Spamhaus No Junk Mail Foto Lars Sobiraj
No Junk Mail, please! Kilkenny, Ireland 2019. Photo shot by Lars Sobiraj.

The Spamhaus Project – Online-Zensur oder Online-Krieger? (Meinung)

Monopol, Machtmissbrauch oder hilfreiche Helfer im Internet? Die Macher des vergleichsweise kleinen VPN-Anbieters nVpn kritisieren so lautstark wie nachhaltig The Spamhaus Project. Diese Organisation zur Bekämpfung von Spam werde im Web vielfach zu Unrecht als gemeinnützige NGO dargestellt. In Wahrheit sei es eine Art Einpersonengesellschaft, die kürzlich mehr oder weniger freiwillig, ihren Sitz in den Kleinstaat Andorra verlegt hat. Auch der Gründer vom Cyberbunker 1.0 findet beim Thema Spamhaus sehr deutliche Worte. Dieser Kommentar ist der Versuch, alles Wissenswerte zusammenzutragen. Wir haben ausnahmsweise Meinung und Nachricht miteinander vermischt.



Wer oder was ist The Spamhaus Project?

Verschiedenen Quellen im Web kann man entnehmen, dass The Spamhaus Project eine auf internationaler Basis tätige und zugleich gemeinnützige Organisation sein soll. Spamhaus wurde bereits im Jahr 1998 gegründet. Im Zeitalter des Internet ist das eine Ewigkeit. Gegenüber der Zeitschrift iX gab Richard Cox, der damalige CIO (= der führende Unternehmenssprecher, bzw. Leiter der IT) zu verstehen, dass man eine britische Limited Company sei. Im Jahr 2011, als das Interview erschien, war der Hauptsitz in Genf. Doch die Angaben über diese Organisation wirken so widersprüchlich wie rätselhaft.

Sven Olaf von Kamphuis (SOvK) vom Cyberbunker ist fuchsteufelswild auf die Firma. Mr. Cox wäre schon seit 20 Jahren aus dem Geschäft raus. Möglicherweise würde dieser nicht einmal existieren, mutmaßt SOvK gegenüber der Redaktion von Tarnkappe.info. The Spamhaus Project werde angeblich von einem Stephen John Linf*rd und seiner Frau, Myra Pe-t-ers, geleitet. Karitativ tätige Organisationen würden keinen Sitz auf den Seychellen oder Mauritius benötigen, zetert er im Chat. Der aus Holland stammende Cyberbunker-Mitgründer schäumt weiter, es sei geradezu unverständlich, warum die Journalisten allesamt auf dieses Projekt „hereinfallen“ würden. Die Redakteure erhalten auf ihre Presseanfragen laut SOvK Antworten von Personen bzw. Firmen, die es gar nicht gebe. Die Medien sollen laut seiner Aussage an der Misere eine erhebliche Mitschuld tragen. Alles aus dem Hause The Spamhaus Project werde von den IT-Newsportalen ungeprüft veröffentlicht. Wenn man davon ausgeht, dass sein Cyberbunker kritisch zu beurteilen sei, weil es die Betreiber offenbar nicht so eng mit der Providerhaftung und dem Geschäftsmodell ihrer Kunden genommen haben, so müsse man auch bei Spamhaus einmal genauer hinsehen, meint der auf der Flucht befindliche Netzwerk-Experte, der sich nach eigenen Angaben in Spanien aufhalten soll.

 

the spamhaus project

Screenshot: The Spamhaus Project mit fast 4.000 Followern bei Twitter.

Ohne gesetzlichen Auftrag Richter und Henker zugleich?

