Die attributbasierte Zugriffskontrolle (ABAC) wird auch als richtlinienbasierte Zugriffskontrolle (PBAC) oder anspruchsbasierte Zugriffskontrolle (CBAC) bezeichnet. Sie ist eine Methode der Authentifizierung, die Richtlinien basierend auf Merkmalen wie Abteilung, Standort, Manager und Tageszeit festlegt und durchsetzt.
ABAC verwendet boolesche Logik, um Zugriffsregeln mit Wenn-Dann-Anweisungen zu erstellen. Diese Regeln definieren den Benutzer, die Anfrage, die Ressource und die Aktion. Ein Beispiel: Ist der Anfragende ein Vertriebsmitarbeiter, erhält er Lese- und Schreibzugriff auf die Customer Relationship Management (CRM)-Lösung. Ein Administrator hingegen bekommt nur Lesezugriff zur Berichterstellung.
Mit ABAC können dynamische und kontextabhängige Sicherheitsmaßnahmen umgesetzt werden. So lassen sich immer komplexere IT-Anforderungen erfüllen. Zu den Anwendungsfällen für ABAC zählen:
- Schutz von Daten, Netzwerkgeräten, Cloud-Diensten und IT-Ressourcen vor unbefugten Benutzern oder Aktionen
- Sicherung von Microservices bzw. Anwendungsprogrammierschnittstellen (APIs), damit keine sensiblen Transaktionen offengelegt werden
- Ermöglichung dynamischer Netzwerk-Firewall-Kontrollen, indem Richtlinienentscheidungen individuell für den jeweiligen Benutzer getroffen werden
Bestandteile der ABAC
Attribute sind Merkmale oder Werte von Komponenten, die bei einem Zugriff verwendet werden. Sie können aus verschiedenen Datenquellen stammen, z. B. aus Systemen für Identitäts- und Zugriffsverwaltung (IAM), ERP-Systemen (Enterprise Resource Planning) oder internen Personalsystemen. Auch Kundendaten aus einem CRM-System und Informationen von LDAP-Servern (Lightweight Directory Access Protocol) können genutzt werden.
Die attributbasierte Zugriffskontrolle ermöglicht den Einsatz mehrerer Autorisierungsattribute. Dadurch wird eine granulare data access control erreicht, beispielsweise für die Aufgabentrennung (Separation of Duties, SOD).
Erfahren Sie, wie Administratoren schnell Richtlinien entwickeln können, um das Betrugsrisiko zu verringern und die Einhaltung von Vorschriften zu gewährleisten.Folgende Merkmale können bei der Gewährung oder Verweigerung des Zugangs berücksichtigt werden:
Subjekt- oder Benutzerattribute
Subjekt- oder Benutzerattribute beschreiben, wer Zugriff auf eine Ressource anfordert. Dazu zählen Benutzername, Alter, Berufsbezeichnung, Staatsangehörigkeit und Benutzer-ID. Auch Abteilungs- und Unternehmenszugehörigkeit, Sicherheitsfreigabe, Managementebene und weitere Identifizierungskriterien gehören dazu.
ABAC-Systeme erhalten diese Informationen aus den Authentifizierungs-Token, die bei der Anmeldung verwendet werden. Alternativ können sie die Daten aus einer Datenbank oder einem System wie einem LDAP- oder HR-System abrufen.
Objekt- oder Ressourcenattribute
Objekt- oder Ressourcenattribute beschreiben die Merkmale eines Objekts oder einer Ressource, auf die zugegriffen werden soll. Dazu gehören beispielsweise Dateien, Apps, Server oder APIs.
Typische Attribute sind Erstellungsdatum, letzte Aktualisierung, Autor und Eigentümer. Auch Dateiname, Dateityp und die Sensibilität der Daten zählen dazu.
Umgebungs- oder Kontextattribute
Umgebungsattribute definieren den allgemeinen Kontext einer Zugriffsanfrage. Dazu gehören Faktoren wie Zeit und Ort des Zugriffsversuchs, Gerätetyp und Kommunikationsprotokoll.
Weitere Beispiele sind die Authentifizierungsstärke, normale Verhaltensmuster der Person und die Anzahl der Transaktionen in den letzten 24 Stunden. Auch die Beziehung zu einer Drittpartei kann ein Umgebungsattribut sein.
Aktionsattribute
Aktionsattribute definieren, wie ein Benutzer mit einer Ressource umgehen möchte. Beispiele für gängige Aktionsattribute von Zugriffsanfragen sind Anzeigen, Lesen, Schreiben, Kopieren, Bearbeiten, Übertragen, Löschen oder Genehmigen. Diese können einzeln oder in Kombination verwendet werden.
| Subjekt- oder Benutzerattribute | Objekt- oder Ressourcenattribute | Umgebungs- oder Kontextattribute | Aktionsattribute |
|---|---|---|---|
| Freigabe Abteilung Mitarbeiter-ID Stellenbezeichnung Benutzername | Autor/Eigentümer Klassifizierung Erstellungsdatum Letzte Aktualisierung Typ | Aktueller Tag Aktuelle Uhrzeit Gerät Ort Zeitzone | Löschen Lesen Übertragen Anzeigen Schreiben |
So funktioniert die attributbasierte Zugriffskontrolle
ABAC vergibt Berechtigungen basierend auf der Identität des Benutzers – nicht auf seinen Aktionen. Dadurch wird eine granulare Kontrolle ermöglicht.
