ABAC – Attributbasierte Zugriffskontrolle

RBAC ist leistungsstark, hat aber eine strukturelle Grenze: Die Rolle entscheidet alles – egal zu welcher Uhrzeit, von welchem Gerät, aus welchem Land, oder ob die Daten als vertraulich klassifiziert sind. Eine Ärztin mit der Rolle „Ärztin" darf alle Patientenakten lesen – auch die einer fremden Klinik, auch um 3 Uhr morgens von einem unbekannten Laptop. Das ist unbefriedigend.

ABAC – Attribute-Based Access Control geht einen Schritt weiter: Die Zugriffsentscheidung basiert nicht auf einer Rolle, sondern auf Attributen – Eigenschaften des anfragenden Benutzers, der angeforderten Ressource und des Kontexts der Anfrage. Eine ABAC-Policy könnte lauten: „Zugriff auf Patientenakte erlaubt, wenn: Benutzer ist Ärztin UND Benutzer ist in derselben Klinik wie der Patient UND Uhrzeit ist 6–22 Uhr UND Gerät ist MDM-verwaltet." Das ist präzise Zugriffskontrolle auf Basis echter Umstände.

1) Die drei Attributkategorien

ABAC-Policies kombinieren Attribute aus drei Bereichen. Jede Kategorie liefert Informationen für die Entscheidungslogik. Je mehr relevante Attribute einfließen, desto präziser – und desto komplexer – wird die Policy.

ABAC-Attributkategorien

👤 Subjekt-Attribute

Rolle: Ärztin Abteilung: Kardiologie Klinik: München Clearance: Level 2 Gerät: MDM ✓ Vertrag: aktiv

📄 Ressourcen-Attribute

Typ: Patientenakte Klassifizierung: Vertraulich Klinik: München Eigentümer: Max Müller Erstellt: 2024-03-15

🌍 Kontext-Attribute

Uhrzeit: 09:45 Standort: Firmennetz Gerät: bekannt Netzwerk: intern IP-Reputation: ✓

Kontext-Attribute sind das entscheidende Unterscheidungsmerkmal zu RBAC: Der Standort, die Uhrzeit und der Gerätezustand sind zur Anmeldezeit bekannt und fließen direkt in die Entscheidung ein. Das ist die Grundlage von Conditional Access in Zero-Trust-Architekturen.

2) ABAC Policy-Simulator

Die folgende Demo zeigt, wie eine ABAC-Policy mehrere Attributbedingungen gleichzeitig auswertet. Alle Bedingungen müssen erfüllt sein (AND-Verknüpfung). Ändere die Attribute und beobachte, wie sich die Zugangsentscheidung verändert.

ABAC-Entscheidungs-Demo – Patientenakte-Zugriff

Benutzer-Rolle

Klinik (Benutzer)

Uhrzeit

Gerät

Standort / Netzwerk

POLICY wird generiert…

Ändere Attribute oben um die Entscheidung zu sehen.

In der Praxis werden ABAC-Policies mit Sprachen wie XACML (eXtensible Access Control Markup Language) oder ALFA (Abbreviated Language for Authorization) definiert. Cloud-Anbieter haben eigene Policy-Sprachen: AWS IAM Conditions, Azure Conditional Access, OPA (Open Policy Agent) für Kubernetes.

3) RBAC vs. ABAC

RBAC vs. ABAC – Wann welches Modell?

RBAC – Rollenbasiert

✓ Einfach zu verstehen und zu verwalten

✓ Gut auditierbar (wer hat welche Rolle?)

✓ Standard in Unternehmens-AD/IAM

✗ Kein Kontext (Uhrzeit, Gerät, Standort)

✗ Rollenexplosion bei Sonderfällen

Einsatz: Standard-Unternehmensberechtigungen

ABAC – Attributbasiert

✓ Maximale Flexibilität und Granularität

✓ Kontext-sensitiv (Uhrzeit, Gerät, Ort)

✓ Ideal für Zero Trust und Cloud

✗ Komplex zu definieren und zu debuggen

✗ Policy-Sprachen anspruchsvoll (XACML)

Einsatz: Cloud-native, Healthcare, Behörden

Zusammenfassung

ABAC entscheidet Zugriffsanfragen anhand von Attributen des Subjekts, der Ressource und des Kontexts – deutlich feingranularer als RBAC. Policies können lauten: „Erlaubt wenn Rolle = Ärztin UND gleiche Klinik UND Uhrzeit 6–22 UND Gerät MDM-verwaltet." Praktischer Einsatz: Microsoft Conditional Access, AWS IAM Conditions, Open Policy Agent. Eng verwandt mit Zero Trust. Für die klassische Listenvariante: Access Control Lists.

ABAC – Attributbasierte Zugriffskontrolle

1) Die drei Attributkategorien

2) ABAC Policy-Simulator

3) RBAC vs. ABAC

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title