Was ist RBAC?

Was ist RBAC?

RBAC steht für Role Based Access Control (deutsch: Rollenbasierte Zugriffkontrolle) und bezeichnet eine Methodik zur korrekten Berechtigungsvergabe in der IT-Infrastruktur einer Organisation. Die Zugriffsrechte werden nicht nach Einzelbenutzer, sondern anhand definierter Rollen vergeben, die sich z.B. aus Abteilung, Funktion, Standort und Kostenstelle eines Mitarbeiters in der Organisation ergeben.

Das RBAC-Berechtigungskonzept muss im Vorfeld vollständig definiert werden und spezifizieren, welche exakten Änderungsrechte für Daten (Read, Read/Write, FullAccess) und Zugriffsrechte auf Unternehmensanwendungen sowie Berechtigungen innerhalb dieser Anwendungen mit der jeweiligen Rolle einhergehen. Jedem Benutzer werden entsprechend seiner Position im Unternehmen dann eine bzw. mehrere Rollen zugeordnet. Anhand dieser Rollenzuordnung erhält der User die entsprechenden Zugriffsrechte auf Daten und Anwendungen in der IT-Infrastruktur, die im Idealfall ohne weitere Anpassung all seine Tätigkeiten ermöglichen.

Vorteile von RBAC

Role Based Access Control gilt generell als Best Practice zur Berechtigungsverwaltung, wenn die RBAC-Rollen unternehmensweit verbindlich in einem Rollen- und Berechtigungskonzept definiert und (mit Hilfe eines Identity und Access Management Systems) durchgesetzt werden. Im Gegensatz zur starren Vergabe von Einzelberechtigungen, die einen hohen Verwaltungsaufwand und eine große Fehleranfälligkeit mit sich bringt, ist die Rechtevergabe auf Basis von Rollen deutlich flexibler anzupassen und weniger aufwendig zu verwalten. So lässt sich die Effizienz von IT-Support und Mitarbeitern deutlich steigern, denn Mitarbeiter müssen selten zusätzliche Rechte anfragen und darauf warten, dass der IT-Support die Anpassungen mit dem Manager abstimmt und dann manuell umsetzt.

Gleichzeitig werden durch die Rollendefinition nach dem Principle of Least Privilege (PoLP) Audit- und Compliance-Anforderungen einfacher eingehalten und Überberechtigungen vermieden, die z.B. durch die gängige Praxis der Copy User schnell entstehen. Hierbei wird für einen neuen Mitarbeiter einfach das Benutzerkonto eines Kollegen mit den entsprechenden Berechtigungen kopiert. So werden möglicherweise jedoch ungewollt überflüssige Rechte vergeben, z.B. durch angehäufte Einzelberechtigungen des Template Users oder für Anwendungen, die der neue Kollege (noch) nicht braucht und durch die zudem hohe Lizenzkosten entstehen. Auch Prinzipien der Segregation of Duty (SoD) lassen sich durch ein vollständiges Berechtigungskonzept mit entsprechenden Ausschlussdefinitionen in einem IAM-Tool automatisch durchsetzen. Ein Vertriebsmitarbeiter sollte beispielsweise nicht gleichzeitig das Qualitätsmanagement für seine eigenen Aufgaben übernehmen; ein Personaler nicht sein eigenes Gehalt anpassen können.

  • Flexibler: Rechte werden dynamisch zugewiesen und lassen sich bei Änderungen der Organisationsstruktur einfacher für alle betroffenen User anpassen.
  • Sicherer: Überberechtigungen und Rechteansammlungen einzelner User werden durch ausschließliche Definition der Zugriffsrechte über das Rollenkonzept effektiv vermieden.
  • Effizienter: Durch die von Anfang an korrekte Rechtevergabe fällt für Mitarbeiter keine Wartezeit und für den IT-Support kein manueller Verwaltungsaufwand mehr an.

