Die Autorisierung ist der Vorgang, bei dem jemand dazu befähigt wird, auf eine digitale Ressource zuzugreifen. Sie können Benutzern auf viele Arten und Weisen Zugriff im Unternehmen gewähren. Hier finden Sie die Unterschiede zwischen den Autorisierungsmethoden und ihre Funktionsweise.
Rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) Diese auch als „Non-Discretionary Access Control“ (Nicht-benutzergebundene Zugriffskontrolle) bezeichnete Autorisierungsstrategie basiert auf zugewiesenen Rollen. Hier erfahren Sie, wie sie funktioniert und wann sie Anwendung findet.
Richtlinienbasierte Zugriffskontrolle (PBAC): Bestimmt die Zugriffsprivilegien dynamisch während der Autorisierung auf der Grundlage von Richtlinien und Regeln. Hier erfahren Sie, wie diese Authentifizierungsmethode funktioniert und wann sie verwendet wird.
Attributbasierte Zugriffskontrolle (Attribute-Based Access Control, ABAC) Die attributbasierte Zugriffskontrolle verwendet Attribute zur Regelung des Benutzerzugriffs auf Ressourcen in einer Anwendung. Hier erfahren Sie, wie diese Strategie funktioniert und wann sie verwendet wird.
Privileged Access Management (PAM): Ein Sicherheitsmechanismus, der Identitäten durch einen gesonderten Zugriff oder besondere Funktionen schützt, die normalen Benutzern vorenthalten bleiben. Hier erfahren Sie, wie diese Strategie funktioniert und wann sie verwendet wird.
RBAC ist ein Autorisierungsansatz, bei dem sich der Zugriff eines Benutzers auf seine Rolle in einer Organisation stützt.
Aufgrund von Datenschutzbestimmungen, Sicherheitsanforderungen in Unternehmen und Erwägungen im Hinblick auf die Kundenzufriedenheit können Unternehmen nicht auf die Kontrolle des Zugriffs auf ihre Netzwerke und Daten verzichten. Das Ziel einer Maßnahme zur Zugriffskontrolle wie der RBAC besteht darin, unbefugte Benutzer von vertraulichen, am Standort oder in der Cloud liegenden Informationen fernzuhalten, die diese nicht benötigen oder nicht sehen sollten.
Bei der RBAC wird nach der Authentifizierung eines Benutzers rollenbasiert festgelegt, worauf er innerhalb des Unternehmens oder des Systems zugreifen kann. Die Rolle kann durch die Stellenbezeichnung, die Abteilung, den Standort oder spezifische Aufgaben des Benutzers definiert werden.
Diese Strategie erleichtert den Administratoren auch die Verwaltung der Benutzer, die Zugriff auf sensible Dokumente, Datensätze und Programme erhalten, denn es ermöglicht ihnen, die Berechtigungen für Benutzerrollen zu vergeben, statt sie für jeden Benutzer einzeln zu verwalten.
Weitere Vorteile sind unter anderem:
Die RBAC und auch andere Mechanismen der Zugriffskontrolle können auch die Richtlinien der Kundeneinwilligungen beim Gewähren oder Verweigern des Zugriffs auf gespeicherte Daten berücksichtigen. Das erleichtert Unternehmen die Einhaltung von Datenschutzbestimmungen wie der Datenschutzgrundverordnung (DSGSVO) und dem California Consumer Privacy Act (CCPA).
Mit der RBAC erhalten Nutzer in einem System nur Zugriff auf Daten, die ihrer Rolle im System direkt zugewiesen wurden. Die Zuweisung des Zugriffs wiederum basiert auf Faktoren wie Zuständigkeit, Verantwortung und Kompetenz gewährt. Mit einer RBAC können die Mitarbeiter ausschließlich auf solche Informationen zugreifen, die sie für das effiziente Erfüllen ihrer Aufgaben benötigen.
So braucht ein Berufsanfänger in der IT-Abteilung beispielsweise keinen Zugang zu sensiblen Finanzdokumenten, ein leitender Angestellter in der Vertriebsabteilung hingegen schon.
Alle RBAC-Modelle enthalten die folgenden Basiskomponenten:
Mithilfe der RBAC können Administratoren die Zugriffsberechtigungen für jede Rolle innerhalb eines Systems erstellen, zuweisen und kontrollieren.
Berechtigungen legen fest, auf welche Daten ein Nutzer zugreifen kann und welche Aktionen er anhand seiner Rolle im System ausführen darf. Die Zugriffsberechtigungen für vertrauliche Dokumente der Lohnbuchhaltung könnten beispielsweise folgendermaßen aussehen:
Nachdem eine Rolle definiert wurde, werden die Berechtigungen entsprechend zugewiesen.
Die Implementierung der RBAC ist in der Regel zwar unproblematisch, da sie aber eine statische Form der Autorisierung darstellt, kann sie nicht einfach aktualisiert werden, wenn sich die Zugriffsrichtlinien des Unternehmens ändern.
Die PBAC ist ein Autorisierungskonzept, das die Zugriffsrechte der Benutzer anhand von Richtlinien bestimmt. Ähnlich wie bei der RBAC werden die Benutzerrollen und die damit verbundenen Berechtigungen überprüft, um den Zugriff zu bestimmen, aber es werden auch zusätzliche Attribute bewertet.
In großen Unternehmen ist es nicht immer möglich, für jede Kombination von Zugriffsrechten separate Rollen zu erstellen, daher können manche Faktoren, wie z. B. die genaue Zeit oder der Ort der Anmeldung nicht mit der RBAC erfasst werden. Mit der PBAC wird der Zugriff nicht nur durch die Rolle und die damit verbundenen Berechtigungen, sondern auch durch eine Vielzahl weiterer Attribute bestimmt, wodurch die Kontrolle feiner abgestimmt werden kann.
Weitere Vorteile sind unter anderem:
Flexibilität und Geschwindigkeit: Administratoren haben eine bessere Kontrolle über die Zugriffsebene und können die Berechtigungen vieler Benutzer gleichzeitig erteilen, widerrufen oder bearbeiten.
Anpassungsfähigkeit: Mit Richtlinien kann ein breites Spektrum dynamischer Attribute und kontextbezogener Kontrollen abgedeckt werden, wie z. B. auch zeit- oder ortsgebundene Zugriffsbeschränkungen.
Beobachtbarkeit: Richtlinien sind in Klarschrift verfasst, so dass die Beziehungen zwischen Identitäten und Ressourcen übersichtlicher sind.
Administratoren erstellen Zugriffsrichtlinien auf der Grundlage von Benutzerrollen und -attributen und legen davon ausgehend Regeln fest, die den Zugriff dynamisch bestimmen. Bei einer Zugriffsanfrage wird je nach Kontext und Risiko eine Entscheidung getroffen.
Die Richtlinien bestimmen auch die Berechtigungen im Anschluss an den Zugriff auf die Ressource. Sie können festlegen, ob Nutzer auf eine Position nur Lesezugriff haben, ob sie Änderungen daran vornehmen oder mit anderen teilen können.
Richtlinien können auf einer Vielzahl verschiedener Attribute beruhen, darunter:
Name
Organisation
Berufsbezeichnung
Sicherheitsfreigabe
Eigentümer
Erstellungsdatum
Dateityp
Uhrzeit
Zugriffsort
Bedrohungsstufe
Mit der PBAC erhalten Administratoren mehr Flexibilität, denn sie können mit Richtlinien und Regeln fein abgestimmte Zugriffskontrollen für Online-Ressourcen einsetzen. Die Methoden der PBAC sind zwar leistungsfähiger und flexibler, aber oft auch komplexer und teurer zu implementieren als die der RBAC.
Die ABAC ist ein Autorisierungskonzept, das die Zugriffsrechte der Benutzer anhand von Attributen oder Merkmalen bestimmt.
Ähnlich wie bei der PBAC erstellen die Administratoren Zugriffsrichtlinien auf der Grundlage von Benutzerrollen und -attributen und legen Regeln fest, die den Zugriff dynamisch bestimmen. Bei einer Zugriffsanfrage wird je nach Kontext und Risiko eine Entscheidung getroffen.
Während die PBAC sich jedoch beim Gewähren oder Verweigern des Ressourcenzugriffs auf Richtlinien stützt, konzentriert sich die ABAC auf die spezifischen Attribute, welche die Richtlinien beeinflussen.
Die ABAC bietet unter anderem die folgenden Vorteile:
Granularität: Da die Beziehungen zwischen Benutzern und Ressourcen nicht über Rollen, sondern über Attribute festgelegt werden, können die Administratoren präzise auf Zielgruppen abgestimmte Regeln erstellen, ohne zusätzliche Rollen einrichten zu müssen.
