Videokonferenzen sind seit den letzten zwei Jahren nicht mehr aus dem Berufsalltag wegzudenken. Auch wenn mehr und mehr Besprechungen wieder vor Ort stattfinden, steht fest: die Videokonferenz ist gekommen um zu bleiben. Daher ist es nicht verwunderlich, dass das BSI im Oktober 2021 den „Mindeststandard für Videokonferenzsysteme“ veröffentlicht hat. Dieser Mindeststandard definiert Sicherheitsanforderungen, die aus Sicht des BSI für einen sicheren Betrieb und eine sichere Nutzung von Videokonferenzsystemen unerlässlich sind.
Videokonferenzen sind seit den letzten zwei Jahren nicht mehr aus dem Berufsalltag wegzudenken. Auch wenn mehr und mehr Besprechungen wieder vor Ort stattfinden, steht fest: die Videokonferenz ist gekommen, um zu bleiben. Daher ist es nicht verwunderlich, dass das BSI im Oktober 2021 den „Mindeststandard für Videokonferenzsysteme“ (siehe [1]) veröffentlicht hat. Dieser Mindeststandard definiert Sicherheitsanforderungen, die aus Sicht des BSI für einen sicheren Betrieb und eine sichere Nutzung von Videokonferenzsystemen durch Bundesbehörden unerlässlich sind. Als Basis dient das Kompendium Videokonferenzsysteme, welches im April 2020 vom BSI veröffentlicht worden ist (siehe [2]), der Mindeststandard ist jedoch wesentlich kompakter gehalten. So wird auf eine detaillierte Ausführung der Möglichkeiten heutiger Videokonferenzlösungen ebenso verzichtet wie auf eine Beschreibung der technischen Hintergründe. Das liegt daran, dass sich insbesondere die cloudbasierten Videokonferenzlösungen in den vergangenen zwei Jahren stetig weiterentwickelt haben und diese Entwicklung erst nach Veröffentlichung des Kompendiums stattgefunden hat. Zudem beinhaltet das Kompendium mit Anforderungen für jeglichen Schutzbedarf, ob normal, hoch oder sehr hoch, ein breites Spektrum an sicherheitsrelevanten Anforderungen. Der Mindeststandard hingegen enthält lediglich die essentiellen Anforderungen, aufgeteilt auf folgende Bereiche: Konzeption, Funktion, Beschaffung, Betrieb und Regelungen für Nutzer. Die Mitnutzung von Videokonferenzlösungen, das heißt, die Teilnahme an Videokonferenzen, die durch externe Kommunikationspartner zur Verfügung gestellt wird, ist nicht durch ihn abgedeckt. Vielmehr werden Anforderungen für den Einsatz innerhalb der Einrichtung bzw. Organisation aufgestellt. Die Zielgruppe sind zwar Bundesbehörden, jedoch sind die aufgestellten Anforderungen auch für Unternehmen und sonstige Behörden sinnvoll.
Der Mindeststandard ist sowohl auf On-Premises-Videokonferenzlösungen als auch auf cloudbasierte Lösungen anwendbar, wobei einige Anforderungen bei cloudbasierten Lösungen lediglich „auf dem Papier“, das heißt anhand von vertraglichen Zusicherungen bzw. entsprechender Dokumentation, erfüllbar sind. Grundlegende Anforderungen, beispielsweise hinsichtlich Konzeption oder Konfiguration, sind jedoch unabhängig vom Betriebsmodell umzusetzen. Anforderungen hinsichtlich der Funktion beziehen sich auf die Absicherung des jeweiligen Dienstes, wie der Übertragung von Audio- und Videosignalen, Chats sowie etwaige Dateiablagen, die innerhalb der Videokonferenzlösung zur Verfügung gestellt werden. Neben technischen werden auch organisatorische Anforderungen formuliert. So wird unter anderem gefordert, dass die Nutzer eine Einweisung zur Funktion und sicherheitsrelevanter Themen erhalten.
Allerdings beschreiben die im Mindeststandard formulierten Anforderungen lediglich das absolute Minimum, das eine Videokonferenzlösung erfüllen sollte. Beispielsweise wird lediglich eine Verschlüsselung von Signalisierungs- und Mediendaten auf nicht vertrauenswürdigen Übertragungsstrecken gefordert. Dies bedeutet dann für eine On-Premises-Lösung, dass für Videokonferenzen, bei denen die Teilnehmer ausschließlich im internen Netzwerk lokalisiert sind, wodurch ausschließlich vertrauenswürdige Übertragungsstrecken genutzt werden, keine Verschlüsselung gefordert wird. Zudem wird keine Aussage über die Verschlüsselungsendpunkte getroffen. An für Videokonferenzlösungen typische Multipoint Control Units (MCU), die die verschiedenen Videoströme verarbeiten und somit in der Regel Verschlüsselungsendpunkte darstellen, werden somit keine Anforderungen gestellt. Bei cloudbasierten Videokonferenzlösungen liegen diese typischerweise im Verantwortungsbereich des Anbieters und können somit eine Sicherheitslücke darstellen.
Daher kann zwar der Mindeststandard eine Hilfestellung für die sichere Konfiguration und den sicheren Betrieb geben, jedoch sollten sowohl bei der Beschaffung als auch bei der Nutzung von Videokonferenzlösungen weitere Anforderungen, beispielsweise in Anlehnung an das Kompendium Videokonferenzsysteme, berücksichtigt werden.
Quellen:
[2] https://www.comconsult.com/sichere-videokonferenz-bsi-kompendium-koviko/
