Das Dokument behandelt Sicherheitsmanagement und IT-Service-Management im Kontext von IBM Lotus Notes Domino, einschließlich Zugriffskontrolle, Service-Level-Agreements und den entsprechenden Prozessen. Es werden wichtige Begriffe wie Utility, Warranty und Key Performance Indicators definiert, und die Bedeutung der Kommunikation zur Vermeidung von Sicherheitsrisiken betont. Zudem gibt es Informationen zu den Verantwortlichkeiten innerhalb des Datenschutzes in Deutschland und der EU.

1. 1 / 56
Domino Security mit ITIL
Christian Habermüller
http://news.fuer-IT-Profis.de

2. 2 / 56
Datei-System
Domino-Server
Domino-Client
Domino-Applikation
Betriebs-System
Netzwerk

3. 3 / 56
Schematischer Aufbau einer Domino-
Applikation

4. 4 / 56
Gestaltung Dokumente
Zugriff

5. 5 / 56
Zugriffssteuerung der Domino-Applikation

6. 6 / 56
Gestaltung Dokumente
Zugriff
Gestaltung
verbergen
Autorfeld
Zugriffs-
kontrollliste
Leserfeld
Zugriffs-
kontrollliste

7. 7 / 56
Webseiten
• IBM Lotus Notes Domino Fix List
– www-10.lotus.com/ldd/r5fixlist.nsf
• IBM Lotus Notes Domino 8.5.1 Fix Packs
– www-01.ibm.com/support/docview.wss?
rs=899&uid=swg24025721
• Featured documents for IBM Lotus Notes,
Domino, and iNotes
– www-01.ibm.com/support/docview.wss?
rs=475&uid=swg27017389

8. 8 / 56
Unterschiede in der Sicherheitsbetrachtung

9. 9 / 56
Domino-Administrator
Verwendet ein vorgegebenes Zugriffskonzept !

10. 10 / 56
Domino-Entwickler
Entwickelt pro Applikation ein vollkommen
neues Zugriffskonzept !

11. 11 / 56
Das Sicherheitsdilemma:
Sicherheits(selbst)verständnis
und
Kommunikation !

12. 12 / 56
Missverstandenes, schlechtes oder gar
fehlendes Sicherheits(selbst)verständnis sowie
eine eben solche Kommunikation stellt ein sehr
großes Sicherheitsrisiko dar !

13. 13 / 56
Steuern der Sicherheit
• Richtlinien
– Gesamtziele einer Organisation
• Prozesse
• Vorgehensweise
• Arbeitsanweisungen

14. 14 / 56
Was ist ITIL ?
• IT Infrastructure Library
– Internationaler de facto Standard im IT-Service
Management
• Unabhängige Betrachtung von IT-
Serviceleistungen
– Herstellerunabhängig
– nicht verbindlich
– aber genormt durch ISO/IEC 20000
• Security Management genormt durch
ISO/IEC 27001

15. 15 / 56
Definition Service
Ein Service erbringt für einen Kunden einen
Mehrwert, indem er die Kundenziele
unterstützt, verbessert oder überhaupt erst
ermöglicht.
Dabei muss der Kunden selbst keine
Verantwortung für bestimmte Kosten und
Risiken tragen !

16. 16 / 56
Service aus zwei Perspektiven
betrachtet
• IT-Perspektive
• Versprechen, was
geht
– Stabilität
– Qualität
– Reaktives Handeln
• Geschäfts-Perspekt'
• Liefern, was
gebraucht wird
– Reaktionsfreudigkeit
– Kosten
– Proaktives Handeln

17. 17 / 56
Shewhart Deming Cycle
Plan
DoCheck
Act

18. 18 / 56
Requirements
ImplementationMonitoring
SLAReporting
AnalysisImprovment

19. 19 / 56
Definition Service Level
Agreement
Ein Service Level Agreement ist
eine Vereinbarung zwischen einem
Service Provider und einem Kunden. Das SLA
beschreibt den jeweiligen Service,
dokumentiert Service Level Targets und legt
die Verantwortlichkeiten des
Service Providers und des Kunden fest.
Man unterscheidet zwischen
Service basiertem und Kunden basiertem SLA.

20. 20 / 56
Definition Service Level Target
Ein Service Level Target ist eine
Verpflichtung, die in einem
Service Level Agreement dokumentiert ist.
Service Level Targets basieren auf
Service Level Requirements und sollen die
Zweckmäßigkeit eines Service sicherstellen.
Service Level Targets sollten SMART sein und
basieren in der Regel auf KPIs.

