leowolfert - Fotolia

Sicher kommunizieren über die Microsoft-RMS-Grenzen hinweg

Die Microsoft Rechteverwaltungsdienste schützen sensible Daten. Nutzen externe Partner kein MS RMS, gibt es ein Problem. Wie können Unternehmen diese Sicherheitslücken überbrücken?

Seit dem 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO/GDPR) verbindlich für alle Mitgliedsstaaten. Unternehmen müssen jetzt mehr denn je auf den Schutz von personenbezogenen Daten achten. Sensible Dokumente und E-Mails mit Verschlüsselung zu schützen, wird damit zur Pflicht. Dafür setzen immer mehr Unternehmen die Microsoft-Rechteverwaltungsdienste (MS RMS, Microsoft Rights Management Services) ein.

Microsoft bietet die Lösung sowohl als AD RMS für den On-Premises-Einsatz an als auch als Azure Information Protection (AIP) für die Cloud. Dadurch gewinnen Unternehmen mehr Flexibilität. Attraktiv wird MS RMS außerdem durch die neue Labeling-Funktion, mit der Anwender E-Mails und Dokumente in verschiedenen Sicherheitsstufen klassifizieren können. Gilt ein Dokument zum Beispiel als „streng vertraulich“, werden automatisch die entsprechenden Sicherheitsrichtlinien angewendet. Administratoren können für jedes Label individuelle Regeln definieren.

Die Grenzen von MS RMS

All das funktioniert innerhalb des Microsoft-Kosmos sehr gut. Sobald Unternehmen jedoch mit externen Partnern oder Lieferanten kommunizieren, die kein MS RMS nutzen, gibt es ein Problem. Denn in diesem Fall kann der Empfänger die geschützten Inhalte nicht ohne Weiteres lesen. Das stellt Mitarbeiter vor folgendes Dilemma: Entweder sie verschicken Dokumente im Klartext und verstoßen gegen die Compliance. Oder sie können schlichtweg nicht mit Nicht-RMS-Nutzern kommunizieren. Beides ist keine wirkliche Option. Denn in der heutigen Zeit ist es für Unternehmen unverzichtbar, über die Grenzen der eigenen Netzwerke hinweg mit externen Partnern zusammenzuarbeiten. Genauso wenig können sie es sich aber leisten, einen Verstoß gegen die DSGVO zu riskieren.

Auch wenn Anwendungen und Geräte nicht mit MS RMS kompatibel sind, führt das zu Problemen. Häufig verschicken beispielsweise Scanner oder Webformulare automatisiert E-Mails. Kommen auf diese Weise ungeschützte Dateien in Umlauf, untergräbt das die angestrebte Sicherheit. Darüber hinaus können Kompatibilitätsprobleme in manchen Fällen die Arbeit erheblich behindern.

Ein Beispiel: Ein Versicherer nutzt AD RMS, um E-Mails und Dokumente zu schützen. Die E-Mail-Archivlösung, in der das Unternehmen die Kommunikation zwischen Bankberatern und Kunden speichert, unterstützt jedoch kein AD RMS und kann folglich nicht auf geschützte Inhalte in E-Mails und Anhängen zugreifen. Für die Mitarbeiter bedeutet das, dass sie nur über die Metadaten nach Anhängen oder E-Mails suchen können. Das aber ist sehr mühsam, aufwendig und dadurch kostenintensiv.

Eine Brücke zwischen RMS-Nutzern und Nicht-RMS-Nutzern

Der beste RMS-Schutz nützt also nichts, wenn er an mangelnder Kompatibilität oder Unternehmensgrenzen scheitert. Es gibt jedoch die Möglichkeit, über ein Verschlüsselungs-Gateway eines Drittanbieters Sicherheitslücken zu überbrücken. Ein solches Gateway mit RMS-Integrations-Konnektor ist zwischen die Kommunikationspartner geschaltet. Alle eingehenden und ausgehenden Nachrichten landen zunächst dort. Bei E-Mails, die an externe Partner gehen, entfernt das Gateway den RMS-Schutz und verschlüsselt sie stattdessen mit der Technologie, die der Empfänger einsetzt. Dadurch werden die Inhalte nicht ungeschützt versendet, aber der Empfänger kann sie lesen.

Umgekehrt versieht die Lösung eingehende Nachrichten, die nicht RMS-geschützt sind, mit dem entsprechenden Schutz, bevor sie sie an einen internen Empfänger weiterleitet. Dasselbe passiert mit Dateien, die automatisiert von nicht RMS-kompatiblen Geräten oder Anwendungen verschickt werden. So können Unternehmen für eine lückenlos sichere Kommunikation und für Compliance sorgen.

Marcel Mock, Totemo

„DMS RMS ist für Unternehmen zunehmend attraktiv geworden. Es ist davon auszugehen, dass auch Drittanbieter die Lösung verstärkt in ihre Anwendungen einbinden werden.“

 Marcel Mock, Totemo 

Auch beim Umgang mit RMS-geschützten E-Mails und Anhängen, die in nicht-RMS-kompatiblen Archivlösungen gespeichert werden, kann ein Gateway mit RMS-Integrator helfen. Es ist in der Lage, einen durchsuchbaren Index der Nachrichten und Anhänge zu erstellen. Das erleichtert das Auffinden einer bestimmten E-Mail mit einem bestimmten Dokument erheblich und vermeidet einen aufwendigen Umweg über die Metadatensuche.

Fazit

Durch die Einsatzmöglichkeit in der Azure Cloud und die Labeling-Funktion ist MS RMS für Unternehmen zunehmend attraktiv geworden. Es ist davon auszugehen, dass auch Drittanbieter die Lösung verstärkt in ihre Anwendungen einbinden werden.

Damit der Schutz von sensiblen E-Mails und Dokumenten in der Praxis nicht von Kompatibilitätsproblemen ausgehebelt wird oder die Arbeit behindert, benötigen Unternehmen eine Lösung, die solche Probleme überwindet. Ein Verschlüsselungs-Gateway mit RMS-Integrator kann die RMS-Welt mit der Nicht-RMS-Welt verbinden und für eine durchgängig sichere Kommunikation sorgen.

Über den Autor:
Marcel Mock ist CTO und Mitbegründer von Totemo.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Azure Information Protection: Zugriff auf Daten per Richtlinien regeln

Mit Hilfe von Klassifizierung der Daten die Sicherheit verbessern

Mit dem Windows Server Daten klassifizieren

Erfahren Sie mehr über Datensicherheit