Bundesamt für Sicherheit in der Informationstechnik

M 2.207 Sicherheitskonzeption für Lotus Notes/Domino

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Wie für jedes in einer Institution eingesetzte Software-Produkt muss auch für den Einsatz von Lotus Notes/Domino eine geeignete Sicherheitskonzeption erstellt werden. Abhängig von der Größe, den Ressourcen und der organisatorischen Struktur der Institution kann die Sicherheitskonzeption für Lotus Notes/Domino in ein Ergebnisdokument ( z. B. eine Sicherheitsrichtlinie) oder eine Reihe von Ergebnisdokumenten einfließen. Eine modulare Dokumentation der Sicherheitskonzeption erleichtert die zielgruppenspezifische Verteilung der Dokumente, beispielsweise könnte eine Richtlinie für die Anwendungsentwicklung nur an die Anwendungsentwickler für die Lotus Notes/Domino-Plattform bzw. an Administratoren verteilt werden.

Die im Folgenden genannten Punkte der Sicherheitskonzeption sind dabei abzuarbeiten und die Ergebnisse zu dokumentieren. Sind Teile der Sicherheitskonzeption für den speziellen Einsatz der Lotus Notes/Domino-Plattform in der Institution nicht relevant ( z. B. wenn keine Anwendungsentwicklung für die Lotus Notes/Domino-Plattform stattfindet), ist dies in der Sicherheitsrichtlinie zu dokumentieren.

Sicherheitsrichtlinie für Lotus Notes/Domino

Im Rahmen der Sicherheitsrichtlinie sind folgende Aspekte zu berücksichtigen:

  • Die Sicherheitsrichtlinie muss konform zu den geltenden Sicherheitsrichtlinien der Institution sein (siehe M 2.192 Erstellung einer Leitlinie zur Informationssicherheit ).
  • Es müssen die jeweiligen Zielgruppen und die für sie relevanten Konzepte/Richtlinien der Lotus Notes/Domino-Sicherheitskonzeption genannt werden.
  • Die im Weiteren genannten Konzepte sind entweder als Bestandteil der Sicherheitsrichtlinie aufzunehmen oder zu referenzieren. Es ist dabei sicherzustellen, dass über die Referenzen die jeweils aktuelle Version der Konzepte verfügbar ist.
  • Die Verbindlichkeit der Richtlinie für alle Zielgruppen (zum Beispiel Lotus Notes Benutzer, Lotus Domino Administratoren, Führungskräfte, Projektleiter, Softwareentwickler, Softwarearchitekten) ist sicherzustellen, falls nicht bereits für alle Richtlinien der Institution eine entsprechende allgemeine Regelung zur Verbindlichkeit besteht.
  • Sind in der Institution mehrere Lotus Notes/Domino-Umgebungen (Installationen) im Einsatz, müssen umgebungsspezifische Besonderheiten der Sicherheitskonzeption dokumentiert sein.
  • Die Sicherheitsrichtlinie für die Nutzung von Lotus Notes/Domino muss institutionsweit abgestimmt sein und allen Benutzern bekannt gegeben worden sein. Hierbei empfiehlt es sich, die wichtigsten Inhalte für die jeweiligen Zielgruppen in einer kurzen und prägnanten Form aufzubereiten, z. B. in Form eines Faltblattes oder einer Webseite. Wenn sich Sicherheitsvorgaben verändern, müssen alle Benutzer hierüber informiert werden.

Konzept zur Domänen- und Zertifikatshierarchie von Lotus Notes/Domino

Das Konzept zur Domänen- und Zertifikatshierarchie von Lotus Notes/Domino ist das Ergebnis der in M 2.206 Planung des Einsatzes von Lotus Notes/Domino beschriebenen Planungstätigkeit. Das Konzept ist vom Verantwortlichen stets aktuell zu halten und muss bei Veränderungen angepasst werden. Bei größeren Änderungen der Lotus Notes/Domino-Infrastruktur erfolgt dies in der Regel durch die zuständigen Projektleiter, System- und Softwarearchitekten. Änderungen an diesem hoch sicherheitsrelevanten Konzept bedürfen einer Abnahme durch das Informationssicherheitsmanagement.

Konzept zur Nutzung der Lotus Notes/Domino-eigenen Sicherheitsmechanismen: Verschlüsselung, Umgang mit Zertifikaten und Lotus Notes IDs

Lotus Notes/Domino stellt unterschiedliche Verschlüsselungsmechanismen sowohl zur Verschlüsselung beweglicher Daten (Kommunikationsverbindungen, Kommunikationsinhalte) als auch zur Verschlüsselung der Datenbestände ( z. B. Datenbankverschlüsselung, E-Mail-Verschlüsselung) bereit. Es ist zu definieren, welche Lotus Domino-eigenen Mechanismen genutzt werden sollen. Die Konformität zu einem institutionsweiten allgemeinen Verschlüsselungskonzept bzw. die durch proprietäre Lotus Notes/Domino-Mechanismen bedingten Abweichungen sind zu dokumentieren. Das Schlüsselmanagement für Lotus Notes/Domino ist gemäß den Vorgaben des institutionsweiten Verschlüsselungskonzepts zu gestalten und muss dem Schutzbedarf der Lotus Notes/Domino-Plattform Rechnung tragen.

