What is access control?

Access control refers to policies that limit who can enter locations or interact with digital information and tools to ensure only authorized individuals reach restricted areas.

What is the difference between authentication and authorization?

Authentication verifies that a person is who they claim to be, while authorization determines the specific resources or areas that verified person is allowed to access.

How does mandatory access control (MAC) function?

MAC relies on strict security policies set by a central administrator. Users can only interact with resources if both the person and the data have matching security attributes assigned to them.

What is role-based access control (RBAC)?

RBAC assigns permissions based on specific roles within an organization. Employees can perform actions associated with their assigned role but cannot change their own access levels.

How does discretionary access control (DAC) differ from other methods?

In DAC, users granted access to an object can pass those permissions to others. It is more flexible than MAC or RBAC but lacks centralized oversight, which can lead to security gaps.

Why are organizations moving from VPNs to Zero Trust security?

Organizations are moving to Zero Trust because it provides more granular authorization than VPNs, improves performance by enforcing policies at the edge, and requires strict verification for every person and device.

What is the benefit of microsegmentation in access control?

Microsegmentation divides a network into isolated zones, allowing for separate authorization for different sections so users only reach the specific resources they need.

Was ist Zugriffskontrolle? | Der Unterschied zwischen Autorisierung und Authentifizierung

Zugriffskontrolle ist eine Reihe von Regeln, mit denen festgelegt wird, wer Zugriff auf einen zugangsbeschränkten Standort oder auf geschützte Informationen erhält.

Was ist Zugriffskontrolle?

Zugriffskontrolle ist ein Sicherheitsbegriff, der sich auf eine Reihe von Richtlinien zur Beschränkung des Zugriffs auf Informationen, Tools und physische Standorte bezieht.

Was ist physische Zugriffskontrolle/Zugangskontrolle?

Obwohl sich dieser Artikel auf die Kontrolle des Informationszugriffs konzentriert, ist die physische Zugriffskontrolle ein nützlicher Vergleich zum besseren Verständnis des Gesamtkonzepts.

Bei der physischen Zugangskontrolle handelt es sich um eine Reihe von Richtlinien, die festlegen, wer Zugang zu einem physischen Ort erhält. Beispiele aus der Praxis für die physische Zugangskontrolle sind u. a.:

Türsteher in einer Bar
Drehkreuze in einer U-Bahn-Station
Zollbeamte am Flughafen
Keycard- oder Badge-Scanner in Firmenbüros

In all diesen Beispielen geht eine Person oder ein Gerät nach einer Reihe von Richtlinien vor, um zu entscheiden, wer Zugang zu einem gesperrten physischen Standort erhält. Ein Schlüsselkartenscanner in einem Hotel beispielsweise gewährt nur autorisierten Gästen mit einem Hotelschlüssel Zugang.

Was ist Zugriffskontrolle bei Informationen?

Die Zugriffskontrolle für Informationen schränkt den Zugriff auf Daten und die Software ein, die zur Bearbeitung dieser Daten verwendet wird. Beispiele hierfür sind:

Sich bei einem Laptop mit einem Passwort anmelden
Ein Smartphone mit einem Fingerabdruck-Scan entsperren
Fernzugriff auf das interne Netzwerk eines Arbeitgebers über ein VPN

In all diesen Fällen wird der Benutzer mittels Software authentifiziert und autorisiert, wenn er auf digitale Informationen zugreifen möchte. Authentifizierung und Autorisierung sind integrale Bestandteile der Informationszugriffskontrolle.

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung ist die Sicherheitspraxis, bei der bestätigt wird, dass ein Nutzer derjenige ist, der er vorgibt zu sein. Die Autorisierung ist der Prozess, bei dem die Zugriffsebene für jeden Nutzer festgelegt wird.

Stellen Sie sich zum Beispiel einen Reisenden vor, der in ein Hotel eincheckt. Wenn er sich an der Rezeption anmeldet, wird er gebeten, einen Reisepass vorzulegen, um zu beweisen, dass er derjenige ist, dessen Name auf der Reservierung steht. Dies ist ein Beispiel für Authentifizierung.

