Bundesamt für Sicherheit in der Informationstechnik

M 2.492 Integration der Lotus Notes/Domino-Umgebung in die vorhandene Sicherheitsinfrastruktur

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Lotus Notes/Domino besitzt eigene Sicherheitsmechanismen und kann durch zusätzliche Sicherheitskomponenten (wie z. B. speziell für Lotus Notes/Domino angepasste Virenschutzprogramme oder Spam-Filter) ergänzt werden. Eine Institution, die den Lotus Notes/Domino-Einsatz erstmalig plant (oder die Aktualisierung der Lotus Notes/Domino-Plattform plant), ist gefordert, die Sicherheitsmechanismen von Lotus Notes/Domino in die bestehende Sicherheitsarchitektur zu integrieren, um "Sicherheitsinseln" zu vermeiden.

Vor allem die an den für die Lotus Notes/Domino-Umgebung relevanten Netzübergängen eingesetzten Sicherheitskomponenten wie Sicherheitsgateways, Content Scanner bzw. Filter und Virenschutzprogramme müssen an die besonderen Anforderungen der Lotus Domino-Protokolle und -Dienste angepasst werden.

Umgekehrt können die Lotus Notes/Domino-Sicherheitsmechanismen dazu benutzt werden, andere Sicherheitskomponenten anzupassen und Schwachstellen der Perimetersicherheit zu schließen. Das Zusammenspiel der Lotus Notes/Domino-eigenen Sicherheitsmechanismen mit den vorhandenen Sicherheitskomponenten muss daher vor Einführung oder Aktualisierung der Plattform geplant werden.

Zusammenspiel von Lotus Notes/Domino mit Sicherheitsgateways

Lotus Domino Server können in einer DMZ platziert werden und durch Sicherheitsgateways entsprechend geschützt werden. Die konkrete Positionierung der einzelnen Lotus Notes/Domino-Serverkomponenten ist Teil der Sicherheitsarchitektur für die Lotus Notes/Domino-Umgebung.

Insbesondere bei bereits vorhandenen Sicherheitskomponenten, die für die Lotus Notes/Domino-Umgebung mit genutzt werden, ist es erforderlich, das Zusammenspiel dieser Komponenten mit Lotus Notes/Domino konzeptionell zu regeln. Dabei sind die fachlichen Anforderungen an die Lotus Notes/Domino-Dienste und die technischen Besonderheiten der von Lotus Notes/Domino genutzten Protokolle ( z. B. die vorhandene oder nicht vorhandene Möglichkeit, das Protokoll für die Nutzung über eine sichere Verbindung zu konfigurieren) zu berücksichtigen.

Zusammenspiel von Lotus Notes/Domino mit Lösungen gegen Spam, Content Scannern/Filtern und Virenschutzprogrammen

Es sollten bevorzugt Sicherheitskomponenten für die Absicherung des Lotus Domino Web Gateways und den Schadprogrammschutz von Lotus Notes/Domino zum Einsatz kommen, die speziell die Lotus Notes/Domino-Plattform unterstützen. Die eingesetzten Lösungen gegen Spam, Content Scanner, Content Filter und Schadprogrammschutz sind an die Anforderungen der Lotus Domino-Dienste und die genutzten Protokolle anzupassen.

Zusammenspiel von Lotus Notes/Domino mit Sicherheitskomponenten zur zentralen Protokollierung und automatischen Protokollauswertung

Protokollierung und Protokollauswertung auf zentralen Systemen bieten unter anderem Schutz gegen Manipulation der Lotus Notes/Domino-eigenen Sicherheitsprotokollierung durch Benutzer mit hohen Berechtigungen, Administratoren oder erfolgreiche Angreifer. Ein fortlaufendes Wegschreiben der Sicherheitsprotokollierung in eine gegen Manipulation geschützte zentrale Umgebung ( z. B. einen zentralen Protokollierungsserver) ist daher eine wichtige Maßnahme gegen eine Reihe von Bedrohungen, insbesondere auch durch Innentäter mit administrativen Privilegien.

Werden zentrale Protokollierungs- und Auswertungssysteme (auch Security Information and Event Monitoring oder kurz SIEM-Lösungen genannt) genutzt, so ist zu regeln, welcher Teil der Lotus Notes/Domino-Protokollierung über diese Systeme läuft und welches die Lotus Notes/Domino-spezifischen Auswertungskriterien sind.

Prüffragen:

  • Wurden die an den für die Lotus Notes/Domino-Umgebung relevanten Netzübergängen eingesetzten Sicherheitskomponenten wie Sicherheitsgateways, Content Scanner bzw. Filter und Virenschutzprogramme an die besonderen Anforderungen der Lotus Domino-Protokolle und -Dienste angepasst?

Stand: 13. EL Stand 2013