Was ist Zugriffskontrolle? | Der Unterschied zwischen Autorisierung und Authentifizierung

Zugriffskontrolle ist eine Reihe von Regeln, mit denen festgelegt wird, wer Zugriff auf einen zugangsbeschränkten Standort oder auf geschützte Informationen erhält.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Zugriffskontrolle definieren
  • Zwischen physischer Zugangskontrolle und Zugriffskontrolle bei Informationen unterscheiden
  • Den Unterschied zwischen einem VPN und einer Zero-Trust-Sicherheitslösung erklären

Link zum Artikel kopieren

Was ist Zugriffskontrolle?

Zugriffskontrolle ist ein Sicherheitsbegriff, der sich auf eine Reihe von Richtlinien zur Beschränkung des Zugriffs auf Informationen, Tools und physische Standorte bezieht.

Was ist physische Zugriffskontrolle/Zugangskontrolle?

Obwohl sich dieser Artikel auf die Kontrolle des Informationszugriffs konzentriert, ist die physische Zugriffskontrolle ein nützlicher Vergleich zum besseren Verständnis des Gesamtkonzepts.

Bei der physischen Zugangskontrolle handelt es sich um eine Reihe von Richtlinien, die festlegen, wer Zugang zu einem physischen Ort erhält. Beispiele aus der Praxis für die physische Zugangskontrolle sind u. a.:

  • Türsteher in einer Bar
  • Drehkreuze in einer U-Bahn-Station
  • Zollbeamte am Flughafen
  • Keycard- oder Badge-Scanner in Firmenbüros

In all diesen Beispielen geht eine Person oder ein Gerät nach einer Reihe von Richtlinien vor, um zu entscheiden, wer Zugang zu einem gesperrten physischen Standort erhält. Ein Schlüsselkartenscanner in einem Hotel beispielsweise gewährt nur autorisierten Gästen mit einem Hotelschlüssel Zugang.

Was ist Zugriffskontrolle bei Informationen?

Die Zugriffskontrolle für Informationen schränkt den Zugriff auf Daten und die Software ein, die zur Bearbeitung dieser Daten verwendet wird. Beispiele hierfür sind:

  • Sich bei einem Laptop mit einem Passwort anmelden
  • Ein Smartphone mit einem Fingerabdruck-Scan entsperren
  • Fernzugriff auf das interne Netzwerk eines Arbeitgebers über ein VPN

In all diesen Fällen wird der Benutzer mittels Software authentifiziert und autorisiert, wenn er auf digitale Informationen zugreifen möchte. Authentifizierung und Autorisierung sind integrale Bestandteile der Informationszugriffskontrolle.

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung ist die Sicherheitspraxis, bei der bestätigt wird, dass ein Nutzer derjenige ist, der er vorgibt zu sein. Die Autorisierung ist der Prozess, bei dem die Zugriffsebene für jeden Nutzer festgelegt wird.

Stellen Sie sich zum Beispiel einen Reisenden vor, der in ein Hotel eincheckt. Wenn er sich an der Rezeption anmeldet, wird er gebeten, einen Reisepass vorzulegen, um zu beweisen, dass er derjenige ist, dessen Name auf der Reservierung steht. Dies ist ein Beispiel für Authentifizierung.

Nachdem der Hotelangestellte den Gast authentifiziert hat, erhält der Gast eine Schlüsselkarte mit eingeschränkten Privilegien. Dies ist ein Beispiel für eine Autorisierung. Die Schlüsselkarte des Gastes gewährt ihm Zugang zu seinem Zimmer, dem Gästeaufzug und dem Pool – aber nicht zu den Zimmern anderer Gäste oder dem Serviceaufzug. Die Hotelangestellten hingegen haben Zutritt zu mehr Bereichen des Hotels als die Gäste.

