Das Definieren und Gewähren von Zugriffsrechten stellt IT-Abteilungen immer wieder vor Herausforderungen. Einerseits dürfen Betriebsprozesse nicht durch unnötige Einschränkungen gestört werden, andererseits gilt es, zu weit gefasst Rechte und damit potenzielle Angriffspunkte unbedingt zu vermeiden. Eine Balance zwischen Produktivität und Sicherheit verspricht der Least Privilege-Ansatz. Dessen Implementierung profitiert wiederum nachhaltig von der Umsetzung einer rollenbasierten Zugriffskontrolle. Denn werden Rollen und damit verbundene Berechtigungen vorkonfiguriert, werden manuelle, fehleranfällige Systemeinstellungen hinfällig.
Was ist rollenbasierte Zugriffskontrolle (RBAC)?
Unter rollenbasierter Zugriffskontrolle (engl. Role-based Access Control) versteht man ein Verfahren zur Steuerung und Kontrolle von Zugriffen auf Dateien oder Dienste. Anstatt Nutzern im Netzwerk direkt Zugriffsrechte auf verschiedene Systeme zu geben oder aber spontan Entscheidungen darüber zu treffen, wer auf was und für wie lange zugreifen darf, werden Zugriffe hier entsprechend einer dem Nutzer zuvor zugewiesenen Rolle gewährt. RBAC unterstützt auf diese Weise die Implementierung und systematische Durchsetzung einer Least Privilege-Strategie – selbst in großen und geografisch verteilten Unternehmen, weshalb das RBAC-Konzept insbesondere bei Unternehmen mit mehr als 500 Mitarbeitern oft zum Einsatz kommt. Dies stellt sicher, dass Mitarbeiter stets über die für sie erforderlichen Rechte verfügen und es nicht zu Betriebsunterbrechungen kommt, anderseits können zu weit gefasste Rechte und damit potenzielle Einfallstore für Hacker und Inside-Angreifer dank RBAC eliminiert werden.
Wenngleich das RBAC-Modell bereits seit Anfang der Neunziger Jahre angewendet wird, gestaltet sich deren konsequente Umsetzung aufgrund der Komplexität moderner Anwendungsfälle als immer schwieriger. Dabei macht gerade die rapide Zunahme von Cloud-Diensten und Drittanbieter-Software einen einheitlichen Ansatz für rollenbasierte Zugriffskontrolle unabdingbar, da nur so Risiken effektiv reduziert und Compliance-Anforderungen nachhaltig erfüllt werden.
In fünf Schritten zur RBAC
Eine effektive Umsetzung einer rollenbasierten Zugriffskontrolle erfolgt in folgenden fünf Schritten:
- Bestandsaufnahme: Zunächst gilt es, eine umfassende Liste aller Server, Datenbanken, Anwendungen, externen Webseiten usw. zu erstellen, auf die Benutzer Zugriff benötigen. Optional kann in diese Liste auch die physische Sicherheit aufgenommen werden, die den Zugang zu Serverräumen oder anderen sensiblen physischen Räumen und Ressourcen abdeckt. Anschließend muss eine Übersicht darüber erstellt werden, wer (oder was) gegenwärtig Zugang zu diesen Systemen und Ressourcen hat.
- Rollenberechtigungen definieren: Im nächsten Schritt muss die IT-Abteilung die Rollen definieren, die die Struktur des Unternehmens widerspiegeln – sei es Buchhaltung, Vetrieb, Kundenbetreuung etc. –, und festlegen, auf welche Ressourcen sie zugreifen können bzw. welche Aktionen Mitarbeiter, die diese Rolle innehaben, zur Erledigung ihrer Arbeit durchführen müssen. Unter Ressource versteht man hier ein Programm, eine Website, eine Applikation oder ein anderes Tool, und Aktionen beinhalten unter anderem das Anzeigen, Erstellen, Ändern oder Löschen bestimmter Informationen. Eine Buchhalterin braucht zum Beispiel zur Erledigung ihrer Kernaufgaben dementsprechend Zugang zu bestimmten finanziellen Ressourcen sowie zu Buchhaltungs-Softwarepaketen. Sämtliche Rollen können dabei global oder auch ganz spezifisch auf der Grundlage organisatorischer Bedürfnisse definiert werden. Änderungen und Aktualisierungen der Berechtigungen einer Rolle können nach Bedarf durchgeführt und unmittelbar an alle Benutzer weitergegeben werden.
