Das Thema Da­ten­schutz gewinnt zunehmend an Bedeutung und ist in den Medien all­ge­gen­wär­tig. Vor allem für Un­ter­neh­men ist eine um­fas­sen­de Si­cher­heits­stra­te­gie Vor­aus­set­zung, um Kun­den­da­ten sowie un­ter­neh­mens­in­ter­ne In­for­ma­tio­nen vor un­be­fug­tem Aufruf oder un­er­wünsch­ter Ver­wen­dung zu schützen. Daher erhält jeder Nutzer ein­ge­schränk­te Zu­griffs­be­rech­ti­gun­gen, die beim Aufruf von Daten überprüft werden.

Zur Umsetzung und Pflege dieser Zu­griffs­kon­trol­le stehen ver­schie­de­ne Modelle zur Auswahl, darunter Mandatory Access Control. Dieses Modell wird auch in Bereichen wie Politik oder Militär ein­ge­setzt, in denen der ma­ni­pu­la­ti­ons­si­che­re Schutz von Daten von besonders großer Bedeutung ist. Wir erklären die Funk­ti­ons­wei­se der re­gel­ba­sier­ten Zu­griffs­kon­trol­le und zeigen die Vor- und Nachteile dieses Modells.

Was ist Mandatory Access Control?

Um Daten und Sys­tem­ein­stel­lun­gen vor un­be­fug­tem Zugriff oder Än­de­run­gen zu schützen, vergeben Un­ter­neh­men in der Regel nur jene Rechte, die ein Nutzer unbedingt zur Ausübung seiner Tätigkeit benötigt. Die De­fi­ni­ti­on und Vergabe von Zu­griffs­be­rech­ti­gun­gen gestaltet sich jedoch schon bei mit­tel­gro­ßen Un­ter­neh­men komplex: Jeder Betrieb un­ter­teilt sich in ver­schie­de­ne Bereiche, ty­pi­scher­wei­se eine Fi­nanz­ab­tei­lung, eine Mar­ke­ting­ab­tei­lung und eine Per­so­nal­ab­tei­lung. Mit­ar­bei­ter dieser Ab­tei­lun­gen benötigen un­ter­schied­li­che Zu­griffs­rech­te, um ihren Tä­tig­kei­ten nach­zu­ge­hen. Zu­sätz­lich brauchen einzelne Mit­ar­bei­ter in­di­vi­du­el­le Er­wei­te­run­gen ihrer Rechte, abhängig von ihrer genauen Funktion. Für die effektive Umsetzung und Kontrolle dieser Zu­griffs­be­rech­ti­gun­gen wurden ver­schie­de­ne Si­cher­heits­stra­te­gien ent­wi­ckelt, so auch Mandatory Access Control, kurz MAC, übersetzt „zwingend er­for­der­li­che Zu­gangs­kon­trol­le“. Bei dieser Strategie erhält jeder Nutzer nur auf jene Res­sour­cen im Da­tei­sys­tem Zugriff, die er unbedingt benötigt. Der Begriff „zwingend“ im­pli­ziert bereits, dass die Zu­griffs­kon­trol­le re­gel­ba­siert ist und ein­ge­hal­ten werden muss.

Fakt

Zu Res­sour­cen zählen Objekte, Dateien oder IT-Systeme.

Die Or­ga­ni­sa­ti­on von Zu­griffs­be­rech­ti­gun­gen bei MAC

Die Fest­le­gung der Zu­griffs­be­rech­ti­gun­gen un­ter­liegt einer zentralen Ver­wal­tung. Meist erfolgt diese durch eine Person in der Or­ga­ni­sa­ti­on, die aus­rei­chend Kenntnis über die Aufgaben von Nutzern hat. Das stellt sicher, dass alle Mit­ar­bei­ter ihren Tä­tig­kei­ten un­ein­ge­schränkt nachgehen können und nicht durch fehlende Be­rech­ti­gun­gen ein­ge­schränkt sind. In Un­ter­neh­men über­neh­men diese Aufgabe meist Sys­tem­ad­mi­nis­tra­to­ren. Durch­set­zung und laufende Ak­tua­li­sie­rung erfolgen in der Regel au­to­ma­ti­siert durch das Be­triebs­sys­tem oder einen Security-Kernel. Versucht ein Anwender Zugriff auf Daten zu erhalten, gibt das System die Anfrage entweder frei oder ver­wei­gert diese. Der Vorteil der au­to­ma­ti­sier­ten Umsetzung ist der best­mög­li­che Aus­schluss einer Ma­ni­pu­la­ti­on.

Die Ent­schei­dun­gen über Zu­griffs­be­rech­ti­gun­gen werden auf Basis folgender Faktoren fest­ge­legt:

  • Benutzer und Prozesse
  • Objekte: die Ressource, auf die zu­ge­grif­fen wird
  • Regeln und Ei­gen­schaf­ten: Ka­te­go­ri­sie­run­gen, Labels, Code-Wörter

Mandatory Access Control verfolgt einen hier­ar­chi­schen Ansatz: Jedem Objekt eines Da­tei­sys­tems wird eine Si­cher­heits­stu­fe zu­ge­ord­net, je nach Sen­si­bi­li­tät der Daten. Typische Si­cher­heits­stu­fen sind „ver­trau­lich“ oder „streng geheim“. Dieselbe Ein­stu­fung erhalten auch Anwender und Geräte. Versucht ein Anwender auf eine Ressource zu­zu­grei­fen, erfolgt eine au­to­ma­ti­sier­te Über­prü­fung, ob der Zugriff gestattet oder abgelehnt wird. Zu­sätz­lich werden alle In­for­ma­tio­nen und Nutzer einer Kategorie zugeteilt. Auch diese Über­ein­stim­mung prüft das System au­to­ma­tisch bei einem ver­such­ten Aufruf. Ein Nutzer muss beide Kriterien – Si­cher­heits­stu­fe und Kategorie – erfüllen, um Daten aufrufen zu können.

Hinweis

Role Based Access Control ist ein al­ter­na­ti­ves Si­cher­heits­mo­dell, das Ar­beits­pro­zes­se in Rollen abs­tra­hiert und darauf basierend Zu­gangs­be­schrän­kun­gen vergibt.

Die Formen von Mandatory Access Control

Man un­ter­schei­det zwei Formen von Mandatory Access Control:

Multi-Level-Si­cher­heits­sys­te­me

Dieses Modell ist die ein­fa­che­re und ur­sprüng­li­che Form von MAC, die aus einer ver­ti­ka­len Glie­de­rung von Schutz- bzw. Si­cher­heits­stu­fen besteht. In­for­ma­tio­nen fließen nur innerhalb dieser Bereiche. Auch Nutzern wird eine Schutz­stu­fe zu­ge­ord­net; sie können dann nur auf dieselbe oder auf nied­ri­ge­re Stufen zugreifen.

Mul­ti­la­te­ra­le Si­cher­heits­sys­te­me

Diese Systeme sind komplexer und vergeben Zugriffe auf Basis von Segmenten, die einen Verband bilden. Diese bestehen wiederum aus Schutz­stu­fen und Code­wör­tern. Daraus ergibt sich ein ho­ri­zon­ta­les Si­cher­heits­sys­tem, das zu­sätz­li­che vertikale Schutz­stu­fen be­inhal­tet.

Was sind die Vorteile und Nachteile von MAC?

Mandatory Access Control zählt zu den si­chers­ten Zu­griffs­sys­te­men, da es nahezu ma­ni­pu­la­ti­ons­si­cher ist. Anders als bei RBAC haben Anwender bei MAC keine Mög­lich­keit, Än­de­run­gen vor­zu­neh­men. Die Kontrolle und Ein­hal­tung der Zu­griffs­be­rech­ti­gun­gen erfolgen voll­au­to­ma­ti­siert und vom System erzwungen. Dem­entspre­chend bietet Mandatory Access Control ein hohes Maß an Ver­trau­lich­keit. Des Weiteren zeichnet sich das System durch ein hohes Maß an In­te­gri­tät aus: Daten sind ohne aus­rei­chen­de Au­to­ri­sie­rung nicht mo­di­fi­zier­bar und dadurch vor Ma­ni­pu­la­tio­nen geschützt.

Die Umsetzung von MAC setzt jedoch eine de­tail­lier­te Planung voraus, und auch nach der Im­ple­men­tie­rung ist der Ver­wal­tungs­auf­wand hoch. Jede Zuordnung von Rechten zu Objekten und Nutzern bedingt eine laufende Prüfung und Ak­tua­li­sie­rung. Ebenfalls zu den laufenden War­tungs­ar­bei­ten zählen die Ergänzung von neuen Daten oder Nutzern sowie die Umsetzung von Än­de­run­gen bei der Ka­te­go­ri­sie­rung oder Klas­si­fi­zie­rung. Die Be­rech­ti­gung zur Durch­füh­rung dieser Aufgaben obliegt meist nur einer Person. Dies ga­ran­tiert zwar ein hohes Maß an Si­cher­heit, stellt jedoch für den Ad­mi­nis­tra­tor einen großen Aufwand dar.

Wo wird MAC ein­ge­setzt?

Das hohe Maß an Ver­trau­lich­keit und In­te­gri­tät führt dazu, dass Mandatory Access Control beim Umgang mit sensiblen Daten und in be­son­de­ren si­cher­heits­kri­ti­schen Um­ge­bun­gen ein­ge­setzt wird. Dazu zählen ty­pi­scher­wei­se das Militär, Behörden, die Politik, der Au­ßen­han­del, die Ge­sund­heits­bran­che oder auch der Nach­rich­ten­dienst. Doch auch in normalen Un­ter­neh­mens­kon­tex­ten findet MAC Anwendung. Das Be­triebs­sys­tem Security-Enhanced Linux (SELinux) basiert bei­spiels­wei­se auf einer Im­ple­men­tie­rung von MAC im Linux-Kernel.

Hinweis

SELinux kennt noch zwei weitere Im­ple­men­tie­run­gen: Type-En­force­ment (TE) sowie Role Based Access Control (RBAC).

Zum Hauptmenü