Sichere Videokonferenz: BSI-Kompendium KoViKo

Oliver Flüs

Nicht nur als Auswirkung der Corona-Krise und der damit geforderten räumlichen Distanz ist es nützlich, Besprechungsteilnehmer zusammenbringen zu können, die sich an verschiedenen Orten aufhalten.

Wer diese Möglichkeit haben und dabei der Gesprächs- und Arbeitssituation im normalen Besprechungsraum möglichst nahe kommen will, hat den Bedarf für eine darauf ausgerichtete Videokonferenzlösung. Das Lösungsangebot ist mittlerweile vielfältig. Dies betrifft die Ausstattung im Bereich Video-Endpunkte zur Konferenzteilnahme, aber auch die möglichen Architekturen und Betriebsmodelle, über die Videokonferenzen zustande kommen können.

Das Zusammenschalten mit Video-Endpunkten ausgestatteter Besprechungsräume an verschiedenen Standorten soll ebenso ermöglicht werden, wie die Teilnahme vom Büro- oder Heim-Arbeitsplatz aus. Die netzbasierte Zusammenführung von so unterschiedlichen Ausstattungen und Lösungswegen zur Teilnahme, sowie Schnittstellen und Überschneidungen zu anderen IT- und Kommunikationslösungen, werfen eine Vielzahl von Sicherheitsfragen auf.

Das am 14. April 2020 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgestellte Kompendium Videokonferenzsysteme, kurz „KoViKo“, hilft beim erfolgreichen Umgang mit solchen Fragen der Informationssicherheit.

Moderne Videokonferenzen: der virtuelle Besprechungsraum

Die aktuelle Corona-Lage oder andere Situationen machen es erforderlich, kurzfristig wichtige Besprechungsteilnehmer zusammenzubringen, ohne dass diese sich erst an einem gemeinsamen Ort zusammenfinden. Die gegenwärtige Pandemielage ist dabei nur ein Beispiel, das zeigt, was eine gute Konferenzlösung bietet: Besprechungen mit Beteiligten an verschiedenen Standorten werden flexibel und kurzfristig möglich.

Reisezeiten können vermieden werden, ein durch Anreise von verschiedenen Aufenthaltsorten notwendiger Vorlauf braucht bei der Terminfindung nicht berücksichtigt zu werden. Personen auf Reisen können ebenso in die Besprechung eingebunden werden wie solche am Büroarbeitsplatz oder im Homeoffice.

Warum wählt man aber speziell den Weg über eine Videokonferenzlösung?

Eine derartige Form der virtuellen Besprechung bietet sich an, wenn das Thema oder der Teilnehmerkreis es besonders wichtig erscheinen lassen, der Gesprächssituation im Besprechungsraum möglichst nahezukommen. In einem solchen Raum sehen sich Anwesende, können Gestik und Mimik einsetzen und wechselseitig auf entsprechende Reaktionen eingehen. Dies rundet das gemeinsame Anschauen bzw. Erarbeiten und Festhalten von Gesprächsinhalten über Ausstattung wie Beamer, Präsentationswand usw. ab und kann die Zusammenarbeit im Dialog verbessern.

Eine speziell auf die Nachbildung dieser Dialogsituation ausgerichtete Videokonferenzlösung unterstützt dies besonders gut.

Hierzu tragen Teilnehmerendpunkte mit hochwertiger Hardware im Bereich Kamera, Mikrofon, Anzeige des Videobilds der anderen Teilnehmer usw. bei, aber auch eine auf den Umgang mit einer hohen Zahl an Videoteilnehmern an verschiedenen Orten ausgelegte Infrastruktur.

Verschmelzung und Überschneidungen mit anderen Lösungen zur Zusammenarbeit

Moderne Videokonferenzlösungen beschränken sich dabei nicht auf einen Teilnehmerkreis, der über spezielle Videokonferenzausstattung verfügt. Die Möglichkeit zur Einbindung von Nutzern anderer Endgeräte, die für andere Kommunikationsdienste besser geeignet sind, wird geboten. Es ergeben sich Schnittmengen bezüglich Funktionalitäten, wie sie auch von IT- und Kommunikationslösungen unterstützt werden, die je nach Einsatzschwerpunkt als Meeting Solutions oder UCC-Lösungen bezeichnet werden.

Eine solche Verschmelzung der klassischen Videokonferenz mit anderen Lösungen zur netzbasierten Zusammenarbeit ist zeitgemäß und für gute Arbeitseffizienz notwendig. Sie bringt aber auch eine neue Komplexität bei Auswahl, Gestaltung und Betrieb von Videokonferenzlösungen mit sich. Außerdem addieren sich die Sicherheitsrisiken der verschiedenen, in der Videokonferenz zusammenwirkenden Lösungen und Geräteformen.

Herausforderungen mit Blick auf moderne Videokonferenzlösungen

Den Zweck des virtuellen Besprechungsraums bedarfsgerecht erfüllen, die Tür für Nutzer anderer Lösungen offen halten, Kommunikation über offene Netze und Video-Endpunkte von Gästen sicher einbinden – dieses breite Spektrum an Themen muss bewältigt werden!

Das hat wenig damit gemein, eine nette Lösung zu finden, mit der man als Überbrückung privat über Bewegtbild und Ton von ferne Unterhaltungen führt, bis man sich wieder gemeinsam am selben Ort treffen kann.

Wer für sich den Bedarf zur Durchführung von Videokonferenzen erkennt, hat höhere Anforderungen als das reine Zusammenschalten von vernetzten Teilnehmern, die sich über Kamera- und Audio-taugliche persönliche Endgeräte kreuz und quer austauschen:

  • Schon die Wahl des technischen Lösungswegs mit Ausstattungs- und Architekturfragen ist eine Aufgabenstellung, die strukturiert angegangen werden muss, um ein gutes Kosten-Nutzen-Verhältnis zu erreichen.
  • Videokonferenzlösungen an unterschiedlichen Standorten sollen miteinander über für Dritte offene Netze kommunizieren können. Die Einbindung von Teilnehmern mit Endgeräten, die auch anderen Zwecken dienen und nur bedingt mit Blick auf ihren Sicherheitszustand kontrolliert werden können, soll ebenfalls möglich sein.

Die hierdurch in die Videokonferenz hineingetragenen Sicherheitsrisiken müssen über Sicherheitsfunktionalitäten von Komponenten in der Videokonferenzarchitektur entschärft werden. Dies betrifft Sicherheit von Wort und Bild ebenso wie Daten, die im Rahmen einer Videokonferenz genutzt oder gespeichert oder über Zusatzfunktionalitäten wie das Teilen von Bildschirminhalten übertragen werden.

  • Ein strukturiertes Vorgehen bei der Anforderungsermittlung sowie einer darauf basierenden Auswahl und Beschaffung von Lösungselementen ist notwendig, um einen aus den genannten Aspekten resultierenden Kriterienkatalog geeignet abzudecken.
  • Die Nutzerkreise erwarten die Bereitstellung der Videokonferenzmöglichkeit in der Art eines modernen IT-Services.

Dieser soll in normalen Arbeitssituationen zur Verfügung stehen, aber auch zur Bewältigung von Ausnahmesituationen wie der aktuellen Corona-Krise.

Eine Nutzerbetreuung gehört ebenso zu den mit einem solchen Service verbundenen Aufgaben wie typische Aufgabenbereiche eines (sicheren) Betriebs, d.h. Administration, Monitoring, Protokollierung usw.

Es genügt also längst nicht, eine ausreichend hochwertige Ausstattung an Video-Endpunkten auszusuchen und in vorgesehenen Lokationen und Besprechungsräumen zu platzieren.

Vielmehr sind Architekturentscheidungen zu treffen, unter Abwägung zwischen modernen Optionen von On-Premises-Lösungen, Cloud-Angeboten und hybriden Kombinationen. Für die erfolgreiche Handhabung des gewählten Lösungswegs werden geeignete Konzepte für Betrieb und Sicherheit benötigt. Darauf basierende Betriebsunterlagen, Anweisungen für das Service-Personal sowie Regelungen, Nutzungshinweise für Videokonferenzteilnehmer  usw. sind notwendig, um eine erfolgreiche Konzeptumsetzung zu gewährleisten.

BSI-Kompendium Videokonferenzen als Entscheidungs- und Arbeitsbasis [1]

Das am 14.04. vom BSI veröffentlichte Kompendium Videokonferenzsysteme bietet eine umfassende Anleitung für einen bedarfsgerechten und verantwortungsvollen Umgang mit den erläuterten Aufgaben und Fragestellungen.

Wie von einer Veröffentlichung des BSI zu erwarten, nennt es strukturiert Gefährdungen und resultierende Anforderungen mit Blick auf die Informationssicherheit, und tut dies entlang des gesamten Lebenszyklus von Planung über Beschaffung und Betrieb bis zur Aussonderung.

Die gegebene Hilfestellung endet dabei aber nicht mit der Erläuterung von Gefährdungslage und resultierenden Sicherheitsanforderungen, die für normalen und erhöhten Schutzbedarf benannt werden. Ebenfalls gegebene Umsetzungshinweise und –hilfen bestehen aus

  • konkreten Maßnahmenerläuterungen auf Stand der Technik bis April 2020,
  • Beispielen für Sicherheitskonzepte für praxistypische Szenarien,
  • Hilfen zur Beschaffung in Form von Ausstattungsbeispielen für verschiedene Raumsituationen,
  • einer Spezifikation von Auswahlkriterien als Grundlage eines bedarfsgerechten und strukturierten Kriterienkatalogs zur Bewertung von Lösungen und Angeboten, sowie

einem Beispiel, wie auf den zuvor genannten Hilfen basierend ein Leistungsverzeichnis für eine Ausschreibung gestaltet werden kann.

[1] Siehe https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Videokonferenzsysteme/videokonferenzsysteme_node.html

Sonderveranstaltung zum Kompendium Videokonferenzsysteme des BSI - 12.08.2020 Online-Seminar

Wir stellen das am 14. April 2020 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Kompendium Videokonferenzsysteme (KoViKo) vor und diskutieren die Konsequenzen für die Absicherung von realen Lösungen.

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.