Durch die Corona-Pandemie hat die Nutzung von Videokonferenzlösungen in Verwaltung und Wirtschaft erheblich zugenommen. Die Systeme dienen dabei nicht nur der Kommunikation, sondern auch dem gemeinsamen Erstellen und Bearbeiten von Dokumenten. Bei der Nutzung solcher Dienste entstehen Risiken für die Vertraulichkeit, Verfügbarkeit und Integrität der übertragenen Daten. Zur Absicherung gegen diese Risiken hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Entwurf eines neuen Mindeststandards veröffentlicht. Der Mindeststandard richtet sich insbesondere an Stellen des Bundes und beschreibt die Aspekte, die beachtet werden müssen, um beim Einsatz von Videokonferenzdiensten ein definiertes Mindestsicherheitsniveau zu erreichen. Der „Mindeststandard des BSI für Videokonferenzdienste“ steht auf der Webseite des BSI als Community Draft zur Kommentierung zur Verfügung.

SICHERHEITSANFORDERUNGEN

BSI-Präsident Arne Schönbohm erklärt: Videokonferenzen gehören spätestens seit dem Ausbruch der Corona-Pandemie zum beruflichen Alltag in vielen Behörden. Auch über die Pandemie hinaus werden viele Einrichtungen des Bundes weiterhin Videokonferenzsysteme nutzen. Als Cyber-Sicherheitsbehörde des Bundes gibt das BSI mit dem neuen Mindeststandard Sicherheitsanforderungen vor, die dafür sorgen, dass auch in digitalen Konferenzen Vertrauliches vertraulich bleibt. Der neue Mindeststandard des BSI ist somit eine wichtige Grundlage für die sichere Gestaltung der Digitalisierung in der Bundesverwaltung und kann eine Blaupause für Unternehmen und andere Institutionen sein.

Hierzu hat das BSI einen Entwurf (Community Draft) veröffentlicht. Folgende Konzeption sollten von Verantwortlichen aufgestellt werden, damit Konferenztools sicher betrieben werden können:

  • Sicherheitsrichtlinie für den Dienst
  • IT-Sicherheitskonzept für den Dienst
  • Notfall- und Kontinuitätsmanagement
  • Störungsmeldung und- behebung
  • Cloud-Nutzung

Folgende funktionalen Anforderungen sind durch den Verantwortlichen lauf BSI zukünftig notwendig:

  • Verschlüsselung
  • Signalisierung der Kamera- und Mikrofonaktivität
  • Anzeige der Teilnehmer
  • Anzeige der Aufzeichnungsfunktion
  • Absicherung von Dateiablagen
  • Deaktivierung sicherheitsrelevanter Leistungsmerkmale

SICHERHEITSMAßNAHMEN UND TECHNOLOGIEN

Das Dokument greift dazu die Systematik des IT-Grundschutz-Kompendiums auf. So teilt es die Anforderungen an Videokonferenzlösungen in Basis- und Standardanforderungen sowie Anforderungen für erhöhten Schutzbedarf ein. Der Einsatz von Videokonferenztechnik in behördlichen VS-Bereichen wird zukünftig in einem Dokument geregelt, dass noch in Arbeit ist.

Das Kompendium trägt der voranschreitenden Verschmelzung von Informations- und Kommunikationstechnik Rechnung. Es stellt dar, wie engmaschig moderne Videokonferenzlösungen in die IT eingewoben sind, welche Risiken sich daraus ergeben und wie man diesen begegnet. Zudem werden Herausforderungen im Zusammenspiel mit Cloud- und KI-basierten Diensten berücksichtigt.

Neben der Informationssicherheit werden auch operative und funktionale Aspekte dargestellt. Dazu gehören unter anderem die Raumausstattung oder Beispiele für die Erstellung von Leistungsverzeichnissen für die Ausschreibung von Videokonferenzsystemen.