computerwoche.de

Archiv

Information Rights Management

So lassen sich Dokumente schützen

27.04.2011
Von Udo Adlmanninger

So funktioniert Information Rights Management

IRM sichert auch per Mail verschickte Dokumente. Sie lassen sich nur mit der entsprechenden Berechtigung öffnen.
IRM sichert auch per Mail verschickte Dokumente. Sie lassen sich nur mit der entsprechenden Berechtigung öffnen.
Foto: Secaron/Adlmanninger

IRM verschlüsselt eine Datei und setzt vom Autor des Dokumentes definierte Rechte durch. Damit ist eine Kontrolle über Dokumente sowohl innerhalb, wie auch außerhalb des Unternehmens möglich. Beim Öffnen des Dokumentes wird eine Anfrage an den zentralen IRM-Server gestellt, der dann, abhängig von der Gruppe, in der der Benutzer angelegt ist, Berechtigungen erteilt.

Ein Dokument, das auf dem Fileserver abgelegt wird, ist per IRM geschützt. Ein berechtigter Benutzer kann es öffnen und bearbeiten. Gibt es einen Kollegen, der die Informationen ebenfalls benötigt, ist es heute gängige Praxis, die Datei via E-Mail weiterzuleiten. Anstatt Berechtigungen über die Administration zu klären, werden Informationen "freihändig" weitergegeben, was zu einem Kontrollverlust über dieses Dokument führt.

Ist ein IRM installiert, kann der Kollege das empfangene Dokument nicht öffnen, da er dazu keine Berechtigung hat. Das Dokument bleibt also geschützt. Damit ist auch die Schwachstelle, dass kritische Daten unabsichtlich per Mail extern verschickt oder auf einem USB Stick mitgenommen werden, behoben.

Vergibt der Autor eines Dokuments etwa das Merkmal "intern", können alle Mitarbeiter des Unternehmens die Datei bearbeiten.
Vergibt der Autor eines Dokuments etwa das Merkmal "intern", können alle Mitarbeiter des Unternehmens die Datei bearbeiten.
Foto: Secaron/Adlmanninger

Um den Schutz eines Dokuments zu gewährleisten, vergibt üblicherweise der Autor die benötigten Rechte. Dafür werden von der IT Templates vorbereitet, die eine Berechtigungsvergabe einfach gestalten. Beispielsweise könnte das Merkmal "Intern" allen Mitarbeitern die Möglichkeit bieten, das Dokument zu lesen, zu drucken und zu ändern. Versucht ein interner Benutzer das Dokument zu öffnen, so wird für den Benutzer völlig unsichtbar eine Anfrage an den Schlüsselserver (IRM-Server) gestellt, der eine Berechtigung an ihn ausstellt. Die meisten Mitarbeiter merken nichts von der Verschlüsselung, solange sie das Dokument nur wie vorgesehen verwenden. Auch externe Benutzer werden in den am Markt befindlichen Lösungen zum Beispiel durch Proxy-Gateways und PKI-Integration unterstützt.

Um dabei nicht jeden externen Benutzer am eigenen IRM-Server anlegen zu müssen, kann auch eine Vertrauensstellung gegenüber dem Directory-Service eines Partners aufgebaut werden (SAML Federation). Damit liegt die Pflege der Benutzer beim Partner, die Kontrolle über die Dateien verbleibt aber im eigenen Unternehmen.