Bundesamt für Sicherheit in der Informationstechnik

M 2.206 Planung des Einsatzes von Lotus Notes/Domino

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Der Einsatz von Lotus Notes/Domino muss sorgfältig geplant werden. Dabei sollte der Planungsprozess als kontinuierlicher Prozess umgesetzt werden und nicht nur als einmalige Tätigkeit bei Ersteinführung. Der Detaillierungsgrad der Planung und der Umfang der Dokumentation, die im Planungsprozess zu erstellen ist, richtet sich unter anderem nach dem Schutzbedarf der jeweiligen Lotus Notes/Domino-Umgebung. Bei der Planung müssen außerdem auch Angemessenheitskriterien wie Größe und Ressourcen der Institution berücksichtigt werden. Zusätzlich ist der Umfang der Nutzung der unterschiedlichen Dienste der Lotus Notes/Domino-Plattform und der Komplexität der Architektur zu berücksichtigen.

So erfordert ein alleiniger Einsatz von Lotus Notes/Domino als interne und externe E-Mail-Plattform und Plattform für institutionsweite Zusammenarbeit (Workgroup-Unterstützung) aufgrund der einfacheren Architektur in der Regel eine weniger aufwendige Planung als bei einem Einsatz, der zusätzlich zu den E-Mail- und Workgroup-Diensten Extranet- und Internet-Schnittstellen vorsieht und eine breite Palette von Internet-Diensten einschließlich Instant Messaging und Web Services bereitstellt.

Grundsätzlich müssen bei der Einsatzplanung von Lotus Notes/Domino folgende Aspekte betrachtet werden:

  • Architekturplanung unter Berücksichtigung von Sicherheitsaspekten,
  • Planung der Rolle von Lotus Notes/Domino im institutionsweiten Identitätsmanagement,
  • Planung der Domänen- und Zertifikatshierarchie,
  • Planung administrativer Tätigkeiten im Umfeld Lotus Notes/Domino,
  • Festlegen der Relevanz der Lotus Notes/Domino-Plattform für die institutionsweite Geschäftsfortführungs- und Notfallplanung,
  • Planung der Kommunikationssicherheit für die Lotus Notes/Domino-Umgebung.

Die Lotus Notes/Domino-Plattform kann unter Verwendung von Servervirtualisierungstechniken oder Terminalserver-Technologie eingesetzt werden. In diesen Fällen ist eine entsprechende Planung des Zusammenspiels der Lotus Notes/Domino-Plattform mit der eingesetzten Virtualisierungsplattform zu erstellen.

Abhängig vom Schutzbedarf der von Lotus Notes/Domino unterstützten Geschäftsprozessen kann die Hochverfügbarkeit von Lotus Notes/Domino-Diensten erforderlich sein. Das Zusammenspiel der Lotus Notes/Domino-Plattform mit der eingesetzten Technologie zur Abbildung der Hochverfügbarkeitsanforderungen bzw. die Konfiguration der Lotus Notes/Domino-eigenen Mechanismen für Hochverfügbarkeit (Clustering) sind in diesen Fällen über eine entsprechende Planung abzubilden.

Architekturplanung unter Berücksichtigung von Sicherheitsaspekten

Es ist sicherzustellen, dass neben den fachlichen und funktionalen Anforderungen an die Lotus Notes/Domino-Plattform und den Anforderungen, die aus IT -strategischen Vorgaben einfließen, auch Sicherheitsaspekte bei der Architekturplanung beachtet werden. Dies kann über die Berücksichtigung allgemeiner Sicherheitsleitlinien erfolgen oder auch über das Einbeziehen konkreter Vorgaben der Institution zur hauseigenen Sicherheitsarchitektur.

Die für die Lotus Notes/Domino-Architekturplanung relevanten Sicherheitsleitlinien bzw. Elemente der Sicherheitsarchitektur sind in konkrete Elemente der Architekturplanung zu überführen. So sind z. B. die Sicherheitsvorgaben der Institution zur Planung und Absicherung von Netzübergängen bei der Positionierung und Absicherung der Lotus Domino Server, die als Übergang zu Extranets oder zum Internet vorgesehen sind, zu berücksichtigen.

Die Entscheidung, wie viele Lotus Domino Server an welchen Punkten eingesetzt werden, sollte sich primär an dem Schutzbedarf der Lotus Domino Dienste orientieren. Grundsätzlich ist eine selektive und restriktive Installation der Lotus Domino Dienste auf Basis des Schutzbedarfs anzustreben. Wo möglich, sind bereits auf Ebene der Architektur hoch schutzbedürftige Dienste von Diensten mit niedrigem Schutzbedarf zu trennen, sodass eine Beeinträchtigung der hoch schutzbedürftigen Dienste durch Schwachstellen der Dienste mit niedrigem Schutzbedarf möglichst vermieden wird. So ist z. B. bei entsprechend hohem Schutzbedarf der zentrale E-Mail-Dienst der Institution redundant auszulegen und auf Servern zu betreiben, die möglichst keine weiteren und in Bezug auf Schwachstellen "risikobehaftete" Dienste beinhalten.

Planung der Rolle von Lotus Notes/Domino im institutionsweiten Identitätsmanagement

Die Lotus Notes/Domino-Plattform bietet umfangreiche Funktionalitäten zum Aufbau eines institutionsweiten Identitätsmanagements. Es ist grundsätzlich möglich, Lotus Notes/Domino als führendes System des Identitätsmanagements einzusetzen und andere Systeme über Schnittstellen ( z. B. LDAP -Schnittstellen) mit Informationen über elektronische Identitäten und ihren Rechteumfang zu versorgen. Umgekehrt kann aber auch Lotus Notes/Domino als nachrangiges System diese Informationen von einer entsprechenden Schnittstelle eines anderen, führenden Systems erhalten.

Es ist erforderlich, dass für die Institution eindeutig festgelegt wird, welches das führende System zum Identitätsmanagement ist und wie die Information zu elektronischen Identitäten in der IT -Landschaft propagiert wird. Damit kann die Rolle von Lotus Notes/Domino entsprechend geplant werden. Diese Rolle wirkt sich maßgeblich auf den Schutzbedarf der Lotus Domino Dienste und der Lotus Notes/Domino-Infrastrukturkomponenten aus.

Planung der Domänen- und Zertifikatshierarchie

Der Einsatz der Lotus Notes/Domino-Plattform erfordert die Planung der Domänen- und Zertifikatshierarchie. Dies muss erstmalig bei der Einführung von Lotus Notes/Domino erfolgen und bei relevanten Änderungen der Organisationsstruktur, der genutzten Dienste, der angebundenen Partner etc. entsprechend angepasst werden. Dadurch, dass viele sicherheitsrelevante Einstellungen auf Domänenebene wirksam sind ( z. B. Sperrungen, sicherheitsrelevante Replikationsparameter), ist die Berücksichtigung der Sicherheitsthemen bei der Planung der Domänenhierarchie zwingend erforderlich.

Während für kleine Institutionen ein Ein-Domänen-Konzept ausreichend sein kann (bezogen auf die Produktivdomänen), wird in der Regel für komplexe Strukturen, wie z. B. bei Konzernen oder größeren Institutionen, ein Mehr-Domänen-Konzept erforderlich sein. Bestandteile der Domänenhierarchie sind alle Elemente, die zur Festlegung der Lotus Domino Infrastruktur zur Verfügung stehen. Das sind neben den Lotus Domino Domänen auch die Lotus Domino Organisationen und die Lotus Domino Netze (DNNs, Lotus Domino Named Networks) sowie das genutzte hierarchische Namenssystem (basierend auf dem X.500-Standard).

Die sicherheitstechnische Abbildung der Domänenhierarchie (die unter anderem regelt, zwischen welchen Servern und Benutzern Kommunikation erfolgen kann) geschieht über eine Zertifikatshierarchie ( PKI ). Die Planung der Zertifikatshierarchie ist abhängig von der Rolle von Lotus Notes/Domino im institutionsweiten Identitätsmanagement zu gestalten. Wesentliche Änderungen im Identitätsmanagement sollten immer eine Anpassung der Planung der Zertifikatshierarchie zur Folge haben und nicht durch technische Umgehungen (Workarounds) abgebildet werden. Es ist zu berücksichtigen, dass sowohl Lotus Notes eigene als auch Internet-Zertifikate (X.509-Zertifikate) verwaltet werden müssen.

Die erforderlichen Strukturen und Prozesse (wie z. B. in den X.509-Standards beschrieben) müssen in der Planung der Zertifikatshierarchie definiert werden. Dazu gehört beispielsweise die Festlegung der Zertifizierungsstelle (Certificate Authority), der Registrierungsstelle (Registration Authority) und des Zertifizierungsprozesses ( CA -Prozess). Dabei ist zu entscheiden, ob eine Fremdanbieter-Zertifizierungsstelle genutzt wird oder ob eine Lotus Domino Zertifizierungsstelle eingerichtet wird.

Alle technischen Einstellungen wie auch die administrativen Vorgänge und Prozesse im Umfeld der Zertifikatshierarchie müssen sehr sorgfältig geplant, konzeptionell im Detail ausgearbeitet und ausreichend dokumentiert werden. Es ist zu berücksichtigen, dass ab Lotus Notes/Domino 8.5 eine Überprüfung zurückgezogener Zertifikate über OCSP (Online Certificate Status Protocol, RFC 2560 der IETF ) möglich ist. Eine entsprechende Aktualisierung der Planung der Zertifikatshierarchie ist vorzunehmen.

Planung administrativer Tätigkeiten im Umfeld Lotus Notes/Domino

Es ist erforderlich, administrative Tätigkeiten im Umfeld Lotus Notes/Domino detailliert zu planen und in Form verbindlicher Anweisungen (wie z. B. eines verbindlichen Administrationsleitfadens) festzuschreiben. Der Detaillierungsgrad der Planung und der Umfang der Dokumentation sind abhängig vom festgelegten Schutzbedarf der Lotus Notes/Domino-Plattform.

Insbesondere kritische administrative Tätigkeiten, beispielsweise im Umfeld des Zertifizierungsprozesses, aber auch bei der Benutzeradministration, bei der Datenbankadministration, bei der Installation und Konfiguration von Komponenten und Diensten, müssen mit entsprechender Sorgfalt und Sachkenntnis durchgeführt werden.

Die ausreichende Dokumentation kritischer Administrationstätigkeiten muss in den Anweisungen zur Administration gefordert und entsprechend überprüft werden.

Unsachgemäße, auf Zuruf durchgeführte oder nicht ausreichend dokumentierte Administrationstätigkeiten stellen genauso wie vorsätzliche Angriffe unter Missbrauch administrativer Rechte erhebliche Gefährdungen dar. Diese haben, obwohl nicht Lotus Notes/Domino-spezifisch, wesentliche Auswirkungen auf die Erreichung der Schutzziele für die Lotus Notes/Domino-Plattform haben.

Aufgrund der technischen Komplexität der Lotus Notes/Domino-Plattform ist es in der Regel nicht ausreichend, allgemeine Anweisungen zur Administration umzusetzen, ohne plattformspezifische Ausprägungen vorzunehmen.

Bei der Planung der administrativen Tätigkeiten für Lotus Notes/Domino ist auch festzulegen, dass eine Überwachung und Kontrolle dieser Tätigkeiten unter Einsatz der technischen Möglichkeiten der Lotus Notes/Domino-Plattform zu erfolgen hat.

Festlegen der Relevanz der Lotus Notes/Domino-Plattform für die institutionsweite Geschäftsfortführungs- und Notfallplanung

Die Planung der Betriebsabläufe und der tief mit den Betriebsabläufen verzahnten Sicherheitsmaßnahmen der Lotus Notes/Domino-Plattform, wie z. B. der Maßnahmen zur Datensicherung und Wiederherstellung (Backup/Recovery), erfordert die Einstufung der Plattform im Gesamtkontext der Geschäftsfortführungs- und Notfallplanung. Ist dies nicht bereits in entsprechenden Aktivitäten der Institution erfolgt, sollte die Einstufung der Lotus Notes/Domino-Plattform im Hinblick auf die Geschäftsfortführungs- und Notfallplanung im Rahmen der Planung für die Einführung oder Migration von Lotus Notes/Domino stattfinden. Nur so lassen sich eine Reihe erforderlicher Sicherheitsmaßnahmen, wie z. B. Maßnahmen zur Sicherstellung der Verfügbarkeit der Plattform oder einzelner Dienste, angemessen planen.

Planung der Kommunikationssicherheit für die Lotus Notes/Domino-Umgebung

Aufgrund der verteilten Architektur typischer Lotus Notes/Domino-Umgebungen kommt der Planung der Kommunikationssicherheit eine tragende Rolle in der Sicherheitsplanung zu. Dabei sind folgende, für die Kommunikationssicherheit relevante, Themen abzudecken:

  • Server-zu-Server-Kommunikation von Lotus Domino-Servern (sowohl unter Verwendung von Lotus Notes Protokollen, Internet-Protokollen wie auch bei der Datenbankreplikation),
  • Client-zu-Server-Kommunikation für Lotus Notes Clients zu Lotus Domino Servern (für alle Lotus Notes Clienttypen inklusive administrativer Clients),
  • Client-zu-Server-Kommunikation für fremde Clients zu Lotus Domino Servern (unter Verwendung der POP3 und IMAP -Protokolle),
  • Remote Access Zugänge und spezifische Einwahlzugänge der Lotus Domino Server,
  • Nutzung von Push-Diensten für mobile Endgeräte,
  • Deinstallation ( bzw. nicht installieren) unsicherer bzw. nicht benötigter Kommunikationsprotokolle ( z. B. WebDAV),
  • Restriktive Einrichtung von Vertrauensbeziehungen zwischen Servern,
  • Nutzung oder Bereitstellung von Diensten/Schnittstellen außerhalb der Lotus Notes/Domino-Umgebung, wie z. B. LDAP -Schnittstellen.

Es ist zu berücksichtigen, dass Lotus Notes/Domino aus der Historie heraus noch Modem-Verbindungen zwischen Servern vorsieht, die in heutigen Umgebungen nicht mehr zeitgemäß sind und Sicherheitsrisiken induzieren können. Die Planung der Kommunikationssicherheit muss eine Entfernung dieser Verbindungen (falls vorhanden) und eine Deaktivierung der entsprechenden Schnittstellen bzw. Verbindungsdokumente vorsehen.

Prüffragen:

  • Werden bei der Architekturplanung für die Lotus Notes/Domino-Plattform Sicherheitsaspekte berücksichtigt?

  • Ist die Rolle von Lotus Notes/Domino im institutionsweiten Identitätsmanagement festgelegt?

  • Ist die Planung der Domänen- und Zertifikatshierarchie ausreichend dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK