Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.129 Sicherer Umgang mit Notes-ID-Dateien - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.129 Sicherer Umgang mit Notes-ID-Dateien

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Benutzer

Lotus Notes-Benutzer authentisieren sich einem Domino Server gegenüber durch die Notes-ID. Die Notes-ID liegt in Form einer Datei vor und wird in der Regel mit dieser identifiziert. In der Notes-ID können - neben dem Notes-Zertifikat (zertifizierter öffentlicher Schlüssel) und dem zugehörigen privaten Schlüssel eines Benutzers - auch weitere Informationen gespeichert werden. So sind darin u. a. auch Internet-Zertifikate, symmetrische Verschlüsselungsschlüssel und Informationen, die zum Wiederherstellen von Notes-ID-Dateien (Recovery-Informationen) benötigt werden, enthalten. Alle diese Informationen werden durch das so genannte Notes-ID-Passwort geschützt. Bevor die Notes-ID genutzt werden kann, muss der Benutzer das entsprechende Passwort eingeben. Da eine Notes-ID sicherheitskritische Informationen enthält, kommt ihr ein erhöhter Schutzbedarf zu. Folgende Aspekte sind daher für den Umgang mit Notes-IDs zu berücksichtigen:

Notes-IDs können in vier Kategorien unterteilt werden:

  1. Certifier-IDs: Diese stellen die Identitäten dar, die Notes-IDs für Server und Benutzer ausstellen. In der Regel repräsentieren Certifier-IDs organisatorische Einheiten innerhalb einer Behörde bzw. eines Unternehmens und bilden eine Hierarchie. Certifier-IDs sind aufgrund ihres Verwendungszwecks besonders sicherheitskritisch und müssen daher besonders geschützt werden. Dies gilt insbesondere für die erste erzeugte Certifier-ID - die so genannte Root-Certifier-ID - mit der alle weiteren Certifier-IDs signiert werden.
  2. Server-IDs: Diese weisen Server gegenüber Benutzern (genauer: deren Notes-Clients) und anderen Servern aus. Damit ein Server lauffähig ist, benötigt er eine eigene Identität in Form der Server-ID. Die Server-ID wird während der Serverinstallation automatisch erzeugt und durch eine Certifier-ID zertifiziert. Da Server-IDs für ausgezeichnete Systemkomponenten zur Identifikation benutzt werden, müssen sie entsprechend gut geschützt werden.
  3. Administrator-IDs: Diese weisen Administratoren gegenüber Servern aus. Administrator-IDs unterscheiden sich von Benutzer-IDs durch erweiterte Privilegien, die die Administration von Servern ermöglicht. Da Administratoren unter den Benutzern eine privilegierte Stellung einnehmen, müssen Administrator-IDs besonders geschützt werden.
  4. Benutzer-IDs: Diese weisen normale Benutzer gegenüber Servern aus.

Entsprechend den unterschiedlichen Sicherheitsanforderungen müssen unterschiedliche Schutzmaßnahmen für Notes-IDs getroffen werden. Zu betrachten sind dabei die Aspekte

Für die Passwörter können Qualitätsanforderungen beim Erzeugen einer neuen Benutzer-ID festgelegt werden. Dafür steht eine numerische Qualitätsskala von 0 (kein Passwort) bis 16 zur Verfügung. Generell stimmt zwar die akzeptierte Passwortlänge mit dem numerischen Qualitätswert überein, ist jedoch nicht das einzige Bewertungskriterium.

Neben der Passwort-Qualität ist zusätzlich festzulegen, in welchen Intervallen die Passwörter gewechselt werden müssen. Bei dieser Festlegung muss besonders berücksichtigt werden, welchen Schutzbedarf die jeweilige Notes-ID hat und welche Zugriffsmöglichkeiten auf die jeweilige Notes-ID bestehen. Beispielsweise werden (Root-)Certifier-IDs in der Praxis häufig aus Sicherheitsgründen auf Datenträger ausgelagert, sicher hinterlegt und auf den IT-Systemen gelöscht. In diesem Fall ist ein häufiger Passwort-Wechsel nicht praktikabel und auch nicht erforderlich, wenn der physische Zugriff auf die Certifier-ID restriktiv geregelt und hinreichend abgesichert ist.

Notes bietet außerdem die Möglichkeit, eine Notes-ID-Datei mit mehreren Passwörtern zu schützen. In diesem Fall kann die Datei nur nach Eingabe aller zugewiesenen Passwörter verwendet werden. Dieser Schutzmechanismus bietet sich für IDs mit erhöhtem Schutzbedarf an, beispielsweise für bestimmte Certifier-IDs.

Weitere Hinweise zu Passwörtern finden sich in der Maßnahme M 2.11 Regelung des Passwortgebrauchs.

Für die verschiedenen Kategorien von Notes-IDs enthält die folgende Liste entsprechende Empfehlungen, die je nach Anforderungen adaptiert und erweitert werden können.

Generell ist für den Umgang mit Notes-IDs zu berücksichtigen, dass diese zur eindeutigen Benutzerauthentisierung (Ausweis) genutzt werden. Zwar sind die Notes-ID-Dateien durch ein Passwort geschützt, dies muss jedoch von entsprechender Qualität sein und darf nur dem Besitzer der Notes-ID bekannt sein. Wird das Passwort kompromittiert, so können sich unter Umständen unberechtigte Dritte mit der Notes-ID einem Server gegenüber ausweisen.

Ein Benutzer (oder Administrator) kann auch mehrere Kopien einer Notes-ID besitzen. Jede Notes-ID-Kopie eines Benutzers kann mit einem eigenen Passwort versehen sein. Ist eine Notes-ID-Datei unbefugt kopiert und deren Passwort kompromittiert worden, so kann die unbefugte Nutzung ohne zusätzliche Maßnahmen nicht durch den Passwortwechsel auf dem Original unterbunden werden.

Besteht der Verdacht, dass Certifier-IDs kompromittiert wurden oder von Unbefugten genutzt werden konnten, muss das Notes-System re-zertifiziert werden.

In diesem Fall müssen nicht nur die betroffenen IDs selbst, sondern auch alle direkt oder indirekt davon zertifizierten Notes-IDs neu berechnet werden.

Am Markt sind eine Reihe von Tools erhältlich, die den Anwender bei der Verwaltung und Absicherung von Notes-IDs unterstützen. Abhängig von den konkreten betrieblichen und sicherheitstechnischen Anforderungen sollte geprüft werden, ob der Einsatz solcher Tools zweckmäßig und wirtschaftlich ist.

Ergänzende Kontrollfragen: