RBAC-Systeme (Role-based Access Control, rollenbasierte Zugriffskontrolle) weisen Zugriffe und Aktionen basierend auf der Rolle einer Person innerhalb des Systems zu, sodass alle Mitarbeiter mit der gleichen Rolle über die gleichen Berechtigungen verfügen und Personen mit anderen Rollen andere Berechtigungen zugewiesen werden.

Warum benötigt ein System RBAC?

In jedem Unternehmen gibt es sensible Dokumente, Programme und Aufzeichnungen. Wenn Sie diese zu streng schützen, bremst das Ihre Prozesse aus. Wenn sie offen verfügbar sind, kann dies katastrophale Folgen für die Sicherheit Ihres Unternehmens haben. 

Hier kommt rollenbasierte Zugriffskontrolle (RBAC) ins Spiel.

Mit dieser Methode können Sie Personen, die auf sensible Daten zugreifen müssen, Zugriffsrechte gewähren und allen anderen den Zugriff verweigern. Bei diesem Ansatz nehmen Sie Veränderungen basierend auf der Rolle einer Person vor. Die individuellen Attribute spielen keine Rolle. Dadurch ist es einfach, die Zugriffsberechtigungen für eine bestimmte Rolle anzupassen.

Als IT-Mitarbeiter müssen Sie sich genauestens mit rollenbasierter Zugriffskontrolle auskennen. Im Jahr 2004 hat das American National Standards Institute RBAC-Grundsätze als einheitlichen Industriestandard definiert. Es ist sehr wahrscheinlich, dass Sie RBAC implementieren oder erklären müssen, warum dieser Ansatz für Ihr Unternehmen nicht geeignet ist.

Was genau ist rollenbasierte Zugriffskontrolle?

Alle rollenbasierten Zugriffskontrollsysteme verwenden die gleichen Kernelemente, zum Beispiel:

• Administratoren. Sie identifizieren Rollen, gewähren Berechtigungen und sind für die Wartung des Sicherheitssystems verantwortlich.
• Rollen. Mitarbeiter werden entsprechend ihren Aufgaben gruppiert.
• Berechtigungen. Jeder Rolle sind Zugriffsrechte und Aktionen zugewiesen, die bestimmen, was Personen mit dieser Rolle tun dürfen – und was nicht.

Für ein RBAC-System benötigen Sie Folgendes nicht:

• Unterscheidung individueller Freiheiten. Der Zugriff wird anhand der Rolle einer Person definiert, unabhängig von ihren persönlichen Präferenzen oder Wünschen. Das vereinfacht die Verwaltung der Berechtigungen.
• Intensive Wartung. Berechtigungen folgen Rollen. Wenn eine neue Position im Unternehmen eingeführt wird, muss eine neue Rolle erstellt werden, die anschließend mit wenig Aufwand aufseiten des Administrators auf Dutzende (oder Hunderte oder Tausende) Mitarbeiter angewendet werden kann. Nach einer Beförderung wird die Rolle des Mitarbeiters geändert. Die Berechtigungen selbst müssen nicht angepasst werden.

RBAC-Systeme werden bereits seit Jahrzehnten verwendet. Bei einer National Computer Security Conference im Jahr 1992 wurde das RBAC-Konzept erstmals vorgestellt. Die Entwickler waren der Meinung, dass für private Unternehmen und Zivilisten weder vorgeschriebene noch benutzerbestimmbare Zugriffskontrollen geeignet sind, da sich die konkreten Bedürfnisse und Sicherheitsanforderungen so stark unterscheiden. Sie argumentierten, dass die neue Methode für nicht-militärische bzw. zivile Zwecke erheblich besser funktioniert. 

Seitdem haben Tausende Unternehmen RBAC-Konzepte angewendet, um die Sicherheit ihrer sensibelsten Dokumente zu gewährleisten. 

Wie funktionieren Rollen innerhalb von RBAC-Systemen?

Rollen legen die Autorisierung innerhalb eines RBAC-Systems fest. Es ist wichtig, sie korrekt zu definieren, da große Gruppen von Mitarbeitern innerhalb des Unternehmens andernfalls nicht ihre Aufgaben erledigen können. 

