Windows Rights Management Services
Mehr Schutz für Dokumente
Der Informationsaustausch in Unternehmen erfolgt heute zumeist auf elektronischem Wege. Dabei besteht die Gefahr, dass sensible Informationen in falsche Hände geraten. Mithilfe von "Microsoft Windows Rights Management Services", kurz "RMS", zur digitalen Rechteverwaltung für Informationen können autorisierte Mitarbeiter Dokumente zuverlässig vor unbefugten Einblicken schützen.
Um gemeinsam an Projekten arbeiten zu können, ist es im Geschäftsalltag unabdingbar,
vertrauliche Informationen nur bestimmten Mitarbeitern oder ausgesuchten externen Partnern zugängig
zu machen. Da Informationen heute vorwiegend elektronisch via E-Mail oder Instant Messaging
ausgetauscht werden, kann es jedoch vorkommen, dass Daten aus Versehen oder bewusst an unbefugte
Empfänger weitergeleitet werden. Oft befinden sich sensible Informationen auch irgendwo im Verlauf
einer mehrfach hin- und hergeschickten Nachricht. Sicherheitsverletzungen, die aus solchen
Gegebenheiten resultieren, können schwerwiegende wirtschaftliche Schäden verursachen, denn
bestimmte Informationen wie etwa Strategiepapiere, Daten über kommende Produkte, spezifische
Vereinbarungen mit Kunden, Details zu Patenten oder Geschäftsgeheimnisse von Firmen stellen
unternehmenskritische Informationen dar, durch die oft ein Wettbewerbsvorteil erlangt werden
soll.
Vor diesem Hintergrund stellt sich für Unternehmen die Frage nach der Rechteverwaltung für
solche Daten. In vielen Firmen bestehen genaue Richtlinien, welche Informationen mit welcher
Vertraulichkeitsstufe zu behandeln sind. Häufig fehlen aber die technischen Mittel, um die
Richtlinien auch durchzusetzen. Es reicht dabei nicht aus, sich auf individuelles Ermessen und die
jeweilige Verantwortlichkeit der Mitarbeiter hinsichtlich der Art der Freigabe und Verwendung
digitaler Inhalte zu verlassen.
Dokumente selbst zuverlässig schützen
Um diese Lücke zu schließen, hat Microsoft die Sicherheitstechnologie Windows Rights Management
Services für die Produktfamilie der Microsoft Windows Server 2003-Betriebssysteme entwickelt.
Mithilfe dieser Lösung können autorisierte Mitarbeiter Zugriffsrechte für Office-Dateien, E-Mail-
sowie Internet- und Intranetinhalte festlegen. So werden Dokumente vor unbefugten Einblicken
zuverlässig geschützt und dadurch auf wirksame Weise die Möglichkeiten zur Weitergabe vertraulicher
Informationen an Dritte unterbunden. Um Nachvollziehbarkeit zu gewährleisten, wird der Zugriff auf
solche sensitive Unternehmensdokumente aufgezeichnet. Ein hoher Verschlüsselungsgrad (etwa mit dem
AES-Algorithmus und einer Verschlüsselungstiefe von 128 Bit) stellt den Schutz der Daten sicher.
Mit RMS steuern die Autoren, ob ihre erstellten Dokumente weitergeleitet oder ausgedruckt werden
dürfen und ob sich Inhalte in andere Texte kopieren lassen. Ebenso können sie ein Verfallsdatum für
Dateien festlegen. Nach dessen Ablauf wird ein Text oder eine E-Mail so gesperrt, dass kein
unberechtigter Zugriff darauf möglich ist. Damit bietet RMS die Möglichkeit, vertrauliche
Informationen nur bestimmten Mitarbeitern zur effektiven Erledigung ihrer Arbeit zur Verfügung zu
stellen. Beispielsweise ist ein Abteilungsleiter der Entwicklungsabteilung in der Lage, für ein im
Rahmen eines Projekts erstelltes Dokument "Read-only"-Rechte für die zuständigen Kollegen sowie ein
Ablaufdatum zu setzen. Damit können die Mitglieder der Abteilung Entwicklung die Datei bis zum
Ablaufdatum einsehen, andere Mitarbeiter haben jedoch keinen Zugriff. Auch E-Mail-Inhalte lassen
sich dank RMS mit dem so genannten RMS-Template "Confidential" sichern. Die Vorlage legt Leserechte
für Mitarbeiter des Unternehmens fest. Wird ein Dokument als Anhang an die Mail hinzugefügt, werden
die RMS-Nutzungsrechte der E-Mail auch automatisch auf diese ungeschützte Datei übertragen.
Empfänger im Unternehmen können die E-Mail und das Dokument nicht kopieren, speichern, editieren
oder weiterleiten und externe Benutzer weder die E-Mail noch die Datei öffnen.
Die Nutzung von RMS erfordert als Infrastruktur-Komponenten den Windows Server 2003 in der
Standard, Enterprise oder Datacenter Edition mit IIS 6.0, der als zentraler RMS-Server fungiert.
Zur Installation und individuellen Anpassung der Serverkomponenten der RMS-Dienste werden ASP
Dotnet und Dotnet Framework benötigt. RMS ist nämlich als Server-Dienst auf Basis von Microsofts
Dotnet-Framework aufgebaut und nutzt XrML (Extensible Rights Markup Language). Microsoft Message
Queuing sorgt für die zuverlässige Nachrichtenübermittlung und den Versand an verschiedene
Anwendergruppen. Für die Rechteverwaltung wird Windows Active Directory (ab 2000 SP3 oder 2003) und
die Datenbank SQL Server 2000 SP3 (oder eine MSDE 2000 Release A) genutzt. Im Active Directory sind
die Mitarbeiter bereits in Gruppen und Abteilungen eingeteilt, diese Daten werden in die
Rights-Management-Services-Struktur integriert. SQL Server übernimmt die Speicherung der
RMS-Serverkonfiguration sowie der Nutzung der RMS-Logging-Funktionalität.
Auf Dokumente, die über die Serverdienste von RMS geschützt werden, kann nur mit Clients oder
etwa Anwendungen zugegriffen werden, die ebenfalls RMS unterstützen. Die Nutzung der RMS-Features
durch den Anwender erfordert daher die Verwendung der Client-Betriebssysteme Windows 2000 oder
Windows XP sowie den Einsatz der Microsoft Office 2003 Professional Edition. Die in Microsoft
Office 2003 enthaltenen Programme beherrschen den Umgang mit RMS-gesicherten Texten, Tabellen,
Präsentationen und E-Mails.
Um solche Dokumente zu schützen, bedarf es der Microsoft Office 2003 Professional Edition. Zur
Betrachtung RMS-geschützter Dokumente hingegen eignen sich alle Editionen des Produkts Microsoft
Office 2003 oder aber ein Internet Explorer ab der Version 5.5.
Die Zugriffssteuerung wird dabei im Dokument selbst festgehalten. Somit ist diese auch dann
wirksam, wenn das Dokument nicht auf dem Server oder in dem Dateisystem abgelegt ist, wo es
erstellt oder der Zugriffsschutz aktiviert wurde.
Da sich die Funktionen direkt von einer Schaltfläche auf der Hauptsymbolleiste von Office nutzen
lassen, gestaltet sich die Verwendung von RMS für Anwender überaus leicht.
RMS aus Anwendersicht
Um beispielsweise ein Word-Dokument mit dem RMS-Schutz zu versehen, ist es lediglich notwendig,
das Symbol "IRM" (Information Rights Management) in der Word-Symbolleiste anzuklicken. Anschließend
kann der Benutzer festlegen, welche Anwender welche Zugriffe ausüben dürfen. Ist im
Unternehmens-LAN ein Exchange Server vorhanden, kann zur Auswahl der in Frage kommenden Nutzer auch
das globale Adressbuch herangezogen werden. Sobald der Teilnehmer das Word-Dokument abspeichert,
ist der RMS-Schutz aktiv. Öffnet nun einer der spezifizierten Anwender das betreffende Dokument,
unterliegt er bei der Einsichtnahme und Bearbeitung dieses Textes den Sicherheitsrichtlinien von
RMS.
Erfolgreiche Pilotinstallation
Balfour Beatty Rail, das weltweit führende Bahninfrastrukturunternehmen, benötigte eine
umfassende Lösung, um seine unternehmenskritischen und hochvertraulichen Informationen in
Verträgen, Berichten und Personaldokumenten vor unerlaubter Benutzung und Verteilung zu schützen.
Aus diesem Grund führte das Unternehmen zusammen mit Datalog Software eine Pilotstudie zum Thema
RMS für Windows Server 2003 durch. Fünfzig Angestellte aus verschiedene Abteilungen, in denen
Verträge und vertragsbezügliche Dokumente erstellt, verteilt und überprüft werden, nahmen daran
teil. Während des Projekts richtete Balfour Beatty Rail einen dedizierten RMS-Server im Münchner
Hauptquartier ein und führte die Installation des RMS-Clients individuell unter Benutzung von
Microsoft Remote Desktop durch. RMS integrierte sich nahtlos in das bestehende Microsoft Active
Directory und wurde sofort zum festen Bestandteil der IT-Infrastruktur. Innerhalb von vier Wochen
wurden Planung, Design und Installation der Lösung abgeschlossen, sodass sich RMS im Betriebsalltag
einsetzen ließ. Ohne Schulungen konnten die Angestellten die Technologie zum Schutz sensibler
Informationen mit den Office Programmen sofort nutzen. "RMS gab uns gründlichen, verlässlichen
Informationsschutz, erzeugte minimalen Verwaltungsaufwand und hilft den Angestellten, ihre
Produktivität auf hohem Niveau zu halten", sagt Ali Inci, Netzwerkmanager, Balfour Beatty Rail. In
naher Zukunft plant Balfour Beatty Rail eine weltweite Implementierung von RMS für 2000
Angestellte.
Fazit
RMS ist eine effiziente und integrierbare Lösung, da die vorhandenen Investitionen in die
IT-Infrastruktur weiter genutzt werden können. Das RMS-Pilotprojekt bei Balfour Beatty Rail
demonstriert klar, dass die Technologie umfassenden und dauerhaften Schutz für
unternehmenskritische Daten ermöglicht und sich nahtlos in die Softwareumgebung eines Unternehmens
eingliedert.
Lesen Sie mehr zum Thema
