Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

(RBAC) Rollenbasierte Zugriffskontrolle : Was ist das und warum implementieren?

Geschrieben von Michael Buckbee | Aug 3, 2018 5:31:00 AM

Kann ein gestohlenes Passwort der Schlüssel zum ganzen Königreich sein? Nun, es stellt sich heraus, dass bei 81% der Datenschutzverletzungen im Jahr 2017 gestohlene oder schwache Passwörter verwendet wurden, um in das Netzwerk zu gelangen.
Wir müssen im Jahr 2018 besser werden. Wir müssen unsere Berechtigungsstandards überarbeiten und rollenbasierte Zugriffskontrollen (RBAC) einführen, um die Benutzer auf ihren zugewiesenen Plätzen im Netzwerk zu halten.

Rollenbasierte Zugriffskontrolle (RBAC): Was ist das?

Rollenbasierte Zugriffskontrollen (RBAC) sind ein Netzwerksicherheitsparadigma, bei dem den Benutzern im Netzwerk Berechtigungen basierend auf ihrer Rolle im Unternehmen gewährt werden. Und das ist ganz einfach: die Finanzabteilung bekommt nicht die Daten der Personalabteilung zu sehen und umgekehrt.

Jeder Benutzer im Netzwerk hat eine zugewiesene Rolle, und jede Rolle ist mit einer Reihe von Zugriffsrechten auf Ressourcen innerhalb des Unternehmens verbunden. Zum Beispiel haben unsere Finanzleute Zugriff auf das CRM in Abhängigkeit ihrer Anwendungsfälle, Zugriff auf E-Mails und Zugriff auf die Finanzordner im Netzwerk. Und das könnte schon alles sein.

Bei richtiger Umsetzung ist eine RBAC für die Benutzer verständlich. Die Rollenzuweisung erfolgt hinter den Kulissen und jeder Benutzer erhält Zugriff auf die Anwendungen und Daten, die er für seine Arbeit benötigt.

Warum sollten Sie RBAC implementieren?

Durch Implementierung einer rollenbasierten Zugriffskontrolle lässt sich die betriebliche Effizienz optimieren. Ihre Daten werden vor Verlust oder Diebstahl geschützt, der Aufwand für Administration und IT-Support wird geringer und es wird einfacher, Audit-Anforderungen einzuhalten.

Benutzer sollten Zugriff auf die Daten haben, die sie für ihre Arbeit benötigen – der Zugriff auf Daten, die sie nicht benötigen, vergrößert das Risiko, dass diese Daten veruntreut, gestohlen, beschädigt oder manipuliert werden. Hacker lieben es, sich Zugang zu einem Konto zu verschaffen und sich damit auf der Suche nach verkaufsfähigen Daten lateral durch das Netzwerk zu bewegen. Aber wenn Sie eine gute RBAC eingeführt haben, kommen die Hacker keinen Schritt weiter, wenn sie die Zugriffssphäre des gehackten Benutzers verlassen wollen.

Es ist natürlich schlecht, dass ein Konto gehackt wurde, aber es könnte noch viel schlimmer sein, wenn dieser Benutzer Zugriff auf alle sensiblen Daten hätte. Selbst wenn der betroffene Benutzer zur Personalabteilung gehört und Zugriff auf personenbezogene Daten (PII) hat, kann der Hacker nicht einfach auf die Daten des Finanzteams oder der Geschäftsleitung zugreifen.

Durch RBAC wird außerdem die Arbeitslast für IT und Verwaltung in allen Unternehmensbereichen reduziert und die Produktivität der Benutzer gesteigert. Wenn dies auch zunächst der ersten Intuition widerspricht, macht es bereits nach kurzer Überlegung Sinn. Die IT-Abteilung muss nicht mehr die individuellen Berechtigungen aller Benutzer verwalten, und die richtigen Benutzer erhalten einfacher Zugriff auf die für sie gedachten Daten.

Die Verwaltung neuer Benutzer oder Gastbenutzer kann zeitaufwändig und schwierig sein. Aber wenn Sie RBAC nutzen, das diese Rollen definiert noch bevor ein Benutzer dem Netzwerk beitritt, können Sie den gesamten Vorgang in einem Aufwasch erledigen. Sobald Gäste und neue Benutzer dem Netzwerk beitreten, sind ihre Zugriffsberechtigungen bereits definiert.

Und schließlich spart die Umsetzung der RBAC Ihrem Unternehmen eine Menge Geld. RTI hat im Jahr 2010 den Bericht „Die wirtschaftlichen Auswirkungen einer rollenbasierten Zugriffskontrolle“ veröffentlicht, aus dem hervorgeht, dass mit einem RBAC-System eine erhebliche Investitionsrendite zu erzielen ist. Eine hypothetische Finanzfirma mit 10.000 Mitarbeitern kann nach Schätzung von RTI mit RBAC in der IT-Abteilung Arbeitszeit im Wert von 24.000 USD pro Jahr und aufgrund reduzierter Wartezeiten bei den anderen Mitarbeitern 300.000 USD pro Jahr sparen. Durch die Automatisierung der Zugriffsverwaltung für Benutzer lässt sich sogar eine noch höhere Einsparung allein durch den geringeren Arbeitsaufwand in der IT erzielen.

Nach der Implementierung ist Ihr Netzwerk wesentlich sicherer als zuvor und Ihre Daten viel besser vor Diebstahl geschützt. Und Ihnen kommen die weiteren Vorzüge der gesteigerten Produktivität Ihrer Benutzer und IT-Mitarbeiter zugute.

In drei Schritten zum RBAC

Wie lässt sich die rollenbasierte Zugriffskontrolle am besten einführen? Sie sollten zu Anfang die folgenden Schritte in Betracht ziehen:

  1. Definieren der Ressourcen und Dienste, die Sie für Ihre Benutzer bereitstellen (z. B. E-Mail, CRM, Netzwerkspeicher, CMS usw.)
  2. Erstellen einer Rollenbibliothek: Ordnen Sie den Stellenbeschreibungen die Ressourcen aus Schritt 1 zu, die für die Aufgaben der jeweiligen Funktion benötigt werden.
  3. Zuordnung der Benutzer zu den definierten Rollen.

Die gute Nachricht ist, dass Sie diesen Prozess automatisieren können: Varonis DatAdvantage liefert Ihnen Daten darüber, wer gegenwärtig die gemeinsamen Netzwerkverzeichnisse regelmäßig nutzt und wer nicht. Bei der Zuordnung der Dateiberechtigungen zu Rollen legen Sie auch einen Daten-Eigentümer für die Netzwerkverzeichnisse fest. Dieser Daten-Eigentümer ist langfristig für die Verwaltung der Berechtigungen in Bezug auf die ihm anvertrauten Daten zuständig und kann Zugriffsanfragen ganz einfach über die Bedienoberfläche von Varonis DataPrivilege genehmigen oder ablehnen. Außerdem bietet Varonis Modellierungsfunktionen, mit denen Sie bei der Zuteilung der Rollen sehen können, was passiert, wenn Sie einer Rolle den Zugriff auf einen Ordner entziehen, bevor Sie die Maßnahme umsetzen.

Sobald die Implementierung abgeschlossen ist, muss das System unbedingt sauber gehalten werden. Keinem Benutzer dürfen dauerhaft Berechtigungen außerhalb seiner Rolle zugeteilt werden. Bei DataPrivilege kann auf Grundlage einzelner Anfragen vorübergehend Zugriff auf Netzwerkverzeichnisse gewährt werden, ohne gegen die erste Regel zu verstoßen. Hierbei ist jedoch ein geregeltes Änderungsverfahren angeraten, um die Rollen bei Bedarf anzupassen.

Und natürlich sollten regelmäßige Audit- und Aufsichtsprozesse für alle kritischen Ressourcen eingerichtet werden. Sie müssen wissen, ob ein Benutzer versucht, auf Daten zuzugreifen, die über seine zugeordnete Funktion hinausgehen, oder ob einem Benutzer eine Berechtigung eingeräumt wird, die nicht zu seiner Rolle gehört.

Böswillige Benutzer können bei dem Versuch, Ihre Sicherheitsvorkehrungen zu durchbrechen, auf unterschiedliche Methoden zurückgreifen. Eine gute Überwachungs- und Datenanalyseplattform setzt ihre RBAC-Regeln durch, versorgt Ihr Sicherheitsteam mit Benachrichtigungen und Informationen für die Abwehr von Hacker-Angriffen und verhindert Datenschutzverletzungen noch in der Entstehungsphase.