Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Autorisierungsmethoden | Ping Identity
Basiswissen über Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

Autorisierungsmethoden

 

Die Autorisierung ist der Vorgang, bei dem jemand dazu befähigt wird, auf eine digitale Ressource zuzugreifen. Sie können Benutzern auf viele Arten und Weisen Zugriff im Unternehmen gewähren.

 

  • Rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) Diese auch als „Non-Discretionary Access Control“ (Nicht-benutzergebundene Zugriffskontrolle) bezeichnete Autorisierungsstrategie basiert auf zugewiesenen Rollen.

     

  • Richtlinienbasierte Zugriffskontrolle (PBAC): Bestimmt die Zugriffsprivilegien dynamisch während der Autorisierung auf der Grundlage von Richtlinien und Regeln.

     

  • Attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC) Die attributbasierte Zugriffskontrolle verwendet Attribute zur Regelung des Benutzerzugriffs auf Ressourcen in einer Anwendung.

     

  • Privileged Access Management (PAM): Ein Sicherheitsmechanismus, der Identitäten durch einen gesonderten Zugriff oder besondere Funktionen schützt, die normalen Benutzern vorenthalten bleiben.

     

Rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC)


RBAC ist ein Autorisierungsansatz, bei dem sich der Zugriff eines Benutzers auf seine Rolle in einer Organisation stützt.


Aufgrund von Datenschutzbestimmungen, Sicherheitsanforderungen in Unternehmen und Erwägungen im Hinblick auf die Kundenzufriedenheit können Unternehmen nicht auf die Kontrolle des Zugriffs auf ihre Netzwerke und Daten verzichten. Das Ziel einer Maßnahme zur Zugriffskontrolle wie der RBAC besteht darin, unbefugte Benutzer von vertraulichen, am Standort oder in der Cloud liegenden Informationen fernzuhalten, die diese nicht benötigen oder nicht sehen sollten.


Bei der RBAC wird nach der Authentifizierung eines Benutzers rollenbasiert festgelegt, worauf er innerhalb des Unternehmens oder des Systems zugreifen kann. Die Rolle kann durch die Stellenbezeichnung, die Abteilung, den Standort oder spezifische Aufgaben des Benutzers definiert werden.


Diese Strategie erleichtert den Administratoren auch die Verwaltung der Benutzer, die Zugriff auf sensible Dokumente, Datensätze und Programme erhalten, denn es ermöglicht ihnen, die Berechtigungen für Benutzerrollen zu vergeben, statt sie für jeden Benutzer einzeln zu verwalten. 


Weitere Vorteile sind unter anderem:
 

  • Optimierte Einrichtung: Dank vordefinierter Rollen kann das IT-Team die RBAC weitgehend mit Plug-and-Play einrichten, was den Aufwand beim Onboarding neuer Mitarbeiter reduziert.

  • Schnelle Änderungen und Beendigungen: Wenn ein Mitarbeiter das Unternehmen verlässt oder die Stelle wechselt, kann sein Ressourcenzugriff gesperrt bzw. seiner neuen Rolle angepasst werden.

  • Einhaltung gesetzlicher Vorschriften: Wenn der Zugriff auf Rollen basiert, ist es weniger wahrscheinlich, dass Administratoren bei der Vergabe von Zugriff auf sensible Daten Fehler machen, und dies wiederum kann die Compliance verbessern.

Die RBAC und auch andere Mechanismen der Zugriffskontrolle können auch die Richtlinien der Kundeneinwilligungen beim Gewähren oder Verweigern des Zugriffs auf gespeicherte Daten berücksichtigen. Das erleichtert Unternehmen die Einhaltung von Datenschutzbestimmungen wie der Datenschutzgrundverordnung (DSGSVO) und dem California Consumer Privacy Act (CCPA).
 

Wie funktioniert die RBAC?


