Bundesamt für Sicherheit in der Informationstechnik

M 4.128 Sicherer Betrieb der Lotus Notes/Domino-Umgebung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Der sichere Betrieb der Lotus Notes/Domino-Umgebung umfasst alle Regeltätigkeiten, die zur Aufrechterhaltung der Funktionsfähigkeit der Lotus Notes/Domino-Umgebung vonnöten sind. Dazu gehört die Administration von Lotus Notes/Domino, die Durchführung von Upgrades und Migrationen, die regelmäßige Datensicherung und bei Bedarf Datenarchivierung sowie die Tätigkeiten zur Überwachung des Betriebs und der Sicherheit der Plattform. Änderungen an den Diensten, die außerhalb von Upgrades und Migrationen stattfinden ( z. B. die Aktivierung bislang nicht genutzter Dienste, Inbetriebnahme neuer Datenbanken und Ähnliches), sind vergleichbar mit dem Verfahren bei Upgrades und Migrationen durchzuführen. Dies beinhaltet die Einhaltung der Vorgaben zur Dokumentation (einschließlich der systemseitigen Protokollierung der vorgenommenen Änderungen und Archivierung der Protokolle) und Einhaltung der Vorgaben für kritische Administrationstätigkeiten ( z. B. Vier-Augen-Prinzip oder Freigabeverfahren für Dienste oder Komponenten wie Datenbanken oder Schnittstellen).

Betriebskonzept

Der sichere Betrieb der Lotus Notes/Domino-Umgebung erfordert ein Betriebskonzept, das alle angesprochenen betriebsrelevanten Themenfelder ausreichend detailliert regelt. Das Betriebskonzept muss auf weitere betriebsrelevante Konzepte (siehe M 2.207 Sicherheitskonzeption für Lotus Notes/Domino ) verweisen.

Datensicherung

Eine regelmäßige Datensicherung ist Teil eines sicheren Betriebs und ist in einem Datensicherungskonzept zu dokumentieren. Dieses ist nicht Teil der Notfallvorsorge, sondern Teil des regulären Betriebs der Plattform, ist aber mit der Notfallplanung abzustimmen. Wird diese Vorgehensweise zur Datensicherung auch im Rahmen der Archivierung genutzt, so muss das Datensicherungskonzept mit dem in M 2.207 Sicherheitskonzeption für Lotus Notes/Domino beschriebenen Archivierungskonzept abgestimmt werden.

Da Lotus Notes/Domino seine Informationen (sowohl Nutzdaten als auch interne Verwaltungsdaten, Konfigurationen, Protokolle etc. ) in proprietären Datenbanken hält, muss das Datensicherungskonzept neben der Sicherung von Konfigurationsdateien (wie notes.ini) auch die Sicherung dieser Datenbanken abdecken. Allgemeine Empfehlungen zur Sicherung von Datenbanken finden sich in der Maßnahme M 6.49 Datensicherung einer Datenbank .

Folgende Besonderheiten der Lotus Notes/Domino-Plattform sind zu berücksichtigen:

  • Ab Domino Release 5 und dem ODS (On-Disc Structure) 41 unterstützt Lotus Notes/Domino die Transaktionsprotokollierung für Datenbanken. Dies ist nicht nur wegen der erweiterten Möglichkeiten der inkrementellen Datensicherung über die Sicherung und das Nachfahren von Transaktionsprotokollen von Bedeutung, sondern auch wegen der Reparatur beschädigter Datenbanken über ein Einspielen des Backups und der Transaktionsprotokolle.
  • Die Transaktionsprotokollierung ist für alle Datenbanken mit hohem Schutzbedarf in Bezug auf Verfügbarkeit oder Integrität, insbesondere auch für die Systemdatenbanken von Lotus Notes/Domino, einzurichten. Dabei sind insbesondere die Parameter Protokollierungsart, Automatisches Fixup von beschädigten Datenbanken und Leistung zur Laufzeit bzw. beim Neustart für den Einsatzzweck angemessen zu konfigurieren.
  • In den neueren Domino-Versionen ist es möglich, Lotus Notes/Domino-Datenbanken in einer DB2-Datenbank abzulegen und über die Lotus Notes/Domino-Plattform darauf zuzugreifen. Wird diese Möglichkeit genutzt, muss das Sicherungskonzept für Lotus/Notes Domino auch die Sicherung der genutzten DB2-Datenbanken beinhalten.
  • Datensicherungen komplexer Betriebsumgebungen mit umfangreichen Abhängigkeiten, die z. B. durch die Verwendung von Replikation entstehen können, sollten möglichst nicht manuell, sondern unter Verwendung dafür geeigneter Sicherungstools durchgeführt werden. Tools des Herstellers der zu sichernden Plattform (im diesem Fall Tivoli Storage Manager und Tivoli Data Protection for Domino) sind oftmals auf die Eigenheiten der Plattform abgestimmt, daher sind die Inkompatibilitätsrisiken geringer als bei Tools von Fremdanbietern.

Anwendungsentwicklung für die Lotus Notes/Domino-Plattform

Wird Anwendungsentwicklung für die Lotus Notes/Domino-Plattform betrieben, gehören zum sicheren Betrieb der Plattform auch die Verfahren zur Überführung der Anwendungen in den Betrieb. Diese müssen nicht nur gewährleisten, dass eine formell richtige Übergabe stattfindet, sondern auch, dass die geforderten Schritte zur Absicherung der Anwendungsentwicklung umgesetzt wurden.

Der Betrieb einer Lotus Notes/Domino-Umgebung mit Eigenentwicklung ist anders abzusichern als der einer Standard-Umgebung, insbesondere auch unter Berücksichtigung der Thematik "Altlagen" und "Produktivnahme von Eigenentwicklungen".

Wie allgemein üblich hat auch für die Lotus Notes/Domino-Plattform eine angemessene Trennung zwischen Entwicklungsumgebungen, Umgebungen für Test und Qualitätssicherung und Produktivumgebungen zu erfolgen. Es ist vielfach möglich, als Entwicklungsumgebungen und Umgebungen für Test und Qualitätssicherung Lotus Notes/Domino-Umgebungen unter Verwendung von Virtualisierung zu nutzen, auch unter dem Aspekt niedrigerer Lizenzkosten (siehe dazu M 2.493 Lizenzmanagement und Lizenzierungsaspekte in der Beschaffung für Lotus Notes/Domino ). Abhängig vom Schutzbedarf kann auch über Virtualisierung eine ausreichende Trennung der Umgebungen realisiert werden.

Bei der Trennung der Umgebungen ist zu berücksichtigen, dass in der Regel kein Zugriff mit Entwicklerclients (Domino Designer) auf die Produktivumgebungen zuzulassen ist. Sollte ein Entwicklerzugriff auf eine Produktionsumgebung aus betrieblichen Erfordernissen in Ausnahmesituationen benötigt werden, sind im Vorfeld im Rahmen des Betriebskonzepts Verfahren zu definieren, die die Überwachung und Qualitätssicherung dieses Zugriffs sicherstellen. Der Zugriff hat transparent und anhand der Protokollierung nachvollziehbar zu erfolgen.

Die Verfahren, um eigenentwickelte Anwendungen in den Produktivbetrieb zu übernehmen, müssen sicherstellen, dass:

  • eine formelle Abnahme der Anwendung durch die Verantwortlichen erfolgt,
  • fachliche Tests, Integrationstests und Performanztests der Anwendung in ausreichendem Maß durchgeführt wurden,
  • die in die Produktivumgebung eingebrachten Objekte und die getesteten Objekte übereinstimmen,
  • die in die Produktivumgebung eingebrachten Objekte frei von Schadsoftware (siehe hierzu auch B 1.6 Schutz vor Schadprogrammen ) sind und
  • die Richtlinie für die Anwendungsentwicklung für die Notes/Domino-Plattform (siehe M 2.207 Sicherheitskonzeption für Lotus Notes/Domino ) bei der Entwicklung nachvollziehbar angewendet wurde.

Bei zugekauften Anwendungen für die Lotus Notes/Domino-Umgebung sollten im Rahmen der Möglichkeiten vergleichbare Qualitätsmaßstäbe gelten wie für Eigenentwicklungen, wobei die Einhaltung der Richtlinie für die Anwendungsentwicklung durch entsprechende Aussagen und Zertifizierungen des Herstellers zu ersetzen ist.

Anwendungsintegration mit der Lotus Notes/Domino-Plattform

Anwendungsintegration mit Lotus Notes/Domino (siehe M 2.493 Lizenzmanagement und Lizenzierungsaspekte in der Beschaffung für Lotus Notes/Domino ) kann die Sicherheitsanforderungen an die Plattform im Betrieb völlig verändern.

Clientseitige Anwendungsintegration kann den Schutzbedarf des Lotus Notes Clients bezüglich aller drei Grundwerte erhöhen. Dies gilt auch für die Nutzung spezieller Integrationskomponenten wie das gemeinschaftlich mit SAP entwickelte Produkt Alloy zum Zugriff auf SAP-Systeme aus Lotus Notes. Dies hat in der Regel Auswirkungen auf die Konfiguration und Nutzung des Notes Clients. Die in M 4.229 Sicherer Betrieb von Smartphones, Tablets und PDAs geforderte sichere Konfiguration des Clients muss dies berücksichtigen. Der sichere Betrieb der Plattform ist um eine entsprechende clientseitige Protokollierung und Auswertung, mit Fokus auf die clientseitig integrierten Anwendungen, zu ergänzen.

Serverseitige Anwendungsintegration kann beispielsweise über die Nutzung von DB2-Datenbanken für Notes-Daten realisiert werden, oder aber über die Nutzung spezieller Integrationskomponenten. Daneben gibt es weitere Integrationslösungen über den Domino DIIOP-Dienst, Domino XML (DXL) und Domino JSP, die insbesondere die Integration mit der Websphere-Middleware unterstützen. Die Nutzung von Web Services der eigenen Institution oder von Fremdanbietern über die entsprechenden Schnittstellen von Lotus Notes/Domino fällt auch unter diese Betrachtungen.

Bei serverseitiger Anwendungsintegration erhöht sich der Schutzbedarf der entsprechenden Notes/Domino-Anwendungen und Dienste entsprechend unter Berücksichtigung des Schutzbedarfs der über die Integration eingebundenen Anwendungen und Dienste. Dies ist sowohl bei der serverseitigen Konfiguration der Dienste des Domino-Servers aus M 4.116 Sichere Installation von Lotus Notes/Domino zu berücksichtigen wie auch in der Festlegung der in M 4.132 Überwachung der Lotus Notes/Domino-Umgebung zu monitorenden Parameter und Ereignisse. Auch die Parameter für das in M 4.427 Sicherheitsrelevante Protokollierung und Auswertung für Lotus Notes/Domino beschriebene Logging sind anzupassen.

Anwendungsintegration ist daher, wie unter M 2.207 Sicherheitskonzeption für Lotus Notes/Domino gefordert, konzeptionell im Rahmen einer Richtlinie für die Anwendungsintegration zu betrachten. Die Einhaltung der Richtlinie ist bei der Produktivnahme der Integrationslösung zu prüfen.

Ist der Betrieb der Lotus Notes/Domino-Umgebung (oder einzelner Komponenten hiervon) ausgelagert, verbleibt die Verantwortung für die Gewährleistung eines sicheren Betriebs bei der auslagernden Institution, während die Durchführung der dazu erforderlichen Regeltätigkeiten bei der Institution und/oder einem oder mehreren Dienstleistern stattfindet. Der IT-Grundschutz-Baustein B 1.11 Outsourcing beschreibt die für eine Auslagerung oder Teilauslagerung erforderlichen besonderen Sicherheitsmaßnahmen.

Upgrades und Migrationen im Betrieb

Für den sicheren Betrieb der Lotus Notes/Domino-Umgebung sind die in M 4.116 Sichere Installation von Lotus Notes/Domino angeführten Hinweise zu Upgrades und Migrationen zu berücksichtigen.

Administrationstätigkeiten

Die administrativen Tätigkeiten sind nach Möglichkeit anhand eines Administrationshandbuches, das die in M 2.206 Planung des Einsatzes von Lotus Notes/Domino angesprochene Planung administrativer Tätigkeiten dokumentiert, durchzuführen. Insbesondere bei Auslagerungen ist dies das Mittel, um eine nachvollziehbare Qualität kritischer Administrationstätigkeiten zu gewährleisten. Der Detaillierungsgrad dieses Administrationshandbuches ist abhängig vom Schutzbedarf der Lotus Notes/Domino-Plattform. Die Verbindlichkeit des Administrationshandbuches für die Durchführung administrativer Tätigkeiten ist sicherzustellen, entweder über die Verabschiedung als institutionseigene Richtlinie oder, bei ausgelagerter Administration, über die Aufnahme in die Vereinbarungen zur Erbringung der Dienstleistung.

Überwachung im Betrieb

Eine Überwachung der Lotus Notes/Domino-Umgebung im Betrieb ist erforderlich. Die Maßnahmen M 4.132 Überwachung der Lotus Notes/Domino-Umgebung und M 4.427 Sicherheitsrelevante Protokollierung und Auswertung für Lotus Notes/Domino beschreiben weitere Aspekte, die als Teil des sicheren Betriebs der Lotus Notes/Domino-Plattform umzusetzen sind.

Nutzung von Lotus Notes/Domino als führendes System für institutionsweites Identitätsmanagement

Die Zertifikatshierarchie (PKI) von Lotus Notes/Domino kann als Basis des institutionsweiten Identitätsmanagements genutzt werden. Dies hat in der Regel sehr große Auswirkungen auf den Schutzbedarf der Lotus Notes/Domino-Umgebung, da das Identitätsmanagement in der Regel der Kern des zentralen Berechtigungsmanagements ist. Eine solche Situation erfordert im Betrieb meistens einen im Hinblick auf alle Grundwerte strikt abgesicherten, dedizierten Domino-Server, der die dafür erforderlichen Dienste bereitstellt.

Die erforderliche Planung für die Nutzung der Zertifikatshierarchie von Lotus Notes/Domino als Basis des ist bereits in der Maßnahme M 2.206 Planung des Einsatzes von Lotus Notes/Domino unter den Punkten "Architekturplanung unter Berücksichtigung von Sicherheitsaspekten", "Planung der Rolle von Notes/Domino im institutionsweiten Identitätsmanagement", "Planung der Domänen- und Zertifikatshierarchie" umrissen.

Aus betrieblicher Sicht müssen insbesondere die administrativen Prozesse rund um die Zertifikatshierarchie sowie die Überwachung, Protokollierung und Auswertung und die Archivierung den erhöhten Schutzbedarf des Servers, der die Dienste der Zertifikatshierarchie bereitstellt, berücksichtigen.

Anbindung von Lotus Notes/Domino an ein externes, zentrales Identitätsmanagement

Die Anbindung von Notes/Domino an ein externes, zentrales Identity-Management von Fremdanbietern (wie z. B. den Oracle Identity Manager, das Microsoft Identity and Access Management, Novell eDirectory) oder des eigenen Herstellers (IBM Tivoli Identity Management) ändert den Schutzbedarf der Lotus Notes/Domino Zertifikatshierarchie.

Abhängig vom Schutzbedarf der Lotus Notes/Domino-Umgebung wird die Schnittstelle zur Anbindung an das externe Identitätsmanagement in der Regel im Hinblick auf alle Grundwerte entsprechend hohen Schutzbedarf aufweisen. Dies ist in den betrieblichen Prozessen, insbesondere in der Administration, Überwachung, Protokollierung und Auswertung entsprechend zu berücksichtigen. Bei Umsetzung von M 6.73 Notfallplanung und Notfallübungen für die Lotus Notes/Domino-Umgebung ist der Ausfall des externen Identitätsmanagements bzw. der Anbindung an das externe Identitätsmanagement angemessen zu berücksichtigen.

Prüffragen:

  • Ist ein dokumentiertes Betriebskonzept oder eine vergleichbare Betriebsdokumentation für die Lotus Notes/Domino-Umgebung vorhanden?

  • Berücksichtigt das Datensicherungskonzept die Größe und Komplexität der zu sichernden Datenbanken?

  • Ist die Vorgehensweise zur Produktivnahme von Anwendungen für die Lotus Notes/Domino-Umgebung dokumentiert?

  • Ist die Vorgehensweise bei den wesentlichen Administrationstätigkeiten im Betrieb dokumentiert?

  • Werden die Domino-Server, auf denen der CA -Prozess (Zertifizierungsprozess) läuft, bei entsprechender Nutzung der Domino-Zertifikatsinfrastruktur entsprechend überwacht und protokolliert?

  • Ist bei Nutzung der Domino-CA (Certificate Authority, Zertifizierungsstelle) für weitere Anwendungen außerhalb der Lotus Notes/Domino-Plattform der erhöhte Schutzbedarf von Lotus Notes/Domino berücksichtigt?

  • Ist bei einer vorhandenen Lotus Notes/Domino-Anbindung an ein externes, zentrales Identitätsmanagement dies in dem Betriebshandbuch entsprechend berücksichtigt?

Stand: 13. EL Stand 2013