Wenn sich Spam im Kalender einnistet

Anstatt Nutzer nur mit E-Mails oder über Messenger zu belästigen, wäre es für Spammer viel profitabler, sich langfristig in den Kommunikationskanälen der Empfänger festzusetzen, ohne für jede Nachricht die vorgelagerten Spam­filter überwinden zu müssen. Die Integration von Kalenderanwendungen in andere Applikationen wie E-Mail-Clients und Messenger-Dienste macht dies möglich. Denn dadurch lassen sich falsche Termine leicht und automatisiert dem Kalender ­eines Nutzers hinzufügen.

Im schlimmsten Fall wird der Kalender derart mit Terminen geflutet, dass er nicht mehr benutzbar ist. Doch schon einzelne unerwünschte Einträge können Schaden anrichten, oft enthalten sie nervigen Spam oder Weiterleitungen auf Phishingseiten. Wer solch einen Fake-Link anklickt und auf den nachgelagerten Betrug hereinfällt, kann die Kontrolle über seine Online-Identitäten und viel Geld verlieren.

Es existieren viele Wege, Termine zu verteilen – klassisch per E-Mail als iCalen­dar-­Anhang oder per maschinenlesbarer JSON-Anreicherung über schema.org-Event-Objekte und die davon abgeleiteten Klassen, die sich ebenso in E-Mails wie auch auf Webseiten finden können. Da jeder Terminvereinbarungen treffen muss, ist es nur eine Frage der Zeit, bis Anwendungen versuchen, aus unstrukturierten Texten, etwa E-Mails, plausible Termine zu extrahieren.

Das Problem ist nicht neu, dennoch gibt es regelmäßig Vorfälle, bei denen die Masche besonders erfolgreich funktioniert. So nutzten Spammer 2016 die Kalender­integration in Apple-Produkten aus. Als Workaround zum Bereinigen des Kalenders empfahl das Unternehmen, ihn vollständig zu löschen und neu an­zulegen. Erst kürzlich traf es Google. Doch lässt sich diese Art von Sicherheitslücken mit einfachen Mitteln deutlich ver­kleinern. Im Aufmacherfoto verstecken sich die Einladungen am Ende unter Kalender-Einstellungen –> All­gemein –> Termine. Den Haken sollte man besser entfernen.

Best Practices zum Vermeiden von Spam

Nachdem Apple mit seinem Kalender-­Spam in die Medien gelangte, schlossen sich die Messaging, Malware and Mobile Anti-­Abuse Working Group (M3AAWG) und das Calendaring and Scheduling Consortium (CalConnect) zusammen, um Gegenmaßnahmen zu erarbeiten. Als Ergebnis legten sie ein Best-Practices-Dokument mit generellen Vorschlägen zum Umgang mit derartigem Spam vor, die beispielsweise WEB.DE und GMX zu Änderungen an ihrem Angebot veranlasst haben.

Eingehende Termine müssen ebenso auf Spam geprüft werden wie andere Nachrichten. Bei E-Mails sollten die Inhaltsfilter also nicht nur den für den Adres­saten sichtbaren Text prüfen, sondern auch eventuell enthaltene Termine untersuchen und diese bei Verdacht nicht automatisch weiterverarbeiten. Bayessche Textfilter oder der Abgleich mit Domain- und URL-Listen können hier Spam erkennen. Das hatte Google nicht beachtet, weshalb sogar als Spam eingestufte Einträge in den Kalendern der Nutzer landeten.

Ein unbekannter Terminersteller ist grundsätzlich verdächtig. Ein Abgleich mit dem Adressbuch ist daher immer sinnvoll. Gleiches gilt, wenn sich mit Authentifi­zierungsverfahren wie SPF, DKIM und DMARC die Absender-Domain nicht verifizieren lässt, die Prüfung kryptografischer Signaturen fehlschlägt oder der vorgebliche Absender einem Adressbucheintrag ähnlich sieht. Eventuell versucht jemand, eine andere Identität vorzugaukeln.

Generell sollte es möglich sein, das automatische Verarbeiten von Terminen auf Adressbuchkontakte zu beschränken oder ganz abzuschalten. Doch all das reicht noch nicht aus. Denn Kontakte lassen sich hacken und in Filtern bleibt nicht jeder Spam hängen. Der Dienst­betreiber muss auch ausgehende Termineinladungen prüfen und mit Rate Limits versehen, um Ano­malien in der eigenen Nutzerbasis aufzuspüren und die Folgen abzumildern. Aber selbst das kann keine vollständige Sicherheit gewährleisten.

Bloß nicht höflich Termine absagen

Mit einer ordentlichen Terminabsage bestätigt man nur, dass der angeschriebene Mailaccount aktiv ist. Der Knigge des 21. Jahrhunderts erlaubt zwar ein knallhartes Löschen ohne Rückmeldung an den Absender. Vermutlich aus traditioneller Denkweise heraus bietet das jedoch nicht jede Kalendersoftware an. Aus diesem Grund riet man den Apple-­Nutzern, ihre Kalender neu anzulegen. WEB.DE und GMX war diese Funktion immerhin eine Erwähnung in einer Pressemitteilung wert.

Kalender-Spam wirkt mit Verzögerung. Die Zeit, bis der Termin ansteht, lässt sich sinnvoll nutzen: Wer die enthaltenen Links oder Mailadressen an die involvierten Hoster, Registrare, Mailbox-Provider und Anbieter von Mail- und Webfiltern weiterleitet, entzieht dem Spam die Grundlage. Wenn die beworbene Seite oder der Mailaccount eines Betrügers entfernt wurde, kann er keinen Profit mehr daraus schlagen. Jede Software sollte es also auch normalen Nutzern erlauben, verdächtige Termine, ähnlich wie E-Mails, als Spam zu melden.

Problematisch waren Spam-Termine bisher nur, wenn große Anbieter massiven Kampagnen ausgesetzt waren und die Nutzer keine Möglichkeit hatten, sich dagegen zu wehren. Falls die vorgeschlagenen Gegenmaßnahmen nicht umgesetzt werden oder nichts bewirken, ist jedoch mit einer Ausweitung der Masche und mit der Professionalisierung der Gauner zu rechnen. (jd@ix.de)

Sven Krohlas

ist E-Mail-Spezialist und IT Security Consultant bei der BFK edv-consulting GmbH in Karlsruhe.