Sichere Videokonferenz: BSI-Kompendium KoViKo

Oliver Fl√ľs

Nicht nur als Auswirkung der Corona-Krise und der damit geforderten r√§umlichen Distanz ist es n√ľtzlich, Besprechungsteilnehmer zusammenbringen zu k√∂nnen, die sich an verschiedenen Orten aufhalten.

Wer diese M√∂glichkeit haben und dabei der Gespr√§chs- und Arbeitssituation im normalen Besprechungsraum m√∂glichst nahe kommen will, hat den Bedarf f√ľr eine darauf ausgerichtete Videokonferenzl√∂sung. Das L√∂sungsangebot ist mittlerweile vielf√§ltig. Dies betrifft die Ausstattung im Bereich Video-Endpunkte zur Konferenzteilnahme, aber auch die m√∂glichen Architekturen und Betriebsmodelle, √ľber die Videokonferenzen zustande kommen k√∂nnen.

Das Zusammenschalten mit Video-Endpunkten ausgestatteter Besprechungsr√§ume an verschiedenen Standorten soll ebenso erm√∂glicht werden, wie die Teilnahme vom B√ľro- oder Heim-Arbeitsplatz aus. Die netzbasierte Zusammenf√ľhrung von so unterschiedlichen Ausstattungen und L√∂sungswegen zur Teilnahme, sowie Schnittstellen und √úberschneidungen zu anderen IT- und Kommunikationsl√∂sungen, werfen eine Vielzahl von Sicherheitsfragen auf.

Das am 14. April 2020 vom Bundesamt f√ľr Sicherheit in der Informationstechnik (BSI) vorgestellte Kompendium Videokonferenzsysteme, kurz ‚ÄěKoViKo‚Äú, hilft beim erfolgreichen Umgang mit solchen Fragen der Informationssicherheit.

Moderne Videokonferenzen: der virtuelle Besprechungsraum

Die aktuelle Corona-Lage oder andere Situationen machen es erforderlich, kurzfristig wichtige Besprechungsteilnehmer zusammenzubringen, ohne dass diese sich erst an einem gemeinsamen Ort zusammenfinden. Die gegenwärtige Pandemielage ist dabei nur ein Beispiel, das zeigt, was eine gute Konferenzlösung bietet: Besprechungen mit Beteiligten an verschiedenen Standorten werden flexibel und kurzfristig möglich.

Reisezeiten k√∂nnen vermieden werden, ein durch Anreise von verschiedenen Aufenthaltsorten notwendiger Vorlauf braucht bei der Terminfindung nicht ber√ľcksichtigt zu werden. Personen auf Reisen k√∂nnen ebenso in die Besprechung eingebunden werden wie solche am B√ľroarbeitsplatz oder im Homeoffice.

Warum w√§hlt man aber speziell den Weg √ľber eine Videokonferenzl√∂sung?

Eine derartige Form der virtuellen Besprechung bietet sich an, wenn das Thema oder der Teilnehmerkreis es besonders wichtig erscheinen lassen, der Gespr√§chssituation im Besprechungsraum m√∂glichst nahezukommen. In einem solchen Raum sehen sich Anwesende, k√∂nnen Gestik und Mimik einsetzen und wechselseitig auf entsprechende Reaktionen eingehen. Dies rundet das gemeinsame Anschauen bzw. Erarbeiten und Festhalten von Gespr√§chsinhalten √ľber Ausstattung wie Beamer, Pr√§sentationswand usw. ab und kann die Zusammenarbeit im Dialog verbessern.

Eine speziell auf die Nachbildung dieser Dialogsituation ausgerichtete Videokonferenzl√∂sung unterst√ľtzt dies besonders gut.

Hierzu tragen Teilnehmerendpunkte mit hochwertiger Hardware im Bereich Kamera, Mikrofon, Anzeige des Videobilds der anderen Teilnehmer usw. bei, aber auch eine auf den Umgang mit einer hohen Zahl an Videoteilnehmern an verschiedenen Orten ausgelegte Infrastruktur.

Verschmelzung und Überschneidungen mit anderen Lösungen zur Zusammenarbeit

Moderne Videokonferenzl√∂sungen beschr√§nken sich dabei nicht auf einen Teilnehmerkreis, der √ľber spezielle Videokonferenzausstattung verf√ľgt. Die M√∂glichkeit zur Einbindung von Nutzern anderer Endger√§te, die f√ľr andere Kommunikationsdienste besser geeignet sind, wird geboten. Es ergeben sich Schnittmengen bez√ľglich Funktionalit√§ten, wie sie auch von IT- und Kommunikationsl√∂sungen unterst√ľtzt werden, die je nach Einsatzschwerpunkt als Meeting Solutions oder UCC-L√∂sungen bezeichnet werden.

Eine solche Verschmelzung der klassischen Videokonferenz mit anderen L√∂sungen zur netzbasierten Zusammenarbeit ist zeitgem√§√ü und f√ľr gute Arbeitseffizienz notwendig. Sie bringt aber auch eine neue Komplexit√§t bei Auswahl, Gestaltung und Betrieb von Videokonferenzl√∂sungen mit sich. Au√üerdem addieren sich die Sicherheitsrisiken der verschiedenen, in der Videokonferenz zusammenwirkenden L√∂sungen und Ger√§teformen.

Herausforderungen mit Blick auf moderne Videokonferenzlösungen

Den Zweck des virtuellen Besprechungsraums bedarfsgerecht erf√ľllen, die T√ľr f√ľr Nutzer anderer L√∂sungen offen halten, Kommunikation √ľber offene Netze und Video-Endpunkte von G√§sten sicher einbinden ‚Äď dieses breite Spektrum an Themen muss bew√§ltigt werden!

Das hat wenig damit gemein, eine nette L√∂sung zu finden, mit der man als √úberbr√ľckung privat √ľber Bewegtbild und Ton von ferne Unterhaltungen f√ľhrt, bis man sich wieder gemeinsam am selben Ort treffen kann.

Wer f√ľr sich den Bedarf zur Durchf√ľhrung von Videokonferenzen erkennt, hat h√∂here Anforderungen als das reine Zusammenschalten von vernetzten Teilnehmern, die sich √ľber Kamera- und Audio-taugliche pers√∂nliche Endger√§te kreuz und quer austauschen:

  • Schon die Wahl des technischen L√∂sungswegs mit Ausstattungs- und Architekturfragen ist eine Aufgabenstellung, die strukturiert angegangen werden muss, um ein gutes Kosten-Nutzen-Verh√§ltnis zu erreichen.
  • Videokonferenzl√∂sungen an unterschiedlichen Standorten sollen miteinander √ľber f√ľr Dritte offene Netze kommunizieren k√∂nnen. Die Einbindung von Teilnehmern mit Endger√§ten, die auch anderen Zwecken dienen und nur bedingt mit Blick auf ihren Sicherheitszustand kontrolliert werden k√∂nnen, soll ebenfalls m√∂glich sein.

Die hierdurch in die Videokonferenz hineingetragenen Sicherheitsrisiken m√ľssen √ľber Sicherheitsfunktionalit√§ten von Komponenten in der Videokonferenzarchitektur entsch√§rft werden. Dies betrifft Sicherheit von Wort und Bild ebenso wie Daten, die im Rahmen einer Videokonferenz genutzt oder gespeichert oder √ľber Zusatzfunktionalit√§ten wie das Teilen von Bildschirminhalten √ľbertragen werden.

  • Ein strukturiertes Vorgehen bei der Anforderungsermittlung sowie einer darauf basierenden Auswahl und Beschaffung von L√∂sungselementen ist notwendig, um einen aus den genannten Aspekten resultierenden Kriterienkatalog geeignet abzudecken.
  • Die Nutzerkreise erwarten die Bereitstellung der Videokonferenzm√∂glichkeit in der Art eines modernen IT-Services.

Dieser soll in normalen Arbeitssituationen zur Verf√ľgung stehen, aber auch zur Bew√§ltigung von Ausnahmesituationen wie der aktuellen Corona-Krise.

Eine Nutzerbetreuung gehört ebenso zu den mit einem solchen Service verbundenen Aufgaben wie typische Aufgabenbereiche eines (sicheren) Betriebs, d.h. Administration, Monitoring, Protokollierung usw.

Es gen√ľgt also l√§ngst nicht, eine ausreichend hochwertige Ausstattung an Video-Endpunkten auszusuchen und in vorgesehenen Lokationen und Besprechungsr√§umen zu platzieren.

Vielmehr sind Architekturentscheidungen zu treffen, unter Abw√§gung zwischen modernen Optionen von On-Premises-L√∂sungen, Cloud-Angeboten und hybriden Kombinationen. F√ľr die erfolgreiche Handhabung des gew√§hlten L√∂sungswegs werden geeignete Konzepte f√ľr Betrieb und Sicherheit ben√∂tigt. Darauf basierende Betriebsunterlagen, Anweisungen f√ľr das Service-Personal sowie Regelungen, Nutzungshinweise f√ľr Videokonferenzteilnehmer¬† usw. sind notwendig, um eine erfolgreiche Konzeptumsetzung zu gew√§hrleisten.

BSI-Kompendium Videokonferenzen als Entscheidungs- und Arbeitsbasis [1]

Das am 14.04. vom BSI ver√∂ffentlichte Kompendium Videokonferenzsysteme bietet eine umfassende Anleitung f√ľr einen bedarfsgerechten und verantwortungsvollen Umgang mit den erl√§uterten Aufgaben und Fragestellungen.

Wie von einer Ver√∂ffentlichung des BSI zu erwarten, nennt es strukturiert Gef√§hrdungen und resultierende Anforderungen mit Blick auf die Informationssicherheit, und tut dies entlang des gesamten Lebenszyklus von Planung √ľber Beschaffung und Betrieb bis zur Aussonderung.

Die gegebene Hilfestellung endet dabei aber nicht mit der Erl√§uterung von Gef√§hrdungslage und resultierenden Sicherheitsanforderungen, die f√ľr normalen und erh√∂hten Schutzbedarf benannt werden. Ebenfalls gegebene Umsetzungshinweise und ‚Äďhilfen bestehen aus

  • konkreten Ma√ünahmenerl√§uterungen auf Stand der Technik bis April 2020,
  • Beispielen f√ľr Sicherheitskonzepte f√ľr praxistypische Szenarien,
  • Hilfen zur Beschaffung in Form von Ausstattungsbeispielen f√ľr verschiedene Raumsituationen,
  • einer Spezifikation von Auswahlkriterien als Grundlage eines bedarfsgerechten und strukturierten Kriterienkatalogs zur Bewertung von L√∂sungen und Angeboten, sowie

einem Beispiel, wie auf den zuvor genannten Hilfen basierend ein Leistungsverzeichnis f√ľr eine Ausschreibung gestaltet werden kann.

[1] Siehe https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Videokonferenzsysteme/videokonferenzsysteme_node.html

Sicherheit f√ľr Internet of Things, Industrienetze und Anlagensteuerungen 23.03.-24.03.2021 Online

In diesem Seminar wird analysiert, wie IoT und Industrial IT auf die zunehmenden Anforderungen einer flexiblen Vernetzung, einer Cloud-Nutzung und auf andere Trends reagieren können und wie mit geeigneten Technologien die Balance zwischen Informationssicherheit, Leistung und Flexibilität gewährleistet werden kann.

Der Netzwerk Insider geh√∂rt mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den f√ľhrenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.