Regeln können nach folgenden Kriterien definiert werden:

• Autorität. Leitende Führungskräfte benötigen Zugriff auf Dateien, die Praktikanten niemals sehen sollten.
• Verantwortung. Ein Vorstandsmitglied und ein CEO haben innerhalb eines Unternehmens möglicherweise die gleiche Autorität, aber sie sind für verschiedene Bereiche verantwortlich.
• Kompetenz. Bei einem erfahrenen Mitarbeiter kann man darauf vertrauen, dass er fehlerfrei mit sensiblen Dokumenten arbeitet, während bei einem Neuling das Risiko schwerwiegender Fehler recht hoch ist. Daher ist es wichtig, den Zugriff entsprechend anzupassen.

Die Verantwortlichkeiten und Berechtigungen können sich bei Rollen auch überschneiden. Wenn einem Mitarbeiter die Rolle eines „Chirurgen“ zugewiesen wurde, kann er auch gleichzeitig als „Arzt“ oder „Radiologe“ arbeiten. Mit einer Rollenhierarchie wird eine Person definiert, die verschiedene Attribute vieler anderer Personen in sich vereint. Mit anderen Worten: Eine Rolle kann zahlreiche weitere Rollen enthalten. 

Was sind rollenbasierte Zugriffsberechtigungen?

Berechtigungen legen fest, welche Personen zugreifen dürfen und welche Aktionen sie im System durchführen können. Stellen Sie sich Berechtigungen als Regeln vor, die Personen entsprechend den definierten Rollen befolgen.

Zu den Berechtigungen können gehören:

• Zugreifen. Wer kann ein bestimmtes Laufwerk, ein Programm, eine Datei oder einen Datensatz öffnen? Wer sollte nicht einmal wissen, dass diese Dinge existieren? Mit der Zugriffsberechtigung schränken Sie ein, was die Benutzer sehen können.
• Lesen. Wer kann diese Dokumente lesen und durchsuchen, selbst wenn die Person möglicherweise nicht berechtigt ist, irgendeine Änderung vorzunehmen? Einige Rollen erhalten möglicherweise die Erlaubnis, bestimmte Dokumente ausschließlich als Referenzmaterial zu verwenden.
• Schreiben. Wer kann Dokumente ändern? Müssen diese Änderungen von einer anderen Person genehmigt werden oder sind diese Änderungen dauerhaft? Sie können dies mit dieser Berechtigung festlegen.
• Weitergeben. Wer kann ein Dokument herunterladen oder als E-Mail-Anhang versenden? Ebenso wie bei anderen Berechtigungen, dürfen einige Benutzer bestimmte Materialien nicht weitergeben, auch wenn sie sie als Referenzmaterial nutzen können.
• Finanzen. Wer kann Rechnungen stellen? Wer kann Rückerstattungen anbieten? Berechtigungen können sich darauf beziehen, ob eine Person Rechnungen oder Rückerstattungen auslösen, Kreditkonten einrichten oder Zahlungen stornieren kann.

Bedenken Sie dabei, dass Berechtigungen Rollen folgen – nicht umgekehrt. Legen Sie fest, was jede Rolle tun darf, und wenden Sie die Berechtigungen entsprechend an.

Erlauben Sie Ihren Mitarbeitern nicht, Berechtigungen jenseits ihrer aktuellen Rolle anzufragen. Wenn Sie zulassen, dass Berechtigungen auf individueller Basis geändert werden können, wird das System schnell unübersichtlich. 

Vorteile der rollenbasierten Zugriffskontrolle

Es gibt zahlreiche Sicherheitsoptionen, doch mitunter ist es schwer, die beste Wahl für Ihr Unternehmen zu treffen. RBAC bietet zahlreiche bewährte Vorteile, die diesen Ansatz deutlich von alternativen Optionen unterscheiden.

Zu den Vorteilen eines RBAC-Systems gehören:

• Geringe Komplexität. Neue Mitarbeiter erhalten Zugriff basierend auf ihren Rollen und nicht basierend auf einer langen Liste mit Server- und Dokument-Anforderungen. Das vereinfacht die Erstellung, Wartung und Überprüfung von Richtlinien.
• Globale Verwaltung. Sie können die Zugriffe für zahlreiche Mitarbeiter in einem Schritt ändern, indem Sie die Berechtigungen für eine Rolle anpassen.
• Einfaches Onboarding. Wenn neue Mitarbeiter eingestellt werden, ihre Position innerhalb des Unternehmens wechseln oder befördert werden, müssen Sie sich keine Gedanken über die Berechtigungen der Einzelperson machen, sondern lediglich die richtige Rolle zuweisen.
• Geringe Fehleranfälligkeit. Die klassische Sicherheitsadministration ist fehleranfällig. Wenn Sie einzelnen Personen zusätzliche Berechtigungen zuweisen, entsteht ein großer Spielraum für Fehler. Ändern Sie hingegen die Zugriffe für eine Rolle, ist das Risiko von zu vielen (oder zu wenigen) Berechtigungen deutlich geringer.
• Geringe Gesamtkosten. Wenn die Aufgaben für Administratoren zurückgehen, sparen Unternehmen Kosten für die Sicherheitsadministration und damit Zeit und Geld.

RBAC oder ABAC: Was ist besser?

Bevor wir genauer auf die Details zur Umsetzung eines RBAC-Modells eingehen, sehen wir uns eine Alternative an: ABAC ist eines der bekanntesten Modelle für Unternehmen und kann in bestimmten Situationen sehr hilfreich sein.

Mit ABAC (Attribute-based Access Control, attributbasierte Zugriffskontrolle) explodiert die Vielzahl der möglichen Rollen förmlich, da Sie nicht nur Positionen, Stellenebenen/Dienstgrade und ähnliche Attribute, sondern auch folgende Faktoren berücksichtigen können:

• Benutzertypen. Sicherheitsfreigaben, Finanzkenntnisse oder Staatsangehörigkeit können bei der erstellten Rolle relevant sein.
• Uhrzeit. Sperren Sie Dokumente nachts, wenn keine relevanten Aufgaben durchgeführt werden sollten. Außerdem können Sie Bearbeitungen zu Zeiten beschränken, wenn keine Vorgesetzten anwesend sind. Der Zugriff auf Materialien kann auch an Wochenenden eingeschränkt werden.
• Standort. Gewährleisten Sie zum Beispiel, dass der Zugriff auf Dokumente nur vom Firmenstandort oder im Inland möglich ist. Bei Bedarf können Sie verhindern, dass Benutzer von zuhause auf Dokumente zugreifen können.

Zum Durchsetzen der Sicherheitsmaßnahmen setzt ein solches System auf Richtlinien statt auf statische Berechtigungstypen. Es ist etwas schwieriger, das richtige Gleichgewicht zu finden, da mehr Variablen involviert sind. Je nach Ihrer Sicherheitsumgebung kann dies ein smarter Ansatz für Ihr Unternehmen sein.

So implementieren Sie ein RBAC-System

Wie bei den meisten Sicherheitsaufgaben, ist die Erstellung eines RBAC-Systems ein methodischer Prozess, wobei Sie für die Schritte die richtigen Reihenfolge einhalten müssen. Möglicherweise benötigen Sie etliche Informationen, um diese Aufgabe richtig durchführen zu können.

Zum Erstellen des richtigen Systems müssen Sie wie folgt vorgehen:

• Erstellen Sie ein Inventar Ihres Systems. Ermitteln Sie, welche Programme, Server, Dokumente, Dateien und Datensätze zu Ihrer Unternehmensumgebung gehören. Nehmen Sie sich Zeit, gründlich vorzugehen, damit Sie nichts übersehen.
• Identifizieren Sie die Rollen. Arbeiten Sie mit dem Management und der Personalabteilung zusammen, um zu bestimmen, wie viele Rollen für Ihr Unternehmen sinnvoll sind und welche Berechtigungen diese Rollen benötigen.
• Entwickeln Sie einen Zeitrahmen für die Integration. Stellen Sie fest, wie viel Zeit Sie für die Umsetzung des Programms benötigen. Geben Sie Ihren Kollegen Zeit, sich darauf vorbereiten. Wenn Sie die Änderungen ohne rechtzeitige Vorankündigung umsetzen, könnte das Programm ins Stocken geraten.
• Seien Sie offen für Rückmeldungen. Stellen Sie Ihre Pläne für Rollen und Berechtigungen dem Management vor und fragen Sie sie, ob Ihre Annahmen zutreffend sind. Nehmen Sie bei Bedarf Anpassungen vor.

Während der Einrichtungsphase müssen Sie unter Umständen einige Details ausprobieren. Scheuen Sie sich nicht, Änderungen rückgängig zu machen, wenn etwas nicht wie geplant funktioniert.

• Setzen Sie den Plan um. Nachdem die Rollen und Berechtigungen identifiziert wurden, können Sie den Plan umsetzen. Beobachten Sie das Netzwerk genau und korrigieren Sie Fehler, sobald diese auftreten.

Befolgen Sie Best Practices, um den Erfolg Ihres Projekts zu gewährleisten.

• Nehmen Sie sich Zeit. Selbst in kleinen Unternehmen kann es Hunderte Kombinationen aus Rollen und Berechtigungen geben. Gehen Sie bei der Planung sorgfältig vor und nehmen Sie sich Zeit, die Pläne vor der Umsetzung bestmöglich anzupassen.
• Bleiben Sie standhaft. Es ist damit zu rechnen, dass einige Benutzer sich an Sie wenden und darum bitten werden, ihnen Berechtigungen jenseits ihrer Rollen zu gewähren. Wägen Sie jede Anfrage sorgfältig ab, bevor Sie einzelnen Benutzern zusätzliche Berechtigungen gewähren.

Halten Sie diese Anfragen schriftlich fest und fragen Sie das Management, ob alle Personen mit dieser Rolle Zugriff auf die angefragten Dateien erhalten sollten. Vermeiden Sie, Benutzern mit den gleichen Rollen sehr unterschiedliche Zugriffsrechte zuzuweisen.

• Arbeiten Sie mit den Benutzern zusammen. Zu eng gefasste Sicherheitsregeln verringern die Produktivität der Endbenutzer. Prüfen Sie Anfragen in Absprache mit Benutzern und Managern genau, bevor Sie sie ablehnen. Versuchen Sie, ein Gleichgewicht zu finden, um sichere Arbeitsabläufe zu ermöglichen.

Arbeiten Sie mit einem Experten zusammen

Die Implementierung eines solchen Programms kann wie eine unlösbare Aufgabe wirken. Mit ein wenig Unterstützung lässt sie sich jedoch sehr gut umsetzen. Eine Plattform wie die von Okta vereinfacht den Prozess. Okta integriert mehr als 6.500 Anwendungen. Dadurch können Sie alles zentral verwalten, was den Prozess deutlich vereinfacht.

Referenzen

Role Based Access Control (RBAC), (Juni 2020), National Institute of Standards and Technology, U.S. Department of Commerce. 

Conference Proceedings: Role-Based Access Controls, (November 1992), National Institute of Standards and Technology, U.S. Department of Commerce.

An Introduction to Role-Based Access Control, (Dezember 1995), National Institute of Standards and Technology, U.S. Department of Commerce.

Role-Based Access Control (RBAC): Permissions vs. Roles, (Februar 2018), Medium.

Role-Based Access Control Project Overview, (Juni 2020), National Institute of Standards and Technology, U.S. Department of Commerce.

Role-Based Access Control (Presentation), National Institute of Standards and Technology.

An Evolution of Role-Based Access Control Towards Easier Management Compared to Tight Security, (Juli 2017), ICFNDS '17: Proceedings of the International Conference on Future Networks and Distributed Systems.

Authorization and Access Control, (2014), The Basics of Information Security (Second Edition).

Security for Distributed Systems: Foundations of Access Control, (2008), Information Assurance: Dependability and Security in Networked Systems.

Access Controls, (2013), Computer and Information Security Handbook (Third Edition).

How to Implement Role-Based Access Control, (Oktober 2007), Computer Weekly.

Role-Based Access Control: Meek or Monster, Wired.

Guide to Role-Based Access Control (RBAC), IBM Support.

Extending RBAC for Large Enterprises and Its Quantitative Risk Evaluation, Mitsubishi Electric Corporation.

Restricting Database Access Using Role-Based Access Control (Built-In Roles), Amazon Web Services (AWS).

An Enhancement of the Role-Based Access Control Model to Facilitate Information Access Management in Context of Team Collaboration and Workflow, (Dezember 2012), Journal of Biomedical Informatics.

Identify Governance and Role-Based Access Control, University of Michigan Information and Technology Services.