M 4.129 Sicherer Umgang mit Notes-ID-Dateien
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Lotus Notes-Benutzer authentisieren sich einem Domino Server gegenüber durch die Notes-ID. Die Notes-ID liegt in Form einer Datei vor und wird in der Regel mit dieser identifiziert. In der Notes-ID können - neben dem Notes-Zertifikat (zertifizierter öffentlicher Schlüssel) und dem zugehörigen privaten Schlüssel eines Benutzers - auch weitere Informationen gespeichert werden. So sind darin u. a. auch Internet-Zertifikate, symmetrische Verschlüsselungsschlüssel und Informationen, die zum Wiederherstellen von Notes-ID-Dateien (Recovery-Informationen) benötigt werden, enthalten. Alle diese Informationen werden durch das so genannte Notes-ID-Passwort geschützt. Bevor die Notes-ID genutzt werden kann, muss der Benutzer das entsprechende Passwort eingeben. Da eine Notes-ID sicherheitskritische Informationen enthält, kommt ihr ein erhöhter Schutzbedarf zu. Folgende Aspekte sind daher für den Umgang mit Notes-IDs zu berücksichtigen:
Notes-IDs können in vier Kategorien unterteilt werden:
- Certifier-IDs: Diese stellen die Identitäten dar, die Notes-IDs für Server und Benutzer ausstellen. In der Regel repräsentieren Certifier-IDs organisatorische Einheiten innerhalb einer Behörde bzw. eines Unternehmens und bilden eine Hierarchie. Certifier-IDs sind aufgrund ihres Verwendungszwecks besonders sicherheitskritisch und müssen daher besonders geschützt werden. Dies gilt insbesondere für die erste erzeugte Certifier-ID - die so genannte Root-Certifier-ID - mit der alle weiteren Certifier-IDs signiert werden.
- Server-IDs: Diese weisen Server gegenüber Benutzern (genauer: deren Notes-Clients) und anderen Servern aus. Damit ein Server lauffähig ist, benötigt er eine eigene Identität in Form der Server-ID. Die Server-ID wird während der Serverinstallation automatisch erzeugt und durch eine Certifier-ID zertifiziert. Da Server-IDs für ausgezeichnete Systemkomponenten zur Identifikation benutzt werden, müssen sie entsprechend gut geschützt werden.
- Administrator-IDs: Diese weisen Administratoren gegenüber Servern aus. Administrator-IDs unterscheiden sich von Benutzer-IDs durch erweiterte Privilegien, die die Administration von Servern ermöglicht. Da Administratoren unter den Benutzern eine privilegierte Stellung einnehmen, müssen Administrator-IDs besonders geschützt werden.
- Benutzer-IDs: Diese weisen normale Benutzer gegenüber Servern aus.
Entsprechend den unterschiedlichen Sicherheitsanforderungen müssen unterschiedliche Schutzmaßnahmen für Notes-IDs getroffen werden. Zu betrachten sind dabei die Aspekte
- Erzeugung,
- Gültigkeitsdauer,
- Passwortqualität,
- Verteilung und Aufbewahrungsort sowie
- Wiederherstellung.
Für die Passwörter können Qualitätsanforderungen beim Erzeugen einer neuen Benutzer-ID festgelegt werden. Dafür steht eine numerische Qualitätsskala von 0 (kein Passwort) bis 16 zur Verfügung. Generell stimmt zwar die akzeptierte Passwortlänge mit dem numerischen Qualitätswert überein, ist jedoch nicht das einzige Bewertungskriterium.
Neben der Passwort-Qualität ist zusätzlich festzulegen, in welchen Intervallen die Passwörter gewechselt werden müssen. Bei dieser Festlegung muss besonders berücksichtigt werden, welchen Schutzbedarf die jeweilige Notes-ID hat und welche Zugriffsmöglichkeiten auf die jeweilige Notes-ID bestehen. Beispielsweise werden (Root-)Certifier-IDs in der Praxis häufig aus Sicherheitsgründen auf Datenträger ausgelagert, sicher hinterlegt und auf den IT-Systemen gelöscht. In diesem Fall ist ein häufiger Passwort-Wechsel nicht praktikabel und auch nicht erforderlich, wenn der physische Zugriff auf die Certifier-ID restriktiv geregelt und hinreichend abgesichert ist.
