Bevor E-Mail-Adressen gehandelt werden können, müssen sie gesammelt werden. Die Methoden reichen von technisch raffiniert bis hin zu schlichtweg kriminell.

A. Der illegale Weg: Data Breaches und Hacking

Dies ist die „dunkle“ Quelle. Wenn große Unternehmen gehackt werden (wie in der Vergangenheit bei Yahoo, LinkedIn oder Marriott), landen Millionen von Datensätzen im Dark Web.

• Die Verkäufer: Hacker-Kollektive oder Einzeltäter, die schnell Kasse machen wollen.
• Die Ware: Oft nicht nur die E-Mail, sondern auch zugehörige Passwörter (im Klartext oder verschlüsselt), Telefonnummern und Adressen.

B. Der Graubereich: Harvesting und Scraping

Hierbei werden automatisierte Bots eingesetzt, die das offene Internet nach dem „@“-Zeichen durchsuchen.

• Web Scraping: Bots extrahieren E-Mail-Adressen von Webseiten, Foren, Impressumsseiten und sozialen Netzwerken.
• Wörterbuch-Attacken: Software generiert Millionen möglicher Adresskombinationen (z.B. vorname.nachname@gmail.com) und prüft, welche davon existieren.

C. Der „legale“ Weg: Co-Registrierung und Datenbroker

Viele Nutzer geben ihre Daten freiwillig, oft ohne es zu merken.

• Gewinnspiele & kostenlose E-Books: Wer hier teilnimmt, stimmt im Kleingedruckten oft der Weitergabe seiner Daten an „Partnerunternehmen“ zu.
• Adressverlage & Listbroker: Diese Unternehmen sammeln legal Daten (oft B2B-Daten aus Handelsregistern oder durch Telefonbefragungen) und vermieten oder verkaufen diese Listen offiziell für Marketingzwecke.

Der Handel findet auf zwei völlig unterschiedlichen Ebenen statt.

Der Dark-Web-Basar

Für illegale Daten aus Hacks gibt es spezialisierte Foren und Marktplätze im Dark Web. Die Transaktionen laufen meist anonym über Kryptowährungen (Bitcoin, Monero) ab. Hierarchien und Bewertungssysteme (ähnlich wie bei eBay) sorgen für „Vertrauen“ unter Kriminellen.

Der offizielle Datenhandel (Clearnet)

Ganz offen im normalen Internet agieren sogenannte Listbroker. Sie bieten hochspezialisierte Listen an, oft für B2B-Zwecke (Business-to-Business).

Hinweis zur DSGVO: In der EU ist der Kauf und die Nutzung von E-Mail-Listen für B2C-Werbung (an Privatpersonen) ohne explizite Einwilligung extrem restriktiv und meist illegal. B2B-Werbung ist teilweise unter strengen Auflagen erlaubt, aber auch hier ist der Markt durch die DSGVO stark abgekühlt.

Die Motivation der Käufer bestimmt oft, welche Qualität sie benötigen und welchen Preis sie zahlen.

Spammer & Betrüger (Affiliate-Spam, Phishing): Sie benötigen Masse statt Klasse. Ihr Ziel ist es, Millionen von E-Mails zu versenden, in der Hoffnung, dass ein Bruchteil der Empfänger auf einen betrügerischen Link klickt.

Unseriöse Marketer: Unternehmen, die schnelle Verkäufe erzielen wollen und sich nicht um Reputationsschäden oder rechtliche Konsequenzen scheren.

Legitime Vertriebsteams (meist B2B): Unternehmen, die nach neuen Geschäftskunden suchen. Sie kaufen oft teure, hochqualitative Listen von Entscheidern einer bestimmten Branche (z.B. „Alle IT-Leiter im Maschinenbau in Süddeutschland“).

Recruiter: Headhunter kaufen Listen von Fachkräften, um sie direkt für Jobs anzusprechen.

Der Preis einer E-Mail-Adresse variiert extrem und hängt fast ausschließlich von ihrer Qualität und der Datentiefe ab. Eine nackte E-Mail-Adresse ist fast wertlos; eine E-Mail-Adresse verknüpft mit Kaufabsichten ist Gold wert.

Faktoren, die den Preis bestimmen:

• Aktualität: Wurde die Adresse im letzten Monat verifiziert oder ist die Liste 5 Jahre alt?
• Datentiefe (Enrichment): Ist nur die E-Mail bekannt, oder auch Name, Alter, Geschlecht, Wohnort, Einkommen und Interessen?
• Exklusivität: Wurde die Liste schon tausendmal verkauft oder ist sie „frisch“?
• B2B vs. B2C: Geschäftskontakte sind fast immer teurer als Privatkontakte.

Man muss realistisch bleiben: Einen 100%igen Schutz gibt es kaum noch, wenn man aktiv am digitalen Leben teilnimmt. Das Ziel ist die Risikominimierung und die Kontrolle darüber, wer Ihre Daten hat.

1. Die „Zwei-Konten-Strategie“ (Basis-Schutz)

Trennen Sie Ihre digitale Identität strikt.

• Die „Tresor“-Adresse: Nur für Banken, Behörden, engste Freunde und wichtige Verträge. Diese Adresse wird niemals für Newsletter, Gewinnspiele oder unwichtige Foren verwendet.
• Die „Spam“-Adresse: Ein zweites Konto bei einem Gratis-Anbieter (GMX, Web.de, Gmail etc.). Diese nutzen Sie für alles andere: Onlineshopping, Newsletter-Anmeldungen, kostenlose Downloads. Wenn diese Adresse zu viel Spam erhält, können Sie sie einfach löschen und eine neue erstellen.

2. Der „+“-Trick (Alias-Tracking)

Viele E-Mail-Anbieter (darunter Gmail und Outlook) unterstützen sogenannte „Sub-Adressierung“.

• Wie es funktioniert: Wenn Ihre Adresse max.muster@gmail.com lautet, können Sie sich bei einem Dienst mit max.muster+newsletter@gmail.com oder max.muster+schuhshop@gmail.com anmelden. Die Mail kommt trotzdem in Ihrem normalen Postfach an.
• Der Vorteil: Wenn Sie plötzlich Spam an die Adresse max.muster+schuhshop@gmail.com bekommen, wissen Sie exakt, dass dieser spezifische Online-Shop Ihre Daten weitergegeben hat oder gehackt wurde.

3. „Wegwerf“-Adressen (Für Einmal-Nutzung)

Wenn Sie nur schnell einen Bestätigungslink klicken müssen, um ein PDF herunterzuladen oder einen Artikel zu lesen, nutzen Sie temporäre Postfächer.

• Dienste: Seiten wie 10 Minute Mail, Guerrilla Mail oder TrashMail generieren eine zufällige Adresse, die sich nach kurzer Zeit selbst zerstört.
• Vorteil: Ihre echte Adresse taucht nirgendwo auf.

4. Moderne Alias-Dienste (Premium-Schutz)

Große Anbieter integrieren mittlerweile automatische Schutzfunktionen, die oft besser sind als der „+“-Trick, da sie für Dritte nicht einfach zu erraten sind.

• Apple „E-Mail-Adresse verbergen“: Wenn Sie iCloud+ nutzen, kann Apple für jede Webseite eine einzigartige Zufallsadresse erstellen (z.B. df395xk@icloud.com), die Mails an Sie weiterleitet. Fängt eine Adresse an zu nerven, deaktivieren Sie genau diese eine.
• Firefox Relay: Ein ähnlicher Dienst von Mozilla, der echte Adressen hinter Aliasen versteckt.

5. Unsichtbar für Bots bleiben (Obfuskation)

• Veröffentlichen Sie Ihre E-Mail-Adresse niemals im Klartext auf Webseiten, in Foren-Signaturen oder öffentlichen Social-Media-Profilen. Bots scannen das Internet rund um die Uhr danach ab.
• Wenn es sein muss: Nutzen Sie Umschreibungen wie „max.muster [at] anbieter [punkt] de“ oder nutzen Sie Bilder, die Ihre E-Mail-Adresse zeigen (Bots können Text in Bildern schlechter lesen).

6. Datensparsamkeit & DSGVO nutzen

• Häkchen entfernen: Achten Sie bei Anmeldungen peinlich genau auf vorausgewählte Checkboxen wie „Ja, ich möchte Partnerangebote erhalten“.
• Recht auf Vergessenwerden: Wenn Sie einen Dienst nicht mehr nutzen, melden Sie sich nicht einfach nur vom Newsletter ab. Nutzen Sie Ihr Recht gemäß DSGVO und fordern Sie den Anbieter auf, Ihren kompletten Account und alle zugehörigen Daten zu löschen.

Es gibt eine sehr bekannte und seriöse Webseite eines Sicherheitsforschers, auf der Sie prüfen können, ob Ihre E-Mail-Adresse bereits in bekannten Datenlecks (Hacks) aufgetaucht ist:

haveibeenpwned.com

Geben Sie dort Ihre Adresse ein. Wenn sie „gepwned“ (kompromittiert) wurde, zeigt Ihnen die Seite, bei welchem Dienst das Datenleck passierte und welche Daten (oft auch Passwörter!) dabei gestohlen wurden.

Während der Handel mit E-Mail-Adressen für Kriminelle ein reines Volumengeschäft ist, bewegen sich legitime Unternehmen in einem Minenfeld. Die europäische Datenschutzgrundverordnung (DSGVO) hat Bußgelder in Millionenhöhe eingeführt, die den einfachen Einkauf von Listen für viele Unternehmen wirtschaftlich zu riskant machen. Der Trend geht daher weg vom Einkauf fremder Daten hin zum mühsamen, aber sicheren Aufbau eigener, legitimer E-Mail-Verteiler.