
IRM-Systeme schützen Informationen – auch über die Grenzen der Organisation hinaus. Das GreenLab gibt einen Überblick über aktuelle Lösungen und Auswahlkriterien, Hilfen zur Implementierung sowie mögliche Pilotierungsansätze.
Information Rights Management (IRM) ist die Verknüpfung von Informationen und ihrem Schutzbedarf mit dem Ziel, eine Vielzahl von detaillierten Steuer- und Schutzmechanismen zu etablieren.
Mit IRM werden alle Informationen, für die ein Schutzbedarf bezüglich ihrer Vertraulichkeit besteht, den Richtlinien einer starken Kryptierung entsprechend verschlüsselt.
Bei der Dokumentenerstellung wird aus dem Schutzbedarf der Information abgeleitet und verknüpft, wer später mit dem Dokument welche Aktionen durchführen darf, beispielsweise öffnen, bearbeiten, weiterleiten, kopieren, löschen, Screenshots anfertigen oder drucken darf. Zusätzlich lässt sich festlegen, wo (z. B. auf welchen Geräten, in welchen Netzsegmenten, in welchen Gebäuden oder Liegenschaften) diese Aktionen jeweils erlaubt sind. Mit Hilfe des IRM lässt darüber hinaus ein wirkungsvoller Mechanismus zur Data Leakage Prevention (DLP) implementieren.
Mit der Einführung eines IRM in einer Organisation kann somit ein weiterreichender Schutz von Informationen, über die Grenzen der Organisation hinaus erreicht werden. Der Einsatz von Kryptografie und die granulare Berechtigungsvergabe erlauben es, Informationen sowohl an einen expliziten Kreis zu adressieren, diese im Internet als Kampagne zu streuen und trotzdem jederzeit Kontrolle über die Inhalte und deren Verbreitung zu haben.
Marktanalyse:Welche IRM-Systeme oder Implementierungen gibt es heute?
Kontext: Ist ein IRM realistisch zeitnah einsetzbar und zu welchem Zweck?
Welche Schritte sind heute einzuleiten, um morgen ein IRM zu nutzen?
Basierend auf den Fragestellungen haben wir einen strukturierten Ablauf unseres GreenLabs abgeleitet.

Marktsichtung und Interviews
Wir haben die auf dem Markt gängigen Bezeichnungen Documents und Information Rights Management breit recherchiert und konnten folgende Hersteller ermitteln, die mit relevanten Lösungsansätzen oder Produkten am Markt vertreten sind:
Im weiteren Verlauf gelang es uns, mit Microsoft, Adobe und Secunet Präsenztermine für ausführliche Interviews mit den jeweiligen Experten der Hersteller zu vereinbaren.
Zusätzlich mussten wir feststellen, dass es keinen deutschen Wikipedia-Artikel zum Information Rights Management gab. Das mussten wir ändern!
Auswertung
Auf Basis unseres Interviewleitfadens, der die wichtigsten technischen, sicherheitstechnischen und organisatorischen Punkte für eine Einführung und den Betrieb enthielt, haben wir eine Tabellierung erstellt, die einen ersten Vergleich ermöglichte (siehe Download). In einem weiteren Schritt erhielt die Tabelle eine Metrik, die uns eine Quantifizierung und letztendlich eine Bewertung der Reife und Einsetzbarkeit der Produkte ermöglichte.
Wesentliches Fazit ist, dass alle drei Produkte, teils mit sehr unterschiedlichem Fokus, sinnvoll einsatzbereit sind.

Die Tabelle enthält die für eine Pilotierungs- oder Einsatzplanung eines IRM grundlegenden und wesentlichen Ergebnisse. Wir beabsichtigen, den Nutzen des IRM im Rahmen eines späteren Fachartikels zu vertiefen.
Pilotierungsansätze
So vielfältig nutzbringend ein IRM-System mit all seinen Funktionen und Schutzmechanismen ist, so aufwendig ist auch eine organisations- oder unternehmensweite Einführung. Für eine solche gilt es, nicht nur investive und technische Aufwände zu betrachten, sondern auch die Schutzvorgaben des Unternehmens oder der Organisation entsprechend in den Prozessen des IRM abzubilden und die Mitarbeiter anschließend zu schulen. Insofern war uns klar, dass eine IRM-Einführung sinnvollerweise anhand eines Piloten initiiert und bewertet werden sollte.
Mit dem Ziel, das IRM als wirkungsvollen Trennungsmechanismus im Rahmen der IT-Konsolidierung zu nutzen, da durch deren Zentralisierung und Zusammenführung von Daten und Diensten gewohnte Trennungsmechanismen aufgehoben werden und mit dem AddOn der durch IRM realisierbaren Data Leakage Prevention, haben wir zwei Use Cases entwickelt:
1. Zusammenführung von Fileserverdiensten mehrerer Nutzer (siehe Use Case im Downloadbereich)
2. Zentralisierung eines Fachverfahrens mit Datenbankanwendung (siehe Use Case im Downloadbereich)
Die untersuchten IRM-Systeme verfolgen unterschiedliche Ansätze und haben derzeit verschiedene Reifegrade. Alle Lösungen sind auf den Schutz von Informationen in Form von Dateien ausgelegt. Informationen in Datenbanksystemen können nur als Binary Large Objects (BLOB) durch IRM-Methodiken geschützt werden, alle anderen Datenbankfelder profitieren nicht vom Schutz der untersuchten IRM-Systeme.
Der secunet Secure Workflow ist containerbasiert und daher Dateityp-unabhängig. Dieser Ansatz genügt hohen Anforderungen an die Verschlüsselung und den Informationszugriff. Secure Workflow ist für die Arbeit mit einer geringen Anzahl von Dateien optimiert, bspw. hoch sicherheitskritisch eingestuften Informationen.
Microsoft Azure Rights Management und Adobe EAM Document Security sind auch für große Dateiablagen geeignet.
IRM erhöht die Sicherheit auf Fileebene bei konsolidierten und virtualisierten IT-Systemen. Informationen in Datenbanksystemen kann ein IRM nicht ausreichend schützen.
Die Konsolidierung von IT-Systemen hat ökonomische Vorteile, da die IT-Kosten (durch z. B. Reduzierung von Rechenzentren) einer Organisation gesenkt werden können, ohne den Schutz von Informationen zu vernachlässigen.
Von Adobe und Microsoft IRM-Lösungen werden die gängigen Office Dateiformate unterstützt. Beide Hersteller bieten Software Development Kits (SDK) an, somit wird die Anzahl der unterstützen Dateitypen in Zukunft erhöht werden bzw. Software-Entwickler in Organisationen können die IRM-Features selbst implementieren.
Die Cloudifizierung wird in den nächsten Jahren auch in Bereichen mit sensiblen Informationen fortschreiten. Der Einsatz eines IRM-Systems kann damit auch auf Anwendungsfälle mit schützenswerten Informationen, wie z. B. in der Medizin und die dort verwendeten Dateiformate erweitert werden. Mit einem IRM können Patienten die Kontrolle über z. B. über ihre Krankenakte behalten und den Zugriff durch Ärzte und anderes medizinisches Personal steuern.
Sie möchten mehr über das GreenLab „Information Rights Management“ oder unsere weiteren internen Thinktanks erfahren? Schreiben Sie eine E-Mail an [email protected].