Information Rights Management

Daten besser vor Spionage schützen

Jürgen Engel ist Senior Consultant mit Schwerpunkt Sicherheits-Management und Information Rights Management bei der Secaron AG. Die Secaron AG hilft sowohl bei der Umsetzung organisatorischer als auch technischer Maßnahmen, um die Geschäftsprozesse sicher ablaufen zu lassen.
Trotz Schutzmaßnahmen der IT wird durch Spionage in Unternehmen großer Schaden angerichtet. Über herkömmliche Security-Tools hinaus bietet Information-Rights-Management (IRM) die Möglichkeit, die Sicherheit kritischer Firmendaten deutlich zu erhöhen. IRM arbeitet dabei mit Verschlüsselung und der gezielten Vergabe von Benutzerrechten, wie am Beispiel der Active Directory Rights Management Services von Microsoft gezeigt wird.

Wurde Ihr Unternehmen schon einmal Opfer gezielter Spionageversuche? Oder geriet vertrauliche Information durch versehentliches oder absichtliches Fehlverhalten von Mitarbeitern oder Geschäftspartnern in falsche Hände? Welche Folgen hätte das für Sie und Ihr Unternehmen? Einer Studie von Corporate Trust1 zufolge waren über 20 Prozent der befragten deutschen Unternehmen bereits von Spionagevorfällen betroffen.

Nimmt man die Zahl der nicht weiter konkretisierten oder nicht eindeutig nachweisbaren Fälle hinzu, so beläuft sich der Anteil auf über 54 Prozent. Mit einem Schadensanteil von knapp 25 Prozent sind hauptsächlich mittelständische Unternehmen Opfer solcher Machenschaften. In weit mehr als der Hälfte aller Fälle kommen die Täter aus der eigenen Belegschaft. Der Gesamtschaden wird auf 4,2 Milliarden Euro beziffert. Nicht zuletzt durch die zunehmende Globalisierung wird sich die Gesamtsituation in den kommenden Jahren noch verschärfen. Es ist also angebracht, die verfügbaren Schutzmaßnahmen etwas genauer zu betrachten.

Seit einiger Zeit werden im Markt Lösungen zum Schutz von Informationen auf der Basis von Dateien unter verschiedenen Bezeichnungen wie Information-Rights-Management (IRM), Digital-Rights-Management (DRM), Enterprise-Rights-Management (ERM) oder Enterprise-Digital-Rights Management (E-DRM) angeboten. Da sie sich in ihrer Funktion und den zugrunde liegenden Mechanismen stark ähneln, werden sie im Folgenden gemeinschaftlich als IRM bezeichnet. Diese Technik hat das Potenzial, einen signifikanten Beitrag zum verbesserten Schutz sensibler Informationen zu leisten.

Natürlich sind schon mehr oder weniger komplexe technische Schutzvorkehrungen im Einsatz. Hierzu zählen unter anderem ausgefeilte Berechtigungskonzepte in Anwendungen oder Dateiverzeichnissen, Überwachung von Schnittstellen, Verschlüsselung auf Datei- oder Device-Ebene sowie sichere Übertragungsprotokolle auf den verschiedenen Netzwerkschichten wie beispielsweise Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Nicht zu vergessen sind auch die organisatorischen Maßnahmen wie zum Beispiel Verhaltensrichtlinien oder Schulungsprogramme für Mitarbeiter zur Informationssicherheit.

Sicherheit der Geschäftsprozesse ist gefährdet

Und dennoch kommt die eingangs zitierte Studie zu diesen äußerst bedenklichen Ergebnissen. Zum einen mag das daran liegen, dass möglicherweise die genannten Schutzvorkehrungen noch effektiver eingesetzt und überwacht werden könnten. Andererseits besitzen sie systembedingt aber auch Grenzen, werden mit zunehmender Effizienz unverhältnismäßig komplex oder decken die Sicherheitsbedürfnisse nicht über den vollständigen Verlauf der Geschäftsprozesse ab, wie folgende Beispiele zeigen:

  • Kontrollverlust durch Vernetzung: Die Überwachung aller Schnittstellen und Kommunikationskanäle ist sehr aufwendig oder praktisch nicht möglich. Es gibt unzählige bekannte und gegebenenfalls auch nicht berücksichtigte Verbreitungswege für Informationen.

  • Kontrollverlust außerhalb der Reichweite der Schutzmaßnahme: Auch wenn Informationen verschlüsselt übertragen wurden, verlieren sie beim autorisierten Zugriff ihren (technischen) Schutz vollständig. Ist beispielsweise eine Datei erst einmal entschlüsselt, so hat der Anwender vollen Zugriff auf die Inhalte und kann diese beliebig weitergeben, ändern oder löschen.

  • Komplexitätsproblem bei der Datenfilterung: Filter in Lösungen zur Data Leakage Prevention (DLP) müssen komplexe Analysen von Daten in verschiedensten Sprachen und Dateiformaten (beispielsweise Text- oder Binärformate) durchführen. Ein vollständiger Schutz ist nur theoretisch erreichbar.

  • Fehlhandlungen von Benutzern: Informationen können unabsichtlich oder vorsätzlich weitergegeben werden. Unbeabsichtigtes Fehlverhalten wird oftmals noch durch Usability-Probleme in den technischen Lösungen begünstigt.

IRM verschlüsselt Dateien und steuert Berechtigungen

Genau an diesen Stellen setzt IRM an. Es wird die Strategie verfolgt, die Schutzvorkehrungen möglichst nahe am eigentlich zu schützenden Objekt, also der zu schützenden Information, zu platzieren. Konkret bedeutet dies, dass eine Verschlüsselung auf Basis von Dateien erfolgt, die somit unabhängig vom verwendeten Speicher- oder Transportmedium ist. Zudem können detaillierte Berechtigungen für die weitere Verwendung der enthaltenen Informationen vergeben werden. Hierzu zählen die klassischen Rechte zum Lesen und Ändern von Inhalten sowie die Möglichkeit, das Ausdrucken, das Kopieren markierter Bereiche in die Zwischenablage (Copy-and-Paste-Funktion), das Speichern und die Konvertierung in andere Dateiformate zu unterbinden.

Die Besonderheit ist hierbei, dass die Rechteerteilung zeitlich befristet erfolgen kann und sogar ein nachträglicher Entzug von Berechtigungen grundsätzlich möglich ist. Zum einen ermöglicht dies beispielsweise, externen Mitarbeitern die Zugriffsrechte für vertrauliche Dateiinhalte nur für eine gewisse Projektphase zu erteilen. Nach Ablauf der Frist kann die betreffende Person nicht mehr zugreifen, obwohl sie immer noch im Besitz der Datei ist. Zum anderen können im Fall der Störung eines bislang bestehenden Vertrauensverhältnisses, zum Beispiel wenn einem Mitarbeiter fristlos gekündigt wurde, nachträglich die Rechte entzogen werden, ohne dass man selbst auf die Datei zugreifen können muss.

Publishing und Consuming

IRM-Systeme können in der Regel so eingerichtet werden, dass die Bedienung durch die Benutzer einfach und intuitiv erfolgen kann und Bedienungsfehler weitgehend ausgeschlossen sind. Bei der Verwendung von IRM wird zwischen zwei grundsätzlichen Vorgängen unterschieden:

  • der Erzeugung geschützter Dateien, auch Publizieren (Publishing) genannt, und

  • dem Zugriff beziehungsweise der Verwendung dieser Dateien, dem sogenannten Konsumieren (Consuming).

Wie bereits erwähnt sind im Markt IRM-Produkte verschiedener Hersteller verfügbar. Teilweise handelt es sich dabei um vollständige Client-Server-Lösungen und andernteils um Erweiterungen für diese Systeme, beispielsweise zur Unterstützung weiterer Dateitypen wie des Portable Document Format (PDF).

Active Directory Rights Management Services von Microsoft

Eine der populärsten IRM-Lösungen sind derzeit die Active Directory Rights Management Services (AD RMS) von Microsoft (MS), anhand derer die technische Funktionsweise nun etwas detaillierter aufgezeigt wird. Wie der Name bereits ausdrückt, ist für den Betrieb eine Active-Directory-(AD)-Umgebung zwingend erforderlich. Zusätzlich werden ein AD RMS Server und AD RMS Clients benötigt. Der AD RMS Server ist als Server-Rolle ab Windows Server 2008 verfügbar, der Client ist im Lieferumfang ab Windows 7 enthalten. Für Windows XP ist er separat erhältlich und muss auf den entsprechenden Arbeitsstationen nachinstalliert werden. Die benötigte Verschlüsselungsinfrastruktur ist bereits vollständig integriert, was bedeutet, dass keine weiteren Komponenten wie beispielsweise eine Public Key Infrastructure (PKI) vorausgesetzt werden. Unterstützt werden die Dateitypen von MS Office, es können also Word-, Excel- und Powerpoint-Dateien entsprechend geschützt werden. Zusätzlich lässt sich IRM auch für E-Mails (Outlook) und die Verwendung mit Sharepoint konfigurieren. Die entsprechenden Anwendungen müssen also vorhanden sein.

Das Publizieren geschützter Dateien erfolgt direkt aus der jeweiligen Office-Anwendung heraus. Mittels des AD-RMS-Clients wird transparent für den Benutzer der entsprechende Dateiinhalt mit dem symmetrischen Verfahren Advanced Encryption Standard (AES) verschlüsselt. Unter anderem werden der hierbei verwendete Schlüssel und die vergebenen Berechtigungsinformationen anhand des RSA-Verfahrens (Rivest, Shamir, Adleman) asymmetrisch mit dem öffentlichen Teil des AD-RMS-Server-Schlüssels verschlüsselt und in einer sogenannten Publishing License (PL) zusammengefasst. Diese PL und die AES-verschlüsselten Inhalte ergeben zusammen die geschützte Office-Datei. Aktuell werden AES-256 und RSA-2048 unterstützt.

Drei Methoden für Benutzerrechte

Für die Vergabe von Berechtigungen gibt es grundsätzlich drei Möglichkeiten. Erstens können die Rechte durch den Benutzer direkt im Dokument mit Hilfe der entsprechenden Office-Anwendung definiert und zugewiesen werden. Hierbei bleibt die Verantwortung für die Korrektheit vollständig beim User, was diesem zwar die maximale Freiheit bei der Rechtevergabe lässt, aber auch mehr Risiko der Fehleranfälligkeit birgt. Zweitens gibt es die Möglichkeit, die Berechtigungen anhand von im AD verwalteten Verteilerlisten zu spezifizieren. Es erfolgt dann lediglich die Auswahl einer solchen Liste, ähnlich der Verwendung von Verteilern beim Versenden von E-Mails, und die anschließende Festlegung der Rechte. Drittens können Berechtigungen in Form von Templates von dafür autorisierten Benutzern vordefiniert werden. Der publizierende User wählt in diesem Fall nur noch eines der vorgegebenen Templates aus.

Beim Konsumieren der Datei stellt die betreffende Office-Anwendung zunächst fest, dass ein IRM-Schutz besteht, und gibt sie an den AD-RMS-Client weiter. Dieser extrahiert die PL und sendet sie an den AD-RMS-Server. Dort wird die PL entschlüsselt und nach erfolgreichen Überprüfungen eine sogenannte Use License (UL) erzeugt. Diese enthält im Wesentlichen die Zugriffsberechtigungen für die zu konsumierende Datei und den zur Entschlüsselung der Inhalte benötigten AES-Schlüssel. Beides ist mit dem öffentlichen Schlüssel des anfragenden Benutzers RSA-verschlüsselt.

