Wer Kundendaten oder Forschungsergebnisse via E-Mail oder Groupware verschickt, moechte sicher sein koennen, dass kein Unbefugter Zugriff darauf hat - besonders dann, wenn er Unternehmensgrenzen ueberschreitet. Die Gefahren, die im World Wide Web (WWW) auf unschuldige Datenpakete lauern, sind hinlaenglich bekannt. Ein gewisses Mass an Sicherheit bieten hier die "Firewalls", Clearing-Stellen fuer alle Informationen, die aus dem Unternehmen herausgehen oder in es hineingelangen sollen.

Die wichtigste Frage in diesem Zusammenhang: Lassen sich die uebermittelten oder zu uebermittelnden Daten und Dokumente zweifelsfrei einem bestimmten Absender beziehungsweise Empfaenger zuordnen? Wo das WWW bislang nur mit vagem Schulterzucken antworten darf, schreit Notes ein lautes Ja heraus. Ein in das Produkt integriertes "Name and Address Book" gleicht alle registrierten Benutzer-IDs und deren Verschluesselungscodes miteinander ab, so dass - zumindest theoretisch - jede Nachricht nur vom jeweiligen Empfaenger geoeffnet und gelesen werden kann.

Dazu Alex Morrow, General Manager Architecture and Technology beim Notes-Anbieter Lotus Development Corp. mit Sitz in Cambridge, Massachusetts: "Das funktioniert so aehnlich wie bei einem Banksafe. Ich brauche einen Schluessel, um etwas hineinzustellen, und die Gegenseite braucht einen Schluessel, um es wieder herauszunehmen. Die Partei, die es entgegennimmt, ist sicher, dass ich es hineingetan habe, weil ich der einzige bin, der den Schluessel zu diesem Fach hat."

<H4>Falsche Identitaet liefert den Schluessel</H4>

Gespeichert ist dieser Schluessel auf der Festplatte des PCs, ausgewickelt und in das Schluesselloch gesteckt wird er nach Eingabe des jeweiligen Passworts.

Ein 30koepfiges Unternehmen aus Hannover hat sich nun darangemacht, diese Sicherheitsfunktionen als blosse Augenwischerei zu enttarnen. Mit Hilfe eines Trojanischen Pferdes ist es ein leichtes, so beteuert Dirk Nordmeier, Geschaeftsfuehrer der Information Management Gesellschaft mbH (IMG), den persoenlichen Verschluesselungscode eines Notes-Anwenders zu imitieren und quasi dessen Identitaet anzunehmen. Besonders schaedlich kann sich das auswirken, wenn diese neue Identitaet die eines Administrators mit allen ihm eigenen Zugriffsrechten ist.

Der Trick funktioniert offenbar folgendermassen: Im Schlepptau einer harmlos erscheinenden Mail-Botschaft wird ein ausfuehrbares Programm in den PC des Opfers geschleust. Dieses Programm lauert nun darauf, dass sich der Anwender das naechste Mal beim Notes- Server anmeldet und sein Passwort erneut eingibt. In diesem Augenblick zapft der Eindringling den Tastaturpuffer an, nimmt das Passwort entgegen, leitet es um und schickt es - im Windschatten eines Notes-Dokuments - zurueck an den Absender, der sich auf diese Weise den persoenlichen Schluessel des jeweiligen Users, also dessen Zugriffsberechtigungen, aneignet.

Wer in einer Notes-Umgebung eine fremde Identitaet angenommen hat, kann wiederum auf das Adressbuch der imitierten Person zugreifen und sich auf diese Weise an andere Opfer heranmachen. Wenn jemand das oft genug getan hat, laesst sich seine Spur nur noch schwer zurueckverfolgen. "Sie muessen unter Umstaenden Log-Protokolle von Monaten lesen, bis Sie den Ursprung kennen", prophezeit IMG- Geschaeftsfuehrer Nordmeier den betroffenen Firmen.

Die Moeglichkeit, das Passwort mit einem eingeschleusten Programm auszuspaehen, ist im Hause Lotus offenbar schon seit langem bekannt. Allerdings versucht das Software-Unternehmen seine Kritiker mit der Feststellung auszukontern, dass das Leck nicht bei der Groupware, sondern bei den Betriebssystemen zu suchen sei. Andere Mail- und Messaging-Systeme, darunter auch das von Microsoft angekuendigte "Exchange", haetten mit denselben Unwaegbarkeiten zu rechnen.

Nordmeier will diese Tatsache nicht in Abrede stellen, verweist aber auf die besondere Bedeutung, die viele Unternehmen ihren Notes-Installationen eingeraeumt haben: "Notes ist ein Programm, das hochsensible Daten handhabt - im Prinzip ein optimales Instrument dafuer. Deshalb wird das Ganze im Zusammenhang mit Notes sehr brisant."

Da IMG unter anderem davon lebt, Notes-Anwendungen zu erstellen und die Groupware beim Kunden zu installieren, draengt sich die Frage auf, warum Nordmeier mit seiner Entdeckung nicht erst einmal beim Software-Anbieter vorstellig geworden ist. Seiner Darstellung zufolge hat er genau das bereits getan - vor etwa einem halben Jahr und mit wenig Erfolg. "Schliesslich kam jemand aus den USA zu uns", erzaehlt der Hannoveraner. "Aber der fragte uns nur, ob wir die ID knacken. Der Rest sei nicht sein Problem."

