Autorisierungsmodell

Ein Autorisierungsmodell definiert, wie Systeme entscheiden, welche Aktionen Benutzer oder Prozesse ausführen dürfen. Gängige Modelle sind RBAC, ABAC und PBAC, die jeweils unterschiedliche Grade an Flexibilität und Kontrolle bieten.

Autorisierungsmodell

Ein Autorisierungsmodell definiert die Regeln und Strukturen, nach denen ein System bestimmt, welche Aktionen ein Benutzer, Prozess oder Gerät ausführen darf. Es geht über die Authentifizierung (Identitätsprüfung) hinaus und beantwortet die Frage: „Was darf dieses Subjekt tun?“

Autorisierungsmodelle sorgen für sicheren und kontrollierten Zugriff auf Ressourcen wie Dateien, APIs, Datenbanken oder Anwendungsfunktionen. Sie sind ein Grundpfeiler der Informationssicherheit und Compliance.

Wichtige Typen von Autorisierungsmodellen

  • Rollenbasierte Zugriffskontrolle (RBAC)
    Der Zugriff basiert auf vordefinierten Rollen (z. B. Admin, Editor, Viewer). Benutzer erben Berechtigungen von ihren Rollen.
    Beispiel: In einem CMS kann nur ein Admin Artikel löschen, während ein Editor Artikel erstellen und bearbeiten darf.

  • Attributbasierte Zugriffskontrolle (ABAC)
    Entscheidungen basieren auf Attributen von Benutzer, Ressource und Umgebung (z. B. Abteilung, Uhrzeit, Sensitivitätsstufe).
    Beispiel: Ein Finanzbericht darf nur von Benutzern mit dem Attribut department=Finance während der Arbeitszeit eingesehen werden.

  • Richtlinienbasierte Zugriffskontrolle (PBAC)
    Der Zugriff wird über Richtlinien gesteuert, die in einer formalen Sprache definiert sind. PBAC kann Rollen und Attribute kombinieren, um fein granulierte Regeln zu ermöglichen.
    Beispiel: „Manager können Ausgaben bis zu 5.000 € freigeben; höhere Beträge benötigen die Genehmigung eines Direktors.“

  • Discretionary Access Control (DAC)
    Ressourcenbesitzer entscheiden, wer Zugriff auf ihre Ressourcen erhält.
    Beispiel: Ein Benutzer teilt ein privates Google-Dokument mit bestimmten E-Mail-Adressen.

  • Mandatory Access Control (MAC)
    Der Zugriff wird vom System anhand von Sicherheitsklassifikationen bestimmt.
    Beispiel: In Militärsystemen sind Dokumente als Vertraulich, Geheim oder Streng geheim klassifiziert.

Beispiel in der Praxis

RBAC (vereinfachtes PHP-Beispiel)

$userRole = "editor";

function canDeleteArticle($role) {
    return $role === "admin";
}

if (canDeleteArticle($userRole)) {
    echo "Artikel gelöscht";
} else {
    echo "Zugriff verweigert";
}

Vorteile von Autorisierungsmodellen

  • Sicherheit – Verhindert unbefugten Zugriff auf sensible Daten.
  • Skalierbarkeit – Einfache Verwaltung von Berechtigungen in großen Organisationen.
  • Compliance – Unterstützt die Einhaltung gesetzlicher und regulatorischer Standards (z. B. DSGVO, HIPAA).
  • Flexibilität – Unterschiedliche Modelle ermöglichen je nach Bedarf fein- oder grobgranulare Zugriffskontrolle.

Herausforderungen

  • Komplexität – Attribut- oder richtlinienbasierte Systeme können schwer zu verwalten sein.
  • Overhead – Große Systeme benötigen möglicherweise erhebliche Infrastruktur, um Zugriffsentscheidungen schnell auszuwerten.
  • Fehlkonfigurationsrisiko – Schlecht definierte Rollen oder Richtlinien können unbeabsichtigt zu übermäßigen Berechtigungen führen.

Fazit

Ein Autorisierungsmodell definiert, wie Berechtigungen in einem System verwaltet und durchgesetzt werden. Ob rollenbasiert, attributbasiert oder richtlinienbasiert – die Wahl des richtigen Modells ist entscheidend, um Sicherheit, Benutzerfreundlichkeit und Compliance in Einklang zu bringen.

Zurück zum Glossar