Information Rights Management – Informationen richtig schützen

Das Problem …

Die moderne Wirtschaft ist ohne einen intensiven Austausch von Informationen innerhalb und außerhalb von Unternehmensgrenzen nicht mehr denkbar. Daten müssen zwischen Kunden und Lieferanten, Projektpartnern, Behörden und einer Vielzahl weiterer Stellen ausgetauscht werden. Die Weitergabe von Daten unterliegt dabei sowohl wirtschaftlichen, vertraglichen wie auch gesetzlichen Restriktionen, deren Nichteinhaltung hohe Schäden verursachen kann. Hier sind zum einen direkte wirtschaftliche Schäden aus entgangenem Gewinn, Schadensersatzforderungen oder Strafen zu sehen, aber auch mittelbare Schäden durch Geheimnisverrat, Reputationsverlust oder durch Verschlechterung der Wettbewerbsposition. Wirtschaftsspionage ist ein mittlerweile weit verbreitetes Problem.

Informationen sind oft selbst die Ware, die gegen Diebstahl geschützt werden muss. Ein Verkäufer von Informationen hat üblicherweise mit jedem zahlenden Kunden eine Vielzahl von nicht-zahlenden Kunden, die ebenfalls von der Information profitieren. Neben dem Schutz von eigenen Informationen, müssen Unternehmen auch Informationen schützen, die ihnen von Dritten anvertraut wurden. Beim Verlust dieser Informationen drohen nicht nur empfindliche Strafen und Reputationsverlust sondern auch der Verlust von Geschäftsbeziehungen aufgrund des erschütterten Vertrauens.

Die moderne Wirtschaft basiert auf einer stark ausdifferenzierten Arbeitsteilung zwischen Geschäftspartnern. Diese Partnerschaften sind oftmals nur von temporärer Natur – z.B. für die Dauer eines Auftrags (man betrachte Beispiele in der Baubranche). Nach Beendigung eines solchen Projektes liegen aber vertrauliche Informationen weit verteilt bei fast allen Partnern vor, die diese zum einen nicht mehr benötigen, die aber auch das Risiko eines Vertrauensbruchs erhöhen. Es ist nicht unüblich, dass Partner in einem Projekt zu Konkurrenten in einem anderen Projekt werden.

Der Wert von Informationen kann zeitlich stark variieren. Betrachtet man börsennotierte Unternehmen, so können die noch nicht veröffentlichten Geschäftsberichte für den Insider-Handel Millionengewinne bedeuten, während sie nach der Veröffentlichung nur noch bedrucktes Papier darstellen. Informationen liefern Marktteilnehmern wichtige Entscheidungsgrundlagen und lenken somit das Marktverhalten. Nicht nur aus diesem Grund werden an den Umgang mit Informationen bei börsennotierten Unternehmen hohe Anforderungen gestellt, insbesondere was den Zugang zu Informationen und deren Nutzung betrifft. Aber auch deren Lieferanten und Partner sind – selbst wenn sie nicht börsennotiert sind – zumindest mittelbar mit entsprechenden Transparenz- und Kontrollpflichten konfrontiert, da sie über vertrauliche Informationen des Börsenunternehmens verfügen. Solche Pflichten sind in gesetzlichen Regelungen und Standards wie ISO 27001, Sarbanes Oxley, GLBA, PCI DSS & HIPA kodifiziert.

Um diesen Anforderungen gerecht zu werden, greifen Unternehmen heute meist zu aufwendigen technischen, aber auch rein vertraglichen Mitteln. Der Einsatz von Überwachungssystemen, von Firewalls, DMZs, Intrusion Detection Systemen, Virenscannern, Network Access Protection, Verschlüsselungstechnologien, das Verhindern der Nutzung mobiler Datenträger, Personalkontrollen, die restriktive Rechtevergabe beim Zugriff auf Informationen, die Trennung von Firmennetzen in unterschiedliche Segmente mit unterschiedlichen Sicherheitsanforderungen, die Nutzung virtueller Arbeitsplätze, zentrales Druckmanagement usw. sind alles technische Versuche, die illegale Verbreitung von Informationen zu verhindern. Und trotzdem bleibt die klassische „Allzweckwaffe“ zur Verhinderung von Informationslöchern die zweiseitige Vertraulichkeitsvereinbarung, die aber den Vertrauensbruch genauso wenig verhindern kann, wie eine rote Ampel das Überfahren einer Kreuzung.

Warum klassische Schutzmaßnahmen ihr Ziel verfehlen …

Das Problem der klassischen Sicherheitsmaßnahmen ist, dass sie auf zwei wesentlichen Grundannahmen basieren:

  1. Es gibt eine schützende Grenze (z.B. das Gebäude, das Netzwerk, den Server, die Festplatte, usw.), die unter der eigenen Kontrolle steht bzw. gebracht werden kann.
  2. Es kann klar zwischen Gut und Böse unterschieden werden, d.h. zwischen Personen, die Informationen besitzen dürfen und welche, die von der Nutzung ausgeschlossen werden müssen.

Beide Grundannahmen treffen heute im Allgemeinen nicht mehr zu und dies führt letztlich dazu, dass die klassischen Sicherheitsmaßnahmen den gewünschten Zweck der Informationssicherheit überhaupt nicht sicherstellen können. Statistisch gesehen, passieren viele Sicherheitsvorfälle gar nicht im eigenen Haus sondern bei Partnern, an die Informationen im Rahmen einer geschäftlichen Kooperation weitergegeben wurden. Hier nützt der Schutz der eigenen IT-Infrastruktur, der eigenen Grenzen nichts mehr. Die Unterscheidung zwischen legitimen Informationsnutzern und Außenstehenden kann bestenfalls temporär getroffen werden: Heute ein eigener Mitarbeiter, morgen der beste Mann der Konkurrenz, heute ein Subunternehmer, morgen ein Konkurrent, von der klassischen Wirtschaftsspionage durch eigene Mitarbeiter oder Lieferanten mal vollkommen abgesehen.

Klassische IT-Sicherheitsinstrumente sind nicht in der Lage, eine Information selbst zu schützen. Ihr einziger Zweck ist es, Zugriffswege zu beschränken und die Verteilung von Information durch die Kontrolle der Zugriff- und Verteilwege einzuschränken. Die Information selbst bleibt dabei vollkommen ungeschützt. Sobald sie durch ein Sicherheitsloch den letzten Schutzwall überwunden hat, ist nichts mehr zu retten. Auch die Verschlüsselung einer Information ist dabei keine Rettung. Heute betrachten wir es als selbstverständlich, als Nutzer einer Information auch gleichzeitig deren Eigentümer zu sein, d.h. wir bestimmen über die Information als hätten wir sie selbst geschaffen. Häufig jedoch sollen Informationen bei ihrer Weitergabe gar nicht den Eigentümer wechseln sondern nur zur Nutzung überlassen werden – und das häufig auch nur temporär. Das bedeutet aber, dass eine andere Stelle weiterhin die Kontrolle über die Information besitzen muss. Dies ist mit klassischen Sicherheitsmechanismen nicht zu lösen.

Information Rights Management als Lösung …

Einen Lösungsweg zeigt eine schon länger existierende, aber erstaunlicherweise immer noch relativ unbekannte Technik des Information Rights Managements auf, die am Beispiel des Produktes Seclore FileSecure der gleichnamigen indischen Firma Seclore erläutert werden soll: Kern dieser Technik ist ein Framework, das es dem Autor einer Datei erlaubt, diese gegen unbefugte Nutzung zu schützen. Der Schutz wird auf die Information selbst aufgeprägt und lässt sich nicht unbefugt entfernen. Somit ist es vollkommen unerheblich, welche Wege eine solcherart geschützte Datei nimmt. Der Schutz wandert stetig mit und verhindert, dass die Informationen in ihr unbefugt genutzt werden können. Der Eigentümer einer solchen Information kann individuelle Nutzungsrechte für unterschiedliche Nutzerkreise an der Datei vergeben, welche auf einem zentralen Policy-Server hinterlegt werden. Wird eine solcherart geschützte Datei von einem Nutzer geöffnet, dann werden die aktuellen Nutzungsrechte des Benutzers mit dem Policy-Server abgeglichen und die Nutzung entsprechend erlaubt oder verweigert. Dies funktioniert nicht nur im eigenen Unternehmensnetzwerk sondern lässt auch auf einfache Weise die Einbindung von externen Partnern zu. Auf diese Weise können Nutzungsrechte an einer Datei auch nach deren Weiterverteilung angepasst, erweitert, reduziert oder ganz entzogen werden, vollkommen unabhängig davon, wohin diese Dateien mittlerweile gewandert und wie oft sie möglicherweise schon kopiert worden sind. Seclore FileSecure erlaubt eine differenzierte Vergabe von Berechtigungen an einer Datei, die sich nicht nur auf den Nutzerkreis beschränken, sondern auch den Ort, die Zeit und den Umfang der Nutzung einschließen.

Damit ist eine Reihe von Anwendungsszenarien möglich:

  1. Kontrolle des Information-Life-Cycle – Zurückziehen veralteter Informationen
  2. Weitergabe personenbezogener Daten z.B. an Außendienstmitarbeiter
  3. Weitergabe von Informationen an Kunden vor einer Auftragsvergabe
  4. Steuerung von Informationen bei Ausschreibungsverfahren.
  5. Temporäre Überlassung von Konstruktionsplänen an Auftragsfertiger
  6. Umsetzung von Vertraulichkeitsvereinbarungen mit Kunden und Lieferanten
  7. Verkauf werthaltiger Informationen
  8. Sicherung von Unternehmensgeheimnissen und Schutz vor der Verletzung von Vertraulichkeitsvereinbarungen

Ein solches Framework erlaubt nicht nur den Schutz der Information sondern ermöglicht auch das Audit der Informationsnutzung. Dies ist insbesondere für börsennotierte Unternehmen relevant, die Transparenz darüber gewährleisten müssen, wer zu welchem Zeitpunkt Zugriff auf kursrelevante Informationen hatte.

Information Rights Management erhöht die Sicherheit in der Informationsverarbeitung, reduziert Betriebsrisiken durch Informationslöcher und führt letztlich auch zu Kostensenkungen im IT-Sicherheitsbereich, da der immense technische Aufwand zur Verhinderung von Informationsabflüssen unterbleiben kann. Im Gegenteil, die vielfältigen Kommunikationswege können in Zukunft beliebig ausgeschöpft und freigegeben werden ohne dadurch illegale Informationsnutzung befürchten zu müssen. Aber auch für neue Trends wie Bring-Your-Own-Device liefert Information Rights Management interessante Ansätze, die das Speichern geschäftlicher Informationen auf privaten Endgeräten ohne Sicherheitsbedenken ermöglichen.

 

Posted in IRM