Flexibilität: Statt Regeln zu ändern oder neue Rollen zu erstellen, müssen die Administratoren neuen Benutzern oder Ressourcen lediglich die entsprechenden Attribute zuweisen.
Anpassungsfähigkeit: Administratoren können je nach Anforderung die Attribute ändern und kontextabhängige Regeln erstellen.
Bei der ABAC erzwingen die Richtlinien bei einem Zugriffsversuch eine Entscheidung auf Grundlage der Attribute des betreffenden Subjekts, der Ressource, der Aktion und der Umgebung.
Zu diesen Attributen zählen auch
Wie auch bei der PBAC verfügen die Administratoren hier über fein abgestimmte Kontrollen für den Zugriff auf Ressourcen, die auf Richtlinien und Regeln basieren. Ebenso wie der PBAC sind die Methoden der ABAC zwar leistungsfähiger und flexibler als bei der RBAC, aber oft auch komplexer und teurer in der Implementierung.
Die wichtigsten Gemeinsamkeiten und Unterschieden zwischen diesen drei Autorisierungsmethoden sind folgende:
Der Zugriff wird bei der RBAC anhand von Benutzerrollen, bei der PBAC auf der Grundlage von Richtlinien und bei der ABAC ausgehend von Attributen oder Merkmalen der Benutzer, Ressourcen und Umgebungen gewährt, die an der Anmeldung beteiligt sind.
PBAC und ABAC bieten einen feiner abgestimmten, dynamischen Ansatz für die Autorisierung als die RBAC und sind komplexer und teurer in der Implementierung. Sie kommen allerdings auch mit mehr Sicherheit, Flexibilität, verbesserter Kundenerfahrung und besserer Einhaltung gesetzlicher Vorschriften daher als die RBAC, deren Design nicht für eine vergleichbare Governance des Datenzugriffs und Autorisierung vorgesehen ist.
Während sich die PBAC beim Gewähren oder Verweigern des Ressourcenzugriffs auf Richtlinien stützt, konzentriert sich die ABAC auf die spezifischen Attribute, welche die Richtlinien beeinflussen.
Die Privilegierte Zugriffssteuerung (PAM) nutzt eine Kombination aus Menschen, Verfahren und Technologie, um die Funktionen von Administratoren und Power-Usern abzusichern und gegen diejenigen zu schützen, die ein System über ein privilegiertes Konto sabotieren könnten.
Bei jedem technischen System wird die Sicherheit dadurch gewahrt, dass den Anwendern unterschiedliche Zugriffsebenen zugewiesen werden. Das Prinzip der geringsten Privilegien (Principle of least Privilege, POLP) schreibt vor, Standardbenutzern nur und ausschließlich den Mindestzugang zu den Rollen und Berechtigungen zu erteilen, die für die Ausführung ihrer Aufgaben erforderlich sind.
Administratoren haben die Befugnis, die gesamte Umgebung betreffende, wesentliche Änderungen vorzunehmen, wie z. B. Benutzer hinzuzufügen oder zu löschen, Hardware und Software zu aktualisieren und zu installieren, Fehler zu beheben, Daten zu sichern und die Netzwerksicherheit zu verwalten.
Da Administratoren eine Netzwerkumgebung stark modifizieren können, sollten nur die vertrauenswürdigsten Nutzer Zugriff auf diese Art von Konten haben. Die PAM ist eine Form der rollenbasierten Zugriffskontrolle (RBAC) und fungiert als zentrale Komponente in einem umfassenden Sicherheitsprotokoll für das Identitäts- und Access-Management (IAM).
Nutzer mit privilegiertem Zugang haben Zugriff auf hochsensible und zugangsbeschränkte Bereiche eines Technologiesystems, die normalen Benutzern vorenthalten werden. Wenn eine Person mit böswilliger Absicht Zugriff auf ein privilegiertes Konto erhält, kann sie dem System verheerende Schäden zufügen, die sowohl die Sicherheit als auch den Betrieb in Mitleidenschaft ziehen.
Das PAM-Konzept schützt vor dieser Gefahr, indem es bei privilegierten Konten zusätzliche Sicherheitsebenen einfügt. Es kann auf verschiedene Weisen zum Einsatz kommen:
Verwandte Ressourcen:
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern
Vielen Dank! Behalten Sie Ihren Posteingang im Auge. Wir melden uns bald bei Ihnen.