Currently set to Index
Currently set to Follow

Schutz von Unter­neh­mens­daten erhöhen durch Infor­ma­tion Rights Manage­ment

|

Warum Infor­ma­tion Rights Manage­ment?

Infor­ma­tion Rights Manage­ment ist eine Möglich­keit, wichtige Unter­neh­mens­daten außer­halb eines geschützten IT-Systems vor unerlaubtem Zugriff zu schützen. Stellen wir uns vor, dass wichtige Unter­neh­mens­do­ku­mente (Patent­an­träge, Innova­tionen, Strategie, Roadmaps, …) in geschützten Anwen­dungen wie Share­Point, Exchange, Filesystem, etc. abgelegt sind. Zugriff auf die Dokumente erfolgt im Anwen­der­kon­text. Die Dokumente sind solange geschützt, solange diese sich in der Anwen­dung befinden. Werden die Dokumente aber aus der Anwen­dung runter­ge­laden, so sind diese Dokumente nicht mehr durch die Anwen­dung geschützt. Durch Rights Manage­ment kann sicher­ge­stellt werden, dass derar­tige Dokumente außer­halb des geschützten IT-Systems nur durch authen­ti­fi­zierte und autori­sierte Anwender geöffnet, bearbeitet, gedruckt, etc. werden können.

 

Das Prinzip von Rights Manage­ment – auch Infor­ma­tion Rights Manage­ment (IRM) oder Digital Rights Manage­ment (DRM) genannt – ist seit vielen Jahren aus dem Consumer-Umfeld bekannt:

  • Musik- und Filmin­dus­trie: Musik oder Filme/Serien sind über ein Anbie­ter­portal online abrufbar, offline speicherbar, können aber nicht an Dritte weiter­ge­geben werden, da der Zugriff auf die Medien geschützt ist. Nur berech­tigte Personen haben über entspre­chende Anwen­dungen Zugriff auf diese Medien.
  • Print­me­dien: Viele Redak­tionen bieten Ihre Zeitschriften oder Bücher neben der klassi­schen Papier­form auch digital an. Um den Inhalt der Zeitschriften oder Bücher vor ungewollter Weiter­gabe zu schützen, werden diese Medien digital geschützt bereit­ge­stellt und sind über eReader Programme zugreifbar.

 

Welche Einsatz­bei­spiele für Rights Manage­ment für Unter­nehmen gibt es?

  • Schutz von Dokumente im Unter­nehmen, so dass auch System­ad­mi­nis­tra­toren keinen Zugriff auf die Infor­ma­tionen hat, z.B.:
    • Schutz der Kommu­ni­ka­tion zwischen Geschäfts­füh­rern
    • Schutz der Kommu­ni­ka­tion zwischen Betriebs­rats­mit­glie­dern – ohne dass die IT oder die Geschäfts­füh­rung darauf Zugriff hat (ein sehr beliebtes Thema bei Kunden in Deutsch­land)
    • Schutz von geschäfts­kri­ti­schen Infor­ma­tionen, z.B. Patente, Innova­tionen, etc.
  • Schutz der Dokumente außer­halb des Unter­neh­mens im Rahmen von B2B Colla­bo­ra­tion, z.B.:
    • Geschäfts­partner haben Zugriff auf schüt­zens­werte Unter­neh­mens­do­ku­mente gespei­chert in Share­Point (OnPre­mise oder Share­Point Online) oder verschickt per Email. Ohne Infor­ma­tion Rights Manage­ment können diese Dokumente durch jeden gelesen werden, der Zugriff auf die Dokumente hat bzw. die Dokumente können ohne Kontrolle an Dritte weiter­ge­leitet werden.
    • Wer hat sich nicht schon mal bei der Auswahl eines E‑Mail-Empfän­gers vertan und E‑Mails (mit Dokumenten) an falsche Empfänger geschickt. Es besteht keine Möglich­keit, nachträg­lich den Zugriff auf diese Dateien zu kontrol­lieren – mit Rights Manage­ment ist das möglich!

 

Wie funktio­niert Azure Rights Manage­ment?

Azure Rights Manage­ment ist ein Dienst von Micro­soft, welcher für Office 365, aber auch für OnPre­mise Dienste wie Share­Point, Exchange und Fileserver genutzt werden kann. Dieses Schau­bild verdeut­licht dies:

Azure Information Rights Management
Quelle: Micro­soft

 

Dokumente, die mittels Azure Rights Manage­ment geschützt sind, sind grund­sätz­lich verschlüs­selt. Zum Verschlüs­seln sind natür­lich entspre­chende Schlüssel nötig. Wer diese kennt, kann die Dokumente entschlüs­seln. Micro­soft bietet zwei Möglich­keiten an, die Schlüssel zu verwalten:

  • Option 1: Micro­soft generiert und verwaltet die Schlüssel
  • Option 2: Schlüssel werden vom jewei­ligen Unter­nehmen erstellt und in einem Hardware­si­cher­heits­modul (HSM) geschützt. BYOK – Bring your own key!

 

Über Richtlinien/Einstellungen wird definiert, wer was mit dem Dokument machen darf:

  • Richt­li­nien in Azure RMS – die Richt­linie ist unter­neh­mens­weit verfügbar, kann aber Anwen­der­gruppen zugewiesen werden
    Azure Information Rights Management Einstellungen
  • Einstel­lungen in Share­Point Dokument­bi­blio­thek
    Microsoft Sharepoint Information Rights Management

 

Bei Verschlüs­se­lung des Dokumentes werden die Berech­ti­gungen (Wer darf was mit dem Dokument machen) mit in das Dokument verschlüs­selt. Ein RMS fähiger (mobiler) Client erkennt, dass die Datei verschlüs­selt ist und erfor­dert eine Authen­ti­fi­zie­rung gegen den Azure RMS Authen­ti­fi­zie­rungs­dienst. Nach Authen­ti­fi­zie­rung kann der Anwender das Dokument in der Anwen­dung lesen, bearbeiten usw. – je nachdem, welche Berech­ti­gungen in der Richt­linie vergeben wurden. Die RMS fähige Anwen­dung stellt dabei sicher, dass nur die Funktionen möglich sind, die in der Richt­linie definiert wurden.

Dokumente, die über Azure RMS oder IRM geschützt sind, zeigen die Policy im Dokument an – auch auf Mobilen Geräten:
Microsoft Information Rights Management

Microsoft Information Rights Management Text

Information Rights Management Berechtigungen

Es gilt: Nur wer sich am Dokument authen­ti­fi­zieren kann, kann das Dokument lesen!

 

Vor welchen Risiken schützt mich RMS nicht?

  • RMS schützt nicht vor analogen Angriffen, also z.B. dem Abfoto­gra­fieren des Bildschirmes oder der Weiter­gabe eines ausge­druckten Dokuments – falls Drucken in der Richt­linie erlaubt wurde.
  • RMS schützt nicht vor Angriffen, bei denen die Identität eines Anwen­ders übernommen wurde. Es ist daher dringend anzuraten, den Schutz der Identität durch Multi-Faktor Authen­ti­fi­zie­rung zu schützen.

 

Was ist der Unter­schied zwischen Infor­ma­tion Rights Manage­ment (IRM) in Share­Point und Rights Manage­ment Service (RMS) in Azure?

Azure RMS

  • Azure RMS stellt einen univer­sellen Rights Manage­ment Service dar, der jeden Dateityp schützen kann. Für das Verschlüs­seln, bzw. Entschlüs­seln dieser Dateien ist Office, oder der Azure RMS Client nötig:
    Azure RMS Information Rights Management
  • Azure RMS stellt umfang­reiche Reports und Tracking­in­for­ma­tionen bereit. Darüber lässt sich genau nachvoll­ziehen, wer auf welches Dokument zugegriffen hat, oder dies versucht hat:
    Azure RMS Information Rights Management Reports
    Azure RMS Information Rights Management Felder
    Azure RMS Information Rights Management Location
  • Die Richt­li­nien sind auf Mandan­ten­ebene in Office 365 / Azure zu definieren
    Azure RMS Information Rights Management Ebenen

Infor­ma­tion Rights Manage­ment

  • IRM benötigt Azure RMS. Azure RMS ist der Service von Micro­soft, der Authen­ti­fi­zie­rung / Autori­sie­rung, sowie Repor­ting bereit­stellt.
  • IRM ist die Bezeich­nung des RMS Dienstes in Share­Point. IRM für Share­Point gibt es schon seit Share­Point Server 2007.
  • IRM in Share­Point wird auf Dokument Library Ebene konfi­gu­riert. Dabei sind die Dokumente in Share­Point, also in der Inhalts­da­ten­bank nicht verschlüs­selt, sondern werden beim Runter­laden verschlüs­selt. Es können aller­dings nur Office Dokumente verschlüs­selt werden.

