Arten von Zugriffskontrolle: Alle Modelle erklärt!

Unter Zugriffskontrolle bzw. Zugriffssteuerung versteht man die Einschränkung des Zugangs zu sensiblen Bereichen oder Informationen. Dazu zählt die physische Absicherung durch Zutrittsmechanismen wie Keycards ebenso wie die Zugriffskontrolle in Informationssystemen. In diesem Artikel vergleichen wir die unterschiedlichen Systeme für Zugriffskontrolle in der IT, von manuellen bis hin zu automatisierten Lösungen.

Die 4 wichtigsten Modelle für Zugriffskontrolle

Mandatory Access Control (MAC)

Obligatorische Zugriffskontrolle oder Mandatory Access Control bezeichnet ein Modell, bei dem nur eine zentrale Instanz wie der Administrator eines Systems festlegen kann, welche User auf welche Ressourcen zugreifen können. Benutzer können ihre Berechtigungsstufe nicht ändern und diese Einschränkung nicht umgehen.

Aufgrund der Tatsache, dass Admins jede Berechtigung einzeln zuweisen müssen, ist obligatorische Zugriffskontrolle für die meisten Organisationen keine praktikable Lösung. Der Zeitaufwand durch die Vergabe und Anpassung von Zugriffsrechten verzögert Freigabeprozesse und die Provisionierung neuer User.

Allerdings wird obligatorische Zugriffskontrolle oft in Organisationen mit hohem Sicherheitslevel verwendet, etwa von Behörden und militärischen Einrichtungen. Durch die zentrale Steuerung des Zugriffs können diese genau nachvollziehen, wer Zugang zu sensiblen Informationen hat.

Vorteile und Nachteile von Mandatory Access Control (MAC):

  • Hoher Sicherheits-Fokus

  • Zentrale Kontrolle

  • Langsam und arbeitsintensiv

  • Unflexibel

Discretionary Access Control (DAC)

Unter Discretionary Access Control (engl. discretionary = “nach Ermessen”) versteht man Systeme, in denen Benutzer Zugriffsrechte eingeschränkt selbst verwalten können, z.B. für Ressourcen unter ihrer Kontrolle. Sie wird deshalb auch als benutzerbestimmbare Zugriffskontrolle bezeichnet.

Bei diesen Benutzern kann es sich etwa um ein Team von Admins handeln, die unterschiedliche Bereiche der IT-Infrastruktur verwalten. Ebenso wäre denkbar, die Freigabe bestimmter Verzeichnisse an Personen außerhalb der IT zu delegieren.

Der größte Vorteil von Discretionary Access Control liegt in der hohen Flexibilität des Modells. DAC erlaubt es den Verantwortlichen einer Ressource, neue User und Rechte hinzuzufügen, ohne auf eine zentrale Instanz warten zu müssen. Die eigenständige Vergabe von Zugriffsrechten kann jedoch auch zu überprivilegierten Usern führen, wenn Berechtigungen nicht durch regelmäßige Rezertifizierung überprüft werden.

Vorteile und Nachteile von Discretionary Access Control (DAC):

  • Einfach und flexibel

  • Ermöglicht die Delegierung von Freigaben

  • Anfragen werden schnell bearbeitet

  • Kann zu überflüssigen Rechten führen

  • Erfordert Überwachung und Kontrolle

Role-Based Access Control (RBAC)

Anders als obligatorische und benutzerbestimmbare Zugriffskontrolle handelt es sich bei Role-Based Access Control (RBAC) um ein Modell für die automatische Verwaltung von IT-Berechtigungen.

Bei rollenbasierter Zugriffskontrolle werden Benutzer anhand von Faktoren wie Standort oder Abteilung in verschiedene Rollen eingeteilt. Jede Rolle umfasst ein bestimmtes Set an Zugriffsrechten, welches die Organisation im Vorfeld festlegt. Wird ein neuer User zu einer Rolle hinzugefügt, erhält er automatisch alle damit verbunden Rechte.

RBAC macht sich die Tatsache zunutze, dass Personen mit der gleichen Geschäftsrolle meist Zugriff auf die gleichen Ressourcen benötigen: Der Verkauf benötigt Kundendaten, der Support offene Tickets und Anfragen usw. Diese ähnlichen Anforderungen ermöglichen es, über RBAC die Provisionierung neuer User zu automatisieren und die Zahl manueller Anpassungen drastisch zu senken.

Allerdings benötigen auch User mit der gleichen Rolle im Alltag oft Zugriff auf andere Systeme. Zum Beispiel weil ein Mitarbeiter des Grafikteams gemeinsam mit HR eine interne Aussendung gestalten soll. Diese Art von Ausnahmen und Sonderfällen lassen sich mit einem rollenbasierten Modell nur schwer abdecken.

