Gästebücher, Spam und Abwehrmaßnahmen – Teil I

Spam ist eine Geißel des modernen IT-Zeitalters. Ich möchte an dieser Stelle über meinen kleinen Dauer-Krieg mit Spammern in einem Gästebuch berichten. Einiges davon ist sicher auch für Leute interessant, die eigene Blogs oder Foren betreiben und einen Schutz gegenüber Spam aufbauen wollen. Ich kürze mit "FBG" nachfolgend die Begiffs-Kombination "Forum/Blog/Gästebuch" ab.

Ich teile diesen Blog-Beitrag in zwei Teile auf:
Im diesem ersten Teil I beschreibe ich in allgemeiner Weise, welche Maßnahmen man typischerweise zur Absicherung von Gästebüchern oder FBGs einsetzt und wie meine Erfahrungen damit aussehen.

Im zweiten und wichtigeren Teil setze ich mich mit der Generierung von Captcha-Sequenzen mittels PHP auseinander. PHP deshalb, weil viele populäre WEB 2.0-Applikationen in dieser Sprache realisiert werden. Captcha-Mechanismen werden dabei häufig als Hürde für Spammer aufgesetzt.

Leider wird diese Hürde auch immer wieder überwunden - z.T. deshalb, weil die Entwickler bei der Captcha-Generierung die Tücken von "Pseudo-Zufallszahlen-Generatoren" [PRNG] nicht richtig einschätzen. Hierbei ist Vorsicht angesagt - insbesondere dann, wenn der PHP-Code des Blogs/Gästebuchs/Forums als Opensource-Produkt bekannt ist.

Auf adaptive Anti-Spam-Maßnahmen "lernender" Algorithmen z.B. für den Einsatz in E-Mail-Systemen möchte ich in diesen Beiträgen nicht eingehen; das ist ein Thema für sich.

Schutz-Maßnahmen gegen Spam in Foren/Blogs/Gästebüchern

Klassische Maßnahmen gegen Spam-Nachrichten in FBGen sind u.a. folgende :

  1. Check der IP-Adresse gegenüber Blacklists
  2. Check der E-Mail-Adresse auf Besonderheiten und Vergleich gegenüber entsprechenden E-Mail-Blacklists
  3. Erstellung eigener Blacklists aufgrund bestimmter Kriterien für abgewiesene FBG-Beiträge
  4. Untersuchung des Spam-Beitrags-Textes auf bestimmte typische Begriffe oder Phrasen
  5. Aufwandserhöhung für den Spammer durch zeitl. Vorgaben für die Erzeugung des Eintrags oder bei Wiederholungstätern (also bei Wiederholung eines bestimmten Fehlverhaltens) durch zeitl. Sperren der IP-Adressen und/oder E-Mail-Adressen der Absender
  6. Aufwandserhöhung für den Spammer durch hoffentlich (!) nur manuell und nicht maschinell durchführbare Aktionen auf Absenderseite - das klassische Beispiel für diese Abwehrmaßnahme stellen Captcha-Verfahren in unterschiedlicher Ausprägung dar.
  7. Einsatz serverbasierter Spam-Analyse-Dienste (wie Akismet) von kommerziellen oder nichtkommerziellen Anbietern.
  8. Einsatz versteckter Input-Felder, die von automatisierten Spam-Bots fälschlicherweise ausgefüllt werden

Persönliche Erfahrungen mit Abwehrmaßnahmen

Was sind nun meine Erfahrungen mit den verschiedenen Maßnahmen? Ein paar grundsätzliche Anmerkungen vorweg:

Wenn ein Forum/Blog/Gästebuch eine ernsthafte Schwachstelle aufweist, ist die entsprechende Website in der Spammer-"Szene" schneller bekannt, als es dem Besitzer der Website lieb sein kann. Man muss sich hier wirklich die Vorstellung einer organisierten Kriminalität zu eigen machen! Abschalten und Ersatz durch eine bessere SW und/oder Wechsel des Providers statt eines Dauerkrieges können durchaus vernünftige und sinnvolle Maßnahmen sein ! Im Zusammenhang mit Providerwechseln ist es übrigens wichtig, bei seinen Blogs/Foren/Gästebücher selbst Herr über die Daten und die zugehörigen Datenbanken zu sein. Ein krasses Gegenbeispiel zu dieser wünschenswerten Flexibilität liefern in letzter Zeit Blog-/Foren-Angebote oder Web-Baukästen von namhaften Web-Hosting-Providern in unserem Land. Dazu mehr in einem anderen Beitrag.

Nun zu meiner Einschätzung der einzelnen Maßnahmen:

Vergleich der IP-Adresse oder der E-Mail-Adresse gegen Blacklists

Maßnahmen, bei denen IP-Adressen, E-Mail-Adressen oder Domainnamen gegen Blacklists verglichen werden, sind grundsätzlich positiv zu bewerten. Dabei ist es für den Betroffenen Empfänger der Spams zunächst egal, ob die IP eine real benutzte oder eine per HTTP-Header-Manipulation gefälschte ist. Real benutzte IPs können von gekaperten PCs oder anderen Systemen stammen; gefälschte IP-Adressen werden ggf. immer wieder eingesetzt. Egal woher die Spam-Nachricht kommt : Man möchte Sie von den bekannten Adressen abweisen.

Aber die Effektivität dieser Maßnahme hängt extrem von der Aktualität der entsprechenden Listen ab. Meine persönliche Erfahrung ist die, dass man in der Praxis einem Teil der Bot-Networks der Spammer immer hinterherhinkt. Ich konnte in meiner (bescheidenen) Praxis immer wieder feststellen, dass sich die Wellen von SPAM-Angriffen systematisch über bestimmte Regionen verteilen. Bei Misserfolg eines gezielten SPAM-Angriffes wechselt die Region der angreifenden IP-Adressen - und es wird auf immer wieder auf neue, "frische" IP-Adressen zugegriffen. Zu bedenken ist dabei, dass IP-Adressen auch gefälscht sein können.

Ein Problem stellen im Einzelfall auch "False Positives" der Blacklists dar - also IP-Adressen, die dort zu Unrecht landen. Ich denke aber, das sich dieses Thema auf Empfängerseite im Bedarfsfall auch durch eigenen White-Lists korrigieren läßt. I.d.R. melden sich nämlich wirklich wichtige Absender von realen Sendungen/Beiträgen bei dir, wenn auf deren Mails nie reagiert wird, weil die zugehörige IP des Absenders sich auf einer Spam-Liste befindet.

In jedem Fall gilt:
Blacklists (und auch Whitelists) stellen ein wichtiges Mittel in der Bekämpfung von Spam dar. Der Profi wird solche Listen auf Basis öffentlich zugänglicher Quellen in Datenbank-Tabellen laden und die Vergleiche im Zuge der Auswertung und des Unschädlich-Machens der meist per POST übertragenen Daten durchführen. Unter PHP wird man die im HTTP-Protokoll übergebene IP-Adresse aus dem $_SERVER-Array bestimmen. Die E-Mail-Adresse erhält man aus den Input-Feldern des Formulars für den empfangenen Eintrag.
- hier möchte ich am Rande den CSV-Service von "http://spam-ip.com/" lobend erwähnen.

Untersuchung des eingegangenen Beitragstextes und der E-Mail-Adresse des Absenders auf bestimmte Ausdrücke

Tja, hier schlägt die Stunde der regulären Ausdrücke und leider auch diverser Sprachkenntnisse. Erschwerend ist die Tatsache, dass die Vielzahl der Ausdrucksvarianten in verschiedenen Sprachen, die man theoretisch abfangen muss, beliebig groß zu sein scheint.

In einem konkreten Fall, der den Anlaß zu diesem Artikel gegeben hat, habe ich mich in regelmäßigen Abständen in einem Gästebuch durch alle Varianten euphorischer englischer Ausdrücke wie "excellent website", "truly important contents", "fantastic experience to ...", bla, bla, bla durchgekämpft, um nach ca. einem Jahr den gleichen Krieg auf Französisch anfangen zu müssen. Von den diversen Ausdrücken aus dem Bereich des Unterleibs, der Altersvorsorge, der Pharma- und Drogen-Branche ganz zu schweigen.

In der Praxis musste ich auch feststellen, dass professionelle Spammer die Reichweite eigener Ausdrucks- und Wortfilter systematisch austesten. Dies geschieht in Wellen, in denen der Erfolg neuer Phrasen erprobt wird, bis ein bestimmtes Vokabular durchkommt. Und so dreht man unendlich an der Eskalationsschraube .... Kein Spass !

Nein, will man nicht eine wahrlich lexikalische Arbeit leisten, steht man hier ohne eine extrem gute Strategie und ohne ein lernendes Verfahren auf Dauer auf verlorenem Posten. Eigene Filter auf Basis sprachbezogener Listen verdächtiger Ausdrücke helfen nur, wenn die lexikalische Erfassung durch parallel durchgeführte andere Kriterien-Prüfungen gestützt wird - sprich: die Liste der erfassten Negativ-Ausdrücke muss automatisch auf Basis der Inhalte von Text-Eingängen, die aus anderen Gründen als Spam verworfen wurden, erweitert werden. Entsprechende Extraktionsalgorithmen sind allerdings nicht einfach zu schreiben - nicht jeder Ausdruck einer Sprache ist für sich genommen problematisch. Hier muss man entweder Semantik in reguläre Ausdrücke umsetzen oder im nachhinein statistische Auswertungen bestimmter Wortkombinationen durchführen. Beides keine Jobs, die man nebenbei erledigen kann.

Aufwandserhöhung für den Spammer durch Zeitfenster

Normalerweise limitiert man in der IT offene Zeitfenster durch einen maximalen Zeitintervallwert, der ab einer bestimmten Anfangsaktion gesetzt wird. Im Fall von Spam-Abwehr geht man genau andersherum vor:

Man lässt eine Eingabe erst zu, wenn ein vorgegebenes minimales Zeitintervall überschritten wird. Der Grund ist einfach: Man will schnelle, maschinelle Eingabesequenzen unterbinden und dadurch den Aufwand für den Spammer erhöhen. Allerdings gibt es hier zwei Gegeneinwände:

Die Zeitintervallmessung auf dem Client ist leicht auszuhebeln. Das gilt bei unzureichender Programmierung aber leider auch für den Server. I.d.R. macht man den Aufruf einer Webseite und den zugehörigen Zeitstempel dort an einer Session-Id fest. Dies ist bei maschinellen Angriffen dann unzureichend, wenn das FBG mehrfach und praktisch zeitgleich unter Verwendung ein- und derselben Session-Id angegriffen wird. Was für den Angreifer einfach möglich ist.

Um dem entgegenzuwirken, sind in schnellen Session-Pufferspeichern Counter zu hinterlegen, die dann von allen parallel gestarteten Instanzen des Empfangsprogramms ausgelesen werden können. Die Counter sind hochzuzählen und auf Limits zu prüfen. Datenbankspeicher sind hierfür in der Regel zu langsam.

De zweite Einwand betrifft die Tatsache, das die Angreifer durch Messungen das gesetzte Zeitintervall herausfinden können und dann den Beitrag verzögert zum Server zurückliefern. Dann hat man aber immerhin die Frequenz für ein und dieselbe IP-Adresse abgesenkt.

Die dritte Einwand ist, dass diese Maßnahme nicht gegen Bot-Netzwerke schützt, die hochfrequent von verschiedenen IP-Adressen aus angreifen.

Dennoch sehe ich Zeitlimit-Verfahren als sinnvolle Hürden an. Ich habe in eigenen Spamfiltern gesehen,dass diese doch einen nicht unwesentlichen Teil von Angriffen blocken. Sie müssen aber hinreichend programmiert werden. Den Aufwand dafür sehe ich als relativ gering an.

Captcha-Verfahren in unterschiedlicher Ausprägung

Die Grundidee beim Einsatz von Captcha-Verfahren ist so simple wie im Kern überzeugend:
Man konfrontiert den Absender eines Blog/Foren/Gästebuch-Beitrags vor dem Transfer der Nachricht mit einer Aufgabe, die

  • etwas Zeit und Aufwand kostet,
  • möglichst den Einsatz von Fähigkeiten erfordert, die primär Menschen zu eigen sind,
  • nicht durch intelligente Algorithmen in kurzer Zeit gelöst werden kann,
  • nicht durch dumme, aber schnelle "brute force" Algorithmen von Computern ausgehebelt werden kann.

Woher kennt man einen Teil dieser Anforderungen ? Natürlich aus der Kryptographie. Wie wird das Anforderungsprofil umgesetzt?

Eine Gruppe von Captcha-Verfahren baut auf der verzerrten Anzeige von alphanumerischen Zeichensequenzen mit statistischer Auswahl und Reihenfolge der Zeichen vor einem diffusen, detailreichen Hintergrund auf. Die Idee ist hierbei, dass nur das menschliche Hirn die entsprechende Mustererkennung mit geringem Aufwand leisten kann. Ich persönlich halte das für eine Fehleinschätzung, akzeptiere aber den Einwand, dass der Einsatz hinreichender OCR-Verfahren auch für Spammer-Gruppen einen nicht unbeträchtlichen Aufwand darstellt und die Frequenz der Angriffe doch beträchtlich reduziert.

Eine andere Gruppe von Captcha-Verfahren generiert einfache Rechen-Aufgaben auf der Basis zufällig erzeugter Zahlen oder bekannter Begriffe.

Wovon hängt der Erfolg von Captcha-Verfahren ab? Vor allem davon, ob die Codes tatsächlich statistisch zufällig erzeugt werden! Leider ist das in vielen Fällen aber gar nicht der Fall. Hinter der Captcha-Erzeugung steckt i.d.R. ein Algorithmus, der sog. "Zufallszahlen" generiert. Das Ergebnis einer solchen Generierung ist nur "pseudo"-zufällig. Tatsächlich tauchen in den erzeugten Zahlen Muster und Sequenzen mit unterschiedlicher Periode auf. Dies erlaubt entweder die Vorhersage des erzeugten Codes oder aber zumindest einen hohe Wahrscheinlichkeit für einen positv erratenen Wert.

Ein typisches Beispiel hierfür liefert die PHP-Funktion rand(). Siehe hierzu etwa
http://www.random.org/analysis/
oder
http://programmers.stackexchange.com/questions/76229/predicting-the-output-of-phps-rand
http://stackoverflow.com/questions/12729459/is-it-possible-to-predict-rand0-10-in-php

http://www.suspekt.org/2008/08/17/mt_srand-and-not-so-random-numbers/

Und genau damit fangen die wirklichen Probleme von manchen Captcha-Programmen an. Dies gilt im besonderen dann, wenn die eingesetzten Algorithmen auch dem Spammer einsehbar sind.

Die Gefahr besteht dann nicht darin, dass der Spammer einen Weg findet, die Catcha-Abfrage zu umgehen. Die Gefahr besteht vielmehr in einer korrekten Vorhersage der Captcha-Codes durch den Spammer und der automatisierten Übergabe an das Programm zur Übernahme des FBG-Beitrags (und das zugehörige Captcha-Prüfprogramm).

Ich gehe auf dieses Thema im Detail im zweiten Artikel ein.

Meine Einschätzung von Captcha-Verfahren ist, dass diese ein sehr sinnvolles Mittel zur Spam-Abwehr darstellen, wenn die Zufallsgeneratoren gut sind und/oder dem Spammer der Algorithmus zur Zufallszahlen-Erzeugung nicht bekannt ist. Für beide Ziele kann man übrigens Web-Services heranziehen, wen einem der Aufwand zur eigenen Programmierung zu hoch sein sollte.

Diese Einschätzung von Captchas stützt sich auf konkrete Erfahrungen und Messungen. So wehre ich auf der von mir betreuten Website von ca. 200 Spamangriffen pro Tag auf das Gästebuch etwa 98% aufgrund fehlerhafter Captcha-Codes ab. Beim Rest besteht der begründete Verdacht einer manuellen Eingabe der Captcha-Codes durch den Spammer für Tests.

Ergänzung 13.03.2013:

Ich habe einige E-Mails erhalten, die meine Einschätzung von Captchas zu positiv finden. Die Gegenargumente machen sich fest

  • an der nicht gegebenen Barrierefreiheit visueller Captchas,
  • an einer evtl. nervenden und abschreckenden Wirkung auf Kunden (Nichtlesbarkeit, mehrfaches Neugenerierung des Captchas erforderlich, bevor man den alphanmerischen Code erkennt),
  • an eventuellen OCR-basierten Maßnahmen der Spammer zum Auslesen der visuellen Captcha-Codes.

Ich gebe zu: Diese Punkte haben alle ihre Berechtigung. Vor allem das mit der Nicht-Barriere-Freiheit. (Diesen Punkt habe ich ja in einem früheren Artikel über den E-Mail-Schutz auf Impressum-Seiten ja ironischerweise selbst ins Feld geführt). Aber es gibt halt auch noch die Klasse der aufgabenbasierten, rein textuell dargestellten Captchas. Man sollte daher auf Webseiten durchaus alternative Captcha-Verfahren anbieten.

Webbasierte Antispam-Dienste

Es gibt Dienste im Internet, die die Überprüfung von Blog- und Gästebuchbeiträgen auf Spam-Eigenschaften übernehmen. Für die "FBG"
existieren in der Regel entsprechende Plugins, die den Datenaustausch mit dem Service übernehmen.

Der Vorteil dieser Services besteht in einer guten Erkennungsrate.

Der Nachteil ist, dass viele der Anti-Spam-Service-Provider im Ausland (oft den USA) sitzen und dass "alle" FBG-Beiträge mit Ihrem gesamten Inhalt zum Dienstanbieter übermittelt werden - samt IP- und Mail-Adresse des Absenders des "FBG"-Beitrags. Dies betrifft dann auch die guten, unbescholtenen FBG-Nutzer.

Hier bestehen potentielle Konflikte mit dem Datenschutz: Eigentlich muss der Absender sein Einverständnis dazu geben, dass sein Beitrag samt seiner persönlichen E-Mail-Adresse an Dritte weitergeleitet wird. Im besonderen dann, wenn im Land des Service-Anbieters keine wirksamen Datenschutzregeln gelten.

Das erhöht den Aufwand für den FBG-Betreiber beträchtlich, denn man muss eine entsprechende Botschaft an den Sender des Beitrags loswerden, bevor der Übertragungsvorgang zum Blog oder Gästebuch beginnt. Dies bedeutet zusätzlichen Entwicklungsaufwand und/oder eine Modifikation der Beitragshandhabung im Blog/Gästebuch-Programm. Viele Opensource-Anwendungen beinhalten entsprechende Freigabemechanismen durch den Beitragsschreiber nicht von Haus aus - von einer Protokollierung der Freigabe ganz zu schweigen.

Zudem würden viele Besucher eines FBGs eine explizite Warnung und Aufforderung zur Freigabe der Datenübermittlung an z.B. US-amerikanische Server womöglich irritierend finden. Es regt sich dann unwillkürlich auch ein Zweifel an der technischen Kompetenz der FBG-Betreiber. Nach dem Motto: Warum bekommen die das nicht selber hin ?

Ein weiterer Nachteil des Antspam-Service-Angebots im Web besteht darin, dass die Inanspruchnahme der meisten dieser Services für den Betrieb kommerzieller FBG-Seiten kostenpflichtig ist.

Methode versteckter Input-Felder, die von Spam-Bots ausgefüllt werden

Nachtrag 13.03.2013: Ich möchte nicht versäumen, auf zwei Artikel hinzuweisen, die noch eine andere Methode der Spam-Abwehr diskutieren:

http://www.1ngo.de/web/captcha-spam.html (Der Autor vertritt übrigens die durchaus interessante und diskussionswürdige Meinung, dass Captchas "Blödsinn" seien.)

http://www.fastix.org/Abwehr+von+Spam+in+Gaestebuechern-+Kommentaren-+Foren+und+Kontaktseiten.htm

Die Methode besteht darin, per CSS versteckte Input-Felder anzubieten, die "dumme" Spam-Bots aber im HTML-Code "sehen" und typischerweise ausfüllen. Das Programm auf dem Server, das die Beiträge entgegen nimmt, wertet dann die "unsichtbaren" Felder aus, die ein menschlicher Besucher der Webseite leer gelassen hätte. Steht trotzdem etwas in einem solchen Feld, ist ein maschineller Zugriff zu Spamzwecken wahrscheinlich.

Ich kann mir gut vorstellen, dass das eine wirksame Methodik ist, die ich selber aber bislang nicht eingesetzt habe. Ich kann daher keine eigenen Erfahrungswerte angeben und verweise diesbzgl. auf die angegebenen Artikel.

Fazit

Von den beschriebenen Maßnahmen gefällt mir persönlich am besten der Vergleich der IP- und E-Mail-Adressen mit lokalen Blacklists. Diese müssen allerdings regelmäßig aus zuverlässigen Quellen upgedated werden.

