M 3.25 Schulung zu Lotus Notes Sicherheitsmechanismen für Benutzer
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter
Lotus Notes ist ein komplexes System, bei dem es wie bei allen komplexen Systemen bei fehlerhafter Nutzung oder Fehlkonfiguration unbeabsichtigt zu Sicherheitslücken kommen kann. Dies gilt in besonderem Maße, wenn Benutzer ohne entsprechende Schulung mit einem Notes-System umgehen. Zwar wird die Systemkonfiguration in der Regel so eingestellt, dass diese nur in Grenzen durch die Benutzer verändert werden kann, jedoch kann auch Unkenntnis über die einem Benutzer zur Verfügung stehenden Sicherheitsmechanismen und -einstellungen dazu führen, dass das System unsicher genutzt wird.
Daher sollten alle Benutzer im Umgang mit Lotus Notes geschult werden. Neben der reinen Nutzung der Client-Software ist es jedoch auch notwendig, die Funktionsweise der Datenbanken, mit denen ein Benutzer voraussichtlich arbeiten wird, zu erläutern und die Benutzer im Umgang mit der Datenbank zu schulen. Dies ist erforderlich, da Notes Datenbanken viele Funktionen anbieten können, so dass sie mehr als einen reinen Datenspeicher darstellen (daher auch die Bezeichnung "Notes-Applikationen" für Datenbanken).
Den Benutzern müssen insbesondere die ihnen zur Verfügung stehenden Sicherheitsmechanismen deutlich gemacht werden, so dass sie in der Lage sind, diese korrekt und sinnvoll einzusetzen. Eine Schulung sollte u. a. folgende Themen behandeln:
- Überblick über Zugriffskontrollmechanismen auf einem Server
- Überblick über Zugriffskontrollmechanismen auf Datenbanken
- Detaillierte Darstellung der Nutzung von Zugriffslisten auf Datenbanken (Access Control List, ACL )
- Sicherer Umgang mit der Notes-ID und Nutzung der Inhalte einer Notes-ID
- Authentisierung an der Web-Schnittstelle und deren Schwächen und Stärken
- Einstellen von Zugriffsbeschränkungen beim Web-Zugriff auf Datenbanken
- Überblick über die Funktionsweise von symmetrischen und asymmetrischen kryptographischen Verfahren
- Umgang mit kryptographischen Zertifikaten (Anerkennen von Zertifikaten, Bedeutung von Cross-Zertifikaten)
- Sicherer Umgang mit Internet-Zertifikaten
- Erzwingen der Kommunikationsabsicherung durch Portverschlüsselung und SSL-Nutzung
- Beschränkungen für die Ausführung aktiver Inhalte im Notes-Client (Execution Control List, ECL )
- Nutzen der Verschlüsselungsverfahren für Datenbanken (Datenbank- und Feldverschlüsselung)
- Nutzen der E-Mail-Verschlüsselung und Zweck von E-Mail-Signaturen (Notes-Client und Browser)
- Sicherheitsunterschiede beim Zugriff mit dem Notes-Client und mit dem Browser
Diese Themenliste muss anhand des vorliegenden Anwendungsfalls ggf. angepasst und erweitert werden. Neben der reinen Schulung zu den Notes-Sicherheitsmechanismen müssen die Benutzer jedoch auch Kenntnis über die Sicherheitsrichtlinien ihrer Organisation besitzen, damit diese bei der Nutzung der Sicherheitsmechanismen auch entsprechend umgesetzt werden können (siehe M 2.207 Festlegen einer Sicherheitsrichtlinie für Lotus Notes).
Ergänzende Kontrollfragen:
- Sind die Benutzer mit den Notes-Sicherheitsmechanismen vertraut und werden diese auch angewandt?
- Sind alle Benutzer mit den Inhalten der organisationseigenen Sicherheitsrichtlinie für Lotus Notes vertraut?