Top 5 Bewährte Praktiken für HCL Notes-Sicherheit

Die Welt ändert sich. Wir sind gerade mitten in einer massiven Veränderung der IT Landschaft und können es kaum erwarten, die neuesten Errungenschaften auch weiterhin zu genießen. Worauf wir bei all der Euphorie allerdings nicht vergessen dürfen, ist unsere Sicherheit. In diesem Fall die Sicherheit unserer HCL Notes-Umgebung. Um unseren Anwendern die Möglichkeit zu geben, möglichst sicher in der Pandemiezeit zu arbeiten, sind viele Entscheidungen rasch getroffen worden.

Als verantwortungsbewusste IT Abteilung weiß man um die Gefahren. Man kennt alle Grundlagen, doch es ist auch wichtig sich immer nach den Best Practices umzusehen. Im ersten Teil unseres Sicherheitsspecials helfen wir Ihnen die 5 größten Teilbereiche von HCL Notes genauer zu beleuchten

Externe Verbindungen werden in der Regel verschlüsselt. Wenn man verschlüsseln möchte, muss man dies nur auf einer Seite einzustellen (Client oder Server). Im Gegensatz zur Komprimierung müssen hier beide Seiten identisch eingestellt sein (Server & Client). Dies kann im Notes Client über das UI oder alternativ auch über die notes.ini realisiert werden.

Verschlüsselung ist aber nicht gleich Verschlüsselung. Der Standard bei Notes und Domino ist etwas in die Jahre gekommen. Um eine hohe Verschlüsselungsstärke zu gewährleisten können ab Notes und Domino 9.0.1 FP7 und höher weitere Parameter und Schlüsselvariationen konfiguriert werden.

Weitere Informationen zum Netzwerkverkehr finden Sie im zweiten Teil unserer Serie über HCL Domino Sicherheit.

Besonders in Zeiten von Home-Office ist es wichtig, Datenbank zu verschlüsseln, weil sich Mitarbeiter nicht zwangsläufig im sicheren Büronetzwerk befinden. Während es früher möglich war, zwischen verschiedenen Stufen der Verschlüsselung auszuwählen, ist alles unter der Stufe „Strong Encryption“ nicht empfehlenswert.

Ab HCL Notes 11.0.1. kann man sogar zusätzlich die 128 Bit AES einschalten. Dies muss allerdings manuell durchgeführt werden und kann nicht als Standard gesetzt werden. Ein weiterer Nachteil könnte sein, dass auf schwächeren Geräten der Zeitfaktor eine Rolle spielt. Da eine besonders hohe Sicherheitsstufe in diesem Fall eine Verzögerung hervorrufen könnte.

Generell hilft Ihnen eine gut gepflegte ACL (Access Control List) mit einer entsprechenden Rollen- und Rechtevergabe

Sobald es zu der ECL (Execution Control List) kommt, stellten wir immer wieder fest, wie stiefmütterlich diese behandelt wird. Sie ist meistens eher schlecht bis gar nicht gepflegt, obwohl sie eine wesentliche Funktion bei Ihrer Notes-Sicherheit erfüllt.

Theoretisch kann jeder Code für Notes/Domino entwickeln und installieren. Deswegen ist es wichtig, dass man serverseitig Berechtigungen verteilt oder eben gewisse Regeln festlegt die Codevarianten oder Quellen untersagt. Dies hilft auch dabei, Verwirrung beim Endanwender zu vermeiden. Die ECL kann zum Beispiel auch in den Lockdown-Status versetzt werden. Nicht autorisierter Code kann somit vom Anwender nicht mehr freigegeben und zur Ausführung gebracht werden.

Was passiert, wenn etwas schiefgeht? Obwohl Notes-/Domino-Kunden dies sehr entspannt sehen und eine stabile Lösung verwendet wird, wurde in den letzten Monaten eine bedenkliche Sicherheitslücke entdeckt.

Es hat sich gezeigt, dass bei Notes dieselben Regeln gelten wie bei den meisten anderen Softwareprodukten. Es hilft, zeitnah Patches einzuspielen. Genauso wie es hilft, regelmäßige Updates zu machen, damit im Notfall auch ein kritischer Sicherheitspatch schnell verwendet werden kann.

Wie melden wir uns an? IDs müssen Passwörter haben, auch wenn es nicht immer komfortabel ist. Auch Ablaufdaten sind wichtig – nicht nur für Windows, sondern auch für Notes. Ein wichtiges Element dafür ist die Passwortkomplexität. Es muss eine gute Balance zwischen genug Komplexität für die Sicherheit und der Usability für den Endanwender herrschen. Übertriebene Komplexität führt erfahrungsgemäß dazu, dass das Passwort schlussendlich doch wieder als Post-it aufbewahrt wird.

Um es den Endanwendern einfacher zu machen, kann man auch SSO-Möglichkeiten (Single-Sign-On) verwenden. Es sollte jedoch nicht der Windows Service (SingleLogin Service) sein. Dieser ist derzeit zwar noch verfügbar, aber wird schon im nächsten Major Release (v12) nicht mehr dabei sein. Sinnvoller und auch viel empfehlenswerter ist NSL (Notes Shared Login). Dies kann auch einfach in Citrix-Umgebungen genutzt werden (ab Version 11.0.1 FP1).

Egal wofür Sie sich jedoch entscheiden: Sie müssen bedenken, dass ein Wechsel der oben angegebenen SSO-Mechanismen in jedem Fall eine Neuinstallation des Notes Client erfordert.

Details zur technischen Umsetzung können Sie in nachhören Notizen in unserer webinar mit meinem Kollegen, HCL Ambassador, und Senior Consultant, Christoph Adler . Haben Sie noch Fragen? Lassen Sie es uns wissen, indem Sie einen Kommentar hinterlassen.

Im zweiten Teil unserer Serie konzentrieren wir uns auf den Domino Server. Registrieren Sie sich jetzt und stellen Sie Ihre Fragen im Webinar über: "Modernste Sicherheit für Ihre HCL-Domino-Umgebungen".