Auf dem Weg zur datenorientierten Sicherheit: Enterprise Digital Rights Management (EDRM)

Bedingt durch die zunehmende Mobilität am Arbeitsplatz sind traditionelle perimeterbasierte Sicherheitskonzepte nicht mehr unbedingt in der Lage, die Daten von Unternehmen wirksam zu schützen. Um diesem wachsenden Risiko zu begegnen, ist es notwendig, einen Schutz auf Datenebene einzuführen und die Daten während ihres gesamten Lebenszyklus zu sichern – zum Zeitpunkt ihrer Erstellung, Speicherung, Verwendung oder ihres Austauschs zwischen Mitarbeitern, Partnern und externen Parteien, bis sie schliesslich archiviert oder gelöscht werden.

Enterprise Digital Rights Management in wenigen Worten

Als Teil des Cyber-Sicherheitsteams von Deloitte erhalten wir vermehrt Anfragen bezüglich datenorientierter Sicherheit. Dabei ist Enterprise Digital Rights Management (EDRM) eine Technologie, die sich wachsender Beliebtheit erfreut und von unseren Kunden in ihren Sicherheitskonzepten häufiger angewendet wird. Die EDRM-Technologie gibt es bereits seit einigen Jahren, doch ihr jüngster Höhenflug wurde erst durch ihre Verfügbarkeit auf mobilen Geräten und durch ihre Kompatibilität mit weithin verwendeten Kollaboration- und E-Mail-Plattformen möglich. Sie verkörpert eine Kombination von Identitäts- und Zugangskontrolle sowie Verschlüsselung. EDRM-geschützte Inhalte werden verschlüsselt und mit einer Schutzrichtlinie gekoppelt. Die Technologie legt Genehmigungen für verschiedene Benutzer und Benutzergruppen fest, unter anderem betreffend Anzeige, Bearbeitung, Herunterladen, Druck, Speicherung oder Weiterleitung. Um auf geschützte Inhalte zugreifen zu können, müssen sich Benutzer zuerst authentifizieren. Basierend auf der Grundlage ihrer Identität werden den Benutzern Genehmigungen gemäss der Schutzrichtlinie erteilt. Anders als traditionelle, anwendungsorientierte Identitäts- und Zugangsverwaltungslösungen bleibt EDRM mit den Daten verbunden und sorgt dafür, dass sie unabhängig von Anwendung, Gerät oder Zugriffspunkt gesichert werden.

EDRM wird typischerweise dazu verwendet, hochsensible Dokumente und E-Mails zu schützen, die zwischen verschiedenen Parteien ausgetauscht werden und auf welche verschiedenen Parteien zugreifen. Bekannte Beispiele sind Vorstandsmemos, geschäftlich sensible Dokumente wie Produktdesigndokumente, M&A-Pläne, Finanzberichte oder Kundeninformationen. Die Besitzer der Daten können dabei Zugriffsrechte jederzeit widerrufen oder ändern. Ausserdem kann das Ablaufdatum so festgelegt werden, dass die Zugriffsbeschränkungen gelockert oder aufgehoben werden, sobald die Daten nicht länger sensibel sind. Die Sicherheitsgranularität ist lösungs- und anbieterspezifisch und erstreckt sich vom Schutz einer Dokumentenbibliothek oder eines Ordners bis hin zum Schutz von bestimmten Teilen eines vertraulichen Dokuments.

Beobachtungen und Empfehlungen zur Implementierung

Obwohl EDRM effektive Datenschutzfunktionen bietet, ist es eine junge Technologie, deren Auswirkungen auf die bestehenden Geschäftsprozesse einer sorgfältigen Evaluierung bedürfen. So werden mit EDRM einige Nachteile wie übermässiger Schutz, ungerechtfertigt blockierter Zugang oder Auswirkungen auf E-Discovery-Funktionen in Verbindung gebracht. Um diesen Problemen entgegenzuwirken, empfehlen wir unseren Kunden einen strukturierten und phasenweisen Implementierungsansatz. Dieser beinhaltet eine sorgfältige Auswahl von Anwendungsfällen sowie die Identifikation des geschäftlichen Nutzens, Testläufe, Wirkungsanalysen und die enge Einbindung der Beteiligten. Für eine erfolgreiche Implementierung geht es bei EDRM nicht nur um die Technologie, sondern es braucht auch eine robuste Führungsstruktur, entsprechende Trainings und Kenntnisse der Nutzer-Community.

Unsere Erfahrung zeigt, dass EDRM am effektivsten funktioniert, wenn es gemeinsam mit anderen datenorientierten Sicherheitstechniken wie DLP (Data Loss Prevention) verwendet wird. EDRM und DLP haben komplementäre Eigenschaften, die optimiert werden können, um die Datenschutzarchitektur kohärenter zu machen. So kann eine DLP-Lösung sensible Daten erkennen und die EDRM-Richtlinie auf diese Daten anwenden, um damit den Zugang zu den identifizierten Daten zu beschränken.

Falls Sie sich für EDRM interessieren und den erfolgreichen Ansatz von Deloitte kennenlernen möchten, setzen Sie sich bitte mit unserem Team in Verbindung.