Mit dem EU-Telekommunikationsrecht – gemeint ist der Europäische Kodex für die elektronische Kommunikation (Richtlinie (EU) 2018/1972, der „EECC“) – wird von den Anbietern öffentlicher elektronischer Kommunikationsnetze oder -dienste verlangt, ihre Nutzer zu benachrichtigen, wenn eine besondere und erhebliche Bedrohung für diese Netze oder Dienste vorliegt. Diese Pflicht ist inzwischen auch im deutschen TKG umgesetzt.
Die ENISA versucht, hierzu Hilfen zur Gestaltung solcher Warnungen zu bieten. Die auf TK-Anbieter ausgelegten Hinweise geben dabei zugleich gute Beispiele für Warnungen im Allgemeinen.
Sicherheits-Warnungen – eine Kunst für sich
Warnungen vor Cyber-Bedrohungen sind keine einfache Aufgabe und bedürfen einer hohen Sorgfalt, wie in dem Papier gut herausgearbeitet wird: Wenn man zu oft vor Cyber-Bedrohungen warnt, könnten die Nutzer die Warnungen auf lange Sicht nicht mehr Ernst nehmen oder gar ignorieren. Ebenso kann es von begrenztem Nutzen sein, vor einer allgemeinen Bedrohung zu warnen, wenn die Kunden nur sehr wenig dagegen tun können oder werden. Andererseits ist es wahrscheinlicher, dass die Warnung eines Kunden vor einer bestimmten, unmittelbar bevorstehenden und dennoch lösbaren Bedrohung zu greifbaren Ergebnissen führt. Insbesondere kann sie dem Kunden helfen, zu verhindern, dass sich die Bedrohung zu einem Sicherheitsvorfall ausweitet.
Checkliste für Sicherheitswarnungen
Auf Basis der Überlegungen erarbeitet die ENISA eine Checkliste zur Gestaltung von Warnungen:
Das Fazit der ENISA: Die Wahl des richtigen Kanals und der richtigen Methode für die Kontaktaufnahme mit den Benutzern ist von hoher Bedeutung. Vielfache und schlecht gestaltete Warnungen könnten dazu führen, dass die Benutzer sie nur schwer von betrügerischen Nachrichten unterscheiden können. In einigen Fällen können solche Warnungen die Wahrscheinlichkeit eines Betrugs sogar noch erhöhen. Cyberangriffe beginnen oft mit einer SMS oder E-Mail, die einen alarmierenden Text und einen Aufruf zu dringendem Handeln enthält.
- Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration - 2. November 2024
- Schlag gegen die Plattformen „Flight RCS“ und „Dstat.CC“. - 2. November 2024
- Sophos‘ „Pacific Rim“-Bericht zu chinesischen Cyberangriffsstrategien - 2. November 2024