Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Produktkategorie „Videokonferenzdienste“ für das IT-Sicherheitskennzeichen veröffentlicht. Das BSI hat diese Produktkategorie für das Kennzeichen am Freitag, 15. März, offiziell im Bundesanzeiger bekannt gegeben.
Für Zoom ist es besonders erfreulich, dass die Grundlage für die neue Produktkategorie des IT-Sicherheitskennzeichens die DIN SPEC 27008 ist. Diese DIN SPEC hat Zoom gemeinsam mit den Videokonferenzsystem-Anbietern Microsoft, alfaview und Teamviewer im Rahmen eines DIN-SPEC-Konsortiums erarbeitet und im Januar 2024 veröffentlicht.
Robert Graham, Customer Security Assurance Lead im EMEA-Raum, sagt: „Die Anerkennung der DIN SPEC als technische Sicherheitsanforderung für das IT-Sicherheitskennzeichen ist ein Meilenstein für Verbaucher:innen. Sie können nun bei gekennzeichneten Videokonferenzdiensten auf den ersten Blick grundlegende Sicherheitseigenschaften erkennen. Das Versprechen für IT-Sicherheit wird damit noch transparenter und dies ermöglicht Nutzer:innen eine fundierte Kaufentscheidung. Wir von Zoom sind besonders stolz, dass es unserer Industrieinitiative gelungen ist, die technische Grundlage für die neue Produktkategorie des IT-Sicherheitskennzeichens zu legen.”
Mit der neuen Produktkategorie Videokonferenzdienste des IT-Sicherheitskennzeichens können Verbraucher:innen nun auch in diesem Bereich Sicherheitsversprechen von Herstellern besser nachvollziehen. Sicherheitseigenschaften der Produkte werden verständlich dargestellt. So enthält das Etikett des IT-Sicherheitskennzeichens einen Link und einen QR-Code, mit dem Nutzer:innen auf die produktspezifische Informationsseite des BSI gelangen können. Hier erhalten sie Informationen über die Laufzeit des Kennzeichens, die Sicherheitseigenschaften des Dienstes und aktuelle Statusinformationen, z.B. ob eine Schwachstelle bekannt ist oder ein Update vorliegt.
Anbieter von Videokonferenzdiensten können das freiwillige IT-Sicherheitskennzeichen beim BSI beantragen. Dafür müssen ihre Dienste die Basisanforderungen der DIN SPEC 27008 erfüllen. Sollten Schwachstellen auftreten, müssen zügig Updates bereitgestellt werden. Das Kennzeichen wird für die Dauer von vier Jahren erteilt. Die Einhaltung wird über die Laufzeit hinweg vom BSI überwacht.
Hintergrund:
In 2022 hat Zoom eine DIN-SPEC-Initiative für Videokonferenzdienste ins Leben gerufen und gemeinsam mit Microsoft, alfaview und Teamviewer Sicherheitskriterien aus Perspektive der Verbraucher:innen definiert. Diese Vorgaben dienen dazu, Risiken für die Informationssicherheit und Privatsphäre von Nutzer:innen zu minimieren. Dazu gehören u.a. ein angemessenes Updatemanagement, aktuelle Verschlüsselungstechnologien, Transparenz während der Videokonferenz, z.B. darüber, wer zugeschaltet ist, angemessene Anforderungen an Passwörter, sichere Authentifizierungsmechanismen beim Accountschutz sowie ein sicherer Rechenzentrumsbetrieb.