Rollenbasierte Zugriffskontrolle
Rollenbasierte Zugriffskontrolle (RBAC) vergibt Zugriffsrechte nicht an einzelne Personen, sondern an definierte Rollen, denen Nutzer zugewiesen werden, sodass Berechtigungen anhand der Funktion im Unternehmen gesteuert werden.
Die rollenbasierte Zugriffskontrolle (englisch Role-Based Access Control, RBAC) ist ein Verfahren der Zugriffsverwaltung, bei dem Berechtigungen nicht direkt an einzelne Nutzerkonten, sondern an abstrakte Rollen geknüpft werden. Eine Rolle bündelt die für eine bestimmte Funktion oder Aufgabe erforderlichen Rechte, etwa "Buchhaltung", "Personalsachbearbeitung" oder "Systemadministration". Nutzer erhalten Zugriff ausschließlich über die ihnen zugewiesenen Rollen. Dadurch wird die Vergabe und der Entzug von Berechtigungen entkoppelt von der einzelnen Person und folgt stattdessen der organisatorischen Struktur, was die Verwaltung in größeren Umgebungen erheblich vereinfacht und nachvollziehbar macht.
RBAC ist ein zentrales Werkzeug zur Umsetzung der Grundsätze der minimalen Rechtevergabe (Least Privilege) und des Need-to-know-Prinzips: Jede Rolle sollte nur die Rechte umfassen, die zur Erfüllung der jeweiligen Aufgabe tatsächlich notwendig sind. Sauber definierte Rollen unterstützen zudem die Funktionstrennung (Segregation of Duties), indem unvereinbare Berechtigungen, etwa das Anlegen und das Freigeben einer Zahlung, nicht in einer Rolle zusammenfallen. Im Lebenszyklus eines Beschäftigten (Eintritt, Wechsel, Austritt) lassen sich Berechtigungen durch bloßes Zuweisen oder Entziehen von Rollen konsistent steuern, wodurch das Risiko verwaister oder überzogener Rechte sinkt.
In Managementsystemen für Informationssicherheit ist RBAC ein anerkannter Standardmechanismus zur Erfüllung der Anforderungen an die Zugriffssteuerung. Die ISO/IEC 27001 verlangt in ihrem Annex A eine an den Geschäftsanforderungen ausgerichtete Zugangs- und Berechtigungsverwaltung, der IT-Grundschutz des BSI behandelt sie im Baustein zur Identitäts- und Berechtigungsverwaltung (ORP.4). RBAC sollte durch regelmäßige Rezertifizierung (Access Reviews), ein dokumentiertes Rollenkonzept und eine technische Umsetzung im Identity- und Access-Management-System abgesichert werden, damit Rollen nicht über die Zeit "verschmutzen" und das Berechtigungsmodell prüfbar bleibt.
Rechtliche Grundlage
ISO/IEC 27001:2022, Annex A 5.15, A 5.18, A 8.2, A 8.3; BSI IT-Grundschutz Baustein ORP.4 (Identitäts- und Berechtigungsmanagement); Art. 21 Abs. 2 lit. i NIS-2-Richtlinie (EU) 2022/2555
Praxisbeispiel
Ein Informationssicherheitsbeauftragter eines mittelständischen Maschinenbauers stellt bei einem internen Audit fest, dass über die Jahre dutzende Mitarbeitende individuell vergebene Einzelrechte angesammelt haben, die niemand mehr überblickt. Er führt ein Rollenkonzept ein: Für jede Abteilung werden Rollen mit klar definierten Berechtigungen modelliert, bestehende Einzelrechte werden auf Rollen abgebildet und überzählige Rechte entzogen. Künftig erhält jeder neue Beschäftigte ausschließlich über seine Rolle Zugriff, und halbjährliche Rezertifizierungen bestätigen, dass jede Rolle weiterhin nur die wirklich benötigten Rechte enthält. Beim Abteilungswechsel eines Mitarbeiters wird die alte Rolle entzogen und die neue zugewiesen, sodass keine Altrechte verbleiben.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren