Erteilungsgrundlage und Sicherheitsanforderungen

Das IT-Sicherheitskennzeichen wird auf Grundlage des §9c BSI Gesetz erteilt.

Dienstleitungen der Kategorie Videokonferenzdienste können das IT-Sicherheitskennzeichen erhalten, wenn der Anbieter die Konformität des Dienstes mit DIN SPEC 27008 und dem ergänzenden Dokument Videokonferenzdienste - Technische Spezifikation und Konformitätsprüfung (englisch) versichert. Die Herstellererklärung für die Produktkategorie Videokonferenzdienste finden Sie hier.

Die folgende Auflistung gibt einen vereinfachten Überblick über einige erklärte Sicherheitsfunktionalitäten. Ausführliche Beschreibungen der erforderlichen Anforderungen finden Sie in der DIN SPEC 27008 und dem ergänzenden Dokument.

Informationen zu den erforderlichen Diensteeigenschaften

1. Aktualisierung

Der Anbieter erklärt, bei Bekanntwerden von bestimmten Sicherheitslücken unverzüglich Sicherheitsupdates für den Dienst bereitzustellen und nachweislich ein Schwachstellenmanagement zu unterhalten, dass das Entdecken, Veröffentlichen und Schließen von Sicherheitslücken regelt.

Dazu gehören unter anderem:

• Das Bereitstellen von zeitnahen Updates, welche die Schwachstellen angemessen beheben.
• Das Bereitstellen einer automatischen Updatefunktion, die verfügbare Sicherheitsupdates zügig einspielt.
• Die Umsetzung von Mechanismen die sicherstellen, dass Updates nur aus vertrauenswürdigen Quellen installiert werden.

2. Transparenz

Der Diensteanbieter sichert zu, transparente Informationen hinsichtlich der Sicherheit des Videokonferenzdienstes zur Verfügung zu stellen. Die Verwendung des Dienstes soll für die Teilnehmenden transparent sein, sodass Unbefugte nicht unbemerkt an Konferenzen teilnehmen können.

Transparente Informationen zum Videokonferenzdienst:

• Der Anbieter stellt vor Aktualisierungen entsprechende Informationen über den Umfang und Inhalt der betreffenden Funktionalitäten zur Verfügung, die aktualisiert oder bei denen Sicherheitslücken geschlossen werden sollen.
• Es muss für Benutzende ersichtlich sein, ob die Clientsoftware für den Videokonferenzdienst auf dem neuesten Stand ist oder gegebenenfalls ein Update zur Verfügung steht.
• Der Anbieter stellt auf seiner Webseite Handbücher, Benutzerhinweise zur sicheren Verwendung und Informationen zu den sicherheitsrelevanten Eigenschaften des Dienstes zur Verfügung. Dies umfasst auch Informationen dazu, wie man sich gegen Angriffe schützen kann und sich im Verdachtsfall verhält.

Transparenz während der Nutzung:

• Alle Teilnehmenden können in einer Liste sehen, wer der Videokonferenz zugeschaltet ist. Ein unbemerktes Mithören oder eine unbemerkte Teilnahme an Konferenzen, soll so verhindert werden.
• Beim Zutritt neuer Personen in eine Videokonferenz erfolgt ein akustisches oder optisches Signal. So kann verhindert werden, dass jemand heimlich einem Meeting beitritt.

3. Zugriffsberechtigung

Der Anbieter sichert erprobte und für geeignet befundene Mechanismen zu, die gewährleisten, dass nur berechtigte Personen auf den Dienst zugreifen können. Diese Zugriffsberechtigungen müssen unter anderem auch das Folgende beinhalten:

• Bei der Ersteinrichtung eines Benutzerkontos muss zur Sicherheit eine Verifizierung über einen anderen Kanal stattfinden. Das heißt, Nutzerinnen und Nutzer müssen die Einrichtung eines Benutzerkontos auf ihren Namen zum Beispiel per E-Mail bestätigen. So wird verhindert, das anonyme Konten erstellt werden, die zu einem Missbrauch des Videodienstes genutzt werden könnten.
• Möglichkeit der 2-Faktor-Authentisierung beim Einloggen in Benutzerkonten, um unerlaubten Zugriff über fremde Geräte auszuschließen. 2-Faktor-Authentisierung heißt, dass jeder Anmeldeversuch zusätzlich bestätigt werden muss zum Beispiel per sms-Code.
• Eine Zugangskontrolle zu Videokonferenzterminen, wie beispielsweise einen virtuellen Warteraum, sodass nur berechtigte Teilnehmende an einer Videokonferenz teilnehmen dürfen.
• Angemessene Anforderungen an Passwörter, das heißt unsichere Passwörter werden vom Dienst nicht zugelassen.
• Standardgemäß ist in allen Videositzungen der „Privatmodus“ eingestellt, damit nur eingeladenen Teilnehmer am Gespräch teilnehmen können.
• Das Einschalten von Mikrofon oder Kamera durch Dritte ist nicht möglich.

4. Datenkontrolle

Der Anbieter sichert zu, dass Nutzerdaten und die von Nutzenden geteilte Informationen vor unberechtigtem Zugriff oder Verlust geschützt sind.

Für Verbraucherinnen und Verbraucher bietet der Anbieter unter anderem Folgendes:

• Eine Löschung des Nutzerkontos inklusive Datenlöschung.
• Einen angemessenen Schutz der Daten vor unberechtigtem Zugriff oder Verlust, sofern diese auf einer angebundenen Cloud-Lösung gespeichert werden.

• Während der Nutzung einer Videokonferenz:

  • … hat der Organisator die Möglichkeit, sicherheitsrelevante Funktionen für die Teilnehmenden zu steuern und einzuschränken. Das heißt, er kann beispielsweise bestimmen, wer Dateien teilen, miteinander chatten oder einen Bildschirm teilen darf.
  • … wird das Mitschneiden von Konferenz mittels Nachricht oder akustischem Signal angezeigt, sodass anonyme Aufnahmen nicht möglich sind.
  • … wird das Ein- und Ausschalten von Ton, Bild oder Bildschirmübertragung in der Konferenz angezeigt, sodass ein Übertragen aus Versehen ausgeschlossen wird.

5. Stand der Technik

Der Diensteanbieter sichert zu, seinen Dienst auf dem Stand der Technik zu halten. Dazu gehören unter anderem:

• Ein sicherer Rechenzentrumsbetrieb inklusive Zutrittskontrollen.
• Die Verwendung moderner Verschlüsselungstechnologien für die Übermittlung von Daten während einer Videokonferenz. Dies gilt für Ton, Bild, Nachrichten und Dateien, die ausgetauscht werden. Idealerweise verwendet er dabei eine Ende-zu-Ende-Verschlüsselung zwischen den Teilnehmenden.
• Verschlüsselung von Benutzerdaten auf der Infrastruktur des Diensteanbieters, um diese bei einem Sicherheitsvorfall zu schützen.