) der Befragten den digitalen Kalender des Smartphones. Bei den jungen Erwachsenen sind es sogar 52 Prozent.

Im Rahmen des technischen Komitees CALSPAM wurden auch Zahlen über das Vorkommen von Kalender-Spam erfasst. Dazu wurde im Mai und September 2018 jeweils eine Woche lang der eingehende Mailstrom eines großen Spamfilterherstellers analysiert. Während der Anteil von Spam bei den zugestellten E-Mails bis zu 35 Prozent betrug, betrug der Anteil von Spam bei den zugestellten Kalendermails bis zu 11 Prozent (bei einem Anteil von 0,2 Prozent Mails mit Kalendereinträgen am gesamten Mailstrom).

Beobachtungen aus der Praxis

Aktuell ist zu beobachten, dass die meisten Spammer versuchen, die Nutzer über kompromittierte oder eigens dafür angelegte Accounts in den jeweiligen Kalendersystemen innerhalb dieses Dienstes zu erreichen. Das heißt zum Beispiel, Google-Nutzer bekommen Kalender-Spam von anderen Google-Kalender-Nutzern und bei anderen Providern sieht es ähnlich aus.

Wie eingangs erwähnt versuchen die Spammer hier, den für sie einfachsten und wirtschaftlichsten Weg zu gehen und durch das ständige Ausloten und Optimieren der Vorgehensweise (Anzahl und Frequenz des Versandes, Inhalt, ...) möglichst viel Kapital zu schlagen.

Da all diese Systeme ihre E-Mail maschinell mit Templates erstellen, beinhaltet sowohl der eigentliche Nachrichtenteil der E-Mail, als auch die Kalenderanhänge die kompletten Informationen. Damit erleichtern sie aktuell die Spamerkennung, da hier die Spamfilter für den Nachrichtenteil der E-Mail den unerwünschten Inhalt schon erkennen können.

Die Erwartung ist jedoch, dass je besser diese Abwehrmaßnahmen greifen und eine Zustellung solcher maschinell erstellten Kalender-Spam-E-Mails verhindern, desto kreativer werden die Spammer.

Es ist davon auszugehen, dass der nächste Schritt eine manuelle Erstellung dieser Kalender-Spam-E-Mails ohne verdächtigen Nachrichtenteil in der E-Mail sein wird. Diese werden dann per Mail eingeliefert und nicht direkt im Kalendersystem erzeugt. Spätestens dann müssen die Maßnahmen zur Spamerkennung auf den Kalenderanhang der E-Mail ausgeweitet werden.

Kalender-Spam – ein neues Phänomen?

Im März 2008 wurde die erste gefundene Kalender-Spam-E-Mail von TrendMicro veröffentlicht [10]. Danach gab es eine lange Zeit, in der das Thema kaum in Erscheinung trat. Bis es rund um den Black Friday im November 2016 zu einer großen Welle an Kalender-Spam kam, die vor allem iCloud-/iPhone-Nutzer getroffen hat [11]. In der Folgezeit wurden viele der oben beschriebenen Maßnahmen ergriffen, um zumindest die Auswirkungen einer erneuten Welle zu minimieren.

Fazit

Kalender-Spam beeinträchtigt die Betroffenen aufgrund von Erinnerungen und möglicher Wiederholung eines unerwünschten Kalendereintrages wesentlich mehr, als gewöhnlicher E-Mail-Spam. Auch wenn der Anteil von Kalender-Spam am gesamten Mailstrom heute noch überschaubar ist, hat er doch das Potential, schnell zu wachsen, wenn mehr und mehr Nutzer auch ihren Kalender digitalisieren. Hier gilt es, wachsam zu sein und sich als Nutzer, aber auch die Kalendersysteme selbst, durch geeignete Maßnahmen zu schützen.

Autor

Thomas Schäfer

Thomas Schäfer hat den Maildienst von WEB.DE mit aufgebaut und beschäftigt sich seit langem auch mit Kalenderdiensten. In seiner Rolle als Chair of Technical Coordination Commitee koordiniert er seit mehr als 2 Jahren die Arbeit...
>> Weiterlesen
Das könnte Sie auch interessieren
botMessage_toctoc_comments_9210