Compliance bedeutet die Einhaltung von gesetzlichen, aufsichtsbehördlichen und internen Regelungen wie Gesetzen und Richtlinien. Das Thema hat vor allem durch Prozesse in den USA gegen Manager von Enron und Worldcom mehr Beachtung gefunden als früher. Es ist aber keineswegs ein neues Thema. So zählt beispielsweise auch das BDSG (Bundesdatenschutzgesetz) zu den Compliance-Regelungen, ebenso wie einzelne Paragraphen aus dem BVG (Betriebsverfassungsgesetz) und anderen schon lange bestehenden Regelungen. Insgesamt sind die Vorschriften aber in den vergangenen Jahren deutlich verschärft worden, teils durch Gesetze, teils durch ergänzende Richtlinien, beispielsweise für Wirtschaftsprüfer.
Aus Sicht der IT liegt ein Problem der Compliance darin, dass die Regelungen in fast allen Fällen sehr unscharf sind. Es wird nicht genau beschrieben, was getan werden muss und was zu lassen ist. Vielmehr gibt es teilweise sehr abstrakte Vorschriften, beispielsweise für das Risikomanagement und die Fortführung von Unternehmen auch im Katastrophenfall. Das macht es schwierig, die Regelungen zu erfüllen.
Es gibt aber auch konkretere Leitlinien wie das BSI-Grundschutzhandbuch und die Regelungen der ISO 27000-Reihe, die früher als BS 7799/ISO 17799 bekannt waren. Interessant ist auch die nur für einzelne Branchen relevante Regelung 21 CFR Part 11 der US-FDA (Food and Drug Administration), die sehr umfassend die konkreten Maßnahmen beschreiben, die für die Erreichung von Compliance ergriffen werden müssen.
In diesem Artikel wird versucht, die Konfigurationseinstellungen in den Richtlinien von Lotus Domino herauszuarbeiten, die unter dem Aspekt der Compliance von besonderer Bedeutung sind.
Die Rolle von Notes/Domino für dieCompliance
Die erste Frage ist, welche Rolle Anwendungen wie Lotus Notes und Domino überhaupt für die Compliance spielen. Das hängt natürlich zunächst von der jeweiligen Richtlinie ab, die erfüllt werden muss, um „compliant“ zu sein. Im Ergebnis gibt es aber viele wichtige Anforderungen durch Compliance-Regelungen, von denen zumindest einige für jedes Unternehmen zutreffen – unabhängig von der Branche und daraus resultierenden speziellen Anforderungen:
-
Ein wichtiges Thema sind langjährige Aufbewahrungsfristen für geschäftlich relevante Dokumente, wozu zunehmend auch E-Mails gezählt werden.
-
Signaturen für E-Mails sind in vielen Branchen zwingend, um bestimmte rechtliche Einschränkungen durchzusetzen.
-
Vor der Inbetriebnahme von Anwendungen ist zwingend ein definierter Prozess für den Test und die Überführung von neuen Anwendungen in die Produktivumgebung erforderlich.
-
Sensible und personenbezogene Informatio- Expert’s nen müssen ausreichend vor Missbrauch geschützt werden.
-
Kennwörter oder andere Mechanismen für die Authentifizierung von Benutzern müssen ausreichend stark sein.
-
Benutzer müssen eindeutig identifizierbar sein.
-
Oft werden auch mehrstufige Workflows mit eindeutigen Genehmigungen benötigt, um bestimmte Prozesse in definierter und nachvollziehbarer Weise durchzuführen.
-
Einzelne Dokumente müssen bei vielen Regulations vor unberechtigter Veränderung geschützt werden können.
-
Generell ist es erforderlich, dass Änderungen an Dokumenten und anderen digitalen Informationen nachvollziehbar sind, was eine Protokollierung solcher Änderungen voraussetzt.
Das ist nur ein kleiner Teil der konkreten Anforderungen, die sich aus verschiedenen Compliance- Regelungen ergeben. Letztlich kann man aus den Compliance-Anforderungen die Forderung nach IT-Governance ableiten, die wiederum in konkreten Handlungen resultieren, die auf die Sicherheit, Konsistenz und Kontrolle von IT-Systemen und den Schutz sowie die dauerhafte Speicherung von Daten abzielen.
Richtlinien für Compliance
Ein wesentliches Element für die Erfüllungmvon Compliance-Anforderungenmbei Lotus Domino sind die Richtlinien,mmit denen das Verhalten von Notes-mClients gesteuert werden kann. Diese Richtlinienmhelfen, eine definierte Konfiguration der Client- Systeme durchzusetzen.
Auch wenn man nicht das recht abstrakte Thema der Compliance in den Vordergrund stellt, sind die nachfolgend erläuterten Richtlinieneinstellungen doch zum großen Teil auch für die sichere Konfiguration von Notes-/Domino-Umgebungen hilfreich, weil sie diesen Aspekt maßgeblich beeinflussen.
Bei Lotus Notes/Domino gibt es insgesamt sechs verschiedene Richtlinien, die im Bereich Configuration/Policies des Domino-Administrators erstellt und bearbeitet werden können:
-
Archive
-
Desktop
-
Mail
-
Registration
-
Security
-
Setup
Nachfolgend werden wichtige Parameter in diesen Richtlinien erläutert, wobei es vor allem darum geht, die Relevanz von Richtlinien für das Compliance-Management zu verdeutlichen, aber nicht der Anspruch erhoben wird, alle für die Compliance-Einstellungen in Richtlinien zu besprechen.
Parameter in den Richtlinien
Die Archivierungsrichtlinien (Archive) steuern die Archivierung von Informationen in der Maildatenbank. Da die E-Mail-Archivierung ein zunehmend wichtiges Thema wird, kann darüber eine zentrale Archivierung erzwungen werden (Bild 1). Es ist aber überlegenswert, mit externen Lösungen für die Archivierung von E-Mails und anderen Informationen zu arbeiten – die Archivierung in dieser Form ist doch eine eher „handgestrickte“ Lösung. Bei entsprechend ausgelegten Servern und definierten Prozessen für den Umgang mit den archivierten Mails ist es aber ein durchaus verwendbarer Ansatz. Im Fokus steht dabei die dauerhafte Archivierung, nicht die – sonst oft verfolgte – Größen- und Lastoptimierung für Maildatenbanken, die aber natürlich ein zwangsläufiger Nebeneffekt der E-Mail-Archivierung ist.
Falls die Archivierung erzwungen wird, sollten im Register Logging auch Einstellungen für die Protokollierung der Archivierungsaktivitäten gesetzt werden, um nicht nur ein Archiv zu erhalten, sondern auch nachvollziehbar zu machen, wann welche Informationen archiviert wurden.
Desktop-Einstellungen
Die umfangreichste Sammlung von Einstellungen findet sich bei den Desktop-Einstellungen, mit denen das Verhalten von Clients konfiguriert wird. Entsprechend gibt es hier auch viele Einstellungen, die mehr oder minder direkt auch im Kontext des Themas Compliance von Bedeutung sind. Falls hier Anpassungen vorgenommen werden, sollten in jedem Fall die Optionen wie
-
Allow users to change the settings in this section,
-
Allow users to change the settings below this section,
-
Allow user to change the settings on this tab
deaktiviert (!) werden (Bild 2), um sicherzustellen, dass die in den Richtlinieneinstellungen konfigurierten Werte auch zwingend auf die Clients übernommen werden. Wenn Benutzer diese einfach wieder modifizieren können, wird das Ziel einer einheitlichen Konfiguration von kritischen Einstellungen auf allen Systemen nicht erreicht.
Wichtige Einstellungen bei den Desktop Settings sind unter anderem:
-
Die Festlegung von Servern sowie der bevorzugt zu verwendenden Browser – die wiederum über andere Ansätze wie die Windows-Gruppenrichtlinien gesichert werden – im Register Basics.
-
Die zwingende Konfiguration von Passthru- Servern, soweit mit Einwählverbindungen gearbeitet wird, im Register Dial-up Connections.
-
Die Vorgabe von SSL-Einstellungen im entsprechenden Register.
-
Die Festlegungen im Register Applet Security für die Nutzung von Java-Applets und den Netzwerkzugriff bei Verwendung solcher Applets (Bild 3).
-
Die Einstellungen zu Proxyservern im Register Proxies, soweit mit solchen Servern gearbeitet wird.