 

 

Voraus­set­zungen für die Nutzung von Azure Rights Manage­ment für Ihr Unter­nehmen

Micro­soft stellt Azure Rights Manage­ment über Windows Azure als Software as a Service zur Verfü­gung. Diese Service aber entspre­chend konfi­gu­riert werden:

  • Der Azure RMS Service muss im Office 365 / Azure Mandant aktiviert sein
    Azure Office 365 Information Rights Management
  • Anwender, die die Verschlüs­se­lung der Dokumente auslösen, benötigen eine Azure Rights Manage­ment Lizenz.
    Azure Office 365 Information Rights Management Lizenz
  • RMS Connector, um Azure RMS in OnPre­mise Systemen wie Exchange, Share­Point 2013, Share­Point 2016 oder im Filesystem zu nutzen
  • Defini­tion der Regeln für Infor­ma­tion Rights Manage­ment: Wer darf was?
  • Office 365 Hybrid Umgebung mit Single Sign On / Same Sign On mittels Azure Active Direc­tory Connect und –bei Single Sign On – auch ADFS.
  • RMS fähiger Client, also zum Beispiel Office, Foxit PDF und/oder die Rights Manage­ment (RMS) sharing appli­ca­tion.

 

Konfi­gu­ra­tion Rights Manage­ment in Share­Point 2013 / 2016 OnPre­mise

Für die Nutzung von Azure RMS OnPre­mise ist der RMS connector nötig. Die Archi­tektur sieht wie folgt aus:

Microsoft SharePoint Information Rights Management
Quelle: Micro­soft

 

Die Einrich­tung von IRM für Share­Point OnPre­mise bedarf folgender Schritte, Details sind in der Micro­soft Dokumen­ta­tion zu finden – die netunite AG (früher 1stQuad) unter­stützt gerne:

  1. Instal­la­tion des RMS Connec­tors auf einem OnPre­mise Server. Das Ergebnis ist eine WebAn­wen­dung:
    Microsoft SharePoint Information Rights Management Server
  2. Herstellen einer Verbin­dung zwischen RMS Connector und Office 365 / Micro­soft Azure. Für diese ausge­hende Verbin­dung muss der Server, auf dem der Connector läuft, eine Inter­net­ver­bin­dung aufbauen können.
  3. Autori­sieren von Servern, die den RMS Connector nutzen sollen. Das können neben Share­Point auch Exchange oder File Server sein.
    Microsoft SharePoint Information Rights Management Connector
  4. Optional: Load Balan­cing und SSL
  5. Konfi­gu­ra­tion der Verbin­dung zwischen Share­Point und dem RMS Connec­tors in der Central Adminis­tra­tion
    Microsoft SharePoint Information Rights Management Administration
    Microsoft SharePoint Information Rights Management Einstellungen

Danach steht in Dokument Biblio­theken in einem Share­Point 2013 / Share­Point 2016 Server die Option Verwal­tung von Infor­ma­ti­ons­rechten zur Verfü­gung:
Microsoft Sharepoint Information Rights Management Dokumente
Microsoft Sharepoint Information Rights Management Rechte

 

Was passiert, wenn jemand eine Kopie des Dokumentes öffnet?

  1. Office erkennt, dass das Dokument geschützt ist.
  2. Office prüft, ob ein authen­ti­fi­zierter und autori­sierter Anwen­der­kon­text existiert. Gegebe­nen­falls ist eine Anmel­dung nötig, damit der Anwender identi­fi­ziert werden kann.
    Microsoft Word Information Rights Management
    Microsoft Sharepoint Information Rights Management Accounts
  3. Versucht jemand das Dokument zu öffnen, der keine Berech­ti­gungen auf das Dokument im Share­Point hat, dann erscheint diese Meldung:
    Microsoft Sharepoint Information Rights Management Meldung
  4. Alle Zugriffe auf das Dokument werden in Azure proto­kol­liert, je nach Konfi­gu­ra­tion ist eine Email­be­nach­rich­ti­gung möglich.

 

Fazit

Rights Manage­ment ist neben der Multi-Faktor Authen­ti­fi­zie­rung eine weitere Möglich­keit, um den Schutz der Daten zu erhöhen.

Azure RMS zum Schutz von Dateien zum Beispiel in File Servern oder im Exchange erfor­dern die Defini­tion und Bereit­stel­lung von Richt­li­nien auf Unter­neh­mens­ebene. Infor­ma­tion Rights Manage­ment in Share­Point / Share­Point Online kann einfach und schnell in Dokument­bi­blio­theken konfi­gu­riert werden. Dokumente werden automa­tisch verschlüs­selt, wenn diese aus Share­Point herun­ter­ge­laden werden.

Empfeh­lung: Techno­lo­gien wie Multi-Faktor Authen­ti­fi­zie­rung und Rights Manage­ment sollten unbedingt Teil eines Sicher­heits­kon­zeptes sein. Kontak­tieren Sie uns!

Joachim von Seyde­witz

Solution Archi­tect



Kontakt

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München


Pflichtfeld

Pflichtfeld


Absenden
Absenden

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Akzeptieren