Eine Kalkulation der tatsächlichen Kosten lässt sich nur schwer durchführen, da auch indirekter Schaden entsteht und zudem umstritten ist, inwieweit die Zeit der Privatpersonen kostenmäßig zu bewerten ist. Darüber hinaus kann sich aus der betrügerischen Eigenart von Spam oder der schädlichen Programme, die mit Spam-E-Mails transportiert werden, bedeutenderer finanzieller Schaden für die Anwender und Firmen ergeben, z.B. durch Phishing.
Für eine Einschätzung der Kosten beim E-Mail Spam müssen verschiedene Faktoren betrachtet werden. Die Faktoren unterscheiden sich wie folgt:
Zeit des Anwenders:
Die verlorene Produktivität stellt den größten Kostenblock dar. Dieser entsteht, wenn Anwender z.B. ihre eingehenden E-Mails auf Spam prüfen. Ein anderer Kostenteil liegt im Prüfen der Quarantäne oder dem Updaten der Whitelists. Die Kosten für die verlorene Produktivität ergeben pro Mailbox jährlich 63 Euro (angenommen: 3 Spam-E-Mails/ Tag, 5 Sek. pro Spam-E-Mail, 60 € Stundenlohn, 252 Arbeitstage/ Jahr).
Help-Desk-Kosten:
Die Anwender können Unterstützung vom Help-Desk Dienst bei Spamthemen bekommen. Hierbei fallen Kosten für die Zeit des Anwenders und den Help-Desk-Dienst an.
Technische Kosten:
Zu den technischen Kosten zählen vor allem Verarbeitungs- und Speicherkosten. Bei vielen Organisationen verdoppeln sich aufgrund der zu erweiternden E-Mail-Infrastruktur wegen des gestiegenen Spamaufkommens die Kosten. Zu den Kosten werden zusätzliche Hardware, Betriebssysteme und Mailserver-Softwarelizenzen gerechnet. Des Weiteren können durch E-Mail-Archivierung, in einigen Branchen, wie dem Gesundheitswesen vorgeschrieben, Kosten entstehen, wenn ungefilterter E-Mail- Spam mitarchiviert wird. Ein anderer Aspekt sind die Kosten für die verlorene Bandbreite durch heruntergeladene E-Mails.
Immaterieller Schaden:
Da über 25 % der Spam-Attacken pornografische Inhalte aufweisen, empfinden viele Eltern einen Verlust der elterlichen Kontrolle über ihre Kinder. Dies ist ein Grund, dass in vielen Haushalten Kinder nicht mehr unbeaufsichtigt das Internet nutzen dürfen.
Ein anderer Effekt zeigt sich in der veränderten Art und Häufigkeit, mit der Internet-Anwender E-Mail nutzen. Beispielsweise ist es üblich, mehrere E-Mail-Adressen zu haben, wovon die privaten nur guten Bekannten mitgeteilt werden. Die Anwender zögern, ihre E-Mail-Adresse anzugeben – bei der Teilnahme an Foren oder Newsgroups aufgrund der Angst, ihre Adresse könnte von Harvestern „gesammelt“ werden. Darüber hinaus sind einige Anwender zurückhaltend bei der Verwendung von Webseiten und Auktionsseiten, die eine Registrierung mit einer E-Mail-Adresse erfordern.
Deshalb kann argumentiert werden, dass Spam dem positiven Nutzen des Internets schadet und einen tiefgreifenden Effekt über die E-Mail als solche hinaus hat. Schließlich können die “False Positives” (E-Mails, die fälschlicherweise als Spam erkannt werden) umfassende wirtschaftliche Folgen für ein Geschäft haben, wenn hierdurch wichtige Informationen verloren gehen. Dabei können die Kosten kaum beziffert werden, da Unternehmen oft zögern, solche Vorfälle öffentlich zu nennen.
Verluste durch Phishing:
Phishing erzeugt neben den o.g. Aspekten einen direkten finanziellen Verlust für die Opfer, deren Kreditkarten und Bankkonten belastet werden. Dazu kommt der Zeitverlust und der Stress, dem die Opfer ausgesetzt sind. Phishing betrifft 39 % der großen sowie der kleinen Unternehmen mit mehr als 182.000 dokumentierten Phishing-Attacken 2009. 14 % der Phishingattacken sind beim Stehlen von Informationen erfolgreich. Diese Attacken kosten betroffene Unternehmen über 3 Milliarden Dollar/ Jahr. Darüber hinaus fügen sie dem Unternehmen einen deutlichen Reputations-Schaden zu.
Die echten Opfer sind aber die Konsumenten – die Kunden der betroffenen Unternehmen. Diese Konsumenten werden Opfer von Kreditkartendiebstahl, Identitätsdiebstahl und gestohlenen Kontoinformationen. Die Opfer finden ihre Konten kompromittiert, ihre Kreditkarten, benutzt für unautorisierte Käufe, und ihre Bankkonten “überfallen” vor. Es kann Monate wenn nicht Jahre dauern bis sich ein Opfer von den Effekten einer Phishing-Attacke erholt. Die meisten Verluste ereignen sich in den ersten 24 Stunden einer Attacke. Von daher kann am besten ein Verlust verhindert werden, wenn die Attacke schnell erkannt wird und die Phishing-Website so schnell wie möglich abgeschaltet wird.
Der Profit der Spammer:
Spam ist für den Sender so gewinnträchtig, dass er selbst mit geringer Rücklaufquote hohe Gewinne erzielen kann. So verschickt Jeremy Jaynes zehn Millionen Spam-E-Mails/ Tag, wirbt für zumeist ungewünschte Produkte und verdient mit 750.000 $/ Monat insgesamt 24 Millionen $, bevor er zu neun Jahren Gefängnis verurteilt wird. Heutzutage kann ein erfahrener Spammer leicht 800.000 $/ Monat verdienen. Aus der folgenden Tabelle kann geschlossen werden, dass Direkt-Mail-Kampagnen fast 2800 mal kostenintensiver sein können als das Versenden ungewünschter E-Mails.
Nach Symantecs Angaben (2010) ist die Rücklaufquote noch geringer als 0,0005. So führten 350 Millionen Spam-E-Mails zu 28 Käufen à 100$. Da aber über Botnetze 360 Millionen Spam-E-Mails in einer Stunde gesendet werden können, ergibt sich ein Millionenbetrag für die Webseitenbetreiber. Symantec schätzt den Umsatz auf 3,4 Millionen $/ Jahr bei sehr niedrigen Kosten/ Spam-E-Mail. So werden eine Millionen E-Mail-Adressen zwischen 25 und 50 $ gehandelt. Für den Versand von einer Millionen Spam-E-Mails werden zwischen 100 und 500$ gezahlt. Ein Botnetz mit 10.000 infizierten PCs bauen Cyberkriminelle für 330 bis 800$ auf.