Videokonferenz mit BigBlue Button

Videokonferenzen ohne Risiken und Nebenwirkungen

Tägliche Meetings, Seminare, Großkonferenzen: Virtuelle Treffen sind aus dem Arbeitsalltag nicht mehr wegzudenken. Auch Berufsgenossenschaften haben Bedarf an einer verlässlichen Plattform. Mit ca. 2000 Mitarbeitenden und knapp 8,5 Millionen Versicherten kam für unseren Kunden eine Lösung „von der Stange“ nicht infrage. Zu hoch sind die Anforderungen seitens des Datenschutzes und des Sozialgesetzbuchs (SGB) sowie der eigenen Organisation. Auf Basis der Open-Source-Software BigBlueButton (BBB) und mit Unterstützung der direkt gruppe entstand eine eigene Konferenzlösung, die die regulatorischen und gesetzlichen Anforderungen erfüllt.

Videokonferenzsysteme sind mittlerweile Standard für die virtuelle Zusammenarbeit, doch genießen sie aus Security-Sicht nicht immer den besten Ruf. Zu viele Unsicherheiten herrschen in Bezug auf Datenschutzthemen. Wo werden die Konferenzen gehostet? Was passiert mit den Nutzerdaten, wie sind die Meetings verschlüsselt und ist der Datentransfer überhaupt sicher? Berufsgenossenschaften sind dabei nicht nur den üblichen Anforderungen der DSGVO (Datenschutzgrundverordnung) unterworfen. Sie muss zusätzlich auch die Richtlinien zur IT-Sicherheit des SGB berücksichtigen. Denn die bei den Genossenschaften verarbeitete personenbezogenen Daten sind als Sozialdaten zu behandeln und damit als hochsensibel einzustufen.

Ein eigenes Konferenzsystem ist die Lösung

Das Ziel war also eine eigene Videokonferenzplattform, die von der Berufsgenossenschaft selbst gehostet werden kann und den hohen Vorgaben des Datenschutzes standhält. Gemeinsam mit den Experten der direkt gruppe haben Fachbereiche und IT-Verantwortliche des Kunden in kurzer Zeit eine nachweislich sichere Lösung geschaffen, die die regulatorischen und gesetzlichen Anforderungen der Berufsgenossenschaft berücksichtigt.
Neben den Sicherheitsaspekten waren auch die fachlichen Ansprüche vielfältig. Das System muss das gesamte Spektrum der nicht virtuellen Zusammenarbeit abbilden können: von kleineren Regelmeetings, Sessions für Gruppenarbeit und übergreifende Austauschrunden über Lehrveranstaltungen und Seminare bis hin zu Konferenzen mit über 100 Teilnehmenden. Zusätzlich sollen Whiteboards zur Verfügung stehen, Präsentationen vor kleinem und großem Publikum stattfinden können und interaktiver Austausch möglich sein.
Ausgehend von diesen Anforderungen wurden die Arbeitspakete zunächst in drei Bereiche unterteilt: Datenschutz und IT-Sicherheit, die technische Umsetzung und die Anforderungen der Fachbereiche.

So vielfältig die Anforderungen, so zahlreich die Herausforderungen

IT-Security & Datenschutz formulierte deutlich: „Wir benötigen strukturierte Nachweise über den Datenfluss, den Aufbau der Softwarelösung, gehärtete Maschinen und eine Dokumentation.“
Die Lösung der direkt gruppe beinhaltete eine Datenschutzfolgeabschätzung (DSFA). Dieses Vorgehen hatte sich bereits in vergangenen Projekten bewährt. Dank der DSFA lassen sich schnelle und valide Ergebnisse erzeugen, wenn es um die Verarbeitung personenbezogener Daten geht.
Die nächste Herausforderung lag in den Anforderungen aus dem Kompendium für Videokonferenzsysteme des BSI (KoViKo). Das Kompendium ist eine Art Nachschlagewerk für den Umgang mit Inhalten und schutzbedürftigen Informationen in Videokonferenzen. Es richtet sich vom Betreiber bis zum Endnutzer an alle, die mit einem Videokonferenzsystem arbeiten. Der Kunde hat daraus eine eigene Fassung abgeleitet, die den erhöhten Datenschutzanforderungen gerecht wird. Diese Version galt als Maßstab zur Umsetzung der Plattform.
Diese überarbeiteten Anforderungen wurden nun also auf BBB übertragen und die Software durch die Experten der direkt gruppe entsprechend angepasst und aufgebaut.
Die nächsten Schritte waren die Datenflussanalyse und die Durchführung der DSFA. Hierfür betrachtete man die verarbeiteten personenbezogenen Daten und die Folgen, die durch die Nutzung der Softwarelösung für die Personen entstehen könnten. Abschließend wurde in der DSFA eine dedizierte Risikoanalyse durchgeführt. Innerhalb kürzester Zeit stand fest, dass BBB die erhöhten Anforderungen an den Datenschutz und die IT-Sicherheit erfüllt, ja sogar übertrifft.

