Modelle der Zugriffskontrolle
Man kann zwischen den folgenden Möglichkeiten der Zugriffskontrolle unterscheiden.
Obligatorische Zugriffskontrolle (Mandatory access control – MAC)
Bei der MAC wird der Zugriff auf Informationen und Ressourcen aufgrund von vordefinierten Sicherheitskriterien gesteuert. Der Zugriff wird auf Basis von Sicherheitsklassifizierungen, wie beispielsweise Geheimhaltungsstufen, gewährt. Nur Personen mit den entsprechenden Sicherheitsfreigaben können auf Informationen zugreifen.
Diskretionäre Zugriffskontrolle (Discretionary access control – DAC)
Die DAC ermöglicht es dem Eigentümer der Informationen, Zugriffsrechte individuell zu vergeben. Der Eigentümer entscheidet, wer Zugriff erhält und welche Rechte den autorisierten Personen zugeordnet werden. Dieser Ansatz bietet Flexibilität, erfordert jedoch eine sorgfältige Verwaltung der Zugriffsrechte.
Rollenbasierte Zugriffskontrolle (Role-based access control – RBAC)
Bei der RBAC wird der Zugriff auf Informationen und Ressourcen basierend auf den Rollen und Verantwortlichkeiten einer Person innerhalb der Organisation gesteuert. Die Zugriffsrechte werden in vordefinierten Rollen definiert, und Personen erhalten Zugriff basierend auf ihrer zugewiesenen Rolle. Dies erleichtert die Verwaltung von Zugriffsrechten und reduziert das Risiko von Fehlkonfigurationen.
Attributbasierte Zugriffskontrolle (Attribute-based access control – ABAC)
Die ABAC ermöglicht die Zugriffskontrolle basierend auf einer Vielzahl von Attributen wie Benutzeridentitäten, Eigenschaften des Benutzers, des Geräts oder der Netzwerkumgebung. Dieser Ansatz bietet granulare und fein abgestimmte Zugriffskontrollen und kann besonders in komplexen Umgebungen eingesetzt werden.
Organisatorische Lösungen für die Zugriffskontrolle
Eine zentrale Rolle bei der Festlegung von Zugriffsrechten spielt das Need-to-know-Prinzip. Es besagt, dass ein Individuum nur Zugang zu Informationen oder Ressourcen haben sollte, die für die Erfüllung seiner beruflichen Aufgaben erforderlich sind. Dieses Prinzip hilft, die Vertraulichkeit von Informationen zu gewährleisten, da der Zugriff auf sensible Daten auf das absolut Notwendige beschränkt wird.
Die folgenden organisatorischen Lösungen, können Unternehmen dabei helfen, den Anforderungen von 5.15 – ISO 27002 (2021) gerecht zu werden:
Erstellung von Zugriffsrichtlinien
Es ist wichtig, klare Richtlinien zur Zugriffskontrolle zu entwickeln und zu kommunizieren. Diese Richtlinien sollten das Need-to-know-Prinzip betonen und die verschiedenen Zugangskontrollmethoden erklären, die in der Organisation angewendet werden. Dadurch wird ein einheitliches Verständnis für die Zugriffsregelungen geschaffen.
Identitäts- und Zugriffsmanagement (Identity and access management – IAM)
Die Implementierung eines IAM-Systems ermöglicht es, Zugriffsrechte zentral zu verwalten und zu kontrollieren. Hierbei werden Benutzeridentitäten, Rollen und Berechtigungen zentral verwaltet, wodurch eine effiziente und konsistente Zugriffskontrolle gewährleistet wird.
Durchführung von Zugangsberechtigungsprüfungen
Vor der Gewährung des Zugriffs sollten regelmäßige Prüfungen durchgeführt werden, um sicherzustellen, dass die Benutzer die erforderlichen Berechtigungen besitzen. Dies beinhaltet die Überprüfung von Anträgen auf Zugriffserweiterungen sowie die regelmäßige Überprüfung der bestehenden Zugriffsrechte.
Sensibilisierung und Schulung der Mitarbeiter
Alle Mitarbeiter sollten über die Bedeutung der Zugriffskontrolle informiert werden. Schulungen können dabei helfen, das Bewusstsein für Sicherheitsaspekte zu schärfen und die Mitarbeiter zu sensibilisieren, wie sie das Need-to-know-Prinzip in ihrem täglichen Arbeitsablauf anwenden können.
Überwachung und Protokollierung von Zugriffen
Die Implementierung einer Überwachungs- und Protokollierungslösung ermöglicht die Erfassung von Zugriffsaktivitäten. Dadurch können verdächtige Zugriffsversuche erkannt und analysiert werden, um potenzielle Sicherheitsvorfälle frühzeitig zu erkennen.
Es ist zu beachten, dass organisatorische Lösungen in Kombination mit technischen Maßnahmen implementiert werden sollten, um eine effektive Zugriffskontrolle zu gewährleisten.