Blacklists sind z.B. erhältlich bei:
http://www.heise.de/ix/NiX-Spam-DNSBL-und-Blacklist-zum-Download-499634.html
http://spam-ip.com/spam-blacklist.php

Ob die Qualität ausreichend ist, mag jeder selber beurteilen. Bei der Verwendung importierter Listen gibt es ja zwei Risiken:

  1. Die Listen sind für eine eigene Auswertungsmaschinerie zu groß. (Beim Einsatz indizierter Datenbanken eher unwahrscheinlich.)
  2. Die Listen enthaltene zu viele Falsch-Einträge.

Interessant finde ich in diesem Zusammenhang den Ansatz von iX, die Einträge der Listen dynamisch auch wieder zu reduzieren. Ergänzend sei auch auf die Möglichkeit der Online-Anbindung an Listen von bestimmten Service-Providern über Webservice-Schnittstellen hingewiesen.

Blacklist-Maßnahmen können aus meiner Sicht gut mit Captcha-Verfahren kombiniert werden. Der Algorithmus des zugehörigen Captcha-Zufallszahlengenerators ist aber kritisch zu beurteilen und geheim zu halten. Im Falle des Einsatzes von Opensource-FBG-Anwendungen empfiehlt sich an dieser Stelle deshalb eine geeignete Modifikation des PRNG-Algorithmus durch den Betreiber vor dem Produktiv-Einsatz des FBG. (Mehr dazu im zweiten Artikel).

Hilfreich gegen hochfrequente Spam-Angriffe sind auch Zeitlimits für die Mindestdauer der Beitragserzeugung und Limits für den Zeitabstand zwischen eintreffenden Beiträgen.

Auf der Basis bestimmter Kriterien für abgewiesene Beiträge kann man dann sukzessive eigene gut fundierte Blacklists von IP-Adressen oder IP-Adress-Bereichen erstellen.

Im kommenden zweiten Teil diskutiere ich speziell potentielle Tücken PHP-basierter Captchas.

Spam-Schutz von E-Mail-Adressen im Web-Impressum?

Nachfolgenden Artikel habe ich eigentlich in einem anderen Blog verfasst. Ich finde aber, dass die Thematik auch gut zu diesem Blog passt.

Gestern erhielten wir eine Kundenanfrage: Was man denn tun könne, um eine in der Kunden-Webseite enthaltene E-Mail-Adresse vor Spam-Mißbrauch zu schützen?

Das ist eine Frage, die sich keineswegs so eindeutig und einfach beantworten ließe, wie man zunächst meinen könnte. Gräbt man sich erst einmal in die Thematik ein, umso schwieriger stellt sie sich dar. Man gelangt zudem schnell in rechtliche Grauzonen - besonders in Hinblick auf die genaue Form der Angabe der E-Mail-Adresse auf der Impressum-Seite einer Website.

Ich nehme es vorweg:

Ich beleuchte in diesem Artikel zwar die Thematik des Spam-Schutzes von E-Mail-Adressen in Websites unter verschiedenen Blickwinkeln - aber eine explizite Vorgehensempfehlung für Impressum-Webseiten spreche ich nicht aus. Ich rate diesbzgl. vielmehr zu rechtlicher Beratung.
Mein letztliches Fazit wird sein: Investiert lieber in gute Spamfilter !

Wem das als Ergebnis zu wenig ist, erspare sich einfach die weitere Lektüre. Andere Leser werden aber hoffentlich den einen oder anderen erwägenswerten Gedanken finden. Zumindest habe ich versucht, die Grenzen bestimmter Maßnahmen aufzuzeigen und plausibel zu machen.

Rechtliche Aspekte im Zusammenhang mit der E-Mail-Adresse auf der Impressum-Seite einer Web-Präsenz

Meine erste reflexartige Frage an den erwähnten Kunden war, ob er denn die E-Mail-Adresse auf der Impressum-Seite meinen würde und ob er sich über die rechtlichen Vorgaben in Deutschland im Klaren sei. Soweit man sich denn als juristischer Laie darüber überhaupt klar werden kann.

Die gesetzliche Vorgabe und den formalen Maßstab für die erforderliche E-Mail-Angabe auf der Impressumseite einer Website liefert das Telemediengesetz ("TMG"; http://www.gesetze-im-internet.de/bundesrecht/tmg/gesamt.pdf). Wie viele andere Gesetze ist auch dieses interpretationsfähig. Am Ende des Artikels habe ich deshalb Links zu Webseiten zusammengestellt, in denen sich Andere - z.T. Juristen - mit dem Thema auseinandergesetzt haben.

Dem aufmerksamen Leser wird bei der Lektüre solcher und anderer Beiträge zur Rechtssituation kaum entgehen, dass z.B. der Einsatz von elektronischen Grafiken anstelle einer E-Mail-Adresse im Klartext auf der Impressumseite durchaus umstritten ist. Sehen Sie hierzu u.a.: http://www.datenschutzbeauftragter-info.de/impressum-spam-schutz-grafik-e-mail/
Bzgl. der Zulässigkeit von Verfremdungen der E-Mail-Adresse als Anti-Spam-Maßnahme wird die rechtlich verlässliche Information für Impressum-Seiten schnell noch weniger als dünn.

Meine laienhafte Interpretation und Zusammenfassung der im Web zusammengestellten Kommentare oder Empfehlungen ist folgende:

Die Angabe der E-Mail-Adresse ist bis auf wenige Ausnahmen, die auf unsere Kunden i.d.R. nicht zutreffen, grundsätzlich Pflicht. Eine einfache elektronische Kontaktaufnahme soll möglich sein. Auch ein kurzfristiges Beantworten von Fragen muss ermöglicht werden. Ein Kontaktformular allein reicht dazu nicht aus. Nicht nur im Impressum kommerziellen Sites müssen Telefonnummer und/oder Faxnummer daher zusätzlich zur E-Mail-Adresse angegeben werden.
 
Mit großer Wahrscheinlich gilt ferner, dass ein Besucher der Website die E-Mail-Adresse auch bei Benutzung nichtgrafischer Browser oder von Screen-Readern herausfinden können muss. Hier zieht aus meiner Sicht ein Verbot der Benachteiligung von Mitbürgern mit einer Sehbehinderung.

Sollte diese Interpretation stimmen, dann ergibt sich fast zwangsläufig:

  • Elektronische Bilder statt (ggf. leicht verfremdeter) Klartext-Adressen auf der Impressum-Seite sind zu vermeiden.
  • Bestimmten Verfremdungen der E-Mail-Adresse durch CSS-Verfahren oder durch den Einsatz javascript-basierter Mechanismen sind auf der Impressumseite mit hoher Wahrscheinlichkeit Grenzen gesetzt.

Dazu unten mehr.

Schutz vor was?

Eine weitere Fragen an den Kunden ist:
Welche Aktion eines Spammers zur Erlangung einer E-Mail-Adresse genau willst du denn abwehren? Das Erfassen durch Hinschauen? Oder das Erfassen durch maschinelle Analyse des HTML-Codes und/oder von Javascript-Programmen? Und zu welchem Preis willst du das verhindern?

