Wie funktioniert die attributbasierte Zugriffskontrolle (ABAC)?

Die attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC) ist ein Autorisierungsmodell, das Attribute (bzw. Eigenschaften) anstelle von Rollen evaluiert, um die Zugriffsrechte zu bestimmen. Der Zweck von ABAC ist der Schutz von Objekten wie Daten, Netzwerkgeräten und IT-Ressourcen vor nicht autorisierten Benutzern und Aktionen, die nicht über die „genehmigten“, in den Sicherheitsrichtlinien des Unternehmens definierten Eigenschaften verfügen.

ABAC ist eine Weiterentwicklung von einfachen Zugriffskontroll-Listen sowie rollenbasierten Zugriffskontrollen (Role-Based Access Control, RBAC) und wurde als logische Form der Zugriffskontrolle in den letzten zehn Jahren häufig verwendet. Der US-amerikanische Federal Chief Information Officers Council hat ABAC im Jahr 2011 als das Modell empfohlen, mit dem US-Bundesbehörden ihre Architekturen für die Zugriffskontrolle verbessern und den sicheren Informationsaustausch ermöglichen können.

In diesem Beitrag erklären wir im Detail, wie attributbasierte Zugriffskontrolle funktioniert und welche Vorteile die Implementierung von ABAC in Ihrem Unternehmen bietet.

Welche Hauptkomponenten gehören zur attributbasierten Zugriffskontrolle?

Bei ABAC setzen die Zugriffsrichtlinien des Unternehmens die Zugriffsentscheidungen basierend auf den Attributen zu Subjekt, Ressource, Aktion und Umgebung eines Zugriffsereignisses durch.

Subjekt

Das Subjekt ist der Benutzer, der Zugriff auf eine Ressource anfordert. Zu den Subjekt-bezogenen Attributen in einem User Profile gehören ID, Position im Unternehmen, Mitgliedschaften bei Gruppen, Abteilungen und Organisationen, Managementebene, Sicherheitsfreigabe und andere identifizierende Kriterien. ABAC-Systeme rufen häufig Daten aus einem HR-System oder -Verzeichnis ab oder erfassen diese Informationen durch Authentifizierungstoken, die während der Anmeldung verwendet werden.

Ressource

Die Ressource ist das Asset oder Objekt (z. B. Datei, Anwendung, Server oder API), auf welches das Subjekt zugreifen möchte. Zu den Ressource-bezogenen Attributen gehören alle identifizierenden Eigenschaften, z. B. Erstellungsdatum einer Datei, Besitzer der Datei, Name und Typ der Datei sowie Sensibilität der Daten. Beim Zugriff auf ein Online-Bankkonto könnte die Ressource zum Beispiel lauten: „Bankkonto = <korrekte Kontonummer>“.

Aktion

Die Aktion bezieht sich darauf, was der Benutzer mit der Ressource tun möchte. Zu den üblichen Aktion-bezogenen Attributen gehören „Lesen“, „Schreiben“, „Bearbeiten“, „Kopieren“ und „Löschen“. In einigen Fällen können mehrere Attribute eine Aktion beschreiben. In Bezug auf das obige Online-Banking-Beispiel lauten die Eigenschaften bei einer angeforderten Überweisung zum Beispiel „Aktionstyp = Überweisung“ und „Betrag = 200€“.

Umgebung

Die Umgebung beschreibt den allgemeinen Kontext jeder Zugriffsanfrage. Alle Umgebung-bezogenen Attribute beziehen sich auf Kontextfaktoren wie Zeit und Standort des Zugriffsversuchs, Gerät des Subjekts, Kommunikationsprotokolle und Verschlüsselungsstärke. Zu den kontextbezogenen Informationen können auch vom Unternehmen definierte Risikoindikatoren gehören, z. B. die Authentifizierungsstärke und das normale Verhaltensmuster des Subjekts.

Wie verwendet ABAC Attribute, um Zugriffskontrollrichtlinien zu definieren?

Bei Attributen handelt es sich um die Eigenschaften oder Werte einer Komponente eines Zugriffsereignisses. Attributbasierte Zugriffskontrollen analysieren die Attribute dieser Komponenten anhand von Regeln, mit denen definiert wird, welche Attribut-Kombinationen das Subjekt dazu berechtigen, eine Aktion mit dem Objekt auszuführen.

