Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.129 Sicherer Umgang mit Notes-ID-Dateien - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.129 Sicherer Umgang mit Notes-ID-Dateien

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Benutzer

Lotus Notes-Benutzer authentisieren sich einem Domino Server gegenüber durch die Notes-ID. Die Notes-ID liegt in Form einer Datei vor und wird in der Regel mit dieser identifiziert. In der Notes-ID können - neben dem Notes-Zertifikat (zertifizierter öffentlicher Schlüssel) und dem zugehörigen privaten Schlüssel eines Benutzers - auch weitere Informationen gespeichert werden. So sind darin u. a. auch Internet-Zertifikate, symmetrische Verschlüsselungsschlüssel und Informationen, die zum Wiederherstellen von Notes-ID-Dateien (Recovery-Informationen) benötigt werden, enthalten. Alle diese Informationen werden durch das so genannte Notes-ID-Passwort geschützt. Bevor die Notes-ID genutzt werden kann, muss der Benutzer das entsprechende Passwort eingeben. Da eine Notes-ID sicherheitskritische Informationen enthält, kommt ihr ein erhöhter Schutzbedarf zu. Folgende Aspekte sind daher für den Umgang mit Notes-IDs zu berücksichtigen:

Notes-IDs können in vier Kategorien unterteilt werden:

Entsprechend den unterschiedlichen Sicherheitsanforderungen müssen unterschiedliche Schutzmaßnahmen für Notes-IDs getroffen werden. Zu betrachten sind dabei die Aspekte

Für die Passwörter können Qualitätsanforderungen beim Erzeugen einer neuen Benutzer-ID festgelegt werden. Dafür steht eine numerische Qualitätsskala von 0 (kein Passwort) bis 16 zur Verfügung. Generell stimmt zwar die akzeptierte Passwortlänge mit dem numerischen Qualitätswert überein, ist jedoch nicht das einzige Bewertungskriterium. Leider ist aber zur Zeit keine Liste von Lotus verfügbar, in der beschrieben wird, welche genauen Voraussetzungen ein Passwort zum Erreichen eines speziellen Qualitätsniveaus erfüllen muss.

Für die verschiedenen Kategorien von Notes-IDs enthält die folgende Liste entsprechende Empfehlungen, die je nach Anforderungen adaptiert und erweitert werden können.

Generell ist für den Umgang mit Notes-IDs zu berücksichtigen, dass diese zur eindeutigen Benutzerauthentisierung (Ausweis) genutzt werden. Zwar sind die Notes-ID-Dateien durch ein Passwort geschützt, dies muss jedoch von entsprechender Qualität sein und darf nur dem Besitzer der Notes-ID bekannt sein. Wird das Passwort kompromittiert, so können sich u. U. unberechtigte Dritte mit der Notes-ID einem Server gegenüber ausweisen.

Ein Benutzer (oder Administrator) kann auch mehrere Kopien einer Notes-ID besitzen. Jede Notes-ID-Kopie eines Benutzers kann mit einem eigenen Passwort versehen sein. Ist eine Notes-ID-Datei unbefugt kopiert und deren Passwort kompromittiert worden, so kann die unbefugte Nutzung ohne zusätzliche Maßnahmen nicht durch den Passwortwechsel auf dem Original unterbunden werden.

Ergänzende Kontrollfragen: