Orientierung für Privatanwender: T-Sicherheitskennzeichen des BSI für Videokonferenz-Dienste

Im Rahmen der Marktaufsicht prüft das BSI dann die Videokonferenz-Dienste über die gesamte Laufzeit von vier Jahren

[datensicherheit.de, 28.03.2024] Laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es jetzt auch das „T-Sicherheitskennzeichen des BSI“ für Videokonferenz-Dienste. Dieses soll demnach Privatanwendern Orientierung mit Blick auf die Sicherheitseigenschaften von IT-Produkten bieten, zur Etablierung eines Basis-Sicherheitsniveaus auf dem Verbrauchermarkt beitragen und alltägliche Sicherheitsrisiken für Verbraucher adressieren. „Anbieter, deren Videokonferenz-Dienste die Basisanforderungen der DIN SPEC 27008 erfüllen, können das neue Kennzeichen ab sofort beantragen.“

BSI: Cyber-Sicherheit auf einem Einstiegslevel ganz pragmatisch für den Alltag

Spätestens seit der „Corona-Pandemie“ seien Videokonferenzen auch aus dem Privatalltag nicht mehr wegzudenken: Freunde und Familienmitglieder blieben so über Orts- und Ländergrenzen in Kontakt – Treffen per Videokonferenz seien praktisch und schnell organisiert. „Oft ist für Verbraucherinnen und Verbraucher dabei jedoch nicht transparent, welche Sicherheitseigenschaften die Videokonferenzdienste haben. Mit dem neuen Standard DIN SPEC 27008, der dem IT-Sicherheitskennzeichen als Anforderungsprofil zugrunde liegt, haben Videokonferenz-Anbieter sich erstmals auf ein Basis-Sicherheitsniveau verständigt.“

„Das IT-Sicherheitskennzeichen schafft für Verbraucherinnen und Verbraucher Transparenz zu IT-Produkten und -Diensten, indem es deren Sicherheitseigenschaften auf einen Blick erkennbar macht“, erläutert BSI-Präsidentin Claudia Plattner. So werde Cyber-Sicherheit auf einem Einstiegslevel ganz pragmatisch für den Alltag gestaltet. Anbieter von Videokonferenz-Diensten für Privatnutzer könnten das Kennzeichen ab sofort beantragen und damit zeigen, „dass ihr Angebot grundlegende IT-Sicherheitsanforderungen erfüllt“. Zugleich versicherten sie zügige Updates für mögliche Schwachstellen. Die Einhaltung der Sicherheitsanforderungen werde über die gesamte Laufzeit des Kennzeichens geprüft.

BSI hat Entstehungsprozess der DIN SPEC 27008 begleitet

Die DIN SPEC 27008 sei in einem Zeitraum von 18 Monaten von einem Anbieterkonsortium entwickelt worden. Das BSI habe den Prozess begleitet und den Standard nun als geeignet für das IT-Sicherheitskennzeichen anerkannt. „Die DIN SPEC 27008 adressiert mögliche Risiken für die Informationssicherheit und Privatsphäre von Nutzerinnen und Nutzern und beinhaltet technische Vorgaben, wie diese Risiken minimiert werden können.“ Adressiert werden laut BSI die Aspekte Account-Schutz, ein angemessenes Update- und Schwachstellen-Management, zeitgemäße Authentisierungsmechanismen, ein sicherer Rechenzentrumsbetrieb und weitere Sicherheitsfunktionen wie aktuelle Verschlüsselungstechnologien sowie Transparenz und Kontrolle während der Videokonferenz darüber, wer auf welche Weise zugeschaltet ist.

So müssten die vorkonfigurierten Standardeinstellungen neuer Meetings beinhalten, „dass diese privat (nicht öffentlich) erstellt werden und über schwer zu erratende Zugangsdaten abgesichert werden müssen“. Sie müssten zudem mit einer Warteraum-Funktionalität ausgestattet sein, so dass Moderatoren neu beigetretenen Teilnehmern den Zugang zum Meeting nur manuell gewähren. Videokonferenz-Dienste müssten überdies ermöglichen, alle Teilnehmer der Konferenz anzeigen zu lassen – der Beitritt neuer Teilnehmer müsse per Audio oder Videosignal klar erkennbar gemacht werden. Auftretende Schwachstellen seien unverzüglich den Nutzern sowie dem BSI zu melden und sogleich zu beheben. „Die DIN SPEC 27008 fordert zudem eine Transportverschlüsselung nach Stand der Technik (aktuelle Transportverschlüsselung nach BSI-TR-02102).“

Diensteanbieter verpflichteten sich gegenüber dem BSI zur konstanten Aufrechterhaltung der Anforderungen der DIN SPEC 27008

Im Rahmen der Erteilung des IT-Sicherheitskennzeichen prüften Anbieter ihre Produkte vor der Antragsstellung zunächst selbst auf Konformität. Alternativ könnten Antragsteller auch auf Prüfstellen mit der entsprechenden Kompetenz zurückgreifen. Nur in Einzelfällen darf von als „optional“ gekennzeichneten Anforderungen des Standards abgewichen werden. Diese Abweichungen müssten im Rahmen des Antrags auf ein IT-Sicherheitskennzeichen begründet werden. Diensteanbieter verpflichteten sich zur konstanten Aufrechterhaltung der Anforderungen der DIN SPEC 27008.

Im Rahmen der Marktaufsicht prüfe das BSI die Videokonferenz-Dienste über die gesamte Laufzeit von vier Jahren anlasslos (z.B. durch Stichproben) und anlassbezogen (z.B. bei Bekanntwerden von Schwachstellen) auf die Einhaltung der Anforderungen. Dabei könne das BSI selbst technische Prüfungen durchführen oder Prüfungen durch Prüfstellen durchführen lassen. Das IT-Sicherheitskennzeichen für Videokonferenzdienste könnten Anbieter ab sofort auf der betreffenden BSI-Webseite (s.u.) und zeitnah auch volldigital über das „OZG-Portal“ des Bundes beantragen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheitskennzeichen / Das IT-Sicherheitskennzeichen für Hersteller

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen / BSI TR-02102-1