}

Was ist RBAC?

Rollenbasiertes Zugriffsmanagement

Was ist Role Based Access Control / Rollenmodell (RBAC)?

RBAC steht für Role Based Access Control zu deutsch: Rollenbasierte rbac role based access controlZugriffkontrolle und bezeichnet eine Methodik zur korrekten Rollen- und Berechtigungsvergabe in der IT-Infrastruktur einer Organisation. Die Zugriffsrechte werden nicht nach Einzelbenutzer, sondern anhand eines definierten Rollenmodells vergeben. Die Daten ergeben sich z.B. aus Abteilung, Funktion, Standort und Kostenstelle eines Mitarbeiters in der Organisation.

Das RBAC-Berechtigungskonzept muss im Vorfeld vollständig definiert und spezifiziert werden. Es müssen die exakten Änderungsrechte für Daten (Read, Read/Write, FullAccess) und Zugriffsrechte auf Anwendungen, sowie Berechtigungen innerhalb dieser Anwendungen mit der jeweiligen Rolle einhergehen.

Jedem Benutzer werden entsprechend seiner Position im Unternehmen dann eine bzw. mehrere Rollen zugeordnet. Anhand dieser Rollenzuordnung erhält der User die entsprechenden Zugriffsrechte auf Daten und Anwendungen in der IT-Infrastruktur, die im Idealfall ohne weitere Anpassung all seine Tätigkeiten ermöglichen.

Vorteile von RBAC

Role Based Access Control (RBAC) gilt generell als Best Practice zur Berechtigungsverwaltung, wenn die RBAC-Rollen unternehmensweit verbindlich in einem Rollen- und Berechtigungskonzept definiert und (mit Hilfe eines Identity und Access Management Systems) durchgesetzt werden. Oft hat die starre Vergabe von Einzelberechtigungen einen hohen Verwaltungsaufwand und eine große Fehleranfälligkeit. Dabei ist die Rechtevergabe auf Basis von Rollen deutlich flexibler anzupassen und weniger aufwendig zu verwalten.

So lässt sich die Effizienz von IT-Support und Mitarbeitern deutlich steigern. Mitarbeiter müssen selten zusätzliche Rechte anfragen und darauf warten. Der IT-Support muss die Anpassungen mit dem Manager nicht mehr abstimmen und dann manuell umsetzen.

Gleichzeitig werden durch die Rollendefinition nach dem Principle of Least Privilege (PoLP) Audit- und Compliance-Anforderungen einfacher eingehalten. Gleichzeitig können Überberechtigungen vermieden werden, die z.B. durch die gängige Praxis der Copy User schnell entstehen. Hierbei wird für einen neuen Mitarbeiter einfach das Benutzerkonto eines Kollegen mit den entsprechenden Berechtigungen kopiert.

So werden möglicherweise jedoch ungewollt überflüssige Rechte vergeben. Dies kann z.B. durch angehäufte Einzelberechtigungen des Template Users oder für Anwendungen, die der neue Kollege (noch) nicht braucht entstehen. Das bedeutet auch hohe Lizenzkosten.

Auch Prinzipien der Segregation of Duty (SoD) lassen sich durch ein vollständiges Berechtigungskonzept mit entsprechenden Ausschlussdefinitionen in einem IAM-Tool automatisch durchsetzen. Ein Vertriebsmitarbeiter sollte beispielsweise nicht gleichzeitig das Qualitätsmanagement für seine eigenen Aufgaben übernehmen. Ein Personaler sollte nicht sein eigenes Gehalt anpassen können.

  • Flexibler: Rechte werden dynamisch zugewiesen und lassen sich bei Änderungen der Organisationsstruktur einfacher für alle betroffenen User anpassen.
  • Sicherer: Überberechtigungen und Rechteansammlungen einzelner User werden durch ausschließliche Definition der Zugriffsrechte über das Rollenkonzept effektiv vermieden.
  • Effizienter: Durch die von Anfang an korrekte Rechtevergabe fällt für Mitarbeiter keine Wartezeit an. Für den IT-Support wiederum auch kein manueller Verwaltungsaufwand mehr.

RBAC-Berechtigungskonzept erstellen

Bevor die Vorteile von Role Base Access Control voll ausgeschöpft werden können, muss ein Unternehmen ein umfassendes Rollen- und Berechtigungskonzept erstellen. Dort sind alle Funktionen der Mitarbeiter in entsprechende Rollen mit entsprechenden Zugriffsrechten überführt. Dieses Berechtigungskonzept kann im Anschluss über ein IAM-Tool implementiert werden. Die zugewiesenen Rollen für alle User in allen angeschlossenen Systemen können per User Provisioning durchgesetzt und überwacht werden.

RBAC-Berechtigungskonzept Pyramide Role Mining

Für die meisten Organisationen bietet es sich an, für das Role-Mining den Pyramiden-Ansatz zu nutzen. Daraus kann ein umfassendes Rollenkonzept für RBAC erstellt werden.

Zunächst werden an oberster Stufe der Pyramide die Rechte definiert, die jeder Mitarbeiter der Organisation (evtl. aufgeteilt nach Standort) benötigt (z.B. Anmeldung über das Active Directory, Zugriff auf Intranet, Office-Suite, E-Mail-Client, gemeinsames Netzwerkverzeichnis).

An folgender Stufe der Berechtigungspyramide steht die Abteilungszugehörigkeit. Hier werden beispielsweise Nutzungsrechte des ERP-Systems für die Finanzabteilung und Zugriff auf das Abteilungslaufwerk festgelegt.

Je nach Funktion des Mitarbeiters innerhalb der Abteilung werden die Berechtigungen genauer definiert und erweitert. Zum Beispiel kann der Abteilungsleiter weitreichende Genehmigungsrechte innerhalb des ERP-Systems innehaben, während dem Sachbearbeiter automatisch nur Bearbeitungsrechte auf Rechnungsebene gewährt werden.

Datenquellen zur Erstellung eines RBAC-Berechtigungskonzept

Eine ideale Datenquelle, um diese Berechtigungskombinationen aus Abteilung und Funktion zu definieren, ist das Personalsystem. Es ist aktuell gepflegt und enthält meist bereits alle nötigen Informationen.

Die Unternehmensdaten aus dem Personalsystem wie z.B. User/Abteilung oder User/Funktion können dann einfach mit den Berechtigungsinformationen aus dem Netzwerk wie z.B. User/Berechtigungsgruppe korreliert werden.

In diesen ersten Planungsschritt eines umfassenden Berechtigungsmodells sollten nicht nur die IT- und HR-Abteilung eingebunden werden, sondern auch alle weiteren Abteilungen des Unternehmens. So kann das Rollenmodell auch wirklich alle Funktionen im Unternehmen korrekt abbilden. Insbesondere sollte hier auf eine zukunftsfähige Planung geachtet werden, die auch Rollen definiert, die momentan im Unternehmen noch nicht existieren: z.B. Praktikanten verschiedener Abteilungen mit eingeschränkten Rechten oder eine Auditor-Rolle, die umfassende Leserechte besitzt.

Den Abteilungsleitern kommt dabei eine entscheidende Bedeutung zu, denn letztendlich sind sie für die Berechtigungen ihrer Mitarbeiter verantwortlich. Sie wissen am besten, welche Rechte genau benötigt werden. Zur detaillierten Ausarbeitung eines komplexen Berechtigungskonzepts bietet sich daher schon bei der Erstellung, die Einbindung einer Workflow-Lösung an.

Das IAM-System stellt einen Genehmigungs-Workflow per E-Mail-Benachrichtigung oder Web-Formular zur Verfügung. Hierbei können genaue Detailberechtigungen für einzelne Mitarbeiter abgefragt werden. Die Angaben des Managers werden vom IAM-System dazu genutzt, die Funktionsrollen innerhalb des Berechtigungskonzeptes weiter zu definieren und entsprechende Berechtigungsgruppen in der IT-Infrastruktur zuzuordnen.

Diese Workflow-Lösung für die detaillierten Einzelberechtigungen der Mitarbeiter kann auch weiter genutzt werden, wenn das Berechtigungskonzept per IAM-Software live-geschaltet wird. Mit der Zeit sammelt so die Organisation immer mehr Informationen über die getroffenen ad-hoc Entscheidungen der Manager. Der Security Officer kann diese Information dann nutzen, um die RBAC-Pyramide zu vervollständigen.