Startseite

Think

Themen

RBAC

 Was ist rollenbasierte Zugriffskontrolle (RBAC)?
Erkunden Sie Lösungen für Identitäts- und Zugriffsmanagement von IBM Think-Newsletter abonnieren
Abbildung mit Collage aus Wolkenpiktogrammen, Handy, Fingerabdruck, Häkchen

Veröffentlicht: 20. August 2024
Mitwirkende: Gregg Lindemulder, Matt Kosinski
Was ist rollenbasierte Zugriffskontrolle (RBAC)?

Rollenbasierte Zugriffskontrolle (RBAC) ist ein Modell zur Autorisierung des Zugriffs von Endbenutzern auf Systeme, Anwendungen und Daten basierend auf einer vordefinierten Rolle eines Benutzers. Ein Sicherheitsanalytiker kann beispielsweise eine Firewall konfigurieren, aber keine Kundendaten einsehen, während ein Vertriebsmitarbeiter zwar Kundenkonten einsehen, aber keine Firewall-Einstellungen ändern kann.

In einem RBAC-System weist ein Administrator jedem einzelnen Benutzer eine oder mehrere Rollen zu. Jede neue Rolle stellt eine Reihe von Berechtigungen oder Privilegien für den Benutzer dar.

Eine Rolle im Finanzwesen könnte einen Benutzer dazu berechtigen, Einkäufe zu tätigen, Prognosesoftware auszuführen oder Zugriff auf Lieferkettensysteme zu gewähren. Eine Rolle in der Personalabteilung könnte einen Benutzer dazu berechtigen, Personalakten einzusehen und Systeme für Mitarbeiterleistungen zu verwalten.

Große Unternehmen mit vielen Mitarbeitern verwenden RBAC häufig, um die Zugriffsverwaltung zu vereinfachen und Informationssicherheit für digitale Ressourcen zu gewährleisten. Einige Unternehmen verwenden RBAC auch, um Sicherheitsfreigaben für physische Objekte wie elektronische Schlösser in Gebäuden, Büros und Rechenzentren zu erteilen.

Durch die Einschränkung des Zugriffs von Benutzern auf die Ressourcen, die sie für ihre Aufgaben benötigen, kann RBAC zur Abwehr von böswilligen Insidern, nachlässigen Mitarbeitern und externen Bedrohungsakteuren beitragen. 
Laden Sie den KuppingerCole Access Management Leadership Compass herunter

Erfahren Sie, warum IBM laut KuppingerCole ein führender Anbieter von ausgereiften, skalierbaren und sicheren Authentifizierungslösungen für Unternehmen ist.

Warum ist RBAC wichtig?

Ein rollenbasiertes Zugriffskontrollsystem ermöglicht es Unternehmen, einen granularen Ansatz für das Identity und Access Management (IAM) zu wählen und gleichzeitig die Autorisierungsprozesse und Zugriffskontrollrichtlinien zu optimieren. Konkret unterstützt RBAC Unternehmen bei Folgendem:

  • Effektivere Zuweisung von Berechtigungen
  • Sicherstellen der Compliance 
  • Schutz sensibler Daten

Effektivere Zuweisung von Berechtigungen

 

RBAC macht es überflüssig, jeden einzelnen Benutzer mit einem individuellen Satz von Benutzerrechten auszustatten. Stattdessen bestimmen definierte RBAC-Rollen die Zugriffsrechte. Dieser Prozess erleichtert Unternehmen das Onboarding oder Offboarding von Mitarbeitern, die Aktualisierung von Aufgabenbereichen und die Umgestaltung von Geschäftsabläufen.

Zu den Vorteilen von RBAC gehört auch die Möglichkeit, schnell Zugriffsberechtigungen für Auftragnehmer, Lieferanten und andere Drittnutzer hinzuzufügen. Zum Beispiel könnte eine Co-Marketing-Rollenzuweisung einem externen Geschäftspartner über eine Programmierschnittstelle (API) Zugriff auf produktbezogene Datenbanken gewähren. Auf diese Weise kann der Benutzer auf die benötigten Informationen zugreifen, ohne dass die vertraulichen Ressourcen des Unternehmens preisgegeben werden.

Einhaltung der Vorschriften
 

Die Implementierung von RBAC hilft Unternehmen auch bei der Einhaltung von Datenschutzbestimmungen, z. B. für Finanzdienstleister und Organisationen im Gesundheitswesen. RBAC bietet den Aufsichtsbehörden Transparenz darüber, wer, wann und wie auf sensible Informationen zugreift oder diese verändert.

Schutz sensibler Daten

 

RBAC-Richtlinien helfen, Cybersicherheitslücken zu beheben, indem sie das Prinzip der minimalen Rechtevergabe (Principle of Least Privilege, PoLP) durchsetzen. Im Rahmen des PoLP gewähren Benutzerrollen Zugriff auf das Mindestmaß an Berechtigungen, das für die Ausführung einer Aufgabe oder eines Jobs erforderlich ist. Ein Junior-Entwickler könnte beispielsweise die Berechtigung haben, am Quellcode einer Anwendung zu arbeiten, kann aber ohne die Genehmigung seines Vorgesetzten keine Änderungen vornehmen.

Durch die Beschränkung des Zugriffs auf sensible Daten hilft RBAC, sowohl versehentliche Datenverluste als auch vorsätzliche Datenschutzverletzungen zu verhindern. Insbesondere hilft RBAC dabei, Lateralbewegungen einzudämmen, bei denen Hacker einen anfänglichen Netzwerkzugriffsvektor verwenden, um ihre Reichweite im System schrittweise zu erweitern.

Laut dem X-Force® Threat Intelligence Index ist der Missbrauch gültiger Konten – bei dem Hacker die Konten legitimer Benutzer übernehmen und deren Privilegien nutzen, um Schaden anzurichten – der häufigste Vektor für Cyberangriffe. RBAC mindert den Schaden, den ein Hacker mit einem Benutzerkonto anrichten kann, indem es den Zugriff auf dieses Konto von vornherein einschränkt.

Ebenso sind Insider-Bedrohungen eine der kostspieligsten Ursachen für Datenschutzverletzungen. Laut dem Cost of a Data Breach Report, kosten durch böswillige Insider verursachte Sicherheitsverletzungen im Durchschnitt 4,99 Millionen USD und damit mehr als die durchschnittlichen Gesamtkosten von 4,88 Millionen USD.

Durch die Einschränkung der Benutzerberechtigungen erschwert RBAC es den Mitarbeitern, ihre Zugriffsberechtigungen böswillig oder fahrlässig zu missbrauchen, um dem Unternehmen zu schaden.
So funktioniert RBAC

In einem RBAC-System müssen Unternehmen zunächst bestimmte Rollen erstellen und dann definieren, welche Berechtigungen und Privilegien diesen Rollen gewährt werden. Unternehmen beginnen oft mit einer groben Unterteilung der Rollen in drei Kategorien: Administratoren, Spezialisten oder Experten, und Endbenutzer.

Um die verschiedenen Rollen für bestimmte Benutzergruppen weiter zu konfigurieren, werden detailliertere Faktoren wie Befugnisse, Zuständigkeiten und Qualifikationsniveau berücksichtigt. Manchmal kann eine Rolle direkt einer Berufsbezeichnung entsprechen. In anderen Fällen könnte die Rolle eine Sammlung von Berechtigungen sein, die einem Benutzer zugewiesen werden können, der bestimmte Bedingungen erfüllt, unabhängig von seiner Berufsbezeichnung.

Benutzern werden oft mehrere Rollen zugewiesen oder sie werden einer Rollengruppe zugewiesen, die mehrere Zugriffsebenen umfasst. Einige Rollen sind hierarchisch aufgebaut und bieten Managern einen kompletten Satz von Berechtigungen, während die darunter liegenden Rollen nur eine Teilmenge dieser Rollenberechtigungen erhalten. So könnte beispielsweise die Rolle eines Vorgesetzten diesem Benutzer Schreibzugriff auf ein Dokument gewähren, während Teammitglieder nur Lesezugriff haben.

Ein Beispiel für RBAC in Aktion

 

  1. Ein IT-Administrator in einem Krankenhaus erstellt eine RBAC-Rolle für „Pflegepersonal“.
  2. Der Administrator legt die Berechtigungen für die Rolle „Pflegepersonal“ fest, z. B. für die Einsichtnahme in Medikamente oder die Eingabe von Daten in ein elektronisches Gesundheitssystem (EHR).
  3. Den Mitgliedern des Pflegepersonals des Krankenhauses wird die Rolle „RBAC-Pflegepersonal“ zugewiesen.
  4. Wenn sich Benutzer, denen die Pflegepersonal-Rolle zugewiesen ist, anmelden, prüft RBAC, auf welche Berechtigungen sie Anspruch haben, und gewährt ihnen Zugriff für die jeweilige Sitzung.
  5. Andere Systemberechtigungen, wie etwa das Verschreiben von Medikamenten oder das Anordnen von Tests, sind diesen Benutzern nicht gestattet, da sie für die Rolle „Pflegepersonal“ nicht autorisiert sind. 

 RBAC und Identity und Access Management (IAM)

Viele Unternehmen verwenden eine Lösung für das Identity und Access Management (IAM), um RBAC in ihrem Unternehmen zu implementieren. IAM-Systeme können sowohl bei der Authentifizierung als auch bei der Autorisierung in einem RBAC-Schema helfen:

  • Authentifizierung: IAM-Systeme können die Identität eines Benutzers überprüfen, indem sie seine Anmeldeinformationen mit einem zentralen Benutzerverzeichnis oder einer Datenbank abgleichen.

  • Autorisierung: IAM-Systeme können Benutzer autorisieren, indem sie ihre Rollen im Benutzerverzeichnis überprüfen und die entsprechenden Berechtigungen auf der Grundlage der jeweiligen Rolle im RBAC-Schema des Unternehmens gewähren.
 Was sind die drei Hauptregeln von RBAC?

Das National Institute of Standards and Technology (NIST), das das RBAC-Modell entwickelt hat, stellt drei Grundregeln für alle RBAC-Systeme auf.  

  1. Rollenzuweisung: Einem Benutzer muss eine oder mehrere aktive Rollen zugewiesen werden, um Berechtigungen oder Privilegien ausüben zu können.

  2. Rollenautorisierung: Der Benutzer muss autorisiert sein, die ihm zugewiesene Rolle(n) zu übernehmen.

  3. Berechtigungsautorisierung: Berechtigungen oder Privilegien werden nur den Benutzern gewährt, die durch ihre Rollenzuweisung autorisiert wurden.
 Welche vier Modelle von RBAC gibt es?

Es gibt vier verschiedene Modelle für die Implementierung von RBAC, wobei jedes Modell mit der gleichen Kernstruktur beginnt. Jedes nachfolgende Modell baut neue Funktionen und Features auf dem Vorgängermodell auf.  

  • Kern-RBAC
  • Hierarchische RBAC
  • Eingeschränkte RBAC
  • Symmetrische RBAC

Kern-RBAC
Dieses Modell, das manchmal auch als Flat RBAC bezeichnet wird, ist die erforderliche Grundlage für jedes RBAC-System. Es folgt den drei Grundregeln von RBAC. Benutzern werden Rollen zugewiesen, und diese Rollen berechtigen zum Zugriff auf bestimmte Gruppen von Berechtigungen und Privilegien. Core RBAC kann als primäres Zugriffskontrollsystem oder als Grundlage für weitergehende RBAC-Modelle verwendet werden.

Hierarchische RBAC
Dieses Modell fügt Rollenhierarchien hinzu, die die Berichtsstruktur eines Unternehmens nachbilden. In einer Rollenhierarchie erbt jede Rolle die Berechtigungen der darunter liegenden Rolle und erhält neue Berechtigungen.

Eine Rollenhierarchie könnte zum Beispiel Führungskräfte, Manager, Vorgesetzte und Sachbearbeiter umfassen. Eine Führungskraft an der Spitze der Hierarchie wäre für einen vollständigen Satz von Berechtigungen autorisiert, während Managern, Vorgesetzten und Sachbearbeitern jeweils sukzessive kleinere Teilmengen dieses Berechtigungssatzes gewährt würden.  

Eingeschränkte RBAC
Zusätzlich zu den Rollenhierarchien bietet dieses Modell Funktionen zur Durchsetzung der Aufgabentrennung (Separation Of Duties, SOD). Die Aufgabentrennung hilft, Interessenkonflikte zu vermeiden, indem bestimmte Aufgaben von zwei Personen erledigt werden müssen.

Ein Benutzer, der zum Beispiel die Erstattung einer Geschäftsausgabe beantragt, sollte nicht dieselbe Person sein, die diesen Antrag genehmigt. Eine eingeschränkte RBAC-Richtlinie stellt sicher, dass die Benutzerrechte für diese Art von Aufgaben getrennt sind.

Symmetrische RBAC
Dieses Modell ist die fortschrittlichste, flexibelste und umfassendste Version von RBAC. Zusätzlich zu den Funktionen der Vorgängermodelle bietet dieses Modell einen tieferen Einblick in die Berechtigungen im gesamten Unternehmen.

Unternehmen können überprüfen, wie jede Berechtigung jeder Rolle und jedem Benutzer im System zugeordnet wird. Sie können auch die mit Rollen verknüpften Berechtigungen anpassen und aktualisieren, wenn sich die Geschäftsprozesse und die Verantwortlichkeiten der Mitarbeiter weiterentwickeln.

Diese Funktionen sind besonders wertvoll für große Unternehmen, die sicherstellen müssen, dass jede Rolle und jeder Benutzer nur genau so viele Zugriffsrechte hat, wie für die Ausführung von Aufgaben erforderlich sind.
RBAC im Vergleich zu anderen Zugriffskontroll-Frameworks

Es gibt andere Zugriffskontroll-Frameworks, die Unternehmen als Alternative zu RBAC verwenden könnten. In einigen Anwendungsfällen kombinieren Unternehmen RBAC mit einem anderen Autorisierungsmodell, um Benutzerberechtigungen zu verwalten. Zu den häufig verwendeten Zugriffskontroll-Frameworks gehören:

  • Obligatorische Zugriffskontrolle (Mandatory Access Control, MAC)
  • Diskretionäre Zugriffskontrolle (Discretionary Access Control, DAC)
  • Attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC)
  • Zugriffskontrollliste (Access Control List, ACL)

Obligatorische Zugriffskontrolle (Mandatory Access Control, MAC)

 

MAC-Systeme setzen zentral definierte Zugriffskontrollrichtlinien für alle Benutzer durch. MAC-Systeme sind weniger granular als RBAC, und der Zugriff basiert in der Regel auf festgelegten Freigabestufen oder Vertrauens-Scores. Viele Betriebssysteme verwenden MAC, um den Programmzugriff auf sensible Systemressourcen zu steuern.

Diskretionäre Zugriffskontrolle (Discretionary Access Control, DAC)

 

DAC-Systeme ermöglichen es den Eigentümern von Ressourcen, ihre eigenen Zugriffskontrollregeln für diese Ressourcen festzulegen. DAC ist flexibler als die pauschalen Richtlinien von MAC und weniger restriktiv als der strukturierte Ansatz von RBAC.

Attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC)

 

ABAC analysiert die Attribute von Benutzern, Objekten und Aktionen, wie z. B. den Namen eines Benutzers, den Typ einer Ressource und die Tageszeit, um festzustellen, ob der Zugriff gewährt wird. RBAC kann einfacher zu implementieren sein als ABAC, da RBAC für die Zugriffsberechtigung Organisationsrollen und nicht die Attribute jedes einzelnen Benutzers verwendet.

Der Unterschied zwischen RBAC und ABAC besteht darin, dass ABAC die Zugriffsberechtigungen im Moment dynamisch auf der Grundlage mehrerer Faktoren festlegt, während RBAC die Zugriffsberechtigungen ausschließlich auf der Grundlage der vordefinierten Rolle des Benutzers festlegt.

Zugriffskontrollliste (Access Control List, ACL)

 

ACL ist ein grundlegendes Zugriffskontrollsystem, das auf eine Liste von Benutzern und Regeln verweist, um zu bestimmen, wer auf ein System oder eine Ressource zugreifen kann und welche Aktionen er durchführen darf.

Der Unterschied zwischen ACL und RBAC besteht darin, dass eine ACL die Regeln für jeden Benutzer individuell definiert, während RBAC-Systeme Zugriffsrechte auf der Grundlage von Rollen zuweisen.

Für große Unternehmen gilt RBAC als die bessere Option für die Zugriffskontrolle, da es skalierbarer und einfacher zu verwalten ist als ACL.
Weiterführende Lösungen
IBM® Verify

Schützen und verwalten Sie Kunden-, Mitarbeiter- und privilegierte Identitäten in der Hybrid Cloud mit Hilfe von KI.

 Erkunden Sie IBM Verify
Identity Fabric

Bauen Sie eine effektive, produktunabhängige Identitätsstruktur auf, die die Komplexität der Identitätsverwaltung reduziert.

 Entdecken Sie die Identity-Fabric-Lösung von IBM
IBM Rapid Network Automation

Verbessern Sie die Sicherheit durch rollenbasierte Zugriffskontrolle auf der Ebene der Aktionsblöcke.

 Erkunden Sie IBM Rapid Network Automation
Ressourcen Bericht zu den Kosten von Datenschutzverletzungen

Mit diesen wichtigen Erkenntnissen können Sie Ihre Sicherheits- und IT-Teams dabei unterstützen, Risiken und potenzielle Verluste besser zu verwalten.

 X-Force Threat Intelligence Index

Sie können Ihre Mitarbeiter, Daten und Infrastruktur besser schützen, wenn Sie die neuesten Cyberangriffstaktiken kennen.

 Was ist Identity und Access Management (IAM)?

Identity und Access Management (IAM) ist das Fachgebiet der Cybersicherheit, das sich damit beschäftigt, wie Benutzer auf digitale Ressourcen zugreifen und was sie mit diesen Ressourcen tun können.
Machen Sie den nächsten Schritt

IBM Security Verify ist eine führende IAM-Plattform, die KI-gestützte Funktionen zur Verwaltung Ihrer Belegschaft und Kundenanforderungen bietet. Vereinheitlichen Sie Identitätssilos, reduzieren Sie das Risiko identitätsbasierter Angriffe und ermöglichen Sie moderne Authentifizierung – auch passwortlos.

 Verify entdecken Testen Sie Verify 90 Tage lang