BSI IT-Grundschutz-Kompendium – neuer Baustein UCC

07.03.2023 / Leonie Herden

Mit der Erscheinung der Edition 2023 des BSI-IT-Grundschutz-Kompendiums (siehe [1]) ist unter anderem der Baustein APP.5.4 Unified Communications und Collaboration (UCC) (siehe [2]) neu veröffentlicht worden. Der Baustein ist in der Schicht APP: Anwendungen eingeordnet und behandelt neben klassischer Telefonie weitere kommunikationsbezogene Dienste. Im Folgenden wollen wir uns den Baustein genauer anschauen.

Einordung des Bausteins UCC

Das IT-Grundschutz-Kompendium beinhaltet in der Edition 2023 insgesamt 111 Bausteine, die in 10 Schichten eingeteilt sind. Die Abbildung 1 zeigt den Aufbau des BSI-IT-Grundschutzkompendiums sowie die 10 Schichten.

Abbildung 1: Aufbau des BSI-IT-Grundschutz-Kompendiums – Quelle: BSI (siehe [3]

Bisher waren Bausteine, die sich mit (klassischer) Kommunikationstechnik beschäftigten, in der Schicht NET: Netze und Kommunikation eingeordnet, wie auch die Bausteine NET.4.1 TK-Anlagen, NET.4.2. VoIP und NET.4.3 Faxgeräte und Faxserver. Im Gegensatz dazu ist der Baustein UCC der Schicht APP: Anwendungen zugeordnet. Diese Zuordnung trägt der Entwicklung der Kommunikationsdienste Rechnung. Wo früher noch klassische, sehr hardwarebasierte Telefonanlagen vorherrschend waren, sind es heute softwarebasierte Lösungen, die neben klassischer Telefonie eine Reihe weiterer Dienste wie Video, verschiedene Formen des Chats und Funktionen für Teamzusammenarbeit bereitstellen. Unter dem Begriff Unified Communications und Collaboration werden diese Dienste zusammengefasst und vielfach durch cloudbasierte Lösungen realisiert. Die Nutzung dieser Dienste erfolgt durch entsprechende Anwendungen auf PCs, Laptops oder Smartphones.

Inhalte des Bausteins UCC

Im Baustein UCC werden folgende Themen behandelt:

  • UCC-Dienste sowie Interaktion und Wechselwirkungen der Dienste,
  • (Soft-)Clients, die zur Nutzung der Dienste notwendig sind,
  • Komponenten einer UCC-Lösung, sofern sie nicht durch andere Bausteine abgedeckt sind sowie
  • Themen, die sich aus dem fließenden Übergang zwischen UCC-Diensten und weiteren Anwendungen ergeben.

Zunächst wird auf Gefährdungen eingegangen, die durch die Nutzung von UCC-Diensten entstehen. Hierbei werden insbesondere solche Gefährdungen betrachtet, die durch ein mitunter komplexes Zusammenspiel bei der Nutzung verschiedener Kommunikationsdienste auftreten können. Zudem ergeben sich Angriffspunkte durch die parallele Nutzung verschiedener Herstellerlösungen sowie durch einen gleichzeitigen Zugriff auf gemeinsame Ressourcen.

Anschließend werden Anforderungen formuliert, deren Umsetzung eine sichere Nutzung von UCC-Diensten gewährleistet. Die Anforderungen sind gemäß der Systematik des BSI-IT-Grundschutz-Kompendiums in Basis-Anforderungen, Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf aufgeteilt.

Anforderungen innerhalb des UCC-Bausteins

Die formulierten Anforderungen decken die verschiedenen Phasen der Nutzung einer UCC-Lösung ab. Angefangen von der Planung der UCC-Dienste über die Integration in die vorhandene Netzinfrastruktur und Anwendungslandschaft bis hin zur sicheren Nutzung der UCC-Dienste wird eine Reihe von Aspekten berücksichtigt. Hierbei werden ebenfalls die Wechselwirkungen bei der Nutzung verschiedener Dienste betrachtet. So fordert beispielsweise die Anforderung APP.5.4.A3 Initiales und regelmäßiges Testen der UCC-Dienste (B) die Prüfung von Wechselwirkungen sowohl zwischen verschiedenen Diensten einer Lösung als auch mit anderen genutzten Anwendungen. Zudem sollten die Tests bei Erweiterungen oder umfassenden Anpassungen der Konfiguration wiederholt werden.

Eine sichere Konfiguration der Dienste ist ebenso wichtig wie die Nutzung von Verschlüsselungsmechanismen, wo immer diese möglich sind. Daher befasst sich gleich eine Reihe von Anforderungen mit eben diesen Themen:

  • APP.5.4.A6 Verschlüsselung von UCC-Daten (B)
  • APP.5.4.A8 Einsatz eines Session Border Controller am Provider-Übergang (S)
  • APP.5.4.A9 Sichere Konfiguration von UCC (S)
  • APP.5.4.A14 Ende-zu-Ende-Verschlüsselung (H)

Neben technischen Anforderungen fordert APP.5.4.A7 Regelungen für eine sichere Benutzung der UCC-Dienste (B) die Umsetzung einer Reihe von organisatorischen Maßnahmen wie die Information und Sensibilisierung der Nutzer sowie die Aufstellung von Regelungen in Zusammenhang mit der Durchführung von Konferenzen.

Darüber hinaus wird die Integration der UCC-Dienste in die Notfallplanung (APP.5.4.A12 Einbindung von UCC in die Notfallplanung (H)) sowie in ein Sicherheitsmonitoring (APP.5.4.A18 Einbindung von UCC in ein Sicherheitsmonitoring (H)) gefordert.

Fazit

Der Baustein APP.5.4. Unified Communications und Collaboration schließt eine Lücke innerhalb des BSI-IT-Grundschutz-Kompendiums, die sich in den vergangenen Jahren durch eine rasante technische Weiterentwicklung der Kommunikationsdienste ergeben hat. Denn insbesondere moderne Kommunikationsdienste, wie verschiedene Formen des Chats, Videokommunikation sowie Funktionen zur Teamzusammenarbeit, waren durch die Bausteine NET.4.1 TK-Anlagen oder NET.4.2. VoIP bisher nicht abgedeckt. Diese werden nun im UCC-Baustein adressiert.

Verweise

[1] https://www.comconsult.com/die-neue-edition-des-bsi-it-grundschutz-kompendiums-wurde-veroeffentlicht/

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_5_4_Unified_Communications_und_Collaboration_Edition_2023.pdf?__blob=publicationFile&v=4#download=1

[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf?__blob=publicationFile&v=4#download=1

Sicherheitsmaßnahmen für VoIP und UCC
03.12.-05.12.2024 Bonn | online

ISMS mit ISO 27001 und BSI IT-Grundschutz
04.02.-06.02.2025 in Bonn | online

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.