M. Linnemann, N. Pohlmann:,
“Von RECHTSwegen sicher – Enterprise Rights Management mit einer Sicherheitsplattform”,
IT-Sicherheit – Management und Praxis,
DATAKONTEXT-Fachverlag,
05/2008
Enterprise Rights Management mit einer Sicherheitsplattform
1993 bekam das TGV Konsortium in Nordkorea den Zuschlag für den Kauf von deren Bahntechnik. Das ICE-Konsortium um Siemens hatte das Nachsehen. Es war offenkundig, dass das TGV-Konsortium die Angebotshöhe des Konkurrenten durch Spionage ermitteln und ihn somit leicht überbieten konnte. Wirtschaftsspionage ist nach wie vor an der Tagesordnung und durch die weltumspannende Funktion digitaler und vernetzter Dienste noch einfacher geworden. Die Übermittlung der Angebote erfolgt heute digital und der Schutz von Wissen und Eigentum ist für den wirtschaftlichen Erfolg eines Unternehmens eine zentrale Komponente. Egal, ob es sich um Erfindungen, Angebote oder Konstruktionsdaten handelt, ein Verlust dieser Informationen führt zu wirtschaftlichem Schaden. Enterprise Rights Management Systeme bieten Lösungsansätze, um die digitalen Werte/Dokumente eines Unternehmens zu schützen. In der bisherigen Ausprägung bieten sie aber keine optimale Cyber-Sicherheit. Aus der Forschung kommt der entscheidende Ansatz, wie diese Systeme den Ansprüchen gerecht werden können.
Die Informationsverarbeitung in modernen Unternehmen erfolgt in verteilten und heterogenen IT-Systemen und -Netzen. Die Wartung und der Betrieb laufen zumeist unabhängig voneinander ab und die Konfiguration folgt unterschiedlichen Maßstäben. Die Durchsetzung von Sicherheitsrichtlinien zur zuverlässigen Verarbeitung der eigenen Informationen und Daten birgt in diesem Umfeld eine Herausforderung, die mit herkömmlichen Sicherheitswerkzeugen kaum zu bewältigen ist. Der Schutz vor unkontrollierter Weitergabe von Unternehmens- und Behördendaten wird immer schwieriger. Aber nicht nur die eigene IT rückt dabei in den Vordergrund der Sicherheitsbetrachtung. Im Zeitalter des Outsourcing hängt der wirtschaftliche Erfolg in gleicher Weise von der Zuverlässigkeit und Sicherheit anderer IT-Systeme ab, beispielsweise der Zulieferer und Dienstleister, welche immer enger in die eigenen Unternehmensprozesse eingebunden sind.
Der zumeist betriebene „globale“ Schutz des Netzes durch die Absicherung der Transport-, bzw. Kommunikationswege, beispielsweise durch den netzübergreifenden Einsatz von VPN (Virtual Private Network) ist nicht ausreichend, da sowohl die Kommunikationswege angreifbar sind, als auch Gefahren aus den eigenen Reihen drohen. Seit einigen Jahren werden als Lösung dieses Problems Enterprise Rights Management Softwarelösungen angeboten. Bei diesen Systemen wird die Sicherheit nicht mehr an die Wege der Daten, sondern an die Daten selbst gebunden. Dieses Konzept ermöglicht die Kontrolle von Daten sowohl im eigenen, als auch in fremden Netzen. Aktuelle Computersysteme kämpfen jedoch mit einem grundsätzlichen Problem. Betriebssysteme, unabhängig, ob sie aus der Linux-, der Windows- oder der Apple-Welt stammen sind monolithisch aufgebaut. Die Menge an Funktionen und somit die riesige Anzahl von Codezeilen ermöglichen jede Menge Fehler im System – immer wieder eindrucksvoll durch die Vielzahl an Sicherheitspatches belegt. Die Isolation von Prozessen ist nur unzureichend gewährleistet und die Allmächtigkeit des Betriebssystems bringt jeden erfolgreichen Angreifer in die Position, die Kontrolle über das gesamte System zu erlangen. Intelligente ERM-Lösungen können in diesem Fall keinen Vorteil mehr bieten, da mit der Kontrolle über das Betriebssystem auch die Kontrolle über alle Schlüssel, Applikationen und ERM-Lösungen an den Angreifer übergehen. Abhilfe für die beschriebenen Probleme schafft eine aus der Forschung stammende Lösung, die eine Sicherheitsplattform und den Einsatz der Trusted Computing Technologie umfasst.
…
kostenlos downloaden | 
