Videokonferenz

Sichere Videokonferenzdienste

Kurzanalyse der BSI Mindeststandards für Videokonferenzdienste


Die COVID-19 Pandemie hat zu einer deutlichen Zunahme der Nutzung von Videokonferenzen geführt, so wurden am größten deutschen Internetknoten dem DE-CIX eine Zunahme des Datenverkehrs durch Videokonferenzen von 120% festgestellt1. Neben dem Ersatz von Dienstreisen und Besprechungen durch Videokonferenzen findet zunehmend auch das gemeinsame Arbeiten an Dokumenten statt. In Verbindung mit Heimarbeitsplätzen führt dies zu Risiken in der Informationssicherheit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich Mindeststandards2 für Videokonferenzdienste3 veröffentlicht, welches neben technischen auch organisatorische Maßnahmen umfasst. Darüber hinaus werden auch funktionale Anforderungen (z.B. Signalisierung der Kamera- und Mikrofonaktivität) beschrieben. Im Folgenden wird ein Überblick über die Bereiche für Videokonferenzdienste3 gegeben.

  • Konzeption
  • Funktionale Anforderungen
  • Beschaffung
  • Betrieb
  • Regelungen für Benutzende

Das folgende Schaubild gibt einen Überblick der einzelnen Bereiche in Anlehnung an die Mindeststandards für Videokonferenzdienste3.

1. Konzeption

Vor der Einführung eines Videokonferenzdienstes sollten die Anforderungen an ein System hinsichtlich Informationssicherheit, Datenschutz und Leistungsumfang des Produktes oder der Leistung festgelegt werden. Hieraus ergeben sich dann die Sicherheitsrichtlinie, das Sicherheitskonzept, das Rechte- und Rollenkonzept, das Notfallkonzept (IT Service Continuity Management), Störungsmeldung und –behebung (Incident Management, Incident Response) sowie die Richtlinie zur Nutzung externer Dienste.

2. Funktionale Anforderungen

Die funktionalen Anforderungen ergeben sich im Wesentlichen aus den Anforderungen an den Datenschutz (DSGVO) und den Geheimschutz bzw. Schutz von eingestuften Inhalten. Diese umfassen Verschlüsselung, Signalisierung der Kamera- und Mikrofonaktivität, Anzeige der Teilnehmenden, Aufzeichnung von Videokonferenzen, Bearbeitung und Teilen von Inhalten, Datenaustausch, Chat Kommunikation sowie Sicherheitsfunktionen.

3. Beschaffung

Vor einer Beschaffung steht die Entscheidung: Eigenbetrieb oder Nutzung einer Dienstleistung ("Make or Buy"). Neben kommerziellen Aspekten bei dieser Entscheidung, stellen sich hier auch Fragen der Durchsetzbarkeit von Informationssicherheits- und Datenschutzanforderungen bei externen Dienstleistern, die Verfügbarkeit des Dienstes (bzw. des eigenen Personals) und Integration in Prozesse der Störungsmeldung und –behebung.

4. Betrieb

Beim Betrieb von Videokonferenzdiensten 3 ist die Integration in das bestehende Information Security Management System (ISMS) eine Mindestanforderung, welche insbesondere bei externen Dienstleistern mit einem "Standard-Produkt" eine Herausforderung darstellt. Weitere Anforderungen in dieser Phase sind sichere Konfiguration des Dienstes mit ggf. Deaktivierung von Diensten, Protokollen und Funktionen sowie die Integration in Prozesse der Störungsmeldung und –behebung (u.a. Patchmanagement, Meldungen zu Vulnerabilitäten).

5. Regelungen für Benutzende

Neben einer Einweisung für die Benutzenden, sollte die sichere Nutzung von Videokonferenzdiensten und der entsprechenden Einrichtungen (Besprechungsräume, Home Office) regelmäßig geübt und bei Bedarf auch durch Prüfungen validiert werden.

Die Mindeststandards für Videokonferenzdienste behandeln die wesentlichen Elementen für einen sicheren Videokonferenzdienst. Aspekte für einen höheren Schutzbedarf (Verschlusssachen, Geheimschutz) müssen zusätzlich von der entsprechenden Behörde oder Unternehmung ergänzt werden. Der Schutz von personenbezogen Daten wird in dem Mindeststandard auch adressiert, jedoch erfordert die Umsetzung insbesondere bei externen Dienstleistern mit Sitz in einem Land ohne Angemessenheitbeschluss4 noch eine detailliertere Betrachtung.

by Bernd Kohler @ dainox 20-11-2021


1 We are all online: Internet in the times of Corona https://www.de-cix.net/en/news-events/news/we-are-all-online-internet-in-the-times-of-corona

2 nach § 8 Absatz 1 Satz 1 BSIG

3 Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_Videokonferenzdienste_Version_1_0.pdf?__blob=publicationFile&v=2

4 Artikel 45 Absatz 3 DSGVO