DRM/RMS - Die nächste Generation von Zugriffsrechten

DRM/RMS

Die nächste Generation von Zugriffsrechten

Marc Ruef
von Marc Ruef
Lesezeit: 12 Minuten

Keypoints

  • Dateizugriffsrechte sind die Grundlage der Computersicherheit
  • Mit DRM werden zusätzliche Möglichkeiten geschaffen (z.B. kein Copy&Paste, kein Versand per Email)
  • Microsoft liefert mit RMS die beste universale Lösung
  • Die Implementierung erfordert ein durchdachtes Konzept

Dateizugriffsrechte sind ein massgeblicher Bestandteil angewandter Computersicherheit. Dennoch wurden sie in den letzten beiden Jahrzehnten teilweise übergangen, manchmal schon fast vergessen. Dies lag an der Veränderung der Angriffsvektoren, die durch andere Sicherheitsmechanismen adressiert werden wollten. Mit DRM/RMS etabliert sich zunehmend eine neue Generation von Zugriffsrechten, die die Informationssicherheit zu revolutionieren in der Lage ist. Dieser Artikel diskutiert die aktuellen Implementierungen und ihre Möglichkeiten.

DRM – Digital Rights Management

DRM steht für Digital Rights Management. Darunter wird die Möglichkeit verstanden, die Nutzungsrechte für eine digitale Komponente zu bestimmen und technisch durchsetzen zu lassen. In das Bewusstsein der Öffentlichkeit gelangte DRM zum ersten Mal, als die Musikindustrie damit versuchte die Kopierbarkeit von Audio-CDs einzuschränken. Dieser Kopierschutz kollidierte jedoch mit den Möglichkeiten älterer Abspielgeräte, was die Kunden verärgert hat. Einen ähnlichen Effekt beobachtete man bei downloadbarer Musik. Auch diese wird zunehmend ohne DRM angeboten. Die Musikindustrie hat mittlerweile gemerkt, dass qualitativ gute, preislich faire und technologisch komfortable Angebote Raubkopien besser verhindern, als irgendwelche Einschränkungen des Nutzers.

Das Nutzungsfeld für Digitales Rechtemanagement hat sich in den letzten Jahren verschoben. Im Bereich der angewandten Computersicherheit soll es helfen, den Missbrauch legitimer und illegitimer Benutzer im Umgang mit Daten und Software einzuschränken.

Bisher hat sich dieses Rechtemanagement auf Dateiobjekte konzentriert. Einer Datei oder einem Verzeichnis wird ein Besitzer zugeteilt. Dieser kann die Zugriffsrechte auf die Datei vergeben. Klassischerweise wird zwischen Eigentümer, Mitglied der gleichen Benutzergruppe und anderen Benutzern unterschieden. Die drei Nutzungsmöglichkeiten sind dann Lesen, Schreiben oder Ausführen. Nachfolgend ein Beispiel dieser granularen Rechteaufteilung im Rahmen einer Software-Entwicklung, wie sie in unixoiden Umgebungen typisch ist:

Benutzergruppe Lesen Schreiben Ausführen
Eigentümer x x x
Entwickler x x -
Software Test - - x
Code Audit x - -
Software Audit x - x
Sonstige - - -

Diese Möglichkeiten sind offensichtlich eingeschränkt. Die eingeführten Erweiterungen (z.B. Sticky Bit) konnten ein bisschen mehr an Flexibilität mitbringen. Die heutigen Bedürfnisse konnten sie jedoch nicht adressieren. Das Ziel ist, die Rechte einer Datei für alle möglichen Aktionen und über die Systemgrenzen hinaus bestimmen zu können.

RMS – Rights Management System

RMS steht für Rights Management System. Hierbei handelt es sich um ein Framework, das die erweiterten Möglichkeiten von DRM in einem Betriebssystem zur Verfügung stellt.

Eine der grössten und vielversprechendsten RMS-Implementierungen wird durch Microsoft bereitgestellt. Mittlerweile wird es AD RMS (Active Directory Rights Management Services) genannt. Eigentlich ist der RMS-Client schon seit Windows Vista und Server 2008 Teil des Betriebssystems. Die älteren Versionen Windows XP, 2000 und Server 2003 können nachgerüstet werden. In Bezug auf Reife und Stabilität wird es aber erst seit Windows 8 und Server 2012 durch Administratoren und Firmen wahrgenommen. Mit Windows 10 und der 2016-Reihe der Microsoft-Produkte werden die Möglichkeiten sehr offensiv propagiert.

Installation der AD RMS Client Services

Durch RMS werden eine Vielzahl an granularen Einstellungsmöglichkeiten eingeführt, die zum Beispiel auch nach dem Verteilen des Dokuments zurückgezogen werden können:

Entsprechend generieren sich daraus erweiterte Möglichkeiten. Nachfolgendes Beispiel illustriert die unterschiedlichen Anforderungen, die einem Excel-Sheet beigemessen werden könnten:

Benutzergruppe Einsehen Verändern Kopieren Drucken Speichern Automat. Voll
Eigentümer x x x x x x x
Datentypist x x x - x - -
VBA Entwickler x x x - x x -
Software Audit x - x x x x -
Revision x - x x x - -
Sonstige - - - - - - -

Diese Kontrolle kann je nach Dokumententyp und eingesetzter Client-Software noch mehr Möglichkeiten bieten. Zum Beispiel lassen sich in Ready-Only Excel Dokumenten keine Sortierungen und Filter vornehmen. Durch ein dediziertes Template können diese ursprünglich gegensätzlichen Anforderungen realisiert werden.

Interoperabilität und Portabilität

Ein Grossteil der im Geschäftsumfeld eingesetzten Komponenten unterstützen mittlerweile RMS. Dazu gehören Office, Exchange, SharePoint, Skype for Business und XPS. Die Einbindung geschieht weitestgehend transparent und gestaltet sich entsprechend komfortabel.

In den 90er Jahren galt Microsoft nicht als besonders offene Firma. Auf ideologischer und wirtschaftlicher Ebene wurden quelloffene Lösungen, allen voran Linux, bekämpft. Mittlerweile hat sich die Firmenphilosophie etwas geändert. Dies ist sehr schön an der Portabilität von Microsoft RMS zu sehen. Alternative Betriebssysteme wie Linux und Apple OS X sind genauso unterstützt die mobilen Plattformen Android, iOS und Blackberry.

Diese Interoperabilität und Portabilität trägt massgeblich zum Erfolg der Lösung von Microsoft bei. Auf einem Office 365 in einer Windows-Umgebung können die Rechte für ein Word-Dokument vergeben werden. Und diese Rechte verbleiben auch nach dem Versand per Gmail und dem Öffnen auf einem Apple-System bestehen.

Durch Microsoft wird ein frei verfügbares SDK (Software Development Kit) bereitgestellt. Dadurch können auch Hersteller von Drittsoftware die Kompatibilität zum System gewährleisten. Dazu gehören mittlerweile bekannte Namen wie Foxit Reader und GigaTrust.

Technische Funktionsweise

RMS kombiniert eine Reihe von Technologien, um die Durchsetzung der Rechte zu ermöglichen. Wenn eine Datei per RMS mit Rechten versehen werden will, muss vom Client zuerst auf einen RMS Server verbunden werden. Dies wird für jede zu bearbeitende Datei separat durchlaufen. Durch den Licensing Server werden zuerst in Absprache mit dem Active Directory (AD) die Credentials geprüft und die eigenen Zugriffsrechte bestimmt. Der Inhalt des bearbeiteten Dokuments wird nicht übermittelt.

In einem nächsten Schritt kann ein Autor nun unter Berechtigungen die entsprechenden Einstellungen vornehmen. Diese werden durch den Publishing Server zurückgeliefert und können zusammen mit der Datei gespeichert werden.

Durch RMS wird nun auf der Basis des Public Key Verfahrens eine Verschlüsselung der Datei vorgenommen. Diese kann nun weiterhin durch den Besitzer eingesehen werden. Gleichzeitig wird aber auch die Berechtigung für die anderen Benutzer appliziert.

Wenn die Datei nun weitergereicht wird und ein Benutzer sie bearbeiten möchte (Öffnen, Editieren, Kopieren, etc.), wird sich sein Client zuerst wieder beim Licensing Server melden. Dort werden nun seine Credentials und Zugriffsrechte geprüft. Falls letztere vorhanden sind, kann er mit seinem Zugriff fortfahren. Andernfalls wird die Bearbeitung verweigert.

Angriffsmöglichkeiten

Drei Aspekte haben massgeblichen Einfluss auf den Erfolg von Rechteverwaltung:

Wird es erforderlich, dass ein Dokument nur durch die Benutzergruppe Finance gelesen werden kann, sich in dieser Gruppe jedoch auch fachfremde Benutzer befinden, geht damit unweigerlich eine Rechteausweitung einher. Nur indem die Benutzer und deren Zugehörigkeit konsequent verwaltet werden, können solche Missstände verhindert werden. Ein solider Prozess zur Etablierung von Benutzern und ihren Rechten, ein regelmässiges Auditieren der applizierten Zuweisungen und das automatisierte Entfernen von Rechten bei einem Stellenwechsel sind erforderlich.

In einem Berechtigungskonzept sollte festgehalten werden, welche Benutzer und Benutzergruppe auf welche Objekte zugreifen können. Hierzu sind die Voraussetzungen für das Erlangen sowie das Entfernen von Zugriffen zu spezifizieren. Logische Fehler auf dieser Ebene können zu Schwierigkeiten bei der Umsetzung führen. Zu viele Benutzergruppen sind genauso hinderlich wie zu generische Objektklassen. Ein Mittelweg aus Granularität und Simplizität gilt es einzuschlagen.

Im letzten Schritt muss die technische Implementierung des RMS solid sein. Dazu gehört einerseits die Installation der entsprechenden Server und Clients. Aber auch die grundlegende Konfiguration derer. Fehler auf dieser Ebene machen das gesamte System angreifbar. Ein technischer Audit kombiniert mit einer Config Review hilft dabei, solche Fallstricke zu verhindern.

Ein Fehler in einem dieser Bereiche kann dazu führen, dass eine unliebsame Rechteausweitung möglich wird. Ein Benutzer kann unter Umständen Daten kopieren, die eigentlich nicht kopierbar sein dürften.

Dabei besteht das zusätzliche Risiko, das mit Multi-Threading und grafischen Oberflächen einhergeht: Es gibt eine Vielzahl an Methoden, um die gleiche Handlung zu vollziehen. Alle zu adressieren kann sehr schwierig sein.

Falls die Kopierbarkeit eingeschränkt wird, wird dies in der Regel durch den Client nicht nur auf Copy&Paste angewendet, sondern auch bezüglich Screenshots durchgesetzt. Es kann aber durchaus sein, dass Screenshots der Druckvorschau nicht eingeschränkt sind. Solche mehrstufigen Angriffstechniken sind aus dem Citrix-Umfeld bestens bekannt. In der hauseigenen Implementierung von Microsoft ist man umfangreich darum bemüht, solche Fehler nicht zu machen. Zum Beispiel werden bei einem Screen-Sharing mit Skype for Business alle durch RMS geschützten Inhalte ausgeblendet.

Zusammenfassung

DRM entstand aus dem Bedürfnis von Rechteinhabern heraus, ihre Inhalte vor unerwünschter Vervielfältigung zu schützen. Dies war sowohl technisch als auch gesellschaftlich umstritten, so dass mittlerweile viele Anbieter von Musik und Filmen darauf verzichten.

Die grundlegende Idee kann aber ebenfalls als Erweiterung zur klassischen Rechteverwaltung von Dateien angesehen werden. Durch RMS wird ein Framework bereitgestellt, das diese zusätzlichen Möglichkeiten systemweit bereitstellt. Microsoft RMS tut sich durch einen hohen Grad an Stabilität und Verbreitung hervor. Dank der Interoperabilität und Portabilität kann davon auch auf alternativen Systemen und mobilen Plattformen profitiert werden.

Typischerweise lassen sich damit das Einsehen und Verändern von Dateien einschränken. Zusätzlich kann aber auch die Möglichkeit des Kopierens und Abspeicherns adressiert werden. Diese Granularität erhöht die Flexibilität und kann damit den heutigen Anforderungen gerecht werden.

Damit DRM/RMS erfolgreich sein kann, müssen verschiedene Aspekte berücksichtigt werden: Die Benutzerverwaltung muss konsequent bewirtschaftet werden, die Zugriffsrechte gilt es formell zu definieren und technisch zu implementieren. Nachlässigkeiten oder Fehler in diesen Bereichen können dazu führen, dass eine Ausweitung der Rechte und damit ein Missbrauch stattfinden können.

Die Erfahrung mit modernem DRM/RMS steckt noch in den Kinderschuhen. Es gibt weltweit nur wenige grosse Installationen. Und dies auch noch nicht lange. Die Zukunft wird zeigen, ob sich mit diesem Ansatz die heutige Bedrohungslage in der Informationssicherheit adressieren lässt. Grundsätzlich ist aber davon auszugehen, dass hier die nächste Generation von Zugriffsrechten bereitsteht.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv