Digital Rights Management

DRM - Schutz oder Problem?

16.01.2014
Von  und
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.

Kann ich meine eigenen Dateien mit DRM schützen?

Eine Frage, die sich an dieser Stelle sicher auch einige kleinere Firmen stellen: Gibt es Möglichkeiten, meine eigenen Dokumente und Dateien selektiv vor Zugriffen zu schützen beziehungsweise sie nur mit bestimmten Eigenschaften bereitzustellen? Eine "einfache" Datei- oder Dokumentenverschlüsselung hilft hier schließlich nicht weiter.

Die Antwort: Ja. Es existiert eine große Zahl von Anbietern, die entsprechende Lösung bereitstellen - gerade wenn es um den Schutz von Dokumenten und hier vor allem um PDF-Dateien geht.

CopySafe für E-Books und Dokumente: Hersteller ArtistScope bietet unter dem Namen CopySafe Lösungen an, die es ermöglichen, relativ einfach eigene Dokumente und E-Books mit einem Schutz zu versehen. Der Service ist kostenpflichtig - nur die Autoren, die ihre E-Books direkt über den ArtistScope-Webshop vertreiben, zahlen nichts. Es ist möglich, sich zunächst einmal für einen Demo-Account anzumelden und so die Lösung kostenlos auszuprobieren. Dreh- und Angelpunkt der Software ist der sogenannte "CopySafe PDF Reader", der die via DRM geschützten Dokumenten mit den entsprechenden Beschränkungen darstellen kann. Die Anwendung ist einfach: Der Nutzer lädt ein Dokument in seinem Account auf die Seite und bekommt das verschlüsselte Dokument direkt zurück. Im Test funktionierte das einwandfrei, die Software installiert aber ungefragt ein Browser-Plug-in. Die Lösung wusste es anschließend sogar zuverlässig zu verhindern, dass Screenshots von den Seiten des Dokumentes gemacht wurden: In der Zwischenablage war nach einem Screenshot nur eine schwarze Seite zu finden.

Wie viele Anbieter von DRM-Lösungen ist auch der amerikanische Anbieter ArtistScope auf Vertrieb und Verkauf von E-Books spezialisiert und stellt die eigene Lösung Autoren zur Verfügung.
Wie viele Anbieter von DRM-Lösungen ist auch der amerikanische Anbieter ArtistScope auf Vertrieb und Verkauf von E-Books spezialisiert und stellt die eigene Lösung Autoren zur Verfügung.
Foto: Frank-Michael Schlede / Thomas Bär

Insgesamt ist CopySafe eine leicht einzusetzende Lösung, die es jedoch nur in englischer Sprache gibt - schließlich zielt sie in erster Linie auf die Publikation von Büchern auf dem amerikanischen Markt ab. Zudem ist der Einsatz eines solchen speziellen PDF-Readers auf Dauer eher lästig.

FileOpen arbeitet direkt mit Anwendungen zusammen: Auch das Angebot der Softwarefirma FileOpen Systems hat sich auf den Schutz von Dokumenten mittels DRM spezialisiert. Im Gegensatz zu CopySafe arbeitet die Lösung auch mit Standardanwendungen wie den PDF-Readern von Adobe und Nitro zusammen. Dazu müssen sich Anwender ein spezielles Plug-in herunterladen, das die Dateinutzung gemäß den vergebenen Rechten ermöglicht. Die Lösung wird beispielsweise von der TIB (Technische Informationsbibliothek) in Hannover eingesetzt. In einem kurzen Praxistest arbeitete die Software zuverlässig und problemlos mit den Standardanwendungen unter Windows zusammen.

