Mandatory Access Control (MAC): Wie funktioniert die regelbasierte Zugriffskontrolle?

Das Thema Datenschutz gewinnt zunehmend an Bedeutung und ist in den Medien allgegenwärtig. Vor allem für Unternehmen ist eine umfassende Sicherheitsstrategie Voraussetzung, um Kundendaten sowie unternehmensinterne Informationen vor unbefugtem Aufruf oder unerwünschter Verwendung zu schützen. Daher erhält jeder Nutzer eingeschränkte Zugriffsberechtigungen, die beim Aufruf von Daten überprüft werden.

Zur Umsetzung und Pflege dieser Zugriffskontrolle stehen verschiedene Modelle zur Auswahl, darunter Mandatory Access Control. Dieses Modell wird auch in Bereichen wie Politik oder Militär eingesetzt, in denen der manipulationssichere Schutz von Daten von besonders großer Bedeutung ist. Wir erklären die Funktionsweise der regelbasierten Zugriffskontrolle und zeigen die Vor- und Nachteile dieses Modells.

Um Daten und Systemeinstellungen vor unbefugtem Zugriff oder Änderungen zu schützen, vergeben Unternehmen in der Regel nur jene Rechte, die ein Nutzer unbedingt zur Ausübung seiner Tätigkeit benötigt. Die Definition und Vergabe von Zugriffsberechtigungen gestaltet sich jedoch schon bei mittelgroßen Unternehmen komplex: Jeder Betrieb unterteilt sich in verschiedene Bereiche, typischerweise eine Finanzabteilung, eine Marketingabteilung und eine Personalabteilung. Mitarbeiter dieser Abteilungen benötigen unterschiedliche Zugriffsrechte, um ihren Tätigkeiten nachzugehen. Zusätzlich brauchen einzelne Mitarbeiter individuelle Erweiterungen ihrer Rechte, abhängig von ihrer genauen Funktion. Für die effektive Umsetzung und Kontrolle dieser Zugriffsberechtigungen wurden verschiedene Sicherheitsstrategien entwickelt, so auch Mandatory Access Control, kurz MAC, übersetzt „zwingend erforderliche Zugangskontrolle“. Bei dieser Strategie erhält jeder Nutzer nur auf jene Ressourcen im Dateisystem Zugriff, die er unbedingt benötigt. Der Begriff „zwingend“ impliziert bereits, dass die Zugriffskontrolle regelbasiert ist und eingehalten werden muss.

Die Festlegung der Zugriffsberechtigungen unterliegt einer zentralen Verwaltung. Meist erfolgt diese durch eine Person in der Organisation, die ausreichend Kenntnis über die Aufgaben von Nutzern hat. Das stellt sicher, dass alle Mitarbeiter ihren Tätigkeiten uneingeschränkt nachgehen können und nicht durch fehlende Berechtigungen eingeschränkt sind. In Unternehmen übernehmen diese Aufgabe meist Systemadministratoren. Durchsetzung und laufende Aktualisierung erfolgen in der Regel automatisiert durch das Betriebssystem oder einen Security-Kernel. Versucht ein Anwender Zugriff auf Daten zu erhalten, gibt das System die Anfrage entweder frei oder verweigert diese. Der Vorteil der automatisierten Umsetzung ist der bestmögliche Ausschluss einer Manipulation.

Die Entscheidungen über Zugriffsberechtigungen werden auf Basis folgender Faktoren festgelegt:

• Benutzer und Prozesse
• Objekte: die Ressource, auf die zugegriffen wird
• Regeln und Eigenschaften: Kategorisierungen, Labels, Code-Wörter

Mandatory Access Control verfolgt einen hierarchischen Ansatz: Jedem Objekt eines Dateisystems wird eine Sicherheitsstufe zugeordnet, je nach Sensibilität der Daten. Typische Sicherheitsstufen sind „vertraulich“ oder „streng geheim“. Dieselbe Einstufung erhalten auch Anwender und Geräte. Versucht ein Anwender auf eine Ressource zuzugreifen, erfolgt eine automatisierte Überprüfung, ob der Zugriff gestattet oder abgelehnt wird. Zusätzlich werden alle Informationen und Nutzer einer Kategorie zugeteilt. Auch diese Übereinstimmung prüft das System automatisch bei einem versuchten Aufruf. Ein Nutzer muss beide Kriterien – Sicherheitsstufe und Kategorie – erfüllen, um Daten aufrufen zu können.

Man unterscheidet zwei Formen von Mandatory Access Control:

Dieses Modell ist die einfachere und ursprüngliche Form von MAC, die aus einer vertikalen Gliederung von Schutz- bzw. Sicherheitsstufen besteht. Informationen fließen nur innerhalb dieser Bereiche. Auch Nutzern wird eine Schutzstufe zugeordnet; sie können dann nur auf dieselbe oder auf niedrigere Stufen zugreifen.

Diese Systeme sind komplexer und vergeben Zugriffe auf Basis von Segmenten, die einen Verband bilden. Diese bestehen wiederum aus Schutzstufen und Codewörtern. Daraus ergibt sich ein horizontales Sicherheitssystem, das zusätzliche vertikale Schutzstufen beinhaltet.

Mandatory Access Control zählt zu den sichersten Zugriffssystemen, da es nahezu manipulationssicher ist. Anders als bei RBAC haben Anwender bei MAC keine Möglichkeit, Änderungen vorzunehmen. Die Kontrolle und Einhaltung der Zugriffsberechtigungen erfolgen vollautomatisiert und vom System erzwungen. Dementsprechend bietet Mandatory Access Control ein hohes Maß an Vertraulichkeit. Des Weiteren zeichnet sich das System durch ein hohes Maß an Integrität aus: Daten sind ohne ausreichende Autorisierung nicht modifizierbar und dadurch vor Manipulationen geschützt.

Die Umsetzung von MAC setzt jedoch eine detaillierte Planung voraus, und auch nach der Implementierung ist der Verwaltungsaufwand hoch. Jede Zuordnung von Rechten zu Objekten und Nutzern bedingt eine laufende Prüfung und Aktualisierung. Ebenfalls zu den laufenden Wartungsarbeiten zählen die Ergänzung von neuen Daten oder Nutzern sowie die Umsetzung von Änderungen bei der Kategorisierung oder Klassifizierung. Die Berechtigung zur Durchführung dieser Aufgaben obliegt meist nur einer Person. Dies garantiert zwar ein hohes Maß an Sicherheit, stellt jedoch für den Administrator einen großen Aufwand dar.

Das hohe Maß an Vertraulichkeit und Integrität führt dazu, dass Mandatory Access Control beim Umgang mit sensiblen Daten und in besonderen sicherheitskritischen Umgebungen eingesetzt wird. Dazu zählen typischerweise das Militär, Behörden, die Politik, der Außenhandel, die Gesundheitsbranche oder auch der Nachrichtendienst. Doch auch in normalen Unternehmenskontextenfindet MAC Anwendung. Das Betriebssystem Security-Enhanced Linux (SELinux) basiert beispielsweise auf einer Implementierung von MAC im Linux-Kernel.