Was ist Role Based Access Control (RBAC)?
Zutritt nur für Mitarbeiter – Im Alltag halten uns Schlösser, Absperrungen oder schlichte Warnschilder davon ab, bestimmte Bereiche zu betreten. In der IT-Sicherheit ist das nicht so einfach: Zu groß ist die Versuchung, Ordner mit dem Namen “Bitte nicht öffnen!” oder “Geheim” bis auf die letzte Datei zu durchsuchen. Um Nutzern im Netzwerk nur die Möglichkeiten einzuräumen, welche Sie für die Ausführung ihrer Funktion benötigen, haben sich Verfahren des Sicherheitsmanagements herausgestellt – Roll Based Access Management ist eines von diesen.
Für die Sicherheit und das Zugangsmanagement in IAM- und AM-Lösungen spielt Roll Based Access Control (RBAC) eine Schlüsselrolle – digitale Türen werden durch RBAC nicht nur verschlossen, sondern sind für Nutzer in einer unautorisierten Rolle überhaupt nicht sichtbar. Wie funktioniert RBAC? Welche Vorteile und Gefahren bringt es mit sich? Was ist der Unterschied zwischen Rollen und Gruppen? Und wie erhöht RBAC Sicherheit und Benutzerfreundlichkeit in einem Netzwerk?
RBAC – Möglichkeiten, Vorteilen und Grenzen der rollenbasierten Zugriffskontrolle
RBAC bedeutet im Identity- and Access Management eine klare Rollenverteilung. Melden sich Mitarbeiter oder andere User im System an, werden Sie identifiziert und sie erhalten daraufhin eine oder mehrere klare Rollen, die mit bestimmten Rechten und Möglichkeiten verbunden sind.
RBAC Definition
RBAC ist das Akronym für Roll Based Access Control – zu deutsch rollenbasierte Zugangsverwaltung. Im RBAC werden verschiedenen Rollen, wie z. B. Vertrieb, Sekretariat oder Admin, anhand der Aufgaben und Funktionen dieser Entitäten im Netzwerk definiert. In einem weiteren Schritt erfolgt die Zuteilung der Rechte, Möglichkeiten und Zugang zu Dateien oder Apps des Netzwerks.
RBAC Model ähnelt digitaler Keycard
Rollenbasierte Zugriffskontrolle ist im entfernten Sinn wie eine auf die Benutzerrollen zugeschnittene Keycard, welche den Nutzern Zugang zu bestimmten Räumen eines Gebäudes ermöglicht. In der Administration wird dafür festgelegt, welche smarten Schlösser sich mit der Keycard öffnen lassen, nachdem ein Nutzer bereits Zugang durch Identifikation zum Gebäude erhalten hat.
Ein Unterschied besteht allerdings zwischen der IT-Sicherheitsdisziplin RBAC und der Keycard aus dem Beispiel: Gibt es einen Raum (Funktion, App, etc.) auf die der Nutzer keinen Zugriff hat, nimmt er in der RBAC von diesem überhaupt keine Kenntnis.
RBAC Role Based Access Control vs. Individuelle Nutzerrechte im Access Management System
In einem guten AM-System erfolgt die Beantragung und Authentication sowie die Archivierung der Berechtigungsschritte in einem praktischen Ablauf. Dabei wird die Berechtigung dann nicht unbedingt allen Benutzern gewährt, denen eine Rolle zugeschrieben ist, sondern kann bei Bedarf individuell vergeben werden.
Die zentrale Frage ist: Sind die Rechte und die Rolle für die Funktion, die ein Nutzer oder eine andere Entität im System erhalten, praktikabel?
Unterschied Rollen und Gruppen
Warum ist die Zuordnung von Rechten zu Rollen sinnvoller als zu Gruppen? Eine Gruppe beschreibt eine Menge von Subjekten oder Objekten, die gewisse Eigenschaften teilen. Rollen im RBAC unterscheiden sich dagegen durch die Aufgaben, die im Netzwerk von Personen oder Entitäten ausgeführt werden.
Klingt alles sehr ähnlich? In der Praxis macht diese Unterscheidung Sinn, da eine Orientierung in Organisationen anhand von Rollen abläuft – wir erfüllen bestimmte Rollen im Unternehmen oder einer Gesellschaft. Das ermöglicht eine genauere Zuordnung der Rechte als eine Einteilung anhand von Gruppenmerkmalen. So wäre die Einteilung der Rechte nach Abteilungen ungenau und würde zu Problemen führen, da beispielsweise Auszubildende in der Verwaltung dieselben Rechte hätten, wie ein Vorgesetzter, der Managementaufgaben nachkommt – eben nur, weil Sie in derselben Gruppe wären.
Mit rollenbasierten Zugriffsrechten werden diese Probleme überwunden und verhindert die aufwendige Vergabe von Einzelrechten.
Vorteile von RBAC
Praktische Vorgänge in der IT-Verwaltung bieten Prozessoptimierung und eine Erhöhung der IT-Sicherheit. Wir gehen auf wichtige Vorteile der optimierten Rechtevergabe von RBAC ein.
Rollen ermöglichen praktische Zuordnung von Nutzern und Rechten
Der erste Tag eines neuen Mitarbeiters – Im Idealfall bedeutet das die Vergabe eines Nutzernamen, Passworts, die Erstellung von Benutzerkonten und Zuteilung von Rechten in einem IAM-System. Dass es leider oft anders abläuft, haben viele neuen Mitarbeiter an ihrem ersten Tag bereits erleben müssen:
Auch einige Tage und Wochen nach der Anmeldung im System kann es Mitarbeiter und der IT Nerven kosten, wenn Rechte, die für den Job ganz normal sind, einzeln vergeben werden müssen. Mit RBAC erfolgt diese Vergabe automatisch anhand der Rolle, welche die Nutzer des Systems im Unternehmen einnehmen. Dabei kann in einigen Fällen die doppelte Vergabe der Rechte oder die Vergabe der Rechte je nach Sitzung erfolgen. So nimmt ein Angestellter mit bestimmten Rechten eine Rolle als Kunde des Unternehmens ein und erhält dann andere Rechte – man spricht von der “Dynamic Separation of Duty”.
Minimiertes Risiko durch entfallende Einzelrechte
Viele verschiedene Einzelrechte bedeuten größeren Raum für Probleme. Die Vergabe von nutzerbezogenen Einzelrechten ist nicht nur zeitaufwendiger, sondern eröffnet Raum für Fehler bei der Vergabe. Diese Einzelvergabe erhöht das Risiko von Data-Breaches, wenn beispielsweise vergessen wird, einem einzelnen Nutzer Einzelrechte zu entziehen oder er eben mehr Rechte erhält als notwendig ist. Durch die Zuteilung von Privilegien im RBAC wird zudem sichergestellt, dass Nutzer nicht durch Fehler kostspielige Schäden verursachen.
Einfache Neuordnung von Rechten bei Änderungen
Ein User wird befördert, geht in Elternzeit oder es gibt Änderungen im Netzwerk und bei Apps? In diesem Fall werden einfach die Zugriffsrechte der Rollen angepasst und betreffen von da an alle Nutzer, denen diese Rolle zugeordnet wird.
Gefahren von RBAC: Over-Privileging
Ein großes Risiko, welches mit RBAC einhergeht ist das sogenannte Over-Privileging. Das Phänomen beschreibt die Vergabe von Rechten im Bezug auf eine Rolle, die weit über die Notwendigkeit für das Ausführen der Aufgaben hinausgehen.
Passt die Definition von Privilegien im RBAC nicht zu den Aufgaben der Rolle, kann auch das beste RBAC-System die Aufgaben nicht einhalten. Schlechte Privilegierung der Rollen schmälert die Vorteile des RBAC-Systems. Besonders sensibel ist dies mit dem Zugriff auf Kunden- oder Nutzerdaten oder Rechte der Änderungen am Netzwerk oder System an sich, so z. B. für Rollen der Admins oder sogenannter Power-User.
RBAC Zugriffskontrolle und Activity Based Authorization
Was Roll Based Access Control bedeutet, ist heute einheitlich geregelt. Der RBAC Standard INCITS 359-2004 ist ein anerkanntes Instrument zur Verwaltung von Rechten in verschiedenen Ländern. Doch das System an sich geht auf ein Konzept aus den 1990er Jahren zurück. Aktuell werden bereits Nachfolger verhandelt und optimiert, welche die Rechtevergabe noch genauer und besser gestalten sollen und das Risiko der over-privileged User und sensibler Fehler und Sicherheitslücken weiter minimieren.
Ein möglicher Nachfolger für die Rechtevergabe durch RBAC ist die Activity Based Authorization. Diese wird von einigen Experten bereits als sicherer und praktischer bewertet und könnte sich in Zukunft durchsetzen.
In OGiTiX sind diese aktivitätsbezogenen Berechtigungen über die Berechtigungsobjekte den definierten Rollen zuzuweisen.
IAM-Systeme für praktische RBAC
Mit einem IAM-System, das mit Ihren Ansprüchen wächst und modular erweitert werden kann, sind Sie für die Zukunft gerüstet und erfahren viele Vorteile für die Verwaltung von Rechten im Netzwerk des Unternehmens, steigern die Sicherheit von Daten und optimieren Abläufe für User, Mitarbeiter und Admins.
Aktuelle RBAC-Systeme als Teil der IAM-Software von OGiTiX erfüllen die sensiblen Vorgaben der Europäischen Union und sind vor allem dann geeignet, wenn sensible Daten wie Kundendaten oder Patientendaten sowie administrative Aufgaben nur bestimmten Rollen vorbehalten bleiben sollen.