BSI setzt Mindeststandard zur Absicherung von Videokonferenzen
Zur Absicherung gegen Nutzungsrisiken von Konferenzlösungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Entwurf eines neuen Mindeststandards veröffentlicht.
Durch die Corona-Pandemie hat die Nutzung von Videokonferenzlösungen in Verwaltung und Wirtschaft erheblich zugenommen. Die Systeme dienen dabei nicht nur der Kommunikation, sondern auch dem gemeinsamen Erstellen und Bearbeiten von Dokumenten. Bei der Nutzung solcher Dienste entstehen Risiken für die Vertraulichkeit, Verfügbarkeit und Integrität der übertragenen Daten. Der Mindeststandard des BSI richtet sich insbesondere an Stellen des Bundes und beschreibt die Aspekte, die beachtet werden müssen, um beim Einsatz von Videokonferenzdiensten ein definiertes Mindestsicherheitsniveau zu erreichen. Der „Mindeststandard des BSI für Videokonferenzdienste“ steht auf der Website des BSI als Community Draft zur Kommentierung zur Verfügung.
Videokonferenzen gehörten spätestens seit dem Ausbruch der Corona-Pandemie zum beruflichen Alltag in vielen Behörden. Auch über die Pandemie hinaus werden viele Einrichtungen des Bundes weiterhin Videokonferenzsysteme nutzen, so BSI-Präsident Arne Schönbohm. Als Cyber-Sicherheitsbehörde des Bundes gibt das BSI mit dem neuen Mindeststandard Sicherheitsanforderungen vor, die dafür sorgen, dass auch in digitalen Konferenzen Vertrauliches vertraulich bleibt. Der neue Mindeststandard des BSI ist somit eine wichtige Grundlage für die sichere Gestaltung der Digitalisierung in der Bundesverwaltung und kann eine Blaupause für Unternehmen und andere Institutionen sein, so Arne Schönbohm.
Der Mindeststandard basiert auf dem „Kompendium Videokonferenzsysteme“, das das BSI im April 2020 veröffentlicht hat. Das Kompendium beschreibt unterschiedliche Arten von Videokonferenzsystemen und stellt die Gefährdungslage dar. Zudem beinhaltet es umfassende Sicherheitsanforderungen, die einen sicheren Betrieb von Videokonferenzdiensten ermöglichen. Das Kompendium hilft Anwendern und Betreibern dabei, den gesamten Lebenszyklus organisationsinterner Videokonferenzsysteme sicher zu gestalten, von der Planung über Beschaffung und Betrieb bis hin zur Notfallvorsorge und Aussonderung.