RBAC – Rollenbasierte Zugriffskontrolle

In einem Unternehmen mit hundert Mitarbeitenden und zwanzig Systemen wäre es undurchführbar, für jeden Mitarbeiter einzeln zu pflegen, auf welches System er in welchem Umfang zugreifen darf. RBAC – Role-Based Access Control löst dieses Skalierungsproblem elegant: Statt Nutzer direkt mit Berechtigungen zu verknüpfen, werden ihnen Rollen zugewiesen, und die Rollen haben die Berechtigungen. Ändert sich die Aufgabe eines Mitarbeiters, tauscht man seine Rolle aus – und alle Berechtigungen passen sich automatisch an.

RBAC ist heute der De-facto-Standard für Autorisierung in Unternehmensumgebungen. Active Directory-Gruppen, Linux-Gruppen, Datenbankrollen, Cloud-IAM-Policies (AWS IAM Roles, Azure RBAC) – all das sind Implementierungen des RBAC-Prinzips. Es ist im Rahmenplan A9a und C3c verankert und in der IHK-Prüfung prüfungsrelevant.

1) Das RBAC-Modell: Nutzer → Rollen → Berechtigungen

Das Grundmodell besteht aus drei Ebenen, die über Zuweisungen miteinander verbunden sind. Klicke auf einen Nutzer, um zu sehen, welche Rollen er hat und welche Berechtigungen sich daraus ergeben.

RBAC-Struktur – Nutzer, Rollen, Berechtigungen

Nutzer

Max (Azubi)

Anna (Dev)

Sven (Admin)

Lisa (HR)

→
→
→
→

Rollen

Leser

Entwickler

IT-Administrator

HR-Manager

→
→
→
→

Berechtigungen

Code lesen

Code schreiben

Deployment

Server-Admin

Personalakten lesen

Personalakten ändern

Klicke auf einen Nutzer, um seine Rollen und Berechtigungen zu sehen.

Das Modell zeigt eine direkte Rollenvererbung. In realen Systemen können Rollen auch hierarchisch verschachtelt sein: Die Rolle „Senior-Entwickler" erbt alle Berechtigungen von „Entwickler" und erhält zusätzliche. Das ist RBAC1 (hierarchisches RBAC) – mehr dazu unten.

2) Das Rollenexplosions-Problem

Der größte praktische Nachteil von RBAC: Wenn für jede Sondersituation eine neue Rolle angelegt wird, explodiert die Anzahl der Rollen. Bei 50 Abteilungen × 10 Systemen × 5 Berechtigungsstufen sind schnell 2.500 Rollen entstanden – ein Verwaltungsalbtraum. Der Schieberegler unten illustriert, wie Rollenzahl und Verwaltungsaufwand zusammenhängen.

Rollenexplosions-Kalkulator

Nutzer

Rollen

Zuweisungen

850

Direkte Rechte (ohne RBAC)

Unternehmensgröße:

50 Mitarbeitende

Die Faustregel für gutes RBAC: Maximal 1–2 Rollen pro Nutzer. Wenn ein Nutzer 8 Rollen hat, ist das ein Zeichen, dass das Rollenmodell überarbeitet werden sollte. Regelmäßige Access Reviews erkennen veraltete Rollenzuweisungen.

3) RBAC-Varianten

Das NIST-Standardmodell definiert vier RBAC-Level, die aufeinander aufbauen. In der Praxis sind RBAC0 (flache Rollen) und RBAC1 (hierarchische Rollen) am häufigsten anzutreffen.

RBAC-Varianten nach NIST – Klicke für Details

RBAC0 – Basismodell

Nutzer → Rollen → Berechtigungen

RBAC1 – Hierarchisch

Rollenhierarchie mit Vererbung

RBAC2 – Constraint

Einschränkungen: SoD, Max-Rollen

RBAC3 – Kombiniert

Hierarchie + Constraints

Klicke auf eine Variante für Details.

Zusammenfassung

RBAC trennt Nutzer von Berechtigungen durch eine Zwischenschicht: Rollen. Nutzer erhalten Rollen, Rollen haben Berechtigungen – Änderungen an einer Rolle wirken sich auf alle Nutzer mit dieser Rolle aus. Kernprinzipien: Least Privilege, Separation of Duties, regelmäßiger Access Review. Varianten: RBAC0 (flach), RBAC1 (hierarchisch), RBAC2 (mit Constraints), RBAC3 (kombiniert). Ergänzung durch kontext-sensitive Entscheidungen: ABAC. Praktische Umsetzung im Dateisystem: Berechtigungskonzept für Dateisysteme.

RBAC – Rollenbasierte Zugriffskontrolle

1) Das RBAC-Modell: Nutzer → Rollen → Berechtigungen

2) Das Rollenexplosions-Problem

3) RBAC-Varianten

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title