Die DIN SPEC 27008:2024-02 ist eine Spezifikation, die Mindestsicherheitskriterien für Videokonferenzsysteme festlegt. Sie wurde von verschiedenen Organisationen, darunter Zoom Video Communications Germany GmbH, Microsoft Deutschland GmbH, TeamViewer Germany GmbH und alfaview gmbh, entwickelt und verabschiedet.
Die Spezifikation konzentriert sich auf die IT-Sicherheit von Videokonferenzdiensten (VCS) und umfasst Richtlinien, um die Vertraulichkeit, Verfügbarkeit und Integrität von Nutzerdaten zu schützen. Sie adressiert die rasante Entwicklung von VCS in den letzten Jahren, die durch gesteigerte Benutzerfreundlichkeit und Funktionalität geprägt ist. Dabei werden auch Sicherheitsrisiken berücksichtigt, die mit dieser Entwicklung einhergehen.
Die Spezifikation behandelt verschiedene Aspekte von VCS, darunter:
- Software- und Dienstanbieter: Es werden Risiken wie unzureichendes Softwaremanagement, schlechtes Design oder Architektur der Software und unautorisierte Zugriffe auf Systeme, Server und Anwendungen behandelt.
- Konto-Inhaber, Gastgeber, Co-Gastgeber und Teilnehmer: Es werden Risiken wie unzureichende Identifizierung der Teilnehmer, Missbrauch von gemeinsam genutzten Profilen, unbeabsichtigte Informationspreisgabe, Störungen von Meetings, unkontrollierte Aufzeichnungen von Videokonferenzanrufen und unzureichend gesicherte Datenspeicherung behandelt.
- Mindestsicherheitskriterien: Die Spezifikation legt Sicherheitskriterien fest, die von VCS-Anbietern erfüllt werden müssen. Dies umfasst Software-Design und -Architektur, Infrastrukturresilienz, Patch- und Schwachstellenmanagement, Systemzugangsmanagement, Dienstzugangsmanagement, Kontosicherheitsmanagement, Meeting-Standardkonfiguration, Meeting-Einrichtung, Datenschutz und Aufzeichnungsmanagement, Meeting-Beendigung und Verschlüsselung.
Anhang A der Spezifikation bietet eine Testspezifikation mit einer Checkliste, die zur Überprüfung der Einhaltung der Mindestsicherheitskriterien dient. Die Spezifikation ist speziell für den Einsatz von VCS in persönlichen Computern und nicht für Unternehmensumgebungen konzipiert.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: