Was ist Zugriffskontrolle?

Zugriffskontrolle ist eine Kernkomponente der Datensicherheit. Sie regelt, wer Unternehmensdaten abrufen und verwenden darf. Mittels Authentifizierung und Autorisierung validieren Zugriffskontrollrichtlinien die Identität sowie die Zugriffsberechtigungen von Benutzern. Über Zugriffskontrollen kann auch der physische Zugang zu einem Campus, Gebäude, Raum oder Rechenzentrum eingeschränkt werden.

Wie funktioniert Zugriffskontrolle?

Zugriffskontrolle identifiziert Benutzer durch die Verifizierung verschiedener Anmeldeinformationen, wie Benutzernamen und Passwörter, PINs, Biometriedaten und Sicherheitstokens. Viele Zugriffskontrollsysteme verwenden auch Multifaktor-Authentifizierung, eine Kombination aus mehreren Authentifizierungsmethoden zur Identitätsbestätigung.

Ist ein Benutzer einmal authentifiziert, werden per Zugriffskontrolle die Berechtigungen verteilt, die den Anmeldedaten und der IP-Adresse des Benutzern zugeordnet sind.

Es gibt vier Hauptarten von Zugriffskontrolle. Die Entscheidung für eine Methode basiert üblicherweise auf den individuellen Sicherheits- und Compliance-Anforderungen des Unternehmens. Die vier Modelle der Zugriffskontrolle:

Discretionary Access Control (DAC) 

Bei dieser Methode bestimmt der Eigentümer oder Administrator des geschützten Systems, der Daten oder der Ressourcen die Zugriffsrichtlinien. 

Mandatory Zugriffskontrolle (MAC) 

Bei diesem verpflichtenden Modell wird Zugriff nur auf Basis von Freigabestufen verteilt. Die Zugriffsrechte werden anhand der einzelnen Freigabestufen von einer zentralen Stelle geregelt. Sie wird häufig von Regierungsbehörden und in militärischen Einrichtungen verwendet. 

Role-based Access Control (RBAC) 

RBAC gewährt Zugriff aufgrund vordefinierter Funktionen im Unternehmen anstatt der Identität einzelner Benutzer. Dabei sollten Benutzer nur Zugriff auf die Daten erhalten, die sie für ihre Aufgabe benötigen. Diese weitverbreitete Methode basiert auf einer komplexen Kombination aus Rollenzuweisungen, Autorisierungen und Berechtigungen. 

Attribute-based Access Control (ABAC)

Bei dieser dynamischen Methode basiert der Zugriff auf einem Satz an Attributen und Umgebungsbedingungen wie Uhrzeit und Standort, die sowohl Benutzern als auch Ressourcen zugewiesen werden. 

Wieso ist Zugriffskontrolle wichtig? 

Zugriffskontrolle verhindert, dass vertrauliche Informationen wie Kundendaten, personenbezogene Daten und geistiges Eigentum in die falschen Hände geraten. Ohne eine zuverlässige Zugriffskontrollrichtlinie riskieren Unternehmen Leaks von internen und externen Quellen.

Dies gilt besonders für Unternehmen mit hybriden Multi-Cloud-Umgebungen, da Ressourcen, Anwendungen und Daten dort sowohl im eigenen Rechenzentrum als auch in der Cloud bereitgestellt werden. Zusätzlich zu SSO (Single Sign-On) kann eine Zugriffskontrolle solchen Umgebungen mehr Sicherheit geben. 

Weitere Ressourcen