Was direkt auffällt: So sinnvoll die Tätigkeit der Vereinigung sein mag, The Spamhaus Project besitzt für ihr Vorgehen keine richterliche Erlaubnis. Die Tätigkeit der Gesellschaft wurde auch zu keinem Zeitpunkt von einem Staat oder einer Behörde offiziell beauftragt. Von Kamphuis beschwert sich, man sei man kein Mitglied der RIPE (Vergabestelle von IP-Adressbereichen). Dennoch verbreite man nach außen hin den Eindruck, als wenn es sich um eine Art Internet-Polizei handeln würde. Uns gegenüber betont SOvK, laut seiner Meinung könne diese Organisation durchaus selbst „etwas Aufmerksamkeit der Polizei gebrauchen“. Entscheidend aber sei, dass die Veröffentlichung zahlreicher Daten auf der Webseite von Spamhaus illegal ist. Der hauseigene Online-Pranger im Kampf gegen Spammer müsse verboten werden. Dort hätten „Whois-Daten einfach nichts verloren“. Es geht, genauer gesagt, um die Veröffentlichung privater Daten im Register of Known Spam Operations (ROKSO). Damit hat sich Spamhaus in den letzten Jahren länderübergreifend einen guten Namen gemacht. Auch Informationen aus Datenbanken seien es laut dem lautstarken Kritiker aus den Niederlanden wert, geschützt zu werden. Von einer möglichen Verletzung des Urheber- oder Zitatrechts beim ROKSO und der Block List etc., von der SOvK spricht, einmal ganz abgesehen.

Vorgeschichte: Webhoster Cyberbunker vs. Aufpasser-GmbH?

2013 eskalierte der Streit zwischen dem Bulletproof-Webhoster Cyberbunker und den selbst ernannten Aufsehern des Internets. Die damals in der Schweiz ansässige Spamhaus-Gruppe hatte Cyberbunker aufgrund der auffälligen Aktivitäten ihrer Kunden auf die eigene Blacklist gesetzt und dies öffentlich kundgetan. Was dann folgte, war eine der weltweit größten DDoS-Angriffe in der Geschichte des Webs. Spamhaus.org wurde pro Sekunde mit Datenmüll im Umfang von 75 GigaBit bombardiert. Die Attacke soll aufgrund des Umfangs sogar für kurze Zeit den Datenverkehr in mehreren Ländern behindert haben. Im April 2013 erhielt der mutmaßliche Werfer der digitalen Steine einen Besuch von der spanischen Polizei. Die Computer, Datenträger und Mobiltelefone des Mannes, der von der Staatsanwaltschaft als Herr K. bezeichnet wurde, hat man beschlagnahmt. Hier ist ein kurzes Video mit Sven Olav zu sehen, was Russia Today (RT) damals kurz vor dem Zugriff der Behörden veröffentlicht hat.


Russia Today: Gespräch mit Sven Olaf Von Kamphuis, dem damaligen Geschäftsführer des Cyberbunkers.

The Spamhaus Project – ein Buch mit sieben Siegeln

Unabhängig von dieser Vorgeschichte haben wir versucht herauszufinden, wer oder was The Spamhaus Project tatsächlich ist. Aus den Informationen der eigenen Webseite geht das nämlich nicht hervor. Bis heute erfolgte keine Antwort auf unsere Presseanfragen von Ende Januar 2020. Herr von und zu Kamphuis behauptet, angeblich habe Spamhaus Anfang des Jahres 2020 die einzige noch existierende Non Profit Ltd. in Großbritannien gelöscht. Alle anderen Unternehmen würden keinen gemeinnützigen Zweck verfolgen. Nach unserem Erkenntnisstand ist der Upstream-Provider Squareflow juristisch gegen Spamhaus vorgegangen. Squareflow bietet ähnliche Dienstleistungen wie Cogent, HE, GTT, LibertyGlobal etc. an, bei dem mehrere VPN-Dienste Kunde sind. Zwei leitende Mitarbeiter der SquareFlow Group antworteten am 1.3.2020 auf unsere Anfrage wie folgt:

Wir können einen Kunden auf keinen Fall mit all seinen Diensten wahllos kündigen, weil Spamhaus ihn für einen schlechten Akteur „hält“. Laut den Grundsätzen der Netzneutralität sind wir nicht in der Lage zu unterscheiden, welcher Datenverkehr bösartig sein könnte oder nicht, es sei denn, wir führen eine tiefe Paketanalyse durch, was die Privatsphäre unserer Kunden und ihrer Nutzer ernsthaft verletzen würde. Wir halten uns an das Gesetz und nicht an eine Partei, die allen IT-Firmen diktieren und entscheiden will, wer am Internet teilnehmen darf und wer nicht. Und dies mit einer Geschichte, in der sogar persönliche Fragen ihre Meinung bestimmen. Zum jetzigen Zeitpunkt haben wir weder Beweise noch Gerichtsbeschlüsse oder irgendeinen Grund zur Annahme, dass sich unser Kunde falsch verhält.

Da wir nicht mit Spamhaus kooperiert haben, haben sie mehrere Versuche unternommen, den Ruf unseres Unternehmens zu schädigen. Zudem gab es mehrere Versuche, unser Netzwerk durch unsere Lieferanten und Partner zu beeinträchtigen, indem sie verschiedene Parteien kontaktierten und behaupteten, wir seien für die Handlungen der Nutzer unserer Kunden voll verantwortlich. In keinem Fall können wir oder unsere Kunden für ein eventuelles Fehlverhalten der weiter unten stehenden Parteien (Nutzer oder Kunden) haftbar gemacht werden. The Spamhaus Projekt kontaktierte jeden innerhalb der Kette. Man eskaliert die Situation nach eigenem Ermessen, wobei völlig unschuldige Parteien geschädigt wurden und werden.

Einschüchtern, abmahnen, abschalten?

Ihre Versuche, ganze Netzwerke vom Internet abzuschalten, können rechtlich als Nötigung angesehen werden, was in jedem EU-Land ein krimineller Akt ist. Es hat mehrere Vorfälle gegeben, bei denen Spamhaus ganze Anbieter-Netzwerke für einen einzigen Kunden auf die schwarze Liste gesetzt hat, um sie auf die Knie zu zwingen. Der Grund dafür war, weil sie nicht mit Spamhaus‘ Forderungen nach einer Beendigung der Dienste für zufällige Kunden ihrer Kunden kooperieren. wollten Zusammenfassend lässt sich sagen, dass Spamhaus versucht, die totale diktatorische Kontrolle über das Internet zu erlangen, indem man probiert, weniger kooperative Parteien in die Knie zu zwingen, so dass nur das übrig bleibt, was Spamhaus will oder billigt. Wir glauben, dass Privatsphäre und Anonymität grundlegende Menschenrechte sind. Daher werden wir niemals blind den grundlosen Forderungen von Spamhaus oder einer anderen Partei folgen, die versucht, uns das Internet zu diktieren. Dies erklärt auch, warum wir entsprechende Maßnahmen ergriffen haben.

Wir haben Partner von uns bei rechtlichen Schritten gegen Spamhaus unterstützt, da Spamhaus versuchte (und immer noch versucht), uns zur Beendigung der Dienste des besagten Kunden zu zwingen. Es ging auch um unsere Partner und Lieferanten, die uns für kriminell erklären, weil wir ihren Forderungen nicht nachgekommen sind. Dies ist ganz klar nicht weniger als ein Machtmissbrauch. Wir, die SquareFlow Group, können lediglich vermuten, dass ihr Umzug nach Andorra mit ihrem fragwürdigen Verhalten zusammenhängt. Offenbar ist (die Vorgehensweise) mit dem Rechtssystem ihres früheren Landes und offensichtlich auch mit dem anderen Parteien kollidiert. (…)

Mit freundlichen Grüßen
SquareFlow Group – Public Relations
In the name of the board of directors: Wim B., Florian B.“

 

Andorra: bekannt für guten Schnee, preiswerte Briefkästen & geringere juristische Hürden