Notes bietet außerdem die Möglichkeit, eine Notes-ID-Datei mit mehreren Passwörtern zu schützen. In diesem Fall kann die Datei nur nach Eingabe aller zugewiesenen Passwörter verwendet werden. Dieser Schutzmechanismus bietet sich für IDs mit erhöhtem Schutzbedarf an, beispielsweise für bestimmte Certifier-IDs.
Weitere Hinweise zu Passwörtern finden sich in der Maßnahme M 2.11 Regelung des Passwortgebrauchs.
Für die verschiedenen Kategorien von Notes-IDs enthält die folgende Liste entsprechende Empfehlungen, die je nach Anforderungen adaptiert und erweitert werden können.
-
Certifier/Root-Certifier-ID:
- Erzeugung: Die ID wird automatisch beim Einrichten des ersten Notes-Servers erzeugt. Erzeugung in sicherer Umgebung, unter Vier-Augen-Prinzip.
- Gültigkeit: Lange Gültigkeit (mehrere Jahrzehnte, Default = 100 Jahre), wird nie gewechselt (Ausnahme: Kompromittierung der Certifier-ID).
- Passwort: Mehrfachpasswort notwendig (mindestens zwei Personen, Vier-Augen-Prinzip). Erfordert sichere Passwörter (Notes-Qualität mindestens 10).
- Speicherung: Wird beim Anlegen neuer Benutzer oder Server benötigt. Eine Speicherung im Namens- und Adressbuch (NAB) ist nicht zulässig. Speicherung nur auf mobile Datenträger, z. B. Diskette oder CD-ROM, zwei Sicherheitskopien mit hinterlegten Passwörtern, an verschiedenen Orten vor fremden Zugriffen geschützt aufzubewahren.
- Wiederherstellung: Muss Wiederherstellungsinformationen enthalten, damit zertifizierte Benutzer-IDs wiederhergestellt werden können. Für die Wiederherstellung sind weitere Schritte notwendig (z. B. das Anlegen einer Datenbank), die in der Notes-Hilfe beschrieben sind.
-
Server-ID:
- Erzeugung: Die ID wird automatisch bei der Serverinstallation erzeugt. Erzeugung in sicherer Umgebung. Nutzung des Vier-Augen-Prinzips.
- Gültigkeit: Lange Gültigkeit (mehrere Jahrzehnte, Default = 100 Jahre), wird nie gewechselt (Ausnahme: Kompromittierung).
- Passwort: Die Verwendung eines Passwortes erfordert die Passworteingabe bei jedem Serverstart. Falls keine organisatorischen Gründe dagegen sprechen (z. B. wenn der Remote-boot von Servern an verschiedenen Standorten regelmäßig und ohne Vor-Ort-Unterstützung erfolgen muss), wird die Nutzung von Server-ID-Passwörtern empfohlen. Sicherheitskopien müssen immer mit einem Passwort versehen sein. Durch den Einsatz von Dritthersteller-Software kann auch dann ein automatisierter Systemstart ermöglicht werden, wenn die Server-IDs mit Passwörtern geschützt sind.
- Speicherung: Wird bei jedem Serverstart benötigt. Speicherung im "Data"-Verzeichnis des Notes-Servers. Darf nicht auf einem Netz-Share liegen. Eine Speicherung im Namens- und Adressbuch (NAB) ist nicht zulässig. Wird kein Passwort verwendet (automatischer Server-Restart), müssen restriktive Dateiberechtigungen eingerichtet werden. Sicherheitskopien analog zur Certifier-ID. Achtung: Kann eine nicht passwortgeschützte Server-ID von einem Unbefugten zugegriffen werden, so kann dieser (unter den meist privilegierten Berechtigungen) auf andere Server zugreifen. Dies betrifft unter Umständen auch Datenbanken, die mit der jeweiligen Server-ID verschlüsselt sind.
- Wiederherstellung: Enthält die Wiederherstellungsinformationen der Certifier-ID, mit der die Server-ID zertifiziert wurde.
-
Administrator-ID:
- Erzeugung: Wird automatisch bei der Serverinstallation erzeugt (Datei: "User.id"). Erzeugung in sicherer Umgebung. Nutzung des Vier-Augen-Prinzips.
- Gültigkeit: Die Gültigkeit muss den lokalen Gegebenheiten angepasst werden. Hier müssen Sicherheit und administrativer Aufwand beim Wechsel der Adminstrator-ID gegeneinander abgewogen werden.
- Passwort: Die Administrator-ID muss mit einem Passwort versehen sein. Aufgrund der privilegierten Stellung ist ein sehr sicheres Passwort zu wählen (mindestens Notes-Qualität 9-10).
- Speicherung: Die Administrator-ID ist dem Administrator auf sicherem Weg zuzustellen. Eine Speicherung im Namens- und Adressbuch (NAB) ist nicht zulässig. Die Notes-ID-Datei ist vor fremdem Zugriff geschützt aufzubewahren. Dies kann beispielsweise durch Speicherung in einem persönlichen Verzeichnis, welches mit restriktiven Zugriffsrechten versehen ist, erreicht werden. Das Anlegen einer Sicherheitskopie empfiehlt sich.
- Wiederherstellung: Enthält die Wiederherstellungsinformationen der Certifier-ID, mit der die Administrator-ID zertifiziert wurde.
-
Benutzer-ID:
- Erzeugung: Wird durch die Benutzerverwalter eines Servers erzeugt. Erzeugung in sicherer Umgebung. Nutzung des Vier-Augen-Prinzips, da die Certifier-ID benötigt wird.
- Gültigkeit: Die Gültigkeit muss den lokalen Gegebenheiten angepasst werden. Eine Gültigkeit von 2 Jahren hat sich jedoch in der Praxis bewährt.
- Passwort: Benutzer-IDs müssen mit einem Passwort versehen werden. Ein sicheres Passwort ist zu wählen (Notes-Qualität mindestens 8).
- Speicherung: Die Benutzer-ID ist dem Benutzer auf sicherem Weg zuzustellen. Eine Speicherung im Namens- und Adressbuch (NAB) ist nicht zulässig. Die Notes-ID ist vor fremden Zugriffen geschützt aufzubewahren. Dies kann beispielsweise durch Speicherung in einem persönlichen Verzeichnis, welches mit restriktiven Zugriffsrechten versehen ist, erreicht werden. Das Anlegen einer Sicherheitskopie empfiehlt sich.
- Wiederherstellung: Enthält die Wiederherstellungsinformationen der Certifier-ID, mit der die Benutzer-ID zertifiziert wurde. Alte Notes-ID-Dateien (Version 4.x) müssen auf den neuen Recovery-Mechanismus der Version 5 umgestellt werden (siehe Notes-Hilfe).
Generell ist für den Umgang mit Notes-IDs zu berücksichtigen, dass diese zur eindeutigen Benutzerauthentisierung (Ausweis) genutzt werden. Zwar sind die Notes-ID-Dateien durch ein Passwort geschützt, dies muss jedoch von entsprechender Qualität sein und darf nur dem Besitzer der Notes-ID bekannt sein. Wird das Passwort kompromittiert, so können sich unter Umständen unberechtigte Dritte mit der Notes-ID einem Server gegenüber ausweisen.
Ein Benutzer (oder Administrator) kann auch mehrere Kopien einer Notes-ID besitzen. Jede Notes-ID-Kopie eines Benutzers kann mit einem eigenen Passwort versehen sein. Ist eine Notes-ID-Datei unbefugt kopiert und deren Passwort kompromittiert worden, so kann die unbefugte Nutzung ohne zusätzliche Maßnahmen nicht durch den Passwortwechsel auf dem Original unterbunden werden.
Besteht der Verdacht, dass Certifier-IDs kompromittiert wurden oder von Unbefugten genutzt werden konnten, muss das Notes-System re-zertifiziert werden.
In diesem Fall müssen nicht nur die betroffenen IDs selbst, sondern auch alle direkt oder indirekt davon zertifizierten Notes-IDs neu berechnet werden.
Am Markt sind eine Reihe von Tools erhältlich, die den Anwender bei der Verwaltung und Absicherung von Notes-IDs unterstützen. Abhängig von den konkreten betrieblichen und sicherheitstechnischen Anforderungen sollte geprüft werden, ob der Einsatz solcher Tools zweckmäßig und wirtschaftlich ist.
Ergänzende Kontrollfragen:
- Für welche Dienste (E-Mail, Workflow, Informationen) wird das Lotus-Notes-System installiert?
- Werden alle Notes-ID gesichert aufbewahrt, sodass das unbefugte Kopieren nicht möglich ist?