Lotus-Notes / Domino Sicherheit

Das Notes-System kennt mehrere Sicherheitssysteme:
1. Zugriffssicherheit von Clients auf Server: Hier gibt es nicht nur eine Benutzername-/Passwort-Sicherheit, sondern es muss auch ein gültiges Zertifikat vorliegen und zwar
bilateral: Der Server muss beim Verbindungsaufbau dem Client ein gültiges Zertifikat vorlegen und der Client dem Server. Die Authentifikation des Benutzers mit einem
Passwort geschieht nicht direkt am Server, sondern an einer ID-Datei, die den privaten Schlüssel des Benutzers enthält. Diese ID-Datei kann nur anhand einer speziell
geschützten Certifier-ID erstellt werden. Weitergehend werden Zugriffe auf den Server über Zugriffsgruppen innerhalb des Domino Adressbuchs geregelt.

2. Vertrauliche Daten können in einer Notes-Datenbank verschlüsselt abgelegt werden und zwar auf vier Arten:

a) auf Feldebene mit den Öffentlichen Schlüsseln der Personen, die zum Lesen vorgesehen sind
b) auf Feldebene mit einem eigenen (i. d. R. selbst oder von einem Abteilungsleiter und nicht von Informatikern erstellten) symmetrischen Schlüssel
c) auf Datenbankebene mit dem Öffentlichen Schlüssel des Benutzers (bei lokal gespeicherten Datenbanken)
d) auf Datenbankebene mit dem Öffentlichen Schlüssel des Servers (bei auf dem Server gespeicherten Datenbanken)

Diese Sicherheitssysteme sind im Lotus-Notes-System integriert und deswegen einfacher zu nutzen und zu administrieren als bei konventionellen Systemen, bei denen diese als separate Softwaresysteme installiert, konfiguriert und administriert werden müssen. Man denke hierbei an das Verteilen von Schlüsseln auf viele Clients oder das Aktualisieren von abgelaufenen Zertifikaten bei vielen Benutzern.


Unsicherheit
http://www.it-audit.de/assets/artikel/com/Hackerziel_Domino.pdf
http://www.kes.info/archiv/online/01-03-68-domino.htm
http://www.heise.de/tp/r4/artikel/2/2898/1.html