Was ist rollenbasierte Zugriffskontrolle (RBAC)?

In einem RBAC-System weist ein Administrator jedem einzelnen Benutzer eine oder mehrere Rollen zu. Jede neue Rolle stellt eine Reihe von Berechtigungen oder Privilegien für den Benutzer dar.

Eine Rolle im Finanzwesen könnte einen Benutzer dazu berechtigen, Einkäufe zu tätigen, Prognosesoftware auszuführen oder Zugriff auf Lieferkettensysteme zu gewähren. Eine Rolle in der Personalabteilung könnte einen Benutzer dazu berechtigen, Personalakten einzusehen und Systeme für Mitarbeiterleistungen zu verwalten.

Große Unternehmen mit vielen Mitarbeitern verwenden RBAC häufig, um die Zugriffsverwaltung zu vereinfachen und Informationssicherheit für digitale Ressourcen zu gewährleisten. Einige Unternehmen verwenden RBAC auch, um Sicherheitsfreigaben für physische Objekte wie elektronische Schlösser in Gebäuden, Büros und Rechenzentren zu erteilen.

Durch die Einschränkung des Zugriffs von Benutzern auf die Ressourcen, die sie für ihre Aufgaben benötigen, kann RBAC zur Abwehr von böswilligen Insidern, nachlässigen Mitarbeitern und externen Bedrohungsakteuren beitragen.

Ein rollenbasiertes Zugriffskontrollsystem ermöglicht es Unternehmen, einen granularen Ansatz für das Identity und Access Management (IAM) zu wählen und gleichzeitig die Autorisierungsprozesse und Zugriffskontrollrichtlinien zu optimieren. Konkret unterstützt RBAC Unternehmen bei Folgendem:

• Effektivere Zuweisung von Berechtigungen
• Sicherstellen der Compliance
• Schutz sensibler Daten

RBAC macht es überflüssig, jeden einzelnen Benutzer mit einem individuellen Satz von Benutzerrechten auszustatten. Stattdessen bestimmen definierte RBAC-Rollen die Zugriffsrechte. Dieser Prozess erleichtert Unternehmen das Onboarding oder Offboarding von Mitarbeitern, die Aktualisierung von Aufgabenbereichen und die Umgestaltung von Geschäftsabläufen.

Zu den Vorteilen von RBAC gehört auch die Möglichkeit, schnell Zugriffsberechtigungen für Auftragnehmer, Lieferanten und andere Drittnutzer hinzuzufügen. Zum Beispiel könnte eine Co-Marketing-Rollenzuweisung einem externen Geschäftspartner über eine Programmierschnittstelle (API) Zugriff auf produktbezogene Datenbanken gewähren. Auf diese Weise kann der Benutzer auf die benötigten Informationen zugreifen, ohne dass die vertraulichen Ressourcen des Unternehmens preisgegeben werden.

Die Implementierung von RBAC hilft Unternehmen auch bei der Einhaltung von Datenschutzbestimmungen, z. B. für Finanzdienstleister und Organisationen im Gesundheitswesen. RBAC bietet den Aufsichtsbehörden Transparenz darüber, wer, wann und wie auf sensible Informationen zugreift oder diese verändert.

RBAC-Richtlinien helfen, Cybersicherheitslücken zu beheben, indem sie das Prinzip der minimalen Rechtevergabe (Principle of Least Privilege, PoLP) durchsetzen. Im Rahmen des PoLP gewähren Benutzerrollen Zugriff auf das Mindestmaß an Berechtigungen, das für die Ausführung einer Aufgabe oder eines Jobs erforderlich ist. Ein Junior-Entwickler könnte beispielsweise die Berechtigung haben, am Quellcode einer Anwendung zu arbeiten, kann aber ohne die Genehmigung seines Vorgesetzten keine Änderungen vornehmen.

Durch die Beschränkung des Zugriffs auf sensible Daten hilft RBAC, sowohl versehentliche Datenverluste als auch vorsätzliche Datenschutzverletzungen zu verhindern. Insbesondere hilft RBAC dabei, Lateralbewegungen einzudämmen, bei denen Hacker einen anfänglichen Netzwerkzugriffsvektor verwenden, um ihre Reichweite im System schrittweise zu erweitern.

Laut dem X-Force Threat Intelligence Index ist legitimer Kontomissbrauch – bei dem Hacker die Konten legitimer Benutzer übernehmen und deren Privilegien nutzen, um Schaden anzurichten – einer der häufigsten Vektoren für Cyberangriffe. RBAC mindert den Schaden, den ein Hacker mit einem Benutzerkonto anrichten kann, indem es den Zugriff auf dieses Konto von vornherein einschränkt.

Ebenso sind Insider-Bedrohungen eine der kostspieligsten Ursachen für Datenschutzverletzungen. Laut dem Cost of a Data Breach Report kosten durch böswillige Insider verursachte Sicherheitsverletzungen im Durchschnitt 4,92 Millionen USD und damit mehr als die durchschnittlichen Gesamtkosten von 4,44 Millionen USD.

Durch die Einschränkung der Benutzerberechtigungen erschwert RBAC es den Mitarbeitern, ihre Zugriffsberechtigungen böswillig oder fahrlässig zu missbrauchen, um dem Unternehmen zu schaden.

Eine sorgfältige Beschränkung des Systemzugriffs wird mit dem zunehmenden Einsatz fortschrittlicher künstlicher Intelligenz (KI) noch wichtiger werden. Es kann zu Problemen kommen, wenn Benutzer vertrauliche oder sensible Informationen ohne Erlaubnis an generative KI-Tools weitergeben, und es gibt nur wenige Leitplanken. Eine Studie des IBM Institute for Business Value ergab, dass nur 24 % der KI-Projekte der aktuellen Generation eine Komponente zur Absicherung der Initiativen enthalten.

In einem RBAC-System müssen Unternehmen zunächst bestimmte Rollen erstellen und dann definieren, welche Berechtigungen und Privilegien diesen Rollen gewährt werden. Unternehmen beginnen oft mit einer groben Unterteilung der Rollen in drei Kategorien: Administratoren, Spezialisten oder Experten, und Endbenutzer.

Um die verschiedenen Rollen für bestimmte Benutzergruppen weiter zu konfigurieren, werden detailliertere Faktoren wie Befugnisse, Zuständigkeiten und Qualifikationsniveau berücksichtigt. Manchmal kann eine Rolle direkt einer Berufsbezeichnung entsprechen. In anderen Fällen könnte die Rolle eine Sammlung von Berechtigungen sein, die einem Benutzer zugewiesen werden können, der bestimmte Bedingungen erfüllt, unabhängig von seiner Berufsbezeichnung.

Benutzern werden oft mehrere Rollen zugewiesen oder sie werden einer Rollengruppe zugewiesen, die mehrere Zugriffsebenen umfasst. Einige Rollen sind hierarchisch aufgebaut und bieten Managern einen kompletten Satz von Berechtigungen, während die darunter liegenden Rollen nur eine Teilmenge dieser Rollenberechtigungen erhalten. So könnte beispielsweise die Rolle eines Vorgesetzten diesem Benutzer Schreibzugriff auf ein Dokument gewähren, während Teammitglieder nur Lesezugriff haben.

1. Ein IT-Administrator in einem Krankenhaus erstellt eine RBAC-Rolle für „Pflegepersonal“.
2. Der Administrator legt die Berechtigungen für die Rolle „Pflegepersonal“ fest, z. B. für die Einsichtnahme in Medikamente oder die Eingabe von Daten in ein elektronisches Gesundheitssystem (EHR).
3. Den Mitgliedern des Pflegepersonals des Krankenhauses wird die Rolle „RBAC-Pflegepersonal“ zugewiesen.
4. Wenn sich Benutzer, denen die Pflegepersonal-Rolle zugewiesen ist, anmelden, prüft RBAC, auf welche Berechtigungen sie Anspruch haben, und gewährt ihnen Zugriff für die jeweilige Sitzung.
5. Andere Systemberechtigungen, wie etwa das Verschreiben von Medikamenten oder das Anordnen von Tests, sind diesen Benutzern nicht gestattet, da sie für die Rolle „Pflegepersonal“ nicht autorisiert sind.

Viele Unternehmen verwenden eine Lösung für das Identity und Access Management (IAM), um RBAC in ihrem Unternehmen zu implementieren. IAM-Systeme können sowohl bei der Authentifizierung als auch bei der Autorisierung in einem RBAC-Schema helfen:

• Authentifizierung: IAM-Systeme können die Identität eines Benutzers überprüfen, indem sie seine Anmeldeinformationen mit einem zentralen Benutzerverzeichnis oder einer Datenbank abgleichen.
  
  
• Autorisierung: IAM-Systeme können Benutzer autorisieren, indem sie ihre Rollen im Benutzerverzeichnis überprüfen und die entsprechenden Berechtigungen auf der Grundlage der jeweiligen Rolle im RBAC-Schema des Unternehmens gewähren.

Das National Institute of Standards and Technology (NIST), das das RBAC-Modell entwickelt hat, stellt drei Grundregeln für alle RBAC-Systeme auf.

1. Rollenzuweisung: Einem Benutzer muss eine oder mehrere aktive Rollen zugewiesen werden, um Berechtigungen oder Privilegien ausüben zu können.
   
   
2. Rollenautorisierung: Der Benutzer muss autorisiert sein, die ihm zugewiesene Rolle(n) zu übernehmen.
   
   
3. Berechtigungsautorisierung: Berechtigungen oder Privilegien werden nur den Benutzern gewährt, die durch ihre Rollenzuweisung autorisiert wurden.

Es gibt vier verschiedene Modelle für die Implementierung von RBAC, wobei jedes Modell mit der gleichen Kernstruktur beginnt. Jedes nachfolgende Modell baut neue Funktionen und Features auf dem Vorgängermodell auf.

• Kern-RBAC
• Hierarchische RBAC
• Eingeschränkte RBAC
• Symmetrische RBAC

Dieses Modell wird manchmal auch als Flat RBAC bezeichnet und ist die erforderliche Grundlage für jedes RBAC-System. Es befolgt die drei Grundregeln von RBAC. Den Benutzern werden Rollen zugewiesen, und diese Rollen autorisieren den Zugriff auf bestimmte Sätze von Berechtigungen und Privilegien. Core RBAC kann als primäres Zugriffskontrollsystem oder als Grundlage für fortgeschrittenere RBAC-Modelle verwendet werden.

Dieses Modell fügt Rollenhierarchien hinzu, die die Berichtsstruktur eines Unternehmens replizieren. In einer Rollenhierarchie erbt jede Rolle die Berechtigungen der darunter liegenden Rolle und erhält neue Berechtigungen.

Eine Rollenhierarchie könnte zum Beispiel Führungskräfte, Manager, Vorgesetzte und Sachbearbeiter umfassen. Eine Führungskraft an der Spitze der Hierarchie hätte die Befugnis für einen vollständigen Satz an Berechtigungen, während Manager, Aufsichtführende und Mitarbeiter schrittweise kleinere Teilmengen dieses Berechtigungssatzes erhalten würden.

Zusätzlich zu den Rollenhierarchien bietet dieses Modell Funktionen zur Durchsetzung der Funktionstrennung (SOD). Die Aufgabentrennung hilft, Interessenkonflikte zu vermeiden, indem bestimmte Aufgaben von zwei Personen erledigt werden müssen.

Ein Benutzer, der zum Beispiel die Erstattung einer Geschäftsausgabe beantragt, sollte nicht dieselbe Person sein, die diesen Antrag genehmigt. Eine eingeschränkte RBAC-Richtlinie stellt sicher, dass die Benutzerrechte für diese Art von Aufgaben getrennt sind.

Dieses Modell ist die fortschrittlichste, flexibelste und umfassendste Version von RBAC. Zusätzlich zu den Funktionen der Vorgängermodelle bietet dieses Modell einen tieferen Einblick in die Berechtigungen im gesamten Unternehmen.

Unternehmen können überprüfen, wie jede Berechtigung jeder Rolle und jedem Benutzer im System zugeordnet wird. Sie können auch die mit Rollen verknüpften Berechtigungen anpassen und aktualisieren, wenn sich die Geschäftsprozesse und die Verantwortlichkeiten der Mitarbeiter weiterentwickeln.

Diese Funktionen sind besonders wertvoll für große Unternehmen, die sicherstellen müssen, dass jede Rolle und jeder Benutzer nur genau so viele Zugriffsrechte hat, wie für die Ausführung von Aufgaben erforderlich sind.

Es gibt andere Zugriffskontroll-Frameworks, die Unternehmen als Alternative zu RBAC verwenden könnten. In einigen Anwendungsfällen kombinieren Unternehmen RBAC mit einem anderen Autorisierungsmodell, um Benutzerberechtigungen zu verwalten. Zu den häufig verwendeten Zugriffskontroll-Frameworks gehören:

• Obligatorische Zugriffskontrolle (Mandatory Access Control, MAC)
• Diskretionäre Zugriffskontrolle (Discretionary Access Control, DAC)
• Attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC)
• Zugriffskontrollliste (Access Control List, ACL)

MAC-Systeme setzen zentral definierte Zugriffskontrollrichtlinien für alle Benutzer durch. MAC-Systeme sind weniger granular als RBAC, und der Zugriff basiert in der Regel auf festgelegten Freigabestufen oder Vertrauens-Scores. Viele Betriebssysteme verwenden MAC, um den Programmzugriff auf sensible Systemressourcen zu steuern.

DAC-Systeme ermöglichen es den Eigentümern von Ressourcen, ihre eigenen Zugriffskontrollregeln für diese Ressourcen festzulegen. DAC ist flexibler als die pauschalen Richtlinien von MAC und weniger restriktiv als der strukturierte Ansatz von RBAC.

ABAC analysiert die Attribute von Benutzern, Objekten und Aktionen, wie z. B. den Namen eines Benutzers, den Typ einer Ressource und die Tageszeit, um festzustellen, ob der Zugriff gewährt wird. RBAC kann einfacher zu implementieren sein als ABAC, da RBAC für die Zugriffsberechtigung Organisationsrollen und nicht die Attribute jedes einzelnen Benutzers verwendet.

Der Unterschied zwischen RBAC und ABAC besteht darin, dass ABAC die Zugriffsberechtigungen im Moment dynamisch auf der Grundlage mehrerer Faktoren festlegt, während RBAC die Zugriffsberechtigungen ausschließlich auf der Grundlage der vordefinierten Rolle des Benutzers festlegt.

ACL ist ein grundlegendes Zugriffskontrollsystem, das auf eine Liste von Benutzern und Regeln verweist, um zu bestimmen, wer auf ein System oder eine Ressource zugreifen kann und welche Aktionen er durchführen darf.

Der Unterschied zwischen ACL und RBAC besteht darin, dass eine ACL die Regeln für jeden Benutzer individuell definiert, während RBAC-Systeme Zugriffsrechte auf der Grundlage von Rollen zuweisen.

Für große Unternehmen gilt RBAC als die bessere Option für die Zugriffskontrolle, da es skalierbarer und einfacher zu verwalten ist als ACL.