Rights Management Services

Sicher mit externen Partnern per RMS zusammenarbeiten

26.06.2018


Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.
Immer mehr Unternehmen nutzen die Microsoft-Rechteverwaltungsdienste (MS-RMS), um sensible Dokumente und E-Mails zu schützen. Doch bei der Zusammenarbeit mit externen Partnern kann es Kompatibilitätsprobleme geben. Gefragt ist eine Lösung, die eine sichere Kommunikation zwischen RMS- und Nicht-RMS-Nutzern ermöglicht.

Rechteverwaltungsdienste (RMS) gibt es schon seit vielen Jahren. So richtig durchgesetzt haben sie sich bisher nicht. Das ändert sich jetzt. Denn mit den wachsenden Compliance-Anforderungen und der neuen EU-Datenschutzgrundverordnung, die ab dem 25. Mai 2018 umgesetzt werden muss, werden die Sicherheitsvorteile solcher Lösungen zunehmend wichtiger für Unternehmen.

Rechtemanagement
Rechtemanagement
Foto: Wright Studio - shutterstock.com

Microsoft hat seine Rechteverwaltungsdienste mittlerweile mit Azure Information Protection (AIP) auch auf die Azure Cloud ausgedehnt und erschließt dadurch einen deutlich höheren Nutzerkreis. Neue Funktionen wie das Labeling-Feature machen die MS-RMS-Lösungen zudem noch attraktiver. Mitarbeiter haben damit die Möglichkeit, jedes Dokument oder jede E-Mail in verschiedenen Sicherheitsstufen zu klassifizieren - ob zum Beispiel persönlich, vertraulich oder streng geheim.

Für die einzelnen Labels können Administratoren Sicherheitsregeln definieren, die dann automatisch angewendet werden. Dieses Feature ist für viele Unternehmen interessant und ein Anreiz, MS RMS künftig zu nutzen. So wird die Verbreitung weiter steigen, denn auch Drittanbieter werden es voraussichtlich verstärkt in ihre Anwendungen einbinden.

Das Sicherheits-Dilemma

Doch so gut MS RMS auch ist: Die Lösung stößt an ihre Grenzen, wenn es um die Zusammenarbeit mit externen Partnern geht. Hat der Empfänger einer Nachricht kein MS RMS, kann er entsprechend geschützte Dokumente nicht lesen. Umgekehrt verfügen auch eingehende E-Mails und Anhänge nicht über den im Unternehmen geforderten RMS-Schutz. Solche Hürden machen eine Zusammenarbeit über Grenzen des Unternehmensnetzwerks hinweg schwierig.

Kollaboration mit externen Partnern ist für viele Unternehmen heute aber unverzichtbar, und entsprechende Software wird immer beliebter. So räumen laut einer Studie der Software-Firma Smartsheet 95 Prozent der befragten Unternehmen Collaboration Apps eine hohe bis mittlere Priorität bei ihren IT-Investitionen ein. Gerade Organisationen, die in einem internationalen Umfeld arbeiten, müssen in der Lage sein, unternehmensübergreifende Teams zu bilden. Hier entsteht ein Dilemma: Auf der einen Seite ist es wichtig, vertrauliche Informationen zu schützen. Auf der anderen dürfen die Sicherheitsmaßnahmen die Zusammenarbeit und damit die Produktivität nicht beeinträchtigen.

Kommunikations-Hürden und Compliance-Lücken

Wie RMS die Kollaboration manchmal erschweren kann, zeigt das folgende Beispiel: Ein Großunternehmen der verarbeitenden Industrie hat Regeln, laut denen alle Dokumente intern durch Azure Information Protection (AIP) klassifiziert und geschützt werden müssen. Das gilt insbesondere auch für die Abteilung Forschung & Entwicklung, die Dokumente wie Powerpoint-Präsentationen und Word-Dateien an externe Empfänger wie Patentanwälte schicken muss.

AIP im Überblick Dieser cloudbasierte Schutzdienst verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien zum Schützen Ihrer Dateien und E-Mails und funktioniert auf Smartphones, Tablets und PCs.
AIP im Überblick Dieser cloudbasierte Schutzdienst verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien zum Schützen Ihrer Dateien und E-Mails und funktioniert auf Smartphones, Tablets und PCs.
Foto: Microsoft

Die Empfänger können die Dokumente aufgrund der Unternehmensklassifizierung jedoch nicht lesen und dadurch nicht weiterverarbeiten. Entweder scheitert die Kommunikation damit komplett, oder es besteht die Gefahr, dass Mitarbeiter die Dokumente ungeschützt versenden. Auch alles auszudrucken und per Post zu verschicken wäre eine Möglichkeit. In digitalen Zeiten ist das jedoch alles andere als effizient und erstrebenswert.

Ein anderes Problem ergibt sich, wenn Geräte oder Software automatisiert E-Mails verschicken. Viele Unternehmen nutzen zum Beispiel Scanner, die Dateien an den Anwender senden. Im Online-Bereich kommen häufig Web-Formulare zum Einsatz, die E-Mails generieren. Wenn die Anwendungen und Geräte nicht mit RMS kompatibel sind, gelangen die Informationen ungeschützt in Umlauf. Das verhindert eine sichere Zusammenarbeit.

Ein Verschlüsselungs-Gateway kann Lücken überbrücken

Was also tun? Alternative kann eine Lösung sein, die eine reibungslose Zusammenarbeit zwischen RMS-Nutzern und Nicht-RMS-Nutzern ermöglicht, aber trotzdem für die nötige Sicherheit sorgt. Das geht beispielsweise mit speziellen E-Mail-Verschlüsselungs-Gateways in Zusammenarbeit mit einem RMS-Integrations-Konnektor.

Alle eingehenden und ausgehenden Mails werden über diese Gateways geleitet. Bei Nachrichten, die an einen externen Partner geschickt werden, entfernt eine solche Lösung dann den RMS-Schutz. Sie ersetzt ihn durch eine Verschlüsselung mit einem gängigen Standard wie S/MIME oder OpenPGP, mit dem der Empfänger etwas anfangen kann. Dadurch wird das Dokument nicht ungeschützt übertragen, der Partner kann es aber lesen. Auf der anderen Seite kann das System auch eingehende Nachrichten, die ungeschützt sind, mit einem entsprechenden RMS-Schutz versehen, bevor sie an einen internen Empfänger übertragen werden.

Auch Dokumente, die von nicht RMS-kompatiblen Geräten oder Applikationen automatisch verschickt werden, gehen zunächst an das Gateway. Dort erhalten sie den entsprechenden Schutz und werden dann erst an den Empfänger weitergeleitet.

Sichere Kommunikation über Microsoft-Grenzen hinweg

Für Unternehmen, die bereits Microsoft Services nutzen, sollten sich Microsoft RMS näher anschauen, wenn sie sich mit dem Thema Schutz und Klassifizierung von Daten auseinandersetzen. Insbesondere die Cloud-Lösung AIP wird eine wichtige Rolle spielen. Doch wie bei allen Sicherheitstechnologien kann MS RMS die Zusammenarbeit mit Dritten einschränken, die nicht die gleiche Lösung verwenden.

Hier kann ein Verschlüsselungs-Gateway der Brückenstein sein. Es verbindet die Microsoft-Welt mit anderen gängigen Technologien und Standards und sorgt so für durchgängige Sicherheit in der Zusammenarbeit über die Grenzen hinweg, die durch die Microsoft-Technologie entstehen. (hal)