-
Diverse Einstellungen im Register Preferences. Dazu gehört beispielsweise bei Basics die Festlegung Lock ID after N minutes of inactivity, die Steuerung der Nutzung von Java, JavaScript und ActiveX im Unterregister Miscellaneous (Bild 4) und die Einstellungen zum Speichern, Signieren und Verschlüsseln von Mails im Register Mail and News.
Mail-Settings
Ebenfalls wichtig sind die neuen Mail Settings, die es ab Domino 7 gibt. Bei den Mail File Preferences ist im Register Mail insbesondere der Bereich Letterhead zu erwähnen. Dort kann ein Standardbriefkopf für ausgehende Mails vorgegeben werden, der eine Ergänzung zu den Einstellungen für die Disclaimer sein kann, auf die weiter unten noch eingegangen wird. Außerdem sind die Festlegungen bei Access & Delegation wichtig, mit denen eine Delegation des Zugriffs auf Mail, Kalender und Zeitpläne gesteuert werden kann. Hier kann verhindert werden, dass Benutzer diesen Zugriff delegieren. Allerdings sollte man bei diesen Optionen in den meisten Fällen keine Einschränkungen vornehmen, da die praktischen Implikationen zu schwerwiegend wären. Außerdem lässt sich bei den einzelnen Dokumenten, soweit sie archiviert werden, später immer noch nachvollziehen, wer ein Dokument – also beispielsweise eine Mail – erstellt und verändert hat, auch wenn diese Informationen nicht zwingend für alle Revisionsanforderungen ausreichen.
Die wichtigste Einstellung betrifft aber sicherlich den Disclaimer, der in vielen Branchen zwingend erforderlich ist. Ein Beispiel für einen solchen – allgemeinen – Disclaimer ist:
The contents of this e-mail message, including any attachments, are intended solely for the use of the person or entity to which the e-mail was addressed. If you are not the intended recipient of this message, be advised that any dissemination, distribution, or use of the contents of this message is strictly prohibited. If you received this e-mail message in error, please e-mail mail@untenehmen.com and contact the sender by reply e-mail. Please also permanently delete all copies of the original e-mail and any attached documentation. Thank you.
In bestimmten Branchen wie der Finanzindustrie sind weitergehende Disclaimer, die beispielsweise Garantien ausschließen, erforderlich.
Security Settings
Von großer Bedeutung für die Umsetzung von Compliance-Anforderungen sind auch die Einstellungen bei den Security Settings innerhalb von Richtlinien. Das beginnt bei den Kennwortrichtlinien im Abschnitt Password Management/ Password Management Basics. Dort können die Anforderungen an Kennwörter definiert werden (Bild 6). Dazu gehören auch die Ablaufdaten und gegebenenfalls eine spezifische Kennwortrichtlinie (Custom Password Policy). Die Einstellungen in diesem Abschnitt müssen den unternehmensweit gültigen Kennwortrichtlinien entsprechen. Mit den benutzerspezifischen Kennwortrichtlinien lässt sich das ab Domino 7 gut abbilden. Hier kann sehr genau definiert werden, wie Kennwörter gebildet werden dürfen. Unter anderem kann auch festgelegt werden, dass der common name nicht Teil des Kennworts sein darf oder dass Benutzer bei der ersten Anmeldung an Notes ihr Kennwort ändern müssen. Da die Verwendung von einheitlichen Kennwortrichtlinien im Unternehmen eines der Kriterien ist, die auch von Wirtschaftsprüfern gerne abgefragt werden, ist das Setzen dieser Parameter im Kontext der Compliance unerlässlich – und auch für sichere IT-Umgebungen ganz allgemein erforderlich.
Auch die Festlegung einer ECL (Execution Control List) über das entsprechende Register und von Festlegungen für die öffentlichen Schlüssel sollten in dieser Richtlinie vorgenommen werden. Soweit mit den Registration-Richtlinien gearbeitet wird, sollten dort auch die Vorgaben für Mailsysteme und generell sicherheitsrelevante Einstellungen gesetzt werden.
Deutlich wird, dass man durch Nutzung der Richtlinien von Notes/Domino die System- und insbesondere Sicherheitskonfiguration der Notes- Clients in beachtlichem Umfang vereinheitlichen kann. Die steigenden Compliance-Anforderungen sind daher ein Argument mehr, um diesen administrativen Ansatz in den eigenen Netzwerken umzusetzen.