RBAC-Berechtigungskonzept erstellen

Bevor die Vorteile von Role Base Access Control voll ausgeschöpft werden können, muss ein Unternehmen ein umfassendes Rollen- und Berechtigungskonzept erstellen, in dem alle Funktionen der Mitarbeiter in entsprechende Rollen mit entsprechenden Zugriffsrechten überführt wurden. Dieses Berechtigungskonzept kann im Anschluss über ein IAM-Tool implementiert werden, die die zugewiesenen Rollen für alle User in allen angeschlossenen Systemen per User Provisioning durchsetzt und überwacht.

RBAC-Berechtigungskonzept Pyramide Role MiningFür die meisten Organisationen bietet es sich an, für das Role-Mining den Pyramiden-Ansatz zu nutzen, um ein umfassendes Rollenkonzept für RBAC zu erstellen. Zunächst werden an oberster Stufe der Pyramide die Rechte definiert, die jeder Mitarbeiter der Organisation (evtl. aufgeteilt nach Standort) benötigt (z.B. Anmeldung über das Active Directory, Zugriff auf Intranet, Office-Suite, E-Mail-Client, gemeinsames Netzwerkverzeichnis).

An folgender Stufe der Berechtigungspyramide steht die Abteilungszugehörigkeit. Hier werden beispielsweise Nutzungsrechte des ERP-Systems für die Finanzabteilung und Zugriff auf das Abteilungslaufwerk festgelegt.

Je nach Funktion des Mitarbeiters innerhalb der Abteilung werden die Berechtigungen genauer definiert und erweitert. Zum Beispiel kann der Abteilungsleiter weitreichende Genehmigungsrechte innerhalb des ERP-Systems innehaben, während dem Sachbearbeiter automatisch nur Bearbeitungsrechte auf Rechnungsebene gewährt werden.

Datenquellen zur Erstellung eines RBAC-Berechtigungskonzept

Eine ideale Datenquelle, um diese Berechtigungskombinationen aus Abteilung und Funktion zu definieren, ist das HR-System. Es ist aktuell gepflegt und enthält meist bereits alle nötigen Informationen. Die Organisationsdaten aus dem HR-System wie z.B. User/Abteilung oder User/Funktion können dann einfach mit den Berechtigungsinformationen aus dem Netzwerk wie z.B. User/Berechtigungsgruppe korreliert werden.

In diesen ersten Planungsschritt eines umfassenden Berechtigungsmodells sollten nicht nur die IT- und HR-Abteilung eingebunden werden, sondern auch alle weiteren Abteilungen des Unternehmens, damit das Rollenmodell auch wirklich alle Funktionen im Unternehmen korrekt abbildet. Insbesondere sollte hier auf eine zukunftsfähige Planung geachtet werden, die auch Rollen definiert, die momentan im Unternehmen noch nicht existieren: z.B. Praktikanten verschiedener Abteilungen mit eingeschränkten Rechten oder eine Auditor-Rolle, die umfassende Leserechte besitzt.

Den Abteilungsleitern kommt dabei eine entscheidende Bedeutung zu, denn letztendlich sind sie für die Berechtigungen ihrer Mitarbeiter verantwortlich und wissen am besten, welche Rechte genau benötigt werden. Zur detaillierten Ausarbeitung eines komplexen Berechtigungskonzepts bietet sich daher schon bei der Erstellung, die Einbindung einer Workflow-Lösung an. Das IAM-System stellt einen Genehmigungs-Workflow per E-Mail-Benachrichtigung oder Web-Formular zur Verfügung, bei dem genaue Detailberechtigungen für einzelne Mitarbeiter abgefragt werden. Die Angaben des Managers werden vom IAM-System dazu genutzt, die Funktionsrollen innerhalb des Berechtigungskonzeptes weiter zu definieren und entsprechende Berechtigungsgruppen in der IT-Infrastruktur zuzuordnen.

Diese Workflow-Lösung für die detaillierten Einzelberechtigungen der Mitarbeiter kann auch weiter genutzt werden, wenn das Berechtigungskonzept per IAM-Software live-geschaltet wird. Mit der Zeit sammelt so die Organisation immer mehr Informationen über die getroffenen ad-hoc Entscheidungen der Manager. Der Security Officer kann diese Information dann nutzen, um die RBAC-Pyramide zu vervollständigen.