Nach der Definition der Rolle können Sie Berechtigungen zuweisen. Diese können folgende Bereiche betreffen:

• Zugriff: Was kann diese Person sehen?
• Abläufe: Was kann diese Person lesen? Was kann diese Person verändern? Kann die Person Dateien erstellen oder löschen?
• Sessions: Wie lange darf diese Person im System angemeldet bleiben? Wann funktioniert die Anmeldung? Wann läuft die Anmeldung ab?

Alle RBAC-Systeme funktionieren nach diesem Prinzip. Das National Institute of Standards and Technology definiert vier RBAC-Untertypen, die etwas mehr Flexibilität ermöglichen.

• Flach: Allen Mitarbeitern ist mindestens eine Rolle zugewiesen, die Berechtigungen definiert. In einigen Fällen sind jedoch einer Person mehrere Rollen zugewiesen.
• Hierarchisch: Mithilfe von Stellenebenen/Dienstgraden wird definiert, wie Rollen zusammenarbeiten. Leitende Angestellte haben eigene Berechtigungen, aber auch alle Berechtigungen der ihnen unterstellten Mitarbeiter.
• Eingeschränkt: Es wird eine Aufgabentrennung hinzugefügt und mehrere Personen arbeiten gemeinsam an einer Aufgabe. Auf diese Weise werden die Sicherheit gewährleistet und betrügerische Aktivitäten verhindert.
• Symmetrisch: Rollenberechtigungen werden regelmäßig überprüft und bei Bedarf angepasst.

Diese Rollen bauen aufeinander auf und können je nach Sicherheitsstufe geordnet werden:

• Stufe 1, Flach: Dies ist die einfachste Form von RBAC. Mitarbeitern sind Rollen zugewiesen, die ihre Berechtigungen definieren.
• Stufe 2, Hierarchisch: Dieser Ansatz basiert auf flachen RBAC-Regeln und fügt Rollenhierarchien hinzu.
• Stufe 3, Eingeschränkt: Dieser Ansatz basiert auf hierarchischen RBAC-Regeln auf und fügt Aufgabentrennung hinzu.
• Stufe 4, Symmetrisch: Dieser Ansatz basiert auf eingeschränkten RBAC-Regeln und fügt Berechtigungsprüfungen hinzu.

Wie funktioniert die attributbasierte Zugriffskontrolle?

Ein Benutzer meldet sich bei Ihrem Computersystem an. Was kann diese Person tun? ABAC-Protokolle beantworten diese Frage basierend auf dem Benutzer, den Ressourcenattributen oder der Umgebung.

Beim ABAC-Ansatz können Sie als System-Administrator Berechtigungen anhand dieser Kriterien festlegen:

• Benutzer: Basierend auf der Funktion, typischen Aufgaben oder der Stellenebene (bzw. dem Dienstgrad) können Sie festlegen, welche Aktionen der Benutzer ausführen kann.
• Ressourcenattribute: Der Dateityp, die Person, die die Datei erstellt hat, und die Vertraulichkeit des Dokumentinhalts können über die Zugriffsrechte bestimmen.
• Umgebung: Zu diesen Kriterien können der Standort der zugreifenden Person, die Uhrzeit oder das Kalenderdatum gehören.

Bei einem solchen System haben Administratoren granulare Steuerungsmöglichkeiten. Sie können Berechtigungen basierend auf verschiedenen Attributen vergeben, die in ihrer Kombination Dokumente schützen. Theoretisch ist es sogar möglich, derselben Person je nach Standort und gewünschter Aktion zu unterschiedlichen Zeiten unterschiedliche Berechtigungen zu gewähren.

Bei ABAC arbeiten alle Elemente zusammen:

• Personen: Wer versucht, eine Aktion durchzuführen? 
• Objekte: Mit welcher Datei innerhalb des Netzwerks versucht der Benutzer zu arbeiten?
• Ablauf: Was möchte die Person mit der jeweiligen Datei tun?

Beziehungen werden mithilfe von Wenn/Dann-Ausdrücken definiert, zum Beispiel:

• Wenn der Benutzer in der Buchhaltung arbeitet, dann darf diese Person auf Buchführungsdaten zugreifen. 
• Wenn der Benutzer ein Manager ist, dann darf die Person Dateien lesen/schreiben. 
• Wenn die Unternehmensrichtlinie besagt, dass am Samstag nicht gearbeitet werden darf und heute Samstag ist, dann darf heute niemand auf irgendeine Datei zugreifen.

RBAC und ABAC: Vor- und Nachteile

Sowohl RBAC als auch ABAC betreffen die Kontrolle und den Zugriff. Beide Ansätze schützen Ihre Systeme. Sie sind jedoch mit jeweils eigenen Vor- und Nachteilen verbunden.

