Was ist Information Rights Management?
Information Rights Management (IRM) ist eine Form von IT-Sicherheitstechnologie, mit der Dokumente mit vertraulichen Informationen vor unbefugten Zugriffen geschützt werden. Im Gegensatz zu herkömmlicher digitaler Rechteverwaltung (Digital Rights Management, DRM), die für Massenmedien wie Musiktitel und Filme angewendet wird, wird IRM für Dokumente, Tabellenkalkulationen und Präsentationen angewendet, die von Einzelpersonen erstellt wurden. IRM schützt Dateien vor dem nicht autorisiertem Kopieren, Anzeigen, Drucken, Weiterleiten, Löschen und Bearbeiten.
Zum besseren Verständnis der Grundlagen, Einsatzbereiche und Vorteile von Information Rights Management ist es wichtig, digitale Rechteverwaltung und die Unterschiede zwischen IRM und DRM zu verstehen.
Worin unterscheiden sich DRM und IRM?
DRM bezieht sich auf verschiedene Technologien zur Zugriffssteuerung, mit denen der Zugriff, die Bearbeitung oder Änderung von urheberrechtlich geschütztem digitalem Eigentum über die vereinbarten Nutzungsbedingungen hinaus eingeschränkt werden. Dabei geht es primär darum, geistiges Eigentum vor Vervielfältigung und Verbreitung ohne angemessene Entschädigung des Eigentümers zu schützen.
Am häufigsten wird DRM für Massenmedien wie Videospiele, Software, Audio-CDs, HD-DVDs, Blue-ray-Discs und E-Books angewendet und kann per Verschlüsselung, digitalem Wasserzeichen, CD-Schlüssel und anderen Techniken umgesetzt werden.
Mit dem Digital Millennium Copyright Act, dem US-amerikanischen Urheberrechtsgesetz, wurde die Verwendung von Techniken zur Umgehung der DRM-Technologie kriminalisiert. Wenig überraschend gilt DRM nach wie vor als umstrittene Technologie, die von einigen sogar als wettbewerbsschädigend bezeichnet wird. Andere kritisieren, dass DRM die normale Verwendung von gekauften Produkten einschränkt.
Wie bereits erwähnt, ist Information Rights Management die Anwendung von DRM auf Dokumente (z. B. Microsoft Office-Dokumente, PDF-Dateien, E-Mails), die von Einzelpersonen erstellt wurden. Im Gegensatz zu DRM, das sich im Allgemeinen auf urheberrechtlich geschütztes Material bezieht, sollen mit IRM meist hochsensible Informationen geschützt werden, die in einem Dokument enthalten sein können.
Ein Krankenhaus kann beispielsweise IRM auf Patientenakten anwenden, um die Compliance mit HIPAA-HITECH zu gewährleisten und den Zugriff auf diese Informationen zu verhindern, falls die Daten in die Hände unbefugter Personen geraten. Ein anderes Beispiel wäre die Anwendung von IRM auf die Kommunikation mit der Führungsebene, um zu verhindern, dass vertrauliche Informationen gegenüber Medien oder Wettbewerbern offengelegt werden.
HIPAA schreibt vor, dass unter die Bestimmungen fallende Entitäten (einschließlich Geschäftspartner) technische, physische und administrative Maßnahmen zum Schutz geschützter Gesundheitsdaten ergreifen müssen. Diese Schutzmaßnahmen sollen nicht nur die Privatsphäre, sondern auch die Integrität und den Zugriff auf die Daten schützen.
Die Behörde für Bürgerrechte des US-Gesundheitsministeriums (Department of Health and Human Services (HHS) Office for Civil Rights (OCR)) ist für nicht-kriminelle Verstöße gegen die HIPAA-Vorgaben zuständig. Bei Nichteinhaltung der Vorschriften können pro Kalenderjahr und Verstoß "gegen die gleiche Vorgabe" Geldbußen zwischen 100 und 50.000 US-Dollar verhängt werden.
Viele OCR-HIPAA-bezogene Rechtsstreitigkeiten haben Geldbußen in Höhe von über 1 Million US-Dollar zur Folge. Mit 5,5 Millionen US-Dollar wurde im September 2016 der höchste Betrag gegen Advocate Health Care verhängt. Die Summe kam aufgrund mehrerer Sicherheitsverstöße mit insgesamt 4 Millionen betroffenen Personen zustande.
Personen und Organisationen drohen nicht nur zivilrechtlich, sondern auch strafrechtlich haftbar gemacht zu werden, wenn sie geschützte Gesundheitsdaten wissentlich, unter falschem Vorwand oder mit der Absicht beschaffen oder offenlegen, diese Daten zu kommerziellen oder böswilligen Zwecken zu verwenden. HIPAA-bezogene Straftaten fallen in die Zuständigkeit des US-Justizministeriums und können neben Geldbußen auch zu Freiheitsstrafen von bis zu zehn Jahren führen.
Maßnahmen im Rahmen von Information Rights Management
In den meisten Fällen verschlüsselt IRM Dateien, um Zugriffsrichtlinien durchzusetzen. Nach der Verschlüsselung können zusätzliche IRM-Regeln auf ein Dokument angewendet werden, um bestimmte Aktivitäten zuzulassen bzw. zu blockieren. In einigen Fällen bedeutet das, dass ein Dokument nur angezeigt werden kann und der Benutzer keine Möglichkeit hat, den Inhalt des Dokuments herauszukopieren. In anderen Fällen kann die IRM-Regel verhindern, dass ein Benutzer Screenshots des Dokuments erstellt, es druckt oder bearbeitet.
Unternehmen können je nach Datensicherheits-, Compliance- und Governance-Anforderungen individuelle IRM-Regeln auf Unternehmens-, Abteilungs-, Gruppen- oder Benutzerebene erstellen und anwenden.
Einer der oft genannten Vorteile von IRM ist die Tatsache, dass dieser Schutz auch dann erhalten bleibt, wenn Dateien an Dritte weitergegeben werden. Und wenn ein Benutzer sich außerhalb des Unternehmensnetzwerks befindet, wird das Dokument dennoch durch die IRM-Regeln geschützt. Mit anderen Worten: Per IRM geschützte Dokumente sind dauerhaft geschützt – unabhängig davon, von wo auf sie zugegriffen wird.
Grenzen von Information Rights Management
Zu den Nachteilen von IRM-Lösungen gehört, dass auf dem Computer der Benutzer spezielle IRM-Software installiert sein muss, damit Dateien mit IRM-Schutz geöffnet werden können. Aus diesem Grund möchten viele Unternehmen den IRM-Schutz auf Dateien beschränken, die aufgrund ihrer Inhalte geschützt werden müssen.
Obwohl IRM viele Sicherheitsprobleme bei der Weitergabe von Dokumenten beheben kann, gibt es immer noch einfache Workarounds, die die Vorteile von IRM zunichtemachen können. Der Inhalt einer per IRM geschützten Datei kann mit einer einfachen Kamera (oder einem Smartphone) abfotografiert werden. Auf den meisten Computern können Benutzer die IRM-Vorteile mit einem Bildschirmfoto per Tastendruck außer Kraft setzen (bei Apple mit Befehlstaste+Umschalttaste+4 und bei Windows mit Windows-Taste+ALT+Druck). Es gibt auch Drittanbieter-Software zum Erstellen von Bildschirmaufnahmen.
So unterstützt Office 365 die Umsetzung von Information Rights Management
Microsoft Active Directory Rights Management ist eine beliebte IRM-Lösung für Daten, die sich in lokalen E-Mail- und Datei-Servern befinden. Gleichzeitig ist Office 365 derzeit der am häufigsten eingesetzte Cloud-Dienst für Unternehmen. Office 365 bietet IRM-Funktionen für mehrere seiner Produktangebote, die auf Microsoft Azure basieren. Im Gegensatz zu Active Directory Rights Management, das bereits seit mehreren Jahren als lokale Datensicherheitslösung eingesetzt wird, ist Microsoft Azure Rights Management die IRM-Lösung von Microsoft für die Cloud.
Unternehmen, die ihr Active Directory mit dem Azure Rights Management-Server synchronisiert haben, können auch ihre IRM-Richtlinienvorlagen von Office 365 auf die Microsoft Office-Desktop-Anwendungen ihrer Benutzer übertragen. Generell gibt es drei Möglichkeiten, ein Dokument in Office 365 per IRM zu schützen.
Office 365-Administratoren können bestimmte Rechteverwaltungsfunktionen aktivieren, mit denen Besitzer von SharePoint-Sites IRM-Regeln erstellen und auf verschiedene Bibliotheken oder Listen anwenden können. Benutzer, die Dateien in diese Bibliothek hochladen, können sich darauf verlassen, dass das Dokument weiterhin gemäß den IRM-Regeln geschützt bleibt.
Unternehmen, die detailliertere Kontrollmöglichkeiten wünschen, können Microsoft Azure mit Advanced Rights Management Services konfigurieren und Richtlinienvorlagen für einzelne Benutzer und Benutzergruppen erstellen. Die Aktivierung dieser Funktion bietet unter anderem den Vorteil, dass die Richtlinien dann an die Office-Desktop-Anwendungen des Benutzers oder der Gruppe gepusht werden können.
Die ersten beiden Ansätze basieren auf Sites, Benutzern und Gruppen und können IRM-Schutz auf Dateien anwenden, für die dieser IRM-Schutz nicht erforderlich ist. Ein Cloud Access Security Broker (CASB) kann in Office 365 und IRM-Angebote integriert werden, um den anwendungseigenen IRM-Schutz für Dateien basierend auf deren Inhalt oder Kontext zu vermitteln. So kann ein CASB beispielsweise IRM-Schutzmaßnahmen auf Dateien mit vertraulichen Daten anwenden, die aus Office 365 auf nicht verwaltete Geräte heruntergeladen werden.
Administratoren und Site-Besitzer können die Aktivität einschränken, indem sie den Schreibschutz für Dokumente aktivieren, das Kopieren von Text deaktivieren, das Speichern lokaler Kopien einschränken oder das Drucken der Datei blockieren. Zu den unterstützten Dateiformaten gehören PDF-Dateien, MS Word-, PowerPoint-, Excel-, XML- und XPS-Formate.
Funktionsweise von IRM in Exchange Online
Für Exchange Online IRM bietet Microsoft die Active Directory Rights Management Services (AD RMS) zum Schutz von E-Mail-Nachrichten an. Hier werden Berechtigungen direkt zur E-Mail hinzugefügt, wodurch die Nachricht online, offline, im Netzwerk und außerhalb des Netzwerks geschützt werden kann.
E-Mail-Absender können Einschränkungen aktivieren, durch die der Empfänger die Nachricht nicht speichern, weiterleiten, drucken oder Informationen herauskopieren kann.