21. 21 / 56
Definition SMART
• S-pecific
– Genau & präzise
• M-easurable
– Messbar
• A-ttainable
– Erreichbar
• R-elevant
– Aussagekräftig
• T-imly

22. 22 / 56
Definition Service Level
Requirement
Ein Service Level Requirement ist eine
Kundenanforderung für einen einzelnen
Aspekt eines Service.
SLRs basieren auf Business-Zielen und werden
zur Aushandlung vereinbarter
Service Level Targets eingesetzt.

23. 23 / 56
Definition Service Level Package
Ein Service Level Package ist der festgelegte
Grad an Utility und Warranty für ein
bestimmtes Service Package.
Jedes SLP ist darauf ausgerichtet, den
Anforderungen eines bestimmten
Business-Aktivitätsmusters gerecht zu
werden.

24. 24 / 56
Definition Utility
Utility ist eine Funktionalität, die von einem
Produkt oder Service angeboten wird, um
einem bestimmten Bedürfnis gerecht zu
werden.
Utility bezeichnet das, was ein Produkt oder
Service tut.

25. 25 / 56
Definition Warranty
Warranty ist eine Zusage oder Garantie, dass
ein Produkt oder Service den vereinbarten
Anforderungen entspricht.
Warranty bewertet wie gut ein Produkt oder
Service etwas tut.

26. 26 / 56
Der Securtity Management Process basiert auf
SLAs mit KPIs.
Nur so ist es möglich, einen Aufschluss über
mögliche Abweichungen zu erkennen und
entgegen zu wirken.

27. 27 / 56
Definition Key Performance
Indicator
Ein Key Performance Indicator ist eine als
bedeutsam definierte Messgröße, die einen
Process, einen Service oder eine Aktivität
bewertet.
Bei der Auswahl der KPIs sollte die
Sicherstellung von Effizienz, Effektivität und
Rentabilität im Vordergrund stehen.

28. 28 / 56
Effizienz, Effektivität und
Rentabilität
• Effizienz
– Ressourcensparender Einsatz
• Effektivität
– Grad der Leistungsfähigkeit
• Rentabilität
– Grad der Wirtschaftlichkeit

29. 29 / 56
Beispiele für KPIs
• Anzahl sicherheitsbezogener
Serviceanfragen
• Anzahl der Systemausfälle aufgrund von
Sicherheitsvorfällen
• Zeitspanne zwischen Entdeckung &
Behebung eines Sicherheitsvorfalls

30. 30 / 56
Prozesse & Funktionen
• Prozesse
– Security Mngmt
– Access Mngmt
– Availability Mngmt
• Funktionen
– Technical Mngmt
– Applications Mngmt
– IT Operations Mngmt

31. 31 / 56
Prozesse

32. 32 / 56
Definition Process
Ein Process ist ein strukturierter Satz von
Aktivitäten, der einen klar definierten Input
zu einem oder mehreren klar definierten
Outputs umwandelt.
Er beinhaltet beliebig viele Rollen,
Verantwortlichkeiten und Hilfsmittel und kann
Richtlinien, Standards, Leitlinien, Aktivitäten
und Arbeitsanweisungen definieren.

33. 33 / 56
Eine Rolle wird in einem Process definiert
und ist ein Satz von Verantwortlichkeiten,
Aktivitäten und Kompetenzen, die einem
Team oder einer Person zugewiesen sind.
Einer Person oder einem Team können mehrere
Rollen zugewiesen werden.
Definition Rolle

34. 34 / 56
Prozess Security Management

35. 35 / 56
Ziele in Security Management
• Wahrung von Anonymität & Privatsphäre
– Authentizität
• Echtheit & Glaubwürdigkeit der Herkunft
– Verbindlichkeit & Nachvollziehbarkeit
• Urheberangabe & Veränderungshistorie

36. 36 / 56
Begriffe in Security Management
• Confidentiality
• Vertraulichkeit
– Schutz vor nicht autorisiertem Zugriff
• Integrity
• Integrität
– Schutz vor unbemerkter Veränderung
• Availability
• Verfügbarkeit
– Schutz vor Ausfall

37. 37 / 56
Prozess Access Management

38. 38 / 56
Ziele in Access Management
• Steuern der Rechte & Zugriffe der
Anwender
– Ausführen von Richtlinien & Aktionen
• Aus dem Security Management
• Aus dem Availability Management

39. 39 / 56
Begriffe in Access Management
• Access
– Umfang & Stufe des Service, zu deren Nutzung
der Anwender berechtigt ist
• Identity
– Eindeutige Kennung zur Identifikation des
Anwenders, d. h. der Person oder Rolle
• Authority
– Berechtigungen, die einer Identity gegeben
werden, um Access zu ermöglichen

40. 40 / 56
Funktionen

41. 41 / 56
Eine Function ist ein Team oder eine Gruppe
von Personen und deren Hilfsmittel, die
eingesetzt werden, um einen oder mehrere
Processes oder Aktivitäten durchzuführen.
Eine Function ist also eine Einheit einer
Organisation !
Definition Function

42. 42 / 56
Funktion Technical Management

43. 43 / 56
Ziele in Technical Management
• Stabile technische Infrastruktur
– Planung, Implementierung & Aufrechterhaltung
• Gut gestaltete technische Infarstruktur
– Kosteneffizient
– Hoch belastbar
– unverwüstlich
• Optimaler Betriebszustand
– Rasche Fehlerdiagnose & -lösung

44. 44 / 56
Funktion Applications Management

45. 45 / 56
Ziele Application Management
• Funktionierende, stabile & verwaltbare
Applikationen
– Anforderungen erkennen
– Design & Entwicklung unterstützen
– Fortlaufenden Support & Verbesserung liefern
– Rasche Fehlerdiagnose & -lösung
• Gut gestaltete Applikationen
– Kosteneffizient
– Features, die den Business Process wirklich
unterstützen

46. 46 / 56
Funktion IT Operations Management

47. 47 / 56
Ziele in IT Operations
Management
• Stabiler Betrieb des aktuellen Zustandes
– Betriebssteuerung & Anlagenwartung
• Überwachung der Ausführung von
Betriebsaktivitäten & Events
• Verwaltung der physischen IT-Umgebung
• Regelmäßige Untersuchungen
– Stabilität aufrecht erhalten
– Kosten senken
– Service verbessern
• Schnelle Diagnose & Lösung bei Störungen

48. 48 / 56
Überlappende Zuständigkeiten

49. 49 / 56
Applications
Management
Technical
Management
IT
Operations
Management

50. 50 / 56
Für den Datenschutz zuständige
BundesministerInnen
Stand Q3 2010
• Bundesinnenminister
– Thomas de Maizière (CDU)
• Bundesverbraucherministerin
– Ilse Aigner (CSU)
• Bundesjustizministerin
– Sabine Leutheusser-Schnarrenberger (FDP)

51. 51 / 56
Für den Datenschutz zuständige
Beauftragte
Stand Q3 2010
• Europäischer Datenschutzbeauftragter
– Peter Hustinx
• Bundesbeauftragter für den Datenschutz
und die Informationsfreiheit
– Peter Schnaar
• Landesbeauftragte für den Datenschutz
– Für NRW: Ulrich Lepper

52. 52 / 56
Webseiten
• Europäischer Datenschutzbeauftragter
– www.edps.europa.eu
• Bundesbeauftragter für den Datenschutz
und die Informationsfreiheit
– www.bsi.bund.de
• Bundesamt für Sicherheit in der
Informationstechnik
– www.bfdi.bund.de

53. 53 / 56
Das ist IBM Lotus Notes Domino!
(1/2)
• Teamfähige Kommunikations-Software
– Informationen werden nicht in Echtzeit
ausgetauscht
– Intra-/Internet-Fähig
• Hochsicherheitssystem
– Für sensible Daten
• Dezentral in der Datenhaltung
– Daten können verteilt werden, auch Off-Line

54. 54 / 56
Das ist IBM Lotus Notes Domino!
(2/2)
• Programmierbar
– IBM Lotus Notes Domino verfügt über 4
integrierte Programmierunterstützungen
• Formelsprache
• Lotus Script
• JavaScript
• Java
• Dokumentenorientiert
– Jeder Datensatz kann eine individuelle
Datenstruktur haben

55. 55 / 56
Diese Präsentation ist urheberrechtlich geschützt.
© 2010 Christian Habermüller – http://chabermu.wordpress.com
Alle Rechte vorbehalten.
Kein Teil dieser Präsentation darf ohne schriftliche Genehmigung
des Autors in irgendeiner Form durch
Fotokopie, Mikrofilm, Scannen, Download oder andere Verfahren
reproduziert, gespeichert, wiedergegeben oder verbreitet werden.
Insbesondere die Rechte der Wiedergabe durch Vortrag, Funk,
Fernsehen und Internet sind dem Autor vorbehalten.
Jede Zuwiderhandlung wird zivil- & strafrechtlich verfolgt.

56. 56 / 56
Diese Präsentation ist ausschließlich für den informativen Einsatzzweck gedacht und wird
als diese ohne jegliche Garantie oder Gewährleistung bereitgestellt.
Der Autor ist ausdrücklich nicht haftbar für mögliche Folgen oder mögliche Schäden, die
durch die Verwendung des bereitgestellten Materials entstehen können oder könnten.
Hinweise, Verweise oder Verknüpfungen bzw. Links in diesem Material unterliegen
ebenfalls diesem Haftungsausschluß und sind Eigentum des jeweiligen Rechteinhabers.
Die Rechte von geschützten Markennamen, Handelsmarken sowie alle weiteren Rechte
unterliegen dem jeweiligen Rechteinhaber und bzw. oder des Eigentümers derselben.