Das Thema wurde seit Langem diskutiert: In Europa gab es nämlich keine zeitliche Grenze, innerhalb derer Provider verpflichtet waren, einen Angriff zu melden, was zu Beschwerden zahlreicher Kunden führte.
Es ist jedoch nicht einfach festzulegen, welche Frist richtig ist, um den Justizbehörden eine erfolgte Verletzung mitzuteilen: In den Vereinigten Staaten, wo man sich früher mit dem Problem befasst hat, hat jeder Staat eigene Regeln. Das Ergebnis ist eine große Vielfalt an Normen: In einigen Staaten reicht es zum Beispiel, den Angriff “irgendwann” zu melden, in anderen gibt es dagegen eine Frist von rund 45 Tagen.
In den achtundzwanzig Staaten der Union wurde daher beschlossen, das Problem entschlossen anzugehen und IT-Dienstleistungsunternehmen eine sehr enge Deadline aufzuerlegen: nicht mehr als ein Tag zwischen Verletzung und Meldung an die Behörde.
Die Antwort der Provider auf Kritik an langsamen Meldungen ließ jedoch nicht auf sich warten: In zu engen Fristen zu arbeiten sei unmöglich, sagen sie, und am Ende würde gerade der Verbraucher den Preis zahlen.
Grund ist die Schwierigkeit, einen Cyberangriff schnell zu erkennen und festzustellen, wer tatsächlich betroffen ist. Eine so enge Grenze von nur vierundzwanzig Stunden könnte ein echtes Verständnis der Bedrohungsart unmöglich machen und unvermeidlich eine Reihe falscher Alarme erzeugen. Außerdem wäre es unmöglich, präzise und vollständige Meldungen zu liefern.
Todd Hinnen, Partner bei Perkins Coie und von SCMagazine interviewt, spricht sich für eine maximale Frist für Meldungen aus, sofern diese eine angemessene Untersuchung nicht verhindert. Der richtige Zeitpunkt der Meldung könne variieren, sagt er, “sollte aber jedenfalls nicht später als 72 Stunden erfolgen”.
Möchten Sie wissen, wie exponiert Ihre Website ist?
EasyAudit WEB prüft Websites, Portale und E-Commerce mit einem professionellen externen Audit für KMU.