Der Umgang mit Zertifikaten, z. B. bei Rezertifizierung wegen Ablauf, Erstellung von Cross-Zertifikaten etc. ist gleichfalls in diesem Konzept zu regeln. Gefordert sind konkrete Regelungen und kein Verweis auf die grundsätzlich in Lotus Notes/Domino vorhandenen Mechanismen. So ist z. B. festzulegen, wann ein Versand per E-Mail zur Rezertifizierung an die Administratoren zulässig ist und wann nicht.

Da Lotus Notes ID s aufgrund der "Portabilität" ein Sicherheitsrisiko darstellen, muss geregelt werden, wo Kopien dieser IDs zu Wiederherstellungszwecken vorzuhalten sind und wie Prozesse im Umgang mit Lotus Notes IDs ( z. B. Rezertifizierung, Wiederherstellung) ablaufen sollen.

Ab Lotus Notes 8.5 steht mit der Lotus Notes ID Vault ein Werkzeug zum Management von Lotus Notes IDs zur Verfügung, das u. a. die Wiederherstellung verlorener Lotus Notes IDs, verlorener Passwörter, Synchronisation von Kopien von IDs mit nativen Mitteln der Lotus Notes/Domino-Plattform ermöglicht bzw. bereits vorhandene Funktionalität der Plattform erweitert oder vereinfacht. Die Nutzung des Werkzeugs wird empfohlen. Der Einsatz ist jedoch zu planen und das Konzept zur Nutzung der Lotus Notes/Domino-eigenen Sicherheitsmechanismen entsprechend anzupassen.

Passwortrichtlinien für Lotus Notes/Domino

Lotus Notes/Domino besitzt seit jeher eigene Mechanismen zur Bewertung der Passwortgüte. Es ist daher erforderlich, die institutionsweiten Passwortrichtlinien mit entsprechenden Anmerkungen zu übernehmen oder aber speziell für Lotus Notes/Domino eine Anpassung der Passwortrichtlinie an die Lotus Notes Mechanismen vorzunehmen. Die Lotus Notes/Domino-Passwortrichtlinien sollten möglichst Teil der Sicherheitsrichtlinie von Lotus Notes/Domino sein. Wenn eine Anmeldung über Single-Sign-On erfolgt, ist dies in der Sicherheitsrichtlinie entsprechend zu vermerken. Die für den Single-Sign-On genutzte Passwortgüte muss den kumulierten Anforderungen der angeschlossenen Anwendungen bzw. Systeme genügen.

Protokollierungs- und Auswertungskonzept für Lotus Notes/Domino

Konform zu der institutionsweit gültigen Richtlinie zur Protokollierung und Auswertung sicherheitsrelevanter Daten/Ereignisse ist ein konkretes Konzept für die Lotus Notes/Domino-Plattform zu erstellen. Abstimmvorgänge mit Datenschutzbeauftragten, Betriebsrat, Personalrat und anderen in diese Konzepte einzubindenden Stellen sind dann erforderlich, wenn keine entsprechende allgemeingültige Richtlinie zur Protokollierung und Auswertung vorliegt oder diese nicht den erforderlichen Detaillierungsgrad aufweist.

Bei der Erstellung der Sicherheitsrichtlinie ist zu berücksichtigen, dass die Vorgaben im Hinblick auf die auszuwertenden Datenvolumina realistisch sind und eine Umsetzung im Betrieb mit den vorhandenen Ressourcen möglich ist. Werden in der Institution bereits Werkzeuge zur zentralen Protokollierung und automatischen Protokollauswertung eingesetzt, ist zu prüfen, ob die Lotus Notes/Domino-Protokollierung und -Auswertung mit deren Hilfe erfolgen kann.

Archivierungskonzept für Lotus Notes/Domino

Die Lotus Notes/Domino-Plattform kann unterschiedliche archivierungspflichtige Daten beinhalten: E-Mails, archivierungspflichtige Workflow-Elemente, Datenbanken archivierungspflichtiger Lotus Notes-Anwendungen und Dienste usw. Bei der Nutzung von Lotus Notes/Domino als zentrales System zum Identitätsmanagement fallen auch hier archivierungspflichtige Daten an. Es ist daher erforderlich, ein fachliches und technisches Archivierungskonzept für die Lotus Notes/Domino-Plattform zu erstellen und entsprechend umzusetzen oder das vorhandene institutionsweite Archivierungskonzept an die Anforderungen der Lotus Notes/Domino-Umgebung anzupassen.

Konzepte zur Absicherung aller genutzter Lotus Domino Dienste

In der Regel wird die Absicherung aller Dienste (oft auch auf der Ebene installierter Module) in der Sicherheitsrichtlinie gefordert. Die Dokumentation der Maßnahmen zur Absicherung der Dienste muss nicht zwingend in der Sicherheitsrichtlinie für Lotus Notes/Domino erfolgen, da sie sich schwerpunktmäßig nur an die Zielgruppe der Administratoren und an das Informationssicherheitsmanagement richtet, sondern kann auch im Rahmen des Betriebskonzeptes erfolgen. Es sollten sowohl die technischen Maßnahmen an der Lotus Notes/Domino-Plattform (Härtung, Konfiguration server- und clientseitiger Komponenten) als auch organisatorische Maßnahmen und genutzte zusätzliche Sicherheitskomponenten zur Absicherung aller Dienste beschrieben werden.

Konzept zum Umgang mit sicherheitsgefährdenden Altanwendungen und für deren Betrieb benötigten sicherheitsgefährdenden Konfigurationen der Lotus Notes/Domino-Plattform

Ältere Lotus Domino-Anwendungen, die nicht migriert werden können, erfordern eventuell "unsichere" Einstellungen, um auf neueren Plattformen betrieben werden zu können. Wenn auf diese nicht verzichtet werden kann, ist es erforderlich, konzeptionell festzuhalten, wie diese betrieben und überwacht werden können, um das entstehende Sicherheitsrisiko zu minimieren. Insbesondere ist darauf zu achten, dass "unsichere" Parametrisierungen der Plattform nur punktuell zum Einsatz kommen und nicht aus Gründen der Kompatibilität mit den Altlagen zum institutionsweiten Standard erhoben werden.

Richtlinie für die Anwendungsentwicklung für die Lotus Notes/Domino-Plattform

Lotus Notes/Domino bietet sowohl die Möglichkeit der Anwendungsentwicklung unter den bisherigen, proprietären Technologien als auch die Anwendungsentwicklung unter einer Eclipse-basierten Java-Entwicklungsumgebung. Für jede der beiden Möglichkeiten ist, falls sie genutzt wird, eine entsprechende Richtlinie für die Anwendungsentwicklung zu erstellen. Diese Richtlinien müssen sowohl Coding-Standards für die nutzbaren Programmiersprachen als auch Best Practice der Entwicklung wie auch eine Beschreibung des Anwendungsentwicklungsprozesses beinhalten.

Richtlinie für die Anwendungsintegration mit der Lotus Notes/Domino-Plattform

Lotus Notes/Domino wird zunehmend als Plattform für server- und clientseitige Anwendungsintegration positioniert, sowohl durch den neuen Lotus Notes Client, der in der strategischen Positionierung des Herstellers als "universeller" Client gesehen wird, als auch durch die Möglichkeit der SAP-Integration. Um Anwendungsintegration nicht zu einer Quelle von sicherheitstechnischen Schwachstellen werden zu lassen, ist es erforderlich, eine plattformspezifische Richtlinie zur Anwendungsintegration mit der Lotus Notes/Domino-Plattform zu erstellen.

Schutz vor Schadprogrammen für Lotus Notes/Domino

Der Schutz vor Schadprogrammen für Lotus Notes/Domino ist die konzeptionelle Umsetzung der allgemeinen, institutionsweit gültigen Vorgaben zum Schutz vor Schadprogrammen. Dazu gehört sowohl der Schutz vor Schadprogrammen an Netzübergängen, an denen Lotus Domino als Web- oder E-Mail-Gateway zum Einsatz kommt, als auch der "nachgelagerte" Schutz vor Schadprogrammen der Lotus Domino Datenbanken (einschließlich der E-Mail-Datenbanken). Das Zusammenspiel der standardmäßig installierten server- oder clientseitigen Schutzprogramme mit den installierten Lotus Notes/Domino-Komponenten ist gleichfalls in diesem Konzept zu beschreiben.

Härtungskonzept und Konfigurationsvorgaben für Lotus Notes/Domino

Die zu installierenden Komponenten von Lotus Notes/Domino sind entsprechend dem Schutzbedarf und ihrem Einsatzszenario zu härten und zu konfigurieren. Es ist neben den im Konzept zur Absicherung der genutzten Dienste beschriebenen Absicherungsmaßnahmen auf Ebene der Dienste auch eine "Basishärtung" des Servers konzeptionell zu beschreiben. Zudem ist zu beschreiben, welche Dienste nicht genutzt werden und wie sie entsprechend deinstalliert ( bzw. nicht installiert) werden können. Für alle genutzten Clienttypen (auch browserbasierte Clients) sind die clientseitig erforderlichen Härtungs- bzw. Konfigurationsvorgaben konzeptionell zu beschreiben.

Konzept zur Nutzung von Push-Diensten

Die Nutzung des Lotus Domino E-Mail-Dienstes in Verbindung mit Push-Diensten kann über die Anbindung fremder Push-Dienste (wie z. B. bei der Einbindung von Smartphones) oder über die Nutzung der Komponente Lotus Notes Traveler erfolgen. Es ist erforderlich, dass bei der Nutzung von Push-Diensten die anfallenden sicherheitsrelevanten Themen konzeptionell beschrieben werden.

Prüffragen:

  • Existieren aktuelle Sicherheitsrichtlinien für die Nutzung von Lotus Notes?

  • Sind alle relevanten Sicherheitsvorgaben der Institution auf Lotus Notes abgebildet?

  • Werden alle Benutzer über neue oder veränderte Sicherheitsvorgaben zu Lotus Notes informiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK