M 4.131 Verschlüsselung von Lotus Notes Datenbanken
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Benutzer
Die abstrakte Struktur von Lotus Notes Datenbanken kann wie folgt dargestellt werden. Eine Datenbank enthält mehrere Dokumente und ein Dokument besteht aus mehreren Dokumentfeldern. Die Felder enthalten nun die eigentlichen Daten. Wenn Datenbanken Daten mit erhöhtem Schutzbedarf enthalten, so können diese zusätzlich durch Verschlüsselung geschützt werden. Die Verschlüsselung kann dabei entweder auf Datenbankebene angewandt werden - hier wird der gesamte Inhalt der Datenbank verschlüsselt - oder es kann die Verschlüsselung einzelner Dokumentfelder erfolgen, wenn die Datenbank Daten mit unterschiedlichem Schutzbedarf enthält. Beispielsweise können in einer Produktdatenbank die Felder mit bestimmten Einkaufspreisen verschlüsselt vorgehalten werden. Eine Verschlüsselung auf Dokumentebene ist nicht vorgesehen. Der Speicherort einer Datenbank - auf dem Server oder lokal beim Client - hat einen entscheidenden Einfluss auf die Verschlüsselungsmöglichkeiten.
Folgende Aspekte sind für die beiden Verschlüsselungsarten zu berücksichtigen:
Datenbankverschlüsselung
- Die Datenbankverschlüsselung schützt Datenbanken vor Angriffen auf Dateiebene.
- Eine Datenbank kann nur für genau eine Notes-ID verschlüsselt werden. Die Datenbank kann dann nur noch unter dieser Notes-ID zugegriffen werden. Dies hat folgende Konsequenzen:
- Datenbanken, die auf dem Server abgelegt sind, können ausschließlich mit der Server-ID verschlüsselt werden (da in letzter Konsequenz der Server unter der Server-ID im Auftrag eines Clients auf die Datenbank zugreift). In diesem Fall kann die Verschlüsselung nicht dazu eingesetzt werden, die Datenbankinhalte für genau einen Benutzer zugreifbar zu machen.
- Datenbanken, die vom Server auf einen Client repliziert oder lokal angelegt wurden, können mit einer (beliebigen) Benutzer-ID verschlüsselt werden. Dies erfordert Zugriff auf die jeweilige ID sowie das jeweilige Passwort. Nun kann nur noch unter dieser Benutzer-ID auf die Datenbank (lokal) zugegriffen werden. Wird die Datenbank auf den Server zurückrepliziert, so liegt die Datenbank dort nicht mehr mit der Benutzer-ID verschlüsselt vor. Ist die auf dem Server gespeicherte Datenbank mit der Server-ID verschlüsselt, so bleibt diese weiterhin verschlüsselt. Ist die Datenbank nicht verschlüsselt, bleiben die Daten unverschlüsselt.
- Der Verschlüsselungsgrad kann in drei Stufen eingestellt werden:
- "einfach (simple)": Hierbei wird eine einfache, Notes-eigene Kodierung benutzt.
- "mittel (medium)": Es wird ein Notes-eigenes Stream-Cipher Verfahren angewandt.
- "stark (strong)": Hierbei wird ein auf RC2/RC4 basierendes Verfahren eingesetzt, das aber auch Notes-spezifisch ist.
- Die Nutzung der Verschlüsselungsstufe "einfach (simple)" kann für vertrauliche Daten nicht empfohlen werden.
- Datenbanken, die mit dem Verschlüsselungsgrad "mittel (medium)" oder "stark (strong)" verschlüsselt wurden, können nicht komprimiert vorgehalten werden.
- Die Daten zwischen Server und Client werden bei der Datenbankverschlüsselung unverschlüsselt über das Notes-Protokoll übertragen. Gegen Abhören müssen sie also zusätzlich geschützt werden (siehe dazu auch M 5.84 Einsatz von Verschlüsselungsverfahren für die Lotus Notes Kommunikation).
Feldverschlüsselung
- Die Feldverschlüsselung erlaubt den Schutz vor Angriffen auf Dateisystemebene und bietet auch Schutz vor unerlaubter Einsichtnahme durch den Administrator.
- Felder müssen durch das Datenbankdesign für die Verschlüsselung vorgesehen sein.
- Es können nur alle verschlüsselbaren Felder eines Dokumentes gleichzeitig verschlüsselt/entschlüsselt werden.
- Die Entschlüsselung/Verschlüsselung findet durch den Client statt. Die verschlüsselten Daten werden daher verschlüsselt vom Server zum Client übertragen.
- Zur Feldverschlüsselung können sowohl symmetrische als auch asymmetrische Schlüssel eingesetzt werden.
- Es können gleichzeitig mehrere Schlüssel (symmetrische und asymmetrische) eingesetzt werden, sodasss eine Verschlüsselung für mehrere Benutzer erreicht werden kann.
- Symmetrische Schlüssel können von jedem Benutzer mit dem Notes-Client erzeugt werden. Für den Schlüsselaustausch sollten folgende Empfehlungen berücksichtigt werden:
- Für Gruppen muss der gemeinsame, geheime Schlüssel auf sicherem Weg verteilt werden. Der Notes-Client stellt hier eine E-Mail-basierte Möglichkeit zur Verfügung, die den Schlüssel geschützt überträgt.
- Alternativ besteht die Möglichkeit, den Schlüssel in eine (zunächst ungeschützte) Datei zu exportieren. Diese lässt sich mit einem Passwort verschlüsseln und damit vor unberechtigtem Zugriff sichern. Das Passwort muss den Empfängern der Datei jedoch auf sicherem Weg mitgeteilt werden.
- Die Weitergabe eines solchen Schlüssels durch die Empfänger an Dritte kann durch eine entsprechende Option verhindert werden, sodass die Nutzung des Schlüssels auf die Empfänger begrenzt werden kann.
- Beim Einsatz asymmetrischer Schlüssel werden die öffentlichen Schlüssel der Benutzer verwendet, die auf die Feldinhalte zugreifen sollen. Dabei werden die öffentlichen Notes-Schlüssel benutzt, auf die über das Namens- und Adressbuch zugegriffen werden kann.
- Es muss sichergestellt sein, das die Verschlüsselung mit jeweils mindestens einem Schlüssel der Benutzer erfolgt, die auf die verschlüsselten Feldinhalte zugreifen müssen.
Hinweis: Die Nutzung von so genannten "hidden paragraphs" - Textfeldern, die jedoch nicht angezeigt werden - ist nicht dafür geeignet, sensitive Daten zu schützen. Auch deren Inhalte können angezeigt werden, beispielsweise im Eigenschaftsdialog einer Datenbank oder mit dem Notes-Designer.
In Abhängigkeit von der Art der in einer Datenbank gespeicherten Informationen und den sich daraus ergebenden Anforderungen an deren Vertraulichkeit und Integrität kann es notwendig werden, diese Daten zu verschlüsseln. Die Randbedingungen hierbei sollten geregelt werden, z. B. in der Sicherheitsrichtlinie für Lotus Notes (siehe M 2.207 Festlegen einer Sicherheitsrichtlinie für Lotus Notes). Die Benutzer müssen über die Funktionsweise und Schutzmechanismen bei der Verschlüsselung von Lotus Notes Datenbanken informiert sein.
Ergänzende Kontrollfragen:
- Existiert ein Konzept für die Verschlüsselung von Lotus Notes Datenbanken?
- Sind die Verantwortlichen über ein ordnungsgemäßes Schlüsselmanagement informiert?