IT-Sicherheitskennzeichen des BSI nun auch für Videokonferenzdienste

Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene IT-Sicherheitskennzeichen gibt es jetzt auch für Videokonferenzdienste. Das Kennzeichen bietet Privatanwendern Orientierung mit Blick auf die Sicherheitseigenschaften von IT-Produkten, trägt zur Etablierung eines Basis-Sicherheitsniveaus auf dem Verbrauchermarkt bei und adressiert alltägliche Sicherheitsrisiken für Verbraucher. Anbieter, deren Videokonferenzdienste die Basisanforderungen der DIN SPEC 27008 erfüllen, können das neue Kennzeichen ab sofort beantragen.

Spätestens seit der Coronapandemie sind Videokonferenzen aus dem Privatalltag nicht mehr wegzudenken: Freunde und Familienmitglieder bleiben so über Orts- und Ländergrenzen in Kontakt, Treffen per Videokonferenz sind praktisch und schnell organisiert. Oft ist für Verbraucherinnen und Verbraucher dabei jedoch nicht transparent, welche Sicherheitseigenschaften die Videokonferenzdienste haben. Mit dem neuen Standard DIN SPEC 27008, der dem IT-Sicherheitskennzeichen als Anforderungsprofil zugrunde liegt, haben Videokonferenzanbieter sich erstmals auf ein Basis-Sicherheitsniveau verständigt.

BSI-Präsidentin Claudia Plattner: „Das IT-Sicherheitskennzeichen schafft für Verbraucher Transparenz zu IT-Produkten und -Diensten, indem es deren Sicherheitseigenschaften auf einen Blick erkennbar macht. So gestalten wir Cybersicherheit auf einem Einstiegslevel ganz pragmatisch für den Alltag. Anbieter von Videokonferenzdiensten für Privatnutzer können das Kennzeichen ab sofort beantragen und damit zeigen, dass ihr Angebot grundlegende IT-Sicherheitsanforderungen erfüllt. Zugleich versichern sie zügige Updates für mögliche Schwachstellen. Die Einhaltung der Sicherheitsanforderungen wird über die gesamte Laufzeit des Kennzeichens geprüft.“

Die DIN SPEC 27008 wurde in einem Zeitraum von 18 Monaten von einem Anbieterkonsortium entwickelt. Das BSI hat den Prozess begleitet und den Standard nun als geeignet für das IT-Sicherheitskennzeichen anerkannt. Die DIN SPEC 27008 adressiert mögliche Risiken für die Informationssicherheit und Privatsphäre von Nutzern und beinhaltet technische Vorgaben, wie diese Risiken minimiert werden können. Adressiert werden die Aspekte Accountschutz, ein angemessenes Update- und Schwachstellenmanagement, zeitgemäße Authentisierungsmechanismen, ein sicherer Rechenzentrumsbetrieb und weitere Sicherheitsfunktionen wie aktuelle Verschlüsselungstechnologien sowie Transparenz und Kontrolle während der Videokonferenz darüber, wer auf welche Weise zugeschaltet ist.

So müssen die vorkonfigurierten Standardeinstellungen neuer Meetings beinhalten, dass diese privat (nicht öffentlich) erstellt werden und über schwer zu erratende Zugangsdaten abgesichert werden müssen. Sie müssen zudem mit einer Warteraum-Funktionalität ausgestattet sein, sodass Moderatoren neu beigetretenen Teilnehmern den Zugang zum Meeting manuell gewähren müssen. Videokonferenzdienste müssen überdies ermöglichen, alle Teilnehmer der Konferenz anzeigen zu lassen; der Beitritt neuer Teilnehmer muss per Audio oder Videosignal klar erkennbar gemacht werden. Auftretende Schwachstellen müssen unverzüglich Nutzenden sowie dem BSI gemeldet und sogleich behoben werden. Die DIN SPEC 27008 fordert zudem eine Transportverschlüsselung nach Stand der Technik (aktuelle Transportverschlüsselung nach BSI-TR-02102).

Im Rahmen der Erteilung des IT-Sicherheitskennzeichen prüfen Anbieter ihre Produkte vor der Antragsstellung zunächst selbst auf Konformität. Alternativ können Antragsteller auch auf Prüfstellen mit der entsprechenden Kompetenz zurückgreifen. Nur in Einzelfällen darf von als „optional“ gekennzeichneten Anforderungen des Standards abgewichen werden. Diese Abweichungen müssen im Rahmen des Antrags auf ein IT-Sicherheitskennzeichen begründet werden. Diensteanbieter verpflichten sich zur konstanten Aufrechterhaltung der Anforderungen der DIN SPEC 27008. Im Rahmen der Marktaufsicht prüft das BSI die Videokonferenzdienste über die gesamte Laufzeit von vier Jahren anlasslos (z.B. durch Stichproben) und anlassbezogen (z.B. bei Bekanntwerden von Schwachstellen) auf die Einhaltung der Anforderungen. Dabei kann das BSI selbst technische Prüfungen durchführen oder Prüfungen durch Prüfstellen durchführen lassen. Das IT-Sicherheitskennzeichen für Videokonferenzdienste können Anbieter ab sofort unter www.bsi.bund.de/it-sik/hersteller und zeitnah auch volldigital über das OZG-Portal des Bundes beantragen.