M 4.128 Sicherer Betrieb von Lotus Notes
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Die Sicherheit eines komplexen Systems muss im Betrieb permanent aufrechterhalten werden, insbesondere da sich im laufenden Betrieb notwendige Systemveränderungen ergeben. Es genügt daher nicht, eine sichere Anfangskonfiguration zu erzeugen (siehe M 4.116 Sichere Installation von Lotus Notes und M 4.117 Sichere Konfiguration eines Lotus Notes Servers). Folgende Sicherheitsaspekte sind im laufenden Betrieb für ein Lotus Notes System zu berücksichtigen.
- Die Sicherheit, die die Zugriffsmechanismen auf Lotus Notes Server und Datenbanken bieten, basiert auf der Authentisierung der Benutzer durch ihre Notes-ID, die in einer Datei gespeichert wird. Die Systemsicherheit hängt damit direkt von der Sicherheit im Umgang mit der Notes-ID-Datei ab. Im Rahmen des Sicherheitskonzepts (siehe M 2.207 Festlegen einer Sicherheitsrichtlinie für Lotus Notes), sind daher u. a. auch Richtlinien für den Umgang mit Notes-ID-Dateien festzulegen. Die dabei zu berücksichtigenden Aspekte sind in der Maßnahme M 4.129 Sicherer Umgang mit Notes-ID-Dateien zusammengefasst.
- Veränderungen in einem Notes-System ergeben sich insbesondere dann, wenn neue Datenbanken auf einem Server erzeugt werden. Neu angelegte Datenbanken sind jedoch in der Regel noch nicht in die bestehenden Sicherheitsstrukturen eingebunden. Die Installation einer Datenbank sollte daher erst als abgeschlossen betrachtet werden, wenn mindestens die in der Maßnahme M 4.130 Sicherheitsmaßnahmen nach dem Anlegen neuer Lotus Notes Datenbanken zusammenfassten Schritte durchgeführt worden sind. Die Berechtigung zum Erstellen neuer Datenbanken oder zum Erzeugen von Datenbank-Repliken kann explizit durch entsprechende Zugriffslisten gesteuert werden (siehe M 4.119 Einrichten von Zugangsbeschränkungen auf Lotus Notes Server).
- Die in verschiedenen Datenbanken enthaltenen Daten besitzen in der Regel unterschiedlichen Schutzbedarf (siehe auch die Schutzbedarfsfeststellung aus der IT-Grundschutz-Vorgehensweise). Lotus Notes bietet neben der reinen Zugriffskontrolle auch die Möglichkeit, Datenbanken zu verschlüsseln. Ergibt die Schutzbedarfsfeststellung für eine Datenbank die Notwendigkeit, die Daten mittels Verschlüsselung zu schützen, so sind die Empfehlungen aus M 4.131 Verschlüsselung von Lotus Notes Datenbanken zu berücksichtigen.
- Um Aussagen über die Sicherheit eines Lotus Notes Systems zu erhalten, ist es notwendig, das System zu überwachen. Ziel einer solchen Überwachung ist es, Verstöße gegen die geltenden Sicherheitsvorschriften zu entdecken, bestehende Sicherheitslücken aufzudecken oder Fehlkonfigurationen, die potentiell zu Sicherheitslücken führen können, zu erkennen. Ein entsprechendes Überwachungskonzept sollte Teil des IT-Sicherheitskonzepts sein. Komplexe Systeme wie Lotus Notes können dabei in der Regel nicht mehr manuell durch einzelne Administratoren überwacht werden, sondern die Überwachung muss automatisch durch entsprechende Systemkomponenten oder Produkte von Drittherstellern erfolgen. Dabei muss auch die Konfiguration der Überwachung regelmäßig an das sich verändernde System angepasst werden. Die Empfehlungen zur Überwachung sind in M 4.132 Überwachen eines Lotus Notes-Systems zusammengefasst.
- Ein wichtiger Aspekt der Sicherheit eines Lotus Notes Systems ist die konsistente Verwaltung von Benutzern und Berechtigungen. Das administrative Konzept hat dabei Auswirkungen auf die Komplexität der durchzuführenden administrativen Aufgaben. Komplexe Abläufe können jedoch dazu führen, dass Fehlkonfigurationen entstehen. Um einen sicheren Systemzustand zu erhalten, sollten die administrativen Aufgaben daher möglichst einfach sein. Das Zugriffskonzept sollte deshalb auf Gruppen basieren. Dadurch wird die Verwaltung von Zugriffsrechten auf Datenbanken wesentlich vereinfacht und weniger fehleranfällig. Beispielsweise sollte im Rahmen des Gruppenkonzeptes eine so genannte "Termination Group" vorgesehen werden, in die alle "gelöschten" Benutzer übernommen werden und der alle Rechte explizit verweigert sind.
Hinweis: Unter der Version 4.x können Gruppen nur eine bestimmte Anzahl von Benutzern aufnehmen, da diese in einem entsprechenden Feld im Serverdokument gespeichert werden. Wird die maximale Feldgröße erreicht, so funktioniert die jeweilige Gruppe nicht mehr korrekt. Bei Gruppen mit vielen Mitgliedern (z. B. alle Serverbenutzer, Termination Group) empfiehlt sich daher die Schachtelung von Gruppen. - Die Sicherheitseinstellungen eines Servers sollten regelmäßig überprüft werden.
- Die Protokolldateien eines Servers sollten regelmäßig überprüft werden. Dies kann manuell oder mit Hilfe von Tools geschehen.
Beispiele:
- Gruppenbasiertes Zugriffskonzept:
Ein Mitarbeiter wechselt die Abteilung, wodurch die Anpassung der Zugriffsrechte erforderlich ist.
Werden benutzerbezogene ACL -Listen genutzt, so muss jede Datenbank "angefasst" werden, um den Benutzer entweder aus der ACL-Liste auszutragen oder neu einzutragen.
Werden gruppenbezogene ACL-Listen genutzt, so muss der Benutzer lediglich in der Benutzerverwaltung aus den relevanten Gruppen entfernt bzw. eingetragen werden. Die Änderung kann zentral auf dem Benutzerobjekt erfolgen. - Termination Group:
Ein Mitarbeiter verlässt das Unternehmen. Das Konto wird versehentlich nicht aus einer Notes-Gruppe gelöscht. Über diese Gruppenmitgliedschaft besitzt der ehemalige Mitarbeiter weiterhin das Recht, auf den Notes-Server zuzugreifen. Da sein Notes-Konto jedoch auch in die Termination Group eingefügt wird, erhält er keinen Zugriff auf den Server. Der Grund ist, dass der Termination Group explizit der Zugriff auf den Server (und dessen Datenbanken) verweigert ist und Verweigerungen vorrangig gegenüber Zugeständnissen von Zugriffsrechten sind.
Ergänzende Kontrollfragen:
- Werden die Sicherheitseinstellungen der Notes Server regelmäßig überprüft?
- Werden die Protokolldateien der Notes Server regelmäßig überprüft?