Enterprise Rights Management

Mit sicheren Schritten in die Cloud

08.08.2011
Von Dror-John Röcher und Jan-Frank Müller

Bekanntschaft mit der eigenen IT schließen

Bevor eine effiziente Security-Strategie von einem Provider eingefordert wird, sollten Cloud-interessierte Unternehmen vor der eigenen Haustür kehren. Sie müssen sich einen Überblick über die eigenen Daten und Anwendungen, deren Verteilung im Unternehmen, den Compliance- und Schutzanforderungen verschaffen. Data Discovery und Klassifizierung von Daten unter Storage- und Sicherheitsaspekten können Methoden sein, die, systematisch und umfassend umgesetzt, den notwendigen Überblick verschaffen. Aus den gewonnenen Erkenntnissen lässt sich ableiten, welche Daten oder Applikationen unter welchen Voraussetzungen Public-Cloud-tauglich sind, und welche innerhalb der eigenen Umgebung bleiben sollten.

Ein weiterer wichtiger Aspekt der Sicherheit von Cloud-Diensten ist das Identity & Access Management sowohl in Bezug auf den Kunden als auch auf den Anbieter. Der Provider sollte seinen Kunden transparent darstellen können, welche Mitarbeiterrolle welche Zugriffsmöglichkeiten hat, und welche Maßnahmen gegen unberechtigten Zugriff der Provider-Mitarbeiter eingesetzt werden. Aus Kundensicht ist eine Integration der Cloud-Dienste in das unternehmenseigene Benutzerverzeichnis wünschenswert, um zentral steuern zu können, welche Nutzer welche Zugriffsrechte auf welche Applikationen haben. Das User-Lifecycle-Management wird durch die Verlagerung von Unternehmensapplikationen in öffentlich erreichbare Infrastrukturen noch wichtiger, da ein Benutzer nach Ausscheiden aus dem Unternehmen weiterhin Zugriff auf die öffentlich bereitgestellten Applikationen und Daten hat, bis ihm die Berechtigungen explizit entzogen werden.

An dieser Stelle setzen auch aktuelle Enterprise-Rights-Management (ERM)-Werkzeuge an. Sie schützen die eigentlichen Daten und zwar unabhängig vom Speicherort, dem zugrundeliegenden Dateisystem, der verarbeitenden Applikation oder dem Transportweg. Dazu werden die Informationen in eine Art Schutzhülle verpackt, die den Zugriff auf den Inhalt erst nach erfolgreicher Authentifizierung und Autorisierung gegen das unternehmenseigene Benutzerverzeichnis ermöglicht. Auch die Art des Zugriffsrechts kann detailliert definiert werden, sodass das Drucken, Speichern oder Verändern der Dateien unmöglich ist. Diese Einschränkungen können auch nachträglich definiert werden, das heißt, die initiale zentrale Berechtigung kann jederzeit geändert oder widerrufen werden. Bei jeder Anfrage werden die aktuell gültigen Berechtigungen abgefragt und umgesetzt. So kann ausgeschiedenen Mitarbeitern der Zugang zu Datenkopien verwehrt werden um Datenabfluss zu minimieren.

Letztendlich sollte das Ziel eine ubiquitäre, informationszentrierte und standardisierte Verschlüsselung aller Informationen sein. Ob es erreicht wird, hängt entscheidend von der Kooperation der Security-Hersteller ab. Nach heutigem Verständnis ist ERM integraler Bestandteil der jeweiligen Anwendung oder Anwendungsgruppe, etwa MS Office 2010 in Verbindung mit Sharepoint 2010 und einem Windows 2008 ActiveDirectory. Beim Cloud-Computing sind klassische Dokumente in Dateiform aber nur einer von vielen Informationsträgern. Um Informationen nach dem ERM-Prinzip auch in Cloud-Umgebungen verschlüsseln zu können, muss der Informationsbegriff massiv erweitert werden zum Beispiel auf Festplattenimages in Amazons EC2-Infrastruktur oder auf Datensätze in Salesforce.com-Formularen.