Bundesamt für Sicherheit in der Informationstechnik

M 4.428 Audit der Lotus Notes/Domino-Umgebung

Verantwortlich für Initiierung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Datenschutzbeauftragter, Administrator, Fachverantwortliche, IT-Sicherheitsbeauftragter, Revisor

Um festzustellen, ob der tatsächliche Status der Sicherheit der Lotus Notes/Domino-Umgebung den Anforderungen entspricht, und eventuelle Schwachstellen zu identifizieren, ist es erforderlich, periodisch Audits und Sicherheitsüberprüfungen der Lotus Notes/Domino-Umgebung durchzuführen.

Unterschieden wird dabei zwischen intern initiierten und extern initiierten Audits und Sicherheitsüberprüfungen. Erstere werden in der Regel im Rahmen des Informationssicherheitsmanagement-Prozesses oder im Rahmen von Revisionstätigkeiten initiiert und abgearbeitet, während letztere häufig Bestandteil externer Prüfungen, z. B. durch Aufsichtsbehörden, Wirtschaftsprüfer oder auch Lizenzgeber (siehe dazu die Maßnahme M 2.493 Lizenzmanagement und Lizenzierungsaspekte in der Beschaffung für Lotus Notes/Domino ) sind.

Externe Audits haben in der Regel als Ziel, die Einhaltung gesetzlicher und regulatorischer Vorgaben oder vertraglicher Regelungen zu überprüfen. Sie können auch als Voraussetzung für die Teilnahme an elektronischem Datenaustausch, Zahlungsverfahren, Handelssystemen, zur Gewährung besonderer Konditionen oder zum Abschluss IT -bezogener Versicherungen sein.

Die besondere Stellung des Datenschutzes rechtfertigt häufig auf Datenschutz bezogene Schwerpunkt-Audits. Diese können auch ein Datenschutz-Audit der Lotus Notes/Domino-Umgebung beinhalten, da vielfach mit Lotus Notes/Domino personenbezogene Daten verarbeitet und gespeichert werden.

Audits sind nach Möglichkeit mit entsprechendem Vorlauf zu planen. Rechtliche Aspekte der Audits sind im Vorfeld zu klären und zu bewerten. Eine Abstimmung mit dem Datenschutzbeauftragten und der Personalvertretung kann bei bestimmten Audits erforderlich sein.

Audits (insbesondere externe) sind grundsätzlich durch das Informationssicherheitsmanagement zu begleiten. Umfang und inhaltliche Gestaltung dieser Begleitung sind innerhalb des Informationssicherheitsmanagements vorab zu definieren und zu dokumentieren (beispielsweise für die Begleitung von Lizenzierungsaudits, Zertifizierungsaudits und Audits im Rahmen von Prüfungen durch die zuständigen Prüfungsstellen).

Es ist sicherzustellen, dass die Ergebnisse durchgeführter Audits in die Optimierung des Informationssicherheitsmanagement-Prozesses einfließen. Durch das Audit erkannte Schwachstellen und die mit diesen assozierten IT -Risiken müssen den Verantwortlichen (Institutionsleitung, Leiter IT , IT -Sicherheitsbeauftragter, Fachverantwortliche) unverzüglich gemeldet werden.

Audits sind transparent und nachvollziehbar durchzuführen. Audits und Sicherheitsüberprüfungen, deren Durchführung gegebenenfalls Risiken für den IT-Betrieb oder für die Informationswerte der Institution beinhalten kann, wie z. B. Penetrationstests, müssen unter Berücksichtigung der Rechtslage und der im Vorfeld durchgeführten Risikobewertung geplant und durchgeführt werden.

Audits der Lotus Notes/Domino-Umgebung können einen ganzheitlichen Ansatz verfolgen oder punktuell besonders sicherheitssensitive Bereiche prüfen. Der ganzheitliche Ansatz kann z. B. , ausgehend von den durch Notes/Domino unterstützten Geschäftsprozessen, eine Bewertung des Sicherheitsmanagements im Umfeld von Lotus Notes/Domino auf Prozessebene und auf technischer Ebene vornehmen. Punktuelle Audits können im Detail Konfigurationen und Verfahren im Umfeld besonders sicherheitssensitiver Komponenten oder Dienste prüfen ( z. B. die Zertifikatsverwaltung oder die Konfiguration der Lotus Notes/Domino-Sicherheitsmechanismen).

Prüffragen:

  • Existiert eine dokumentierte Planung zur Auditierung der Lotus Notes/Domino-Umgebung?

  • Ist die Zuständigkeit für die Begleitung externer Audits definiert?

  • Ist inhaltlich festgelegt, wie externe Audits begleitet werden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK