Ein Right Management Service (RMS) ermöglicht es, vertrauliche Daten und Dateien überall vor unerlaubtem Zugriff zu schützen. Die Kontrolle über die Zugriffsberechtigung ist jederzeit gewährleistet, egal, ob die Daten auf dem Firmenserver, auf einem fremden Rechner oder in einer Cloud gespeichert sind.

Ein mögliches Szenario: Ein Mitarbeiter eines KMU schickt Finanzkennzahlen an einen externen Berater zur Prüfung. Er übermittelt die entsprechende Datei als Anhang in einem E-Mail. Solange die Datei auf den Rechnern des Unternehmens bleibt, hat dieses die Kontrolle darüber, was mit der Datei geschieht. Wenn jedoch die Datei das Unternehmen verlässt, geht die Kontrolle verloren. Es bleibt nur die Hoffnung, dass der Empfänger die Daten vertraulich behandelt und sorgfältig damit umgeht. Ganz zu schweigen vom Risiko, dass unterwegs ein Unbefugter sich der Daten bemächtigt. Dabei spielt es keine Rolle, ob die Datei per E-Mail oder einen anderen Dienst geteilt wird. Sobald die Datei auf einem fremden Rechner liegt, verliert der Eigentümer die Kontrolle. Genau hier greift der Right Management Service ein, indem er die Kontrolle über die Zugriffsberechtigung jederzeit gewährleistet, egal, wo sich die Daten befinden.

IT-SicherheitIn den vergangenen Jahren hat sich die Unternehmens-IT darauf konzentriert, die Unternehmensgrenze, den sogenannten Perimeter, zu schützen. Die Prämisse war: Alle innerhalb eines Perimeters sind vertrauenswürdig, alle «da draussen» sind es nicht. Innerhalb des Unternehmens hat man durch Berechtigungen und Systemgrenzen definiert, wer welche Informationen sehen oder bearbeiten darf. Man hat im Wesentlichen darauf gesetzt, dass Systeme die Daten schützen. Zusätzlich hat man mit Information und Schulung die Mitarbeiter daraufhin sensibilisiert, mit Daten sorgfältig umzugehen und diese nur wenn notwendig mit Dritten zu teilen. In ganz heiklen Fällen hat man mit Verschlüsselung gearbeitet – wobei das Schlüsselmanagement eine diffizile Angelegenheit ist.

Neue Anforderungen
Inzwischen ist die Zusammenarbeit der Unternehmen stark gewachsen, die Vernetzung ist grösser geworden. Das hat dazu geführt, dass immer mehr Dokumente via E-Mail, USB-Stick oder Cloud-Services ausgetauscht werden. Die unternehmenseigenen Rechtemassnahmen funktionieren zwar intern, nicht aber ausserhalb der Firma. Der Perimeter ist löchrig geworden bzw. hat sich erweitert, sodass die technische Kontrolle über die Daten nicht mehr gewährleistet ist. Ein weiteres Risiko besteht, wenn Mitarbeiter, die das Unternehmen verlassen haben, weiterhin auf Unternehmensdokumente zugreifen können, die bereits in ihrem Besitz sind oder deren Schlüssel sie noch besitzen. Hinzu kommen Anforderungen aus Branchenverbänden und Gesetzgebung an die Vertraulichkeit und das Rechtemanagement.

Dateigebundener Schutz
Ein RMS wie beispielsweise das Microsoft Azure Rights Management löst die angesprochenen Probleme, indem es die Daten selber und nicht das System schützt. Das RMS legt eine Art Hülle, einen Wrapper, um die jeweilige Datei. Diese Hülle verhindert den direkten Zugriff auf die Daten und sorgt dafür, dass sich die Nutzer identifizieren müssen. Dadurch wird sichergestellt, dass nur berechtigte User auf eine Datei zugreifen können. Das Microsoft Azure Rights Management (Azure RMS) ermöglicht es so, sensible Daten einer Organisation vor nicht autorisiertem Zugriff zu schützen. Ebenso kann es steuern, wie diese Informationen verwendet werden. Azure RMS ist ein Cloud-Dienst, der auch in anderen Microsoft-Cloud-Diensten und -Anwendungen wie Office 365 und Azure Active Directory integriert ist.

touchscreenSicherheit jederzeit gewährleistet
Wie oben beschrieben, verwendet RMS Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien, um Dateien und E-Mails besser zu schützen. Im Vergleich zu Standard-Zugriffssteuerungsverfahren wie NTFS-Berechtigungen bleibt der mithilfe von RMS angewendete Schutz unabhängig vom Ort an die Dateien und E-Mails gebunden – innerhalb und ausserhalb der Organisation bzw. der Netzwerke, Dateiserver und Anwendungen. Dank dieser Lösung ist der Schutz der Information garantiert, auch wenn sie für andere Personen freigegeben wird.

Frei wählbare Schutzmöglichkeiten
Es ist möglich, eine Datei beispielsweise so zu konfigurieren, dass nur Personen innerhalb des Unternehmens darauf zugreifen können. Man kann auch bestimmen, ob die Datei schreibgeschützt nur gelesen oder ob sie auch bearbeitet oder gedruckt werden darf. E-Mails können ganz ähnlich konfiguriert werden. So kann man beispielsweise verhindern, dass diese weitergeleitet werden, indem man die Verwendung der Option «Allen antworten» unterbindet. Solche Schutzaufgaben können mit standardisierten Richtlinienvorlagen vereinfacht und optimiert werden.

Interessiert?
Gerne geben die first frame networkers weitere Auskünfte und zeigen, wie sie RMS im eigenen Unternehmen umgesetzt haben. Kontakt: info@firstframe.net oder Telefon 041 768 08 00.

Marco Nicoletti

Die Weiterbildung zieht sich als Konstante durch das Berufsleben von Marco Nicoletti – vom Microsoft Certified IT Professional über den Informatiker mit eidgenössischem Diplom bis zum Fortinet Certified Network and Security Professional und Senior System Engineer. Heute nimmt er als Geschäftsleitungsmitglied die Verantwortung als CTO wahr. Das sportliche Interesse von Marco Nicoletti gilt hauptsächlich dem Badminton, sowohl als aktiver Sportler als auch als Vizepräsident des BC Steinhausen. Als Zuschauer lässt er sich ausserdem von Eishockey (EVZ!) und Fussball begeistern.

Marco Nicoletti