Schutz von Unter­neh­mens­daten erhöhen durch Infor­ma­tion Rights Management

Warum Infor­ma­tion Rights Management?

Infor­ma­tion Rights Manage­ment ist eine Möglich­keit, wichtige Unter­neh­mens­daten außer­halb eines geschützten IT-Systems vor unerlaubtem Zugriff zu schützen. Stellen wir uns vor, dass wichtige Unter­neh­mens­do­ku­mente (Patent­an­träge, Innova­tionen, Strategie, Roadmaps, …) in geschützten Anwen­dungen wie Share­Point, Exchange, Filesystem, etc. abgelegt sind. Zugriff auf die Dokumente erfolgt im Anwen­der­kon­text. Die Dokumente sind solange geschützt, solange diese sich in der Anwen­dung befinden. Werden die Dokumente aber aus der Anwen­dung runter­ge­laden, so sind diese Dokumente nicht mehr durch die Anwen­dung geschützt. Durch Rights Manage­ment kann sicher­ge­stellt werden, dass derar­tige Dokumente außer­halb des geschützten IT-Systems nur durch authen­ti­fi­zierte und autori­sierte Anwender geöffnet, bearbeitet, gedruckt, etc. werden können.

 

Das Prinzip von Rights Manage­ment – auch Infor­ma­tion Rights Manage­ment (IRM) oder Digital Rights Manage­ment (DRM) genannt – ist seit vielen Jahren aus dem Consumer-Umfeld bekannt:

• Musik- und Filmin­dus­trie: Musik oder Filme/Serien sind über ein Anbie­ter­portal online abrufbar, offline speicherbar, können aber nicht an Dritte weiter­ge­geben werden, da der Zugriff auf die Medien geschützt ist. Nur berech­tigte Personen haben über entspre­chende Anwen­dungen Zugriff auf diese Medien.
• Print­me­dien: Viele Redak­tionen bieten Ihre Zeitschriften oder Bücher neben der klassi­schen Papier­form auch digital an. Um den Inhalt der Zeitschriften oder Bücher vor ungewollter Weiter­gabe zu schützen, werden diese Medien digital geschützt bereit­ge­stellt und sind über eReader Programme zugreifbar.

 

Welche Einsatz­bei­spiele für Rights Manage­ment für Unter­nehmen gibt es?

• Schutz von Dokumente im Unter­nehmen, so dass auch System­ad­mi­nis­tra­toren keinen Zugriff auf die Infor­ma­tionen hat, z.B.:
  • Schutz der Kommu­ni­ka­tion zwischen Geschäftsführern
  • Schutz der Kommu­ni­ka­tion zwischen Betriebs­rats­mit­glie­dern – ohne dass die IT oder die Geschäfts­füh­rung darauf Zugriff hat (ein sehr beliebtes Thema bei Kunden in Deutschland)
  • Schutz von geschäfts­kri­ti­schen Infor­ma­tionen, z.B. Patente, Innova­tionen, etc.
• Schutz der Dokumente außer­halb des Unter­neh­mens im Rahmen von B2B Colla­bo­ra­tion, z.B.:
  • Geschäfts­partner haben Zugriff auf schüt­zens­werte Unter­neh­mens­do­ku­mente gespei­chert in Share­Point (OnPre­mise oder Share­Point Online) oder verschickt per Email. Ohne Infor­ma­tion Rights Manage­ment können diese Dokumente durch jeden gelesen werden, der Zugriff auf die Dokumente hat bzw. die Dokumente können ohne Kontrolle an Dritte weiter­ge­leitet werden.
  • Wer hat sich nicht schon mal bei der Auswahl eines E‑Mail-Empfän­gers vertan und E‑Mails (mit Dokumenten) an falsche Empfänger geschickt. Es besteht keine Möglich­keit, nachträg­lich den Zugriff auf diese Dateien zu kontrol­lieren – mit Rights Manage­ment ist das möglich!

 

Wie funktio­niert Azure Rights Management?

Azure Rights Manage­ment ist ein Dienst von Micro­soft, welcher für Office 365, aber auch für OnPre­mise Dienste wie Share­Point, Exchange und Fileserver genutzt werden kann. Dieses Schau­bild verdeut­licht dies:

Quelle: Microsoft

 

Dokumente, die mittels Azure Rights Manage­ment geschützt sind, sind grund­sätz­lich verschlüs­selt. Zum Verschlüs­seln sind natür­lich entspre­chende Schlüssel nötig. Wer diese kennt, kann die Dokumente entschlüs­seln. Micro­soft bietet zwei Möglich­keiten an, die Schlüssel zu verwalten:

• Option 1: Micro­soft generiert und verwaltet die Schlüssel
• Option 2: Schlüssel werden vom jewei­ligen Unter­nehmen erstellt und in einem Hardware­si­cher­heits­modul (HSM) geschützt. BYOK – Bring your own key!

 

Über Richtlinien/Einstellungen wird definiert, wer was mit dem Dokument machen darf:

• Richt­li­nien in Azure RMS – die Richt­linie ist unter­neh­mens­weit verfügbar, kann aber Anwen­der­gruppen zugewiesen werden
  
• Einstel­lungen in Share­Point Dokumentbibliothek
  

 

Bei Verschlüs­se­lung des Dokumentes werden die Berech­ti­gungen (Wer darf was mit dem Dokument machen) mit in das Dokument verschlüs­selt. Ein RMS fähiger (mobiler) Client erkennt, dass die Datei verschlüs­selt ist und erfor­dert eine Authen­ti­fi­zie­rung gegen den Azure RMS Authen­ti­fi­zie­rungs­dienst. Nach Authen­ti­fi­zie­rung kann der Anwender das Dokument in der Anwen­dung lesen, bearbeiten usw. – je nachdem, welche Berech­ti­gungen in der Richt­linie vergeben wurden. Die RMS fähige Anwen­dung stellt dabei sicher, dass nur die Funktionen möglich sind, die in der Richt­linie definiert wurden.

Dokumente, die über Azure RMS oder IRM geschützt sind, zeigen die Policy im Dokument an – auch auf Mobilen Geräten:

Es gilt: Nur wer sich am Dokument authen­ti­fi­zieren kann, kann das Dokument lesen!

 

Vor welchen Risiken schützt mich RMS nicht?

• RMS schützt nicht vor analogen Angriffen, also z.B. dem Abfoto­gra­fieren des Bildschirmes oder der Weiter­gabe eines ausge­druckten Dokuments – falls Drucken in der Richt­linie erlaubt wurde.
• RMS schützt nicht vor Angriffen, bei denen die Identität eines Anwen­ders übernommen wurde. Es ist daher dringend anzuraten, den Schutz der Identität durch Multi-Faktor Authen­ti­fi­zie­rung zu schützen.

 

Was ist der Unter­schied zwischen Infor­ma­tion Rights Manage­ment (IRM) in Share­Point und Rights Manage­ment Service (RMS) in Azure?

Azure RMS

• Azure RMS stellt einen univer­sellen Rights Manage­ment Service dar, der jeden Dateityp schützen kann. Für das Verschlüs­seln, bzw. Entschlüs­seln dieser Dateien ist Office, oder der Azure RMS Client nötig:
  
• Azure RMS stellt umfang­reiche Reports und Track­ing­in­for­ma­tionen bereit. Darüber lässt sich genau nachvoll­ziehen, wer auf welches Dokument zugegriffen hat, oder dies versucht hat:
  
  
  
• Die Richt­li­nien sind auf Mandan­ten­ebene in Office 365 / Azure zu definieren
  

Infor­ma­tion Rights Management

• IRM benötigt Azure RMS. Azure RMS ist der Service von Micro­soft, der Authen­ti­fi­zie­rung / Autori­sie­rung, sowie Reporting bereitstellt.
• IRM ist die Bezeich­nung des RMS Dienstes in Share­Point. IRM für Share­Point gibt es schon seit Share­Point Server 2007.
• IRM in Share­Point wird auf Dokument Library Ebene konfi­gu­riert. Dabei sind die Dokumente in Share­Point, also in der Inhalts­da­ten­bank nicht verschlüs­selt, sondern werden beim Runter­laden verschlüs­selt. Es können aller­dings nur Office Dokumente verschlüs­selt werden.

 

 

Voraus­set­zungen für die Nutzung von Azure Rights Manage­ment für Ihr Unternehmen

Micro­soft stellt Azure Rights Manage­ment über Windows Azure als Software as a Service zur Verfü­gung. Diese Service aber entspre­chend konfi­gu­riert werden:

• Der Azure RMS Service muss im Office 365 / Azure Mandant aktiviert sein
  
• Anwender, die die Verschlüs­se­lung der Dokumente auslösen, benötigen eine Azure Rights Manage­ment Lizenz.
  
• RMS Connector, um Azure RMS in OnPre­mise Systemen wie Exchange, Share­Point 2013, Share­Point 2016 oder im Filesystem zu nutzen
• Defini­tion der Regeln für Infor­ma­tion Rights Manage­ment: Wer darf was?
• Office 365 Hybrid Umgebung mit Single Sign On / Same Sign On mittels Azure Active Direc­tory Connect und –bei Single Sign On – auch ADFS.
• RMS fähiger Client, also zum Beispiel Office, Foxit PDF und/oder die Rights Manage­ment (RMS) sharing application.

 

Konfi­gu­ra­tion Rights Manage­ment in Share­Point 2013 / 2016 OnPremise

Für die Nutzung von Azure RMS OnPre­mise ist der RMS connector nötig. Die Archi­tektur sieht wie folgt aus:

Quelle: Microsoft

 

Die Einrich­tung von IRM für Share­Point OnPre­mise bedarf folgender Schritte, Details sind in der Micro­soft Dokumen­ta­tion zu finden – die netunite AG (früher 1stQuad) unter­stützt gerne:

1. Instal­la­tion des RMS Connec­tors auf einem OnPre­mise Server. Das Ergebnis ist eine WebAnwendung:
   
2. Herstellen einer Verbin­dung zwischen RMS Connector und Office 365 / Micro­soft Azure. Für diese ausge­hende Verbin­dung muss der Server, auf dem der Connector läuft, eine Inter­net­ver­bin­dung aufbauen können.
3. Autori­sieren von Servern, die den RMS Connector nutzen sollen. Das können neben Share­Point auch Exchange oder File Server sein.
   
4. Optional: Load Balan­cing und SSL
5. Konfi­gu­ra­tion der Verbin­dung zwischen Share­Point und dem RMS Connec­tors in der Central Administration
   
   

Danach steht in Dokument Biblio­theken in einem Share­Point 2013 / Share­Point 2016 Server die Option Verwal­tung von Infor­ma­ti­ons­rechten zur Verfügung:

 

Was passiert, wenn jemand eine Kopie des Dokumentes öffnet?

1. Office erkennt, dass das Dokument geschützt ist.
2. Office prüft, ob ein authen­ti­fi­zierter und autori­sierter Anwen­der­kon­text existiert. Gegebe­nen­falls ist eine Anmel­dung nötig, damit der Anwender identi­fi­ziert werden kann.
   
   
3. Versucht jemand das Dokument zu öffnen, der keine Berech­ti­gungen auf das Dokument im Share­Point hat, dann erscheint diese Meldung:
   
4. Alle Zugriffe auf das Dokument werden in Azure proto­kol­liert, je nach Konfi­gu­ra­tion ist eine Email­be­nach­rich­ti­gung möglich.

 

Fazit

Rights Manage­ment ist neben der Multi-Faktor Authen­ti­fi­zie­rung eine weitere Möglich­keit, um den Schutz der Daten zu erhöhen.

Azure RMS zum Schutz von Dateien zum Beispiel in File Servern oder im Exchange erfor­dern die Defini­tion und Bereit­stel­lung von Richt­li­nien auf Unter­neh­mens­ebene. Infor­ma­tion Rights Manage­ment in Share­Point / Share­Point Online kann einfach und schnell in Dokument­bi­blio­theken konfi­gu­riert werden. Dokumente werden automa­tisch verschlüs­selt, wenn diese aus Share­Point herun­ter­ge­laden werden.

Empfeh­lung: Techno­lo­gien wie Multi-Faktor Authen­ti­fi­zie­rung und Rights Manage­ment sollten unbedingt Teil eines Sicher­heits­kon­zeptes sein. Kontak­tieren Sie uns!