Nachdem der Hotelangestellte den Gast authentifiziert hat, erhält der Gast eine Schlüsselkarte mit eingeschränkten Privilegien. Dies ist ein Beispiel für eine Autorisierung. Die Schlüsselkarte des Gastes gewährt ihm Zugang zu seinem Zimmer, dem Gästeaufzug und dem Pool – aber nicht zu den Zimmern anderer Gäste oder dem Serviceaufzug. Die Hotelangestellten hingegen haben Zutritt zu mehr Bereichen des Hotels als die Gäste.

Die Authentifizierungs- und Autorisierungskontrollen bei Computer- und Netzwerksystemen sind ganz ähnlich strukturiert. Wenn sich ein Benutzer bei seinem E-Mail- oder Onlinebanking-Konto anmeldet, verwendet er eine Kombination aus Anmeldename und Passwort, die nur er kennen sollte. Die Software verwendet diese Informationen zur Authentifizierung des Benutzers. Bei einigen Anwendungen sind die Anforderungen hierfür viel strenger als bei anderen. Während für einige ein Passwort ausreicht, erfordern andere möglicherweise Zwei-Faktor-Authentifizierung oder sogar eine biometrische Überprüfung, z. B. einen Fingerabdruck oder einen Gesichts-Identitätsscan.

Nach der Authentifizierung kann ein Benutzer nur die Informationen aufrufen, auf die er zugreifen darf. Beim Onlinebanking kann der Benutzer nur Informationen zu seinem persönlichen Bankkonto aufrufen. Ein Fondsmanager der Bank kann sich bei derselben Anwendung anmelden und Daten zu den Finanzanlagen der Bank aufrufen. Da die Bank mit sehr sensiblen personenbezogenen Informationen zu tun hat, ist es durchaus möglich, dass niemand uneingeschränkten Zugriff auf alle Daten hat. Selbst der Direktor oder Sicherheitschef der Bank muss möglicherweise ein Sicherheitsprotokoll durchlaufen, bevor er auf die vollständigen Daten einzelner Kunden zugreifen kann.

Was sind die wichtigsten Arten der Zugriffskontrolle?

Nachdem der Authentifizierungsprozess abgeschlossen ist, kann die Autorisierung des Nutzers auf eine von mehreren Arten erfolgen:

Obligatorische Zugriffskontrolle (MAC): Die obligatorische Zugriffskontrolle legt strenge Sicherheitsrichtlinien für einzelne Nutzer und die Ressourcen, Systeme oder Daten fest, auf die sie zugreifen dürfen. Diese Richtlinien werden von einem Administrator kontrolliert. Einzelne Nutzer sind nicht befugt, Berechtigungen im Widerspruch zu bestehenden Richtlinien festzulegen, zu ändern oder zu widerrufen.

Bei diesem System müssen sowohl dem Subjekt (Nutzer) als auch dem Objekt (Daten, System oder andere Ressourcen) ähnliche Sicherheitsattribute zugewiesen werden, um miteinander interagieren zu können. Um auf das vorherige Beispiel zurückzukommen: Der Direktor der Bank bräuchte nicht nur die richtige Sicherheitsfreigabe, um auf Kundendateien zuzugreifen – der Systemadministrator müsste auch festlegen, dass diese Dateien vom Direktor eingesehen und geändert werden können. Dieser Prozess mag zwar überflüssig erscheinen, aber er gewährleistet, dass Nutzer keine unbefugten Aktionen durchführen können, indem sie sich einfach Zugang zu bestimmten Daten oder Ressourcen verschaffen.

Rollenbasierte Zugriffskontrolle (RBAC): Bei der rollenbasierten Zugriffskontrolle werden Berechtigungen auf der Grundlage von Gruppen (definierte Gruppen von Nutzern, wie z. B. Bankangestellte) und Rollen (definierte Gruppen von Aktionen, wie z. B. die Aktionen, die ein Bankkassierer oder ein Filialleiter ausführen kann) festgelegt. Einzelpersonen können jede Aktion ausführen, die ihrer Rolle zugewiesen ist, und ihnen können bei Bedarf mehrere Rollen zugewiesen werden. Wie bei MAC ist es Nutzern nicht gestattet, den Grad der Zugriffskontrolle zu ändern, der ihrer Rolle zugewiesen wurde.

Ein Bankangestellter, dem die Rolle des Kassierers zugewiesen wird, erhält zum Beispiel die Berechtigung, Kontotransaktionen zu bearbeiten und neue Kundenkonten zu eröffnen. Ein Filialleiter hingegen könnte mehrere Rollen innehaben, die ihn berechtigen, Kontotransaktionen zu bearbeiten, Kundenkonten zu eröffnen, einem neuen Mitarbeiter die Rolle des Bankangestellten zuzuweisen und so weiter.

Diskretionäre Zugriffskontrolle (DAC): Sobald ein Nutzer die Erlaubnis erhält, auf ein Objekt zuzugreifen (in der Regel durch einen Systemadministrator oder über eine bestehende Zugriffskontrollliste), kann er anderen Nutzern bei Bedarf Zugriff gewähren. Dies kann jedoch zu Sicherheitslücken führen, da Nutzer ohne strikte Kontrolle durch den Systemadministrator die Sicherheitseinstellungen festlegen und Berechtigungen freigeben können.

Bei der Entscheidung darüber, welche Methode der Nutzer-Autorisierung für ein Unternehmen am besten geeignet ist, müssen die Sicherheitsanforderungen berücksichtigt werden. In der Regel entscheiden sich Organisationen, die ein hohes Maß an Datenvertraulichkeit benötigen (z. B. Regierungsorganisationen, Banken usw.), für strengere Formen der Zugriffskontrolle wie MAC, während Organisationen, die mehr Flexibilität und benutzer- oder rollenbasierte Berechtigungen bevorzugen, zu RBAC- und DAC-Systemen tendieren.

Welche Methoden zur Implementierung der Zugriffskontrolle gibt es?

Ein beliebtes Instrument zur Kontrolle des Informationszugriffs ist ein virtuelles privates Netzwerk (VPN). Ein VPN ist ein Dienst, der es einem Remote-Nutzer ermöglicht, auf das Internet zuzugreifen, als ob er mit einem privaten Netzwerk verbunden wäre. Unternehmensnetzwerke verwenden VPNs häufig, um den Zugriff auf ihr internes Netzwerk über eine geografische Entfernung hinweg zu kontrollieren.

Wenn ein Unternehmen beispielsweise eine Niederlassung in San Francisco und eine weitere Niederlassung in New York hat und seine Mitarbeiter auf der ganzen Welt verteilt sind, kann es zum sicheren Einloggen in sein internes Netzwerk ein VPN nutzen, unabhängig vom physischen Standort der Mitarbeiter. Durch die Verbindung mit dem VPN werden die Mitarbeiter auch vor On-Path-Angriffen geschützt, wenn sie mit einem öffentlichen WLAN-Netzwerk verbunden sind.

VPNs haben jedoch einige Nachteile. Erstens beeinträchtigen VPNs die Performance. Wenn eine Verbindung zu einem VPN besteht, muss jedes Datenpaket, das ein Benutzer sendet oder empfängt, bis zum Ziel einen zusätzlichen Weg zurücklegen, denn jede Anfrage und jede Antwort muss den VPN-Server passieren. Dies führt häufig zu mehr Latenz.

VPNs arbeiten bei der Netzwerksicherheit meist nach der Alles-oder-nichts-Methode. VPNs bieten eine hervorragende Authentifizierung, aber keine detaillierte Steuerung der Berechtigungen. Das führt dazu, dass eine Organisation mehrere VPNs verwenden muss, wenn sie für verschiedene Mitarbeiter unterschiedliche Zugriffsebenen festlegen möchte. Das wird schnell kompliziert und erfüllt dennoch nicht die Anforderungen für Zero Trust-Sicherheit.

Was versteht man unter Zero Trust-Sicherheit?

