Un­ter­neh­men und Or­ga­ni­sa­tio­nen vergeben innerhalb ihres IT-Systems nur jene Zu­griffs­be­rech­ti­gun­gen an Nutzer, die diese auch tat­säch­lich zur Aus­füh­rung ihrer Tätigkeit benötigen. Das schützt sensible Daten vor un­be­fug­tem Zugriff und un­er­wünsch­ten Än­de­run­gen. Um die Si­cher­heit in großen Or­ga­ni­sa­tio­nen zu ge­währ­leis­ten, werden in­di­vi­du­el­le Zu­griffs­be­rech­ti­gun­gen in einer so­ge­nann­ten Access Control List (ACL) definiert. Der Nachteil: Je größer die Anzahl der Nutzer, desto war­tungs­in­ten­si­ver und feh­ler­an­fäl­li­ger ist die Vergabe von in­di­vi­du­el­len Be­rech­ti­gun­gen. Eine flexible und zugleich ef­fi­zi­en­te Al­ter­na­ti­ve ist die rol­len­ba­sier­te Zu­griffs­kon­trol­le: Role Based Access Control, kurz RBAC.

Was ist RBAC?

Role Based Access Control, kurz RBAC, bedeutet übersetzt „rol­len­ba­sier­te Zu­griffs­kon­trol­le“. Dieses Si­cher­heits- und Be­rech­ti­gungs­kon­zept er­mög­licht in der IT-In­fra­struk­tur einer Or­ga­ni­sa­ti­on die Vergabe von Rollen und Be­rech­ti­gun­gen. Ent­schei­dend ist der Begriff „rol­len­ba­siert“, der RBAC von anderen Si­cher­heits­kon­zep­ten abhebt, etwa von Mandatory Access Control. Bei diesem Modell ordnet ein Sys­tem­ad­mi­nis­tra­tor jedem Nutzer und Objekt eine Si­cher­heits­stu­fe und Kategorie zu. Das Be­triebs­sys­tem gleicht die beiden Stufen au­to­ma­ti­siert mit­ein­an­der ab und gewährt an­schlie­ßend den Zugriff oder lehnt diesen ab.

Bei RBAC werden Zu­griffs­rech­te anhand eines de­fi­nier­ten Rol­len­mo­dells vergeben. Die fest­ge­leg­ten Be­nut­zer­rol­len abs­tra­hie­ren die Ar­beits­pro­zes­se in einer Or­ga­ni­sa­ti­on und variieren daher von Un­ter­neh­men zu Un­ter­neh­men. Mögliche An­halts­punk­te für eine zweck­dien­li­che Auf­tei­lung sind Ab­tei­lun­gen, Standorte, Kos­ten­stel­len oder Funk­tio­nen eines Mit­ar­bei­ters.

Die Funk­ti­ons­wei­se von Role Based Access Control

Bevor das RBAC-Be­rech­ti­gungs­kon­zept in einem Un­ter­neh­men umsetzbar ist, werden die Rechte einer Rolle so de­tail­liert wie möglich spe­zi­fi­ziert. Dies umfasst die präzise Fest­le­gung der Be­rech­ti­gun­gen in folgenden Bereichen:

  • Än­de­rungs­rech­te an Daten (Read, Read and Write, Full Access)
  • Zu­griffs­rech­te auf Un­ter­neh­mens­an­wen­dun­gen
  • Be­rech­ti­gun­gen innerhalb der An­wen­dun­gen

Um die Vorteile des RBAC-Modells voll aus­zu­nut­zen, steht die Er­stel­lung des Rollen- und Be­rech­ti­gungs­kon­zepts immer an erster Stelle. Darin überführt die Or­ga­ni­sa­ti­on alle Funk­tio­nen von Mit­ar­bei­tern in Rollen, die ent­spre­chen­de Zu­griffs­rech­te de­fi­nie­ren. Im zweiten Schritt werden die Rollen ent­spre­chend den Aufgaben den Mit­ar­bei­tern zugeteilt. Role Based Access Control erlaubt die Zuordnung von einer oder mehreren Rollen pro Nutzer. Dies er­mög­licht auch innerhalb des Rol­len­mo­dells eine in­di­vi­du­el­le Vergabe von Zu­griffs­be­rech­ti­gun­gen. Ziel dieser Zuteilung ist, dass die erlaubten Zugriffe die Tä­tig­kei­ten eines Nutzers ohne weitere An­pas­sun­gen er­mög­li­chen.

Die Im­ple­men­tie­rung und Über­wa­chung von RBAC erfolgt über ein Identity Access Ma­nage­ment System, kurz IAM (dt.: Iden­ti­täts­ma­nage­ment-System, kurz IDM). Dieses System un­ter­stützt vor allem Un­ter­neh­men mit großer Mit­ar­bei­ter­zahl bei der Erfassung, Kontrolle und Ak­tua­li­sie­rung aller Iden­ti­tä­ten und Zu­griffs­rech­te. Die Vergabe von Be­rech­ti­gun­gen wird als „Pro­vi­sio­ning“, der Entzug als „De-Pro­vi­sio­ning“ be­zeich­net. Vor­aus­set­zung zur Nutzung eines solchen Systems ist die Er­stel­lung eines ein­heit­li­chen und stan­dar­di­sier­ten Rol­len­kon­zepts.

Tipp

Self-Service-Portale geben Nutzern die Mög­lich­keit, ihre Be­rech­ti­gun­gen selbst zu ändern. Im Falle einer Änderung in­for­miert das System au­to­ma­tisch die Ad­mi­nis­tra­to­ren. Diese haben die Mög­lich­keit, die Än­de­run­gen sofort wieder rück­gän­gig zu machen.

Wie funk­tio­niert die Er­stel­lung eines RBAC?

Role Based Access Control baut auf einer drei­stu­fi­gen Glie­de­rung aus Benutzern, Rollen und Gruppen auf. Beim so­ge­nann­ten Role-Mining de­fi­nie­ren Or­ga­ni­sa­tio­nen Rollen, die sich in der Regel an der Or­ga­ni­sa­ti­ons­struk­tur des Un­ter­neh­mens ori­en­tie­ren. An­schlie­ßend werden jedem Mit­ar­bei­ter eine oder mehrere Rollen zu­ge­ord­net, die wiederum eine oder mehrere Zu­griffs­be­rech­ti­gun­gen umfassen. An eine Rolle sind zudem eine oder mehrere Gruppen gebunden, die nicht unbedingt mit ihr gleich­zu­set­zen sind.

Für die Er­stel­lung eines Rol­len­kon­zepts bietet sich in den meisten Fällen der Pyramiden-Ansatz an:

Die Spitze: Be­rech­ti­gun­gen für alle Mit­ar­bei­ter

An der Spitze sind jene Be­rech­ti­gun­gen definiert, die jeder Mit­ar­bei­ter der Or­ga­ni­sa­ti­on benötigt. Dazu zählen klas­si­scher­wei­se Zugriff auf das Intranet, die Office-Suite, den E-Mail-Client, das ge­mein­sa­me Netz­werk­ver­zeich­nis oder die Anmeldung über das Active Directory.

Die zweite Ebene: Ab­tei­lungs­zu­ge­hö­rig­keit

In einer Or­ga­ni­sa­ti­on gehen Mit­ar­bei­ter einer Abteilung Tä­tig­kei­ten in einem ähnlichen Bereich nach. So benötigt die Fi­nanz­ab­tei­lung Zugriff auf das ERP-System und auf das Ab­tei­lungs­lauf­werk, die HR-Abteilung wiederum benötigt Zugriff auf alle Mit­ar­bei­ter­da­ten. Die ent­spre­chen­den Be­rech­ti­gun­gen werden an alle Mit­ar­bei­ter einer Abteilung vergeben.

Die dritte Ebene: Funk­tio­nen

Abhängig von der Funktion der Mit­ar­bei­ter und den damit ver­bun­de­nen Aufgaben werden weitere Be­rech­ti­gun­gen definiert.

Tipp

Team­lei­ter kennen die Aufgaben ihrer eigenen Mit­ar­bei­ter am besten. Daher ist es ratsam, diese in die De­fi­ni­ti­on der Rollen mit­ein­zu­be­zie­hen. Über ein IAM-System lassen sich die Ge­neh­mi­gun­gen au­to­ma­ti­siert bei den Ab­tei­lungs­lei­tern abfragen und be­stä­ti­gen.

Das Fundament: Rollen

In vielen Fällen gehen Mit­ar­bei­ter Tä­tig­kei­ten nach, die bisher nicht durch die Abfrage der Abteilung und der Funktion abgedeckt wurden. Daher teilt die Or­ga­ni­sa­ti­on zuletzt jedem Mit­ar­bei­ter weitere Rollen zu, die er ent­spre­chend seiner tat­säch­li­chen Aufgaben benötigt.

Da­ten­quel­len für RBAC

Um Rollen zu de­fi­nie­ren und zu vergeben, benötigt eine Or­ga­ni­sa­ti­on voll­stän­di­ge und aktuelle Mit­ar­bei­ter­da­ten. Diese sind vor allem in größeren Un­ter­neh­men im HR-System de­tail­liert pro­to­kol­liert. Bei der Er­stel­lung eines Rollen- und Be­rech­ti­gungs­kon­zepts ist es emp­feh­lens­wert, auch jene Rollen zu be­rück­sich­ti­gen, die zum aktuellen Zeitpunkt eventuell noch nicht besetzt werden. Ty­pi­scher­wei­se sind das Prak­ti­kan­ten in einer Abteilung oder seit längerem un­be­setz­te Stellen.

Die Vor- und Nachteile von RBAC

Unter be­stimm­ten Vor­aus­set­zun­gen hat sich Role Based Access Control als Best-Practice-Modell etabliert. Ist das Rollen- und Be­rech­ti­gungs­kon­zept un­ter­neh­mens­weit ver­bind­lich definiert und umgesetzt, bietet RBAC zahl­rei­che Vorteile:

  • Fle­xi­bi­li­tät: Das Un­ter­neh­men teilt einem Mit­ar­bei­ter je nach Bedarf nur eine oder mehrere Rollen zu. Än­de­run­gen in der Or­ga­ni­sa­ti­ons­struk­tur oder den Be­rech­ti­gun­gen sind schnell auf alle Mit­ar­bei­ter über­tra­gen, indem das Un­ter­neh­men die ent­spre­chen­de Rolle anpasst.
  • Geringer Ver­wal­tungs­auf­wand: RBAC macht die auf­wen­di­ge Vergabe von Ein­zel­be­rech­ti­gun­gen obsolet.
  • Geringe Feh­ler­an­fäl­lig­keit: Ein­zel­be­rech­ti­gun­gen sind auf­wen­di­ger und auch feh­ler­an­fäl­li­ger als die Vergabe von rol­len­ba­sier­ten Zu­griffs­be­rech­ti­gun­gen.
  • Ef­fi­zi­enz­stei­ge­rung: Durch re­du­zier­ten Aufwand und Feh­ler­an­fäl­lig­keit steigt die Effizienz der IT und anderer Mit­ar­bei­ter. Manuelle Än­de­run­gen, Feh­ler­be­hand­lun­gen, War­te­zei­ten sowie die in­di­vi­du­el­le Be­an­tra­gung von Rechten entfallen.
  • Si­cher­heit: Zu­griffs­rech­te sind aus­schließ­lich über das Rol­len­kon­zept definiert, was Über­be­rech­ti­gun­gen einzelner Mit­ar­bei­ter vermeidet. Dies ent­spricht dem PoLP-Prinzip – dem Principle of Least Privilege.
  • Trans­pa­renz: Die Na­mens­ver­ga­be der Rollen ist meist leicht ver­ständ­lich und stärkt Trans­pa­renz und Ver­ständ­lich­keit bei den Nutzern.

Zu den Nach­tei­len von Role Based Access Control zählen:

  • Ar­beits­in­ten­si­ve Er­stel­lung: Das Über­füh­ren der Or­ga­ni­sa­ti­ons­struk­tu­ren in das RBAC-Modell ist mit viel Aufwand verbunden.
  • Temporäre Zu­wei­sun­gen: Benötigt ein Nutzer nur vor­über­ge­hend er­wei­ter­te Zu­griffs­rech­te, wird die Zuteilung bei RBAC leichter vergessen als bei einer in­di­vi­du­el­len Rech­te­ver­ga­be.
  • Anwendung: Bei kleinen Un­ter­neh­men wäre die Er­stel­lung und Wartung von Rollen auf­wen­di­ger als die Zuteilung von in­di­vi­du­el­len Rechten. Daher kommt das RBAC-Modell erst ab einer gewissen Anzahl an Rollen und Mit­ar­bei­tern zum Einsatz. Doch auch bei großen Un­ter­neh­men hat Role Based Access Control den Nachteil, dass sich leicht eine große Anzahl an Rollen bildet. Hat ein Un­ter­neh­men zehn Ab­tei­lun­gen und zehn Rollen, re­sul­tie­ren daraus bereits 100 ver­schie­de­ne Gruppen.

Wo wird RBAC ein­ge­setzt?

In vielen Or­ga­ni­sa­tio­nen hat sich Role Based Access Control als das beste Verfahren zur Ver­wal­tung von Zu­griffs­be­rech­ti­gun­gen etabliert. Doch auch in Be­triebs­sys­te­men und anderer Software findet das RBAC-Modell Anwendung, bei­spiels­wei­se beim Ver­zeich­nis­dienst der Microsoft Windows Server Active Directory, dem im Bereich Si­cher­heit op­ti­mier­ten Linux-Be­triebs­sys­tem SELinux oder dem Unix-Be­triebs­sys­tem Solaris.

Zum Hauptmenü