M 5.85 Einsatz von Verschlüsselungsverfahren für Lotus Notes E-Mail

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Das Versenden von E-Mail ist oft eine der wichtigsten Kommunikationsmechanismen in einer Büroumgebung. Auch ein Domino Server bietet die Möglichkeit an, E-Mails zu versenden und zu empfangen. Der Versand und Empfang ist dabei sowohl innerhalb des Notes-Systems als auch an und von Personen im Internet möglich. Da der E-Mail-Verkehr auf dem Weg zum Empfänger unter Umständen über eine Vielzahl von Zwischenstationen geleitet wird und die E-Mail-Inhalte dabei im Klartext übertragen werden, sollte eine zusätzliche Absicherung eingesetzt werden, die das Mitlesen oder Verändern verhindern können (siehe auch Baustein B 5.3 Groupware).

Unter Lotus Notes stehen dem Benutzer verschiedene Möglichkeiten zur Absicherung des E-Mail-Verkehrs zur Verfügung:

Bei der Nutzung der E-Mail-Absicherung ist folgendes zu berücksichtigen:

Wird ein Browser zum Zugriff auf die E-Mail-Datenbank auf einem Notes-Server verwendet, so stehen Verschlüsselung und Signieren beim Versenden von E-Mails nicht zur Verfügung. Hier muss auf externe E-Mail-Programme zurückgegriffen werden, die S/MIME-Unterstützung anbieten. Allerdings muss dann eine Verwaltung der Zertifikate (eigene und Empfänger-Zertifikate) im jeweiligen E-Mail-Programm erfolgen. Dies erfordert in der Regel, dass jeder Benutzer im Umgang mit der Zertifikatsverwaltung geschult wird.

Außerdem kann unter Lotus Notes die E-Mail-Datenbank eines Benutzers verschlüsselt werden. Auf diese Weise werden alle eingehenden E-Mails automatisch bei der Aufnahme in die Datenbank verschlüsselt. Entsprechend können auch versandte E-Mails oder E-Mail-Entwürfe verschlüsselt vorgehalten werden. Die Verschlüsselung eingehender E-Mail muss im Personendokument (auf dem Server) aktiviert werden.

Enthält die E-Mail-Datenbank vor Aktivierung der Verschlüsselung schon E-Mails, so werden diese nicht verschlüsselt. Hierzu müssen die alten E-Mails geöffnet und geschlossen werden.

Geschützte Kommunikation ist generell der ungeschützten vorzuziehen. Daher ist zu überlegen, ob und wie die Nachrichten verschlüsselt und / oder digital signiert werden sollten. In den Sicherheitsrichtlinie für Lotus Notes sollte diese Entscheidung dokumentiert werden.

Beim Einsatz von Verschlüsselungsverfahren für Lotus Notes E-Mail müssen die Benutzer im Umgang mit den Verschlüsselungsprodukten geschult werden.

Ergänzende Kontrollfragen: