+49 (40) 729 79 354

Role Based Access Control (RBAC)

Das Modell für Role Based Access Control (RBAC) des National Institute of Standards and Technology (NIST) vereint mehrere existierende Modelle, indem es die übereinstimmenden Sichtweisen aller dieser Ansätze beschreibt. Es stellt ein Referenzmodell für RBAC dar. Das NIST-Modell ist in vier kumulative Ebenen gegliedert, wobei jede Ebene über genau eine Erweiterung verfügt:

  • Flat RBAC
  • Hierarchisches RBAC
  • Eingeschränktes RBAC
  • Symmetrisches RBAC

Eine zweite Art der Gliederung sieht Flat RBAC und Hierarchisches RBAC in sequentieller Anordnung und die anderen beiden Formen als ungeordnete Merkmale vor.

Mit diesen vier Ebenen bildet NIST die Spannbreite von einem sehr einfach anzuwendenden Modell bis zu einem komplexem, allen Anforderungen gerecht werdendem Ansatz ab.

RBAC stellt eine Abstraktionsebene bereit, die auf die unternehmensweite Etablierung einer Sicherheitsadministration ausgelegt ist. Das Grundprinzip ist einfach: Zugriffsrechte werden anhand funktionaler geschäftlicher Rollen organisiert. Rollen oder Gruppierungen von Rollen werden Anwendern zugewiesen, wodurch diese Zugriffsrechte auf Systeme oder Daten erhalten. Da geschäftliche Rollen in der Regel eine höhere Beständigkeit haben als die Fluktuation und Zuständigkeiten von Personen, führt RBAC zu einer erheblichen Reduzierung von Komplexität, Kosten und Fehlerquellen.

RBAC wird durch ein unternehmensweites System von Richtlinien untermauert, in denen beispielsweise das Vier-Augen-Prinzip, also die Auftrennung bestimmter Verantwortlichkeiten auf mehr als eine Rolle, geregelt ist.

Flat RBAC

Flat RBAC deckt die Basisaspekte des Modells ab: Zugriffsrechte werden Rollen zugeordnet und Rollen werden Anwendern zugeordnet. Beide Zuordnungen sind n:m-Verbindungen. Flat RBAc verlangt außerdem, dass Anwender simultan mehrere Rollen statt nur sequentiell eine Rolle nach der anderen einnehmen dürfen. Plausibilitätsprüfungen beziehen sich auf die dem Anwender zugeordneten Rollen.

Flat RBAC entspricht in seinem Ansatz der gruppenbasierten Zugriffssteuerung, wie sie in traditionellen Betriebssystemen realisiert ist.

Hierarchisches RBAC

Im Hierarchischen RBAC können die Rollen hierarchisch angeordnet werden, womit die übergeordnete Rolle die Rechte der darunterliegenden Rollen vereint. Dabei kann die Rollenhierarchie einem Vererbungsprinzip unterliegen (bei der Aktivierung einer Rolle werden auch alle darunterliegenden Rollen aktiviert) oder es handelt sich um aktivierungspflichtige Hierarchien (die untergeordneten Hierarchien müssen explizit aktiviert werden). Es werden zwei Ausprägungen unterschieden:

  • Allgemeines hierarchisches RBAC:
    Frei wählbare Teilhierarchien.
  • Eingeschränktes hierarchisches RBAC:
    Die Hierarchien sind auf einfache Baumstrukturen oder invertierte Baumstrukturen beschränkt.

Hierarchisches RBAC ist in den unterschiedlichen RBAC-Modellen weitgehend akzeptiert und in vielen Produkten realisiert.

Eingeschränktes RBAC

Eingeschränktes RBAC beinhaltet zusätzlich zu dem Vorgenannten das Vier-Augen-Prinzip (Separaton of Duties). Hierbei werden Verantwortlichkeit und Entscheidungshoheit für eine Transaktion auf unterschiedliche Personen verteilt und somit das Risiko betrügerischen Fehlverhaltens eingeschränkt. Dabei beruht das statische Vier-Augen-Prinzip auf festen Rollenzuweisungen an Anwender, wohingegen ein dynamisches Vier-Augen-Prinzip eine Rolle kontextsensitiv aktiviert. Dies sei am Beispiel eines Bestellprozesses erläutert. Nach dem Vier-Augen-Prinzip dürfen die Rollen des Ausführenden der Bestellung und des Genehmigers der Bestellung nicht zusammenfallen. Bei einem statischen Vier-Augen-Prinzip könnte der Inhaber der Genehmigungsrolle niemals etwas bestellen. Beim dynamischen Vier-Augen-Prinzip könnnte er auch die Rolle des Bestellers zugeordnet bekommen. Er darf dann lediglich seine eigene Bestellung nicht genehmigen.

Das Vier-Augen-Prinzip ist ein grundlegendes Elemente eines regelbasierten RBAC.

Symmetrisches RBAC

Beim symmetrischen RBAC werden nicht nur die Zuordnungen von Anwender zu Rollen, sondern zusätzlich die Zuordnung von Rolle zu Berechtigungen verwaltet. Dieses Verfahren wird als symmetrisch bezeichnet, weil Plausibilitätsprüfungen sich nicht nur auf die dem Anwender zugeordneten Rollen sondern auch auf die den Rollen zugeordneten Berechtigungen beziehen. Es gilt das Prinzip der kleinsten Privilegien. Ein Anwender erhält nur soviele Rechte, wie er zur Ausübung seiner Funktion benötigt.

Methodische Betrachtungen

RBAC basiert auf drei grundlegenden Regeln:

  1. Rollenzuordnung:
    Ein Subjekt kann eine Transaktion nur ausführen, wenn ihm mindestens eine Rolle zugeordnet ist.
  2. Autorisieren von Rollen:
    Eine Rolle muss für das Subjekt zur Nutzung autorisiert werden.
  3. Autorisieren von Transaktionen:
    Ein Subjekt kann eine Transaktion nur ausführen, wenn die Transaktion für die ihm zugewiesene Rolle autorisiert ist.
  4. Zurordnen von Zugriffsarten:
    Ein Subjekt kann über eine bestimmte Zugriffsart (erstellen, lesen, ändern, löschen) nur auf ein Objekt zugreifen, wenn die zugehörige Rolle die Zugriffsart beinhaltet und die Transaktion diese Zugriffsart unterstützt.

RBAC ohne Zugriffsarten

Jedes Subjekt, dem aufgrund seiner funktionalen Aufgaben eine Rolle zugewiesen ist, kann alle Transaktionen auf das Objekt ausführen. Alle Subjekte mit dieser Rolle haben die gleichen Zugriffsrechte. Das Objekt ist an die Transaktion gebunden.

Jedes Subjekt hat nur in der Art Zugriff auf das Objekt, wie dies von der Funktion verlangt wird. Die Transaktion wird nur ausgeführt, wenn das Subjekt über die zur Ausführung der Funktion erforderlichen Zugriffsrechte (erstellen, lesen, ändern, löschen) verfügt und sowohl dem Subjekt als auch der Transaktion die jeweils erforderliche Rolle zugeordnet ist. Die erlaubten Zugriffsarten sind an das Objekt gebunden.

RBAC mit Zugriffsarten