Videokonferenzen: Damit Vertrauliches vertraulich bleibt BSI setzt Mindeststandard zur Absicherung von Videokonferenzdiensten

Durch die Corona-Pandemie hat die Nutzung von Videokonferenzlösungen in Verwaltung und Wirtschaft erheblich zugenommen. Die Systeme dienen dabei nicht nur der Kommunikation, sondern auch dem gemeinsamen Erstellen und Bearbeiten von Dokumenten. Bei der Nutzung solcher Dienste entstehen Risiken für die Vertraulichkeit, Verfügbarkeit und Integrität der übertragenen Daten. Zur Absicherung gegen diese Risiken hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Entwurf eines neuen Mindeststandards veröffentlicht. Der Mindeststandard richtet sich insbesondere an Stellen des Bundes und beschreibt die Aspekte, die beachtet werden müssen, um beim Einsatz von Videokonferenzdiensten ein definiertes Mindestsicherheitsniveau zu erreichen. Der „Mindeststandard des BSI für Videokonferenzdienste“ steht auf der Webseite des BSI als Community Draft zur Kommentierung zur Verfügung (https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/Videokonferenzdienste/Videokonferenzdienste_node.html).

BSI-Präsident Arne Schönbohm erklärt:

„Videokonferenzen gehören spätestens seit dem Ausbruch der Corona-Pandemie zum beruflichen Alltag in vielen Behörden. Auch über die Pandemie hinaus werden viele Einrichtungen des Bundes weiterhin Videokonferenzsysteme nutzen. Als Cyber-Sicherheitsbehörde des Bundes gibt das BSI mit dem neuen Mindeststandard Sicherheitsanforderungen vor, die dafür sorgen, dass auch in digitalen Konferenzen Vertrauliches vertraulich bleibt. Der neue Mindeststandard des BSI ist somit eine wichtige Grundlage für die sichere Gestaltung der Digitalisierung in der Bundesverwaltung und kann eine Blaupause für Unternehmen und andere Institutionen sein.“

Der Mindeststandard basiert auf dem „Kompendium Videokonferenzsysteme“, das das BSI im April 2020 veröffentlicht hat. Das Kompendium (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Remote/Videokonferenzsysteme/videokonferenzsysteme_node.html) beschreibt unterschiedliche Arten von Videokonferenzsystemen und stellt die Gefährdungslage dar. Zudem beinhaltet es umfassende Sicherheitsanforderungen, die einen sicheren Betrieb von Videokonferenzdiensten ermöglichen. Das Kompendium hilft Anwendern und Betreibern dabei, den gesamten Lebenszyklus organisationsinterner Videokonferenzsysteme sicher zu gestalten, von der Planung über Beschaffung und Betrieb bis hin zur Notfallvorsorge und Aussonderung.

Das BSI erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes auf der Grundlage des § 8 Abs. 1 BSI-Gesetz. Als gesetzliche Vorgabe definieren Mindeststandards ein konkretes Mindestniveau für die Informationssicherheit. Die Definition erfolgt auf Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf.