Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 14. April 2020 das „Kompendium Videokonferenzsysteme“ vorgestellt. Es soll Anwendern helfen, den gesamten Lebenszyklus organisationsinterner Videokonferenzsysteme sicher zu gestalten.
Die aktuelle Corona-Krise hat die Nachfrage nach Videokonferenzlösungen in Wirtschaft und Verwaltung nochmals erheblich verstärkt. So ist die klassische Telefonkonferenz und E-Mail-Kommunikation immer mehr den Hintergrund gerückt, da eine Web-Konferenz mit Sprache und Video in Verbindung mit Chat und dem Teilen von Desktops und Anwendungen bis hin zur gemeinsamen Bearbeitung von Dokumenten mit einer einzigen Plattform ausgesprochen leicht möglich ist.
Aber auch bei Videokonferenzsystemen spielt die Sicherheit in der Kommunikation eine wichtige Rolle. Das Kompendium des BSI soll bei der Gewährleistung dieser Sicherheit unterstützen.
Das Dokument greift dazu die Systematik des IT-Grundschutz-Kompendiums auf. So teilt es die Anforderungen an Videokonferenzlösungen in Basis- und Standardanforderungen sowie Anforderungen für erhöhten Schutzbedarf ein. Der Einsatz von Videokonferenztechnik in behördlichen VS-Bereichen wird zukünftig in einem Dokument geregelt, das noch in Arbeit ist.
Das Kompendium trägt der voranschreitenden Verschmelzung von Informations- und Kommunikationstechnik Rechnung. Es stellt dar, wie engmaschig moderne Videokonferenzlösungen in die IT eingewoben sind, welche Risiken sich daraus ergeben und wie man diesen begegnet. Zudem werden Herausforderungen im Zusammenspiel mit Cloud- und KI-basierten Diensten berücksichtigt.
Neben der Informationssicherheit werden auch operative und funktionale Aspekte dargestellt. Dazu gehören unter anderem die Raumausstattung oder Beispiele für die Erstellung von Leistungsverzeichnissen für die Ausschreibung von Videokonferenzsystemen.
Der Inhalt des Kompendiums ist wie folgt strukturiert:
- Zunächst werden in Kapitel 2 der Funktionsumfang und in Kapitel 3 der technische Aufbau moderner Videokonferenzsysteme beschrieben. In Kapitel 4 werden dann die operativen Aspekte, d. h. Planung, Nutzung und Betrieb von Videokonferenzsystemen betrachtet.
- Auf dieser Basis wird dann in Kapitel 5 zunächst die Gefährdungslage analysiert, um dann entsprechend in Kapitel 6 Sicherheitsanforderungen abzuleiten und in Kapitel 7 Umsetzungsempfehlungen zu den Anforderungen zu entwickeln. Vorgehensweise und Struktur orientieren sich dabei am BSI IT-Grundschutz-Kompendium.
- Exemplarisch wird in Kapitel 8 dargestellt, wie die beschriebenen Sicherheitsanforderungen und -maßnahmen in Sicherheitskonzepten für unterschiedliche Nutzungsszenarien berücksichtigt werden können.
- Abschließend werden in Kapitel 9 Hilfsmittel zur Beschaffung einer Videokonferenzlösung bereitgestellt, die Auswahlkriterien und ein Beispiel für ein Leistungsverzeichnis liefern.
Fundstelle:
Das „Kompendium Videokonferenzsysteme“ ist im Internet abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf;jsessionid=C6C36258E69C6B9DD4AEA4C1EB5FBCEF.1_cid341?__blob=publicationFile&v=