- RBAC-Richtlinien dokumentieren: Anschließend sollte die definierte und implementierte RBAC-Policy gut dokumentiert werden, auch wenn ein automatisiertes Werkzeug bei der Umsetzung zum Einsatz kommt. Viele Compliance-Richtlinien verlangen, dass die Zugangskontrollrichtlinien gründlich dokumentiert werden und dass diese Dokumentation einem Änderungskontrollprozess unterzogen wird, um sicherzustellen, dass sie stets aktuell ist. Mit dem Übergang zu Cloud-Infrastrukturen, SaaS-Anwendungen und der Bequemlichkeit von SSO erben Benutzer und Gruppen häufig Rollen mit übermäßigen Berechtigungen und RBAC hilft, dieses Risiko zu mindern.
- Zuordnen der Nutzer zu den festgelegten Rollen: Als nächstes muss jeder einzelne Benutzer gemäß seiner Funktion mindestens einer Rolle aus der zuvor definierten Rollenbibliothek zugeordnet werden. Basis dieser Zuordnung sollte dabei immer der Least Privilege-Ansatz sein.
- Regelmäßige Audits durchführen: Um sicherzustellen, dass den Benutzern stets die richtigen Rollen zugewiesen werden und jede Rolle über die entsprechenden Berechtigungen verfügt, sollten regelmäßig Überprüfungen durchgeführt werden. Vor allem bei internen Positionswechseln, dem Ablauf von Projekten etc. müssen stets Anpassungen stattfinden. Auch sollten niemals einmalige Änderungen bzw. Rechteerweiterungen für einen einzelnen Mitarbeiter vorgenommen werden. Entweder müssen die Berechtigungen für die ganze Rolle aktualisiert oder eine neue Rolle für den Nutzer erstellt werden.
Grundsätzlich sollten IT-Abteilungen die rollenbasierte Zugriffskontrolle so flexibel gestalten, dass es möglich ist, Rollen und deren Einschränkungen ganz nach den individuellen Anforderungen, Wünschen und Voraussetzungen zu definieren. Dazu gehören insbesondere auch Limitierungen von Berechtigungen auf der Grundlage eines bestimmten Projekts, die Festlegung eines Zeitlimits oder Ablaufdatums, die Anwendung von Berechtigungen auf der Grundlage des geografischen Standorts oder die Einschränkung von Berechtigungen nach Tageszeiten.
Die Herausforderung sich überschneidender Rollenzuweisungen
Vielen Nutzern wird mehr als eine Rolle zugewiesen, weshalb die Auswirkungen von sich überschneidender Rollenzuweisungen bedacht und die Rechte für entsprechende Kombinationen definiert werden müssen. In Fällen, in denen ein Benutzer mehrere Rollen hat, muss ein Administrator daher konfigurieren, wie RBAC angewendet wird, so dass mögliche Konflikte zwischen den Rollen adressiert werden und der Mitarbeiter am Ende nicht mehr Berechtigungen erhält als eigentlich vorgesehen. So bekommt z.B. ein Personalverwalter, der in der EMEA-Niederlassung eines internationalen Unternehmens tätig ist, sowohl die Rolle eines HR-Managers zugeschrieben als auch die eines EMEA-Angestellten zugeschrieben. Die Kombination dieser beiden Rollen sollte aber so konfiguriert sein, dass der Mitarbeiter nur Zugriff auf Personalunterlagen hat, die sich auf den EMEA-Raum beziehen, nicht aber auf Informationen, die andere Regionen betreffen.
Dabei unterscheidet man in der RBAC im Wesentlichen zwei Arten der Aufgabentrennung: Statische (Static Separation of Duty) und dynamische (Dynamic Separation of Duty). Sich gegenseitig ausschließende Rollenbeschränkungen werden verwendet, um die statische Trennung der Aufgabenrichtlinien durchzusetzen, während die dynamische Trennung die einem Benutzer zur Verfügung stehenden Berechtigungen einschränken soll.
Um die Zuweisung und Vererbung von Berechtigungen weiter zu kodifizieren, hat das National Institute of Standards and Technology (NIST) vier Ebenen festgelegt, die Gruppen definieren: flach, hierarchisch, eingeschränkt und symmetrisch.
- Flach: Benutzer erlangen Berechtigungen, indem sie Rollen zugewiesen werden, und erhalten dann die direkt mit ihrer Rolle verbundenen Berechtigungen. Beispielsweise kann es eine einzige, umfassende Rolle namens „Admin“ geben, die allen Benutzern zugewiesen wird, die Admin-Berechtigungen benötigen.
- Hierarchisch: Durch Ebenen und relative Rollenbeziehungen kann eine Berechtigungshierarchie definiert werden, zusammen mit zugehörigen Regeln, wie diese Berechtigungen vererbt werden, z.B. für Unternehmens-Admins vs. Domänen-Admins.
- Eingeschränkt: Um die Aufgabentrennung zu erzwingen, können die Benutzer je nach den Rollen, die ihnen zugewiesen werden, darauf beschränkt werden, nur bestimmte Aktionen durchzuführen, je nachdem, welche Systeme oder Anwendungen sie verwenden.
- Symmetrisch: Dieser Ansatz kommt zum Einsatz, um konsistente Standards aufrechtzuerhalten. Verfügbare Objekte, Rollen und Berechtigungen müssen in allen Systemen und Anwendungen unabhängig vom Einsatzort exakt gleich sein. Beispielsweise würde eine Systemadministratorrolle innerhalb einer Anwendung in Nordamerika die gleichen Berechtigungen zur Verfügung haben wie eine, die in EMEA innerhalb derselben Anwendung arbeitet.
Welche Alternativen zur rollenbasierten Zugriffskontrolle gibt es?
Obwohl das RBAC-Modell allgemein als Industriestandard und Best Practice-Methode gilt, gibt es weitere Ansätze zur effektiven Berechtigungs- und Zugangskontrolle, die sich in bestimmten Situationen ebenfalls als vorteilhaft erwiesen haben. Dazu gehören:
- Zugangskontrolllisten (ACLs): Unter einer Zugriffskontrollliste oder Access Control List versteht man eine Reihe von Berechtigungen, die direkt auf ein Objekt angewendet werden. Während RBAC-Systeme Berechtigungen benutzerübergreifend verwalten, sind ACLs spezifisch für ein Objekt, z.B. eine Datenbank oder Datei, vorgesehen. ACLs können zur Definition von Zugriffs- und Authentifizierungsberechtigungen verwendet werden, während RBAC definiert, welche Ressourcen und Aktionen ein Benutzer nach der Authentifizierung ausführen darf. Wenn jemand zum Beispiel Zugang zu einem Bürogebäude erhält, gewährt ihm das zwar Einlass, sobald er jedoch drinnen ist, hat er möglicherweise nicht die Erlaubnis, mit anderen zu sprechen oder ans Telefon zu gehen. ACLs ermöglichen so zwar granulare Kontrollen auf Objektebene, ihre Verwaltung und Aufrechterhaltung ist aber gerade in großem Umfang sehr schwierig.
- Attribut-basierte Zugriffskontrolle (ABAC): Dieses Modell, das auch als regelbasierte Zugriffskontrolle bezeichnet wird, basiert auf RBAC, verlässt sich jedoch nicht auf statische Berechtigungen, sondern auf logikgesteuerte Richtlinien, um kontextbezogene Berechtigungen zu definieren. Richtlinien können statisch sein oder durch vorgegebene Formeln und Logiken gesteuert werden. ABAC-Implementierungen umfassen zusätzliche Attribute für Benutzer (z.B. eine Staatsbürgerschaft usw.), Ressourcen (z.B. Klassifizierung, Abteilung, Eigentümer usw.) sowie Aktionen und Kontext (z.B. Zeit, Ort, IP usw.). Dies bietet zwar dynamische Flexibilität je nach Kontext, ist jedoch komplizierter zu konfigurieren und aufrechtzuhalten.
Fazit
Die rollenbasierte Zugriffskontrolle vereinfacht allgemeine IT-Administrationsaufgaben wie das Einbinden eines neuen Benutzers, das Versetzen einer Person in eine andere Abteilung oder aber das Löschen eines Benutzers und entlastet damit die IT-Abteilung. Bei systematischer Anwendung verringert RBAC das Risiko, dass einem Benutzer zu viel Zugriff gewährt wird und fördert so die Umsetzung einer Least-Privilege-Strategie. Mit klar definierten Rollen werden Protokolle erstellt, in denen genau angegeben wird, welche Rolle für welchen Benutzertyp geeignet ist, was eine unangebrachte Vererbung von Berechtigungen verhindert. Im Fall einer Kompromittierung können Berechtigungen zudem äußerst schnell und in großem Umfang gesperrt werden, was eine Ausbreitung von Cyberangriffen effektiv verhindert.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.