Fünf wichtige Identity-Management-Szenarien 

Die nachfolgenden Beispiele sollen Ihnen verdeutlichen, in welchen Situationen ein RBAC-System geeignet ist und wann Sie auf ein ABAC-System setzen sollten. Bei einem der Beispiele werden beide Systeme kombiniert, was mitunter auch gut funktioniert.

Bei der Entscheidung zwischen RBAC und ABAC sollten Unternehmen Folgendes berücksichtigen:

1. Kleine Arbeitsgruppen. In diesem Szenario ist RBAC optimal. Rollenbasierte Definitionen sind sehr einfach, wenn das Unternehmen klein ist und über nur wenige Dateien verfügt.

Wenn Sie in einem Bauunternehmen mit nur 15 Angestellten arbeiten, lässt sich ein RBAC leicht einrichten und effizient betreiben.

2. Geografisch verteilte Arbeitsgruppen. In diesem Fall ist ABAC eine gute Wahl, da Sie den Zugriff auf diese Weise nach Mitarbeitertyp, Standort und Geschäftszeiten definieren können. Sie haben zum Beispiel die Möglichkeit festzulegen, dass der Zugriff nur innerhalb der Geschäftszeiten des jeweiligen Büros zulässig ist (basierend auf der jeweiligen Zeitzone).

3. Zeitlich definierte Arbeitsgruppen. In einem solchen Szenario ist ABAC zu bevorzugen. Bei vertraulichen Dokumenten oder Systemen, auf die außerhalb der Geschäftszeiten nicht zugegriffen werden soll, können Sie mit einem ABAC-System zeitbasierte Regeln definieren.

4. Einfach strukturierte Arbeitsgruppen. In diesem Szenario ist RBAC optimal. Dieser Fall bezieht sich auf große Unternehmen, in denen der Zugriff durch die Aufgaben der Mitarbeiter definiert wird.

In einer Arztpraxis sollten die Empfangsmitarbeiter Lese- und Schreibzugriff auf die Termindaten haben. Diese Mitarbeiter benötigen jedoch keinen Zugriff auf medizinische Testergebnisse oder Abrechnungsdaten. In einem solchen Fall ist ein RBAC-System geeignet.

5. Kreativ-Unternehmen. Wenn Mitarbeiter Dateien auf individuelle Art und Weise verwenden, ist ABAC ideal. Es gibt Zeiten, zu denen alle Mitarbeiter auf bestimmte Dokumente zugreifen müssen. Zu anderen Zeiten sollten nur wenige Personen Zugriff haben. Hier müssen die Zugriffsrechte basierend auf dem Dokument definiert werden, nicht anhand der Rolle.

Die Kreativ-Mitarbeiter (z. B. Designer und Texter) erstellen Dateien, die von anderen Mitarbeitern häufig weitergegeben werden. Während die Mitarbeiter in der Buchhaltung und Account Executives lediglich Lesezugriff benötigen, muss das Marketing-Team in der Lage sein, diese Dateien weiterzugeben.

Die Komplexität der Lese-, Bearbeitungs- und Weitergaberechte lässt sich am besten mit ABAC abbilden.

In vielen Fällen lassen sich weder mit RBAC noch mit ABAC alle erforderlichen Szenarien perfekt abbilden. Deshalb verwenden die meisten Unternehmen ein hybrides System, bei dem der allgemeine Zugriff per RBAC gesteuert wird und die detaillierten Kontrollen über ABAC definiert werden.

So könnten Sie das RBAC-System nutzen, um damit sensible Server vor neuen Mitarbeitern zu verbergen. Sobald diese Mitarbeiter Zugriff erhalten, verwenden Sie ABAC-Systeme, um die Zugriffsrechte auf diese Dokumente genau zu kontrollieren.

Laut Untersuchungen können Administratoren durch die Kombination von RBAC und ABAC von den Vorteilen beider Systeme profitieren. Während sie mit RBAC absolut zuverlässigen Schutz für vertrauliche Dateien gewährleisten können, ermöglicht ABAC die dynamische Definition von Zugriffsrechten. Durch den kombinierten Einsatz profitieren Sie von den Stärken beider Systeme. 

Treffen Sie eine smarte Entscheidung

Sie sind sich nicht sicher, welches Identity-Management-Modell für Ihr Unternehmen am besten geeignet ist? Das ist völlig in Ordnung.

Okta verwendet granulare Berechtigungen und Faktoren für Benutzerzugriffe, damit Sie Zugriffe und Autorisierungen sicher gewährleisten können. Erfahren Sie, wie Ihr Unternehmen von Okta profitieren kann.

Referenzen

The NIST Model for Role-Based Access Control: Towards a Unified Standard, (Juli 2007), National Institute of Standards and Technology.

Policy Engineering in RBAC and ABAC, (November 2018), From Database to Cyber Security.

Adding Attributes to Role-Based Access Control, (Juni 2010), IEEE Computer.

Role-Based ABAC Model for Implementing Least Privileges, (Februar 2019), ICSCA '19: Proceedings of the 2019 8th International Conference on Software and Computer Applications.