Schutz von Unternehmensdaten erhöhen durch Information Rights Management

Warum Information Rights Management?

Information Rights Management ist eine Möglichkeit, wichtige Unternehmensdaten außerhalb eines geschützten IT-Systems vor unerlaubtem Zugriff zu schützen. Stellen wir uns vor, dass wichtige Unternehmensdokumente (Patentanträge, Innovationen, Strategie, Roadmaps, …) in geschützten Anwendungen wie SharePoint, Exchange, Filesystem, etc. abgelegt sind. Zugriff auf die Dokumente erfolgt im Anwenderkontext. Die Dokumente sind solange geschützt, solange diese sich in der Anwendung befinden. Werden die Dokumente aber aus der Anwendung runtergeladen, so sind diese Dokumente nicht mehr durch die Anwendung geschützt. Durch Rights Management kann sichergestellt werden, dass derartige Dokumente außerhalb des geschützten IT-Systems nur durch authentifizierte und autorisierte Anwender geöffnet, bearbeitet, gedruckt, etc. werden können.

Das Prinzip von Rights Management – auch Information Rights Management (IRM) oder Digital Rights Management (DRM) genannt – ist seit vielen Jahren aus dem Consumer-Umfeld bekannt:

• Musik- und Filmindustrie: Musik oder Filme/Serien sind über ein Anbieterportal online abrufbar, offline speicherbar, können aber nicht an Dritte weitergegeben werden, da der Zugriff auf die Medien geschützt ist. Nur berechtigte Personen haben über entsprechende Anwendungen Zugriff auf diese Medien.
• Printmedien: Viele Redaktionen bieten Ihre Zeitschriften oder Bücher neben der klassischen Papierform auch digital an. Um den Inhalt der Zeitschriften oder Bücher vor ungewollter Weitergabe zu schützen, werden diese Medien digital geschützt bereitgestellt und sind über eReader Programme zugreifbar.

Welche Einsatzbeispiele für Rights Management für Unternehmen gibt es?

• Schutz von Dokumente im Unternehmen, so dass auch Systemadministratoren keinen Zugriff auf die Informationen hat, z.B.:
  • Schutz der Kommunikation zwischen Geschäftsführern
  • Schutz der Kommunikation zwischen Betriebsratsmitgliedern – ohne dass die IT oder die Geschäftsführung darauf Zugriff hat (ein sehr beliebtes Thema bei Kunden in Deutschland)
  • Schutz von geschäftskritischen Informationen, z.B. Patente, Innovationen, etc.
• Schutz der Dokumente außerhalb des Unternehmens im Rahmen von B2B Collaboration, z.B.:
  • Geschäftspartner haben Zugriff auf schützenswerte Unternehmensdokumente gespeichert in SharePoint (OnPremise oder SharePoint Online) oder verschickt per Email. Ohne Information Rights Management können diese Dokumente durch jeden gelesen werden, der Zugriff auf die Dokumente hat bzw. die Dokumente können ohne Kontrolle an Dritte weitergeleitet werden.
  • Wer hat sich nicht schon mal bei der Auswahl eines E-Mail-Empfängers vertan und E-Mails (mit Dokumenten) an falsche Empfänger geschickt. Es besteht keine Möglichkeit, nachträglich den Zugriff auf diese Dateien zu kontrollieren – mit Rights Management ist das möglich!

Wie funktioniert Azure Rights Management?

Azure Rights Management ist ein Dienst von Microsoft, welcher für Office 365, aber auch für OnPremise Dienste wie SharePoint, Exchange und Fileserver genutzt werden kann. Dieses Schaubild verdeutlicht dies:

Quelle: Microsoft

Dokumente, die mittels Azure Rights Management geschützt sind, sind grundsätzlich verschlüsselt. Zum Verschlüsseln sind natürlich entsprechende Schlüssel nötig. Wer diese kennt, kann die Dokumente entschlüsseln. Microsoft bietet zwei Möglichkeiten an, die Schlüssel zu verwalten:

• Option 1: Microsoft generiert und verwaltet die Schlüssel
• Option 2: Schlüssel werden vom jeweiligen Unternehmen erstellt und in einem Hardwaresicherheitsmodul (HSM) geschützt. BYOK – Bring your own key!

Über Richtlinien/Einstellungen wird definiert, wer was mit dem Dokument machen darf:

• Richtlinien in Azure RMS – die Richtlinie ist unternehmensweit verfügbar, kann aber Anwendergruppen zugewiesen werden
  
• Einstellungen in SharePoint Dokumentbibliothek
  

Bei Verschlüsselung des Dokumentes werden die Berechtigungen (Wer darf was mit dem Dokument machen) mit in das Dokument verschlüsselt. Ein RMS fähiger (mobiler) Client erkennt, dass die Datei verschlüsselt ist und erfordert eine Authentifizierung gegen den Azure RMS Authentifizierungsdienst. Nach Authentifizierung kann der Anwender das Dokument in der Anwendung lesen, bearbeiten usw. – je nachdem, welche Berechtigungen in der Richtlinie vergeben wurden. Die RMS fähige Anwendung stellt dabei sicher, dass nur die Funktionen möglich sind, die in der Richtlinie definiert wurden.

Dokumente, die über Azure RMS oder IRM geschützt sind, zeigen die Policy im Dokument an – auch auf Mobilen Geräten:

Es gilt: Nur wer sich am Dokument authentifizieren kann, kann das Dokument lesen!

Vor welchen Risiken schützt mich RMS nicht?