Zero-Trust-Sicherheit ist ein IT-Sicherheitsmodell mit einer strikten Identitätsprüfung für alle Personen und Geräte, die auf Ressourcen in einem privaten Netzwerk zugreifen möchten. Dabei kommt es nicht darauf an, ob sie sich innerhalb oder außerhalb des Netzwerkperimeters befinden. Bei Zero-Trust-Netzwerken wird auch mit Mikrosegmentierung gearbeitet. Damit ist die Methode gemeint, Sicherheitsperimeter in kleine Zonen aufzuteilen, um den Zugriff für separate Teile des Netzwerks separat zu verwalten.

Inzwischen ersetzen viele Unternehmen VPNs durch SASE-Lösungen wie Cloudflare One. Eine SASE-Sicherheitslösung kann eingesetzt werden, um die Zugriffskontrolle sowohl für Mitarbeitende im Büro als auch für Remote-Beschäftigte zu verwalten, ohne die wesentlichen Nachteile eines VPNs in Kauf nehmen zu müssen.

FAQs

Was ist Zugriffskontrolle?

Zugriffskontrolle bezieht sich auf Richtlinien, die einschränken, wer Standorte betreten oder mit digitalen Informationen und Tools interagieren kann. Es fungiert als Schutz, der sicherstellt, dass nur autorisierte Personen auf geschützte Bereiche zugreifen können.

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung ist die Praxis, zu überprüfen, dass eine Person tatsächlich die ist, die sie vorgibt zu sein. Autorisierung ist der anschließende Prozess, bei dem festgelegt wird, auf welche spezifischen Ressourcen oder Bereiche eine bestimmte Person zugreifen darf.

Wie funktioniert die obligatorische Zugriffskontrolle (MAC)?

Die obligatorische Zugriffskontrolle beruht auf strengen Sicherheitsrichtlinien, die von einem zentralen Administrator anstatt von einzelnen Benutzern festgelegt werden. Damit ein Nutzer mit einer bestimmten Ressource interagieren kann, müssen sowohl der Person als auch den Daten übereinstimmende Sicherheitsattribute zugewiesen werden.

Was ist rollenbasierte Zugriffskontrolle (RBAC)?

Bei dieser Methode werden Berechtigungen auf Grundlage bestimmter Rollen und Gruppen innerhalb einer Organisation zugewiesen. Ein Mitarbeitender, dem eine bestimmte Rolle zugewiesen wurde, kann die mit dieser Rolle verbundenen Aktionen ausführen, aber er kann die mit dieser Rolle verbundenen Zugriffsebenen nicht ändern.

Wie unterscheidet sich die benutzerbestimmbare Zugangskontrolle (Discretionary Access Control, DAC) von anderen Methoden?

In einem DAC-System können Benutzer, denen Zugriff auf ein bestimmtes Objekt gewährt wurde, diese Berechtigung nach eigenem Ermessen an andere weitergeben. Dieser Ansatz ist zwar flexibel, kann aber zu Sicherheitslücken führen, da ihm die zentralisierte Überwachung wie bei MAC oder RBAC fehlt.

Warum wechseln Unternehmen von VPNs zu Zero-Trust-Sicherheit?

VPNs erzwingen zwar eine Authentifizierung, aber es fehlen oft detaillierte Autorisierungskontrollen. Sie können auch die Performance beeinträchtigen, da die Daten zusätzliche Entfernungen zu VPN-Servern zurücklegen müssen. Zero Trust-Sicherheit löst diese Probleme, indem sie eine strenge Überprüfung jeder Person und jedes Geräts verlangt und Sicherheitsrichtlinien am Netzwerkrand durchsetzt, anstatt diese über entfernte VPN-Server durchzusetzen.

Was ist der Vorteil der Mikrosegmentierung bei der Zugriffskontrolle?

Mikrosegmentierung ist die Sicherheitspraxis, ein Netzwerk in kleinere, isolierte Zonen zu unterteilen. Auf diese Weise kann ein Unternehmen separate Autorisierungen für verschiedene Teile des Netzwerks aufrechterhalten und so sicherstellen, dass ein Benutzer nur auf die spezifischen Ressourcen zugreift, die er benötigt.