Information Rights Management |
|
Stiefkind IRM Information Rights Management und Risikomanagement gehören zusammen
Bei den Webinars, die wir zu den Ergebnissen unserer Marktstudie 2006 gemacht haben, bin ich jedes Mal an einem Punkt hängen geblieben, der auch intern immer wieder zu Diskussionen führt: Bei den Frage nach den Themen der Zukunft wird „Information Rights Management“ von den Teilnehmern der Umfrage recht zurückhaltend bewertet – während ich es für ein Thema halte, das genau so wichtig wie beispielsweise Identity Federation ist.
|
|
|
Nun ist die Frage nach dem Zugang zu Informationen – darum geht es nämlich – eines der Themen, die mich schon seit langem beschäftigen. Und zwar nicht nur dann, wenn ich sie auf dem Server habe, sondern zu jedem Zeitpunkt – insbesondere auch dann, wenn sie weiter gegeben werden. Insofern stört mich die geringe Beachtung des Themas etwas, so dass ich an dieser Stelle einmal eine Lanze dafür brechen muss.
Wer hat sich nicht schon mal nach dem Senden einer eMail überlegt, ob das so klug war, weil der Empfänger sie ja auch an jemand anderes weiterleiten könnte. Es geht dabei um Information Rights Management (IRM), ein enger Verwandter des so genennten Digital Rights Management (DRM). Während es beim DRM aber „nur“ um den Schutz von Urheberrechten geht, soll IRM für den Schutz all jener digitalen Informationen sorgen, die wir produzieren und die nicht jeder haben sollte.
IRM ist auch mit dem ILM (Information Lifecycle Management) eng verwandt. ILM beschäftigt sich aber vor allem mit der Archivierung, also dem Ende des Lebenszyklus, und viel weniger mit der Frage, was eigentlich während der Lebensdauer mit Informationen geschieht. Für Firmen ist IRM aus meiner Sicht eines der wichtigsten Themen überhaupt. „Müssten“, weil es kaum ein Unternehmen gibt, dass sich auch nur teilweise darum kümmert, geschweige denn eine Strategie für den unternehmensweiten Einsatz besitzt.
Sowohl für das „warum müsste man es machen“ als auch für das „warum wird es nicht gemacht“ gibt es gute Gründe. Dabei ist IRM ein Teil des Risikomanagements von Unternehmen, denn es geht um den Schutz der missbräuchlichen Verwendung digitaler Informationen. Was hätte Bill Gates gegeben, wenn manche seiner eMails, die vor einigen Jahren in den Kartellrechtsprozessen gegen Microsoft verwendet wurden, nicht an die Öffentlichkeit gelangt wären? Solche Beispiele gibt es viele, zum Beispielinterne Dokumente, die publik werden, oder Konstruktionspläne, die vom chinesischen Konkurrenten verwendet werden.
Unternehmen müssen heute kontrollieren können, welche Informationen an wen weitergegeben werden und wie diese verwendet werden dürfen. IRM schützt Informationen und steuert beispielsweise, wer eine eMail lesen, wer sie ausdrucken und wer sie weiterleiten darf. Das erfordert aber eine sehr enge Integration mit Anwendungen.
IRM ist nun mal ein kompliziertes Thema. Normale Anwendungen können von Hause aus nicht richtig mit Sicherheitsinformationen umgehenUm eine eMail zu schützen, muss man sie verschlüsseln. Die Anwendung sollte sie erst nach der Entschlüsselung, und dann auch nur für eine ganz bestimmte Verwendung freigeben, zum Beispiel für den Ausdruck, aber nicht zum Weiterleiten.
Das erfordert eine aber eine sehr enge Integration mit den Anwendungen. Bedauerlicherweise haben es die Softwarehersteller bis heute nicht geschafft, hier eine einheitliche Lösung zu finden. Es gibt zwar mit XACML ein Format, in dem sich Zugriffskontrolllisten beschreiben lassen. Aber eine wirkliche Standardisierung sieht anders aus. Anders formuliert: Man kann die Lösung von Microsoft, die von Adobe oder die von einem der wenigen anderen Anbieter mit IRM-Unterstützung nutzen. Aber man kann derzeit keine wirklich durchgängige Lösung im Unternehmen umsetzen.
Microsoft hat das Problem im Office-Umfeld für Endanwender relativ gut gelöst – und arbeitet bei seinem iPod-Konkurrenten Zune mit einem anderen Ansatz, den wir bei Gelegenheit noch näher betrachten werden. Die Konzeption und Administration sind aber noch reichlich komplex. Wer in einer Microsoft-Welt arbeitet, kann das Problem immerhin recht umfassend adressieren – aber nur für die Office-Welt. Konstruktionspläne und anderes wertvolles geistiges Eigentum bleiben aber außen vor. Die Komplexität in der Administration hat übrigens ihren Grund: Man braucht erst mal eine PKI, weil die Dokumente signiert und ver- und entschlüsselt werden müssen. Das ist für sich schon ein komplexes Thema. Und die PKI muss dann auch noch reibungslos mit der IRM-Infrastruktur zusammenarbeiten.
Was tun? Das Thema lässt sich auf Dauer nicht mehr ignorieren, weil es einer der Kernpunkte jeder Compliance-Strategie sein muss. Meine Empfehlung lautet daher: eine mehrstufige Strategie entwickeln. Zunächst müssen Leitlinien für den Umgang mit digitalen Informationen festgelegt werden. Dann kann man an die Umsetzung punktueller Lösungen gehen, je nach eingesetzten Anwendungen. Dabei müssen strategisch „führende“ Lösungen festgelegt werden – eine Entscheidung, die beim weiteren Fortgang von Standardisierungen in diesem Bereich zu überprüfen ist.
In drei bis fünf Jahren glaubenwir bei KCP, dass die ersten Pioniere die vierte Stufe angehen werden: ein durchgängiges IRM-Konzept über die Anwendungen verschiedener Hersteller hinweg.
Auch wenn die Realität der Produkte heute weit davon entfernt ist, die bestehenden Probleme lösen zu können, gilt aber doch eines: Wer sich heute nicht mit IRM beschäftigt, handelt grob fahrlässig.
Mein Kollege Jörg Resch, der gerne die Rolle des „advocatus diaboli“ übernimmt, hat mich in der Diskussion völlig zu Recht auch darauf hingewiesen, dass IRM vielleicht der Punkt ist, mit dem man Investitionen in Infrastruktur-Elemente wie PKIs, Smartcard-Infrastrukturen und andere Elemente einer Identity Management-Infrastruktur begründen kann. Denn welcher Entscheider will schon daran schuld sein, dass die Informationen und das Wissen des Unternehmens nicht richtig geschützt wurden?
Created: 16.11.06, modified: 12.06.07
|
|
|
|
 |
Information |
|
Newsletter
Kuppinger Cole Identity Management Newsletter
|
|
|
|
Services
KC provides strategic consulting services for vendor and user companies covering all areas of identity & access management.
|
|
|
|
Reports
Use KC as an independent, objective, and neutral authority on the Market for Identity Management products and solutions
|
|
|
|
Podcasts
Free audio and video presentations on important IAM-topics
|
|
Blogs |
|
|
Links |
|
|