• RMS schützt nicht vor analogen Angriffen, also z.B. dem Abfotografieren des Bildschirmes oder der Weitergabe eines ausgedruckten Dokuments – falls Drucken in der Richtlinie erlaubt wurde.
• RMS schützt nicht vor Angriffen, bei denen die Identität eines Anwenders übernommen wurde. Es ist daher dringend anzuraten, den Schutz der Identität durch Multi-Faktor Authentifizierung zu schützen.

Was ist der Unterschied zwischen Information Rights Management (IRM) in SharePoint und Rights Management Service (RMS) in Azure?

Azure RMS

• Azure RMS stellt einen universellen Rights Management Service dar, der jeden Dateityp schützen kann. Für das Verschlüsseln, bzw. Entschlüsseln dieser Dateien ist Office, oder der Azure RMS Client nötig:
  
• Azure RMS stellt umfangreiche Reports und Trackinginformationen bereit. Darüber lässt sich genau nachvollziehen, wer auf welches Dokument zugegriffen hat, oder dies versucht hat:
  
  
  
• Die Richtlinien sind auf Mandantenebene in Office 365 / Azure zu definieren
  

Information Rights Management

• IRM benötigt Azure RMS. Azure RMS ist der Service von Microsoft, der Authentifizierung / Autorisierung, sowie Reporting bereitstellt.
• IRM ist die Bezeichnung des RMS Dienstes in SharePoint. IRM für SharePoint gibt es schon seit SharePoint Server 2007.
• IRM in SharePoint wird auf Dokument Library Ebene konfiguriert. Dabei sind die Dokumente in SharePoint, also in der Inhaltsdatenbank nicht verschlüsselt, sondern werden beim Runterladen verschlüsselt. Es können allerdings nur Office Dokumente verschlüsselt werden.

Voraussetzungen für die Nutzung von Azure Rights Management für Ihr Unternehmen

Microsoft stellt Azure Rights Management über Windows Azure als Software as a Service zur Verfügung. Diese Service aber entsprechend konfiguriert werden:

• Der Azure RMS Service muss im Office 365 / Azure Mandant aktiviert sein
  
• Anwender, die die Verschlüsselung der Dokumente auslösen, benötigen eine Azure Rights Management Lizenz.
  
• RMS Connector, um Azure RMS in OnPremise Systemen wie Exchange, SharePoint 2013, SharePoint 2016 oder im Filesystem zu nutzen
• Definition der Regeln für Information Rights Management: Wer darf was?
• Office 365 Hybrid Umgebung mit Single Sign On / Same Sign On mittels Azure Active Directory Connect und –bei Single Sign On – auch ADFS.
• RMS fähiger Client, also zum Beispiel Office, Foxit PDF und/oder die Rights Management (RMS) sharing application.

Konfiguration Rights Management in SharePoint 2013 / 2016 OnPremise

Für die Nutzung von Azure RMS OnPremise ist der RMS connector nötig. Die Architektur sieht wie folgt aus:

Quelle: Microsoft

Die Einrichtung von IRM für SharePoint OnPremise bedarf folgender Schritte, Details sind in der Microsoft Dokumentation zu finden – die netunite AG (früher 1stQuad) unterstützt gerne:

1. Installation des RMS Connectors auf einem OnPremise Server. Das Ergebnis ist eine WebAnwendung:
   
2. Herstellen einer Verbindung zwischen RMS Connector und Office 365 / Microsoft Azure. Für diese ausgehende Verbindung muss der Server, auf dem der Connector läuft, eine Internetverbindung aufbauen können.
3. Autorisieren von Servern, die den RMS Connector nutzen sollen. Das können neben SharePoint auch Exchange oder File Server sein.
   
4. Optional: Load Balancing und SSL
5. Konfiguration der Verbindung zwischen SharePoint und dem RMS Connectors in der Central Administration
   
   

Danach steht in Dokument Bibliotheken in einem SharePoint 2013 / SharePoint 2016 Server die Option Verwaltung von Informationsrechten zur Verfügung:

Was passiert, wenn jemand eine Kopie des Dokumentes öffnet?

1. Office erkennt, dass das Dokument geschützt ist.
2. Office prüft, ob ein authentifizierter und autorisierter Anwenderkontext existiert. Gegebenenfalls ist eine Anmeldung nötig, damit der Anwender identifiziert werden kann.
   
   
3. Versucht jemand das Dokument zu öffnen, der keine Berechtigungen auf das Dokument im SharePoint hat, dann erscheint diese Meldung:
   
4. Alle Zugriffe auf das Dokument werden in Azure protokolliert, je nach Konfiguration ist eine Emailbenachrichtigung möglich.

Fazit

Rights Management ist neben der Multi-Faktor Authentifizierung eine weitere Möglichkeit, um den Schutz der Daten zu erhöhen.

Azure RMS zum Schutz von Dateien zum Beispiel in File Servern oder im Exchange erfordern die Definition und Bereitstellung von Richtlinien auf Unternehmensebene. Information Rights Management in SharePoint / SharePoint Online kann einfach und schnell in Dokumentbibliotheken konfiguriert werden. Dokumente werden automatisch verschlüsselt, wenn diese aus SharePoint heruntergeladen werden.

Empfehlung: Technologien wie Multi-Faktor Authentifizierung und Rights Management sollten unbedingt Teil eines Sicherheitskonzeptes sein. Kontaktieren Sie uns!

[vc_single_image image=”779″ img_size=”full” qode_css_animation=””]

Joachim von Seydewitz

Solution Architect