In den letzten Wochen habe ich mir etwas Zeit genommen um mir ein Thema anzusehen welches vor allem dann wichtig wird, wenn es darum geht seine oder die Daten Ihres Unternehmens, in SharePoint, vor denjenigen Augen zu schützen welche nicht dafür bestimmt sind. Viele Unternehmen haben für bestimmte Dokumente Compliance Richtlinien welche verhindern sollen dass Personen außerhalb dieses Compliance Bereichs unternehmensrelevante Daten erhalten. In Zeiten des globalen Datenaustausches und des freien Informationszuganges werden diese Arten von Sicherheitsthemen immer wichtiger.
Was kann SharePoint selbst?
Die erste Frage welche man sich hier stellt ist, was kann SharePoint selbst? Wer sich bereits mit SharePoint beschäftigt hat wird schnell verstehen wie die Berechtigungsstrukturen dieses Systems aufgebaut sind. Wir haben hier die Möglichkeiten sicherzustellen dass SharePoint Seiten nur von befugten Personen geöffnet werden können und auch, reglementieren ob bestimmte Bereiche des Unternehmens überhaupt auf diesen SharePoint zugreifen können. Die Permission Levels reglementieren ob Personen lesen schreiben oder administrieren können.
Aber an diesem Permission System gibt es ein Problem. Egal ob ich nun lesen schreiben oder administrieren kann, ich kann die Daten herunterladen, drucken, per mail versenden und eigentlich alles mit diesem Dokument tun was ich will, solange dies nicht im SharePoint passiert.
Wie Daten vor Weitergabe Schützen?
Was also tun? Wie schütze ich meine Daten vor Weitergabe? Microsoft stand vor demselben Problem wie wir es kennen. Als Antwort darauf entwickelten Sie, ursprünglich für sich selbst, ein Service mit dem Namen Active Directory Rights Management.
Wie setze ich es ein?
An dieser Stelle ein Hinweis, mit diesem Blog möchte ich keine Schritt für Schritt Anleitung für die Technische Installation von Rights Management bereitstellen, dafür gibt es bessere TechNet Artikel. Es geht mir vor allem darum zu erklären was es eigentlich ist und was ich damit machen kann.
Die Basis, auf der SharePoint sein Rights Management aufbaut ist das sogenannte Active Directory Rights Management ADRMS. Dieses wird mit der Domain verbunden und eingerichtet. Sobald dieses System aktiv ist kann man SharePoints Information Rights Management damit verbinden.
Somit ist das SharePoint IRMS nicht das eigentliche Rights Management, es ist eine Schnittstelle zu ADRMS, die technischen Einschränkungen geschehen nur dort.
Ist dieses System eingerichtet kann man Bibliotheken in SharePoint schützen.
Wie funktioniert der IRM Schutz?
Die Bibliothek welche von IRM geschützt wurde kann weiterhin von jedem Benutzer mit der entsprechenden Berechtigung angesurft werden. Ein Benutzer mit Bearbeitungsberechtigungen hat weiterhin keine Einschränkungen in der Bearbeitung. Jedoch kann (sofern es nicht explizit erlaubt wurde) ein Gast keine Daten mehr kopieren, er kann auch nicht drucken, das Dokument per Mail versenden oder einen Screenshot davon machen. Das heißt er hat keinerlei Möglichkeit mehr mit dem Dokument zu interagieren, er kann genau dass wofür er Berechtigungen hat: lesen.
Wenn jemand Berechtigungen zum Schreiben hat, kann diese Person drucken, sie kann Daten auch kopieren, jedoch ist es für sie nicht möglich Daten an unberechtigte Personen weiterzugeben. Denn ab dem Zeitpunkt an dem das Dokument geschützt wurde, liegen die Berechtigungen am Dokument und nicht am SharePoint Element. Sie kann ein Dokument zwar per Mail schicken, aber der Empfänger das Dokument nur dann öffnen wenn er auch dazu berechtigt ist.
Was heißt das nun genau?
Wir wissen nun also was mit IRM möglich ist, aber wann verwende ich es und worauf sollte ich achten?
Dieses Service ist sehr mächtig aber es hat seine Tücken. Man muss sich bei dessen Einsatz immer bewusst sein das dieser Schutz absolut ist. Es gibt keine genaueren Konfigurationsmöglichkeiten und Unterscheidungen abseits von Lesen und Schreiben. Entweder die Person darf etwas mit dem Dokument machen oder nicht. Mehrere Custom Policies kann man leider nicht anlegen. Weiter muss man sich auch im Klaren sein, dass ein geschütztes Dokument nur mit gültiger Domain Kennung angezeigt werden kann. Ein Dokument kann beispielsweise von einer schreibend berechtigten Person an die andere weitergegeben werden. Hat jemand aber keine Berechtigung kann er das Dokument nicht öffnen, ist jemand nicht an die Domain angebunden kann er dieses Dokument ebenfalls nicht öffnen. Ein guter Schutz um Daten innerhalb des Unternehmens zu belassen, schlecht wenn ich Daten an externe Personen weitergeben muss.
Man kann noch viele weiter Infos zu diesem Thema schreiben aber dazu reicht leider dieser Blog nicht aus. Gerne aber Informieren wir bei weiterem Interesse zu diesem Thema.
Ich hoffe ich konnte einen kleinen Überblick über das wenig besprochene Thema IRM geben.
Bei Fragen einfach an sebastian@hatahet.eu
Beste Grüße
Sebastian
