BSI erkennt erste DIN SPEC für Videokommunikation für eine neue Produktkategorie des IT-Sicherheitskennzeichens an
Der von Zoom gemeinsam mit Microsoft, alfaview und Teamviewer erarbeitete Sicherheitsstandard schafft für Verbraucher:innen Transparenz und Sicherheit
6 Minute Lesezeit
Aktualisiert am May 06, 2024
Veröffentlicht am April 08, 2024
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Produktkategorie „Videokonferenzdienste“ für das IT-Sicherheitskennzeichen veröffentlicht. Das BSI hat diese Produktkategorie für das Kennzeichen am Freitag, 15. März, offiziell im Bundesanzeiger bekannt gegeben.
Für Zoom ist es besonders erfreulich, dass die Grundlage für die neue Produktkategorie des IT-Sicherheitskennzeichens die DIN SPEC 27008 ist. Diese DIN SPEC hat Zoom gemeinsam mit den Videokonferenzsystem-Anbietern Microsoft, alfaview und Teamviewer im Rahmen eines DIN-SPEC-Konsortiums erarbeitet und im Januar 2024 veröffentlicht.
Robert Graham, Customer Security Assurance Lead im EMEA-Raum, sagt: „Die Anerkennung der DIN SPEC als technische Sicherheitsanforderung für das IT-Sicherheitskennzeichen ist ein Meilenstein für Verbaucher:innen. Sie können nun bei gekennzeichneten Videokonferenzdiensten auf den ersten Blick grundlegende Sicherheitseigenschaften erkennen. Das Versprechen für IT-Sicherheit wird damit noch transparenter und dies ermöglicht Nutzer:innen eine fundierte Kaufentscheidung. Wir von Zoom sind besonders stolz, dass es unserer Industrieinitiative gelungen ist, die technische Grundlage für die neue Produktkategorie des IT-Sicherheitskennzeichens zu legen.”
Mit der neuen Produktkategorie Videokonferenzdienste des IT-Sicherheitskennzeichens können Verbraucher:innen nun auch in diesem Bereich Sicherheitsversprechen von Herstellern besser nachvollziehen. Sicherheitseigenschaften der Produkte werden verständlich dargestellt. So enthält das Etikett des IT-Sicherheitskennzeichens einen Link und einen QR-Code, mit dem Nutzer:innen auf die produktspezifische Informationsseite des BSI gelangen können. Hier erhalten sie Informationen über die Laufzeit des Kennzeichens, die Sicherheitseigenschaften des Dienstes und aktuelle Statusinformationen, z.B. ob eine Schwachstelle bekannt ist oder ein Update vorliegt.
Anbieter von Videokonferenzdiensten können das freiwillige IT-Sicherheitskennzeichen beim BSI beantragen. Dafür müssen ihre Dienste die Basisanforderungen der DIN SPEC 27008 erfüllen. Sollten Schwachstellen auftreten, müssen zügig Updates bereitgestellt werden. Das Kennzeichen wird für die Dauer von vier Jahren erteilt. Die Einhaltung wird über die Laufzeit hinweg vom BSI überwacht.
Hintergrund:
In 2022 hat Zoom eine DIN-SPEC-Initiative für Videokonferenzdienste ins Leben gerufen und gemeinsam mit Microsoft, alfaview und Teamviewer Sicherheitskriterien aus Perspektive der Verbraucher:innen definiert. Diese Vorgaben dienen dazu, Risiken für die Informationssicherheit und Privatsphäre von Nutzer:innen zu minimieren. Dazu gehören u.a. ein angemessenes Updatemanagement, aktuelle Verschlüsselungstechnologien, Transparenz während der Videokonferenz, z.B. darüber, wer zugeschaltet ist, angemessene Anforderungen an Passwörter, sichere Authentifizierungsmechanismen beim Accountschutz sowie ein sicherer Rechenzentrumsbetrieb.
1) Warum ist die Zertifizierung der IT-Sicherheit von Videokonferenzanbietern ein Meilenstein für Verbraucher?
Während Unternehmen oft beträchtliche Ressourcen aufwenden, um die Sicherheit ihrer verschiedenen Anbieter zu überprüfen, ist dies für Verbraucher aus verschiedenen Gründen nicht immer eine Option. Nichtsdestotrotz sind Verbraucher heutzutage sicherheitsbewusster und erwarten von ihren Anbietern, dass diese über angemessene Sicherheitsmaßnahmen verfügen. Diese Zertifizierung, die speziell für Verbraucher entwickelt wurde, gibt ihnen die Gewissheit, dass der Anbieter die hohen Sicherheitsstandards für Videokonferenzen erfüllt.
2) Inwiefern ist die IT-Sicherheitszertifizierung eine zuverlässige und neutrale Garantie für Videokonferenzanbieter?
Die Zertifizierung wurde von einer Arbeitsgruppe der Branche entwickelt, in der zahlreiche Videokonferenzanbieter vertreten waren. Jeder von ihnen hat sein Fachwissen in den Bereichen Sicherheit und Compliance eingebracht. So können Verbraucherinnen und Verbraucher sicher sein, dass die Zertifizierung repräsentativ für das aktuelle Marktangebot und den aktuellen Stand der Sicherheit ist.
3) Warum ist Verbrauchersicherheit für Zoom so wichtig und warum hat Zoom die Initiative für DIN Spec 27008 angeführt?
Zoom nimmt das Thema Informationssicherheit sehr ernst. Unsere Kunden können und sollen erwarten, dass wir sowohl ihre Daten als auch die Zoom-Plattform schützen. Zertifizierungen wie die DIN Spec 27008 sind der beste Weg für unsere Kunden, sich sicher zu fühlen, wenn es um die Sicherheit von Videokonferenzen geht.
4) Wie kam es zur Zusammenarbeit mit dem BSI?
Videokonferenzen und virtuelle Zusammenarbeit sind für Unternehmen und Verbraucher gleichermaßen unverzichtbar. Aus diesem Grund sahen Zoom und andere namhafte Anbieter die Notwendigkeit, mit der DIN Spec 27008 den Verbrauchern die Möglichkeit zu geben, die auf dem Markt angebotenen Sicherheitsmaßnahmen zu prüfen und zu vergleichen. Um die Einhaltung dieser wichtigen Norm ordnungsgemäß überprüfen zu können, ist es jedoch unerlässlich, dass die Unternehmen die Möglichkeit haben, diese Überprüfung durch konsistente und qualitativ hochwertige Tests durchzuführen. Das BSI brachte diese wichtige Expertise in den Prozess ein, nachdem es bereits die Entwicklung anderer Technologien wie E-Mail und Internet-Router unterstützt hatte.
Ressourcen zum Thema
