Digitale Rechte richtig managen
Artikel erschienen in Swiss IT Magazine 2006/08
Die Installation der Software für die Windows Rights Management Services (RMS) ist einfach, wie in Heft 5/2006 gezeigt wurde. Die Herausforderung liegt in den nächsten Schritten mit der Konfiguration von Servern und Clients. Dazu gehören die Einrichtung der Benutzer, Gruppen, Systeme und Anwendungen, die Teil eines Rights-Management-Systems sind, die Festlegung von Richtlinien mit Nutzungsrechten und das Management von Schlüsseln, die für den Schutz der digitalen Informationen benötigt werden.
Zunächst muss der Server vorbereitet werden (Server Enrollment). Dabei wird ein öffentlicher Schlüssel von Microsofts Enrollment Service signiert. Das kann mit einer Online-Verbindung oder offline erfolgen. Letzteres ist für Netzwerke wichtig, bei denen die RMS ohne ständige Verbindung zum Internet genutzt werden sollen, wie sie für sicherheitskritische Umgebungen typisch sind. Das Ergebnis ist nur die Signatur des öffentlichen Schlüssels, um weitere vertrauenswürdige Zertifikate ausstellen zu können.
Anschliessend können weitere Server aufgebaut werden. In der Regel werden zunächst mehrere Server als Cluster konfiguriert, um eine Lastverteilung und hohe Verfügbarkeit zu garantieren. Erst danach werden die Clients aktiviert. Ausserdem müssen die Richtlinien erstellt werden, in denen die zulässige Nutzung digitaler Informationen beschrieben ist.
Im ersten Schritt müssen Informationen zur Datenbank, zum verwendeten Konto und den URLs sowie weitere allgemeine Optionen definiert werden. Die einfachste Installation ist die mit einer lokalen Datenbank auf Basis von MSDE (Microsoft SQL Server Desktop Edition). In der Regel empfiehlt sich aber die Nutzung eines externen SQL-Servers für mehrere RMS-Server. Weitere Einstellungen betreffen die E-Mail-Adresse des administrativen Kontakts und Proxy-Festlegungen für den Internet-zugang, soweit mit der Online-Verbindung zum Microsoft Enrollment Service gearbeitet wird.
Dieser erste Konfigurationsschritt dauert einige Minuten, da die Datenstrukturen auf dem SQL-Server und die Website konfiguriert werden müssen. Je nach Vorgehensweise muss noch ein Offline-Zertifikat besorgt werden, was aber kein grosser Aufwand ist. Die Anforderungsdatei kann automatisch generiert und muss anschliessend nur noch an die Microsoft-Website übergeben werden, um das gültige Zertifikat zu erhalten. Dieser Prozess ist mit wenigen Mausklicks abgeschlossen.
Anschliessend stehen die Verwaltungsfunktionen für die Konfiguration der RMS über eine Browser-basierende Schnittstelle bereit. Im Bereich Trust Policies können Domänen von Benutzern, mit denen zusammengearbeitet werden soll, aktiviert werden. Neben den internen Benutzern lassen sich auch Verbindungen zu anderen RMS-Installationen konfigurieren. RMS arbeitet mit einem Modell der Vertrauensstellungen, das mit dem bei den Active-Directory-Domänen verwendeten Modell durchaus vergleichbar ist. Die Konfiguration solcher Vertrauensstellungen ist dann erforderlich, wenn die RMS über einen Active Directory Forest hinaus eingesetzt werden sollen.
Der wichtigste Administrationsschritt neben der Festlegung der Vertrauensstellungen ist die Erstellung von Vorlagen für Berechtigungen. In diesen wird festgelegt, wer Informationen in welcher Form nutzen darf. Die Vorlagen können später Daten zugeordnet werden, die damit einfach und ohne komplexe Konfiguration durch die Anwender geschützt werden können. Die Einrichtung der Vorlagen schliesst die flexible Vergabe von Rechten nicht aus. Sie erleichtert aber die Umsetzung einheitlicher Konzepte für die Klassifikation von Informationen.
Eine weitere wichtige Funktion ist die Revocation. Revocation bedeutet, dass einem Benutzer die erteilten Berechtigungen zur Nutzung von Informationen wieder genommen werden. Dazu werden die Vorlagen für Berechtigungen sowie sogenannte Revocation Lists benötigt. In den Vorlagen wird definiert, welche Informationen nicht mehr genutzt werden dürfen. In den Listen wird aufgeführt, welche Benutzer gesperrt sind. Die Listen müssen dazu publiziert und in regelmässigen Abständen von den Systemen in der RMS-Infrastruktur konsumiert werden. Die Verwendung solcher Listen ist allerdings nicht optimal, da es zwischen der Erstellung und der Sperre zu Verzögerungen kommt.
Nachdem die Einstellungen auf dem Server definiert wurden, müssen auch die Clients eingerichtet werden. Auf diesem muss die RMS-Client-Software installiert werden. Mit dem Service Pack 1 wurde die Konfiguration dieser Komponente deutlich vereinfacht, indem die Verbindung zum RMS-Server automatisch hergestellt wird. Die Informationen über die verfügbaren RMS-Server - beziehungsweise genaugenommen den Cluster - werden im Active Directory publiziert und sind damit jederzeit verfügbar. Solange sie noch nicht veröffentlicht wurden, wird eine entsprechende Warnung angezeigt.
Die beschriebenen technischen Schritte der Einrichtung der RMS sind allerdings nur ein Teil des gesamten Einrichtungsprozesses. Die eigentliche Herausforderung liegt in der Konzeption. Die Vertrauensstellungen müssen geplant und die erforderlichen Vorlagen für Berechtigungen umgesetzt werden. Das setzt wiederum ein stringentes, unternehmensweites Konzept für den Umgang mit digitalen Informationen voraus. Ausserdem erfordern die RMS auch ein Training der Benutzer, damit diese bei selbsterstellten Informationen in sinnvoller Weise Zugriffsberechtigungen konfigurieren können und dabei weder Sicherheitslücken öffnen noch inakzeptable Nutzungseinschränkungen definieren. Trotz des Aufwands, den die Implementierung der RMS bedeutet, sollte dieser Weg konsequent gegangen werden, um dem steigenden Schutzbedürfnis digitaler Informationen Rechnung zu tragen.