The Spamhaus Project hat folglich jetzt seinen Sitz im Fürstentum Andorra. Andorra ist ein in den Pyrenäen gelegener Kleinstaat, der laut der Wikipedia vor allem „für seine Skiorte, zollfreies Einkaufen und seinen Status als Steueroase bekannt ist“‘. Wichtig dabei ist zu erwähnen: Andorra ist nicht Teil der EU. Die Beziehungen zwischen Andorra und der Europäischen Union wurden lediglich in mehreren Abkommen geregelt. Informationen über Spamhaus ausfindig zu machen, ist alles andere als leicht. Wir wurden nach langem Hin und Her letztlich im Markenregister der EUIPO (Amt der EU für geistiges Eigentum) fündig. Aus dem Eintrag der EUIPO geht lediglich hervor, dass eine Organisation namens Spamhaus IP Holdings S.L.U. derzeit die Rechte an der Markennummer 005703401 besitzt. Das Anmeldedatum der Bildmarke war laut EUIPO der 08.02.2007. Die Beantragung übernahm die britische Anwaltskanzlei boyes turner LLP. Weitere Kontaktdaten hat man dort wohl absichtlich nicht bekannt gegeben. Anderenfalls würde man die Betreiber z.B. mit sinnfreien Telefonanrufen bombardieren. Auch die Website hat man recht gut gegen DDoS-Angriffe geschützt.

spamhaus EUIPO Marke

Screenshot: Ausschnitt der Eintragung der Bildmarke Spamhaus. Eingetragen von der britischen Rechtsanwaltskanzlei Boyes Turner LLP.

Spamhaus Project EU-Marke Auszug

Transparenz gilt nur für andere? Alle Kontaktdaten verborgen. Telefon- und Faxnummer bzw. E-Mail-Adresse sind nicht ohne weiteres öffentlich einsehbar.

 

Rokso Register of Known Spam OperationsROKSO als Stein des Anstoßes

The Spamhaus Project hat es sich offenbar zum Ziel gemacht, die Verursacher des massenhaften Versands unerwünschter Werbe-Mails ungekürzt zu nennen. Dies geschieht wie schon oben ausgeführt, in der ROKSO-Datenbank, die die mutmaßlichen Hintermänner der Spam-Massensendungen offenbaren sollen. Die Tatverdächtigen werden von Spamhaus regelrecht an den Online-Pranger gestellt. Neben vielen persönlichen Daten erhält man Einblick in die Mitteilungen diverser Opfer, die ungeschwärzt zitiert werden. Gibt es keinen Datenschutz für mutmaßliche Spammer? DSGVO, was war das bitte nochmals? Da sich die Organisation nun außerhalb der EU aufhält, muss man wohl mittel- bis langfristig mit keinen juristischen Konsequenzen rechnen.

Auch an die Unschuldsvermutung, eines der Grundprinzipien unseres rechtsstaatlichen Strafverfahrens, will man sich offenbar nicht halten. Anders gefragt: Besteht an den Namen, Anschriften etc. ein öffentliches Interesse? Warum nennt Spamhaus im ROKSO ungekürzt die Daten der Täter, wo man doch selbst so sehr am Schutz der eigenen Kontaktdaten interessiert ist!?? Es erscheint fast so, als wenn die Betreiber mit verschiedenen Maßen messen.

Denn bei der Webseite Spamhaus.org gibt es keine ladungsfähige Anschrift, keine E-Mail-Adresse, keine Telefonnummer etc. Nicht einmal das Land, von wo aus man operiert, gibt man dort an. Wer genauer sucht, wird immerhin bei den FAQ fündig.


nVpn kritisiert die The Spamhaus Block List (SBL)

nvpnDer VPN-Anbieter nVpn kritisiert das Projekt noch aus anderen Gründen. Die Spamhaus Block List (SBL) ist eine ständig aktualisierte Datenbank mit IP-Adressen. Spamhaus rät dringend davon ab, von diesen IP-Adressen elektronische Post anzunehmen. Selbst wirbt man damit, diese Datenbank sei ständig in Echtzeit abfragbar. Auf der Spamhaus-Website steht, die SBL „erlaubt es Mailserver-Administratoren, eingehende Verbindungen von IP-Adressen zu identifizieren, zu markieren oder zu blockieren, die nach Spamhaus‘ Ansicht am Versand, Hosting oder an der Entstehung von unerwünschten Massen-E-Mails (auch „Spam“ genannt) beteiligt sind. Die SBL-Datenbank wird von einem engagierten Team von Ermittlern und Forensikexperten in 10 Ländern gepflegt, die rund um die Uhr daran arbeiten, neue bestätigte Spam-Probleme aufzulisten und – was ebenso wichtig ist – gelöste Probleme zu löschen.“

Doch wie genau die Ermittlung, Überprüfung oder gar Löschung der Einträge funktioniert, führt man dort nicht aus. Die Betreiber von nVpn haben nach eigenen Angaben immer wieder Probleme mit diesen Einträgen. Hostingfirmen gehen auf die Barrikaden und drohen, die Verträge zu kündigen. Schon im Januar 2019 teilte uns ein Sprecher mit, ihre VPN-Server in Albanien waren zwischenzeitlich „vermutlich wegen eines SBL-Entries“ down. Der Grund dafür ist schnell erklärt. Der Ticket-Support der Hosting-Firma hatte nicht reagiert. Die User beklagten sich beim Anbieter, dass sie sich nicht mehr über den albanischen Server verbinden lassen konnten.

Das war allerdings keine Ausnahme. „So etwas passiert natürlich immer wieder, dass ein Server wegen SBL-Einträgen zeitweise vom Netz genommen wird oder die Firmen uns komplett den Vertrag kündigen. Die schreiben zwar vorab (weil wir in der Regel gezielt danach fragen), sie hätten kein Problem mit SBL, aber sobald die komplette IP-Range von denen auf der Blacklist von Spamhaus landet, sieht die Sache anders aus. Wir hatten bspw. erst vor wenigen Wochen unseren Server in Niš/Serbien genau aus diesem Grund verloren. Zum Glück gab uns die Firma einen teilweisen Refund für die zuvor ein paar Monate im voraus gezahlte Servermiete. Spamhaus ist für uns als VPN-Dienst wirklich ätzend, aber wir müssen halt damit leben. Einfach die Ports zu schließen, wie es inzwischen die Mehrheit der VPN-Anbieter tut, wäre aus unserer Sicht keine Option.“

Wer nicht sofort einknickt, ist ein Bulletproof-Hoster?

Der Sprecher führt seine Kritik weiter aus.

Wenn man einen nicht-loggenden VPN-Dienst betreibt, der so wie wir zu den ganz wenigen zählt, der seinen Kunden die Möglichkeit bietet, bis zu acht Ports (TCP & UDP) zu öffnen, dann bleibt es nicht aus, dass einige Missetäter versuchen, ein solches Angebot für ihre Zwecke zu missbrauchen. Zwar weisen wir in unseren AGBs ausdrücklich darauf hin, dass eine derartige Nutzung untersagt ist, jedoch bedeutet dies nicht, dass sich alle Kunden daran halten. Die Folge ist, dass im Laufe der Zeit einige unserer Präfixe auf der EDROP von Spamhaus gelandet sind. Spamhaus beschuldigte uns fälschlicherweise, »Bulletproof Hosting« zu betreiben, was jedoch nicht der Fall ist, da wir außer VPN-Software nichts auf unseren Servern hosten. Ein EDROP-Eintrag ist aus unserer Sicht noch erträglich, auch wenn dadurch einige wenige Webseiten und der eine oder andere Streaming-Dienst geblockt sind.

Als wirklich problematisch hat sich jedoch eine andere Tatsache erwiesen. Nehmen wir an, wir mieteten irgendwo einen Server und brachten unser eigenes /24 Netz mit, damit dieses entweder unter der ASN (autonomous system number) des betreffenden Hosting-Unternehmens oder unter unserer eigenen ASN announced (= angekündigt) wird. In einem solchen Fall wandte sich Spamhaus an die betreffende Firma und bat darum, den Kunden, also uns, zu entfernen. Tat sie dies nicht, weil man uns und nicht Spamhaus Glauben geschenkt hatte, dass wir ein VPN-Dienstleister und kein »Bulletproof-Hoster« sind, begann Spamhaus, die sauberen Präfixe der betreffenden Firmen auf die SBL zu setzen, mit der Folge, dass alle anderen Kunden nicht mehr in der Lage waren, E-Mails zu versenden. Die Firmen hatten dann keine andere Wahl, als uns zu kündigen, um nicht mit massiven finanziellen Einbußen rechnen zu müssen.“

Beispiel einer solchen E-Mail

SBL Advisory LogoHi,
Unfortunately we can not host you on our network as Spamhaus have blacklisted all of our IPs for hosting your IP/network.
Your server will be cancelled on it’s end date and will not be renewed.
Kindly take your backup asap and move to another provider.
With Regards,
Vikas S.
(Director/Founder)
Skype : v****vp*

 

Mit Abmahnungen zum Ziel?

nVpn hat in den letzten Jahren nach eigenen Angaben auf diese Weise viele Server verloren. Am Ende gab es kaum noch eine Firma, die bereit war, sie zu beherbergen. nVpn legte Tarnkappe.info eine Abmahnung vom 11. Juli 2019 vort. In dem Schreiben der beauftragten Kanzlei behauptet The Spamhaus Project, ein Schweizer Hosting-Provider würde „kriminelle Nötigung“ vollziehen. Der nVpn-Sprecher dazu: „Bisweilen schreckte Spamhaus auch nicht davor zurück, zusätzlich die höheren Upstreams zu kontaktieren und diese ebenfalls zu nötigen, unsere Präfixe nicht mehr zu routen. Nicht alle ließen sich dies jedoch gefallen. Einer begann, juristisch im Vereinigten Königreich, wo sich bisher der offizielle Firmensitz befand, gegen die Spamhaus Ltd. (die das »Ltd.« nicht im Namen tragen musste) vorzugehen.“ In der Folge habe Spamhaus seinen Sitz dann später nach Andorra verlegt.

Seither erreichen uns zwar immer noch SBL-Notifications, die lassen jedoch endlich unsere Hosting-Partner und Upstreams in Ruhe. Inzwischen reagiert Spamhaus auf Anfragen zur Entfernung von SBL-Einträgen überhaupt nicht mehr, was zur Folge hat, dass auch zahlreiche ältere Einträge nicht mehr entfernt werden. (…)

Es ist zwar durchaus lobens- und anerkennenswert, dass Spamhaus in der Vergangenheit sicher dazu beigetragen hat, das Spam-Aufkommen zu verringern, allerdings haben die zuletzt den Bogen weit überspannt. Dazu zählte nicht nur die Veröffentlichung der Namen und Adressen einiger Hardcore-Spammer, sondern auch die Nötigungsversuche gegenüber jenen Firmen, die bereit waren, uns zu hosten. Es ist meines Erachtens wichtig, dass die Methoden jener Organisation weiter publik gemacht werden.“

 


Englisches Video: Was passiert eigentlich, wenn ich eine E-Mail verschicke?

Keine Antworten auf viele kritische Fragen

Es bleiben zur Causa The Spamhaus Project noch viele Fragen offen, die uns niemand beantworten will. Wir haben vor fast drei Wochen beim US-amerikanischen Spam-Forscher und Journalisten, Brian Krebs, per E-Mail eine Presseanfrage gestellt, keine Reaktion. Vielleicht waren schon unsere Fragen zu kritisch, wir wissen es nicht. Wir haben uns bei vielen anderen Unternehmen umgehört. Niemand weiß etwas Genaueres über die Hintergründe. Vieles wirkt nebulös, die Firma selbst schweigt sich aus.

Es wäre beispielsweise spannend zu wissen, wer sie beauftragt bzw. ihr Handeln autorisiert hat? Mit welcher Motivation befreit man das Internet vom Spam? Last, but not least: Wer sind alles die Geldgeber dieses Unterfangens? Irgendwie muss man sich ja finanzieren. Die Tätigkeit von Spamhaus ist zugegebenermaßen sehr sinnvoll. Aber sie ist sicher auch sehr zeitaufwändig…

Tarnkappe.info

 

Beitragsbild: No Junk Mail – Kilkenny, Irland 2019. Foto Lars Sobiraj.

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.