Role Based Access Control (RBAC): Wie funktioniert die rollenbasierte Zugriffskontrolle?

Unternehmen und Organisationen vergeben innerhalb ihres IT-Systems nur jene Zugriffsberechtigungen an Nutzer, die diese auch tatsächlich zur Ausführung ihrer Tätigkeit benötigen. Das schützt sensible Daten vor unbefugtem Zugriff und unerwünschten Änderungen. Um die Sicherheit in großen Organisationen zu gewährleisten, werden individuelle Zugriffsberechtigungen in einer sogenannten Access Control List (ACL) definiert. Der Nachteil: Je größer die Anzahl der Nutzer, desto wartungsintensiver und fehleranfälliger ist die Vergabe von individuellen Berechtigungen. Eine flexible und zugleich effiziente Alternative ist die rollenbasierte Zugriffskontrolle: Role Based Access Control, kurz RBAC.

Role Based Access Control, kurz RBAC, bedeutet übersetzt „rollenbasierte Zugriffskontrolle“. Dieses Sicherheits- und Berechtigungskonzept ermöglicht in der IT-Infrastruktur einer Organisation die Vergabe von Rollen und Berechtigungen. Entscheidend ist der Begriff „rollenbasiert“, der RBAC von anderen Sicherheitskonzepten abhebt, etwa von Mandatory Access Control. Bei diesem Modell ordnet ein Systemadministrator jedem Nutzer und Objekt eine Sicherheitsstufe und Kategorie zu. Das Betriebssystem gleicht die beiden Stufen automatisiert miteinander ab und gewährt anschließend den Zugriff oder lehnt diesen ab.

Bei RBAC werden Zugriffsrechte anhand eines definierten Rollenmodells vergeben. Die festgelegten Benutzerrollen abstrahieren die Arbeitsprozesse in einer Organisation und variieren daher von Unternehmen zu Unternehmen. Mögliche Anhaltspunkte für eine zweckdienliche Aufteilung sind Abteilungen, Standorte, Kostenstellen oder Funktionen eines Mitarbeiters.

Bevor das RBAC-Berechtigungskonzept in einem Unternehmen umsetzbar ist, werden die Rechte einer Rolle so detailliert wie möglich spezifiziert. Dies umfasst die präzise Festlegung der Berechtigungen in folgenden Bereichen:

• Änderungsrechte an Daten (Read, Read and Write, Full Access)
• Zugriffsrechte auf Unternehmensanwendungen
• Berechtigungen innerhalb der Anwendungen

Um die Vorteile des RBAC-Modells voll auszunutzen, steht die Erstellung des Rollen- und Berechtigungskonzepts immer an erster Stelle. Darin überführt die Organisation alle Funktionen von Mitarbeitern in Rollen, die entsprechende Zugriffsrechte definieren. Im zweiten Schritt werden die Rollen entsprechend den Aufgaben den Mitarbeitern zugeteilt. Role Based Access Control erlaubt die Zuordnung von einer oder mehreren Rollen pro Nutzer. Dies ermöglicht auch innerhalb des Rollenmodells eine individuelle Vergabe von Zugriffsberechtigungen. Ziel dieser Zuteilung ist, dass die erlaubten Zugriffe die Tätigkeiten eines Nutzers ohne weitere Anpassungen ermöglichen.

Die Implementierung und Überwachung von RBAC erfolgt über ein Identity Access Management System, kurz IAM (dt.: Identitätsmanagement-System, kurz IDM). Dieses System unterstützt vor allem Unternehmen mit großer Mitarbeiterzahl bei der Erfassung, Kontrolle und Aktualisierung aller Identitäten und Zugriffsrechte. Die Vergabe von Berechtigungen wird als „Provisioning“, der Entzug als „De-Provisioning“ bezeichnet. Voraussetzung zur Nutzung eines solchen Systems ist die Erstellung eines einheitlichen und standardisierten Rollenkonzepts.

Role Based Access Control baut auf einer dreistufigen Gliederung aus Benutzern, Rollen und Gruppen auf. Beim sogenannten Role-Mining definieren Organisationen Rollen, die sich in der Regel an der Organisationsstruktur des Unternehmens orientieren. Anschließend werden jedem Mitarbeiter eine oder mehrere Rollen zugeordnet, die wiederum eine oder mehrere Zugriffsberechtigungen umfassen. An eine Rolle sind zudem eine oder mehrere Gruppen gebunden, die nicht unbedingt mit ihr gleichzusetzen sind.

Für die Erstellung eines Rollenkonzepts bietet sich in den meisten Fällen der Pyramiden-Ansatz an:

An der Spitze sind jene Berechtigungen definiert, die jeder Mitarbeiter der Organisation benötigt. Dazu zählen klassischerweise Zugriff auf das Intranet, die Office-Suite, den E-Mail-Client, das gemeinsame Netzwerkverzeichnis oder die Anmeldung über das Active Directory.

In einer Organisation gehen Mitarbeiter einer Abteilung Tätigkeiten in einem ähnlichen Bereich nach. So benötigt die Finanzabteilung Zugriff auf das ERP-System und auf das Abteilungslaufwerk, die HR-Abteilung wiederum benötigt Zugriff auf alle Mitarbeiterdaten. Die entsprechenden Berechtigungen werden an alle Mitarbeiter einer Abteilung vergeben.

Abhängig von der Funktion der Mitarbeiter und den damit verbundenen Aufgaben werden weitere Berechtigungen definiert.

In vielen Fällen gehen Mitarbeiter Tätigkeiten nach, die bisher nicht durch die Abfrage der Abteilung und der Funktion abgedeckt wurden. Daher teilt die Organisation zuletzt jedem Mitarbeiter weitere Rollen zu, die er entsprechend seiner tatsächlichen Aufgaben benötigt.

Um Rollen zu definieren und zu vergeben, benötigt eine Organisation vollständige und aktuelle Mitarbeiterdaten. Diese sind vor allem in größeren Unternehmen im HR-System detailliert protokolliert. Bei der Erstellung eines Rollen- und Berechtigungskonzepts ist es empfehlenswert, auch jene Rollen zu berücksichtigen, die zum aktuellen Zeitpunkt eventuell noch nicht besetzt werden. Typischerweise sind das Praktikanten in einer Abteilung oder seit längerem unbesetzte Stellen.

Unter bestimmten Voraussetzungen hat sich Role Based Access Control als Best-Practice-Modell etabliert. Ist das Rollen- und Berechtigungskonzept unternehmensweit verbindlich definiert und umgesetzt, bietet RBAC zahlreiche Vorteile:

• Flexibilität: Das Unternehmen teilt einem Mitarbeiter je nach Bedarf nur eine oder mehrere Rollen zu. Änderungen in der Organisationsstruktur oder den Berechtigungen sind schnell auf alle Mitarbeiter übertragen, indem das Unternehmen die entsprechende Rolle anpasst.
• Geringer Verwaltungsaufwand: RBAC macht die aufwendige Vergabe von Einzelberechtigungen obsolet.
• Geringe Fehleranfälligkeit: Einzelberechtigungen sind aufwendiger und auch fehleranfälliger als die Vergabe von rollenbasierten Zugriffsberechtigungen.
• Effizienzsteigerung: Durch reduzierten Aufwand und Fehleranfälligkeit steigt die Effizienz der IT und anderer Mitarbeiter. Manuelle Änderungen, Fehlerbehandlungen, Wartezeiten sowie die individuelle Beantragung von Rechten entfallen.
• Sicherheit: Zugriffsrechte sind ausschließlich über das Rollenkonzept definiert, was Überberechtigungen einzelner Mitarbeiter vermeidet. Dies entspricht dem PoLP-Prinzip – dem Principle of Least Privilege.
• Transparenz: Die Namensvergabe der Rollen ist meist leicht verständlich und stärkt Transparenz und Verständlichkeit bei den Nutzern.

Zu den Nachteilen von Role Based Access Control zählen:

• Arbeitsintensive Erstellung: Das Überführen der Organisationsstrukturen in das RBAC-Modell ist mit viel Aufwand verbunden.
• Temporäre Zuweisungen: Benötigt ein Nutzer nur vorübergehend erweiterte Zugriffsrechte, wird die Zuteilung bei RBAC leichter vergessen als bei einer individuellen Rechtevergabe.
• Anwendung: Bei kleinen Unternehmen wäre die Erstellung und Wartung von Rollen aufwendiger als die Zuteilung von individuellen Rechten. Daher kommt das RBAC-Modell erst ab einer gewissen Anzahl an Rollen und Mitarbeitern zum Einsatz. Doch auch bei großen Unternehmen hat Role Based Access Control den Nachteil, dass sich leicht eine große Anzahl an Rollen bildet. Hat ein Unternehmen zehn Abteilungen und zehn Rollen, resultieren daraus bereits 100 verschiedene Gruppen.

In vielen Organisationen hat sich Role Based Access Control als das beste Verfahren zur Verwaltung von Zugriffsberechtigungen etabliert. Doch auch in Betriebssystemen und anderer Software findet das RBAC-Modell Anwendung, beispielsweise beim Verzeichnisdienst der Microsoft Windows Server Active Directory, dem im Bereich Sicherheit optimierten Linux-Betriebssystem SELinux oder dem Unix-Betriebssystem Solaris.