von Redaktion IT-A…
Lesezeit
3 Minuten
Seite 2 - Mit Information Rights Management gegen Datenmissbrauch
Die benötigte Verschlüsselungsinfrastruktur ist bereits vollständig enthalten, was bedeutet, dass keine weiteren Komponenten wie beispielsweise eine Public Key Infrastructure (PKI) vorausgesetzt werden. Unterstützt werden die Dateitypen von MS-Office, es können also Word-, Excel- und PowerPoint-Dateien entsprechend geschützt werden. Zusätzlich lässt sich IRM auch für E-Mails (Outlook) und die Verwendung mit SharePoint konfigurieren. Die entsprechenden Anwendungen müssen also vorhanden sein.
Das Publizieren geschützter Dateien erfolgt direkt aus der jeweiligen Office-Anwendung heraus. Mittels des AD RMS-Clients wird transparent für den Benutzer der entsprechende Dateiinhalt mit dem symmetrischen Advanced Encryption Standard (AES) Verfahren verschlüsselt. Unter anderem werden der hierbei verwendete Schlüssel und die vergebenen Berechtigungsinformationen anhand des RSA-Verfahrens (Rivest, Shamir, Adleman) asymmetrisch mit dem öffentlichen Teil des AD RMS Server-Schlüssels codiert und in einer sogenannten Publishing License (PL) zusammengefasst. Diese PL und die AES-verschlüsselten Inhalte ergeben zusammen die geschützte Office-Datei. Aktuell werden AES-256 und RSA-2048 unterstützt.
Flexible Berechtigungsvergabe
Für die Vergabe von Berechtigungen gibt es grundsätzlich drei Möglichkeiten. Erstens können die Rechte durch den Benutzer direkt im Dokument mit Hilfe der entsprechenden Office-Anwendung definiert und zugewiesen werden. Hierbei bleibt die Verantwortung für die Korrektheit vollständig beim User, was diesem zwar die maximale Freiheit bei der Rechtevergabe lässt, aber auch zur Fehleranfälligkeit neigt.
Zweitens gibt es die Möglichkeit, die Berechtigungen anhand von im AD verwalteten Verteilerlisten zu spezifizieren. Es erfolgt dann lediglich die Auswahl einer solchen Liste, ähnlich der Verwendung von Verteilern beim Versenden von E-Mails, und die anschließende Festlegung der Rechte. Drittens lassen sich Berechtigungen in Form von Templates von dafür autorisierten Benutzern vordefinieren. Der publizierende User wählt in diesem Fall nur noch eines der vorgegebenen Templates aus.
Beim Konsumieren der Datei stellt die betreffende Office-Anwendung zunächst fest, dass ein IRM-Schutz besteht und gibt sie an den AD RMS-Client weiter. Dieser extrahiert die PL und sendet sie an den AD RMS-Server. Dort wird die PL entschlüsselt und nach erfolgreichen Überprüfungen eine sogenannte Use License (UL) erzeugt. Diese enthält im Wesentlichen die Zugriffsberechtigungen für die zu konsumierende Datei und den zur Entschlüsselung der Inhalte benötigten AES-Schlüssel. Beides ist mit dem öffentlichen Schlüssel des anfragenden Benutzers RSA-verschlüsselt. Dann wird die UL zurück an der AD RMS Client gesendet. Dieser entschlüsselt die erhaltene Information und anschließend den Dateiinhalt.
Die Office-Anwendung öffnet nun die Datei, wertet die für den Benutzer vergebenen Rechte aus und verhält sich entsprechend dieser Vorgaben. Um den Anforderungen des mobilen Arbeitens gerecht zu werden, kann das System so konfiguriert werden, dass nicht bei jedem Öffnen der Dateien eine Verbindung zum AD RMS-Server aufgebaut werden muss (Offline-Funktionalität). Die wesentlichen Funktionsmerkmale bleiben dabei zwar erhalten, aber es ergeben sich dennoch Einschränkungen. So wird beispielsweise der Entzug von Berechtigungen nicht unmittelbar wirksam.
Anpassungsbedarf bei Nicht-IRM-Anwendungen
An diesem Punkt werden nun die Anforderungen an die betreffenden Benutzeranwendungen klar. Diese müssen mit IRM-geschützten Dateien umgehen und mit dem AD RMS-Client kommunizieren können. Für das Publizieren sind entsprechende Benutzerdialoge für die Aktivierung der IRM-Funktionalität und die eigentliche Berechtigungsvergabe bereitzuhalten. Beim Konsumieren müssen zudem die definierten Rechte in der Benutzerschnittstelle durchgesetzt werden. Dies kann auf verschiedene Arten erfolgen. Im einfachsten Fall erhält der User eine Fehlermeldung, wenn er eine Aktion durchführen will, für die er keine Berechtigung besitzt. Deutlich benutzerfreundlicher sind Lösungen, bei denen die entsprechenden Interaktionselemente deaktiviert werden.
Sollen andere als MS Office-Applikationen zur Verwendung kommen, entsteht beim Einsatz von IRM, sofern überhaupt möglich, im Regelfall Entwicklungsaufwand für die Anpassung der Benutzeranwendungen. Die dafür anfallenden Kosten sollten stets in Relation zum erzielten Nutzen betrachtet werden. Unschön ist hierbei auch der Umstand, dass aufgrund derzeit fehlender Standardisierung eine herstellerübergreifende IRM-Unterstützung den Entwicklungsaufwand weiter erhöht. Gegebenenfalls kann auf bereits vorbereitete Standardprodukte zurückgegriffen werden. Beispielsweise bietet Gigatrust ein AD RMS-fähiges Plug-In für den Adobe Reader an und auch der Foxit Reader unterstützt AD RMS. Andererseits ist es aber nicht ohne weiteres möglich, eine mit MS-Office publizierte Datei mit OpenOffice zu öffnen oder zu bearbeiten.
Eine weitere Herausforderung stellt unter Umständen die Bedingung dar, dass alle teilnehmenden Benutzer im AD verwaltet werden müssen. Gilt es beispielsweise externe Mitarbeiter in das IRM einzubeziehen, so lassen sich diese entweder im internen AD verwalten oder es müssen Active Directory Federation Services (ADFS) oder anderweitige Trusts implementiert werden, was meist nicht nur technische, sondern auch strategische und organisatorische Entscheidungen erfordert.
Fazit
Zusammenfassend lässt sich sagen, dass IRM nicht als Ersatz der eingangs genannten klassischen Schutzmethoden gesehen werden sollte. Es kann aber im Zusammenspiel mit diesen die Sicherheit von Unternehmensinformationen durch das Schließen weiterer Sicherheitslücken deutlich erhöhen. Grundvoraussetzung ist das Bewusstsein über die vorhandenen Informationswerte und deren Klassifikation hinsichtlich ihres Schutzbedarfs. Es macht wenig Sinn, pauschal alle Dateien mit IRM zu schützen.
Es ist auch klar, dass der erzielte Schutz seine Grenzen hat. Es besteht natürlich immer die Möglichkeit, Bildschirminhalte abzufotografieren oder Bildschirmwerkzeuge zu verwenden, die Screenshots aufgrund von direkt aus der Grafikkarte ausgelesenen Daten erzeugen. Die Hürden für unabsichtlichen oder vorsätzlichen Missbrauch von Informationen werden aber vergleichsweise deutlich erhöht.
Jürgen Engel, Senior Consultant mit Schwerpunkt Sicherheitsmanagement und IRM bei der Secaron AG/ln
Das Publizieren geschützter Dateien erfolgt direkt aus der jeweiligen Office-Anwendung heraus. Mittels des AD RMS-Clients wird transparent für den Benutzer der entsprechende Dateiinhalt mit dem symmetrischen Advanced Encryption Standard (AES) Verfahren verschlüsselt. Unter anderem werden der hierbei verwendete Schlüssel und die vergebenen Berechtigungsinformationen anhand des RSA-Verfahrens (Rivest, Shamir, Adleman) asymmetrisch mit dem öffentlichen Teil des AD RMS Server-Schlüssels codiert und in einer sogenannten Publishing License (PL) zusammengefasst. Diese PL und die AES-verschlüsselten Inhalte ergeben zusammen die geschützte Office-Datei. Aktuell werden AES-256 und RSA-2048 unterstützt.
Flexible Berechtigungsvergabe
Für die Vergabe von Berechtigungen gibt es grundsätzlich drei Möglichkeiten. Erstens können die Rechte durch den Benutzer direkt im Dokument mit Hilfe der entsprechenden Office-Anwendung definiert und zugewiesen werden. Hierbei bleibt die Verantwortung für die Korrektheit vollständig beim User, was diesem zwar die maximale Freiheit bei der Rechtevergabe lässt, aber auch zur Fehleranfälligkeit neigt.
Zweitens gibt es die Möglichkeit, die Berechtigungen anhand von im AD verwalteten Verteilerlisten zu spezifizieren. Es erfolgt dann lediglich die Auswahl einer solchen Liste, ähnlich der Verwendung von Verteilern beim Versenden von E-Mails, und die anschließende Festlegung der Rechte. Drittens lassen sich Berechtigungen in Form von Templates von dafür autorisierten Benutzern vordefinieren. Der publizierende User wählt in diesem Fall nur noch eines der vorgegebenen Templates aus.
Beim Konsumieren der Datei stellt die betreffende Office-Anwendung zunächst fest, dass ein IRM-Schutz besteht und gibt sie an den AD RMS-Client weiter. Dieser extrahiert die PL und sendet sie an den AD RMS-Server. Dort wird die PL entschlüsselt und nach erfolgreichen Überprüfungen eine sogenannte Use License (UL) erzeugt. Diese enthält im Wesentlichen die Zugriffsberechtigungen für die zu konsumierende Datei und den zur Entschlüsselung der Inhalte benötigten AES-Schlüssel. Beides ist mit dem öffentlichen Schlüssel des anfragenden Benutzers RSA-verschlüsselt. Dann wird die UL zurück an der AD RMS Client gesendet. Dieser entschlüsselt die erhaltene Information und anschließend den Dateiinhalt.
Die Office-Anwendung öffnet nun die Datei, wertet die für den Benutzer vergebenen Rechte aus und verhält sich entsprechend dieser Vorgaben. Um den Anforderungen des mobilen Arbeitens gerecht zu werden, kann das System so konfiguriert werden, dass nicht bei jedem Öffnen der Dateien eine Verbindung zum AD RMS-Server aufgebaut werden muss (Offline-Funktionalität). Die wesentlichen Funktionsmerkmale bleiben dabei zwar erhalten, aber es ergeben sich dennoch Einschränkungen. So wird beispielsweise der Entzug von Berechtigungen nicht unmittelbar wirksam.
Anpassungsbedarf bei Nicht-IRM-Anwendungen
An diesem Punkt werden nun die Anforderungen an die betreffenden Benutzeranwendungen klar. Diese müssen mit IRM-geschützten Dateien umgehen und mit dem AD RMS-Client kommunizieren können. Für das Publizieren sind entsprechende Benutzerdialoge für die Aktivierung der IRM-Funktionalität und die eigentliche Berechtigungsvergabe bereitzuhalten. Beim Konsumieren müssen zudem die definierten Rechte in der Benutzerschnittstelle durchgesetzt werden. Dies kann auf verschiedene Arten erfolgen. Im einfachsten Fall erhält der User eine Fehlermeldung, wenn er eine Aktion durchführen will, für die er keine Berechtigung besitzt. Deutlich benutzerfreundlicher sind Lösungen, bei denen die entsprechenden Interaktionselemente deaktiviert werden.
Sollen andere als MS Office-Applikationen zur Verwendung kommen, entsteht beim Einsatz von IRM, sofern überhaupt möglich, im Regelfall Entwicklungsaufwand für die Anpassung der Benutzeranwendungen. Die dafür anfallenden Kosten sollten stets in Relation zum erzielten Nutzen betrachtet werden. Unschön ist hierbei auch der Umstand, dass aufgrund derzeit fehlender Standardisierung eine herstellerübergreifende IRM-Unterstützung den Entwicklungsaufwand weiter erhöht. Gegebenenfalls kann auf bereits vorbereitete Standardprodukte zurückgegriffen werden. Beispielsweise bietet Gigatrust ein AD RMS-fähiges Plug-In für den Adobe Reader an und auch der Foxit Reader unterstützt AD RMS. Andererseits ist es aber nicht ohne weiteres möglich, eine mit MS-Office publizierte Datei mit OpenOffice zu öffnen oder zu bearbeiten.
Eine weitere Herausforderung stellt unter Umständen die Bedingung dar, dass alle teilnehmenden Benutzer im AD verwaltet werden müssen. Gilt es beispielsweise externe Mitarbeiter in das IRM einzubeziehen, so lassen sich diese entweder im internen AD verwalten oder es müssen Active Directory Federation Services (ADFS) oder anderweitige Trusts implementiert werden, was meist nicht nur technische, sondern auch strategische und organisatorische Entscheidungen erfordert.
Fazit
Zusammenfassend lässt sich sagen, dass IRM nicht als Ersatz der eingangs genannten klassischen Schutzmethoden gesehen werden sollte. Es kann aber im Zusammenspiel mit diesen die Sicherheit von Unternehmensinformationen durch das Schließen weiterer Sicherheitslücken deutlich erhöhen. Grundvoraussetzung ist das Bewusstsein über die vorhandenen Informationswerte und deren Klassifikation hinsichtlich ihres Schutzbedarfs. Es macht wenig Sinn, pauschal alle Dateien mit IRM zu schützen.
Es ist auch klar, dass der erzielte Schutz seine Grenzen hat. Es besteht natürlich immer die Möglichkeit, Bildschirminhalte abzufotografieren oder Bildschirmwerkzeuge zu verwenden, die Screenshots aufgrund von direkt aus der Grafikkarte ausgelesenen Daten erzeugen. Die Hürden für unabsichtlichen oder vorsätzlichen Missbrauch von Informationen werden aber vergleichsweise deutlich erhöht.
<<Vorherige Seite Seite 2 von 2
Jürgen Engel, Senior Consultant mit Schwerpunkt Sicherheitsmanagement und IRM bei der Secaron AG/ln