Home

Zugriffskontrollprozess

Zugriffskontrolle bezeichnet Mechanismen und Verfahren, die den Zugriff auf Ressourcen in Informationssystemen steuern. Sie umfasst die Identifikation und Authentifizierung von Nutzern oder Geräten, die Festlegung von Berechtigungen und die Überwachung von Zugriffen (Accounting). Ziel ist es, nur autorisierten Akteuren den Zugriff entsprechend dem Prinzip der geringsten Privilegien zu gewähren.

Zu den gängigen Modellen der Zugriffskontrolle gehören: Diskretionäre Zugriffskontrolle (DAC), bei der der Eigentümer einer Ressource

Technisch realisiert sich Zugriffskontrolle durch Policy-Decision-Points (PDP) und Policy-Enforcement-Points (PEP), Zugriffskontrolllisten (ACLs) oder Capability-Tokens sowie durch

Anwendungsbereiche umfassen Dateisysteme, Datenbanken, Netzwerke, Anwendungslogik und das Internet der Dinge (IoT). Governance und Standards wie

Berechtigungen
festlegt;
Obligatorische
Zugriffskontrolle
(MAC),
deren
Berechtigungen
einer
zentral
festgelegten
Richtlinie
folgen;
Rollenbasierte
Zugriffskontrolle
(RBAC),
bei
der
Berechtigungen
Rollen
zugeordnet
sind;
und
Attributbasierte
Zugriffskontrolle
(ABAC),
die
Berechtigungen
anhand
von
Nutzungsattributen,
Ressourcenattributen
und
Umgebungsbedingungen
bestimmt.
Identitäts-
und
Attributquellen
wie
Verzeichnisdienste
oder
Identity-Provider.
In
modernen
Umgebungen
erfolgt
die
Durchsetzung
oft
dezentral
oder
in
der
Cloud,
mit
Identity-
und
Access-Management
(IAM)
sowie
Zero-Trust-Architekturen,
die
standardmäßig
strengere
Kontrollen
verlangen.
ISO/IEC
27001,
NIST
SP
800-53
und
NIST
SP
800-171
unterstützen
Richtlinien
und
Bewertungen,
während
Sprachen
wie
XACML
ABAC-Policies
ausdrücken.
Zu
den
typischen
Sicherheitsherausforderungen
gehören
komplexes
Policy-Management,
Privilege
Creep,
Misskonfigurationen
und
Audit-Anforderungen;
bewährte
Praktiken
sind
das
Prinzip
der
geringsten
Privilegien,
regelmäßige
Berechtigungsüberprüfungen,
Mehrfaktor-Authentifizierung
und
umfassende
Protokollierung.