Das Plug-in der Lösung FileOpen greift nicht nur ins Windows-System ein, sondern wurde vom Hersteller auch nicht korrekt signiert – das sollte bei einer Sicherheitslösung eigentlich nicht der Fall sein.
Das Plug-in der Lösung FileOpen greift nicht nur ins Windows-System ein, sondern wurde vom Hersteller auch nicht korrekt signiert – das sollte bei einer Sicherheitslösung eigentlich nicht der Fall sein.
Foto: Frank-Michael Schlede / Thomas Bär

MIST/Server - Open Source und Business: Natürlich ist es auch möglich, eine komplette DRM-Infrastruktur samt Server-System und eigener Lizenzverwaltung aufzubauen. Voraussetzungen sind umfassendes IT-Wissen und ausreichende Einarbeitungszeit seitens der Anwender. Ein Beispiel ist der MIST/Server, der sowohl in einer kommerziellen als auch in einer Open-Source-Version angeboten wird. Die meisten dieser freien Produkten, zu denen unter anderem auch der Helix DNA-Server des Anbieters RealNetworks gehört, werden als Multimedia-Server positioniert, die auch eine Verteilung und Verwaltung von Video-Streams und Bildern ermöglichen. Sie konkurrieren dabei mit den kommerziellen Produkten der großen Anbieter wie dem Adobe Media Server oder dem Microsoft Windows Media Digital Rights Management.

RMS hilft, Dateien im Windows-Netz zu schützen

Windows-Systeme stellen standardmäßig ein System zur Rechteverwaltung zur Verfügung, die Windows Rights Management Services (Dienste für die Rechteverwaltung - RMS). Microsoft fasst unter diesem Begriff alle Server- und Client-Techniken zusammen, die es einer Firma ermöglichen, die Rechte von Informationen in ihrem Netzwerk zu verwalten. Dafür ist allerdings zwingend erforderlich, dass die Firma den Active-Directory-Dienst verwendet. So spricht Microsoft seit dem Server 2008 in diesem Zusammenhang auch von den Active Directory Rechteverwaltungsdiensten (AD RMS). Neben den Diensten, die als Server-Rolle auf dem Windows Server installiert werden können und Zertifikate sowie Lizenzen verarbeiten, müssen Anwender zusätzlich noch einen Datenbank-Server und einen AD RMS-Client auf den Systemen installieren. Die neuen Windows-Client-Systeme ab Windows Vista sind bereits standardmäßig mit einem solchen Client ausgestattet.

Ist alles eingerichtet, lassen sich mit Anwendungen wie Word und Outlook die entsprechend geschützten Dokumente anlegen und verwalten. Die Verwendungsrechte werden im Dokument selbst gesperrt, so dass die Sicherheit auch dann gewährleistet ist, wenn diese beispielsweise per E-Mail verschickt werden. Einrichtung und Betrieb dieser standardmäßig mit den Windows-Servern bereitgestellten Lösung sind aber komplex und erfordern umfangreiche IT-Kenntnisse.

Verwalten der Informationsrechte mit IRM (Information Rights Management) unter Office

Anwendern, die die Office-Versionen 2010 oder 2013 im Einsatz haben, bietet Microsoft mit dem kostenlosen Informationsrechte-Dienste IRM an, Dokumente und Nachrichten mit eingeschränktem Inhalt zu erzeugen. Verwendet werden können diese Dokumente (dann natürlich mit den entsprechenden Einschränkungen, wie beispielsweise nur lesenden Zugriff) auch unter den Office-Version ab Office 2003. IRM arbeitet ebenfalls auf Basis eines Rechteverwaltungsdienstes auf einem Windows Server. Allerdings haben Nutzer auch die Möglichkeit, die Rechte ihrer Dateien mit Hilfe eines Microsoft-Kontos entsprechend zu verwalten, das die Authentifizierung regelt und die Rechte erteilt. Unter Office 2013 ist es möglich, mit Hilfe von Berechtigungsrichtlinien entsprechende Zugriffsbeschränkungen festzulegen.