Mit der RBAC erhalten Nutzer in einem System nur Zugriff auf Daten, die ihrer Rolle im System direkt zugewiesen wurden. Die Zuweisung des Zugriffs wiederum basiert auf Faktoren wie Zuständigkeit, Verantwortung und Kompetenz gewährt. Mit einer RBAC können die Mitarbeiter ausschließlich auf solche Informationen zugreifen, die sie für das effiziente Erfüllen ihrer Aufgaben benötigen.


So braucht ein Berufsanfänger in der IT-Abteilung beispielsweise keinen Zugang zu sensiblen Finanzdokumenten, ein leitender Angestellter in der Vertriebsabteilung hingegen schon.

 

Alle RBAC-Modelle enthalten die folgenden Basiskomponenten:
 

  • Administratoren: Nutzer, die Rollen festlegen und Berechtigungen erteilen.

  • Rollen: Nutzer werden auf der Grundlage der von ihnen ausgeführten Tätigkeiten in Gruppen zusammengefasst.

  • Berechtigungen: Die jeder einzelnen Rolle erlaubten Aktionen und Zugriffsrechte, die ihren Handlungsspielraum festlegen.

Mithilfe der RBAC können Administratoren die Zugriffsberechtigungen für jede Rolle innerhalb eines Systems erstellen, zuweisen und kontrollieren.

 

Wie funktionieren die Berechtigungen?


Berechtigungen legen fest, auf welche Daten ein Nutzer zugreifen kann und welche Aktionen er anhand seiner Rolle im System ausführen darf. Die Zugriffsberechtigungen für vertrauliche Dokumente der Lohnbuchhaltung könnten beispielsweise folgendermaßen aussehen:
 

  • Lesen: Welche Rollen können die Dokumente öffnen und lesen?

  • Schreiben: Welche Rollen können Änderungen an den Dokumenten vornehmen?

  • Teilen: Welche Rollen können Dokumente herunterladen, per E-Mail versenden oder drucken?

Nachdem eine Rolle definiert wurde, werden die Berechtigungen entsprechend zugewiesen.


Die Implementierung der RBAC ist in der Regel zwar unproblematisch, da sie aber eine statische Form der Autorisierung darstellt, kann sie nicht einfach aktualisiert werden, wenn sich die Zugriffsrichtlinien des Unternehmens ändern.

Richtlinienbasierte Zugriffskontrolle (Policy-Based Access Control, PBAC)


Die PBAC ist ein Autorisierungskonzept, das die Zugriffsrechte der Benutzer anhand von Richtlinien bestimmt. Ähnlich wie bei der RBAC werden die Benutzerrollen und die damit verbundenen Berechtigungen überprüft, um den Zugriff zu bestimmen, aber es werden auch zusätzliche Attribute bewertet.


In großen Unternehmen ist es nicht immer möglich, für jede Kombination von Zugriffsrechten separate Rollen zu erstellen, daher können manche Faktoren, wie z. B. die genaue Zeit oder der Ort der Anmeldung nicht mit der RBAC erfasst werden. Mit der PBAC wird der Zugriff nicht nur durch die Rolle und die damit verbundenen Berechtigungen, sondern auch durch eine Vielzahl weiterer Attribute bestimmt, wodurch die Kontrolle feiner abgestimmt werden kann.


Weitere Vorteile sind unter anderem:
 

  • Flexibilität und Geschwindigkeit: Administratoren haben eine bessere Kontrolle über die Zugriffsebene und können die Berechtigungen vieler Benutzer gleichzeitig erteilen, widerrufen oder bearbeiten.
     

  • Anpassungsfähigkeit: Mit Richtlinien kann ein breites Spektrum dynamischer Attribute und kontextbezogener Kontrollen abgedeckt werden, wie z. B. auch zeit- oder ortsgebundene Zugriffsbeschränkungen.
     

  • Beobachtbarkeit: Richtlinien sind in Klarschrift verfasst, so dass die Beziehungen zwischen Identitäten und Ressourcen übersichtlicher sind.

Wie funktioniert die PBAC?


Administratoren erstellen Zugriffsrichtlinien auf der Grundlage von Benutzerrollen und -attributen und legen davon ausgehend Regeln fest, die den Zugriff dynamisch bestimmen. Bei einer Zugriffsanfrage wird je nach Kontext und Risiko eine Entscheidung getroffen.


Die Richtlinien bestimmen auch die Berechtigungen im Anschluss an den Zugriff auf die Ressource. Sie können festlegen, ob Nutzer auf eine Position nur Lesezugriff haben, ob sie Änderungen daran vornehmen oder mit anderen teilen können.


Richtlinien können auf einer Vielzahl verschiedener Attribute beruhen, darunter:
 

  • Name

  • Organisation

  • Berufsbezeichnung

  • Sicherheitsfreigabe

  • Eigentümer

  • Erstellungsdatum

  • Dateityp

  • Uhrzeit

  • Zugriffsort

  • Bedrohungsstufe

 

Mit der PBAC erhalten Administratoren mehr Flexibilität, denn sie können mit Richtlinien und Regeln fein abgestimmte Zugriffskontrollen für Online-Ressourcen einsetzen. Die Methoden der PBAC sind zwar leistungsfähiger und flexibler, aber oft auch komplexer und teurer zu implementieren als die der RBAC.

 

Attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC)


Die ABAC ist ein Autorisierungskonzept, das die Zugriffsrechte der Benutzer anhand von Attributen oder Merkmalen bestimmt.


Ähnlich wie bei der PBAC erstellen die Administratoren Zugriffsrichtlinien auf der Grundlage von Benutzerrollen und -attributen und legen Regeln fest, die den Zugriff dynamisch bestimmen. Bei einer Zugriffsanfrage wird je nach Kontext und Risiko eine Entscheidung getroffen.


Während die PBAC sich jedoch beim Gewähren oder Verweigern des Ressourcenzugriffs auf Richtlinien stützt, konzentriert sich die ABAC auf die spezifischen Attribute, welche die Richtlinien beeinflussen.


Die ABAC bietet unter anderem die folgenden Vorteile:
 

  • Granularität: Da die Beziehungen zwischen Benutzern und Ressourcen nicht über Rollen, sondern über Attribute festgelegt werden, können die Administratoren präzise auf Zielgruppen abgestimmte Regeln erstellen, ohne zusätzliche Rollen einrichten zu müssen.
     

  • Flexibilität: Statt Regeln zu ändern oder neue Rollen zu erstellen, müssen die Administratoren neuen Benutzern oder Ressourcen lediglich die entsprechenden Attribute zuweisen.
     

  • Anpassungsfähigkeit: Administratoren können je nach Anforderung die Attribute ändern und kontextabhängige Regeln erstellen.

     

Wie funktioniert die ABAC?


Bei der ABAC erzwingen die Richtlinien bei einem Zugriffsversuch eine Entscheidung auf Grundlage der Attribute des betreffenden Subjekts, der Ressource, der Aktion und der Umgebung.


Zu diesen Attributen zählen auch
 

  • Benutzerattribute, wie zum Beispiel:
    • Benutzertyp
    • Benutzerrolle
    • Benutzerabteilung
       
  • Umgebungsattribute, wie zum Beispiel:
    • Uhrzeit und Datum der Anfrage
    • Ort, von dem die Anfrage ausgeht
    • Benutzergeräte
       
  • Ressourcen-Attribute, wie zum Beispiel:
    • Dateiname
    • Sensibilität der Datei
    • Urheber der Datei


Wie auch bei der PBAC verfügen die Administratoren hier über fein abgestimmte Kontrollen für den Zugriff auf Ressourcen, die auf Richtlinien und Regeln basieren. Ebenso wie der PBAC sind die Methoden der ABAC zwar leistungsfähiger und flexibler als bei der RBAC, aber oft auch komplexer und teurer in der Implementierung.

 

Die Gemeinsamkeiten und Unterschiede von RBAC, PBAC und ABAC

 

Die wichtigsten Gemeinsamkeiten und Unterschieden zwischen diesen drei Autorisierungsmethoden sind folgende:

 

  • Der Zugriff wird bei der RBAC anhand von Benutzerrollen, bei der PBAC auf der Grundlage von Richtlinien und bei der ABAC ausgehend von Attributen oder Merkmalen der Benutzer, Ressourcen und Umgebungen gewährt, die an der Anmeldung beteiligt sind.
     

  • PBAC und ABAC bieten einen feiner abgestimmten, dynamischen Ansatz für die Autorisierung als die RBAC und sind komplexer und teurer in der Implementierung. Sie kommen allerdings auch mit mehr Sicherheit, Flexibilität, verbesserter Kundenerfahrung und besserer Einhaltung gesetzlicher Vorschriften daher als die RBAC, deren Design nicht für eine vergleichbare Governance des Datenzugriffs und Autorisierung vorgesehen ist.

  • Während sich die PBAC beim Gewähren oder Verweigern des Ressourcenzugriffs auf Richtlinien stützt, konzentriert sich die ABAC auf die spezifischen Attribute, welche die Richtlinien beeinflussen.
     

Privilegierte Zugriffssteuerung (Privileged-Access-Management, PAM)


Die Privilegierte Zugriffssteuerung (PAM) nutzt eine Kombination aus Menschen, Verfahren und Technologie, um die Funktionen von Administratoren und Power-Usern abzusichern und gegen diejenigen zu schützen, die ein System über ein privilegiertes Konto sabotieren könnten.


Bei jedem technischen System wird die Sicherheit dadurch gewahrt, dass den Anwendern unterschiedliche Zugriffsebenen zugewiesen werden. Das Prinzip der geringsten Privilegien (Principle of least Privilege, POLP) schreibt vor, Standardbenutzern nur und ausschließlich den Mindestzugang zu den Rollen und Berechtigungen zu erteilen, die für die Ausführung ihrer Aufgaben erforderlich sind.


Administratoren haben die Befugnis, die gesamte Umgebung betreffende, wesentliche Änderungen vorzunehmen, wie z. B. Benutzer hinzuzufügen oder zu löschen, Hardware und Software zu aktualisieren und zu installieren, Fehler zu beheben, Daten zu sichern und die Netzwerksicherheit zu verwalten.

 

Da Administratoren eine Netzwerkumgebung stark modifizieren können, sollten nur die vertrauenswürdigsten Nutzer Zugriff auf diese Art von Konten haben. Die PAM ist eine Form der rollenbasierten Zugriffskontrolle (RBAC) und fungiert als zentrale Komponente in einem umfassenden Sicherheitsprotokoll für das Identitäts- und Access-Management (IAM).

Wie funktioniert die PAM?


Nutzer mit privilegiertem Zugang haben Zugriff auf hochsensible und zugangsbeschränkte Bereiche eines Technologiesystems, die normalen Benutzern vorenthalten werden. Wenn eine Person mit böswilliger Absicht Zugriff auf ein privilegiertes Konto erhält, kann sie dem System verheerende Schäden zufügen, die sowohl die Sicherheit als auch den Betrieb in Mitleidenschaft ziehen.


Das PAM-Konzept schützt vor dieser Gefahr, indem es bei privilegierten Konten zusätzliche Sicherheitsebenen einfügt. Es kann auf verschiedene Weisen zum Einsatz kommen:
 

  • Einheitliche Durchsetzung der Multi-Faktor-Authentifizierung (MFA) und zusätzliche Authentifizierungsebenen für privilegierte Nutzer

  • UHäufige Überprüfung der Aktivitäten privilegierter Nutzer durch andere Administratorkonten

  • Speicherung der Anmeldedaten privilegierter Nutzer in hochsicheren Passwort-Tresoren

  • Ein starkes System zur Überwachung, Protokollierung, Prüfung und Berichterstattung von Benutzersitzungen, um anomale Aktivitäten automatisch zu markieren
     

Verwandte Ressourcen:

Blog
Rollenbasierte Zugriffskontrolle (RBAC) vs. Attributbasierte Zugriffskontrolle (ABAC): Was ist der Unterschied?

   

Blog
Was ist das Prinzip der geringsten Privilegien (PoLP)?

   

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.