Dokumente mit IRM zuverlässig schützen

Die heutige digitale Welt erlaubt es jeder Person, zu jeder Zeit von jedem Ort auf benötigte Informationen zuzugreifen. Teams arbeiten firmenübergreifend an gemeinsamen Projekten und sind somit produktiver und sparen Kosten. Die Arbeitszeiten werden flexibler, Berufs- und Privatleben gehen immer mehr ineinander über. Während der Arbeit im Projekt wird mit den Freunden auf Facebook kommuniziert und es werden sowohl dienstliche, als auch private Endgeräte verwendet.

Während die Mitarbeiter die vielen Möglichkeiten der Kommunikation und des Datenaustausches schätzen, bereitet diese Entwicklung den IT-Sicherheitsverantwortlichen und Geschäftsführern Sorgen. Sie fürchten, dass kritische Firmendaten unkontrolliert die Firma verlassen und zum Wettbewerber abwandern. Die Wege sind vielfältig, klassisch ist etwa der absichtliche oder unabsichtliche Versand per E-Mail. Zudem können vertrauliche Daten das Unternehmen auf einem USB-Stick und Smartphone verlassen, oder IT-Datenträger werden verloren oder gestohlen. Zusätzlich kommen neue Gefahren hinzu, wie das Einstellen von Informationen auf sozialen Plattformen. Um diese Schwachstellen zu beheben, gibt es Produkte aus dem Bereich Data Leakage Prevention (DLP).

Secure Eraser Standard Edition
Secure Eraser Standard Edition verwendet beim Löschen fünf allgemein anerkannte und bewährte Standards und löscht Ihre sensiblen Daten endgültig von der Festplatte.

Virustotal Uploader
Mit dem Gratis-Programm Virustotal Uploader des Sicherheitsunternehmens Hispasec lassen sich verdächtige Dateien zu einem Online-Dienst hochladen, der die Datei mit mehr als 40 Virenscannern prüft. Statt wie bisher nur eine können Anwender mit der neuen Programmversion bis zu fünf Dateien auf einen Rutsch hochladen, die jeweils bis zu 20 MB groß sein dürfen. Außerdem können Benutzer nun vor dem Hochladen prüfen, ob diese Datei bereits von jemand anderem eingeschickt worden ist.

Windows 7 Firewall Control
Windows 7 Firewall Control will die Usability der Firewall in Windows 7 verbessern, indem es sie durch eine Reihe von Funktionen ergänzt. Nach der Installation meldet das Programm jede Anwendung, die Daten ins Internet senden will. Wenn Windows 7 Firewall Control ein Programm meldet, das Zugriff aufs Internet fordert, schlägt es gleich eine Regel für das Programm vor, die Sie anwenden können.

Aborange Crypter
Um Ihre Dateien, Texte und Mails zu verschlüsseln, arbeitet Aborange Crypter nach dem AES-Verfahren mit 256-Bit-Verschlüsselung. Dank des integrierten Kennwortgenerators haben Sie immer gleich einen guten Zugangscode parat. Dabei zeigt das Tool die Qualität des Passworts an. Damit niemand Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher. Aborange Crypter überzeugt durch seine einfache Bedienung.

Active Kill Disk
Mit Active Kill Disk löschen Sie vertrauliche Daten auf internen und externen Festplatten, Disketten oder USB-Sticks. Es überschreibt die Inhalte entweder auf der Windows- oder auf der DOS-Ebene. So sind Dateien auch nicht mit Spezial­programmen wiederherstellbar. In der kostenlosen Version von Active Kill Disk wird nur die Löschmethode „One Pass Zeros“ angeboten. In der rund 40 Dollar teuren Professional-Version können Sie aus weiteren 16 Methoden wählen.

Avast Free Antivirus
Die Software Avast Free Antivirus zur Virenabwehr ist lediglich für Privatanwender bei nicht-kommerzieller Nutzung kostenlos. Das Programm scannt Windows samt Anwendungen oder Teile davon, wobei auch externe Medien untersucht werden können. Außerdem lassen sich Archive in den gängigen Formaten durchsuchen. Zusätzlich steht Ihnen mit Avast Free Antivirus ein residenter Virenschutz zur Verfügung, der im Hintergrund aktiv ist und permanent nach Bedrohungen fahndet.

Comodo Desktop Firewall
Die Comodo Desktop Firewall für Windows-PCs überwacht im Hintergrund sämtlichen ein- und ausgehenden Datenverkehr. Für mehr als 10.000 populäre und laut Hersteller als sicher geltende Anwendungen werden die Zugriffsregeln automatisch erstellt. Andere Programme muss der Nutzer bestätigen. Für ein Plus an Sicherheit sorgen die Komponentenkontrolle sowie die Verhaltensanalyse, die etwa Trojaner und Spyware-Tools aufgrund verdächtiger Verhaltensmuster erkennt.

Emsisoft Free Emergency Kit
Emsisoft Free Emergency Kit ist ein Gratis-Paket und enthält vier Programme zum Scannen und Reinigen von möglicherweise infizierten PCs: Emergency Kit Scanner, Commandline Scanner, Hijack Free und Blitz Blank. Die Tools lassen sich ohne Installation starten und eignen sich somit auch für die Mitnahme auf USB-Stick, um etwa fremde PCs auf Malware-Befall zu prüfen.

Emsisoft Anti-Malware
Emsisoft Anti-Malware kennt nach Angaben der Entwickler über vier Millionen Malware-Programme wie Viren, Keylogger, Würmer, Backdoors, Spyware, oder prblematische Scripts. Für 30 Tage ab Installation sind alle Schutzfunktionen aktiviert. Nach Ablauf der Testphase wechselt Anti-Malware in einen eingeschränkten, kostenlosen Scanner-Modus, mit dem Sie Ihren PC auf Malware scannen.

Gpg4win
Verbergen und signieren Sie die vertraulichen Inhalte in Mails mit Hilfe des Programms Gpg4win vor neugierigen und unbefugten Blicken. Zusätzlich verschlüsseln Sie Dateien vor dem Versand als Mailanhang oder vor dem Kopieren auf USB-Stick. Gpg4win ist ein empfehlenswertes Gesamtpaket zur Mail- und Dateiverschlüsselung, basierend auf dem bewährten GPG-Standard (Gnu Privacy Guard). Von Ihrem eigenen Schlüssel sollten Sie unbedingt ein Backup erstellen.

HD Shredder Free Edition
Auch HD Shredder Free Edition löscht die Festplatten zuverlässig und sicher, sodass es kaum noch möglich ist, die Daten zu rekonstruieren, und Sie die Medien ohne Gefahr für Ihre Privatsphäre weitergeben können. Das Sicherheits-Tool wird entweder auf CD gebrannt oder auf USB-Stick kopiert und als bootfähiges Medium gestartet. Nutzen Sie dann die Löschfunktionen.

Online Armor Firewall
Die Online Armor Firewall übernimmt die Kontrolle über den ein- sowie ausgehenden Datenverkehr. Viele Applikationen kennt die Software und richtet sie mit entsprechenden Zugriffsregeln ein. Online Armor bietet eine Anwendungskontrolle, mit der Programmstarts überwacht werden. Der Anwender muss den gewünschten Start manuell bestätigen oder blockieren.

Password Agent
Man kann es eigentlich nicht oft genug sagen: Für mehrere Anwendungen oder Logins dasselbe Passwort zu verwenden, ist ebenso riskant wie Passwörter auf dem PC unverschlüsselt abzulegen. Sicherer ist dagegen Password Agent, ein kostenloses Tool, das sich entweder auf Ihrem Rechner oder einem USB-Stick installieren lässt. Sie müssen sich nun nur noch ein Master-Passwort merken und können dennoch sicher sein, dass niemand an Ihre Daten kommt.

PC Tools Antivirus Free 2011
PC Tools Antivirus Free 2011 erkennt und entfernt Viren sowie weitere Schadprogramme aller Art und schützt den PC dauerhaft. Neben der Schutzfunktion für Dateien gibt es einen Mailwächter für Microsoft Outlook, der alle ein- und ausgehenden Nachrichten automatisch untersucht. Bei der Inbetriebnahme sollten Sie regelmäßige Scan-Vorgänge einstellen.

Returnil System Safe 2011
Bei Returnil System Safe 2011 lassen sich für den Privatgebrauch die Funktionen Anti-Malware und Anti-Spyware sowie Virtual Mode kostenlos nutzen. Die Cloud-Anbindung sorgt dafür, dass der Anwender frühzeitig vor potenziell gefährlichen Angreifern gewarnt und geschützt wird. Returnil System Safe besitzt einen virtuellen Modus, mit dem Sie unbesorgt im Web surfen können.

Allerdings stellt sich oft die Herausforderung, dass kritische Informationen das Unternehmen verlassen müssen, seien es Daten für den Lieferanten von Komponenten oder Vorprodukten, Finanzdaten für die Hausbank oder einen Kapitalgeberoder Informationen für die Produktion im Ausland. Hier helfen Data-Leakage-Produkte nicht weiter. Sind vertrauliche Informationen einmal aus dem Einflussbereich des Unternehmens nach außen abgeflossen, so unterliegen sie keinem Schutz mehr.