Jede ABAC-Lösung kann Attribute basierend auf ihren Interaktionen in einer Umgebung evaluieren und auf diese Weise Regeln und Beziehungen durchsetzen. Richtlinien bestimmen anhand von Attributen, welche Zugriffsbedingungen zulässig sind – und welche nicht.

Beispiel für eine Regel:

„Wenn ein Subjekt die Position Kommunikationsteam hat, erhält es Lese- und Bearbeitungszugriff für Medienstrategien für die Geschäftsbereiche, denen es zugeordnet ist.“

Bei einer Zugriffsanfrage analysiert das ABAC-System die Attributwerte auf Übereinstimmungen mit den festgelegten Richtlinien. Wenn die oben genannte Richtlinie aktiv ist, wird dem Subjekt bei folgenden Attributen Zugriff gewährt:

• „Position“ des Subjekts = „Kommunikation“
• „Geschäftsbereich“ des Subjekts = „Marketing“
• Aktion = „Bearbeiten“
• „Typ“ der Ressource = „Medienstrategie-Dokument“
• „Geschäftsbereich“ der Ressource = „Marketing“

Der ABAC-Ansatz ermöglicht es Administratoren, granulare, richtlinienbasierte Zugriffskontrollen zu implementieren und dabei verschiedene Kombinationen aus Attributen zu verwenden, um Zugriffsbedingungen so allgemein oder detailliert wie nötig zu beschreiben.

Welche Vorteile bietet ABAC?

Nachdem wir das Grundprinzip und die Funktionsweise von ABAC erklärt haben, zeigen wir nun, wie ABAC die Agilität und Sicherheit Ihres Unternehmens verbessern kann. Attributbasierte Zugriffskontrolle bietet diese drei wichtigen Vorteile:

Granulare und dennoch flexible Richtlinienerstellung

Der größte Vorteil von ABAC ist die Flexibilität. Die Grenzen der Richtlinienerstellung werden genau genommen durch die Attribute, die berücksichtigt werden müssen, und durch die Bedingungen bestimmt, die mit der Programmiersprache formuliert werden können. ABAC bietet der größten Bandbreite an Subjekten Zugriff auf die größte Vielfalt an Ressourcen, ohne dass Administratoren Beziehungen zwischen einzelnen Subjekten und Objekten definieren müssen. Ein Beispiel:

1. Wenn ein Subjekt zu einer Organisation hinzugefügt wird, werden ihm bestimmte Subjekt-Attribute zugewiesen (z. B. Max Mustermann ist Facharzt in der Radiologie).
2. Wenn ein Objekt erstellt wird, werden ihm Objekt-Attribute zugewiesen (z. B. ein Ordner mit Dateien von Herzkatheter-Untersuchungen für Herzpatienten).
3. Der Administrator oder der Objekt-Besitzer erstellt eine Zugriffskontrollregel (z. B. „Alle Fachärzte aus der Radiologie-Abteilung können Dateien von Herzkatheter-Untersuchungen für Herzpatienten anzeigen und weitergeben“).

Administratoren haben die Möglichkeit, diese Attribute und Zugriffskontrollregeln weiter an die Anforderungen des Unternehmens anzupassen. So können sie zum Beispiel neue Zugriffsrichtlinien für externe Subjekte wie Auftragnehmer und Lieferanten definieren, ohne dabei manuell jede einzelne Subjekt-Objekt-Beziehung ändern zu müssen. ABAC unterstützt eine Vielzahl von Zugriffsszenarien mit wenig administrativem Aufwand.

Kompatibilität mit neuen Benutzern

Bei ABAC können Administratoren und Objekt-Besitzer Richtlinien erstellen, die neuen Subjekten Zugriff auf Ressourcen gewähren. Sofern neuen Subjekten die erforderlichen Attribute für den Zugriff auf Objekte zugewiesen werden (z. B. allen Fachärzten aus der Radiologie-Abteilung werden diese Attribute zugewiesen), müssen bestehende Regeln oder Objekt-Attribute nicht geändert werden.

Das ABAC bietet Unternehmen Flexibilität beim Onboarding neuer Mitarbeiter und bei der Einbindung externer Partner.

