Rollenbasierte Zugriffskontrolle (RBAC) vs. Attributbasierte Zugriffskontrolle (ABAC): Was ist der Unterschied?

Die Kontrolle des Zugriffs auf Daten und Netzwerke ist für alle Unternehmen von höchster Bedeutung. Unternehmen verwenden Zugriffskontrollen, auch als Autorisierung bezeichnet, die den Zugriff auf die Ressourcen an vorgegebene oder solche Berechtigungen binden, deren Anpassung auf der Rolle des Benutzers, auf Identitätsattributen oder Risikofaktoren basiert.

Der Schutz des Zugriffs auf Kundendaten ist ebenfalls von entscheidender Bedeutung und wird von drei Hauptfaktoren bestimmt: Datenschutzbestimmungen, Sicherheitsanforderungen des Unternehmens und Erwartungen der Kunden. Angesichts des Umfangs der beteiligten Anwendungen und APIs in Kombination mit der Anzahl an Mitarbeitern und Prozessen, die für die Durchführung der erforderlichen Änderungen und Aktualisierungen erforderlich sind, kann es schwierig werden, immer ein gutes Kundenerlebnis mit der geforderten Sicherheit und Einhaltung der gesetzlichen Bestimmungen zu gewährleisten.

Wir befassen uns hier mit zwei Möglichkeiten der Zugriffskontrolle:

• Die rollenbasierte Zugriffskontrolle (RBAC) ermöglicht den Zugriff auf Ressourcen oder Informationen auf der Grundlage von Benutzerrollen. Diese Rollen müssen nach Position, Abteilungen, Standorten und/oder speziellen Aufgaben und Zuständigkeiten bestimmt werden.

• Die attributbasierte Zugriffskontrolle (ABAC) ist ein flexiblerer Ansatz für Autorisierungsentscheidungen, bei dem zusätzliche Informationen (Attribute) verwendet werden, um regelbasierte Entscheidungen zu treffen. Die ABAC geht über Rollen hinaus und erlaubt das Hinzuziehen detaillierter Attribute, einschließlich kontextbasierter Informationen, um den Zugriff einer Person zu autorisieren.

Lesen Sie weiter, und erfahren Sie mehr über RBAC und ABAC, wie unter anderem die Unterschiede und die jeweiligen Vor- und Nachteile.

Nach der Authentifizierung folgt die Autorisierung, mit der geregelt wird, auf welche Daten, Anwendungen und Ressourcen ein verifizierter Benutzer zugreifen darf. Auf diese Weise wird verhindert, dass unbefugte Benutzer Zugriff auf sensible Daten ebenso wie auf lokale und cloudbasierte Anwendungen erhalten.

Wenn Unternehmen zudem das Prinzip der geringsten Privilegien (PoLP) anwenden, stellen Sie sicher, dass der Zugriff nur auf diejenigen Ressourcen beschränkt ist, die ein Benutzer tatsächlich benötigt. Möglicherweise haben Sie kein Interesse daran, dass ein Praktikant über den denselben Zugang und die gleichen Berechtigungen verfügt, wie ein Systemadministrator. Weitere Beispiele:

• Personalabteilungen können auf Anwendungen zugreifen, die sensible Daten über Mitarbeiter enthalten, aber Finanz- und Marketingteams bleibt dies vorenthalten.

• Bei zwei Kunden, die auf derselben gewerblichen Website angemeldet sind, kann nur der eine von beiden auf die VIP-Prämieninhalte zugreifen, weil er die entsprechende Mitgliedschaft hat.

Lösungen für die Zugriffskontrolle können auch für das Genehmigen oder Verweigern eines Zugriffs auf gespeicherte Daten im Rahmen der Richtlinien zur Einwilligung der Verbraucher verwendet werden und so das Einhalten von Datenschutzbestimmungen unterstützen, wie beispielsweise der Allgemeinen Datenschutzverordnung der EU (DSGVO) und des California Consumer Privacy Act (CCPA).

Bei der rollenbasierten Zugriffskontrolle (RBAC) werden die Berechtigungen anhand der Rollen des Benutzers erteilt. Rollen können nach Kriterien wie Autoritätsebene, Zuständigkeit, Tätigkeitsbezeichnung oder Status (Angestellter vs. Auftragnehmer) wie auch aufgabenbezogen (Anzeige- vs. Bearbeitungsrechte) definiert werden. Wenn beispielsweise ein neuer Vertriebsmitarbeiter eingestellt wird, kann man ihm direkt den Zugriff auf dieselben vordefinierten Ressourcen gewähren wie den anderen Mitgliedern des Vertriebsteams, da ihre Rolle identisch ist.

Vorteile der rollenbasierten Zugriffskontrolle (RBAC)

• Optimiertes Konzept. Mit vordefinierten Rollen wird die Zugriffskontrolle zu einer Plug-and-Play-Option, die den Arbeitsaufwand für die IT-Abteilung beim Onboarding neuer Mitarbeiter niedrig hält. Der RBAC-Ansatz verringert auch die Gefahr von Fehlern bei der Dateneingabe, wenn eine große Zahl von Mitarbeitern gleichzeitig eingestellt wird.

• Vorübergehender Zugriff kann leicht eingerichtet werden. Wenn Benutzer vorübergehend Zugriff auf Ressourcen benötigen, wie beispielsweise Saisonarbeiter, können Sie ihnen einen Zugang einrichten, der auf diejenigen Ressourcen beschränkt ist, den sie für ihre Aufgaben benötigen.

• Rasche Abwicklung bei Arbeitsplatzwechsel oder Ausscheiden von Mitarbeitern. Wenn ein Mitarbeiter seinen Job im Unternehmen wechselt oder es verlässt, kann der Zugriff auf die Ressourcen entweder an seine neue Funktion angepasst oder ihm entzogen werden, falls er geht.

• Einhalten gesetzlicher Vorschriften. Die Vorschriften zum Datenschutz verpflichten die Unternehmen, den Zugriff auf ihre Ressourcen zu beschränken. Die Automatisierung eines rollenbasierten Zugriffs verringert die Wahrscheinlichkeit von Fehlern, die den falschen Personen Zugriff auf sensible und unter anderem gesetzlich geschützte Verbraucherdaten ermöglichen.

Die attributbasierte Zugriffskontrolle (ABAC) bietet mehr Sicherheit und Flexibilität, da sie bei Autorisierungsentscheidungen mehr als nur Rollen berücksichtigt. Zu diesen Attributen gehören unter anderem Benutzerattribute (z. B. Sicherheitsfreigabe, Alter), Ressourcenattribute (z. B. Erstellungsdatum, Art der Ressource) und der Kontext (z. B. Ort des Zugriffs, Tageszeit). So kann es beispielsweise vorkommen, dass einem Vertriebsmitarbeiter der Zugriff auf die Ressourcen seiner Abteilung von risikoreichen Standorten wie Cafés oder Flughäfen aus verwehrt bleibt oder er zusätzliche Sicherheitsvorkehrungen treffen muss, bevor er Zugriff erhält.

Dynamische Autorisierung

Die dynamische Autorisierung verbessert die ABAC, indem sie das Durchsetzen einer fein abgestimmten Geschäftslogik in Echtzeit ermöglicht. So können Sie den Zugriff kontrollieren, indem Sie das Erfüllen bestimmter Bedingungen einfordern. Außerdem zentralisiert sie die Kontrollen, anstatt sie auf der Ebene der einzelnen Anwendungen einzugliedern und regelt auf diese Weise den Zugriff auf ganze Ressourcen oder einzelne Attribute.

Vorteile der attributbasierten Zugriffskontrolle (ABAC) in Kombination mit der dynamischen Autorisierung

• Sicherheit und Flexibilität steigern. Die wichtigsten Attribute können zum Zeitpunkt der Transaktion in Echtzeit bewertet werden, um die Legitimität der Zugriffsanfrage zu ermitteln. Das Ergänzen von Kontextdaten optimiert die Entscheidungsfindung.

• Bessere Kundenerfahrungen bereitstellen. Indem Sie Ihren Kunden mehr Einblick und die Kontrolle über ihre eigenen Daten geben, erleichtern Sie ihnen die Verwaltung ihrer Einwilligung, und Sie können ihre Daten vor dem Zugriff durch vom Kunden nicht genehmigte Datenspeicher und APIs schützen.

• Einhalten gesetzlicher Vorschriften.  Unternehmen werden durch Datenschutzbestimmungen verpflichtet, den Zugang zu Kundendaten zu beschränken. Sicherheitsteams können schneller Maßnahmen ergreifen, wenn sie den Zugriff aller digitalen Anwendungsteams und -kanäle auf Kundendaten in der Hand haben.

• Agilität fördern.  Unternehmen können Daten auswerten, schneller auf Marktveränderungen reagieren und neue Anwendungen und APIs einführen, ohne Kompromisse bei der Compliance oder Sicherheit einzugehen.

   

Die rollenbasierte Zugriffskontrolle (RBAC) war solange sinnvoll, wie der Zugriff noch auf Benutzer innerhalb eines Netzwerks beschränkt war. Für viele der heutigen Anwendungsfälle greift sie jedoch zu kurz. Für eine einfache, statische Logik kann sie weiterhin gut geeignet sein, wenn z. B. sichergestellt werden soll, dass nur Mitarbeiter mit einer bestimmten Funktion Zugriff auf Tools erhalten sollen, die sie für ihre Aufgaben benötigen. Die RBAC kann jedoch nicht die fein abgestimmte Data-Access-Governance und die Autorisierungsmechanismen liefern, die für das Absichern von Kundendaten erforderlich sind. Selbst wenn die Rollen und Gruppenzugehörigkeiten gut definiert sind, basiert die RBAC doch darauf, dass die Anwendungen selbst die Entscheidungen über Benutzerzugriff und -berechtigungen treffen.

Das National Institute of Standards and Technology (NIST) empfiehlt die attributbasierte Zugriffskontrolle (ABAC) vor der rollenbasierten Zugriffskontrolle (RBAC) für Unternehmen mit breiter gefächerten Business-Cases. Die ABAC bietet eine zentralisierte Steuerung und die Flexibilität, Berechtigungen für verschiedene Benutzer, Umgebungen und Bedingungen zu verwalten.

Wenn Sie mehr über die Unterschiede zwischen RBAC und ABAC und die beste Option für Ihr Unternehmen erfahren möchten, finden Sie weitere Informationen in unserem Whitepaper Attribute-based Access Control and Dynamic Authorization (zu dt.: Attributbasierte Zugriffskontrolle und Dynamische Autorisierung).