Zugriffsschutzebenen eines Lotus Notes Systems

Lotus Notes-Systeme sind hierarchisch aufgebaut: Das System hat einen oder mehrere Server. Die Server stellen Datenbanken zur Verfügung, die Datenbanken Dokumente und die Dokumente enthalten wiederum verschiedenste Dokumentfelder…

Autor: Bernd Flathmann, Juni 2002

Lotus Notes-Systeme sind hierarchisch aufgebaut: Das System hat einen oder mehrere Server. Die Server stellen Datenbanken zur Verfügung, die Datenbanken Dokumente und die Dokumente enthalten wiederum verschiedenste Dokumentfelder. Der Zugriffsschutz eines Lotus Notes-Systems spiegelt diese hierarchische Struktur – System, Server, Datenbank, Dokument, Feld – und ist mit den entsprechenden Zugriffsschutzebenen ebenfalls hierarchisch strukturiert: Zuerst muss ein Benutzer berechtigt sein, sich überhaupt am Lotus Notes-System anmelden zu können. Konnte er sich authentifizieren und am Lotus Notes-System anmelden, hat er damit noch keinen Zugriff auf einen bestimmten oder die Lotus Notes-Server (und damit auch keinen Zugriff auf Datenbanken und Dokumente). Nehmen wir an, der Benutzer ist berechtigt, auch auf einen Server zuzugreifen. Damit ist er auf die zweite Sicherheitsebene gelangt, hat aber noch immer keinen Zugriff auf die auf dem Server liegenden Datenbanken. Auf einige dieser Datenbanken soll ihm jedoch der Zugriff gewährt sein. Er wird also in die Zugangskontrollliste der Datenbank eingetragen, kann auf die Datenbank zugreifen und hat damit eine weitere Sicherheitsebene erreicht. Das heißt jedoch nicht, dass er nun automatisch Zugriff auf alle Dokumente dieser Datenbank hat. Je nach Konfiguration darf er bestimmte Dokumente lesen, bearbeiten, erstellen oder löschen. Wieder ist er eine Sicherheitsebene höher gelangt. Aber selbst jetzt kann es sein, dass er zwar Zugriff auf ein Dokument hat, einzelne Felder des Dokuments ihm jedoch verborgen bleiben. Diese letzte Sicherheitsebene ist die Verschlüsselung auf Feldebene im Dokument.

Für ein Lotus Notes-System ergibt sich damit folgende Sicherheits-Hierarchie:

Zugang zum System – Authentifizierung

  • Zugriff auf einen Server
  • Zugriff auf eine Datenbank
  • Zugriff auf ein Dokument
  • Verschlüsselung auf Feldebene – Zugriff auf bestimmte Dokumentenfelder

Die Grafik verdeutlich die Hierarchie der Zugriffsschutzebenen im Lotus Notes-System:

Das optimale Zusammenspiel der Sicherheitsebenen, das durch eine gute Planung und entsprechende Definition einer Sicherheitsrichtlinie erreicht wird, bietet die Möglichkeit, einen optimalen Schutz unternehmenskritischer Daten zu erreichen. Im folgenden werden die einzelnen Zugriffsschutzebenen beschrieben.

Hinweis: Der Artikel beschränkt sich auf die Beschreibung der Lotus Notes Zugriffsschutzebenen. Weitere Lotus Notes Sicherheitsaspekte wie beispielsweise der Virenschutz, der Zugangsschutz oder der Schutz der Server im Netzwerk (Firewall etc.) werden nicht behandelt.

1. Zugang zum Lotus Notes-System

Der Zugang zum Lotus Notes System umfaßt neben dem wichtigen Aspekt der Authentifizierung auch die Sicherheitsaspekte Zugriff auf die Lotus Notes Ressourcen der Workstations und Sicherheit bei der Datenübertragung.

Die Zulassungsstellen-ID eines Unternehmens (CERT.ID) ist das Kernstück dieser Sicherheitsebene. Die Zulassungsstellen-ID enthält die Zulassung der Organisation und wird zur Registrierung von Organisationseinheiten oder direkt zur Registrierung von Lotus Notes-Servern und Benutzern im Unternehmen benötigt. Die Zulassungsstellen-ID durfte bis vor kurzem aufgrund von US-amerikanischen Exportgesetzen nur einen 40-bit Schlüssel enthalten; inzwischen ist auch für internationale Lotus Notes Lizenzen ein 128-Bit langer Schlüssel erlaubt.

1.1 Zertifikate

Ein Zertifikat ist eine Art „elektronischer Stempel“, der mit Hilfe des privaten Schlüssels einer Zulassungs-Stelle erstellt wird. Jedes Zertifikat ist eindeutig. Bei jedem von einer Zulassungsstelle erzeugten Zertifikat für eine Benutzer-ID werden das Erstelldatum und Informationen des privaten und öffentlichen Schlüssels der Zulassungsstelle verarbeitet; daraus folgt die Eindeutigkeit jeder Zulassung.

Das Zertifikat dient als Identitätsbeweis. Lotus Notes fordert die Zulassung bzw. das Zertifikat als Identitätsbeweis an zwei verschiedenen Stellen:

Zum einen prüft Lotus Notes, ob die ID des Benutzers einen gemeinsamen „Stempel“ (Zertifikat) mit der eigenen Server-ID hat, wenn sich ein Lotus Notes-Benutzer (Person oder Server) an einem Lotus Notes-Server anmeldet. Zum anderen wird das Zertifikat bei einer signierten Lotus Notes-Mail geprüft. Wenn ein Benutzer eine unterschriebene Lotus Notes-Mail sendet, begleiten alle Zertifikate des Absenders das Dokument. Das Lotus Notes-System des Empfängers bestätigt, dass Name, Lizenz und öffentlicher Schlüssel des Absenders korrekt sind.

1.2 Querzulassungen

Eine Querzulassung wird in Lotus Notes benötigt, wenn die Zertifikate der betreffenden IDs keine oben beschriebene „Eltern-Kind-Beziehung“ haben. Querzulassungen werden gebraucht, wenn zwei unabhängige Organisationen kommunizieren wollen. Zum Beispiel, wenn eine Gesellschaft einer anderen Produktunterstützung gibt. Im Bankenbereich kommen aus Sicherheitsgründen kaum Querzulassungen zum Einsatz und sind in der Regel auf die entsprechende Rechenzentrale beschränkt.

1.3 Lotus Notes-ID

Die Benutzer-ID ist eine eindeutige Kennung, die einem Benutzer fest zugeordnet ist. Die ID-Datei ist eine binäre Datei, die einen Lotus Notesbenutzer identifiziert. Die Daten einer binären Datei können nicht mit einem Texteditor sichtbar gemacht bzw. bearbeitet werden.

Jeder Benutzer verfügt über eine eindeutige Benutzer-ID, die ihm von einem Administrator zugewiesen wird. Sie enthält folgende Elemente:

Benutzername
Lizenznummer
Privater Schlüssel
Öffentlicher Schlüssel
Kennwort (Passwort)
Codierungsschlüssel (fakultativ)
Zertifikat/Zulassung

Die Lizenznummer, der private und öffentliche Schlüssel werden im Zuge der ID-Datei-Erstellung berechnet und können nicht geändert werden. Es ist zu empfehlen, für die Aufbewahrung von ID-Dateien grundsätzlich die Funktionalität des Mehrfachpasswortes zu verwenden, damit die vorhandenen organisatorischen Regelungen durch entsprechende technische Maßnahmen unterstützt werden.

1.4 Zugriffsschutz der Workstation

Welche Art von Aktionen auf die Lotus Notes Datenbanken einer Workstation ausgeführt werden dürfen, wird von der sogenannten Workstation-ECL (Execution Control List) gesteuert. Standardmäßig kann sie vom Benutzer geändert und verwaltet werden. Die ECL gestattet dem einzelnen Benutzer die Feinsteuerung der Ausführung von Befehlen und Programmen. Sie kann – richtig angewendet – Schutz vor Mail-Bomben, Trojanischen Pferden und anderen unerwünschten Applikationen bieten.

1.5 Schutz der Datenübertragung

Lotus Notes bietet die Möglichkeit, Daten über den Nachrichtenkanal zu verschlüsseln. Sämtliche Daten, also z.B. auch diejenigen, die bei einer Datenbank-Replikation anfallen, werden für den Übertragungsweg codiert. Diese Option kann an den Modem- (COM) und an den Netzwerk- (LAN) Anschlüssen verwendet werden. Wird die Verschlüsselungsoption von dem Sender (Server oder Workstation) gewählt, so werden die Daten, die der Empfänger zurücksendet, ebenfalls verschlüsselt – unabhängig von dessen Konfiguration.

2. Zugriff auf Lotus Notes Server nach erfolgreicher Authentifizierung

Über den Zugriff auf einen bestimmten Server entscheiden entsprechende Eintragungen im Serverdokument des entsprechenden Servers. Dort kann eingetragen werden, welche Benutzer oder Gruppen auf den Server zugreifen dürfen und welche Rechte sie auf dem Server haben. Natürlich kann dort auch stehen, welche Gruppen keinen Zugriff auf den Server erhalten. Dies kann z.B. die Gruppe der ausgeschiedenen Mitarbeiter sein, von denen einzelne zwar möglicherweise noch über ein gültiges Zertifikat verfügen, aber aufgrund dieser Sicherheitseinstellungen keinen Zugriff auf die Server und damit auf Datenbanken oder Dokumente mehr haben.

3. Zugriff auf Datenbankebene

Wird einem Benutzer (Person oder Server) nach einem erfolgreichen Authentifikationsprozess auch der Zugriff auf einen Server gewährt, versucht er als nächstes, auf eine Datenbank zuzugreifen. Für Datenbanken sieht Lotus Notes spezielle Sicherheitsmechanismen vor.

Durch die richtige Einstellung der Zugriffskontroll-Liste (ACL) wird der unberechtigte Zugriff auf die Lotus Notes-Datenbanken verhindert. In der ACL (Access Control List) sind die einzelnen Benutzer und Gruppen aufgeführt, die auf eine Datenbank zugreifen dürfen. Jedem Benutzer oder jeder Gruppe ist eine Zugriffsebene zugeteilt, die bestimmt, welche Operationen der Benutzer / die Gruppe mit den Dokumenten der Datenbank ausführen darf. Darüber hinaus kann die ACL Funktionen enthalten, die festlegen, auf welche Masken und Ansichten ein Benutzer Zugriff hat. Diese Funktionen (Zugriffsberechtigungen) werden während der Ansichts- und Maskenentwicklung definiert.

Diese Steuerungsmöglichkeit durch die ACL ist von Bedeutung, wenn der Zugriff über einen Lotus Notes-Client auf einen Lotus Notes-Server erfolgt. Besonderheiten sind beim Zugriff über einen Web-Browser zu beachten. So muss z. B. ein ACL-Eintrag „-Anonymous-“ vorhanden sein, wenn der Server anonyme Verbindungen erlaubt. Auf der lokalen Ebene kann ein unberechtigter Zugriff mit Hilfe der ACL nicht verhindert werden. Ein Benutzer hat in der Regel volle Kontrolle über eine Datenbank oder Datenbankreplik, die auf dem Client Rechner gespeichert ist. Insbesondere kann er Veränderungen an der ACL vornehmen und sich „Manager“-Rechte zuweisen. Ein lokaler Schutz der Datenbank kann nur über die Verwendung der Datenbankverschlüsselung erreicht werden, wobei diese Möglichkeit im Gegensatz zur Anwendung der ACL keine Zugriffsebenen z. B. lesender oder schreibender Zugriff kennt, sondern unter Anwendung des Lotus Notes-Verschlüsselungsmechanismus ein unberechtigtes Lesen der Datenbankinhalte verhindert. In dem Fall der lokalen Verschlüsselung kann nur der berechtigte Benutzer, mit der zur Verschlüsselung verwendeten ID-Datei auf die Dateninhalte zugreifen.

4. Die Dokumentenebene steuert den Zugriff auf einzelne Dokumente

Die Erstellung von Leser- und Autorenfeldern wird genutzt, um den Zugriff auf der Dokumentenebene zu steuern. Sind diese Felder aktiviert und ein Benutzer ist nicht als Leser oder Autor eingetragen, hat er keinen Zugriff auf das Dokument. Im Hinblick auf die Replizierung ist darauf zu achten, dass auch die Server in diese Felder eingetragen werden müssen, da sonst ein ordnungsgemäßes Replizieren nicht gegeben ist.

4.1 Leserfelder in Masken

Der Feldtyp „Lesernamen“ bietet Zugriffsschutz für Dokumente. Durch die Definition eines Maskenfelds vom Typ Lesernamen und die Zuweisung einer Reihe von Benutzern oder Gruppen zu diesem Feld legt der Entwickler fest, wer Dokumente lesen kann, die mit dieser Maske erstellt wurden. Der Feldtyp Lesernamen verlangt eine Benutzerverifikation.

Ein Entwickler erstellt zum Beispiel eine Maske mit Namen Reklamationshistorie für eine Kundenservice-Datenbank. Er nimmt ein Feld vom Typ Lesernamen auf und trägt als Formel den Namen der Gruppe „RH Report“ ein, die als gültige Gruppe im Namens-&Adreßbuch registriert ist. Wann immer jetzt versucht wird, ein Dokument zu öffnen, das mit der Maske erstellt wurde, prüft Lotus Notes, ob derjenige, der zugreift, ein Mitglied der Gruppe ist. Wenn der Benutzer kein Mitglied der Gruppe ist, wird der Zugriff auf das Dokument verweigert.

4.2 Autorenfelder in Masken

Für Felder vom Typ „Autorenname“ können spezielle Zugriffslisten bestehen. Wenn ein Dokument erstellt wird, das ein solches Feld enthält, kann eine Liste der Benutzer eingetragen werden, die Autorenzugriff auf das Dokument besitzen. Jeder Benutzer mit Autorenzugriff kann wiederum einzelne Benutzer, Gruppen, Server oder Funktionen auflisten. Sobald das Dokument gesichert ist, sind nur jene Benutzer, die in der Liste des Dokuments als Autoren definiert sind, in der Lage, das Dokument zu editieren. Anderen Benutzern wird der schreibende Zugriff auf das Dokument verweigert, sogar dann, wenn ihnen Editorenzugriff in der ACL der Datenbank zugewiesen worden ist.

5. Die Feldebene bietet die Verschlüsselungsmöglichkeit einzelner Informationen

Die letzte Stufe des Sicherheitssystems von Lotus Notes ist die Feldebene. Mit Codierungsschlüsseln ist es möglich, Felder in einem Dokument zu verschlüsseln. Der Datenbankentwickler hat dafür in den Masken Felder angelegt, die bei Bedarf mit einem solchen Codierungsschlüssel verschlüsselt werden können.

6. Zusammenfassung

Da das Lotus Notes Zugriffsschutzsystem hierarchisch aufgebaut ist, empfiehlt es sich, bei der Lotus Notes Sicherheitsplanung, -administration oder -prüfung entsprechend dieser Systematik vorzugehen. Ein systematisch geplantes und implementiertes Berechtigungsschutzsystem deckt einen wichtigen Sicherheitsaspekt beim Einsatz von Lotus Notes ab.

7. Weitere Informationen

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich bereits eingehend mit Lotus Notes-Sicherheit befasst. Im Juli 2001 wurde im Rahmen der bedarfsorientierten Weiterentwicklung des IT-Grundschutzhandbuchs „Lotus-Notes“ als neuer Baustein aufgenommen. Lesen Sie doch einmal unter folgenden Adressen weiter (Stand 2013: Dokumente nicht mehr erreichbar):

  • Zur Planung: http://www.bsi.bund.de/gshb/deutsch/m/m2206.htm
  • Zur Sicherheitsrichtlinie: http://www.bsi.bund.de/gshb/deutsch/m/m2207.htm
  • Zur sicheren Installation eines Lotus Notes-Systems: http://www.bsi.de/gshb/deutsch/m/m4116.htm
  • Zum sicheren Umgang mit Lotus Notes-ID-Dateien: http://www.bsi.bund.de/gshb/deutsch/m/m4129.htm
  • Zur ordnungsgemäßen Konfiguration eines Lotus Notes-Clients: http://www.bsi.bund.de/gshb/deutsch/m/m4126.htm
  • Zum Einsatz von Verschlüsselungsverfahren für die Lotus-Notes Kommunikation: http://www.bsi.bund.de/gshb/deutsch/m/m5084.htm
  • Zur richtigen Einstellung der Zugriffskontroll-Liste (ACL): http://www.bsi.bund.de/gshb/deutsch/m/m4120.htm

Bernd Flathmann