Strikte Regeln für Sicherheit und Datenschutz

Mithilfe von Attributen können Richtlinienersteller bei ABAC zahlreiche situationsbezogene Variablen kontrollieren und damit die zulässigen Zugriffsbedingungen detailliert steuern. Beim RBAC-Modell hätten HR-Teams möglicherweise in jedem Fall Zugriff auf vertrauliche Mitarbeiterdaten (z. B. personenbezogene und lohnbezogene Informationen). Bei ABAC können Administratoren jedoch intelligente, kontextbezogene Zugriffsbeschränkungen definieren, sodass HR-Mitarbeiter zum Beispiel nur zu bestimmten Zeiten oder als Mitarbeiter einer bestimmten Niederlassung auf diese Dateien zugreifen können.

Auf diese Weise können Unternehmen mit ABAC effektiv Sicherheitslücken schließen und die Privatsphäre der Mitarbeiter gewährleisten – und gleichzeitig die gesetzlichen Compliance-Anforderungen einhalten.

Welche Nachteile sind mit ABAC verbunden?

Bei ABAC überwiegen die Vorteile die Kosten bei Weitem. Unternehmen sollten jedoch einen Nachteil bedenken, bevor sie die attributbasierte Zugriffskontrolle implementieren: die Komplexität der Implementierung.

Komplexe Konzeption und Implementierung

Der Einstieg in die Implementierung von ABAC kann Administratoren vor eine Herausforderung stellen. Sie müssen manuell Attribute definieren, diese jeder Komponente zuweisen und eine zentrale Richtlinien-Engine erstellen, die basierend auf verschiedenen Bedingungen („wenn X, dann Y“) festlegt, welche Attribute welche Berechtigungen nach sich ziehen. Durch den Fokus des Modells auf Attribute ist es außerdem schwer, vor der vollständigen Definition aller Attribute und Regeln einzuschätzen, über welche Berechtigungen ein bestimmter Benutzer verfügen wird.

Auch wenn die Implementierung von ABAC mit einem erheblichen Zeit- und Ressourcenaufwand verbunden ist, lohnt sich die Mühe. Administratoren können Attribute für ähnliche Komponenten und Benutzer-Positionen kopieren und wiederverwenden. Und dank der Anpassungsfähigkeit von ABAC ist die Anpassung vorhandener Richtlinien für neue Benutzer und Zugriffssituationen mit relativ wenig Aufwand verbunden.

Welches Zugriffskontrollmodell ist für mein Unternehmen optimal?

Bei der Beantwortung dieser Frage spielt die Größe Ihres Unternehmens eine zentrale Rolle. Da die erstmalige Konzeption und Implementierung von ABAC mit großem Aufwand verbunden ist, kommt dieser Ansatz für kleine Unternehmen möglicherweise nicht infrage.

Für kleine und mittlere Unternehmen kann RBAC eine einfachere Alternative zu ABAC darstellen. Dabei wird jedem Benutzer eine eindeutige Rolle zugewiesen, für die entsprechende Berechtigungen und Einschränkungen definiert wurden. Wenn ein Benutzer die Rolle wechselt, erhält er die Berechtigungen dieser neuen Rolle. Bei Hierarchien mit klar definierten Rollen lässt sich mit dieser Methode eine kleine Anzahl interner und externer Benutzer leicht verwalten.

Wenn neue Rollen manuell erstellt werden müssen, ist dies für größere Unternehmen jedoch nicht effizient. Sobald Attribute und Regeln definiert wurden, lassen sich ABAC-Richtlinien erheblich einfacher auf eine große Anzahl von Benutzern und Verantwortlichen anwenden. Gleichzeitig werden Sicherheitsrisiken reduziert.

Wählen Sie ABAC, wenn Folgendes gilt:

• Ihr Unternehmen hat viele Benutzer.
• Sie benötigen detaillierte, spezifische Zugriffskontrollen.
• Sie haben Zeit, in ein Modell zu investieren, das Ihre Anforderungen erfüllt.
• Sie müssen Privatsphäre und die Einhaltung von Sicherheitsvorschriften gewährleisten.

Wählen Sie RBAC, wenn Folgendes gilt:

• Sie sind ein kleines oder mittleres Unternehmen.
• Ihre Zugriffskontrollrichtlinien sind allgemein gehalten.
• Sie haben nur wenige externe Benutzer und die Rollen in Ihrem Unternehmen sind klar definiert.

Wenn Sie sich immer noch nicht sicher sind, welches Modell die richtige Wahl für Sie ist, lesen Sie unseren Direktvergleich von ABAC und RBAC.