RBAC: Role-Based Access Control verständlich erklärt

Unter rollenbasierter Berechtigungsvergabe bzw. Zugriffskontrolle (engl. Role-Based Access Control) versteht man in der IT ein System für die sichere und effiziente Verwaltung von Zugriffsrechten in Organisationen. Anstatt Berechtigungen für jeden Mitarbeiter einzeln zu konfigurieren, definiert man dabei übergreifende Rollen, die die notwendigen Rechte für eine bestimmte Positionen im Unternehmen zusammenfassen.

Durch das Zuweisen von Benutzern zur passenden Rolle erhalten diese automatisch alle nötigen Berechtigungen für ihre Aufgabe im Unternehmen. So sparen Admins nicht nur Zeit, sondern vermeiden auch potenzielle Fehler bei der manuellen Berechtigungsvergabe. Um alle Faktoren der Organisationsstruktur abzubilden, erhalten Mitarbeiter je nach Bedarf mehrere Rollen, zum Beispiel:

Das Gegenteil von RBAC, also die individuelle Vergabe von Berechtigungen für jeden Benutzer, wird auch als Discretionary Access Control (DAC) bezeichnet. Dieses Vorgehen eignet sich für kleine Organisationen, sorgt bei steigenden Userzahlen aber zwangsläufig für Chaos, weil Admins mehr und mehr Zeit dafür aufwenden müssen, Benutzerkonten an Veränderungen im Unternehmen anzupassen.

Erfahren Administratoren nicht rechtzeitig von Veränderungen oder vergessen einen Arbeitsschritt, entstehen bei diesem Modell leicht Sicherheitslücken durch verwaiste Konten und überflüssige Rechte. Diese sammeln sich im Laufe der Zeit durch den sogenannten Privilege Creep an.

Verschiedene Rechte zusammen zu bündeln ist in der IT ein gängiges Konzept. Auf diesem Weg lassen sich etwa innerhalb einer Anwendung unterschiedliche Berechtigungsstufen definieren. Nehmen wir Buchhaltungssoftware als Beispiel: Alle Mitarbeiter der Finanzabteilung erhalten ein bestimmtes Set an Rechten und dürfen damit Rechnungen im System erfassen. Einige Aufgaben, z.B. das Freigeben größerer Summen, werden jedoch an eine höhere Position in der Abteilung geknüpft. Kommt ein neuer Kollege hinzu, wird ihm die passende Berechtigungsstufe zugewiesen.

Diese Bündelung von Rechten auf Anwendungsebene löst aber nicht das grundlegende Problem der aufwändigen, manuellen Verwaltung. Denn in einem modernen, digitalen Büro verwenden Mitarbeiter nicht bloß ein einzelnes Programm, sondern arbeiten mit einer Vielzahl unterschiedlicher Systeme. Statt einzelner Berechtigungen erhalten User also eine Unmenge kleinteiliger Berechtigungssets. Eine echte Erleichterung ist das nicht. Was fehlt ist eine zentrale Plattform zur Verwaltung aller Anwendungen und Systeme.

Hier kommt Identity und Access Management ins Spiel: Anhand des Rollenmodells sorgt eine Software für Berechtigungsverwaltung für die automatische Steuerung von Zugriffsrechten quer über alle verknüpften Systeme. Fügt ein Admin einen neuen User zu einer solchen übergreifenden Rolle hinzu, sorgt die IAM Lösung im Hintergrund dafür, dass dieser User in allen Anwendungen die damit verbundenen Berechtigungen erhält.

Möglich ist das über Schnittstellen zu den notwendigen Systemen, beispielsweise Active Directory, dem lokalen Fileserver, Microsoft-Diensten wie Exchange und SharePoint, Cloud-Plattformen wie MS 365 und Azure AD oder gängigen Geschäftsanwendungen wie SAP ERP. Müssen Admins Benutzerkonten in all diesen Systemen händisch pflegen, bedeutet das nicht nur erheblich mehr Aufwand: Über kurz oder lang kommt es dabei zwangsläufig zu Fehlern, die gravierende Folgen für Datenschutz und IT Security haben können.

Dahingegen ermöglicht rollenbasierte Zugriffsteuerung die automatische Verwaltung von Berechtigungen und stellt sicher, dass jeder User nur auf jene Ressourcen zugreifen kann, die für die Arbeit wirklich notwendig sind. Dieser Grundsatz, auch als Least-Privilege-Prinzip bekannt, zählt nicht nur den Eckpfeilern der Informationssicherheit, sondern wird auch von immer mehr gesetzlichen Standards explizit gefordert (darunter etwa der IT-Grundschutz und die KRITIS-Verordnung).

Rund um das Thema Role-Based Access Control existieren einige sehr ähnliche Begriffe mit unterschiedlicher Bedeutung. Als Hilfestellung haben wir zusammengefasst, was genau gemeint ist, wenn Fachkreise von Rollen bzw. Gruppen sprechen.

Als Rolle wird der genaue Aufgabenbereich von Mitarbeitern bezeichnet, also ihre Funktion im Unternehmen. Auch die Summe an Zugriffsrechten, die für diese Tätigkeit notwendig sind, werden häufig Rolle bzw. Geschäftsrolle genannt. Allerdings existieren hier je nach Anbieter eigene Bezeichnungen: tenfold verwendet etwa den Begriff Profil für diese Bündelung von Berechtigungen.

Während eine Rolle Berechtigungen bündelt, fasst eine Gruppe mehrere Benutzer bzw. Objekte zu einer Einheit zusammen. Gruppen und Rollen erfüllen grundsätzlich unterschiedliche Funktionen. Die Gruppierung von Nutzern kann jedoch der Umsetzung des Rollensystems dienen. Beispielsweise basiert Microsofts empfohlenes Vorgehen für rollenbasierte Zugriffsteuerung, das AGDLP-Prinzip, auf der Mitgliedschaft in verschachtelten Gruppen, über die die Rechte von Nutzern in unterschiedliche Domänen übertragen werden.

Für Organisationen, die Zugriffsrechte aktuell händisch verwalten, lässt sich die Frage nach den Vorteilen der rollenbasierten Berechtigungsvergabe kurz und knapp beantworten: Im Vergleich zur manuellen Anpassung von Rechten bedeutet die automatische Verwaltung über RBAC eine erhebliche Erleichterung.

Die lange Fassung: Selbstverständlich ist jede Umstellung mit einem gewissen Aufwand verbunden. Das trifft auch auf die Einführung des Rollensystems zu. Für Firmen, die aufgrund von steigenden Benutzerzahlen, komplexen IT-Strukturen und immer strengeren Datenschutzgesetzen bereits eine merkliche Belastung spüren, lohnt sich der Wechsel zu rollenbasiertem Berechtigungsmanagement aber definitiv. Nähere Informationen zu den Stärken von RBAC liefert unsere Übersicht.

Ist Role-Based Access Control einmal in Betrieb, sorgt das System für eine deutliche Reduzierung des Verwaltungsaufwands. Anstatt jedem neuen User händisch alle notwendigen Ressourcen zuzuweisen, ermöglicht RBAC die automatische Provisionierung von Benutzern. Admins müssen Mitarbeiter nur zu den richtigen Rollen zuweisen und sämtliche Zugänge werden im Hintergrund angelegt bzw. angepasst.

Doch nicht nur die initiale Vergabe von Berechtigungen wird durch Role-Based Access Control erleichtert: Vor allem bei späteren Änderungen bringt das Modell eine massive Zeitersparnis mit sich. Wird eine Kollegin befördert oder wechselt die Abteilung, genügt eine Änderung ihrer Rollenzuweisung, um ihre neuen Zugänge hinzuzufügen und nicht mehr gültige Berechtigungen zu entfernen. Somit kann der gesamte User Lifecycle, also der Lebenszyklus eines Benutzers vom Onboarding bis zum Offboarding, automatisiert gesteuert werden.

Die automatische Anpassung von Rechten ist nicht nur eine Erleichterung für die IT-Abteilung, sondern sorgt auch für mehr Informationssicherheit im Unternehmen. Denn bei der händischen Pflege von hunderten Benutzerkonten im eigenen Netzwerk und in der Cloud kann es leicht passieren, dass ein nicht mehr benötigter Zugang übersehen wird (z.B. beim Abteilungswechsel). Solche verwaisten Benutzerkonten sind eine große Gefahr, da sie Hackern und Schadsoftware als Einfallstor in Ihr System dienen können.

Ein prominentes Beispiel ist etwa der Angriff auf die Colonial Pipeline, der für rund eine Woche Tankstellen an der Ostküste der USA lahmlegte. Möglich war diese Attacke dank einem nicht mehr benötigten VPN-Zugang, für den darüber hinaus keine Multi-Faktor-Authenthifizierung aktiviert war. Mit einer IAM-Lösung auf Basis eines Rollenmodells wäre dieser Zugang längst aufgefallen und geschlossen worden.

Doch selbst im schlimmsten Fall – also wenn es einem Angreifer gelingt, in das Firmennetzwerk einzudringen – hilft RBAC dabei, den Schaden zu minimieren. Die automatische Anpassung von Zugriffsrechten sorgt dafür, dass Mitarbeiter nur Daten und Systeme zugreifen können, die sie tatsächlich für ihre Arbeit benötigen. Diese sparsame Berechtigungsvergabe dient dazu, Missbrauch vorzubeugen. Denn Privilegien, die ein User von vornherein nicht hat, können nicht schädlich eingesetzt werden.

Der große Vorteil dieser Sicherheitsstrategie, die in Fachkreisen als Least-Privilege-Prinzip bezeichnet wird, ist, dass sie nicht nur Angriffe von außen blockiert, sondern auch Insider Threats wie dem Datendiebstahl durch Mitarbeiter effektiv vorbeugt. Die eigene Belegschaft ist für viele Organisationen ein blinder Fleck in Sachen Security. Tatsächlich waren 2020 schon 60 Prozent aller Unternehmen von Insider-Angriffen betroffen.

Der Schutz sensibler Daten und Systeme ist für Betriebe nicht nur aus Eigeninteresse sinnvoll, sondern zunehmend auch ein politisches Thema. Laufend werden neue und immer schärfere Gesetze erlassen, die verpflichtende Standards für Datenschutz und Informationssicherheit setzen.

Das Spektrum reicht von den Regularien einzelner Branchen (wie BAIT, TISAX oder PCI DSS) über nationale Gesetze (etwa die KRITIS-Verordnung in Deutschland) bis hin zu internationaler Gesetzgebung wie dem SOX Act. Auch freiwillige Zertifizierungen wie ISO 27001 oder das NIST Cybersecurity Framework gewinnen für Wettbewerb und Ausschreibungen an Relevanz.

Um die Compliance-Anforderungen aller relevanten Standards zu erfüllen braucht es nicht nur entsprechende Schutzmaßnahmen, auch der Nachweis der Einhaltung kann eine Herausforderung darstellen. Wie erbringe ich etwa den Beweis, dass ein Mitarbeiter zu keinem Zeitpunkt auf persönliche Daten zugreifen konnte? Automatisierte Berechtigungsverwaltung hilft auch bei der Erfüllung von Compliance-Audits, da historische Daten aller Nutzer über Reporting-Tools abgerufen werden können.

Role-Based Access Control baut auf der Annahme von klar getrennten Verantwortungsbereichen auf: Das Entwicklungsteam braucht Zugriff auf Entwicklungsressourcen, der Support Zugriff auf Kundendaten und offene Beschwerden, die Buchhaltung Zugriff auf Budgetpläne, etc. Diese klare Trennung macht als Grundgerüst auch Sinn. In der Praxis gestaltet sich die Lage aber aufgrund von Sonderfällen und individuellen Anforderungen um einiges komplizierter.

Ein Beispiel: Zur besseren Koordination bei Bugs und Problemen soll die Leiterin des Supports Zugriff auf die Roadmap der Entwicklungsabteilung erhalten. Doch wie setzt man diesen Wunsch am besten um? Eine direkte Berechtigung wäre unübersichtlich und sorgt langfristig für Aufwand. Fügt man die Verantwortliche zur Entwickler-Rolle hinzu, könnte sie neben dem Zeitplan auch auf viele andere sensible Daten zugreifen. Die Roadmap für den gesamten Kundendienst freizugeben ist auch keine Lösung, da sich darin heikle Details zu geplanten Features finden.

Auf den ersten Blick wäre die naheliegendste Lösung, für diesen Spezialfall eine eigene Rolle zu erstellen, die die Berechtigungen für genau eine Person abbildet. Doch dieser Ansatz sorgt schnell für Chaos, wenn sich weitere Anfragen und Wünsche sammeln. Ein Kollege aus HR, der für die Weihnachtskarte Zugriff auf Design-Programme braucht. Eine Texterin, die die Dokumentation der Entwicklungsabteilung Korrektur lesen soll.

Die optimale Lösung ist eine Berechtigungssoftware, die Standardrechte auf Basis von Role-Based Access Control abbildet, aber eine flexible Erweiterung von RBAC zulässt. Genau diesem Zugang von RBAC Plus folgt tenfold: Die Vergabe von Standardrechten wird automatisch über das Rollenmodell abgewickelt. Darüber hinaus können Benutzer aber mithilfe einer Self-Service-Plattform zusätzliche Berechtigungen anfordern, wenn sie diese benötigen. Über die Vergabe entschiedet der Verantwortliche in der jeweiligen Abteilung, der diese Sonderrechte auch regelmäßig auf Aktualität prüft.

Um RBAC nutzen zu können, muss ein Unternehmen zunächst geeignete Rollen festlegen, an denen sich das IAM-System bei der Provisionierung von Benutzern und späteren Änderungen orientiert. Organisationen, die sich bislang nicht mit dem Thema Berechtigungsmanagement befasst haben, sehen diesen Schritt als große Hürde. Tatsächlich erfordert das Erstellen von Rollen weit weniger Aufwand, als die meisten Unternehmen befürchten.

Der schnellste Weg, selbst ein Rollenmodell zu entwerfen, ist es, bei allgemeinen Rechten zu beginnen und sich von dort zu spezifischen Anforderungen und enger eingegrenzten Bereichen vorzuarbeiten. Ein möglicher Schritt-für-Schritt-Ablauf um ein Rollenmodell für Berechtigungen zu entwerfen wäre etwa:

Der einfachste Weg, sinnvolle Rollen zu definieren ist es, auf existierende Daten zurückzugreifen und sich an der bestehenden Berechtigungsstruktur Ihres Unternehmens zu orientieren. Aus den aktuell zugewiesenen Berechtigungen lässt sich ableiten, welche zu den Standardrechten einer Geschäftsrolle zählen (da alle Mitglieder einer Abteilung über diese verfügen) und bei welchen Rechten es sich um Spezialfälle handelt.

Dieser Analyseprozess wird als Role-Mining bezeichnet und läuft bei einer geeigneten Identity & Access Management Lösung im Hintergrund ab. Der Rollen-Assistent von tenfold unterstützt sie beispielsweise bei der Auswahl von Rechten während der ersten Inbetriebnahme, aber auch bei späteren Anpassungen. Dank Role-Mining lässt sich das Rollenmodell schnell und einfach in Ihrem Unternehmen etablieren.

Effizientere Freigabeprozesse, mehr IT-Sicherheit und bessere Compliance: Das sind die konkreten Vorteile, die Identity und Access Management Unternehmen bietet. Die IAM-Lösung tenfold verbindet dabei die Vorteile von RBAC mit flexiblen, individuellen Berechtigungen. Benutzer können Rechte bei Bedarf über eine Self-Service-Plattform anfordern. Diese Anträge werden von dem jeweiligen Datenverantwortlichen direkt in der Fachabteilung bearbeitet, ganz ohne Umwege über die IT.

Auf diesem Weg reduziert tenfold Helpdesk-Anfragen und behält gleichzeitig alle vergebenen Berechtigungen im Blick. Dank Import-Funktion und einem Installations-Assistenten für das Role-Mining lässt sich tenfold zudem besonders schnell in Betrieb nehmen. Überzeugen Sie sich jetzt bei einem kostenlosen Test selbst, wie einfach und effizient die Benutzer- und Berechtigungsverwaltung sein kann.