Zugriffskontrollmodelle: DAC, RBAC, MAC und ABAC
Zugriffskontrollmodelle bestimmen, wer auf welche Ressourcen in IT-Systemen zugreifen darf und unter welchen Bedingungen. Die vier Hauptmodelle sind:
1. DAC – Discretionary Access Control (Freie Zugriffskontrolle)
Beschreibung:
Bei DAC entscheidet der Eigentümer einer Ressource, wer Zugriff darauf hat. Die Kontrolle über Berechtigungen liegt somit bei individuellen Benutzern.
Merkmale:
- Nutzer können Berechtigungen für andere Nutzer festlegen.
- Die Zugriffskontrolle erfolgt oft über Access Control Lists (ACLs).
Beispiel:
Ein Benutzer kann seine Dateien auf einem Server für andere freigeben.
Nachteil:
Weniger sicher, da Benutzer ihre Berechtigungen zu großzügig vergeben könnten.
2. RBAC – Role-Based Access Control (Rollenbasierte Zugriffskontrolle)
Beschreibung:
Der Zugriff wird nicht direkt einzelnen Benutzern gewährt, sondern über Rollen, die bestimmten Berechtigungen entsprechen.
Merkmale:
- Ein Benutzer erhält eine oder mehrere Rollen.
- Jede Rolle hat festgelegte Berechtigungen für bestimmte Ressourcen.
Beispiel:
Ein „Admin“ kann Systeme konfigurieren, während ein „Mitarbeiter“ nur Daten einsehen darf.
Vorteil:
Einfach zu verwalten, da Berechtigungen über Rollen zugewiesen werden.
Nachteil:
Weniger flexibel als ABAC, da feste Rollen definiert sind.
3. MAC – Mandatory Access Control (Verpflichtende Zugriffskontrolle)
Beschreibung:
Der Zugriff wird von einer zentralen Sicherheitsrichtlinie festgelegt und kann vom Benutzer nicht geändert werden.
Merkmale:
- Oft in sicherheitskritischen Systemen wie Regierung oder Militär verwendet.
- Jede Ressource und jeder Benutzer hat eine Sicherheitsklassifizierung (z. B. “Geheim”, “Vertraulich”).
Beispiel:
Ein Dokument mit der Klassifizierung “Geheim” kann nur von Personen mit entsprechender Berechtigung geöffnet werden.
Vorteil:
Sehr sicher, da Benutzer keine Berechtigungen selbst vergeben können.
Nachteil:
Sehr unflexibel und schwer zu verwalten.
4. ABAC – Attribute-Based Access Control (Attributbasierte Zugriffskontrolle)
Beschreibung:
Der Zugriff wird anhand von Attributen bestimmt, die sowohl dem Benutzer als auch der Ressource zugeordnet sind.
Merkmale:
- Attribute können z. B. Benutzerstandort, Tageszeit, Abteilung oder Gerätetyp sein.
- Flexibler als RBAC, da Regeln dynamisch erstellt werden können.
Beispiel:
Ein Mitarbeiter kann auf Daten nur zugreifen, wenn er sich im Unternehmensnetzwerk befindet.
Vorteil:
Höchste Flexibilität und Anpassungsfähigkeit.
Nachteil:
Komplexe Implementierung und Verwaltung.
tags:IT-SicherheitZugriffskontrolleDACRBACMACABACNetzwerksicherheit