DRM (Digital Rights Management) ist in Deutschland noch kein so großes Thema wie beispielsweise in den USA. Allerdings wird die Bedeutung in der nächsten Zeit mit Sicherheit steigen, weil die Compliance-Anforderungen – also das Einhalten gesetzlicher Regelungen beispielsweise für den Schutz von Finanzdaten und anderen digitalen Informationen – strenger geworden sind und daher der Druck auf die Unternehmen wächst.
Leider gibt es derzeit noch keine wirklich brauchbaren Standards für den Aufbau von DRMLösungen, die anwendungs- und herstellerübergreifend arbeiten. Mit XRML (Extensible Rights Markup Language) gibt es zwar einen Basisstandard für die Beschreibung von Zugriffsberechtigungen, der reicht aber noch nicht für interoperable Implementierungen von DRM-Systemen aus.
Die Windows RMS (Rights Management Services) sind mit dem Service Pack 1 auf einem Stand, der eine produktive Nutzung erlaubt. Mit ihnen können E-Mails, Office-Dokumente und andere Informationen durch Verschlüsselung geschützt werden. Die Entschlüsselung erfolgt nur, wenn ein Benutzer die erforderlichen Zugriffsberechtigungen dafür hat.
Der Aufbau einer Umgebung für das Management von digitalen Rechten ist nicht trivial. In diesem Artikel wird zunächst die Installation und Basiskonfiguration der Windows RMS beschrieben. Weitere Aspekte der Planung und Nutzung werden in loser Folge in weiteren Artikeln in Expert’s inside Windows NT/2000 behandelt werden.
Die Installation
Für die Windows RMS werden mehrere Komponenten benötigt. Die Basis bildet der RMS-Server, der auf einem Windows Server 2003 mit den IIS und dem Microsoft .NET Framework 1.1 sowie den MSMQ-Diensten installiert werden kann. Zusätzlich werden noch ein Datenbankserver wie beispielsweise der Microsoft SQL Server und das Active Directory benötigt. Die Zertifikatsdienste sind für das Management digitaler Zertifikate ebenfalls erforderlich.
Außerdem muss der RMS-Client installiert werden, der die Verbindung zwischen den Clients und dem RMS-Server verwaltet. Darüber hinaus müssen RMS-aktivierte Anwendungen wie Microsoft Office 2003 zur Verfügung stehen. Auch der Internet Explorer kann mit den RMS genutzt werden. Für ihn gibt es ein spezielles Add-On.
Die Installation der Software selbst auf einem Server ist innerhalb weniger Minuten erledigt, wenn die genannten Installationsvoraussetzungen erfüllt sind. Die größere Hürde liegt in der anschließenden Konfiguration. Nach der Installation kann gleich auf die Administrations-Website zugegriffen werden (Bild 1). Dort müssen Informationen wie der Name der Datenbank, das Dienskonto, die URLs und weitere Daten eingegeben werden.
Es kann mit einer lokalen MSDE oder eine vollen Installation des SQL Servers gearbeitet werden. Letzteres ist empfehlenswert, damit mehrere RMS-Server einen Datenbankserver gemeinsam nutzen können. Da schon aus Gründen der Lastverteilung und Verfügbarkeit in der Regel immer mehrere Server erforderlich sind, wird man in der Praxis immer mit dieser Installationsvariante arbeiten. Nur in Testumgebungen macht ein lokaler Server Sinn. Die Grundkonfiguration des Servers dauert einige Minuten, weil noch die erforderlichen Datenstrukturen in der Datenbank angelegt werden müssen.
Server Enrollment
Im Rahmen der Installation ist auch ein digitales Zertifikat von Microsoft erforderlich, das mit dem öffentlichen Schlüssel der Microsoft Enrollment Services signiert ist. Mit diesem Zertifikat können weitere Schlüssel erstellt werden. Das Zertifikat von Microsoft ist erforderlich, um durch den RMS geschützte Informationen auch außerhalb des eigenen Unternehmens nutzen zu können.
Die Anforderung des Zertifikats kann online erfolgen, wenn der RMS-Server eine Internet-Verbindung hat. Optional kann aber auch mit Offline-Anforderungen gearbeitet werden. Die Anforderungsdatei lässt sich automatisch über die Administrations-Website generieren. Sie wird anschließend an einen URL auf Microsofts Website übergeben, von dem direkt anschließend das Zertifikat zurückgeliefert wird. Dieses muss nur noch beim RMS-Server importiert werden. Die Offline-Anforderung ist gut dokumentiert und innerhalb weniger Mausklicks abgeschlossen (Bild 2).
Administration
Danach kann die eigentliche Administration der RMS über die Verwaltungsschnittstelle (Bild 3) erfolgen. Im Bereich Trust Policies werden vertraute Domänen definiert. Damit lassen sich neben den Benutzern des aktuellen Active Directory-Forests auch andere Benutzer einbinden. Das Modell der Vertrauensstellungen ist dem vom Active Directory bekannten recht ähnlich.
Zusätzlich können auch Benutzer über Microsoft Passport integriert werden. Allerdings wird Passport relativ wenig genutzt, so dass das wenig Sinn macht. Es spricht einiges dafür, dass Microsoft in zukünftigen Versionen auf die Unterstützung von Federation-Standards umstellen wird.
Neben der Konfiguration von Vertrauensstellungen gilt es vor allem, Vorlagen für die Vergabe von Berechtigungen zu konfigurieren. Diese Vorlagen legen Standardzugriffsberechtigungen fest. Sie können später digitalen Informationen zugeordnet werden. Damit müssen nicht mehr für jedes einzelne Dokument Zugriffsberechtigungen definiert werden. Das vereinfacht die Administration deutlich.
Durch die Verwendung von Vorlagen wird auch eine einheitliche Klassifikation von Informationen einfacher. Das schließt nicht aus, dass einzelne Benutzer spezielle Informationen auch mit anderen Berechtigungen schützen. In der Praxis werden aber die meisten Informationen über wenige vorgegebene Vorlagen gesichert werden, in denen beispielsweise unterschiedliche Berechtigungen für Finanzinformationen, E-Mails mit sensiblem Inhalt oder einfach nur generell unternehmensinterne Daten definiert werden.
Neben diesen Vorlagen muss man auch noch die Revocation konfigurieren. Revocation bedeutet den Entzug von Berechtigungen. Das Konzept gibt es auch bei digitalen Zertifikaten mit den CRLs (Certificate Revocation Lists). Bei der Revocation wird in den Vorlagen definiert, welche Informationen nicht mehr genutzt werden dürfen. In zusätzlichen Revocation-Listen wird angegeben, welche Benutzer keinen Zugriff mehr haben. Beide Listen werden publiziert und von den RMS-Systemen in regelmäßigen Abständen abgerufen. Dieser Ansatz hat allerdings den Nachteil, dass einige Zeit zwischen der Bereitstellung der Listen und ihrer Aktivierung vergeht, weil die Listen nicht sofort nach Änderungen von allen Systemen gelesen werden. Im Bereich der digitalen Zertifikate gibt es einen von Microsoft bisher noch nicht implementierten Standard OCSP (Online Certificate Status Protocol), über den bei jeder Überprüfung von Zertifikaten auch abgefragt wird, ob diese noch gültig oder schon zurückgezogen sind. Ein ähnliches Verfahren würde auch bei den RMS Sinn machen, selbst wenn es die Netz- und Serverlast doch deutlich erhöht.
Nun müssen noch die Clients eingerichtet werden. Nach Installation der Client-Software kann man beispielsweise in Microsoft Word mit dem vierten Symbol von links in der Standardsymbolleiste den Schutz von Dokumenten konfigurieren. Die Verbindung zu den RMS-Servern erfolgt automatisch, weil diese im Active Directory publiziert werden. Wenn der Client also erst einmal eingerichtet und die Vorlagen für die Berechtigungen konfiguriert sind, lassen sich Informationen recht einfach schützen.