Die 5 besten Best Practices für Ihre HCL Notes Sicherheit

Die Welt verändert sich. Wir befinden uns inmitten einer sich verändernden IT-Landschaft und können es kaum erwarten, die neuesten Errungenschaften zu genießen. Doch bei all der Euphorie dürfen wir unsere Sicherheit nicht vergessen. In diesem Fall ist es die Sicherheit unserer HCL Notes-Umgebung. Um unseren Nutzern die Möglichkeit zu geben, in Pandemiezeiten so sicher wie möglich zu arbeiten, mussten viele Entscheidungen schnell getroffen werden.

Als verantwortliche IT-Abteilung weiß man um die Gefahren. Sie kennen viele Grundlagen, aber es ist eine gute Idee, ein Auge auf Best Practices zu haben. Im ersten Teil unseres Sicherheitsspecials werden wir Ihnen helfen, die 5 wichtigsten Bereiche von HCL Notes näher zu betrachten.

In der Regel werden externe Verbindungen verschlüsselt. Wenn Sie verschlüsseln wollen, müssen Sie dies nur auf einer Seite (Client oder Server) konfigurieren. Im Gegensatz zur Kompression, bei der beide Seiten identisch konfiguriert sein müssen (Server und Client). Dies kann im Notes-Client über die Benutzeroberfläche oder alternativ über die notes.ini erfolgen.

Allerdings ist nicht jede Verschlüsselung gleich. Der Standard in Notes und Domino hat schon bessere Tage gesehen. Um einen hohen Verschlüsselungsgrad zu gewährleisten, können ab Notes und Domino 9.0.1 FP7 und höher zusätzliche Parameter und Schlüsselvarianten konfiguriert werden.

Weitere Informationen zum Netzwerkverkehr finden Sie in unserem zweiten Teil dieser Serie über die Sicherheit von HCL Domino.

Gerade in Zeiten von Home-Office ist es wichtig, Datenbanken zu verschlüsseln, da sich die Mitarbeiter nicht unbedingt im sicheren Büronetzwerk befinden. Während es früher möglich war, zwischen verschiedenen Verschlüsselungsstufen zu wählen, wird alles unterhalb der Stufe „Starke Verschlüsselung“ nicht empfohlen.

Ab HCL Notes 11.0.1. ist es sogar möglich, zusätzlich 128-Bit-AES einzuschalten. Dies muss jedoch manuell erfolgen und kann nicht als Standard eingestellt werden. Ein weiterer Nachteil könnte sein, dass auf schwächeren Geräten der Zeitfaktor eine Rolle spielt. Denn eine besonders hohe Sicherheitsstufe könnte in diesem Fall zu Verzögerungen für den Endnutzer führen.

Im Allgemeinen hilft eine gut gepflegte ACL (Access Control List) mit einer angemessenen Zuweisung von Rollen und Rechten.

Sobald es um die ECL (Execution Control List) geht, stellen wir immer wieder fest, wie lässig sie behandelt wird. Sie wird in der Regel schlecht oder gar nicht gewartet, obwohl sie eine wesentliche Funktion für die Sicherheit von Notes erfüllt.

Theoretisch kann jeder Code für Notes/Domino entwickeln und installieren. Daher ist es wichtig, serverseitige Berechtigungen zu verteilen oder bestimmte Regeln zu definieren, die Code-Varianten oder Quellen verbieten. Dies trägt auch dazu bei, Verwirrung bei den Endnutzern zu vermeiden. Zum Beispiel kann das ECL auch auf den Status „Lockdown“ gesetzt werden. Unautorisierter Code kann somit nicht mehr vom Benutzer freigegeben und ausgeführt werden.

Was passiert, wenn etwas schief geht? Obwohl Notes/Domino-Kunden dies sehr entspannt sehen und eine stabile Lösung eingesetzt wird, wurde in den letzten Monaten eine erhebliche Sicherheitslücke entdeckt.

Es hat sich gezeigt, dass für Notes die gleichen Regeln gelten wie für die meisten anderen Software-Produkte. Es hilft, Patches rechtzeitig anzuwenden. Ebenso ist es hilfreich, regelmäßige Aktualisierungen vorzunehmen, so dass im Notfall ein kritischer Sicherheits-Patch schnell eingespielt werden kann.

Wie kann man sich anmelden? Ausweise müssen mit Passwörtern versehen werden, auch wenn das nicht immer bequem ist. Verfallsdaten sind ebenfalls wichtig – nicht nur für Windows, sondern auch für Notes. Die Komplexität der Passwörter ist dabei ein wichtiges Element. Es muss ein ausgewogenes Verhältnis zwischen ausreichender Komplexität für die Sicherheit und Benutzerfreundlichkeit für den Endbenutzer bestehen. Die Erfahrung hat gezeigt, dass eine zu hohe Komplexität dazu führt, dass das Passwort doch als Post-it aufbewahrt wird.

Um es dem Endnutzer zu erleichtern, können SSO-Funktionen (Single Sign-On) eingesetzt werden. Es sollte jedoch nicht der alte und bald veraltete Windows-Dienst (ClientSingleLogin) sein. HCL hat beschlossen, diese alte SSO-Methode mit Notes V12 zu entfernen. Sinnvoller und empfehlenswerter ist NSL (Notes Shared Login). Dies kann auch in Citrix-Umgebungen (ab Version 11.0.1 FP1) problemlos genutzt werden.

Unabhängig davon, wofür Sie sich entscheiden, sollten Sie bedenken, dass eine Änderung der oben genannten SSO-Mechanismen eine Neuinstallation des Notes-Clients erfordert.

Details zur technischen Umsetzung in Notes können Sie sich in unserem Webinar mit meinem Kollegen, HCL Ambassador und Senior Consultant Christoph Adler anhören. Haben Sie noch Fragen? Lassen Sie es uns wissen, indem Sie einen Kommentar hinterlassen.

Im zweiten Teil unserer Serie werden wir uns auf den Domino Server konzentrieren. Registrieren Sie sich jetzt und stellen Sie Ihre Fragen live im Webinar zum Thema: „Sicherheit auf dem neuesten Stand der Technik für Ihre HCL Domino-Umgebungen“.