Erste DIN SPEC für Videokommunikation

Zoom hat gemeinsam mit Microsoft, alfaview und Teamviewer neue Sicherheitsstandards für Videokommunikation gesetzt.

Datensicherheit- und Schutz haben für Zoom Video Communications Inc. höchste Priorität. Diese Sicherheitsvorkehrungen sind zuletzt mit der Common Criteria (in 2022) oder ISO/IEC 27001:2013 (in 2021) zertifiziert worden. Außerdem hat Zoom im Jahr 2022 gemeinsam mit SURF, dem Zusammenschluss niederländischer Bildungs- und Forschungseinrichtungen, ein Impact Assessment auf den Weg gebracht, um potenzielle Datenschutz- und Sicherheitsrisiken zu identifizieren und zu mindern. Neben der Zertifizierung und Zusammenarbeit mit Dritten hat Zoom in diesem Jahr auch neue Datenschutz- und Sicherheitsfunktionen ausgerollt sowie neue Möglichkeiten zur Datenresidenz geschaffen – so zum Beispiel die Datenspeicherung im europäischen Wirtschaftsraum. 

Im Kontext steigender Sicherheitsanforderungen von  Verbraucher:innen geht Zoom nun den nächsten Schritt: In 2022 hat das Unternehmen eine DIN-SPEC-Initiative ins Leben gerufen. Gemeinsam mit Microsoft, alfaview und Teamviewer hat Zoom die erste DIN SPEC für Videokonferenzdienste für minimale Sicherheitsanforderungen entwickelt, die nun veröffentlicht wurde. Eine DIN SPEC ist ein Standard, der durch ein temporäres Gremium erarbeitet wird. Das Gremium besteht aus einem freiwilligen Zusammenschluss von Unternehmen, Organisationen oder wissenschaftlichen Einrichtungen. Die gemeinsam erarbeiteten Anforderungen werden durch das Deutsche Institut für Normungen e.V. als DIN SPEC veröffentlicht. 

Durch gestiegene Vertraulichkeit von Informationen und erhöhte Datenflüsse ist die Komplexität bei Videokonferenzdiensten gestiegen, das gilt auch für die Sicherheitsanforderungen der Nutzer:innen. Lösungen, die ursprünglich als Unternehmenssoftware gedacht waren, sind aufgrund ihrer Benutzerfreundlichkeit mittlerweile auch bei Verbraucher:innen beliebt. Die DIN SPEC 27008 wurde daher speziell entwickelt, um Sicherheitskriterien aus der Perspektive der Verbraucher:innen zu beschreiben. 

Sie umfasst: 

• Moderne Videokonferenzdienste kombiniert mit Audio-, Video- und Chat-Funktionalitäten
• Videokonferenzdienste, die entweder über einen Client oder über einen Browser genutzt werden
• Die zugrunde liegende IT-Infrastruktur, die Teil der Videokonferenzdienste ist

Die Spezifikationen der DIN SPEC fokussieren sich auf IT-Sicherheitskriterien. Funktionen wie Whiteboards, Umfragen und "Gamification"-Funktionen oder hardwarebezogene Lösungen sind nicht im Geltungsbereich der DIN SPEC 27008 enthalten. 

Den umfassenden Katalog mit den Sicherheitskriterien finden Sie hier.

Robert Graham, Customer Security Assurance Lead im EMEA-Raum sagt: „Uns ist es gelungen, maßgebliche Anbieter von Kommunikationsplattformen an einen Tisch zu bringen und gemeinsam mit ihnen an einem Sicherheitsstandard zu arbeiten. Die Funktionalität sowie die Komplexität der Plattformen und damit auch die Sicherheitsaspekte sind in den letzten Jahren enorm gestiegen. Die DIN SPEC 27008 trägt dem Rechnung und orientiert sich besonders an den Bedürfnissen der Verbraucher:innen.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Industrieinitiative begleitet und prüft derzeit eine  Anerkennung der DIN SPEC als Sicherheitsanforderung für das IT- Sicherheitskennzeichen.