Ohne die richtigen Daten steht das „R“ von RBAC für „Rubbish“

Das „R“ von RBAC

Die meisten Unternehmen richten dies auf der Grundlage einer RBAC-Lösung ein, wobei das „R“ für verschiedene Ansätze der R-basierten Zugriffskontrolle stehen kann. Dies sind die verschiedenen Ansätze:

• Rollenbasiert – die bei weitem häufigste Erklärung für den Begriff RBAC. Hierbei hängt der Zugang von der Rolle der Person ab. So kann beispielsweise ein Manager Zugang zu allen Informationssystemen eines Unternehmens haben, während ein Mitarbeiter der Finanzabteilung nur Zugang zu den Systemen hat, die er wirklich benötigt.
• Regelbasiert – hier bestimmen eine oder mehrere Regeln auf der Grundlage von Attributen, wer Zugang hat. Daher wird auch der Begriff „attributbasiert“ verwendet. Eine Regel könnte beispielweise sein, dass Accounts einer bestimmten Abteilung immer im Büro Zugang haben. Zu Hause oder an einem anderen Ort außerhalb des Büros haben sie keinen Zugang oder sie benötigen eine zusätzliche Genehmigung. Die Attribute sind in diesem Fall dann Abteilung und Standort.
• Request-bases (oder Antragsbasiert) – hier muss ein Benutzer einen Antrag auf Zugangsrechte stellen, woraufhin ein manueller oder automatischer Genehmigungsprozess beginnt.
• Risikobasiert – bei diesem Ansatz wird bewertet, wie kritisch die Daten in einem System für das Unternehmen sind. Je höher das Risiko eines Schadens durch Missbrauch ist, desto strenger ist die Zugangskontrolle. Dies hängt auch vom Kontext des Zugangs ab (kontextbezogen), der dynamisch ist. Denken Sie zum Beispiel an die Zeit, den Ort oder das Logging der „normalen“ Nutzung. Die meisten Unternehmen verwenden eine Kombination aus diesen Ansätzen. Sie legen RBAC häufig durch Rollen fest, weisen diese aber meistens auf der Grundlage von Regeln, Risiken und Requests zu.

Die Bedeutung von Data Governance

Unternehmen versuchen verständlicherweise, ihre Zugangskontrolle so weit wie möglich zu automatisieren. Das bedeutet, dass für eine wirksame Zugangskontrolle jederzeit die richtigen Daten verfügbar sein müssen, um zu entscheiden, ob einer Identität Zugangsrechte gewährt werden oder nicht. Bei Informationssystemen bedeutet „Garbage in“ bekanntlich auch „Garbage out“. Das trifft auch auf die Zugangskontrolle zu. Unabhängig davon, welche Variante Sie als Unternehmen verwenden: Wenn die zugrunde liegenden Daten nicht die richtige Qualität haben, wird die Zugangskontrolle schon bald „rubbish-based“ sein. Und das führt nicht zu dem gewünschten Ergebnis, nämlich die Kontrolle darüber zu haben, wer Zugang zu welchen Daten hat und warum. Um die Qualität der benötigten Daten zu verbessern und zu gewährleisten, muss bei der Anwendung von RBAC auf Data Governance geachtet werden.
Data Governance als Grundlage für die Datenqualität (richtig, vollständig, rechtzeitig, relevant und zuverlässig) für RBAC-Systeme umfasst die folgenden Aspekte:

•  Die Vision des Unternehmens in Bezug auf Daten. Hier stellt sich die Frage, was ein Unternehmen strategisch mit seinen Daten zu tun gedenkt.
• Die Datenpolitik des Unternehmens. In einer Richtlinie muss festgelegt werden, wie die Daten innerhalb und außerhalb des Unternehmens verwendet werden dürfen.
• Eigenverantwortung und Verantwortlichkeit. Dies wirft die Frage auf, welche Personen oder Abteilungen für die Qualität bestimmter Datensätze verantwortlich sind.
• Awareness oder Bewusstsein. Daten sind heute ein Unternehmenswert, genau wie Gebäude und Produktionsanlagen. Dies setzt voraus, dass sich die Mitarbeiter des Wertes der Daten bewusst sind.
• Die Prozesse legen fest, was entsprechend den festgelegten Richtlinien realisiert werden muss.
• Technologie. Alle oben genannten Aspekte können mit der richtigen Technologie unterstützt werden. All dies ist keine einmalige Angelegenheit, sondern ein sich wiederholender Prozess, der kontinuierlich verfeinert wird.

Der Ansatz von RBAC

Wenn eine Data Governance vorhanden ist und ein Unternehmen davon überzeugt ist, dass die Daten, die in ein RBAC-System eingespeist werden sollen, brauchbar sind, kann ein Berechtigungsmodell mit einem hybriden Ansatz eingerichtet werden. Damit meinen wir, dass wir sowohl die Perspektive des Unternehmens (auch bekannt als „Top-down“) als auch die der Anwendung („Bottom-up“) einbeziehen. Bei der Top-Down-Analyse geht es um Fragen wie „Wer macht was?“, „Welche Anwendungen werden verwendet?“ und „Welche Funktionen werden von diesen Anwendungen genutzt?“ Bei der Bottom-up-Analyse dreht es sich um Fragen wie „Was kann jemand mit dieser Anwendung tun?“, „Welche Unterschiede gibt es bei den Zugriffsrechten?“ und „Welche Rechte haben die Mitarbeiter derzeit?“

Dabei ist es wichtig, dass eine Organisation für das Genehmigungsmanagement eingerichtet wird. Das bedeutet, dass Menschen benötigt werden, die für die verschiedenen Prozessschritte verantwortlich sind, wie etwa in den folgenden Prozessen:
–  Verwaltung des Genehmigungsmodells
–  Zuweisung von Rollen durch Genehmigung
–  (Regelmäßige) Neubewertung der gewährten Rechte
–  Überprüfung der Aufgabentrennung
–  Einrichtung eines Genehmigungsmodells und von Genehmigungsverwaltungsprozessen in der unterstützenden Technologie

Auf dieser Grundlage kann das Genehmigungsmodell einschließlich der Regeln für die Erteilung von Genehmigungen und der Antragsprozesse (in geeigneter Technologie) eingerichtet werden, sodass das Unternehmen die Kontrolle über das Genehmigungsmanagement erhält.