Videokonferenzen besser absichern Vertrauliches soll vertraulich bleiben

Autor Susanne Ehneß

Die Nutzung von Videokonferenzlösungen hat pandemiebedingt in den letzten Monaten massiv zugenommen. Zur Absicherung der oft sensiblen Daten hat das BSI nun einen neuen Mindeststandard veröffentlicht und bittet um Feedback.

Firmen zum Thema

Videokonferenzen gehören derzeit zum beruflichen Alltag
Videokonferenzen gehören derzeit zum beruflichen Alltag
(© Вадим Пастух - stock.adobe.com)

Mit Videokonferenzen dürfte mittlerweile nahezu jeder Mitarbeiter einer Behörde oder anderen öffentlichen Einrichtung vertraut sein. Durch die Corona-Pandemie waren und sind solche Online-Meetings oftmals die einzige Möglichkeit, mit Sichtkontakt zu konferieren. Dabei geht es oftmals nicht nur um die Kommunikation oder den Informationsaustausch an sich, sondern auch um das gemeinsame Erstellen und Bearbeiten von Dokumenten – und genau hier liegt die Krux, denn im Öffentlichen Dienst sind die meisten solcher Daten besonders schützenswert.

Um einen solchen Schutz besser gewährleisten zu können, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Mindeststandard veröffentlicht. Diese Anforderungen richten sich insbesondere an Stellen des Bundes und beschreiben die Aspekte, die beachtet werden müssen, um beim Einsatz von Videokonferenzdiensten ein definiertes Mindestsicherheitsniveau zu erreichen. Sie sollen nicht nur funktionale Anforderungen an den Dienst selbst regeln, sondern auch die Konzeption, Planung, Beschaffung, den Betrieb sowie Anforderungen an die Benutzer thematisieren. Gleichzeitig kann der Mindeststandard auch allen anderen Interessierten einen kompakten Einstieg in die Thematik bieten.

Vertrauliches soll also vertraulich bleiben, wie BSI-Präsident Arne Schönbohm betont. „Der neue ­Mindeststandard des BSI ist somit eine wichtige Grundlage für die ­sichere Gestaltung der Digitalisierung in der Bundesverwaltung und kann eine Blaupause für Unternehmen und andere Institutionen sein“, erklärt Schönbohm.

Inhalt

Inhaltlich beschreibt der Mindeststandard zunächst den Unterschied zwischen selbst- und fremdbetriebenem Nutzungsmodell sowie die – vom Nutzungsmodell unabhängigen – Sicherheitsrichtlinien und -konzepte für Videokonferenzdienste:

  • Die Verwaltung muss ein IT-Sicherheitskonzept bzw. eine -richtlinie nach IT-Grundschutz für Videokonferenzdienste erstellen.
  • Zusätzlich müssen die zuständigen Datenschutz-, Geheimschutz- und IT-Sicherheitsbeauftragten bei der Erstellung des Sicherheitskonzeptes bzw. der -richtlinie beteiligt werden.
  • Für ein vollständiges IT-Sicherheitskonzept muss außerdem festgelegt werden, in welchem Szenario – innerhalb der Netze des Bundes oder über offene ­Netze – welcher Videokonferenzdienst eingesetzt wird. Für ­Netze des Bundes müssen die Anforderungen des „Mindeststandards NdB11“ eingehalten werden.
  • Auch die für die Konferenz freigegebenen Datenkategorien müssen festgestellt werden. Geheim- und Datenschutzaspekte sowie Personen- und Dienstgeheimnisse gilt es zu berücksichtigen.
  • Möglicherweise entstehende Risiken müssen vorab ermittelt und „hinreichend reduziert“ werden.
Der neue Mindeststandard des BSI ist eine wichtige Grundlage für die sichere Gestaltung der Digitalisierung in der Bundesverwaltung.

Arne Schönbohm, Präsident des BSI

Wenn es sich bei einem Videokonferenzdienst oder einer seiner Komponenten um einen externen Cloud-Dienst handelt, muss zusätzlich der „Mindeststandard des BSI zur Nutzung externer Cloud-Dienste“ eingehalten werden.

Auch hinsichtlich der Verschlüsselung leistet das BSI genaue Vorgaben: Bei der Datenübertragung über „nicht vertrauenswürdige Strecken“ muss der Videokonferenzdienst eine Verschlüsselung der Medien- und Signalisierungsdaten gemäß der Empfehlungen der „Technischen Richtlinie TR-0210219“ gewährleisten. Und: „Der Endpunkt des Videokonferenzdienstes muss die Kamera- und Mikrofonaktivität optisch darstellen, damit das Ausspähen von Personen und Räumlichkeiten erkannt werden kann“, heißt es im Papier. Diese Darstellung könne über die Hardware (LED-Anzeige neben Webcams) oder Software (Kamera- und Mikrofon-Symbole) stattfinden.

Bei der Absicherung von Datei­ablagen gibt es mehr Spielraum: Laut Mindestandard können die Videokonferenzdienste sowohl ­interne Dateiablagen des Dienstes als auch externe Dateiablagen (wie zum Beispiel Cloud-Dienste) nutzen.

Bei fremdgehosteten Diensten sollten die Sicherheitsanforderungen vertraglich zugesichert werden und müssen schon in der Leistungsbeschreibung im Rahmen der Beschaffung berücksichtigt werden. Der Dienstanbieter muss bei Vertragsabschluss zudem darlegen, an welchen Lokationen die Daten gespeichert und verarbeitet werden, da es hier Unterschiede in den Zugriffsrechten durch Ermittlungsbehörden gibt. Die BSI empfiehlt die Zuordnung in „innerhalb Deutschlands“, „innerhalb der EU“ und „außerhalb der EU“. Für die Rechenzentren, aus denen Videokonferenz-Dienstleistungen erbracht werden, gilt zusätzlich der „Mindeststandard des BSI zur Anwendung des HV-Benchmark kompakt 4.0“.

Der Mindeststandard des BSI regelt darüber hinaus die Einbindung in das hauseigene Information-­Security-Management-System (ISMS), die Sensibilisierung und Schulung der Nutzer sowie das Ausschließen unberechtigter Konferenzteilnehmer.

Beta-Phase

Der Mindeststandard befindet sich derzeit in der Beta-Phase. Da er aktuell und praxisnah gestaltet werden soll, hat das BSI Anwender aus der Bundesverwaltung dazu eingeladen, sich zu beteiligen. „Fachlich fundierte Kommentierungen sind sowohl von Anwendern aus der Bundesverwaltung als auch aus den öffentlichen Stellen der Länder und der Kommunen sowie aus der IT-Wirtschaft willkommen“, betont das BSI. „Ihre Rückmeldungen sind ein wichtiger Bestandteil der Qualitätssicherung des Mindeststandards.“ Zur Qualitätssicherung durchläuft ohnehin jeder Mindeststandard laut BSI mehrere Prüfzyklen einschließlich des Konsultationsverfahrens mit der Bundesverwaltung.

Kommentare und Rückmeldungen zur Mitgestaltung können bis zum 26. März 2021 per eMail an mindeststandards@bsi.bund.de gerichtet werden.

Die Beta-Version des „Mindeststandards des BSI für Videokonferenzdienste“ ist als PDF auf den BSI-Seiten zu finden.

Hintergrund

Der Mindeststandard basiert auf dem im April 2020 veröffentlichten „Kompendium Videokonferenzsysteme“. Dieses beschreibt unterschiedliche Arten von Videokonferenzsystemen und stellt die Gefährdungslage dar. Zudem beinhaltet es Sicherheitsanforderungen, die einen sicheren Betrieb von Videokonferenzdiensten ermöglichen. Das Kompendium soll Anwendern und Betreibern dabei helfen, den gesamten Lebenszyklus organisationsinterner Videokonferenzsysteme sicher zu gestalten, von der Planung über Beschaffung und Betrieb bis hin zur Notfallvorsorge und Aussonderung.

(ID:47305255)