ABAC
ABAC (Attribute-Based Access Control) ist ein Zugriffskontrollmodell, das Zugriffsrechte auf Basis von Attributen der anfragenden Person, der Ressource und der Umgebungsbedingungen vergibt – statt nur anhand starrer Rollen.
Ausführliche Erklärung
Bei der attributbasierten Zugriffskontrolle werden Zugriffsrechte durch die Auswertung verschiedener Attribute bestimmt. Diese Attribute können Eigenschaften des Benutzers umfassen, etwa dessen Abteilung, Standort, Sicherheitsfreigabe oder Funktion. Ebenso können Merkmale der Ressource einbezogen werden, beispielsweise deren Vertraulichkeitsstufe oder Dateityp. Hinzu kommen Umgebungsbedingungen wie Tageszeit, verwendetes Gerät, IP-Adresse oder geografischer Standort. Zugriffsentscheidungen werden in Echtzeit getroffen, indem diese Attribute gegen definierte Richtlinien geprüft werden.
ABAC unterscheidet sich von der rollenbasierten Zugriffskontrolle (RBAC), die Berechtigungen primär über feste Rollen vergibt. Während RBAC bei klar abgegrenzten Strukturen effizient funktioniert, stößt es bei komplexen oder dynamischen Anforderungen an Grenzen. ABAC bietet hier mehr Flexibilität: Es kann kontextabhängige Regeln umsetzen, etwa dass ein Mitarbeiter nur innerhalb der regulären Arbeitszeiten und vom Firmen-Netzwerk aus auf sensible Finanzdaten zugreifen darf. Dadurch ermöglicht ABAC eine feingranulare Steuerung, die sich an wechselnde Geschäftsbedingungen und Compliance-Anforderungen anpassen lässt.
Für KMU wird ABAC besonders dann relevant, wenn mehrere Standorte, externe Partner oder Cloud-Dienste ins Spiel kommen und einfache Rollenzuweisungen nicht mehr ausreichen. Die Implementierung erfordert allerdings ein klares Verständnis der eigenen Datenstrukturen, Geschäftsprozesse und Sicherheitsanforderungen. Attribute und Richtlinien müssen sorgfältig definiert und regelmäßig überprüft werden. Der initiale Aufwand ist höher als bei RBAC, dafür reduziert ABAC langfristig den administrativen Aufwand und minimiert Sicherheitsrisiken durch zu weitreichende oder veraltete Berechtigungen.
ABAC wird häufig in regulierten Branchen eingesetzt, etwa im Gesundheitswesen oder Finanzsektor, wo Compliance-Vorgaben wie die DSGVO präzise Zugriffsprotokolle verlangen. Auch Hybridmodelle, die RBAC und ABAC kombinieren, sind verbreitet: Standardberechtigungen werden über Rollen verwaltet, während zusätzliche Sicherheitsebenen über Attribute abgebildet werden.
Praxisbeispiel
Ein österreichisches IT-Beratungsunternehmen mit 45 Mitarbeitern arbeitet regelmäßig mit externen Projektpartnern und Kunden zusammen. Über ABAC wird geregelt, dass interne Projektleiter auf Kundendaten nur dann zugreifen dürfen, wenn sie dem jeweiligen Projekt zugeordnet sind und der Zugriff von einem registrierten Firmengerät erfolgt. Externe Berater erhalten lesenden Zugriff ausschließlich während der Projektlaufzeit und nur auf die für sie relevanten Dokumente. Sobald ein Projekt abgeschlossen ist, werden die Zugriffsrechte automatisch entzogen.
Code-Beispiel
// Beispiel einer ABAC-Regel in Pseudocode
if (user.role == "Projektleiter" AND
user.assignedProject == resource.projectID AND
environment.deviceType == "managed" AND
environment.networkZone == "corporate") {
grant_access(READ, WRITE);
} else if (user.role == "Externer Berater" AND
user.assignedProject == resource.projectID AND
project.status == "active" AND
environment.time within project.duration) {
grant_access(READ);
} else {
deny_access();
}Quellen
- NIST Special Publication 800-162: Guide to Attribute Based Access Control (ABAC) Definition and Considerations
- Okta: Wie funktioniert die attributbasierte Zugriffskontrolle (ABAC)?
- Tools4ever: Attribute-Based Access Control (ABAC) verständlich erklärt
- AP-Verlag: Die drei Arten der Zugangskontrolle – ein Leitfaden