Wie Lotus bestaetigt, hat Nordmeier der IBM-Tochter damals angeboten, ihr bei der Beseitigung dieses Sicherheitsrisikos behilflich zu sein. Aber Lotus ist offenbar nicht zu einer Zusammenarbeit bereit gewesen. Allein koenne er jedoch wenig ausrichten, klagt Nordmeier. Denn der Notes-Quellcode duerfe aus rechtlichen Gruenden nicht veraendert werden.

"Da sind wir eben diesen Weg gegangen", konstatiert der IMG- Geschaeftsfuehrer mit Blick auf die Veroeffentlichung im "Spiegel". Wie der Loesungsvorschlag aussieht, den er Lotus unterbreitet hat, will der Software-Unternehmer allerdings nicht verraten.

Lotus hingegen hat - offenbar auf Druck der verschreckten Kunden - Plaene fuer weitere Sicherheitsvorkehrungen vorgelegt. Die Tastaturpuffer von Windows oder OS/2 zu aendern sei Sache des jeweiligen Betriebssystem-Lieferanten. Mit denen stehe man in Gespraechen. Der deutsche Lotus-Geschaeftsfuehrer Gerhard Rumpff hingegen schlaegt vor, dass die Keyboard-Hersteller einen Chip integrieren sollten, der jede Tastatureingabe zwischen Tastatur und Betriebssystem codiert. Das ist bislang jedoch reine Zukunftsmusik.

Lotus setzt deshalb an einer anderen Stelle an - dort, wo Programmcode unbemerkt auf dem Client-Rechner zum Ablauf kommen kann. Bereits in der derzeit aktuellen Notes-Version 4.0 ist es moeglich, jeglichen ausfuehrbaren Code abzublocken.

Allerdings schraenkt der Anwender, der von dieser Moeglichkeit Gebrauch macht, die Funktionalitaet der Notes-Software ein. Dessen ist sich auch der Lotus-Manager Morrow bewusst: "Notes ist ein Groupware-System, und ein Grossteil seines Wertes kommt daher, dass Sie damit ein Programm schreiben koennen, das beispielsweise einen Workflow kontrolliert."

Auch Birgit Kasten, Geschaeftsfuehrerin der auf Notes-Installationen spezialisierten Kasten Consulting GmbH, Leverkusen, bezweifelt den Sinn solcher Radikalmassnahmen: "Unsere Kunden wollen sogar, dass wir ihnen Host-Transaktionen von Notes aus oeffnen", berichtet sie. Gerade in der Integration mit bereits bestehenden Applikationen liege "die hohe Kunst" des Notes-Einsatzes. Das Fazit der Spezialistin: "Natuerlich koennen Sie alles verhindern, aber dann koennen Sie auch nichts machen."

Folglich arbeitet Lotus an einer weniger restriktiven Loesung. "Wir werden es ermoeglichen, zu bestimmen, welche Programme zum Ablauf gebracht werden und welche nicht", verspricht Morrow. Schon im naechsten Notes-Release 4.1 - derzeit im Betatest - sei eine Funktion enthalten, die anzeigt, ob eine Message ausfuehrbaren Code enthaelt und gegebenenfalls nachfragt, ob das Programm gestartet werden soll. Fuer die in der zweiten Jahreshaelfte erwartete Version 4.2 soll diese Funktionalitaet noch verfeinert werden.

Dieser Sicherheitsmechanismus duerfte allerdings nur so lange funktionieren, wie ein potentieller Eindringling nicht bereits eine dem Opfer vertraute Identitaet angenommen hat. Deshalb empfehlen die Informations-Manager in den Anwenderunternehmen den Usern dringend, ihre Passwoerter moeglichst haeufig zu wechseln. Auf diese Weise koenne sich ein unberechtigter Benutzer wenigstens nur fuer begrenzte Zeit unter falscher Identitaet im Notes-Netz tummeln.

Alternativ oder gleichzeitig haben die Anwender sich bereits aus eigenem Antrieb gegen ungebetene Gaeste abgeschirmt. Das heisst: Dokumente mit angehaengten Templates oder Programmen werden von der Administration vielerorts bereits abgefangen und zunaechst einmal eingehend untersucht beziehungsweise ueberhaupt nicht an die Empfaenger ausgeliefert.

Berater wie Birgit Kasten bestaetigen, dass die Notes-Klientel sehr sensibel auf jeden Zweifel an der Sicherheit des Systems reagiert. Doch die befragten Anwender - von der Deutschen Bank ueber die Deutsche Babcock bis zur Daimler-Benz AG - sind sich einig, dass die derzeit so heiss diskutierten Einbruchsmoeglichkeiten keineswegs Notes-typisch seien. "Ich moechte dieses Problem schon ernst nehmen", fasst einer von ihnen die vorherrschende Meinung zusammen. "Aber die Alternativen sind alle viel schlechter. Ein hundert Prozent sicheres System wird es nie geben."

Kurz & buendig

Sicherheitsmaengel beim Einsatz von "Lotus Notes" - bei diesem Thema schrillen in zahlreichen Unternehmen die Alarmglocken. Die Anwenderliste des Groupware-Produkts liest sich mittlerweile wie ein Who is who der internationalen Wirtschaft. Und nachdem sich das Produkt in kleinen, unkritischen Applikationen bewaehrt hat, planen viele Unternehmen, auch geschaeftsrelevante Anwendungen in eine Notes-Umgebung einzubetten. Eine Veroeffentlichung im Nachrichtenmagazin "Der Spiegel" hat die Diskussion um die Risiken dieser Entscheidung neu belebt. Doch erfahrene Notes-Anwender waren sich der Gefahren eines offenen Kommunikationssystems vorher schon bewusst und haben entsprechende Vorsichtsmassnahmen getroffen.