In der Informationssicherheit geht es vorrangig um den Schutz der innerbetrieblichen Daten. Die ordnungsgemäße Vergabe von Berechtigungen ist hierbei der erste elementare Schritt. Nur wenn die Berechtigungen ordnungsgemäß vergeben werden, können Informationssysteme vor unrechtmäßigen Zugriffen geschützt und somit die Integrität, Authentizität sowie Verfügbarkeit der Daten gewährleistet werden. Aufgrund immer komplexerer Systeme, ist das allerdings kein leichtes Unterfangen. Zur Strukturierung werden daher Rollen- und Berechtigungskonzepte eingesetzt. In diesen können komplexe Berechtigungsstrukturen und detaillierte organisatorische Abläufe festgehalten werden. Das ideale Rollen- und Berechtigungskonzept setzt sich aus einer Vielzahl einzelner Teilgebiete zusammen. Neben den Rechten für Dateisysteme und Webanwendungen sollten auch die Nutzung von Branchensoftware oder die Zugangsregelungen von Räumlichkeiten erfasst werden. Aufgrund der gestiegenen Komplexität und den damit einhergehenden Anforderungen sind die einzelnen Bereiche oft sehr umfangreich. Aus diesem Grund ist es von Bedeutung, sich eine Art „Fahrplan“ zu erarbeiten, um die einzelnen Themengebiete schrittweise zusammenzuführen.

Berechtigungen

Die elementarste Komponente zur Verwaltung von Rechten in Bezug auf Dateisysteme ist die Berechtigung selbst. Diese besteht aus einem zu berechtigenden Objekt und einer Operation.

Berechtigungsobjekte

Der erste Teil der Berechtigung ist das zu berechtigende Objekt. Das Berechtigungsobjekt ist entweder ein Inhalt, auf den zugegriffen wird, oder eine Funktion, die ausgeführt werden soll. Das Objekt kann in beiden Fällen von einer Identität (bspw. einem Anwender) genutzt werden und wird daher auch Ressource genannt.

Operationen

Lassen sich Berechtigungsobjekte noch in inhaltliche oder funktionelle Ressourcen unterscheiden, ist das bei den Operationen schon schwieriger. Diese gibt es in unterschiedlichster Form, da sie direkt mit dem Berechtigungsobjekt und der jeweiligen Funktionalität verbunden sind. Die nachfolgende Übersicht bildet einen Auszug, der in der Informationstechnik am häufigsten genutzten Operationen:

  • Entdecken (Detect)
    • Die Operation ermöglicht es die Existenz eines Objektes festzustellen. Hierfür ist es nötig Kenntnis über den genauen Ort des Objektes im System zu haben.
  • Suchen (Search)
    • Die Search-Operation erlaubt es ein Objekt ohne genaue Kenntnis über dessen Position im System zu finden. Voraussetzung für eine Search-Operation ist die Detect-Berechtigung.
  • Vergleichen (Compare)
    • Das Vergleichen zweier Objekte ist in der Informationstechnik eine elementare Aktion. Bekannte Beispiele hierfür sind unter anderem die Passwortüberprüfungen, Datenbankabfragen oder auch Checksummenprüfungen.
  • Lesen (Read)
    • Die einfache Read-Operation berechtigt dazu, das Objekt zu öffnen und somit deren Inhalt darzustellen. Darüber hinaus können Attribute wie Größe oder Erstellungsdatum ausgelesen werden.
  • Schreiben (Write)
    • Hiermit wird dem Nutzer das Erstellen von neuen Objekten gewährt. Außerdem ist es möglich einem bestehenden Objekt etwas anzufügen, bspw. weiteren Text bei einem Dokument.
  • Ändern (Change)
    • Für die Change-Operation werden sowohl die Read- als auch die Write-Operation benötigt. Beim Ändern können Teile des Objekts entfernt und durch neue ersetzt werden. Theoretische wäre es auch möglich den Inhalt eines Objektes komplett zu entfernen und somit alles bis auf die „Hülle“ zu löschen. Aus diesem Grund wird bspw. in aktuellen Dateisystemen bei der Change-Operation auch die Delete-Operation gleich inkludiert.
  • Löschen (Delete)
    • Diese Operation ermöglicht es das Objekt vollständig zu löschen.
  • Ausführen (Execute)
    • Zum Ausführen von Programmen oder Skripten wird die Execute-Operation benötigt. Die Operation umfasst zwingend die Read-Operation.

In den seltensten Fällen ist es allerdings sinnvoll, die Berechtigungen soweit aufzuschlüsseln. Diese sogenannte atomare Berechtigungsvergabe wird z.B. häufig in der Programmierung eingesetzt. Für die meisten Anforderungen reicht es, die oben genannten Berechtigungen zusammenzufassen. Eine Berechtigung zum Schreiben macht bspw. wenig Sinn, wenn die Berechtigung zum Lesen fehlt. Gerade aufgrund der gestiegenen Komplexität der IT-Infrastruktur sollte es das Ziel eines Rollen- und Berechtigungskonzeptes sein, einzelne Berechtigungen so detailliert wie nötig und so kompakt wie möglich abzubilden.

Rollen

Das zweite wesentliche Element zur Strukturierung und Steuerung von Berechtigungen sind die Rollen. Mit diesen ist es möglich Identitäten oder auch komplexe Berechtigungsstrukturen zusammenzufassen. Die Bündelung bietet dabei zwei wesentliche Vorteile. Zum einen werden mögliche Fehler durch die Vermeidung von individuellen Anpassungen soweit wie möglich unterbunden. Zum anderen werden die Kosten für Wartungsarbeiten auf ein Minimum reduziert. Werden Personenkreise oder auch komplexe Tätigkeiten gleich gehandhabt, sollten diese so gut es geht zusammengefasst werden. Grundsätzlich werden die folgenden beiden Formen von Rollen unterschieden:

Organisatorische Rollen / Business-Rollen

Die organisatorische Rolle bzw. Business-Rolle bietet die Möglichkeit Personengruppen als eine Einheit zu betrachten. Ganz ähnlich wie bei den Berechtigungen sind die Möglichkeiten der Differenzierung sehr vielfältig. Um den Erstellungsaufwand und die späteren Wartungsarbeiten in Grenzen zu halten, heißt auch hier die Devise „so detailliert wie nötig, so kompakt wie möglich“. Business-Rollen werden daher meist auf der Basis der folgenden drei Varianten unterschieden:

  • Zuständigkeitsbereich
    • Bspw. Buchhaltung; IT-Abteilung; Einkauf
  • Funktion
    • Bspw. Personalbuchhalter; Sozialarbeiter; Verkaufsleiter
  • Tätigkeit
    • Bspw. Mitarbeiterschulung; Materialbeschaffung; Dokumentenprüfung

Technische Rollen

Die technische Rolle orientiert sich im Gegensatz zur organisatorischen Rolle an der zu berechtigenden Ressource. Sie fungiert als eine Art „Mittelsmann“ zwischen der Business-Rolle und dem Berechtigungsobjekt. Die Funktion lässt sich am besten an einem Beispiel aufzeigen. Für das Scannen in einem Netzwerk werden eine ganze Reihe an Berechtigungen vorausgesetzt. Der Scanner benötigt bspw. die Schreiben-Berechtigung, um eingescannte Dokumente in einem Ordner abzulegen. Die Benutzer sollten darüber hinaus die Möglichkeit haben die Dokumente zu lesen und evtl. zu löschen. Um diese Berechtigungen nicht in jeder organisatorischen Gruppe zu hinterlegen, werden diese einmalig als technische Rolle zusammengefasst und der Ressource bspw. dem Scanner zugewiesen.

Weitere Elemente

In einem Rollen- und Berechtigungskonzept sollten darüber hinaus, abhängig von der jeweiligen Organisation, weitere Aspekte betrachtet werden. Die nachfolgenden Fragen bieten einen Ansatz welche weiteren Themen aufgegriffen werden können:

  • Wie ist die Vergabe bzw. der Entzug von Berechtigungen geregelt?
  • Welche Parteien sind beteiligt und wie werden diese überprüft?
  • Wie werden die Berechtigungen dokumentiert?
  • Welche Vertretungen sind eingerichtet?
  • Wie wird die Aktualität der Rollen und Berechtigungen gewährleistet?
  • Ist das Konzept vollständig und welche Teile fehlen evtl. noch?
  • Sind anonymisierte/pseudonymisierte Zugänge vorhanden und kann auf diese verzichtet werden?

Vorteile von Rollen- und Berechtigungskonzepten

Der Einsatz von Rollen- und Berechtigungskonzepten bietet klare Vorteile:

  • transparente und strukturierte Vergabe von Berechtigungen
  • detaillierte Dokumentation von Berechtigungen
  • geringerer Wartungsaufwand gegenüber der individuellen Berechtigungsvergabe

Sie haben Interesse, eine strukturierte und transparente Vergabe von Berechtigungen in Ihrer Organisation einzuführen, dann sprechen Sie uns an. Weitere Informationen sowie unser Kontaktformular finden Sie hier.

In Anlehnung an das Bundesamt für Sicherheit in der Informationstechnik (BSI), verwenden wir in unseren Beiträgen ausschließlich den Begriff Informationssicherheit. Letzten Endes geht es immer um den Schutz Ihrer sensiblen Unternehmensdaten. Ganz gleich ob wir das Thema nun Datensicherheit, Informationssicherheit, IT-Sicherheit oder auch IT-Security nennen, wir unterstützen Sie gern dabei.

 

Quelle:

Alexander Tsolkas / Klaus Schmidt: Rollen und Berechtigungskonzepte. Vieweg+Teubner Verlag / Springer Fachmedien Wiesbaden GmbH, 2010