Wenn man die E-Mail-Adresse auf der Impressum-Seite mal außer Acht lässt, könnte man ja auf den Gedanken kommen, auf bestimmten Seiten der Web-Präsenz Web-Formulare zur Kontaktaufnahme einzusetzen, um so die Angabe einer E-Mail-Adresse ganz zu vermeiden. Ist das wirklich so einfach, wie es sich anhört? Sind Web-Formulare problemfrei?

Als Maßnahme gegen automatisierte Auswertung des HTML-Codes werden im Web auch auch mehr oder weniger aufwändige Methoden zur Verfremdung von E-Mail-Adressen diskutiert. Dabei hegt man die Hoffnung, das eine solche Hürde wenigstens einen Teil der Spammer abhält. Wie berechtigt ist diese Hoffnung eigentlich ?

Schutz gegen Hinschauen?

Oftmals will man seine E-Mail-Adresse auf einer Webseite gar nicht visuell verbergen. Denn eine Kontaktmöglichkeit für ernsthafte Besucher der Webseite oder gar Kunden soll ja ermöglicht werden! Und auf der Impressum-Seite ist die Angabe der E-Mail-Adresse in Deutschland ja in der überwiegenden Anzahl der Fälle sowieso ein Muss (s.o.).

Die oft beschworene Methode, zum Schutz vor Spam ein elektronisches Bild statt Klartext auf der Webseite einzusetzen, entspricht genau dieser Motivation. Geschützt wird die E-Mail-Adresse dabei bewusst nur gegen maschinelle Programme wie Spam-Bots/Crawler und eben nicht gegen den Blick eines neugierigen Betrachters.

Dies bedeutet umgekehrt, dass natürlich auch ein Spammer die E-Mail-Adresse auf der Webseite durch schlichtes Hinschauen erfassen kann. Vor dem "Hingucken" und "Verstehen" eines Angreifers schützen tatsächlich die allerwenigsten adressbezogenen Anti-Spam-Verfahren. Im "Hingucken" des Spammers finden auch alle Verfahren zur Verfremdung der E-Mail-Adresse ihre Grenze. Hierbei meine ich nicht mal allein das Hinschauen mit den Augen - mafiös organisierte Spammer werden auch den Aufwand mit Bild- und OCR-ähnlichen Auswertemethoden nicht unbedingt scheuen.

Nun könne man meinen, OCR-Verfahren und Hingucken seien ineffektiv. Aber es gilt:

Ist eine E-Mail-Adresse erst einmal bekannt, kann sie direkt als Teil einer wachsenden Adressliste in den einschlägigen Spammer-Kreisen vermarktet werden.

Damit dreht sich die Diskussion im Kern eigentlich um die Frage nach dem Verhältnis von Nutzen zu Aufwand auf der Seite des Spammers. Lohnt es sich für Spammer im Einzelfall, physisch "hinzuschauen" statt die Ergebnisse von Bot- und Crawler-Programmen heranzuziehen? Ich persönlich glaube leider, dass diese Frage zunehmend mit ja zu beantworten ist.

Diese Einschätzung nährt sich aus der Analyse der Spam-Angriffe auf eine von uns betreute Website, auf der Captcha-Verfahren zum Einsatz kommen. Hier zeigt sich, dass immer wieder Aktionen vorkommen, bei denen der begründete Verdacht naheliegt, dass der Spammer (oder ein von ihm abhängiger Billiglohn-Arbeiter?) eine manuelle Eingabe des Captcha-Codes durchgeführt hat und nicht ein Programm. Nun könnte man weiter vermuten, dass solche manuellen Schritte primär dem Austesten des Captcha-Verfahrens dienten. Aber das ist ja genau der Punkt:

Wenn sich im Einzelfall ein solcher manueller Test lohnt, dann lohnt sich das Hinschauen auf E-Mail-Adressen ggf. auch. Man darf dabei nicht vergessen, dass es weltweit traurigerweise sehr viele sehr billige Arbeitskräfte gibt, die "professionelle" Spammer-Organisationen einsetzen können. Geht man von einer bis zwei manuell erfassbaren Adressen pro Minute aus, so kann bereits eine einzelne Person viele hundert Adressen pro Tag in guter Qualität "ernten".

Stimmt diese Mutmaßung, so relativiert das den Sinn aufwändiger Anti-Spam-Maßnahmen doch sehr. Geld und größere Anstrengungen sollten dann eher in die Auswahl und Implementierung guter Spam-Filter für die E-Mail-Systeme fließen - nicht nur beim Endverbraucher sondern in der gesamten E-Mail-Transfer-Kette, auf die man einen Einfluss hat.

Einsatz elektronischer Bilder statt einer E-Mail-Adressangabe im Klartext?

Bilder sind im Zusammenhang mit Webseiten vor allem eines: sie sind nicht barrierefrei !

Dies benachteiligt Menschen mit Sehbehinderung bei der Kontaktaufnahme eindeutig. Auf der Impressumseite einer Web-Präsenz ist der Einsatz eines Bildes für die Angabe der E-Mail-Adresse deshalb wohl als sehr kritisch einzustufen. Siehe hierzu u.a. folgenden interessanten Artikel:
http://www.shopbetreiber-blog.de/2011/02/24/abmahnung-impressum-grafik/.
Ich finde die dortigen Argumente nachvollziehbar und denke wie der Verfasser, dass man eine Bild-"Lösung" aus rechtlichen Gründen in Deutschland eher vermeiden sollte.

Ferner gibt es auch kosmetische Nachteile von Bildern: Man bekommt die Schrift im Bild trotz des Leistungsvermögens von Bildbearbeitungsprogrammen manchmal nicht genau so hin, dass sie aussieht wie die vom Browser generierte Schrift. (Etliche Nutzer erlauben eine Darstellung im Browser sowieso nur mit vorgegebenen Fonts anstelle derjenigen, die der Webseiten-Code vorsieht.) Linienartige Inhalte bestimmter elektronischer Bildformate werden beim Skalieren der Web-Seite durch den Anwender ggf. verzerrt - hier sind gerade ältere Browser anfällig. Die krakeligen Schriften sehen dann halt nicht schön aus.

Einsatz von Kontaktformularen ?

Will man seine E-Mail-Adresse auf bestimmten Web-Seiten visuell absolut nicht preisgeben und trotzdem eine elektronische Kontaktaufnahme jenseits von Telefon und Fax ermöglichen, so kann man alternativ serverbasierte Kontakt- und Anfrage-Formulare auf der Webseite anbieten. Dabei betone ich nochmals folgende Einschränkung:

Auf einer Impressum-Seite ist gem. TMG ein Kontaktformular allein nicht hinreichend ! Selbst als Ersatz für eine Telefonummer muss die interne Handhabung des Kontaktformulars offenbar bestimmten Anforderungen genügen. U.a. soll eine maximalen Weiterleitungs- und Reaktionszeit von 60 Minuten gewährleistet sein. Sehen Sie hierzu bitte die Links am Ende des Artikels.

Ferner muss man sich die Frage stellen: Welche Schwierigkeiten bringt denn der Einsatz elektronischer Kontaktformulare auf Webseiten ggf. mit sich? Sind diese denn gegen Spam gefeit?

Nein, das sind sie natürlich nicht! Kontakt-Formulare, die ohne E-Mail-Adressangabe im HTML- oder einem Javascript-Code auskommen, beruhen meist auf einer Server-Skript-Sprache wie PHP. Ein Skript wertet die per POST- oder GET-Verfahren übergebenen Daten aus. Daten lassen sich aber mit Schad- und Spamcode befrachten. Auch Web-Formulare müssen deshalb natürlich gegen die Übergabe von Spam und gegen andere elektronische Angriffe geschützt werden! Formulare sind ohne Zusatzmaßnahmen geradezu ideale und prädestinierte Ziele für maschinelle, elektronische Angriffe! Davon können gerade Administratoren von Blogs und Foren ein Lied singen!

Erforderlich ist zum einen eine rigorose Prüfung der übergebenen Daten, um XSS-Angriffe und andere Angriffsvektoren, die auf die Datenhaltung am Server zielen, zu vermeiden. Diese Thematik ist nicht gänzlich trivial. Entsprechende Maßnahmen schließen aber übergebene Spaminhalte noch nicht aus. Als Anti-Spam-Schutzmaßnahme werden in Web-Formularen deshalb zusätzlich sog. Captcha-Verfahren eingesetzt. Captcha-Programme stellen dem Besucher einer Website Aufgaben oder erfordern eine Analyse visueller Bilder mit verzerrten alphanumerischen Zeichensequenzen. Die Hoffnung dabei ist die, dass diese Aufgaben nur von Menschen und nicht von einer Maschine oder einem Programm gelöst werden können. Das mag im Einzelfall ja so sein. Es hat sich in unserer Praxis aber auch gezeigt, dass bei unzureichend programmmierten Captcha-Verfahren die statistische Verteilung der generierten Zeichen oder Aufgabenbestandteile keineswegs so zufällig ist, wie vom Laien oder Gelegenheitsprogrammierer oft angenommen. Es gibt durchaus Beispiele, in denen die von Pseudo-Zufallszahlengeneratoren (PRNG) erzeugten Catcha-Sequenzen vorhersagbar sind. Hierzu mehr in einem anderen, separaten Artikel. Beim Einsatz von Web-Formularen muss man also sehr auf die Qualität der verwendeten Captcha-Verfahren achten.

Ein grundsätzlicher Nachteil rein visueller Captcha-Verfahren ist in jedem Falle die nicht gegebene Barrierefreiheit! Das schließt deren Einsatz auf Impressum-Seiten aus meiner Sicht aus.

Zudem kann man darüber streiten, ob das Lösen einer Captcha-Aufgabe der Anforderung einer leichten Kontaktaufnahme nicht im Wege steht. Die angeführten Punkte gelten übrigens gleichermaßen für den Einsatz von Verfahren, bei denen der visuelle Zugang zu einer E-Mail-Adresse erst nach der Lösung einer Captcha-Aufgabe freigegeben wird.

Fazit zum Einsatz von Web-Formularen:
Der Einsatz von elektronischen Kontaktformularen verschiebt das Problem von Spamangriffen und anderen ggf. noch gefährlicheren elektronischen Angriffsverfahren nur auf andere elektronische "Schlachtfelder". Auf Impressum-Seiten kann ein Formular die Angabe der E-Mail-Adresse sowieso nicht ersetzen.

Schutzmaßnahmen gegen eine automatisierte Auswertung des HTML-Codes ?

Das, was auf einer Webseite sichtbar ist, ist in der Regel auch im HTML-Code oder im Javascript-Code, der an den Browser übermittelt wurde, in lesbarer Form hinterlegt. Solche Inhalte können dann durch Bot- und Crawler-Programme automatisiert erfasst werden. Das gilt i.d.R. auch für Mail-Adressen.

Im Laufe der Zeit wurden verschiedene Ansätze ausprobiert, die auf einer Webseite bzw. im Impressum angegebene E-Mail-Adresse entweder schon im Klartext oder zumindest im HTML-Code zu "verfremden" und dadurch schützen. Eine gute Übersicht zu den eingesetzten Methoden liefert folgende Web-Seite unter "drweb.de":
http://www.drweb.de/magazin/wirklich-wirksamer-schutz-fr-e-mail-adressen/

Unter den dort diskutierten Varianten spricht der sehr geringe Realisierungsaufwand, der zudem keine Spezialkenntnisse voraussetzt, für CSS-basierte Verfremdungsansätze in Kombination mit folgenden zusätzlichen Verfahren:

  • Klartext-Verfremdung nach dem Muster "renate (dot) musterfrau [at] gmx (dot) de" (oder Teilen dieses Musters)
  • HTML-Code-Verfremdung mit Hilfe des Ersatzes von Klartext durch UTF8-Zeichencode-Nummern.

Zur Umsetzung des letzten Ansatzes helfen im Netz zugängliche UTF8-Übersetzer; siehe etwa:
http://www.internetende.com/mailadresse.htm">http://www.internetende.com/mailadresse.htm

Zwei gängige CSS-basierte Verfahren - nämlich die "Umkehrung der Zeichenreihenfolge" und die "Integration von im Browser nicht dargestellten Tags" - sind im oben zitierten Dr.Web-Artikel explizit ausgeführt. Ich erspare mir deshalb eine explizite Beschreibung des Codings an dieser Stelle.

All diese Ansätze sind jedoch kritisch zu würdigen - sowohl unter dem Gesichtspunkt der technischen Umgehung als auch in Bezug auf ihren Einsatz auf Impressum-Seiten:

Kritikpunkt 1 - Leichte Umgehbarkeit durch Spam-Bots
Ich arbeite auch als Entwickler. Meiner begründeten Meinung nach gilt grundsätzlich, dass alle (!) genannten Ansätze programmtechnisch mit relativ geringem Aufwand ausgehebelt werden können. Das ist sogar so einfach, dass ein Spam-Bot-Programmierer, der diese Möglichkeit nicht nutzt, eher als faul zu bezeichnen wäre. CSS-basierte Schutzmaßnahmen können durch ein Minimum an Tag- und CSS-Analyse und Aufhebung der CSS-Anweisungen unwirksam gemacht werden. Noch einfacher geht es durch Auswerten eines bereinigten Zeichenstroms, der von einem hinreichenden HTML/CSS-Interpreter ausgespuckt wird. Noch simpler ist es, UTF8-Zeichencodes zu erkennen und zu übersetzen. Gleiches gilt für den Einsatz von verfremdenden Blanks, Klammern und verschiedenen Formen eines ausgeschriebenen "at", "Ät" etc.. Wir sind hier wieder mal bei der Frage gelandet: Welcher Aufwand lohnt sich für die Spam-Mafia?

Dennoch: Da der Aufwand zur Implementierung dieser Hürden auch auf unserer Seite klein ist, sehe ich keinen prinzipiellen Grund, diese minimalen Barrieren gegen Spammer nicht zu nutzen. Aber man muss sich über Folgendes im Klaren sein:

Verfremdungen durch eingesetzte Blanks, Klammern und Ausschreiben von "@" als "at" bieten gegen hinreichend programmierte Spam-Bots keinerlei wirksamen Schutz ! Das Gleiche gilt für den Einsatz von ISO- oder UTF8-Zeichensatz-Nummern. Weiterführende CSS- und javascript-basierte Verfahren können mit mehr oder weniger geringem Aufwand unwirksam gemacht werden.

Mit dieser Meinung stehe ich keinesfalls alleine da. Siehe etwa den folgenden Link:
http://www.cedis.fu-berlin.de/cms/doc/faq/allgemein/email-adressen.html.
Doch es gibt noch mehr Gegenargumente.

Kritikpunkt 2 - Eventuelle Verletzung der Barrierefreiheit
Bzgl. des Einsatzes auf Impressum-Seiten vermute ich, dass der Verfremdung dort Grenzen gesetzt, wo sie sich ggf. negativ auf die Barrierefreiheit für Sehbehinderte auswirkt. Intuitiv würde ich zwar annehmen, dass moderne Screen-Reader UTF8-Zeichen-Nummern korrekt umsetzen, aber wer weiß .....

Ein Fragezeichen ist auch bei der Interpretation einer umgedrehten Zeichenreihenfolge zu setzen. Ich muss zu meiner Schande gestehen, dass ich schlicht nicht weiß, wie Screenreader für Blinde sich hier verhalten. Für Hinweise bin ich dankbar. Ein getesteter Befund macht mich aber schon mal sehr misstrauisch:

In einem rein textbasierten Browser wie Lynx wirkt die CSS-Anweisung zur Umkehrung der Textreihenfolge nicht:
<span style="unicode-bidi:bidi-override; direction: rtl;">CBA</span>
wird in Lynx nicht als "ABC" sondern als "CBA" dargestellt.

Das macht diese Methode meiner Meinung nach für den Einsatz auf Impressum-Seiten ungeeignet.

Ähnliches gilt für das Hinzufügen von angeblich "nicht sichtbaren Tags" auf der Basis der CSS-Anweisung "display:none;". Der Inhalt dieser Tags taucht nämlich in rein textbasierten Browsern wie Lynx dennoch auf ! Damit verbietet sich bei Anwendung dieser Methode ein anderer Text innerhalb des Tags als ein schlichtes "Blank" (&nbsp;). Ein Blinder hätte ansonsten erhebliche Mühe, sich die E-Mail-Adresse zusammen zu reimen. Ein "Spamschutz" der Art "renate (dot) mustermann   [at] gmx (dot) de" ist dann aber kaum mehr wert als die Variante ganz ohne das "unsichtbare Tag".

Grundsätzlich würde ich mal sagen:

Alles was in Lynx so dargestellt werden würde, dass es beim Leser zu Verwirrung führen könnte, ist beim Einsatz von Screenreadern für Sehbehinderte sicher als noch problematischer einzustufen. Unter diesem Gesichtspunkt sollten deshalb alle Verfremdungsmaßnahmen grundsätzlich mit einem textbasierten Browsern ausgetestet werden. Das dies natürlich vor allem für die Impressum-Seite gelten muss, versteht sich nach der bisherigen Lektüre von selbst.

Demnach fällt die Umkehrung der Schreibrichtung für Impressum-Seiten aus. Und die Methode mit der Ergänzung unsichtbarer Tags reduziert sich letztlich auf das Einfügen von "Blanks" auf eine komplexe Weise.

Kritikpunkt 3 - Umgehung CSS-basierter Maßnahmen durch Auswertung eines Textstroms aus einem HTML-Interpreter
Da wir gerade schon Lynx ansprachen: Spammer, die einen geringen Aufwand nicht scheuen, werden den HTML-Code evtl. gar nicht direkt auswerten, sondern zuvor durch einen HTML-Interpreter wie den Kern von Lynx schicken. Der interpretiert dann HTML, CSS, ggf. auch Javascript und setzt das Ergebnis schließlich in einen bereinigten ASCII/ANSI-Textstrom um, der wieder voll lesbar und maschinell auswertbar ist. Bei einer solchen Vorgehensweise, die auf bereits interpretiertem HTML-Code aufsetzt, versagen die diskutierten CSS-basierten Verfremdungen natürlich völlig. (Übrigens auch ein Teil an Javascript-Verfremdungen).

Kritikpunkt 4 - Die große Ungewißheit: Sind Verfremdungen der E-Mail-Adresse auf Impressum-Seiten überhaupt zulässig ?
Ich bin wirklich kein Jurist. Es erscheint mir aber plausibel, dass eine Verfremdung zumindest auf verständliche, nachvollziehbare und leicht korrigierbare Effekte begrenzt bleiben muss. Wenn ich die juristischen Texte zum Impressum richtig einschätze, so ist es wohl zumutbar, dass jemand die E-Mail-Adresse zur Kontaktaufnahme abtippt. Als Unbedarfter stellt man sich dann die Frage: Vielleicht ist es dann ja auch zumutbar, dass der Besucher der Impressumseite im Zuge des Abtippens kleine verständliche Korrekturen vornimmt, wie etwa das Entfernen von "Blanks" ("Leerzeichen") und den Ersatz eines "at" durch ein "@"?

Allerdings sollte man dies dem User dann auf der Webseite wohl auch explizit mitteilen. Genau so verfahren heute viele Webseiten - als Beispiel sei etwa die Webseite eines Services der Sparkassen genannt:
http://www.siz-service.de/index.php?id=44 (Stand: 04.03.2013)

Man beachte im genannten Beispiel aber auch die Feinheiten: Der Verfremdungseffekt ist wirklich minimal ! Hier werden ausschließlich Blanks zur Abgrenzung des "@" benutzt. Der Benutzer wird zudem explizit auf die Verfremdung aufmerksam gemacht und es wird gesagt, was er tun muss, um eine funktionierende E-Mail-Adresse zu erhalten. Hier spürt man regelrecht das Unbehagen der Seitenersteller !

Der Leser sei deshalb gewarnt:

Ich habe zum diskutierten Thema viel gegoogelt. Man findet meiner Ansicht nach im Moment keine vertrauenswürdige Seite mit juristischer Kompetenz im Hintergrund, die explizit feststellen würde, dass eine Verfremdung nach dem oben angegebenen Muster auf einer Impressum-Seite zulässig sei ! Das halte ich für wirklich bemerkenswert !

Sieht man sich dann mal bei den Webseiten großer deutscher Unternehmen und/oder öffentlichen Verwaltungen um, so wird man feststellen, dass praktisch alle dieser Organisationen Verfremdungen auf der Impressum-Seite vermeiden! Dort findet man überall direkt kopierfähige E-Mail-Adressen in schönster Klartextform - ganz ohne zwischengeschobene Blanks und ohne ausgeschriebenes "at". Anders ist dies dagegen bei mittelständischen Firmen, besonders bei den kleinen.

Nun kann der Leser spekulieren: Ist die Ursache die, dass große Unternehmen bessere Rechtsberater haben und sich nicht trauen, Verfremdungen der E-Mail-Adresse vorzunehmen? Oder gab schlicht das Vertrauen in die sicher üppigen Anti-Spam-Maßnahmen dieser Groß-Unternehmen den Ausschlag, auf Verfremdungen zu verzichten?

