Data Leakage Prevention (DLP) ist populär. Nur: Viele der heute angebotenen Lösungen greifen zu kurz und konzentrieren sich nur auf Teilbereiche. Das eigentliche Thema heißt dabei ja ohnehin nicht DLP, sondern »Information Protection«: Wie kann ich sicherstellen, dass Information immer adäquat geschützt ist? Wohl gemerkt Informationen, nicht Daten, denn der Kontext ist entscheidend, der aus Daten Informationen unterschiedlicher Wertigkeit macht.

Die Betonung liegt also nicht nur auf »immer«, sondern insbesondere auch auf »adäquat«. Denn nicht jede Information muss gleichermaßen geschützt werden. Manche Information wie der Essensplan der Kantine dürfen gerne öffentlich sein, andere wie das vertrauliche Memo oder ein innovatives Produktkonzept dagegen sollten nur wenigen Leuten zugänglich sein. Und bei wieder anderen ändert sich das im Laufe der Zeit, beispielsweise bei Publikationen zu den Finanzzahlen vor und ab dem Stichtag der Veröffentlichung. Was schon mal Ansätze wie eine Filterung nach Dokumenttypen völlig untauglich macht, da jede der genannten Informationen beispielsweise ein PDF-Dokument sein könnte.

Dabei gibt es drei Phasen, die als »data at rest«, »data in move« und »data in use« bezeichnet werden und richtigerweise »information at rest«, »information in move« und »information in use« heißen sollten. Information immer zu schützen heißt, dass man sie in konsistenter Weise in allen drei Phasen und auch in den Übergängen zwischen diesen Phasen schützt, wo sie heute oft entschlüsselt und wieder neu verschlüsselt werden und damit angreifbar sind. Lösungen, die nur auf einen Teilbereich, beispielsweise den verschlüsselten Transport von Daten auf bestimmten Arten von Datenträgern abzielen, machen genau das nicht. Der einzige durchgängige Ansatz ist das Information Rights Management (IRM), bei dem die Informationen verschlüsselt und mit Zugriffsberechtigungen versehen werden und bei dem Anwendungen diese Zugriffsberechtigungen dann bei der Bearbeitung beachten.

Der adäquate Schutz beinhaltet aber noch eine andere Komponente: Es geht nicht darum, den Zugriff auf eine Information zu verhindern. Es geht vielmehr darum, dass die richtigen Leute die Information in definierter Weise nutzen dürfen. Die Finanzzahlen dürfen ja von bestimmten Leuten vor Veröffentlichung bearbeitet werden. Und einzelne Personen dürfen sie sogar an bestimmte andere Personen wie beispielsweise den externen Wirtschaftsprüfer weitergeben. Genauso, wie Kundendaten in einem Unternehmen in definierter Weise von bestimmten Personen genutzt werden dürfen, aber eben nicht als vollständige Liste auf dunklen Wegen an die Öffentlichkeit gelangen dürfen.

IRM beachtet auch diesen Kontext der Identität, also die Frage, wer welche Informationen wie und über welchen Zugriffsweg nutzen darf. Leider gibt es auch bei den existierenden Produkten für IRM noch manche Herausforderung, angefangen bei der fehlenden Standardisierung. Dennoch wird IRM die strategische Stoßrichtung für Information Protection sein. Punktlösungen, die nicht einmal im Kontext der Identität arbeiten, können das Problem nicht wirklich lösen und gaukeln oft nur Sicherheit vor. Das heißt aber auch, dass man erst einmal die Hausaufgaben im IAM (Identity und Access Management) machen muss, das nicht umsonst so heißt: Es geht darum, den Zugriff im Kontext der Identität zu steuern. IRM gehört mit dazu und baut als Access Management-Ansatz auf den sinnvollen und zuverlässigen Umgang mit Identitäten auf.