Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dem Videokonferenzanbieter Zoom zwei IT-Sicherheitskennzeichen verliehen – für die Dienste „Zoom Workplace Basic“ und „Zoom Workplace Pro“. Damit macht der Anbieter seine Sicherheitseigenschaften für Verbraucherinnen und Verbraucher einfach erkennbar.
Das Zeichen signalisiert, dass ein Produkt grundlegende IT-Sicherheitsanforderungen erfüllt. Somit dient es Verbraucherinnen und Verbrauchern zur Orientierung beim Kauf von vernetzten Geräten oder bei der Nutzung digitaler Dienste. Aktuell können Hersteller und Anbieter das Kennzeichen für mobile Endgeräte, smarte Verbrauchergeräte, Breitbandrouter, E-Mail-Dienste sowie Videokonferenzdienste beantragen.
Kontinuierliche Prüfung
BSI-Vizepräsident Dr. Gerhard Schabhüser gratuliert Zoom zur Erteilung der zwei IT-Sicherheitskennzeichen. Damit leiste der Anbieter einen „wichtigen Beitrag“ zur Transparenz bei der IT-Sicherheit von Videokonferenzdiensten und setze ein „klares Zeichen“ für die Branche, „angemessene Sicherheitsanforderungen für Verbraucherinnen und Verbraucher umzusetzen“, so Schabhüser. Mit dem Kennzeichen verpflichten sich Anbieter schließlich auch dazu, Updates für mögliche Schwachstellen „zügig“ umzusetzen, betonte BSI-Präsidentin Claudia Plattner zum Start des Kennzeichens im März 2024. Die Einhaltung der Sicherheitsanforderungen werde über die gesamte Laufzeit des Kennzeichens geprüft.
Für die Kennzeichnung von Videokonferenzdiensten ist die DIN SPEC 27008 maßgeblich. Das ist das Sicherheitsniveau, auf das sich Videokonferenzanbieter als Standard verständigt haben. Es gibt Mindestanforderungen vor: zu Accountschutz, Update- und Schwachstellenmanagement, Authentisierungsmechanismen, Transparenz und sicherem Rechenzentrumsbetrieb.
Klare Teilnehmerliste
Zum Beispiel müssen die vorkonfigurierten Standardeinstellungen neuer Meetings beinhalten, dass diese privat (nicht öffentlich) erstellt werden und über schwer zu erratende Zugangsdaten abgesichert werden. Auch müssen sie eine „Warteraum-Funktion“ haben, sodass Moderatoren neu beitretenden Teilnehmern den Zugang zum Meeting manuell „hereinlassen“. Auch muss möglich sein, alle Teilnehmer der Konferenz anzeigen zu lassen. Anbieter, deren Dienste diese Anforderungen der erfüllen, können das Kennzeichen beantragen.
Als erster und bisher einzig anderer Anbieter erhielt die Berliner OpenTalk GmbH im Juli 2024 drei IT-Sicherheitskennzeichen für Videokonferenzdienste.
Auf der Website des BSI können sich Nutzende zu Updates, Sicherheitseigenschaften und zur Laufzeit des Kennzeichens informieren.