Das Weiterleiten von sensiblen Informationen an die Öffentlichkeit durch unzufriedene Mitarbeiter hat in den letzten zwei bis drei Jahren markant zugenommen. Dabei profitieren vor allem die Medien immer häufiger von solchen Indiskretionen und gelangen auf diesem Weg zu exklusiven Stories. Auf der einen Seite mögen viele dieser sensiblen Informationen von öffentlichem Interesse sein und dabei helfen, Skandale aufzudecken, die sonst nie ans Tageslicht gekommen wären. Auf der anderen Seite kann die Verbreitung von geheimen Informationen wie etwa Strategiepapieren, Bauplänen, Rezepturen, Sourcecode, Verkaufszahlen usw. für Firmen fatale Folgen haben und beispielsweise zum Verlust von Wettbewerbsvorteilen führen. Oftmals ist es auch so, dass Informationen nicht böswillig, sondern nur aus Versehen weitergeleitet werden. Vor allem beim E-Mail-Verkehr kann das schon mal vorkommen, wenn sich die sensible Information irgendwo im History-Strang einer mehrfach hin- und hergeschickten Nachricht befindet.
Das Paradoxe an dieser Situation: Viele Firmen investieren riesige Summen in ihre Sicherheitsinfrastruktur (Firewalls, PKIs etc.), um sich vor Datenklau zu schützen, und trotzdem kann nach wie vor mit einem simplen Klick auf die Senden-Taste ein immenser Schaden angerichtet werden.
Zwar liegen in vielen Unternehmen genaue Richtlinien vor, welche Informationen mit welcher Vertraulichkeitsstufe behandelt werden müssen. Leider fehlten aber bis heute die technischen Mittel, diese auch durchzusetzen. Kern des Problems ist, dass die Dokumente selber bislang nicht mit Nutzungsrichtlinien (z.B. «Wer hat Lesezugriff?», «Wie lange ist der Inhalt des Dokuments gültig?») ausgestattet werden konnten. Hat man ein Dokument erst einmal an andere Personen weitergegeben, so verliert man in der Regel auch die Kontrolle darüber, was die Empfänger damit anstellen.
Um diese Lücke zu schliessen, hat Microsoft im November letzten Jahres die Windows Rights Management Services (Windows RMS) als Add-on für Windows Server 2003 auf den Markt gebracht. Dabei handelt es sich um einen zusätzlichen Sicherheits-Layer, der auf einer zentralen Serverarchitektur basiert. Diese erlaubt es, Dokumente und E-Mails mit Regeln und Einschränkungen wie etwa «Read only» oder «Do not forward» auszustatten. Da sich diese Attribute direkt dem Dokument zuordnen lassen, greifen die Schutzmechanismen sowohl innerhalb als auch ausserhalb der Grenzen einer Firewall.
Windows RMS, nicht zu verwechseln mit dem Windows Media Digital Rights Management (DRM), das für die Durchsetzung des Copyrights von kommerziellen Inhalten wie Musik oder Videos im Consumer-Bereich gedacht ist, richtet sich vor allem an mittlere bis grosse Unternehmen und Behörden, die sensitives Datenmaterial gegen Missbrauch schützen wollen. Dabei setzt sich Microsofts Rights-Management-Lösung aus den folgenden Komponenten zusammen:
• Windows RMS Server: Der zentrale RMS Server prüft die Berechtigungen der User und stellt die notwendigen Lizenz-Zertifikate für Autoren und Benutzer aus. Die Kommunikation mit dem Server wird ausschliesslich über Web-Service-Schnittstellen abgewickelt.
Alternativ gibt es von Microsoft auch einen auf Passport basierenden, öffentlich zugänglichen RMS-Service. Dieser eignet sich insbesondere für Testzwecke oder aber für den privaten Gebrauch. Um diesen Service in Anspruch nehmen zu können, ist es allerdings notwendig, dass alle involvierten Benutzer über einen Passport-Account verfügen.
• Windows RMS Client: Beim RMS Client handelt es sich um eine Reihe von APIs, über die Applikationen in der Lage sind, Informationen mit Berechtigungen auszustatten und den beschränkten Zugriff auf geschützte Dokumente abzuwickeln. Der RMS Client gewährleistet zudem die Kommunikation mit dem Server und ist für die Übertragung von Autoren- und Benutzerlizenzen verantwortlich.
• RMS-fähige Applikationen: Damit Anwendungen Windows RMS überhaupt nutzen können, müssen sie erst an die APIs des RMS Clients angepasst werden. RMS-fähige Applikationen sind derzeit noch sehr rar. In der Office-Familie bieten nur gerade die 2003er-Versionen von Word, Excel, PowerPoint und Outlook Support für Windows RMS. Immerhin stellt Microsoft ein SDK (Software Development Kit) zur Verfügung, mit dem Softwareentwickler ihre Anwendungen RMS-fähig machen können.
Verwirrenderweise nennt Microsoft seine Rights-Management-Lösung in Office 2003 Information Rights Management (IRM). In Tat und Wahrheit handelt es sich aber um die entsprechenden Client-Features zur Nutzung von Windows RMS. Diese machen sich in den Programmen Word, Excel und PowerPoint sowie im Nachrichtenfenster von Outlook in Form des Permission-Icons bemerkbar. Wird dieses angeklickt, erscheint eine Dialogbox, über die das aktuelle Dokument mit den gewünschten Restriktionen versehen werden kann. Dabei kann der Autor detailliert spezifizieren, welche Benutzer was mit dem Dokument anstellen dürfen. So kann beispielsweise vorgegeben werden, dass eine bestimmte Gruppe ein Dokument zwar öffnen, nicht aber ändern oder ausdrucken darf. Ausserdem kann ein Dokument gegen das Herauskopieren von Inhalten geschützt oder mit einem Verfallsdatum ausgestattet werden. In Outlook kann eine Nachricht zudem so gesichert werden, dass sie sich vom Empfänger nicht weiterleiten lässt.
Öffnet der Benutzer ein geschütztes Dokument, überprüft die Office-Applikation zunächst seine Rechte und agiert entsprechend den vorgegebenen Richtlinien. Öffnet der Benutzer ein Dokument, das mit Restriktionen versehen ist, erhält er eine entsprechende Warnmeldung angezeigt. Ausserdem kann er über das Permission-Icon in der Toolleiste detaillierte Informationen über die für ihn gültigen Einschränkungen abrufen.
Über ein kostenloses Add-on lässt sich auch Internet Explorer 6.0 mit RMS-Fähigkeit ausstatten. Das ist vor allem dann nützlich, wenn geschützte Dokumente von Anwendern betrachtet werden sollen, die nicht über die neuesten Office-Anwendungen verfügen.
Obwohl es die Windows-RMS-Komponenten bei Microsoft als kostenlosen Download gibt, ist deren Nutzung keineswegs unentgeltlich. Wie beim Terminal Server fallen auch bei Windows RMS zusätzliche Kosten für RMS-Client-Access-Lizenzen ($29 bis $37 pro CAL) an, die zusätzlich zu den Windows-Client-Access-Lizenzen erworben werden müssen. Will man Windows RMS einer grossen Zahl von Usern zur Verfügung stellen, kann alternativ auch eine RMS External Connector License erstanden werden ($ 14'000 bis $18'000). Diese erlaubt den unlimitierten Zugriff auf die RMS-Dienste.
RMS setzt einen Windows Server 2003 voraus und benötigt Zugriff auf einen SQL Server 2000 mit SP3 oder auf eine MSDE SP3, welche für die Speicherung von Richtlinien, Vorlagen, Zertifikaten und dergleichen benötigt werden. Des weiteren müssen auf dem Server die Internet Information Services (IIS) 6.0, die Message Queuing Services sowie ASP.Net eingerichtet sein. Zudem kann RMS nur in einer Umgebung mit einer Active-Directory-Domäne betrieben werden. Für Umgebungen, die eine maximale Verfügbarkeit erfordern, kann Windows RMS auch im Multiserver-Betrieb mit Load Balancing eingesetzt werden.
Nach erfolgter Installation der RMS-Komponenten steht ein webbasiertes Administrationsinterface zur Verfügung, das durch die RMS-Konfiguration führt. Hierbei müssen etwa die Angaben des zu nutzenden SQL Servers, die URL eines allfälligen Root Certification Servers oder das Passwort für den RMS Private Key eingegeben werden. Wurde alles korrekt konfiguriert, wird der RMS Service im Netz zur Verfügung gestellt.
Ab diesem Zeitpunkt lässt sich über das Webinterface die generelle RMS-Administration nutzen: So etwa zum Definieren von eigenen Policy-Vorlagen. Standardmässig unterstützt Office 2003 nur die beiden Richtlinien «Unrestricted» und «Do Not Distribute». Diese lassen sich über die RMS-Administrations-Konsole um eigene Richtlinien ergänzen. Dazu legt der Administrator eigene Templates an und stattet sie mit Rechten wie «Full Control», «Export», «View Rights», «Save», «View», «Print», «Allow Macros» oder «Forward» aus. Ausserdem können Verfalldaten für Dokumente oder Rechte für die Autoren vordefiniert werden. Auf diesem Weg lässt sich etwa eine Richtlinie «Firmenintern» erstellen, die gewährleistet, dass damit geschützte Dokumente nur von Benutzern des eigenen Unternehmens geöffnet werden können.
Einer der grossen Vorteile der zentralen Architektur ist, dass Berechtigungen auch wieder storniert werden können. Verlässt beispielsweise ein Mitarbeiter das Unternehmen, so lassen sich alle Berechtigungen, die er auf Dokumente besitzt, auf einen Schlag aufheben.
Der Windows RMS kann nur von Rechnern genutzt werden, auf denen die RMS-Clients-Komponenten installiert wurden. Dabei werden die Windows-Betriebssysteme 2003, XP, 2000 mit SP3 sowie Windows 98 SE oder Windows Me unterstützt. Der Rollout des RMS-Clients kann wahlweise mit den Group Policies oder über ein Deploymenttool wie dem Systems Management Server automatisiert werden.
Windows RMS ist ein typisches Version-1.0-Produkt. Das zeigt sich nicht nur am etwas holprigen Installationsprozedere und an der überarbeitungsbedürftigen Administrationsschnittstelle, sondern auch an einigen Lücken bezüglich der Sicherheit und der noch eingeschränkten Praxistauglichkeit. Damit man sich nicht in falscher Sicherheit wiegt, sollte man sich über die technischen Grenzen von Windows RMS im Klaren sein. So ist geschützter Content beispielsweise nicht vor einem Screen-Capture-Tool sicher. Eine gegen Forwarding gesicherte E-Mail kann damit in wenigen Sekunden abgeknipst und als Attachment weitergeleitet werden. In Kombination mit einer OCR-Software lässt sich im Extremfall per Screen Capturing gar wieder eine editierbaren Kopie des Originals erzeugen (bei umfangreichen Dokumenten zugegebenermassen ein sehr beschwerliches Unterfangen).
Ungenügend gelöst ist auch das Zuweisen von Richtlinien auf bestehende Dokumente. So lassen sich Richtlinien nicht automatisiert auf eine Reihe von Dokumenten oder einen ganzen Ordner anwenden. Eine weitere Schwachstelle des Windows-RMS-Konzepts ist, dass man zum Durchsetzen von Richtlinien immer auf den Autor angewiesen ist. Vergisst dieser, die Richtlinien zu aktivieren, bleiben die Dokumente ungeschützt. Sinnvoll wäre es, wenn man Dokumente an bestimmten Punkten eines Workflows automatisch mit einer Minimal-Richtlinie ausstatten lassen könnte: Etwa immer dann, wenn eine Mail das Unternehmen verlässt oder ein Dokument in einem bestimmten Folder abgelegt wird. Negativ ist auch die mangelnde Client-Unterstützung, die sich noch auf Office 2003 und die Anwendungen Word, Excel, PowerPoint und Outlook 2003 beschränkt. Immerhin gibt es bereits eine Reihe von Third-Party-Anbietern (GigaTrust, Omniva), die einige dieser Lücken schliessen. Und das scheint auch nötig zu sein, denn gemäss aktuellen Aussagen von Microsoft wird vor Longhorn Server (2007) keine erheblich erweiterte Version von RMS auf den Markt kommen.
Trotz allen Ecken und Kanten ist es Microsoft mit Windows RMS gelungen, eine robuste Lösung für den Aufbau einer Rights-Management-Infrastruktur vorzulegen. Firmen, die bereit sind, auf Office 2003 umzustellen und mit den genannten Einschränkungen leben können, bietet die aktuelle Ausgabe von Windows RMS bereits heute gute Schutzmechanismen für Dokumente.