Vorteile und Nachteile von Role-Based Access Control (RBAC):

  • Automatisiert und skalierbar

  • Weniger Arbeit für Admins

  • Sorgt für zeitnahe Deprovisionierung

  • Es muss ein Rollenmodell erstellt werden

  • Bei Sonderfällen oft unflexibel

Um die Nachteile eines Systems für Zugriffskontrolle auszugleichen, ist es möglich verschiedene Modelle in Kombination zu nutzen. Beispielsweise verbindet tenfold die rollenbasierte Provisionierung mit der Option, Data Owner für Ressourcen festzulegen und so Zugriffsanfragen per Self-Service zu ermöglichen.

Attribute-Based Access Control (ABAC)

Bei attributsbasierter Zugriffskontrolle handelt es sich um ein Modell für dynamische Zugriffsentscheidungen. Anstatt Berechtigungen im Vorfeld festzulegen, werden Benutzer und Objekte mit verschiedenen Attributen versehen. Anhand dieser Attribute bewertet eine Policy Engine, ob ein konkreter Zugriffsversuch genehmigt oder blockiert werden soll.

ABAC erlaubt es Organisationen, Zugriffe sehr granular zu steuern. Mithilfe attributsbasierter Policies lassen sich dynamische und risikobasierte Zugriffsentscheidungen treffen, die neben der Umsetzung von Least Privilege eine wichtige Rolle bei der Umsetzung von Zero Trust spielen.

Das Problem an ABAC liegt in der Tatsache, dass das Modell eine enorme Menge an Daten, Tags und Labels benötigt, um korrekt zu funktionieren. Da ABAC den gesamten Kontext eines Zugriffsversuchs bewertet, muss jede Ressource im Netzwerk mit entsprechenden Attributen versehen werden, um eine ausreichende Entscheidungsgrundlage zu bieten.

Vorteile und Nachteile von Attribute-Based Access Control (ABAC):

  • Dynamisches & granulares Zugriffsmodell

  • Erlaubt risikobasierte Evaluierungen

  • Schwierig zu implementieren

  • Erfordert komplexe, kleinteilige Policies

  • Alle Konten und Ressourcen müssen

AI und Machine Learning: Die Zukunft der Zugriffskontrolle?

Neben diesen etablierten Modellen für Zugriffskontrolle, werben viele Security-Anbieter inzwischen auch mit KI-basierten Features. Hier ist es jedoch wichtig, zwischen realen Anwendungsfällen – wie maschinengestütztem Role Mining bei Rollenmodellen – und dem generellen Hype rund um das Thema generative KI zu unterscheiden.

Bei vielen Behauptungen rund um AI-basierte Zugriffskontrolle oder Identity und Access Management scheint es sich um leere Versprechungen zu handeln, zu denen keine technischen oder praktischen Informationen verfügbar sind. Trotz des Potenzials der Technologie, ist es wichtig die generelle Euphorie rund um AI kritisch zu hinterfragen.

Fortschritte im Bereich KI und maschineller Informationsverarbeitung können zweifelsfrei zu besserer Zugriffskontrolle und IT-Sicherheit beitragen. Die erfolgreiche Verwendung von Machine Learning, um betrügerische E-Mails oder verdächtiges Verhalten zu erkennen, ist nur ein Beispiel für den realen Nutzen dieser Technologien. Doch die Frage, wer Zugriff auf sensible Daten benötigt, kann nicht einer KI überlassen werden, sondern liegt letztlich in menschlicher Verantwortung.

tenfold: Automatische Zugriffskontrolle mit No-Code IAM

Welches System für Zugriffskontrolle das richtige ist, hängt von der Größe und den Sicherheitsanforderungen Ihrer Organisation ab. In hochsensiblen Bereichen hilft die zentrale Steuerung durch obligatorische Zugriffskontrolle beim Schutz geheimer Informationen. Ebenso können riesige Konzerne mit einer sehr heterogenen IT von einem komplexen Modell wie attributsbasierter Zugriffskontrolle profitieren.

Die meisten Organisationen liegen jedoch irgendwo dazwischen. In einer typischen IT-Umgebung brauchen Admins einen Weg, neue User schnell mit allen notwendigen Konten und Rechten auszustatten. Ebenso sollten Benutzer bei Bedarf unkompliziert weitere Rechte anfordern können. Gleichzeitig muss die IT den Überblick behalten und verhindern, dass durch überprivilegierte User Sicherheitslücken entstehen.

tenfold verbindet automatische, rollenbasierte Zugriffskontrolle mit einer Self-Service Plattform, über die Data Owner in den Fachabteilungen den Zugang zu Ressourcen eigenständig verwalten können. Dabei stellt tenfold gleichzeitig sicher, dass Berechtigungen korrekt zugewiesen und durch laufende Access Reviews überprüft werden.

Das Beste? Als No-Code IAM ist tenfold in einem Bruchteil der Zeit einsatzbereit, den eine herkömmliche Lösung benötigt. Dank vorgefertigter Schnittstellen für gängige Systeme und einfacher Konfiguration profitieren Sie in Rekordzeit von automatischer Zugriffskontrolle für die gesamte IT. Überzeugen Sie sich selbst mit einem kostenlosen Test.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.