M 4.132 Überwachen eines Lotus Notes-Systems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Damit die Sicherheit eines Notes-Systems im laufenden Betrieb aufrecht erhalten werden kann, ist eine Überwachung des Systems unumgänglich. Nur so lassen sich mögliche Konfigurationsfehler, eventuelle Sicherheitslücken, Sicherheitsverstöße durch Benutzer oder Angriffe auf das System in Erfahrung bringen.
Bei der Überwachung des Systems müssen in der Regel auch benutzerbezogene Daten gesammelt werden. Anderenfalls ist es nicht möglich, Benutzer im Fall von Sicherheitsverstößen zur Verantwortung zu ziehen. Daher muss möglichst frühzeitig der Datenschutzbeauftragte sowie der Personal- bzw. Betriebsrat in die Planung des Überwachungskonzepts einbezogen werden.
Lotus Notes bietet insbesondere unter IT-Sicherheitsaspekten bisher keinen systematischen Auditing-Mechanismus, vielmehr werden Systemaktivitäten in verschiedenen Protokolldateien erfasst. Allerdings ist es möglich, automatisch auf das Auftreten verschiedener Systemereignisse zu reagieren.
Generelle Empfehlungen zu Logging-Einstellungen können an dieser Stelle nicht gemacht werden, da die Art und der Umfang der zu protokollierenden Informationen stark vom jeweiligen Einsatzszenario und dem verwendeten Überwachungskonzept abhängt.
Folgendes ist für die Überwachung eines Notes-Systems zu berücksichtigen:
- Einige Protokoll-Datenbanken müssen explizit durch den Administrator oder Auditor angelegt werden (z. B. "certlog.nsf") oder das Erzeugen von Protokolleinträgen muss konfiguriert werden (z. B. "domlog.nsf"). Das Anlegen der Datenbank "certlog.nsf" wird dringend empfohlen, damit die durch den jeweiligen Server zertifizierten Benutzer dokumentiert werden können.
- Die Granularität der Protokolleinträge ist vielfach nicht ausreichend, um eine detaillierte Überwachung zu gewährleisten. Je nach Anforderungen müssen hier u. U. weitere Maßnahmen außerhalb des Notes-Systems ergriffen werden (z. B. durch den Einsatz von Drittprodukten, organisatorische Maßnahmen oder Eigenentwicklungen).
- Aktivitäten auf den Clients werden nicht in den Server-Protokolldateien erfasst. Es existieren jedoch auch lokale Protokolldateien auf den Clients.
- Die Protokolldateien können in mittleren und großen Systemen nur noch werkzeuggestützt überwacht und ausgewertet werden. Dritthersteller bieten hierfür entsprechende Zusatzwerkzeuge an.
- Für die Protokolldateien müssen restriktive Zugriffsrechte vergeben werden. Die Zugriffrechte für Administratoren müssen je nach Auditing-Sicherheitsrichtlinie entzogen werden. Statt dessen erhalten Revisoren entsprechende Zugriffsrechte (in der Regel "Reader"-Zugriff).
- Die Event-Datenbank ("events4.nsf") erlaubt die Definition von Überwachungsregeln, die beim Auftreten von bestimmten Ereignissen vordefinierte Aktionen auslösen (z. B. Benachrichtigungen von Administratoren oder Einträge in das Betriebssystemprotokoll). Insbesondere für die Ereignisse der Kategorie "Sicherheit (Security)" müssen entsprechende Aktionen gemäß Überwachungskonzept eingerichtet werden.
- Der Protokollierungsgrad kann über die Konfigurationsdatei von Lotus Notes, z. B. "notes.ini" unter Windows NT, gesteuert werden. Die vorgegebenen Werte sollen überprüft und gegebenenfalls angepasst werden.
- Die Größe der Protokolldateien muss der Serverbelastung angepasst werden. So kann die Protokolldatei "log.nsf" von Lotus Notes über Einträge in der Konfigurationsdatei (z. B. den Parameter "log=log.nsf,1,0,7,40000" in "notes.ini" unter Windows NT) konfiguriert werden. Bei der Planung des Auditing-Konzeptes ist darauf zu achten, dass keine Protokolleinträge unbeabsichtigt verloren gehen können.
Ergänzende Kontrollfragen:
- Wie können Protokolldateien gesichert und aufbewahrt werden?