Die Attribute werden analysiert, um zu bestimmen, wie sie in einer bestimmten Umgebung interagieren. Anschließend werden Regeln basierend auf diesen Beziehungen durchgesetzt.
So läuft der Prozess normalerweise ab:
- Eine Zugriffsanfrage wird gestellt.
- Das Tool für die attributbasierte Zugriffskontrolle prüft Attribute, um festzustellen, ob sie mit bestehenden Richtlinien übereinstimmen.
- Basierend auf dem Ergebnis der Analyse des ABAC-Tools wird die Genehmigung erteilt oder verweigert.
Vorteile der ABAC
Das attributbasierte Autorisierungsmodell für die Zugriffskontrolle bietet Unternehmen dank einzigartiger Funktionen viele Vorteile, darunter die Folgenden:
Breites Spektrum an Richtlinien
Nahezu jede Richtlinienart kann erstellt werden. Die einzigen Einschränkungen von ABAC sind die verfügbaren Attribute und die Bedingungen, die in der Programmiersprache ausgedrückt werden können.
Die attributbasierte Zugriffskontrolle ermöglicht die Steuerung situationsbedingter Variablen. Dadurch können Entscheidungsträger einen granularen Zugriff gezielt umsetzen.
Administratoren können zudem smarte Zugriffsbeschränkungen einsetzen, die intelligente Entscheidungen in den Bereichen Sicherheit, Datenschutz und Compliance-Management ermöglichen. Beispielsweise kann eine Gruppe von Mitarbeitern nur zu bestimmten Zeiten oder an einem festgelegten Ort auf bestimmte Informationen zugreifen.
Benutzerfreundlichkeit
Die attributbasierte Zugriffskontrolle ist sehr intuitiv und benutzerfreundlich, da sich die technischen Berechtigungssätze hinter einer benutzerfreundlichen Oberfläche verbergen. Jeder, der über die richtigen Berechtigungen verfügt, kann ein Benutzerprofil aktualisieren und sich sicher sein, dass der Benutzer den benötigten Zugriff erhält, solange seine Attribute auf dem neuesten Stand sind.
Darüber hinaus kann der maximalen Anzahl von Benutzern Zugriff auf die maximal verfügbaren Ressourcen gewährt werden, ohne dass Administratoren Beziehungen zwischen den einzelnen Benutzern und Objekten festlegen müssen.
Schnelles Onboarding neuer Benutzer
ABAC-Modelle beschleunigen das Onboarding neuer Mitarbeiter und externer Partner. Administratoren und Objekteigentümer können Richtlinien erstellen und Attribute zuweisen, die neuen Benutzern Zugriff auf Ressourcen ermöglichen. Bestehende Regeln oder Objektmerkmale müssen dabei nicht geändert werden, um den Zugriff zu gewähren.
Flexibilität
Mit ABAC lassen sich nahezu alle Attribute darstellen und automatisch ändern, basierend auf kontextabhängigen Faktoren.
Dazu gehört, auf welche Apps und Datentypen Benutzer zugreifen können, welche Transaktionen sie durchführen dürfen und welche Operationen ihnen erlaubt sind.
Einhaltung gesetzlicher Vorschriften
Die granularen Berechtigungen und Kontrollen der attributbasierten Zugriffskontrolle erhöhen die Sicherheit und helfen Unternehmen, gesetzliche Vorgaben zum Schutz personenbezogener und sensibler Daten einzuhalten. Dazu zählen unter anderem der Health Insurance Portability and Accountability Act (HIPAA), die Datenschutz-Grundverordnung (DSGVO) und der Payment Card Industry Data Security Standard (PCI DSS).
Skalierbarkeit
Sobald die ABAC eingerichtet ist, können Administratoren Attribute für ähnliche Komponenten und Benutzerpositionen kopieren und wiederverwenden, was die Einhaltung von Richtlinien und das Onboarding neuer Benutzer vereinfacht.
Herausforderungen der attributbasierten Zugriffskontrolle
Nach der Implementierung lässt sich ABAC leicht skalieren und in Sicherheitsprogramme integrieren. Zu Beginn ist jedoch ein gewisser Aufwand erforderlich.
Dennoch sind sich die meisten Anwender einig, dass die Vorteile von ABAC die anfänglichen Herausforderungen bei Weitem überwiegen. Eine zentrale Herausforderung bleibt jedoch die Implementierung. Dabei müssen Administratoren:
- Jeder Komponente Attribute zuweisen.
- Eine zentrale Richtlinien-Engine erstellen, um festzulegen, welche Berechtigungen Attribute basierend auf verschiedenen Bedingungen haben (d. h. wenn X dann Y).
- Alle Attribute definieren.
- Die Berechtigungen der einzelnen Benutzer prüfen, bevor alle Attribute und Regeln eingerichtet sind.
- Autorisierungsrichtlinien zuordnen, um umfassende Richtlinien zur Zugriffsregelung zu erstellen.
ABAC vs. RBAC
Sowohl die attributbasierte als auch die rollenbasierte Zugriffskontrolle sind Methoden der Zugriffsverwaltung. Im Gegensatz zur ABAC gewährt die RBAC Zugriff basierend auf flachen oder hierarchischen Rollen. Bei der RBAC bestimmt die Rolle die Berechtigungen.
| ABAC | RBAC |
|---|---|
| Vorgegebene Rollen, erweitert um Attribute und Richtlinien (z. B. die relevanten Aktionen und Ressourcenmerkmale, den Ort, die Zeit, die Art der Anfrage). | Jedem Benutzer wird eine Rolle zugewiesen |
| Die Genehmigung basierend auf intelligenten Entscheidungen. | Die Genehmigung basierend auf Rollen und den damit verbundenen Privilegien |
| Die Richtlinien basieren auf individuellen Attributen, werden in natürlicher Sprache formuliert und enthalten Kontext | Zugriff wird nur rollenbasiert gewährt |
| Administratoren können Attribute hinzufügen, entfernen und neu organisieren, ohne die Richtlinie zu ändern | Neue Rollen müssen manuell definiert werden |
| Der Zugriff ist abgestuft | Im ganzen Unternehmen wird ein breiter Zugriff gewährt |
ABAC oder RBAC?
Ob die attributbasierte Zugriffskontrolle oder die rollenbasierte Zugriffskontrolle die richtige Wahl ist, hängt von der Größe, dem Budget und den Sicherheitsanforderungen des Unternehmens ab. Die Größe spielt eine große Rolle, da die anfängliche Implementierung der ABAC aufwendig und ressourcenintensiv ist.
| ABAC | RBAC |
|---|---|
| Ressourcen für eine komplexe Implementierung vorhanden | Benötigt Zugriffskontrollen, aber es fehlen Ressourcen für eine komplexe Implementierung |
| Viele Benutzer mit dynamischen Rollen | Klar definierte Gruppen innerhalb des Unternehmens |
| Großes Unternehmen mit stetigem Wachstum | Kein wesentliches Unternehmenswachstum zu erwarten |
| Mitarbeiter sind geografisch verteilt | Mitarbeiter arbeiten an einem zentralen Ort |
| Bedarf an tiefgreifenden, spezifischen Zugriffskontrollen | Breite Zugriffskontrollen reichen aus |
ABAC und RBAC: Ein hybrides Modell
Attributbasierte (ABAC) und rollenbasierte Zugriffskontrolle (RBAC) lassen sich kombinieren, um die Vorteile beider Ansätze zu nutzen. Während RBAC eine einfache Richtlinienverwaltung bietet, ermöglicht ABAC eine flexible Richtliniendefinition und dynamische Entscheidungsfindung.
Die Kombination beider Methoden, bekannt als ARBAC, sorgt für optimale Sicherheit und eine effiziente Nutzung der IT-Ressourcen. Mit dieser hybriden Methode können IT-Administratoren den grundlegenden Zugriff automatisieren. Betriebsteams haben die Möglichkeit, bestimmten Benutzern über rollenbasierte Strukturen zusätzlichen Zugriff zu gewähren.
Da Rollen attributabhängig sind, lassen sich Einschränkungen automatisch anwenden – ohne aufwendige Suche oder manuelle Konfiguration. Dadurch werden Zugriffszuweisungen optimiert und die Anzahl der zu verwaltenden Benutzerprofile reduziert. Zudem können IT-Teams das Onboarding und Offboarding weitgehend an Entscheidungsträger im Unternehmen delegieren.
ARBAC ermöglicht beispielsweise Zugriffskontrollen basierend auf bestimmten Attributen sowie eine benutzerbestimmte Zugriffskontrolle über profilbasierte Tätigkeitsbereiche. Zudem unterstützt es ein risikoangepasstes Zugriffsmodell mit sich ausschließenden Privilegien, was eine klare Aufgabentrennung gewährleistet und das Cyberrisiko eindämmt.
Erhöhte Sicherheit im Unternehmen mit ABAC
Die attributbasierte Zugriffskontrolle hat sich in vielen Unternehmen als bevorzugtes Autorisierungsmodell etabliert. Sie ist nicht nur äußerst leistungsfähig, sondern reduziert auch einen Teil der Sicherheitsverwaltungslast.
