Nach Taurus-Leaks: Neues BSI-Sicherheitskennzeichen für Videokonferenzen
Grundlage für das Kennzeichen ist eine Selbstverpflichtung der Anbieter. Einige wichtige Sicherheitsmerkmale sind jedoch weiter freiwillig.
(Bild: dpa, Oliver Berg)
Sicherheitsprobleme in Videokonferenzen sind spätestens seit den "Taurus-Leaks" in aller Munde und beschäftigen die Bundespolitik. Mit dem Sicherheitskennzeichen für Videokonferenzdienste möchte das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun mehr Klarheit für Nutzer schaffen. Die Behörde erließ eine entsprechende Allgemeinverfügung, die vorvergangene Woche im Bundesanzeiger veröffentlicht wurde – interessierte Anbieter können sich also ab sofort um das Kennzeichen bewerben.
Grundlage für das Sicherheitskennzeichen ist die DIN SPEC 27008, die von einem Konsortium erarbeitet wurde. Die Spezifikation ist jedoch keine DIN-Norm, da bei ihrer Erstellung nur Industrievertreter beteiligt waren und die (ebenfalls DIN-normierten) Grundsätze der Normungsarbeit dabei nicht zur Anwendung kamen. Neben Vertretern der internationalen Unternehmen Zoom und Microsoft saßen mit TeamViewer und alfaview auch deutsche Firmen im Konsortium.
Anbieter, die ein Sicherheitskennzeichen für ihren Videokonferenzdienst haben möchten, müssen dafür insgesamt 44 Pflichtanforderungen erfüllen oder gute Gründe vorbringen, warum eine Anforderung für sie nicht gilt. Zu den Pflichtanforderungen gehören etwa die Existenz eines Managementsystems für die Informationssicherheit nach ISO27001, Prozesse zur Behandlung von Sicherheitslücken, aber auch automatische Updates, Konferenzwarteräume und schwer erratbare Einwahl-Links. Weitere 19 Anforderungen sind optional, etwa nutzerspezifische Bildschirmhintergründe.
Ob Datenlecks wie das Taurus-Leak durch die Nutzung eines Anbieters mit Sicherheitskennzeichen hätte verhindert werden können, scheint jedoch sehr fraglich. Zum einen ist das Kennzeichen hauptsächlich an Verbraucherinnen und Verbraucher, also Privatkunden gerichtet und nicht an professionelle Nutzer mit höheren Sicherheitsanforderungen. Außerdem sind im Anforderungskatalog einige für sicherheitsbewusste Konferenzorganisatoren wichtige Kriterien lediglich als optional gekennzeichnet.
Verhindert das Kennzeichen Datenlecks?
Das betrifft insbesondere die Möglichkeit, eine Einwahl per Telefon komplett zu verhindern. In der Taurus-Affäre hatte sich ein Offizier über eine Telefonleitung aus einem Hotel in Singapur eingewählt, die vermutlich von russischen Spionen abgehört wurde. Nicht einmal solche Lowtech-Abhöraktionen lassen sich demnach mit Videokonferenz-Software mit dem BSI-Sicherheitskennzeichen zuverlässig ausschließen. Die technisch wirksamste Maßnahme gegen das Abhören von Videokonferenzen – konsequente Ende-zu-Ende-Verschlüsselung, wie sie etwa Signal bietet – steht ebenfalls nur auf der Liste optionaler Features. Zwar geht die DIN SPEC 27008 explizit auf das Risiko abgefangener Daten durch unsichere Kommunikationsmedien ein, versäumt hier jedoch die Gelegenheit, Hersteller in die Pflicht zu nehmen und Nutzern einen echten Sicherheitsgewinn zu bieten.
Knapp zwei Wochen nach Bekanntgabe sind noch keine Videokonferenz-Anbieter zertifiziert – was wenig verwundert, denn die BSI-Webseite führt keine Ansprechpartner zur Überprüfung der Konformität auf. Zudem ist eine Beantragung des Sicherheitskennzeichens nach Aussage der Bundesbehörde derzeit nur postalisch möglich.
Das IT-Sicherheitskennzeichen existiert seit Ende 2021. Im Februar vorvergangenen Jahres erhielt der Webmail-Anbieter "mail.de" das erste Kennzeichen, seitdem wurden gut 40 weitere vergeben, unter anderem für Router und Smart-Home-Geräte. Die ersten Sicherheitskennzeichen sind zudem in diesem Jahr abgelaufen.
(cku)