Zuverlässige Technik, aber schnell

Nachdem die Hürden der Regulatorik und der gesetzlichen Anforderungen überwunden waren, konnte das Team an die technische Umsetzung des Systems gehen. Hier lag der Fokus auf Geschwindigkeit und Flexibilität: Das System muss schnell hochgefahren und automatisiert deployt werden können. So lassen sich Geschwindigkeitsvorteile realisieren und Änderungen stehen den Anwendern schneller und einfacher zur Verfügung.
Zusätzlich legt die Automatisierung den Grundstein für eine skalierbare Umgebung.
Nach der technischen Umsetzung folgte die Testphase, in der ein erster Anwenderkreis eine Pilot-Umgebung kennenlernen und erproben konnte. Diese Umgebung lag bereits sehr nah an einer „echten“ produktiven Umgebung. Lediglich das Frontend war zu diesem Zeitpunkt noch nicht final abgestimmt. Durch das Ausrollen des Piloten an die Fachbereiche wurde schnell wertvolles Feedback generiert das, in der Weiterentwicklung Berücksichtigung findet.

Die neue Plattform muss ein Allrounder sein

Mit dem Ausrollen des Piloten konnten die Anforderungen der Fachbereiche näher betrachtet werden. Zu Projektbeginn hatte man nur grobe Bedingungen für zwei unterschiedliche Szenarien festgehalten. Diese Szenarien wurden jetzt von den Beteiligten mit Inhalten gefüllt: In konstruktiven Dialogen wurden mehrere Anwendungsszenarien mit den Fachbereichen besprochen und anschließend priorisiert. Es handelt sich hierbei im Wesentlichen um Lehrveranstaltungen und Großkonferenzen. Außerdem sollen im Alltag noch Regeltermine und kleinere Austauschrunden stattfinden können. Die Aufgabenstellungen der unterschiedlichen Anwendungsfälle wurden anschließend abgeglichen und die nächsten Arbeitspakete definiert.
Nach Prüfung aller Anwendungsbereiche und Anforderungen aus regulatorischer, technischer und fachlicher Sicht zeigte sich erneut, dass BigBlueButton die diversen Ansprüche erfüllt und dabei für alle Teilnehmenden den Schutz der personenbezogenen Daten auf einem sehr hohen Niveau hält.

Das Fundament steht, wie geht es weiter?

Innerhalb von drei Monaten ist also ein solides Fundament für das Produktiv-Design entstanden. In sehr kurzer Zeit waren in einem eher konservativen, hochregulierten Umfeld neue Technologien einsatzbereit. Dies war vor allem der großen Bereitschaft zur Zusammenarbeit unterschiedlicher Abteilungen bei dem Kunden zu verdanken – kombiniert mit dem Einsatz des erfahrenen Expertenteams der direkt gruppe.
Nach intensiven Feedback-Runden wurde die Videokonferenzlösung weiter optimiert und die Pilotphase zeitnah abgeschlossen. Nun befindet sich die Videokonferenzlösung im produktiven Einsatz. Begleitend zur produktiven Einführung erstellten die Berater der direkt gruppe die wesentlichen Dokumente. Dazu gehören z. B. umfangreiche Schulungsunterlagen, eine FAQ, eine Betriebsdokumentation und weitere organisatorische Komponenten.


Sie sind auf der passenden Konferenzlösung für Ihr Unternehmen? Nehmen Sie jetzt Kontakt mit uns auf: https://blog.direkt-gruppe.de/kontakt/

Diesen Artikel teilen: