RBAC: Wie funktioniert Role-Based Access Control?

Role-Based Access Control (RBAC) fasst Zugriffsrechte in IT-Systemen durch ein Rollenmodell zusammen, um die Verwaltung von Rechten zu vereinfachen. Durch das Festlegen von Standardrechten für bestimmte Aufgaben, Positionen und Abteilungen, lässt sich der Zugang zu Daten und Ressourcen automatisch und benutzerübergreifend steuern. In unserem Überblick erfahren Sie, welche Vorteile RBAC bietet und wie Sie als Unternehmen selbst ein RBAC-Modell erstellen und Rollen definieren können.

RBAC – Was ist Role-Based Access Control?

Unter rollenbasierter Berechtigungsvergabe bzw. Zugriffskontrolle (engl. Role-Based Access Control) versteht man in der IT ein System für die sichere und effiziente Verwaltung von Zugriffsrechten in Organisationen. Anstatt Berechtigungen für jeden Mitarbeiter einzeln zu konfigurieren, definiert man dabei übergreifende Rollen, die die notwendigen Rechte für eine bestimmte Positionen im Unternehmen (z.B. Vertrieb oder Kundendienst) zusammenfassen.

Durch das Zuweisen von Benutzern zur passenden Rolle erhalten diese automatisch alle nötigen Berechtigungen für ihre Aufgabe im Unternehmen. So sparen Admins nicht nur Zeit, sondern vermeiden auch potenzielle Fehler bei der manuellen Berechtigungsvergabe. Um alle Faktoren der Organisationsstruktur abzubilden, erhalten Mitarbeiter je nach Bedarf mehrere Rollen, zum Beispiel:

  • Standort: Büro in Berlin, Dienststelle in Dortmund, Niederlassung in Neunkirchen

  • Abteilung: Produktion, Verkauf, Kundendienst, Marketing, IT

  • Position: Praktikum, Team-Mitglied, Abteilungsleitung

Das Gegenteil von RBAC, also die individuelle Vergabe von Berechtigungen für jeden Benutzer, wird auch als Discretionary Access Control (DAC) bezeichnet. Dieses Vorgehen eignet sich für kleine Organisationen, sorgt bei steigenden Userzahlen aber zwangsläufig für Chaos, weil Admins mehr und mehr Zeit dafür aufwenden müssen, Benutzerkonten anzupassen.

Erfahren Administratoren nicht rechtzeitig von Veränderungen oder vergessen einen Arbeitsschritt, entstehen bei diesem Modell leicht Sicherheitslücken durch veraltete Konten und überflüssige Rechte. Diese sammeln sich im Laufe der Zeit durch den sogenannten Privilege Creep an.

Role-Based Access Control und IAM

Verschiedene Rechte zusammen zu bündeln ist in der IT ein gängiges Konzept. Auf diesem Weg lassen sich etwa innerhalb einer Anwendung unterschiedliche Berechtigungsstufen definieren. Nehmen wir Buchhaltungssoftware als Beispiel: Alle Mitarbeiter der Finanzabteilung erhalten ein bestimmtes Set an Rechten und dürfen etwa Rechnungen im System erfassen. Einige Aufgaben, z.B. das Freigeben größerer Summen, werden jedoch an eine höhere Position in der Abteilung geknüpft. Kommt ein neuer Kollege hinzu, wird ihm die passende Berechtigungsstufe zugewiesen.

Diese Bündelung von Rechten auf Anwendungsebene löst aber nicht das grundlegende Problem der aufwändigen, manuellen Verwaltung. Denn in einem modernen, digitalen Büro verwenden Mitarbeiter nicht bloß ein einzelnes Programm, sondern arbeiten mit einer Vielzahl unterschiedlicher Systeme. Statt einzelner Berechtigungen erhalten User also eine Unmenge kleinteiliger Berechtigungssets. Eine echte Erleichterung ist das nicht. Was fehlt ist eine zentrale Plattform zur Verwaltung aller Anwendungen und Systeme.

Viele Kollegen in einem hellen und freundlichen Büro arbeiten ohne unnötige Unterbrechungen.
Die Bündelung von Zugriffsrechten ermöglicht die zentrale Verwaltung mittels IAM. Adobe Stock, (c) Svitlana

Hier kommt Identity und Access Management ins Spiel: Anhand des Rollenmodells sorgt eine Software für Berechtigungsverwaltung für die automatische Steuerung von Zugriffsrechten quer über alle verknüpften Systeme. Fügt ein Admin einen neuen User zu einer solchen übergreifenden Rolle hinzu, sorgt die IAM Lösung im Hintergrund dafür, dass dieser User in allen Anwendungen die damit verbundenen Berechtigungen erhält.

Möglich ist das über Schnittstellen zu den notwendigen Systemen, beispielsweise Active Directory, dem lokalen Fileserver, Microsoft-Diensten wie Exchange und SharePoint, Cloud-Plattformen wie MS 365 und Azure AD oder gängigen Geschäftsanwendungen wie SAP ERP. Müssen Admins Benutzerkonten in all diesen Systemen händisch pflegen, bedeutet das nicht nur erheblich mehr Aufwand: Über kurz oder lang kommt es dabei zwangsläufig zu Fehlern, die gravierende Folgen für Datenschutz und IT Security haben können.

Dahingegen ermöglicht Role-Based-Access-Control die automatische Verwaltung von Berechtigungen und stellt sicher, dass jeder User nur auf jene Ressourcen zugreifen kann, die für die Arbeit wirklich notwendig sind. Dieser Grundsatz, auch als Least-Privilege-Prinzip bekannt, zählt nicht nur den Eckpfeilern der Informationssicherheit, sondern wird auch von immer mehr gesetzlichen Standards explizit gefordert (darunter etwa der IT-Grundschutz und die KRITIS-Verordnung).

Rollen, Profile & Gruppen: Was ist der Unterschied?

Rund um das Thema Role-Based Access Control existieren einige sehr ähnliche Begriffe mit unterschiedlicher Bedeutung. Als Hilfestellung haben wir zusammengefasst, was genau gemeint ist, wenn Fachkreise von Rollen bzw. Gruppen sprechen.

Als Rolle versteht man einerseits den genauen Aufgabenbereich von Mitarbeitern, also ihre Funktion im Unternehmen. Auch die Summe an Zugriffsrechten, die für diese Tätigkeit notwendig sind, werden häufig als Rolle bzw. Geschäftsrolle bezeichnet. Allerdings existieren hier je nach Anbieter unterschiedliche Bezeichnungen: tenfold verwendet etwa den Begriff Profil für diese Bündelung von Berechtigungen.

Während eine Rolle Berechtigungen zu einer Einheit zusammenfasst, fasst eine Gruppe mehrere Benutzer bzw. Objekte zu einer Einheit zusammen. Gruppen und Rollen erfüllen grundsätzlich unterschiedliche Funktionen. Die Gruppierung von Nutzer kann jedoch bei der Umsetzung des Rollensystems Verwendung finden.

Beispielsweise basiert Microsofts empfohlenes Vorgehen für Role-Based Access Control, das AGDLP-Prinzip, auf der Mitgliedschaft in verschachtelten Gruppen, über die die Rechte von Nutzern in unterschiedliche Domänen übertragen werden. Eine IAM-Lösung erstellt automatisch die notwendigen Strukturen, so dass sich Admins nicht mit diesen Hintergrundprozessen befassen müssen.

Der Grundsatz AGDLP steht für 1) Account 2) Global 3) Domain Local 4) Permission und bezeichnet die von Microsoft empfohlene Gruppenstruktur zur Umsetzung der rollenbasierten Berechtigungsvergabe in Active Directory. Nähere Informationen zu AGDLP.

Vorteile von RBAC: Warum Role-Based Access Control verwenden?

Bei der Frage, welche Vorteile die Verwendung von Role-Based Access Control mit sich bringt, gilt es zunächst zu klären, welches Berechtigungskonzept dadurch ersetzt werden soll. Neben der rollenbasierten Zugriffskontrolle existieren nämlich auch weitere Modelle für die automatische und regelbasierte Steuerung von Zugriffsrechten.

Für die meisten Organisationen geht es bei den Vorteilen von RBAC jedoch um eine grundlegendere Frage: Lohnt sich die Implementierung von Role-Based Access Control im Vergleich zu der bisherigen Praxis, also der manuellen Anpassung von IT-Zugriffsrechten? Die kurze Antwort lautet: Ja, das tut sie.

Die lange Fassung: Selbstverständlich ist jede Umstellung mit einem gewissen Aufwand verbunden. Das trifft auch auf die Einführung des Rollensystems zu. Für Firmen, die aufgrund von steigenden Benutzerzahlen, komplexen IT-Strukturen und immer strengeren Datenschutzgesetzen bereits eine merkliche Belastung spüren, lohnt sich der Wechsel zu rollenbasiertem Berechtigungsmanagement aber definitiv. Nähere Informationen zu den Stärken von RBAC liefert unsere Übersicht.

Administrator betrachtet detaillierten Bericht zu IT-Privilegien von einem User.
Dank Rollenmodell wissen Sie jederzeit, wer über welche Zugriffsrechte verfügt. Adobe Stock, (c) greenbutterfly

Effizientere Verwaltung

Ist Role-Based Access Control einmal in Betrieb, sorgt das System für eine deutliche Reduzierung des Verwaltungsaufwands. Anstatt jedem neuen User händisch alle notwendigen Ressourcen zuzuweisen, ermöglicht RBAC die automatische Provisionierung von Benutzern. Admins müssen Mitarbeiter nur zu den richtigen Rollen zuweisen und sämtliche Zugänge werden im Hintergrund angelegt bzw. angepasst.

Doch nicht nur die initiale Vergabe von Berechtigungen wird durch Role-Based Access Control erleichtert: Vor allem bei späteren Änderungen bringt das Modell eine massive Zeitersparnis mit sich. Wird eine Kollegin befördert oder wechselt die Abteilung, genügt eine Änderung ihrer Rollenzuweisung, um ihre neuen Zugänge hinzuzufügen und nicht mehr gültige Berechtigungen zu entfernen. Somit kann der gesamte User Lifecycle, also der Lebenszyklus eines Benutzers vom Onboarding bis zum Offboarding, automatisiert gesteuert werden.

Verbesserte IT-Sicherheit

Die automatische Anpassung von Rechten ist nicht nur eine Erleichterung für die IT-Abteilung, sondern sorgt auch für mehr Informationssicherheit im Unternehmen. Denn bei der händischen Pflege von hunderten Benutzerkonten kann es leicht passieren, dass ein nicht mehr benötigter Zugang oder ein veraltetes Konto übersehen wird (z.B. beim Abteilungswechsel). Solche verwaisten Benutzerkonten sind eine große Gefahr, da sie Hackern und Schadsoftware als Einfallstor in Ihr System dienen können.

Ein prominentes Beispiel ist etwa der Angriff auf die Colonial Pipeline, der für rund eine Woche Tankstellen an der Ostküste der USA lahmlegte. Möglich war diese Attacke dank einem nicht mehr benötigten VPN-Zugang, für den darüber hinaus keine Multifaktor-Authenthifizierung aktiviert war. Auf diesem Weg gelang es den Cyberkriminellen, Ransomware in die Systeme des Betreibers zu schmuggeln und ein Lösegeld von 4 Millionen Dollar zu erpressen. Mit einer IAM-Lösung und Rollensystem wäre dieser Zugang längst aufgefallen und geschlossen worden.

Webinar

Die TOP 5 Gründe für Identity & Access Management

Doch selbst im schlimmsten Fall – also wenn es einem Angreifer gelingt, in das Firmennetzwerk einzudringen – hilft RBAC dabei, den Schaden zu minimieren. Die automatische Anpassung von Zugriffsrechten sorgt dafür, dass Mitarbeiter nur Daten und Systeme zugreifen können, die sie tatsächlich für ihre Arbeit benötigen. Diese sparsame Berechtigungsvergabe dient dazu, Missbrauch vorzubeugen. Denn Privilegien, die ein User von vornherein nicht hat, können nicht schädlich eingesetzt werden.

Der große Vorteil dieser Sicherheitsstrategie, die in Fachkreisen als Least-Privilege-Prinzip bezeichnet wird, ist, dass sie nicht nur Angriffe von außen blockiert, sondern auch Insider Threats wie dem Datendiebstahl durch Mitarbeiter effektiv vorbeugt. Die eigene Belegschaft ist für viele Organisationen ein blinder Fleck in Sachen IT-Sicherheit. Tatsächlich waren 2020 schon 60 Prozent aller Unternehmen von Insider-Angriffen betroffen.

Compliance & Datenschutz

Der Schutz sensibler Daten und Systeme ist für Betriebe nicht nur aus Eigeninteresse sinnvoll, sondern zunehmend auch ein politisches Thema. Laufend werden neue und immer schärfere Gesetze erlassen, die verpflichtende Standards für Datenschutz und Informationssicherheit setzen. Das Spektrum reicht von den Regularien einzelner Branchen (wie BAIT, TISAX oder PCI DSS) über nationale Gesetze (etwa das IT-Sicherheitsgesetz 2.0 in Deutschland) bis hin zu internationaler Gesetzgebung. Die Datenschutzgrundverordnung der EU (DSGVO) ist etwa nicht mehr neu, aber nach wie vor gültig.

Um die Compliance-Anforderungen aller relevanten Standards zu erfüllen braucht es nicht nur entsprechende Schutzmaßnahmen, auch der Nachweis der Einhaltung kann eine Herausforderung darstellen. Wie erbringe ich etwa den Beweis, dass ein Mitarbeiter zu keinem Zeitpunkt auf persönliche Daten zugreifen konnte, die er gar nicht verarbeiten dürfte? Automatisierte Berechtigungsverwaltung hilft auch bei der Erfüllung von Compliance-Audits, da historische Daten aller Nutzer über Reporting-Tools abgerufen werden können.

RBAC und Sonderfälle: Wie bilde ich individuelle Berechtigungen ab?

Role-Based Access Control baut auf der Annahme von fein säuberlich getrennten Verantwortungsbereichen auf: Das Entwicklungsteam braucht Zugriff auf Entwicklungsressourcen, der Support Zugriff auf Kundendaten und offene Beschwerden, die Buchhaltung Zugriff auf Budgetpläne, etc. Diese klare Trennung macht als Grundgerüst auch Sinn, in der Praxis gestaltet sich die Lage aber aufgrund von Sonderfällen und individuellen Lösungen um einiges komplizierter.

Ein Beispiel: Zur besseren Koordination bei Bugs und Problemen soll die Leiterin des Supports Zugriff auf die Roadmap der Entwicklungsabteilung erhalten. Doch wie setzt man diesen Wunsch am besten um? Eine direkte Berechtigung wäre unübersichtlich und sorgt langfristig für Aufwand. Fügt man die Verantwortliche zur Entwickler-Rolle hinzu, könnte sie neben dem aktuellen Zeitplan auch auf viele andere sensible Daten zugreifen. Die Roadmap für den gesamten Kundendienst freizugeben ist auch keine Lösung, da sich darin heikle Details zu geplanten Features finden.

Illustration des Workflow für die Datenfreigabe in tenfold IAM
Illustration des Workflow für die Datenfreigabe in tenfold IAM

Auf den ersten Blick wäre die naheliegendste Lösung, für diesen Spezialfall eine eigene Rolle zu erstellen, die die Berechtigungen für genau eine Person abbildet. Doch dieser Ansatz sorgt schnell für Chaos, wenn sich weitere Anfragen und Wünsche sammeln. Ein Kollege aus HR, der für die Weihnachtskarte Zugriff auf Design-Programme braucht. Eine Texterin, die die Dokumentation der Entwicklungsabteilung Korrektur lesen soll.

Die optimale Lösung ist eine Berechtigungssoftware, die Standardrechte auf Basis von Role-Based Access Control abbildet, aber eine Erweiterung von RBAC zulässt. Genau diesem Zugang von RBAC Plus folgt etwa tenfold: Die Vergabe von Standardrechten wird automatisch über das Rollenmodell abgewickelt, darüber hinaus können Benutzer aber mithilfe einer Self-Service-Plattform zusätzliche Berechtigungen anfordern, wenn sie diese benötigen. Über die Vergabe entschiedet der Verantwortliche in der jeweiligen Fachabteilung, der diese Sonderrechte auch mittels regelmäßiger Erinnerungen auf Aktualität prüft.

RBAC Modell erstellen: Wie definiere ich Rollen?

Um RBAC nutzen zu können, muss ein Unternehmen zunächst geeignete Rollen festlegen, an denen sich das IAM-System bei der Provisionierung von Benutzern und späteren Änderungen orientiert. Viele Organisationen, insbesondere jene, die sich bislang nicht mit dem Thema Berechtigungsmanagement befasst haben, sehen diesen Schritt als große Hürde. Tatsächlich erfordert das Erstellen von Rollen weit weniger Aufwand, als die meisten Unternehmen befürchten.

Der schnellste Weg, selbst ein Rollenmodell zu entwerfen, ist es, bei allgemeinen Rechten zu beginnen und sich von dort zu enger eingegrenzten Bereichen vorzuarbeiten. Ein möglicher Schritt-für-Schritt-Ablauf wäre etwa:

  • Unternehmen: Zu Beginn werden universelle Rechte und Ressourcen festgelegt, über die jeder Mitarbeiter verfügen soll. Dazu zählen etwa ein Konto im Active Directory, ein E-Mail-Postfach, ein eigener Netzwerk-Ordner, Lizenzen für Office Programme, etc.

  • Standort: Sofern mehrere Geschäftsstellen vorhanden sind, macht es Sinn hier eine erste Unterscheidung zu treffen, um die Struktur des Firmennetzwerks korrekt abzubilden. Da verschiedene Büros mit je eigenen Datensätzen arbeiten, sollte diese Aufteilung im Rollenmodell übernommen werden.

  • Abteilung: Als nächste Ebene des Modells werden Rollen für die einzelnen Abteilungen der Organisation festgelegt. Dabei dienen die spezifischen Aufgaben der Fachbereiche als Leitlinie: HR erhält Zugang zu Personaldaten, Verkaufsmitarbeiter zu Sales-Unterlagen usw.

  • Position: Zuletzt sollte auch innerhalb der jeweiligen Abteilung eine Trennung nach der Funktion bzw. dem Rang von Angestellten getroffen werden. Ein typisches Beispiel wäre, dass alle Mitarbeiter einer Abteilung auf Unterlagen zugreifen können, aber nur Manager diese bearbeiten können.

Was ist Role-Mining?

Der einfachste Weg, sinnvolle Rollen zu definieren ist es, auf existierende Daten zurückzugreifen und sich an der bestehenden Berechtigungsstruktur Ihres Unternehmens zu orientieren. Aus den aktuell zugewiesenen Berechtigungen lässt sich ableiten, welche zu den Standardrechten einer Geschäftsrolle zählen (da alle Mitglieder einer Abteilung über diese verfügen) und bei welchen Rechten es sich um Spezialfälle handelt.

Dieser Analyseprozess wird als Role-Mining bezeichnet und läuft bei einer geeigneten Identity & Access Management Lösung im Hintergrund ab. Der Rollen-Assistent von tenfold unterstützt sie beispielsweise bei der Auswahl von Rechten während der ersten Inbetriebnahme, aber auch bei späteren Anpassungen. Dank Role-Mining lässt sich das Rollenmodell schnell und einfach in Ihrem Unternehmen etablieren.

Fazit: Das richtige Berechtigungskonzept wählen

Effizientere Freigabeprozesse, mehr IT-Sicherheit und bessere Compliance: Das sind die konkreten Vorteile, die Identity und Access Management Unternehmen bietet. Die IAM-Lösung tenfold verbindet dabei die Vorteile von RBAC mit flexiblen, individuellen Berechtigungen. Benutzer können Rechte bei Bedarf über eine Self-Service-Plattform anfordern. Diese Anträge werden von dem jeweiligen Datenverantwortlichen direkt in der Fachabteilung bearbeitet, ganz ohne Umwege über die IT.

Auf diesem Weg reduziert tenfold Helpdesk-Anfragen und behält gleichzeitig alle vergebenen Berechtigungen im Blick. Dank Import-Funktion und einem Installations-Assistenten für das Role-Mining lässt sich tenfold zudem besonders schnell in Betrieb nehmen. Überzeugen Sie sich jetzt bei einem kostenlosen Test selbst, wie einfach und effizient die Benutzer- und Berechtigungsverwaltung sein kann.

Whitepaper

Identity und Access Management Software: Produkte im Vergleich

Finden Sie heraus, welche Kategorien von IAM Software am Markt erhältlich sind und welches Produkt optimal auf Ihre Bedürfnisse abgestimmt ist.

Verfasst von: Joe Köller

Joe Köller ist Content Manager bei tenfold und beschäftigt sich auf diesem Blog mit Themen wie Compliance, IT-Sicherheit und Access Management. Außerdem zählen digitale Medien, amerikanische Literatur und das Gärtnern zu seinen Leidenschaften.