Die Authentifizierungs- und Autorisierungskontrollen bei Computer- und Netzwerksystemen sind ganz ähnlich strukturiert. Wenn sich ein Benutzer bei seinem E-Mail- oder Onlinebanking-Konto anmeldet, verwendet er eine Kombination aus Anmeldename und Passwort, die nur er kennen sollte. Die Software verwendet diese Informationen zur Authentifizierung des Benutzers. Bei einigen Anwendungen sind die Anforderungen hierfür viel strenger als bei anderen. Während für einige ein Passwort ausreicht, erfordern andere möglicherweise Zwei-Faktor-Authentifizierung oder sogar eine biometrische Überprüfung, z. B. einen Fingerabdruck oder einen Gesichts-Identitätsscan.

Nach der Authentifizierung kann ein Benutzer nur die Informationen aufrufen, auf die er zugreifen darf. Beim Onlinebanking kann der Benutzer nur Informationen zu seinem persönlichen Bankkonto aufrufen. Ein Fondsmanager der Bank kann sich bei derselben Anwendung anmelden und Daten zu den Finanzanlagen der Bank aufrufen. Da die Bank mit sehr sensiblen personenbezogenen Informationen zu tun hat, ist es durchaus möglich, dass niemand uneingeschränkten Zugriff auf alle Daten hat. Selbst der Direktor oder Sicherheitschef der Bank muss möglicherweise ein Sicherheitsprotokoll durchlaufen, bevor er auf die vollständigen Daten einzelner Kunden zugreifen kann.

Was sind die wichtigsten Arten der Zugriffskontrolle?

Nachdem der Authentifizierungsprozess abgeschlossen ist, kann die Autorisierung des Nutzers auf eine von mehreren Arten erfolgen:

Obligatorische Zugriffskontrolle (MAC): Die obligatorische Zugriffskontrolle legt strenge Sicherheitsrichtlinien für einzelne Nutzer und die Ressourcen, Systeme oder Daten fest, auf die sie zugreifen dürfen. Diese Richtlinien werden von einem Administrator kontrolliert. Einzelne Nutzer sind nicht befugt, Berechtigungen im Widerspruch zu bestehenden Richtlinien festzulegen, zu ändern oder zu widerrufen.

Bei diesem System müssen sowohl dem Subjekt (Nutzer) als auch dem Objekt (Daten, System oder andere Ressourcen) ähnliche Sicherheitsattribute zugewiesen werden, um miteinander interagieren zu können. Um auf das vorherige Beispiel zurückzukommen: Der Direktor der Bank bräuchte nicht nur die richtige Sicherheitsfreigabe, um auf Kundendateien zuzugreifen – der Systemadministrator müsste auch festlegen, dass diese Dateien vom Direktor eingesehen und geändert werden können. Dieser Prozess mag zwar überflüssig erscheinen, aber er gewährleistet, dass Nutzer keine unbefugten Aktionen durchführen können, indem sie sich einfach Zugang zu bestimmten Daten oder Ressourcen verschaffen.

Rollenbasierte Zugriffskontrolle (RBAC): Bei der rollenbasierten Zugriffskontrolle werden Berechtigungen auf der Grundlage von Gruppen (definierte Gruppen von Nutzern, wie z. B. Bankangestellte) und Rollen (definierte Gruppen von Aktionen, wie z. B. die Aktionen, die ein Bankkassierer oder ein Filialleiter ausführen kann) festgelegt. Einzelpersonen können jede Aktion ausführen, die ihrer Rolle zugewiesen ist, und ihnen können bei Bedarf mehrere Rollen zugewiesen werden. Wie bei MAC ist es Nutzern nicht gestattet, den Grad der Zugriffskontrolle zu ändern, der ihrer Rolle zugewiesen wurde.

Ein Bankangestellter, dem die Rolle des Kassierers zugewiesen wird, erhält zum Beispiel die Berechtigung, Kontotransaktionen zu bearbeiten und neue Kundenkonten zu eröffnen. Ein Filialleiter hingegen könnte mehrere Rollen innehaben, die ihn berechtigen, Kontotransaktionen zu bearbeiten, Kundenkonten zu eröffnen, einem neuen Mitarbeiter die Rolle des Bankangestellten zuzuweisen und so weiter.

Diskretionäre Zugriffskontrolle (DAC): Sobald ein Nutzer die Erlaubnis erhält, auf ein Objekt zuzugreifen (in der Regel durch einen Systemadministrator oder über eine bestehende Zugriffskontrollliste), kann er anderen Nutzern bei Bedarf Zugriff gewähren. Dies kann jedoch zu Sicherheitslücken führen, da Nutzer ohne strikte Kontrolle durch den Systemadministrator die Sicherheitseinstellungen festlegen und Berechtigungen freigeben können.

Bei der Entscheidung darüber, welche Methode der Nutzer-Autorisierung für ein Unternehmen am besten geeignet ist, müssen die Sicherheitsanforderungen berücksichtigt werden. In der Regel entscheiden sich Organisationen, die ein hohes Maß an Datenvertraulichkeit benötigen (z. B. Regierungsorganisationen, Banken usw.), für strengere Formen der Zugriffskontrolle wie MAC, während Organisationen, die mehr Flexibilität und benutzer- oder rollenbasierte Berechtigungen bevorzugen, zu RBAC- und DAC-Systemen tendieren.

Welche Methoden zur Implementierung der Zugriffskontrolle gibt es?

Ein beliebtes Instrument zur Kontrolle des Informationszugriffs ist ein virtuelles privates Netzwerk (VPN). Ein VPN ist ein Dienst, der es einem Remote-Nutzer ermöglicht, auf das Internet zuzugreifen, als ob er mit einem privaten Netzwerk verbunden wäre. Unternehmensnetzwerke verwenden VPNs häufig, um den Zugriff auf ihr internes Netzwerk über eine geografische Entfernung hinweg zu kontrollieren.

Wenn ein Unternehmen beispielsweise eine Niederlassung in San Francisco und eine weitere Niederlassung in New York hat und seine Mitarbeiter auf der ganzen Welt verteilt sind, kann es zum sicheren Einloggen in sein internes Netzwerk ein VPN nutzen, unabhängig vom physischen Standort der Mitarbeiter. Durch die Verbindung mit dem VPN werden die Mitarbeiter auch vor On-Path-Angriffen geschützt, wenn sie mit einem öffentlichen WLAN-Netzwerk verbunden sind.

VPNs haben jedoch einige Nachteile. Erstens beeinträchtigen VPNs die Performance. Wenn eine Verbindung zu einem VPN besteht, muss jedes Datenpaket, das ein Benutzer sendet oder empfängt, bis zum Ziel einen zusätzlichen Weg zurücklegen, denn jede Anfrage und jede Antwort muss den VPN-Server passieren. Dies führt häufig zu mehr Latenz.

VPNs arbeiten bei der Netzwerksicherheit meist nach der Alles-oder-nichts-Methode. VPNs bieten eine hervorragende Authentifizierung, aber keine detaillierte Steuerung der Berechtigungen. Das führt dazu, dass eine Organisation mehrere VPNs verwenden muss, wenn sie für verschiedene Mitarbeiter unterschiedliche Zugriffsebenen festlegen möchte. Das wird schnell kompliziert und erfüllt dennoch nicht die Anforderungen für Zero Trust-Sicherheit.

Was ist Zero-Trust-Sicherheit?

Zero-Trust-Sicherheit ist ein IT-Sicherheitsmodell mit einer strikten Identitätsprüfung für alle Personen und Geräte, die auf Ressourcen in einem privaten Netzwerk zugreifen möchten. Dabei kommt es nicht darauf an, ob sie sich innerhalb oder außerhalb des Netzwerkperimeters befinden. Bei Zero-Trust-Netzwerken wird auch mit Mikrosegmentierung gearbeitet. Damit ist die Methode gemeint, Sicherheitsperimeter in kleine Zonen aufzuteilen, um den Zugriff für separate Teile des Netzwerks separat zu verwalten.

Inzwischen ersetzen viele Unternehmen VPNs mit Zero-Trust-Sicherheitslösungen wie Cloudflare Access. Mit einer Zero-Trust-Sicherheitslösung kann man die Zugriffskontrolle für Mitarbeiter innerhalb und außerhalb des Hauses verwalten und vermeidet gleichzeitig die größten Nachteile von VPNs.