Dann wird die UL zurück an der AD-RMS-Client gesendet. Dieser entschlüsselt die erhaltene Information und anschließend den Dateiinhalt. Die Office-Anwendung öffnet die Datei, wertet die für den Benutzer vergebenen Rechte aus und verhält sich entsprechend diesen Vorgaben. Um den Anforderungen des mobilen Arbeitens gerecht zu werden, kann das System so konfiguriert werden, dass nicht bei jedem Öffnen der Dateien eine Verbindung zum AD-RMS-Server aufgebaut werden muss (Offline-Funktion). Die wesentlichen Funktionsmerkmale bleiben dabei zwar erhalten, aber es ergeben sich dennoch Einschränkungen. So wird beispielsweise der Entzug von Berechtigungen nicht unmittelbar wirksam.

An diesem Punkt werden nun die Anforderungen an die betreffenden Benutzeranwendungen klar. Diese müssen mit IRM-geschützten Dateien umgehen und mit dem AD-RMS-Client kommunizieren können. Für das Publizieren sind entsprechende Benutzerdialoge für die Aktivierung der IRM-Funktionalität und die eigentliche Berechtigungsvergabe bereitzuhalten. Beim Konsumieren müssen zudem die definierten Rechte in der Benutzerschnittstelle durchgesetzt werden. Dies kann auf verschiedene Arten erfolgen. Im einfachsten Fall erhält der User eine Fehlermeldung, wenn er eine Aktion durchführen will, für die er keine Berechtigung besitzt. Deutlich benutzerfreundlicher sind Lösungen, bei denen die entsprechenden Interaktionselemente deaktiviert werden.

Fehlende IRM-Standards erhöhen Entwicklungsaufwand

Sofern andere als MS-Office-Applikationen verwendet werden sollen, entsteht beim Einsatz von IRM, falls überhaupt möglich, im Regelfall Entwicklungsaufwand für die Anpassung der Benutzeranwendungen. Die dafür anfallenden Kosten sollten stets in Relation zum erzielten Nutzen betrachtet werden. Unschön ist hierbei auch der Umstand, dass aufgrund derzeit fehlender Standardisierung eine herstellerübergreifende IRM-Unterstützung die Entwicklungsaufwände weiter erhöht. Gegebenenfalls kann auf bereits vorbereitete Produkte zurückgegriffen werden. Beispielsweise bietet Gigatrust ein AD-RMS-fähiges Plug-in für den Adobe Reader an, und auch der Foxit Reader unterstützt AD RMS. Andererseits ist es aber nicht ohne Weiteres möglich, eine mit MS Office publizierte Datei mit OpenOffice zu konsumieren.

Benutzerverwaltung im Active Directory

Eine weitere Herausforderung stellt unter Umständen die Bedingung dar, dass alle teilnehmenden Benutzer im AD verwaltet werden müssen. Sollen beispielsweise externe Mitarbeiter in das IRM einbezogen werden, können diese entweder im internen AD verwaltet werden, oder es müssen Active Directory Federation Services (ADFS) oder anderweitige Trusts implementiert werden. Das erfordert allerdings meist nicht nur technische, sondern auch strategische und organisatorische Entscheidungen.

Fazit

Zusammenfassend lässt sich sagen, dass IRM nicht als Ersatz der eingangs genannten klassischen Schutzmethoden gesehen werden sollte. Es kann aber im Zusammenspiel mit diesen die Sicherheit von Unternehmensinformationen durch das Schließen weiterer Sicherheitslücken deutlich erhöhen. Grundvoraussetzung ist das Bewusstsein über die vorhandenen Informationswerte und deren Klassifikation hinsichtlich ihres Schutzbedarfs. Es ergibt wenig Sinn, pauschal alle Dateien mit IRM zu schützen. Klar ist auch, dass der erzielte Schutz seine Grenzen hat. Natürlich besteht immer die Möglichkeit, Bildschirminhalte abzufotografieren oder Bildschirmwerkzeuge zu verwenden, die Screenshots aufgrund von direkt aus der Grafikkarte ausgelesenen Daten erzeugen. Die Hürden für unabsichtlichen oder vorsätzlichen Missbrauch von Informationen werden aber vergleichsweise deutlich erhöht. (pg)