Marco Blume, Product/R&D Manager Embedded, WIBU-SYSTEMS AG
Servicetechniker verbinden sich von der Baustelle mit dem Unternehmensnetzwerk, Außendienstmitarbeiter greifen beim Kundenbesuch auf Firmendatenbanken zu, Webentwickler programmieren im Café und Abteilungsleiter arbeiten auf Dienstreisen … die Arbeitswelt wird seit Jahren immer dezentraler. Für diese Arbeiten werden aktuelle Dokumente wie Handbücher, Projektpläne oder Finanzdaten benötigt, die sind in der Regel vertraulich zu behandeln sind.
In der Realität jedoch sind mobile Mitarbeiter – aus den verschiedensten Gründen – oft unfreiwillig offline. Und das mobile, weltweite „always online“ ist ein Wunsch, der vermutlich niemals Realität wird. Eine Vorsorgemaßnahme ist es daher, alle benötigten Daten offline verfügbar zu halten. Im einfachsten Fall wird alles manuell auf dem Notebook gespeichert. Wichtige Bedienungsanleitungen, Konstruktionspläne oder der Quartalsbericht werden dabei aus dem Intranet heruntergeladen und auf der Festplatte abgelegt.
Hohes Sicherheitsrisiko für Offline-Daten
Gerne unterschätzen die IT-Abteilungen großer Firmen die speziellen Anforderungen mobiler Mitarbeiter und legen denselben Sicherheitsmaßstab zu Grunde wie bei Mitarbeitern im festen Büro. Abgesehen vom VPN-Zugang ins Firmennetz gibt es keine weiteren Sicherheitsmaßnahmen und keine Unterstützung für die Synchronisierung. Daraus folgt, dass auf der häufig unverschlüsselten Festplatte des Notebooks eine Menge sensibler Daten lagert, die vom Mitbewerber über den Kunden bis hin zum Geheimdienst einige Leute interessieren könnte.
Diesem Sicherheitsrisiko kann man begegnen. Geht man davon aus, dass die schützenswerten Informationen in PDF-Dokumenten stehen, bleiben diese Anforderungen:
1. Dokumente dürfen nur Berechtigten zugänglich sein.
2. Sicherheitsmaßnahmen müssen robust und einfach zu bedienen sein – das fördert ihrer Akzeptanz.
3. Dokumente müssen offline verfügbar und
4. sicher gegen Manipulation sein.
Ausgangspunkt sind die Daten, die im Intranet eines Unternehmens zur Verfügung stehen – die unterschiedlichen Berechtigungen der Mitarbeiter inbegriffen. Die Anforderung ist, dass sich die offline benötigten Daten jedes Mal automatisch aktualisieren, sobald ein Mitarbeiter wieder im Firmennetz eingeloggt ist. Zwar wird diese Synchronisierung heute von fast jeder kostenlosen Cloud-Lösung zur Verfügung gestellt – aber an dieser Stelle geht es vorrangig um Aspekte der Sicherheit und um einen professionellen Einsatz.
Kombination von PDF-Verschlüsselung und Schlüsselspeicher
Das CMS (Content Management System) des Intranet-Servers verschlüsselt die zu verteilenden PDF-Dokumente automatisch mit unterschiedlichen Schlüsseln und stellt diese auf einem internen Transferverzeichnis zur Verfügung. So wird durch den Besitz des passenden Schlüssels jedem Nutzer nur die für ihn bestimmte Dokumentengruppe zugänglich gemacht. Die so gesicherten PDFs könnten jetzt sogar über eine öffentliche Cloud verteilt werden, da sie aufgrund der verwendeten Schlüssellänge auf absehbare Zeit nicht zu knacken sind.
Zum automatischen Synchronisieren bekommt jeder Außendienstmitarbeiter ein Tool auf seinen Rechner sowie einen CmDongle als Schlüsselspeicher. Sobald er online ist, wird der Computer selbstständig über eine verschlüsselte Verbindung (z.B. Virtual Private Network, VPN) mit dem Dokumentenserver im Unternehmen verbunden und die neuen oder aktualisierten PDF-Dokumente lokal auf seinem Rechner abgelegt. In einer zentralen Datenbank im Unternehmen ist dabei hinterlegt, welche Dokumente der Nutzer lesen darf und welche davon er abonniert hat. Damit wird immer nur der für den Nutzer wirklich relevante Teil übertragen. Hier sieht man die Parallele zu bekannten Cloud-Diensten und dem dazugehörigen Sync-Tool – mit dem Unterschied, dass es sich hier um eine Lösung handelt, die nur mit dem dazugehörigen firmeninternen System kommuniziert.

Auch Sync-Tool ist verschlüsselt
Die zweite und noch wichtigere Maßnahme ist, dass das Sync-Tool selbst mit der CodeMeter-Technik geschützt ist. Damit ist das Tool selbst inklusive der darin enthaltenen Dokumentendatenbank und dem Zugangsmechanismus zu dem Firmennetz sowohl gegen Kopieren als auch gegen Reverse Engineering und Manipulation geschützt. Das Tool wird nach dem Starten mit einem Schlüssel aus dem CmDongle des Nutzers entschlüsselt. Nur der rechtmäßige Nutzer ist überhaupt in der Lage, das Tool zu nutzen. Das entspannt auch den Administrator des Unternehmens, der den Zugriff auf den Dokumentenserver ermöglichen muss – er kann sicher sein, dass die eingehende VPN-Verbindung von einem zulässigen Tool kommt, das nur die PDF-Dokumente kopiert; versucht jemand über die Verbindung etwas anderes zu tun, kann das per Anomalie-Erkennung automatisch als Angriff detektiert werden.
Möchte beispielsweise ein Techniker in einem Funkloch eine Reparaturanleitung lesen, so öffnet er das verschlüsselte Dokument von seiner Festplatte wie gewohnt mit dem Adobe Acrobat Reader. In diesem Moment greift der SmartShelter-Sicherheitsmechanismus und benötigt den passenden Schlüssel zum Dekodieren des Dokumentes. Dazu steckt der Techniker seinen CmDongle in sein Notebook und aktiviert diesen mit einem persönlichen Passwort. So kann das Acrobat Reader Plug-in mit dem Cryptochip im CmDongle kommunizieren und das Passwort für das Dokument bilden. Das Dokument wird anschließend im Acrobat Reader angezeigt, kann aber nicht ausgedruckt oder neu gespeichert werden. Ebenso werden Screenshots verhindert. Das gilt sowohl für die Betriebssystemfunktion als auch für externe Tools. Der CmDongle kann dabei ein robuster USB-Stick im Metallgehäuse mit zusätzlichem Speicher sein oder auch ein Mini-Stick, der fast in der Buchse verschwindet, oder eine SD-Karte.

Sicherheitstechnologie – anwendbar auf verschiedene Szenarien
Ein CmDongle kann eine ganze Reihe Schlüssel für unterschiedliche Zwecke speichern. Um bei dem Beispiel eines Heizungstechnikers zu bleiben: Hat dieser beispielsweise nur die Schulungen für Gasheizungen, aber nicht für Wärmepumpen besucht, fehlt ihm der passende Schlüssel für die dazugehörige Dokumentation. Stünde er jetzt bei einem Kunden vor einer defekten Wärmepumpe, kann man, um dieses Dilemma vor Ort schnell zu lösen, den CmDongle online updaten und das passende Recht für einen Tag übertragen, damit der Techniker trotzdem seinen Auftrag erfüllen kann. Dazu ist eine beliebige Internetverbindung ausreichend, da der Update-Prozess an sich schon kryptographisch gesichert ist und nur wenige Daten übertragen werden müssen.
Möglich ist auch, generell Schlüssel mit einer Laufzeit von drei Wochen zu vergeben. Die Schlüssel werden nur dann automatisch verlängert, wenn der Nutzer sich online im Firmensystem anmeldet. Auf diese Weise wird beispielsweise sichergestellt, dass ein Mitarbeiter, der das Unternehmen verlässt, nach spätestens drei Wochen keinen Zugriff mehr auf die Dokumente hat. Oder man entzieht die Rechte, weil ein Mitarbeiter nicht an einer Nachschulung zu einem komplexen Produkt teilgenommen hat. Auch bei einem Verlust des CmDongles, auf dem sogar das Passwort notiert ist, kann das Unternehmen umgehend handeln: Sobald der Verlust gemeldet ist, wird der CmDongle automatisch im System für den Update-Prozess gesperrt.
Fazit
In Zeiten mobilen Arbeitens ist eine komfortable und sichere Lösung für die Offline-Nutzung von Service-Dokumenten unerlässlich. Die hier verwendete Kerntechnologie CodeMeter basiert auf einem Cryptochip, beispielsweise als USB-Stick. Basierend auf diesem sicheren Schlüsselspeicher können sowohl Dokumente wie PDF als auch komplette Programme für nahezu jedes Betriebssystem geschützt werden. Eine umfassende Tool-Landschaft vereinfacht die Implementierung und erfordert keine Kenntnisse in Kryptographie oder Softwareschutz.
www.wibu.com
Marco Blume, Product/R&D Manager Embedded bei der WIBU-SYSTEMS AG. Gegründet 1989, hat sich das Unternehmen auf die Bereiche Digital-Rights-Management, Softwareschutz, Lizenzmanagement, Dokumentenschutz, Schutz von Media-Daten und Zugangsschutz spezialisiert. Mit Niederlassungen in Seattle (USA) sowie in Peking und Shanghai, Vertriebsbüros in Belgien, Großbritannien, den Niederlanden, Portugal und Spanien ist das Unternehmen weltweit vertreten.