Data Leakage Protection (DLP)

Klassische DLP-Lösungen schützen den Abfluss von kritischen Informationen an Schnittstellen wie USB-Ports, lokale Netze, WLANs, DVDs sowie über den E-Mail-Versand. Beim Datenaustausch via LAN oder WLAN lässt sich kontrollieren, ob eine Datei in einem bestimmten Verzeichnis abgelegt oder eine Datei auf einen USB Stick kopiert werden darf.

Auch dabei gibt es verschiedene Varianten, vom expliziten Verbot und dem Sperren der Schnittstelle, bis zu einer Benutzermeldung, in der aufgefordert wird zu erklären, warum diese Daten auf einen Stick kopiert werden soll. Dabei erfolgt in der Regel auch ein Protokolleintrag, um den Vorgang nachvollziehbar zu machen. Man kann sich also eine DLP-Lösung als einen Wächter vorstellen, der Ein- und Ausgänge kontrolliert.

IRM schützt Daten, nicht Übertragungswege

Abhilfe schaffen IRM-Produkte (Information Rights Management). Ihr Schutzmechanismus basiert nicht auf einer Kontrolle von Wegen, sondern ist direkt an die Information geknüpft. Die Datei wird verschlüsselt und ist unabhängig von ihrem Übertragungsweg oder Speicherort geschützt.

Zusätzlich können Berechtigungen sehr granular vergeben werden. So ist es beispielsweise möglich, einem Benutzer das Recht zum Lesen und Ändern des Dokumentes für die Zusammenarbeit zu geben, ihn aber hinsichtlich des Ausdruckens oder gar Entschlüsselns des Dokumentes zu beschränken. Zusätzlich kann der Schutz zeitlich begrenzt vergeben werden, wenn die Information etwa nicht mehr benötigt. Dies kann insbesondere bei der Projektarbeit von hohem Nutzen sein.

So funktioniert Information Rights Management

IRM verschlüsselt eine Datei und setzt vom Autor des Dokumentes definierte Rechte durch. Damit ist eine Kontrolle über Dokumente sowohl innerhalb, wie auch außerhalb des Unternehmens möglich. Beim Öffnen des Dokumentes wird eine Anfrage an den zentralen IRM-Server gestellt, der dann, abhängig von der Gruppe, in der der Benutzer angelegt ist, Berechtigungen erteilt.

Ein Dokument, das auf dem Fileserver abgelegt wird, ist per IRM geschützt. Ein berechtigter Benutzer kann es öffnen und bearbeiten. Gibt es einen Kollegen, der die Informationen ebenfalls benötigt, ist es heute gängige Praxis, die Datei via E-Mail weiterzuleiten. Anstatt Berechtigungen über die Administration zu klären, werden Informationen "freihändig" weitergegeben, was zu einem Kontrollverlust über dieses Dokument führt.

Ist ein IRM installiert, kann der Kollege das empfangene Dokument nicht öffnen, da er dazu keine Berechtigung hat. Das Dokument bleibt also geschützt. Damit ist auch die Schwachstelle, dass kritische Daten unabsichtlich per Mail extern verschickt oder auf einem USB Stick mitgenommen werden, behoben.

Um den Schutz eines Dokuments zu gewährleisten, vergibt üblicherweise der Autor die benötigten Rechte. Dafür werden von der IT Templates vorbereitet, die eine Berechtigungsvergabe einfach gestalten. Beispielsweise könnte das Merkmal "Intern" allen Mitarbeitern die Möglichkeit bieten, das Dokument zu lesen, zu drucken und zu ändern. Versucht ein interner Benutzer das Dokument zu öffnen, so wird für den Benutzer völlig unsichtbar eine Anfrage an den Schlüsselserver (IRM-Server) gestellt, der eine Berechtigung an ihn ausstellt. Die meisten Mitarbeiter merken nichts von der Verschlüsselung, solange sie das Dokument nur wie vorgesehen verwenden. Auch externe Benutzer werden in den am Markt befindlichen Lösungen zum Beispiel durch Proxy-Gateways und PKI-Integration unterstützt.

Um dabei nicht jeden externen Benutzer am eigenen IRM-Server anlegen zu müssen, kann auch eine Vertrauensstellung gegenüber dem Directory-Service eines Partners aufgebaut werden (SAML Federation). Damit liegt die Pflege der Benutzer beim Partner, die Kontrolle über die Dateien verbleibt aber im eigenen Unternehmen.

Informationen sicher exportieren

Bleibt die Frage, was passiert mit kritischen Informationen, die in zentralen Anwendungen und Datenbanken gespeichert sind. Solange Daten beispielsweise in einem ERP-System abgelegt sind, unterliegen sie dem Schutz des Berechtigungskonzeptes und vielleicht einer Datenverschlüsselung in der Datenbank. Werden jedoch Teile dieser Daten exportiert, weil sie für einen Geschäftspartner in einer Präsentation benötigt werden, so verlieren sie dabei ihren Schutz und sind bei Verlust für jeden einsehbar.

Auch hier kann IRM helfen, indem die Daten beim Export transparent verschlüsselt und mit bestimmten Rechten versehen werden. Einfach zu integrierende Schnittstellen (APIs) helfen den Herstellern von Datenbankanwendungen die Verschlüsselung mit wenigen Zeilen Code zu integrieren. Viele Dokumenten-Management-Systeme (etwa Sharepoint, Oracle DMS, Dokumentum) bieten daher bereits eine Schnittstelle an. Andere Anwendungen können auch über Automatisierung auf Verzeichnisebene Daten mit Verschlüsselung versehen. Auf diese Weise lassen sich auch komplexe Geschäftsprozesse abbilden, ohne dass zu einem Zeitpunkt die Kontrolle über die Daten und deren Schutz verloren geht.

Betrachtet man aktuelle Anbieter von IRM-Lösungen, so fällt auf, dass derzeit ein flächendeckender Schutz aller Dateiformate noch nicht möglich ist. Partner bieten hierfür vermehrt Plug-Ins für weitere Formate an, falls nicht der Hersteller dieses Format auf der Roadmap hat.

Anbieter von IRM Lösungen

Entscheidend für die Realisierung von IRM-Projekten ist die Unterstützung der verwendeten Anwendung. Die Hersteller unterstützen nur ausgewählte Anwendungen, da die Entwicklung und Integration von Plug-Ins sehr aufwändig ist.

ERM Vendor	ERM System Word	Word	Excel	Power- point	PDF	Visio	Outlook
Microsoft	Rights Management Services	Ja	Ja	Ja	Nein	Nein	Ja
Adobe	LiveCycle Rights Management ES	Ja	Ja	Ja	Ja	Nein	Nein *
Oracle	Information Rights Management	Ja	Ja	Ja	Ja	Ja	Ja
EMC	Information Rights Management	Ja	Ja	Ja	Ja	Nein	Ja

* mit Adobe Acrobat und PDF Format

In den Unternehmen ist oft nicht bekannt, welches Format von den Benutzern verwendet wird und wohin Daten geschickt werden. Analyse der Verarbeitungsprozesse schafft Klarheit über Datenformate, Verarbeitungsschritte und den Kreis der Berechtigten zu ermitteln. Es ist durchaus sinnvoll, ein IRM-Projekt frühzeitig zu starten und zumindest die besonders kritischen Informationen zu schützen. Das IRM kann dann im Laufe der Zeit auf andere Daten ausgedehnt und somit der Schutz sukzessive verbessert werden. Werden private Endgeräte im Firmennetz erlaubt, ist dies derzeit die einzige Möglichkeit, den Schutz der Daten zu gewährleisten.

Ideal: Eine Kombination aus DLP und IRM

IRM Lösungen helfen dabei kritische Daten über Unternehmensgrenzen hinweg zu schützen. Die Lösungen sind ausgereift und unterstützen die meisten Anwendungsszenarien benutzbarer und sicherer als alle bisherigen Verschlüsselungsverfahren (PGP, S/MIME) zu machen. Grundlage für den Schutz der Informationen ist aber die Klassifikation der Daten nach ihrer Kritikalität vor allem hinsichtlich der Vertraulichkeit.

Hier liegt auch noch der Schwachpunkt der Lösungen - eine Klassifikation muss in der Regel vom Ersteller beziehungsweise Autor vorgenommen werden. Ist diese nicht korrekt und wird das falsche Template mit zu vielen Rechten benutzt, so kann der Schutz umgangen werden.

Hier können wiederum DLP-Produkte mit entsprechenden Inhaltsfiltern helfen, die den Benutzer darauf hinweisen, dass ein Dokument einzustufen ist. Die IRM-Hersteller kooperieren hierbei bereits mit DLP-Anbietern. Eine gute Integration erfordert aber immer noch Handarbeit.

Im Idealfall sollte eine Kombination von DLP und IRM erfolgen, um erstens den unerwünschten Abfluss zu erkennen und zu unterbinden und zweitens Daten zu schützen, wenn sie Unternehmen verlassen müssen. Es erfolgt also die Kombination eines Tor-Wächters mit einem Datentresor. Mit einer Kombination aus Data Leakage Prevention (DLP) und Information Rights Management (IRM) lassen sich somit die Anforderungen der eng vernetzten Welt auch in Zukunft sicher abbilden. (hal)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.