Ich traue mich nicht, das zu beurteilen. Und so spreche ich deshalb explizit keine Empfehlung aus und rate jedem, sich rechtlich in puncto Verfremdung der E-Mail-Adresse auf der Impressum-Seite beraten zu lassen!

Verfremdungs- und Schutzmaßnahmen auf Basis von Javascript

Es gibt im Web eine ganze Reihe von Seiten, die Schutzmaßnahmen für E-Mail-Adressen auf der Basis von Javascript anbieten. Ich stehe dem skeptisch gegenüber. Ausschlaggebend sind 3 Punkte:

  • Javascriptcode kann am Browser eingesehen und verstanden werden. Dann brechen die Schutzmaßnahmen zusammen.
  • Javascript setzt im Browser einen aktivierten Javascript-Interpreter voraus. Das ist in manchen textbasierten Browsern von Haus aus nicht gegeben. Aber auch in vielen Firmen ist Javascript aus Sicherheitsgründen abgeschaltet.
  • Javascript ist auf älteren Mobil-Geräten nicht voll umfänglich verfügbar oder fehlerhaft implementiert.
  • Javascript ist nicht behindertenfreundlich und steht einer Barrierefreiheit in der Regel im Weg.

Aus diesen Gründen scheiden für mich auch Javascript-basierte Maßnahmen für Impressum-Seiten aus. Hier erscheint mir die Möglichkeit, mit dem TMG in Konflikt zu geraten,doch relativ groß zu sein.

Fazit: Was bleibt von den beschrieben Maßnahmen eigentlich übrig?

Aufwandsorientierung
Nach den von mir dargestellten Argumenten ist die Luft für sinnvolle, sicher zulässige und zugleich wirksame Schutzmaßnahmen ziemlich dünn. Grundsätzlich bin ich aber der Meinung, dass man auch kleine Hürden nicht verschmähen soll. Und da orientiere ich mich dann schlicht am zu betreibenden Aufwand. Für gewöhnliche Webseiten einer Web-Präsenz kann man vor allem an einfache Verfremdungsmaßnahmen denken. UTF8-Einsatz schadet nicht, der Einsatz von unsichtbaren Zusatztags mit " " als Inhalt wohl auch nicht. Das Einfügen von Blanks und Klammern finde ich auch für Laien erkenn- und nachvollziehbar.

Auf einer Impressumseite ist die rechtliche Lage dabei für mich nicht wirklich abschätzbar. Ob man hier geringfügige Verfremdungen, die auch Sehbehinderte auf ihren Geräten erkennen und auflösen können, vornehmen will, muss jeder also selber entscheiden. Wenn man es denn tatsächlich tun will, sind explizite Hinweise an die Besucher der Seite sicher angebracht und hilfreich.

Einsatz spezifischer und leicht austauschbarer Mailadressen
Unabhängig von Schutzmaßnahmen: Ich denke, bei Webseiten ist der Einsatz spezifischer und vor allem leicht ersetzbarer Email-Adressen und zugehöriger Mailboxen sinnvoll. Die Vorteile sind:

  • Man erkennt sehr einfach, dass der Kontakt über die Webseiten-Info hergestellt wurde.
  • Man kann die Mails leicht in bestimmte Bearbeitungs-, Filter- und Empfangskanäle oder Mailboxen lenken.
  • Man kann die Adresse schnell austauschen, wenn die Spamflut trotz aller Filter überhand nimmt.

Kontaktformulare auf Nicht-Impressumseiten nur dann, wenn andere Gründe als die Spamabwehr dafür sprechen
Auf Nicht-Impressumseiten sind Kontakt-Formulare eventuell eine sinnvolle Lösung. Aber ich sehe hier viel eher fachliche Gründe als den Grund der Spamabwehr. Die Daten der Kunden kann man in eine Datenbank überführen, man kann sie in Form von Mails aufbereiten und viele andere schöne Dinge machen. Wie oben bereits festgestellt: Die Spam- und XSS-Abwehr bei Web-Formularen ist dagegen kompliziert und technisch anspruchsvoll. Das fängt bei ganz trivialen Fragen an: Soll man z.B. Quittungsmails an den Nutzer des Formulars verschicken? Und wenn ja mit welcher eigenen Adresse? Ggf. schickt man dadurch ja einem Spammer eine schöne Antwort und bestätigt, dass er durchgekommen ist. Und die zu berücksichtigenden Themen hören bei der Auswahl guter PRNG-Verfahren als Grundlage der Captcha-Generierung keineswegs auf.

Spam-Filter als primäre Maßnahme
Bzgl. noch komplexerer Abwehr-Maßnahmen finde ich, dass man sich den Aufwand einfach sparen und lieber in eine gute Spamlösung investieren sollte. Wegen der Vorgaben des Gesetzgebers für die Impressum-Seiten wird man ein gewisses Spam-Aufkommen wohl nie los werden. Also muss man filtern. Bei uns hat sich eine Kombination aus Spamfiltern

  • beim Internet- oder Web-Provider,
  • auf unserem eigenen Mail-Server (spamassassin),
  • auf einigen Mail-Clients

bewährt. Einzige Nachteile: Spamassassin muss immer mal wieder ein Ham/Spam-Training durchlaufen. Und man muss regelmäßig einen Blick auch in die Spam-Verzeichnisse für den Fall werfen, dass doch mal eine Mail falsch einsortiert wurde.

Also: Es bleibt nur, viel Spaß beim Filtern der Spams zu wünschen, die wegen der verpflichtenden E-Mail-Adress-Angabe auf der Impressum-Seite sicherlich früher oder später eintrudeln werden.

Links

http://www.online-werberecht.de/impressumspflicht.html
http://www.linksandlaw.info/Impressumspflicht-45-kontaktformular.html
http://linksandlaw.info/Impressumspflicht-Notwendige-Angaben.html
http://www.impressum-recht.de/abmahnung-bei-verstoss-gegen-impressum-pflicht.html
http://irights.info/schutz-der-eigenen-webseite-vor-abmahnungen/7047
http://www.jurawelt.com/aufsaetze/8588

http://www.datenschutzbeauftragter-info.de/impressum-spam-schutz-grafik-e-mail/
http://www.shopbetreiber-blog.de/2011/02/24/abmahnung-impressum-grafik/
http://rechtsanwalt-schwenke.de/abmahnung-wegen-impressums-als-bilddatei/
http://www.shopbetreiber-blog.de/2008/05/15/lg-essen-kontaktformular-statt-e-mail-adresse-im-impressum-unzureichend/
http://www.ferner-alsdorf.de/2010/09/olg-naumburg-email-adresse-muss-leserlich-in-das-impressum/

http://www.impressum-generator.de/tag/internetportal/
http://www.leipzig.ihk.de/inhalt/geschaeftsfeld/Recht-Fair-Play/Wettbewerbsrecht/Angabe-der-E-Mail-Adresse-im-Impressum-ist-ausreichend.aspx/
http://www.it-recht-kanzlei.de/5/Viertes_Thema_Rechtsprechungsuebersicht_2008-2010/impressum.html