SECURITY PRAXIS & STRATEGIE28. April 2017

DRM kann bei Finanzdienst­leistern kritische Dokumente sichern – und ist für Banken besonders praktisch

Patrick Schraut, Director Consulting & GRC bei NTT Security.NTT Security

Mit Digitalem Rechtemanagement können Finanz­dienst­leister kritische Dokumente wirksam vor unbefugten Zugriffen schützen. Durch Auto­ma­ti­sierung lässt sich das Verfahren sehr effizient und flexibel gestalten. Digitales Rechtemanagement (DRM) wird meist in Verbindung mit der Musik- und Filmindustrie diskutiert. Im Schatten dieser Diskussionen wird oft übersehen, dass das DRM-Konzept sich überhaupt nicht auf Musik, Filme oder E-Books beschränkt, sondern sich auch sehr gut zum Schutz kritischer Informationen etwa in Banken verwenden lässt.

von Patrick Schraut, Director Consulting & GRC bei NTT Security

In einer Ära, in der die Sicherheit und Integrität von Daten massiv bedroht ist – gerade bei Finanz­dienst­leistern, die immer eine Fülle kritischer Daten speichern und verarbeiten – gibt es eine clevere Lösung:

DRM bietet eine flexible und praktikable Option zum Schutz von Informationen.”

Der Einsatz von DRM zum Schutz von Daten ist vor dem Hintergrund zu sehen, dass die hier früher angewandten Verfahren angesichts immer raffinierter und professioneller, teilweise mit hohem Aufwand vorgetragener Angriffe auf IT-Systeme sich mehr und mehr als unzureichend erwiesen. Zum einen ist es in der komplexen IT-Welt nicht mehr möglich, Angreifer mit hundertprozentiger Sicherheit ganz von den eigenen Systemen auszusperren, dies gilt erst Recht, wenn gar keine Angriffe von außen erfolgen, sondern wenn Daten von innen, in der Regel nicht durch böse Absicht, sondern einfach durch Unachtsamkeit oder Unkenntnis, kompromittiert werden. Zum anderen ist aber auch der Schutz des Zugriffs auf Daten beziehungsweise Dokumente in vielen Fällen unwirksam: Man schützt sich beispielsweise durch eine technische Schnittstellenkontrolle davor, dass Daten per E-Mail verschickt werden können, aber dann werden die Daten auf einen USB-Stick kopiert. Die Daten finden immer einen Weg, und man benötigt für jeden eine extra Lösung, die aber immer nur diesen einen Weg blockiert.

DRM verfolgt hier einen anderen Ansatz: Geschützt werden nicht die Zugriffe, sondern die Informationen selbst.”

Alle Dokumente im Unternehmen werden zunächst klassifiziert, was für Banken im Rahmen der Zertifizierung nach ISO 27001 ohnehin verbindlich ist. Je nach der dabei vorgenommenen Einstufung werden die Dokumente dann verschlüsselt, so dass im Weiteren darauf nur Personen beziehungsweise Rollen Zugriff haben, die über entsprechende Zugriffsrechte verfügen. Lediglich die bei der Klassifizierung als unkritisch eingestuften Dokumente können von allen gelesen und gegebenenfalls auch beliebig verschickt werden.

Liegen erforderliche Rechte für ein als vertraulich oder geheim klassifiziertes Dokument nicht vor, beispielsweise weil es auf einen USB-Stick kopiert oder versehentlich per E-Mail verschickt wurde, so ist auch kein Zugriff möglich – konkret, das Dokument kann nicht entschlüsselt werden.

Gesichert ist also immer das jeweilige Dokument selbst, nicht der Kanal auf dem es möglicherweise das Unternehmen verlässt. Das Dokument kann daher auch kopiert und damit mit Backup gesichert werden, es bleibt aber immer verschlüsselt und ist ohne entsprechendes Recht nicht nutzbar.”

Autor Patrick Schraut, NTT Security
Patrick Schraut, ist Director Consulting & GRC, DACH und damit Teil des DACH-Management-Teams von NTT Security. Er begann seine Karriere in der Gruppe im Jahr 1999. Zunächst war er bei der Vorgängergesellschaft Articon Information Systems als IT Security Consultant tätig. Nach dem Zusammenschluss mit der Integralis Gruppe hat Schraut bei NTT Security den Bereich Identity & Access Management aufgebaut; seit 2010 ist er für den Bereich Consulting verantwortlich. Heute gehört auch der Bereich Governance, Risk & Compliance zu seinem Verantwortungsbereich.
Werden auf diese Weise die Dokumente geschützt, so lässt sich auch eine Schwachstelle herkömmlicher Verfahren elegant beheben: Administratoren brauchen Zugangsrechte, um ihre Arbeit zu erledigen, sie müssen beispielsweise Dateien kopieren und verschieben können. Mit DRM sind solche Aktionen ohne Sicherheitseinbußen möglich, da das Dokument verschlüsselt bleibt, und der Administrator aus seiner Rolle keine Lese-Rechte ableiten kann. In der Praxis ist hier freilich auch ein gewisses Maß an Sachverstand erforderlich: Wenn man zum Beispiel als Dateinamen “Aufnahme von Verhandlungen wg. Übernahme” wählt, kann der Administrator natürlich Vermutungen über den Inhalt der Datei anstellen, ohne diesen lesen zu müssen.

DRM als Schutzmechanismus für Dokumente ist natürlich seit längerem bekannt, es gehört sogar zur Grundausstattung von MS-Office. In früheren Versionen der Microsoft DRM-Lösung ließen sich damit nur Office-Dokumente sichern, andere Quellen wie Notepad oder PDF blieben außen vor und mussten mit separaten Lösungen geschützt werden; zweitens war der Prozess in Office nicht gerade einfach. Seitdem Microsoft sein Portfolio durch Zukäufe erweitert hat, lassen sich alle Arten von Dateien schützen, und die Absicherung der Daten ist für die Nutzer deutlich einfacher.

Eine entscheidende Anforderung an ein auch in der Praxis wirksames DRM-Verfahren ist eine möglichst weitgehende Automatisierung, so dass Klassifizierung und Zugriffsmanagement regelbasiert ablaufen können. Wie immer aber gilt bei Sicherheit, dass nur ein einfacher und praktikabler Schutz gut ist, weil die Nutzer ansonsten immer versuchen werden auszuweichen.

Regelbasiertes DRM in der Praxis

Zunächst einmal läuft der DRM-Prozess für den Bearbeiter so ab: Beim Anlegen einer Datei wird über ein Pop-up zwingend eine Klassifizierung abgefragt und bei entsprechendem Level, etwa “vertraulich”, wird die Datei verschlüsselt gespeichert. Zur Verbesserung von Bedienbarkeit, aber auch zur Gewährleistung einer systematischen und konsistenten Klassifizierung sollte dieser Basisprozess aber so weit wie möglich automatisiert werden.

Für eine regelbasierte Klassifizierung bieten sich unterschiedliche Ansatzpunkte an:
1. Organisations-basierte Klassifizierung: Dokumente aus bestimmten Abteilungen, zum Beispiel HR, können immer vertraulich sein;
2. Rollen-basierte Klassifizierung: bestimmte Gruppen von Mitarbeitern – zum Beispiel IT-Administration – erhalten oder erhalten nicht Zugriff auf bestimmte Klassen von Dokumenten;
3. Quellen-basierte Klassifizierung: Dokumente aus bestimmten Anwendungen, zum Beispiel aus CRM-Systemen, werden automatisch als vertraulich klassifiziert, Kopien davon, etwa in Excel-Listen, werden entsprechend klassifiziert;
4. Projekt-basierte Klassifizierung: Dokumente, die für bestimmte Projekte oder auch in bestimmten Ordern abgelegt werden, zum Beispiel im Ordner “Geschäftsführungsprotokolle”, werden automatisch klassifiziert, etwa als “Intern, Geschäftsleitung”;
5. Content-basierte Klassifizierung: eine modernere DRM-Lösung kann aus bestimmten Schlüsselwörtern im Text eine Klassifizierung ableiten; wenn zum Beispiel Kreditkartennummern oder Kontonummern im Text vorkommen, kann dem betreffenden Dokument eine passende DRM-Stufe zugewiesen werden.

Solche Klassifizierungen müssen dynamisch erfolgen, weil sich die Einstufung zeitabhängig ändern kann. Ein vertrauliches Projekt kann beispielsweise mit Marktreife des betreffenden Produkts allgemein zugänglich werden.

Interessant ist DRM als Schutz kritischer Informationen nicht zuletzt, weil sich damit unstrukturierte Informationen sehr gut sichern lassen. Auch bei Banken und Finanzdienstleistern haben in jüngster Zeit die außerhalb strukturierter Datenbanken vorgehaltenen Daten, beispielsweise Fließtexte, Grafiken, Diagramme, Präsentationen, Fotos oder Videos, massiv zugenommen. In einem DRM-Konzept lassen sich alle Formen und Formate problemlos abbilden. Ja es ist sogar möglich, diesen Schutz auch auf die mobile Welt auszuweiten: Tablets oder Smartphones können dann nicht nur online mit dem Rechteserver der Bank in Verbindung treten, so dass entsprechend klassifizierte Dokumente freigeben werden; auch offline können beispielsweise gewisse Rechte für einen Tag vergeben werden – nimmt dann das mobile Gerät nicht innerhalb von 24 Stunden Verbindung mit dem Rechteserver auf, so erlischt die Berechtigung zur Nutzung automatisch.

So erfüllt regelbasiertes DRM zwei wesentliche Anforderungen: Sicherheit durch Verschlüsselung und Praktikabilität durch weitgehende Automatisierung.”

Das Verfahren hat sich bereits bei namhaften Finanzdienstleistern bewährt und ist auf dem besten Weg, ein Standardverfahren zu werden.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert