Dieser Artikel vermittelt ein grundlegendes Verständnis von RBAC im Vergleich zu ABAC. Sie erfahren, was diese Ansätze sind, welchen Zweck sie erfüllen und wie sie funktionieren. Darüber hinaus werden die Unterschiede zwischen RBAC und ABAC erläutert sowie die jeweiligen Vor- und Nachteile erörtert.
Was ist RBAC (rollenbasierte Zugriffskontrolle)?
Die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) ist eine Lösung im Bereich Identitäts- und Zugriffsmanagement (IAM) , die IT-Ressourcen (z. B. Daten, Cloud-Systeme, Server, Datenbanken, Cluster und Netzwerke) vor unbefugtem Zugriff durch Systeme oder Nutzer schützt. Der RBAC-Ansatz erlaubt Zugriffe und Aktionen (z. B. Lesen, Schreiben oder Teilen) basierend auf der Rolle eines Nutzers. Jeder Nutzer, dem eine Rolle zugewiesen wurde, erhält automatisch die damit verbundenen Privilegien. Für den Zugriff auf verschiedene Ressourcen werden separate Rollen erstellt, wobei einem Nutzer auch mehrere Rollen zugewiesen werden können.
Kernelemente von RBAC-Systemen umfassen:
- Administratoren: Identifizieren Rollen, gewähren Berechtigungen und verwalten das RBAC-System.
- Rollen: Nutzer werden basierend auf den von ihnen ausgeführten Aufgaben gruppiert.
- Berechtigungen: Aktionen, die jeder Rolle zugewiesen sind und festlegen, was Nutzer tun dürfen und was nicht (z. B. Zugriff, Lesen, Schreiben, Teilen oder Löschen).
Rollen können definiert werden durch:
- Befugnisse: Wie etwa Administrator, spezialisierter Nutzer, Endnutzer, Direktor, Manager oder Praktikant.
- Kompetenz: Zum Beispiel Fachkraft im Vergleich zu einem Einsteiger.
- Verantwortung: Ein Beispiel wäre ein Vorstandsmitglied im Vergleich zum CEO. Beide befinden sich auf der gleichen Ebene der Organisationshierarchie, hätten aber aufgrund ihrer unterschiedlichen Verantwortlichkeiten verschiedene Zugriffsberechtigungen.
Beispiele für Rollen in RBAC-Zugriffskontrollrichtlinien:
- Kreditorenbuchhaltung: Nutzer, die für die Abwicklung der Rechnungsstellung zuständig sind.
- Administration: Nutzer, die administrative Aufgaben durchführen.
- Hauptansprechpartner: Der primäre Kontakt für ein spezifisches Konto oder eine Rolle.
- Technischer Support: Nutzer, die Helpdesk-Anfragen bearbeiten.
Was ist ABAC (attributbasierte Zugriffskontrolle)?
Wie RBAC ist auch die attributbasierte Zugriffskontrolle (ABAC) eine Cybersicherheitslösung, die IT-Ressourcen (z. B. Daten, Cloud-Systeme, Server, Datenbanken, Cluster und Netzwerke) vor unbefugtem Zugriff durch Systeme oder Nutzer schützt.
ABAC gilt als Weiterentwicklung von RBAC und bewertet zur Festlegung von Zugriffsrechten Merkmale statt Rollen.
Dabei kommt boolesche Logik zum Einsatz, um Nutzerzugriffe zu erlauben oder zu verweigern – auf Basis einer dynamischen Bewertung von Attributen und ihrer Beziehungen zueinander.
Zu den Attributkombinationen, die ABAC zur Zugriffskontrolle nutzt, gehören:
ABAC-Aktionsattribute
ABAC-Aktionsattribute beschreiben die Aktion im Zusammenhang mit dem System oder der Anwendung, auf die zugegriffen wird (d. h. was der Nutzer mit der Ressource bzw. dem Objekt tun möchte). In komplexen Fällen können mehrere Attribute eine Aktion beschreiben.
Zu den ABAC-Aktionsattributen, die zur Validierung von Zugriffsanfragen genutzt werden, zählen:
- Genehmigen
- Kopieren
- Löschen
- Bearbeiten
- Lesen
- Übertragen
- Anzeigen
- Schreiben
ABAC-Umgebungs- oder Kontextattribute
ABAC-Umgebungs- oder Kontextattribute beschreiben den übergeordneten Kontext, in dem ein Zugriff angefordert wird, zum Beispiel:
- Zugriffsort
- Zugriffszweck
- Kommunikationsprotokoll
- Verschlüsselungsstärke
- Normale Verhaltensmuster
- Anzahl der Transaktionen innerhalb der letzten 24 Stunden
- Beziehungen zu einem Dritten
- Gerät des Subjekts (z. B. Laptop, Tablet oder Smartphone)
- Bedrohungsstufen
ABAC-Ressourcen- oder Objektattribute
ABAC-Ressourcen- oder Objektattribute beschreiben das Zugriffsziel. Zu den Merkmalen von Ressourcen oder Objekten gehören:
- Alle identifizierenden Ressourcen- oder Objekteigenschaften, etwa Erstellungsdatum, Eigentümerschaft, Dateiname und -typ sowie die Datensensibilität.
- Der Ressourcen- oder Objekttyp, zum Beispiel Datei, Anwendung, Server oder Application-Programming-Interface (API).
ABAC-Subjekt- oder Benutzerattribute
ABAC-Subjekt- oder Benutzerattribute werden häufig aus Authentifizierungs-Token beim Login, aus Personalmanagement-Systemen oder aus Benutzer-Verzeichnissen erfasst. Diese Attribute beschreiben den Benutzer, der versucht, auf eine Ressource zuzugreifen.
ABAC-Subjekt- oder Benutzerattribute können unter anderem folgende Informationen über einen Benutzer umfassen:
- Alter
- Abteilungs- und Organisationszugehörigkeiten
- Gruppenmitgliedschaften
- Rollen
- Berufsbezeichnung
- Führungsebene
- Name
- Staatsangehörigkeit
- Organisation
- Sicherheitsfreigabe
- Benutzer-ID
Unterschiede zwischen RBAC und ABAC
Die rollenbasierte Zugriffskontrolle und die attributbasierte Zugriffskontrolle (ABAC) unterscheiden sich in ihrem Ansatz.
| RBAC | ABAC |
|---|---|
| -Gewährt Zugriff anhand vordefinierter Rollen, z. B. Administrator oder Manager. -Steuert breiten Zugriff. -Berücksichtigt Attribute wie Jobtitel und Seniorität. | -Gewährt Zugriff anhand von Attributen zu Benutzer, Umgebung, Aktionen und Ressourcen. -Steuert feingranularen Zugriff. -Berücksichtigt Attribute wie Benutzertypen, Tageszeit und Standort. |
RBAC vs. ABAC: Vor- und Nachteile
Ein Vergleich von RBAC und ABAC zeigt verschiedene Vor- und Nachteile, unter anderem die folgenden.
| RBAC vs. ABAC – Vorteile von RBAC | RBAC vs. ABAC – Nachteile von RBAC |
|---|---|
| Der am häufigsten genannte Vorteil von RBAC ist die Einfachheit: Rollen sind klar definiert und leicht umzusetzen. Weitere Vorteile von RBAC sind: -Der Verwaltungsaufwand ist gering. -RBAC benötigt nur wenig Rechenleistung. -Zugriffs-Hierarchien lassen sich abbilden (z. B. erhalten Führungskräfte automatisch alle Rechte ihrer direkt unterstellten Mitarbeitenden). -RBAC-Implementierungen sind in der Regel kostengünstig. | Als häufigster Nachteil von RBAC gilt die sogenannte Rollenexplosion: Um einen vollständigen Zugriff abzubilden, müssen immer mehr Rollen angelegt werden. Weitere Nachteile von RBAC sind: -RBAC erfordert eine abteilungsübergreifende Zusammenarbeit. -Administratoren müssen das Geschäft und die zugrunde liegende Infrastruktur, die es unterstützt, genau verstehen. Die Übersetzung von Nutzeranforderungen in Rollen kann komplex sein. -Administratoren weisen Personen mitunter unpassenden Rollen zu oder legen neue Rollen entgegen der Richtlinie an – mit den Folgen Privilegienausweitung, Rollenexplosion und Sicherheitslücken. |
| RBAC vs. ABAC – Vorteile von ABAC | RBAC vs. ABAC – Nachteile von ABAC |
|---|---|
| Als häufigster Vorteil von ABAC gilt die klar definierte Steuerung. Weitere Vorteile von ABAC sind: -Administratoren können zahlreiche Variablen definieren, erweitern und verwalten – und so ein hohes Maß an Kontrolle erreichen. -Es lassen sich sehr spezifische und feingranulare Richtlinien für die Zugriffskontrolle entwickeln. -Beim Formulieren von Regeln können Administratoren aus einer großen Anzahl an Attributen wählen. -Bestehende Regeln müssen nicht angepasst werden, um neue Nutzer oder Use-Cases abzudecken. | Als häufigster Nachteil von ABAC gilt der Zeitaufwand, der für den Betrieb erforderlich ist. Weitere Nachteile von ABAC sind: -Variablen zu definieren und Richtlinien für die Zugriffskontrolle zu konfigurieren, ist mit erheblichem Aufwand verbunden – insbesondere zu Beginn. -Es gibt nur begrenzt Ressourcen mit der erforderlichen Expertise, um ABAC-Lösungen zu verwalten. -ABAC-Systeme können in der Verwaltung anspruchsvoll und zeitintensiv sein. -Die hohe Granularität erhöht die Komplexität. |
Wann Sie RBAC statt ABAC einsetzen sollten
Typische Einsatzszenarien für RBAC und ABAC:
RBAC eignet sich für Unternehmen mit folgenden Merkmalen:
- Kleine und mittlere Unternehmen mit wenigen externen Nutzenden.
- Zugriffskontrollrichtlinien können eher breit gefasst sein.
- Rollen sind klar definiert.
ABAC eignet sich für Unternehmen mit folgenden Merkmalen:
- Großunternehmen mit vielen verteilten Nutzenden.
- Es werden tiefgehende, spezifische Funktionen für die Zugriffskontrolle benötigt.
- Eine robuste Zugriffskontrolle ist erforderlich, um Compliance-Anforderungen zu erfüllen.
RBAC und ABAC kombiniert einsetzen
Für Großunternehmen mit entsprechenden Ressourcen kann die Kombination aus RBAC und ABAC eine wirksame Verteidigung gegen Cyberbedrohungen sein. Auch wenn RBAC und ABAC unterschiedlich funktionieren, lassen sie sich gemeinsam einsetzen. Administratoren können mit RBAC einer Rolle statische Zugriffsrechte auf bestimmte Ressourcen zuweisen und mit ABAC dynamische Zugriffsrichtlinien nutzen, um feingranularen Zugriff zu definieren und durchzusetzen.
