Regelbasiertes DRM schützt kritische Informationen

bei

 / 16. October. 2017

Das Digitale Rechtemanagement bietet eine flexible, automatisierbare und praktikable Möglichkeit, um kritische Unternehmensdokumente wirksam vor unbefugten Zugriffen schützen.

Digitales Rechtemanagement (DRM) stammt ursprünglich aus der Musik- und Filmindustrie. In der Zwischenzeit nutzen Anwender DRM auch in weiteren Anwendungsszenarien wie dem Schutz kritischer Informationen. Der Grund dafür ist leicht nachzuvollziehen: Die früher üblichen Verfahren haben sich angesichts immer raffinierterer Angriffe auf IT-Systeme als nicht mehr ausreichend erwiesen. Dafür gibt es zwei Gründe: Erstens lassen sich externe Angreifer nicht mit hundertprozentiger Sicherheit von den eigenen Systemen aussperren. Zudem sind die traditionellen Methoden unwirksam, wenn Angriffe von innen erfolgen – etwa dann, wenn Daten von Mitarbeitern aus Unachtsamkeit oder Unkenntnis kompromittiert werden. Zweitens ist der Schutz des Zugriffs auf Daten beziehungsweise Dokumente in vielen Fällen unwirksam. Unternehmen schützen sich beispielsweise durch eine technische Schnittstellenkontrolle davor, dass Daten per E-Mail verschickt werden können. Das verhindert aber nicht den Datenabfluss per USB-Stick.

Im Unterschied zu herkömmlichen Methoden schützt DRM nicht die Zugriffe, sondern die Informationen selbst. Zunächst einmal müssen Unternehmen dazu Dokumente klassifizieren und abhängig von der Einstufung anschließend verschlüsseln. Infolgedessen haben nur Personen beziehungsweise Rollen, die über entsprechende Rechte verfügen, Zugriff auf die Daten. Allgemein zugänglich sind lediglich Dokumente, die als unkritisch eingestuft wurden. Ohne die erforderlichen Rechte ist kein Zugriff möglich, da das Dokument nicht entschlüsselt werden kann. DRM schützt das Dokument selbst, nicht aber den Kanal, auf dem es möglicherweise das Unternehmen verlässt. Administratoren etwa können ohne Sicherheitseinbußen Dateien kopieren und verschieben. Das Dokument bleibt verschlüsselt; der Administrator kann aus seiner Rolle keine Lese-Rechte ableiten.

Eine entscheidende Anforderung an ein auch in der Praxis wirksames DRM-Verfahren ist die möglichst weitgehende Automatisierung. Klassifizierung und Zugriffsmanagement können so regelbasiert ablaufen. Bei der Sicherheit gilt eine einfache Regel: Der Schutz muss einfach und praktikabel sein, weil die Nutzer ansonsten immer versuchen werden, ihn zu umgehen.

DRM basiert auf Regeln

Aus Sicht eines Bearbeiters läuft der DRM-Prozess so ab: Legt er eine Datei an, öffnet sich ein Pop-up-Fenster, das zwingend die Klassifikation abfragt. Ab einem zuvor festgelegten Level, beispielsweise „vertraulich“, wird die Datei verschlüsselt gespeichert. Um die Bedienbarkeit, aber auch die Gewährleistung einer systematischen und konsistenten Klassifizierung sicherzustellen, sollte dieser Basisprozess aber so weit wie möglich automatisiert werden. Bei einer regelbasierten Klassifizierung lassen sich verschiedene Ansatzpunkte unterscheiden:

  • Organisations-basierte Klassifizierung: Dokumente aus der Personalabteilung oder dem Bereich Forschung und Entwicklung werden immer als vertraulich eingestuft;
  • Rollen-basierte Klassifizierung: Einzelne Gruppen von Mitarbeitern, etwa Führungskräfte, IT-Administratoren oder Sachbearbeiter, erhalten immer, unter bestimmten Bedingungen oder nie Zugriff auf einzelne Klassen von Dokumenten;
  • Quellen-basierte Klassifizierung: Unterlagen aus bestimmten Anwendungen, wie der Lohn- und Gehaltsabrechnung oder aus CRM-Systemen, werden automatisch als vertraulich klassifiziert; das gleiche gilt, wenn Kopien davon beispielsweise in Word oder Excel weiterverarbeitet werden sollen;
  • Projekt-basierte Klassifizierung: Dokumente, die bei der Entwicklung neuer Produkte oder auch im Alltag in den dazu vorgesehenen Ordern abgelegt werden, zum Beispiel in Ordnern wie „Forschung und Entwicklung“ oder „Protokolle von Vorstandssitzungen“, werden automatisch klassifiziert und verschlüsselt gespeichert;
  • Content-basierte Klassifizierung: Eine modernere DRM-Lösung ist in der Lage, mit Hilfe von Schlüsselwörtern im Text, beispielsweise Kreditkartennummern, Kontonummern, Namen von Mitarbeitern und Kunden, im Text eine Klassifizierung vorzunehmen und die passende DRM-Stufe zuzuweisen.

Solche Klassifizierungen können nicht starr sein, sie müssen vielmehr über eine gewisse Dynamik verfügen. Mitarbeiter verlassen das Unternehmen und neue werden eingestellt. Ein lange Zeit vertrauliches Projekt ist nach der allgemeinen Markteinführung eines Produkts nur noch in Teilen vertraulich.

Mit DRM lassen sich nicht nur strukturierte kritische, sondern auch unstrukturierte Informationen sehr gut sichern. Bei Unternehmen aus allen Branchen haben seit einiger Zeit schon die außerhalb strukturierter Datenbanken vorgehaltenen Daten, beispielsweise Dokumente, Grafiken, Diagramme, Präsentationen, Fotos oder Videos, massiv zugenommen.

Eine DRM-Lösung ist in der Lage, alle Formen und Formate problemlos zu verarbeiten – und dies nicht nur mit Daten im unternehmenseigenen Rechenzentrum, sondern auch in der mobilen Welt. Tablets oder Smartphones können dann nicht nur online mit dem Rechteserver im Rechenzentrum kooperieren, damit klassifizierte Dokumente freigegeben werden. Administratoren sind in der Lage, auch offline bestimmte Rechte für einen Tag zu vergeben – nimmt der Mitarbeiter mit einem mobilen Gerät nicht innerhalb von 24 Stunden Verbindung mit dem Rechteserver auf, erlischt seine Berechtigung automatisch.

Ein regelbasiertes DRM erfüllt zwei zentrale Anforderungen: erstens Sicherheit durch Verschlüsselung und zweitens Praktikabilität durch weitgehende Automatisierung. DRM hat sich bereits bei vielen Unternehmen bewährt und ist auf dem besten Weg, sich als Standard zu etablieren.

Patrick Schraut, Autor des Artikels über regelbasiertes DRM

Der Autor: Patrick Schraut ist Vice President Consulting Europe und damit Teil des DACH-Management-Teams von NTT Security. Er begann seine Karriere in der Gruppe im Jahr 1999. Zunächst war er bei der Vorgängergesellschaft Articon Information Systems als IT Security Consultant tätig. Nach dem Zusammenschluss mit der Integralis Gruppe hat Schraut bei NTT Security den Bereich Identity & Access Management aufgebaut; seit 2010 ist er für den Bereich Consulting verantwortlich. Heute gehört auch der Bereich Governance, Risk & Compliance zu seinem Verantwortungsbereich.

Vorheriger ArtikelIT-Sicherheitsgesetz und EU-Datenschutzgrundverordnung
Nächster ArtikelSieben Tipps, wie Sie Datenschutzverletzungen vorbeugen können