Wurde Ihr Unternehmen schon einmal Opfer gezielter Spionageversuche? Oder geriet vertrauliche Information durch versehentliches oder absichtliches Fehlverhalten von Mitarbeitern oder Geschäftspartnern in falsche Hände? Welche Folgen hätte das für Sie und Ihr Unternehmen? Einer Studie von Corporate Trust[1] aus dem Jahr 2012 zu-folge waren über 20 Prozent der befragten deutschen Unternehmen bereits von Spionagevorfällen betroffen. Nimmt man die Zahl der nicht weiter konkretisierten oder nicht eindeutig nachweisbaren Fälle hinzu, so beläuft sich der Anteil auf über 54 Prozent. Mit einem Schadensanteil von knapp 25 Prozent sind hauptsächlich mittelständische Unternehmen Opfer solcher Machenschaften. In weit mehr als der Hälfte aller Fälle kommen die Täter aus der eigenen Belegschaft. Der Gesamtschaden wird auf 4,2 Milliarden Euro beziffert. Nicht zuletzt durch die zunehmende Globalisierung wird sich die Gesamtsituation in den kommenden Jahren noch verschärfen. Es ist also angebracht, die verfügbaren Schutzmaßnahmen etwas genauer zu betrachten.

Seit einiger Zeit werden im Markt Lösungen zum Schutz von Informationen auf der Basis von Dateien unter verschiedenen Bezeichnungen wie Information Rights Management (IRM), Digital Rights Management (DRM), Enterprise Rights Management (ERM) oder Enterprise Digital Rights Management (E-DRM) angeboten. Da sie sich in ihrer Funktionalität und den zugrunde liegenden Mechanismen stark ähneln, werden sie im Folgenden gemeinschaftlich als IRM bezeichnet. Diese Technologie hat das Potenzial, einen signifikanten Beitrag zum verbesserten Schutz sensibler Informationen zu leisten.
Es ist natürlich keineswegs so, dass nicht schon bereits mehr oder weniger komplexe technische Schutzvorkehrungen existieren und im Einsatz wären. Hierzu zählen unter anderem ausgefeilte Berechtigungskonzepte in Anwendungen oder Dateiverzeichnissen, Überwachung von Schnittstellen, Verschlüsselung auf Datei- oder Device-Ebene sowie sichere Übertragungsprotokolle auf den verschiedenen Netzwerkschichten wie beispielsweise Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Nicht zu vergessen sind auch die organisatorischen Maßnahmen wie zum Beispiel Verhaltensrichtlinien oder Schulungsprogramme für Mitarbeiter zur Informationssicherheit.
Und dennoch kommt die eingangs zitierte Studie zu diesen äußerst bedenklichen Ergebnissen. Zum einen mag das daran liegen, dass möglicherweise die genannten Schutzvorkehrungen noch effektiver eingesetzt und überwacht werden könnten. Andererseits besitzen sie systembedingt aber auch Grenzen, werden mit zunehmender Effizienz unverhältnismäßig komplex oder decken die Sicherheitsbedürfnisse nicht über den vollständigen Verlauf der Geschäftsprozesse ab:
Kontrollverlust durch Vernetzung: Die Überwachung aller Schnittstellen und Kommunikationskanäle ist sehr aufwändig oder praktisch nicht möglich. Es gibt unzählige bekannte und gegebenenfalls auch nicht berücksichtigte Verbreitungswege für Informationen.
Kontrollverlust außerhalb der Reichweite der Schutzmaßnahme: Auch wenn Informationen verschlüsselt übertragen wurden, verlieren sie beim autorisierten Zugriff ihren (technischen) Schutz vollständig. Ist beispielsweise eine Datei erst einmal entschlüsselt, so hat der Anwender vollen Zugriff auf die Inhalte und kann diese beliebig weiter-geben, ändern oder löschen.
Komplexitätsproblem bei der Datenfilterung: Filter in Data Leakage Prevention (DLP) Lösungen müssen komplexe Analysen von Daten in verschiedensten Sprachen und Dateiformaten (beispielsweise Text- oder Binärformate) durchführen. Ein vollständiger Schutz ist nur theoretisch erreichbar.
Fehlhandlungen von Benutzern: Informationen können unabsichtlich oder vorsätzlich weitergegeben werden. Unbeabsichtigtes Fehlverhalten wird oftmals noch durch Usability-Probleme in den technischen Lösungen begünstigt.
Genau an diesen Stellen setzt IRM an. Es wird die Strategie verfolgt, die Schutzvorkehrungen möglichst nahe am eigentlich zu schützenden Objekt, also der zu schützenden Information, zu platzieren. Konkret bedeutet das, dass eine Verschlüsselung auf Basis von Dateien erfolgt, die somit unabhängig vom verwendeten Speicher- oder Trans-portmedium ist. Zudem können detaillierte Berechtigungen für die weitere Verwendung der enthaltenen Informationen vergeben werden. Hierzu zählen die klassischen Rechte zum Lesen und Ändern von Inhalten sowie die Möglichkeit, das Ausdrucken, das Ko-pieren markierter Bereiche in die Zwischenablage (Copy&Paste-Funktionalität), das Speichern und die Konvertierung in andere Dateiformate zu unterbinden. Die Besonderheit ist hierbei, dass die Rechteerteilung zeitlich befristet stattfinden kann und sogar ein nachträglicher Entzug von Berechtigungen grundsätzlich möglich ist. Zum einen ermöglicht dies beispielsweise, externen Mitarbeitern die Zugriffsrechte für vertrauliche Dateiinhalte nur für eine gewisse Projektphase zu erteilen. Nach Ablauf der Frist kann die betreffende Person nicht mehr zugreifen, obwohl sie immer noch im Besitz der Datei ist. Zum anderen können im Fall der Störung eines bislang bestehenden Vertrauensverhältnisses, zum Beispiel wenn einem Mitarbeiter fristlos gekündigt wurde, nachträglich die Rechte entzogen werden, ohne selbst Zugriff auf die Datei zu benötigen. Die IRM-Systeme können in der Regel so eingerichtet werden, dass die Bedienung durch die Benutzer einfach und intuitiv erfolgen kann und Bedienungsfehler weitgehend ausgeschlossen sind. Bei der Verwendung von IRM wird zwischen zwei grundsätzlichen Vorgängen unterschieden: der Erzeugung geschützter Dateien, auch Publizieren (Publishing) genannt, und dem Zugriff beziehungsweise der Verwendung dieser Datei-en, dem sogenannten Konsumieren (Consuming).
Wie bereits erwähnt sind im Markt IRM-Produkte verschiedener Hersteller verfügbar. Teilweise handelt es sich dabei um vollständige Client-Server-Lösungen und andernteils um Erweiterungen für diese Systeme, beispielsweise zur Unterstützung weiterer Dateitypen wie das Portable Document Format (PDF).
Eine der populärsten IRM-Lösungen sind derzeit die Active Directory Rights Management Services (AD RMS) von Microsoft (MS), anhand derer die technische Funktions-weise nun etwas detaillierter aufgezeigt wird. Wie der Name bereits ausdrückt, ist für den Betrieb eine Active Directory (AD) Umgebung zwingend erforderlich. Zusätzlich werden ein AD RMS Server und AD RMS Clients benötigt. Der AD RMS Server ist als Serverrolle ab Windows Server 2008 verfügbar, der Client ist im Lieferumfang ab Windows 7 enthalten. Für Windows XP ist er separat erhältlich und muss auf den ent-sprechenden Arbeitsstationen nachinstalliert werden. Die benötigte Verschlüsselungs-infrastruktur ist bereits vollständig enthalten, was bedeutet, dass keine weiteren Komponenten wie beispielsweise eine Public Key Infrastructure (PKI) vorausgesetzt werden. Unterstützt werden die Dateitypen von MS-Office, es können also Word-, Excel- und PowerPoint-Dateien entsprechend geschützt werden. Zusätzlich lässt sich IRM auch für Emails (Outlook) und die Verwendung mit SharePoint konfigurieren. Die ent-sprechenden Anwendungen müssen also vorhanden sein.
Das Publizieren geschützter Dateien erfolgt direkt aus der jeweiligen Office-Anwendung heraus. Mittels des AD RMS Clients wird transparent für den Benutzer der entsprechende Dateiinhalt mit dem symmetrischen Advanced Encryption Standard (AES) Ver-fahren verschlüsselt. Unter anderem werden der hierbei verwendete Schlüssel und die vergebenen Berechtigungsinformationen anhand des RSA-Verfahrens (Rivest, Shamir, Adleman) asymmetrisch mit dem öffentlichen Teil des AD RMS Server-Schlüssels verschlüsselt und in einer sogenannten Publishing License (PL) zusammengefasst. Diese PL und die AES-verschlüsselten Inhalte ergeben zusammen die geschützte Office-Datei. Aktuell werden AES-256 und RSA-2048 unterstützt.
Für die Vergabe von Berechtigungen gibt es grundsätzlich drei Möglichkeiten. Erstens können die Rechte durch den Benutzer direkt im Dokument mit Hilfe der entsprechen-den Office-Anwendung definiert und zugewiesen werden. Hierbei bleibt die Verantwortung für die Korrektheit vollständig beim User, was diesem zwar die maximale Freiheit bei der Rechtevergabe lässt, aber auch zur Fehleranfälligkeit neigt. Zweitens gibt es die Möglichkeit, die Berechtigungen anhand von im AD verwalteten Verteilerlisten zu spezifizieren. Es erfolgt dann lediglich die Auswahl einer solchen Liste, ähnlich der Verwendung von Verteilern beim Versenden von Emails, und die anschließende Festlegung der Rechte. Drittens können Berechtigungen in Form von Templates von dafür autorisierten Benutzern vordefiniert werden. Der publizierende User wählt in diesem Fall nur noch eines der vorgegebenen Templates aus.
Beim Konsumieren der Datei stellt die betreffende Office-Anwendung zunächst fest, dass ein IRM-Schutz besteht und gibt sie an den AD RMS Client weiter. Dieser extrahiert die PL und sendet sie an den AD RMS Server. Dort wird die PL entschlüsselt und nach erfolgreichen Überprüfungen eine sogenannte Use License (UL) erzeugt. Diese enthält im Wesentlichen die Zugriffsberechtigungen für die zu konsumierende Datei und den zur Entschlüsselung der Inhalte benötigten AES-Schlüssel. Beides ist mit dem öffentlichen Schlüssel des anfragenden Benutzers RSA-verschlüsselt. Dann wird die UL zurück an der AD RMS Client gesendet. Dieser entschlüsselt die erhaltene Information und anschließend den Dateiinhalt. Die Office-Anwendung öffnet die Datei, wertet die für den Benutzer vergebenen Rechte aus und verhält sich entsprechend dieser Vorgaben. Um den Anforderungen des mobilen Arbeitens gerecht zu werden, kann das System so konfiguriert werden, dass nicht bei jedem Öffnen der Dateien eine Verbindung zum AD RMS Server aufgebaut werden muss (Offline-Funktionalität). Die wesentlichen Funktionsmerkmale bleiben dabei zwar erhalten, aber es ergeben sich dennoch Einschränkungen. So wird beispielsweise der Entzug von Berechtigungen nicht unmittelbar wirksam.
An diesem Punkt werden nun die Anforderungen an die betreffenden Benutzeranwendungen klar. Diese müssen mit IRM-geschützten Dateien umgehen und mit dem AD RMS Client kommunizieren können. Für das Publizieren sind entsprechende Benutzer-dialoge für die Aktivierung der IRM-Funktionalität und die eigentliche Berechtigungs-vergabe bereitzuhalten. Beim Konsumieren müssen zudem die definierten Rechte in der Benutzerschnittstelle durchgesetzt werden. Dies kann auf verschiedene Arten erfolgen. Im einfachsten Fall erhält der User eine Fehlermeldung, wenn er eine Aktion durchführen will, für die er keine Berechtigung besitzt. Deutlich benutzerfreundlicher sind Lösungen, bei denen die entsprechenden Interaktionselemente deaktiviert werden. Sofern andere als MS Office-Applikationen verwendet werden sollen, entsteht beim Einsatz von IRM, sofern überhaupt möglich, im Regelfall Entwicklungsaufwand für die Anpassung der Benutzeranwendungen. Die dafür anfallenden Kosten sollten stets in Relation zum erzielten Nutzen betrachtet werden. Unschön ist hierbei auch der Umstand, dass aufgrund derzeit fehlender Standardisierung eine herstellerübergreifende IRM-Unterstützung die Entwicklungsaufwände weiter erhöht. Gegebenenfalls kann auf bereits vorbereitete Standardprodukte zurückgegriffen werden. Beispielsweise bietet Gigatrust ein AD RMS-fähiges Plugin für den Adobe Reader an und auch der Foxit Reader unterstützt AD RMS. Andererseits ist es aber nicht ohne weiteres möglich, eine mit MS-Office publizierte Datei mit OpenOffice zu konsumieren.
Eine weitere Herausforderung stellt unter Umständen die Bedingung dar, dass alle teilnehmenden Benutzer im AD verwaltet werden müssen. Sollen beispielsweise externe Mitarbeiter in das IRM einbezogen werden, so können diese entweder im internen AD verwaltet werden oder es müssen Active Directory Federation Services (ADFS) oder anderweitige Trusts implementiert werden, was meist nicht nur technische, sondern auch strategische und organisatorische Entscheidungen erfordert.
Zusammenfassend lässt sich sagen, dass IRM nicht als Ersatz der eingangs genannten klassischen Schutzmethoden gesehen werden sollte. Es kann aber im Zusammenspiel mit diesen die Sicherheit von Unternehmensinformationen durch das Schließen weiterer Sicherheitslücken deutlich erhöhen. Grundvoraussetzung ist das Bewusstsein über die vorhandenen Informationswerte und deren Klassifikation hinsichtlich ihres Schutzbedarfs. Es macht wenig Sinn, pauschal alle Dateien mit IRM zu schützen. Es ist auch klar, dass der erzielte Schutz seine Grenzen hat. Es besteht natürlich immer die Möglichkeit, Bildschirminhalte abzufotografieren oder Bildschirmwerkzeuge zu verwenden, die Screenshots aufgrund von direkt aus der Grafikkarte ausgelesenen Daten erzeugen. Die Hürden für unabsichtlichen oder vorsätzlichen Missbrauch von Informationen werden aber vergleichsweise deutlich erhöht.

[1] Corporate Trust, Studie Industriespionage 2012, Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar.

Zum Autor:

Zum Autor: Jürgen Engel ist Senior Consultant mit Schwerpunkt Sicherheitsmanagement und IRM bei der Secaron AG. Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt das Unternehmen höchste Priorität darauf, mit ihren Kun-den ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Die Secaron AG hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen. www.secaron.de

Weiterführende Links

• Originalmeldung von secaron AG
• Alle Meldungen von secaron AG