Was darf der Empfänger der Datei damit tun? Mit IRM kann ein Anwender die Verwendung eines Dokuments in den Office-Anwendungen steuern und im Dokument verankern.
Was darf der Empfänger der Datei damit tun? Mit IRM kann ein Anwender die Verwendung eines Dokuments in den Office-Anwendungen steuern und im Dokument verankern.
Foto: Frank-Michael Schlede / Thomas Bär

Der Empfänger einer via IRM geschützten Nachricht muss kein Microsoft-Konto besitzen: Nutzer von Windows XP oder noch älteren Versionen können mit Hilfe der entsprechenden Viewer-Programme von Microsoft oder der Outlook Web App auf solche Dateien problemlos zuzugreifen.

Wir haben Microsofts IRM unter Windows 7 und Windows 8 sowie Office 2010 und 2013 ausprobiert: Nach der Anmeldung über ein Microsoft-Konto ließen sich problemlos Dokumente mit entsprechenden Einschränkungen erstellen und verwenden. Achtung: Microsoft weist darauf hin, dass der IRM-Dienst jederzeit wieder eingestellt werden könne - würde dies geschehen, sollen Anwender anschließend noch drei Monate lang Zugriff auf ihre Dokumente erhalten.

Praxistipp: Wer ohne aufwändige Installationen und weitere Kosten nur etwas Erfahrung mit einem DRM-Dienst gewinnen möchte und sowieso bereits die aktuellen Office-Produkte verwendet, ist mit dem IRM bestens bedient. Für eine langfristige Anwendung ist diese kostenlose Lösung von Microsoft hingegen weder gedacht noch geeignet.

Was noch kommen kann: DRM für HTML

Selbstverständlich wollen auch die Entwickler von Web-Anwendungen ihre Inhalte geschützt wissen. Sie haben es nicht mehr ganz so einfach wie die Programmierer klassischer Applikationen, die ihren Quellcode kompilieren und damit einen Nachbau fast aussichtlos machen. In Zeiten des World Wide Webs ist es nicht ganz so einfach mit dem Schutz - selbst technisch weniger begabte Nutzer wissen, wie leicht sich HTML-Inhalte oder Scripting-Anwendungen kopieren lassen. Auch in Web-Seiten eingebettete Audio- und Video-Dateien sind ohne gesonderten Schutz in Sekundenschnelle auf den lokalen Rechner heruntergeladen und kopiert.

Um die Rechte der Web-Entwickler zu stärken, möchte die HTML-Arbeitsgruppe des World Wide Web Consortiums (W3C) DRM-Systeme nun auch in HTML integrieren. Für die sogenannten Encrypted Media Extensions (EME) in HTML liegt seit Mai 2013 ein entsprechender Arbeitsentwurf vor. Geplant ist eine neue Programmierschnittstelle (Application Programming Interface - API) für HTML, mit deren Hilfe die Wiedergabe von geschützten Inhalten auf Web-Seiten gesteuert und überwacht werden kann. Große Unternehmen wie Microsoft und Google, aber natürlich auch Content-Anbieter wie Netflix begrüßen diese Initiative, während sich im Web ein breiter Widerstand gegen das Vorhaben regt. Viele Internet-Aktivisten, darunter auch Brendon Eich, Mitbegründer von mozilla.org und CTO (Chief Technical Officer) bei Mozilla, sehen darin den Anfang vom Ende des freien Web und die allgemeine Einführung von Systemen zur Rechteverwaltung auf den Web-Seiten: In einem Blog-Eintrag (The Bridge of Khazad-DRM) erläutert Eich seine Bedenken ausführlich.

Trotzdem hat Tim Berners-Lee in seiner Eigenschaft als W3C-Direktor entschieden, dass sich die HTML-Arbeitsgruppe weiter mit dieser Thematik beschäftigten wird. Die Gruppe soll demnach weder einen Web-Standard für DRM oder gar ein eigenes DRM-System schaffen, sondern nur die entsprechenden Schnittstellen bereitstellen, auf die solche Systeme dann aufsetzen können. Eine weitere Gruppe des W3C, die Web App Source Code Protection Community Group, befasst sich zudem mit verschiedenen Möglichkeiten, den Quellcode von Web-Anwendungen ebenfalls entsprechend zu schützen. (sh)