Nicht jeder Mitarbeiter muss auf alle Daten zugreifen können. Der Buchhalter braucht keine Produktionspläne, der Produktionsmitarbeiter keine Gehaltsabrechnungen. Zu weitreichende Zugriffsrechte sind eines der größten Sicherheitsrisiken – jeder zusätzliche Zugriff ist ein potenzieller Angriffsvektor.
Jeder Benutzer und jedes System erhält nur die Rechte die für seine Aufgabe minimal notwendig sind – nicht mehr. Ein Sachbearbeiter braucht kein lokales Administratorrecht. Ein Webserver-Prozess braucht keinen Schreibzugriff auf Systemdateien.
Zugriff auf Informationen wird nur gewährt wenn die Person die Information für ihre konkrete Aufgabe benötigt. Selbst wenn jemand formal berechtigt wäre, bekommt er keinen Zugriff wenn er die Information nicht braucht.
Kritische Prozesse werden so aufgeteilt dass kein Einzelner allein einen Missbrauch durchführen kann. Beispiel: Die Person die eine Überweisung anlegt darf nicht dieselbe sein die sie freigibt.
Wichtige Aktionen müssen von zwei Personen unabhängig voneinander geprüft und freigegeben werden. Verhindert Fehler und Missbrauch durch eine einzelne Person.
Der Eigentümer einer Ressource entscheidet selbst wer darauf zugreifen darf. Typisch für Betriebssysteme: Der Ersteller einer Datei setzt Zugriffsrechte für andere Nutzer. Flexibel, aber schwer zentral zu administrieren.
Zugriffsrechte werden zentral durch das System vergeben – der Eigentümer hat keinen Einfluss. Daten werden klassifiziert (z.B. geheim, vertraulich, öffentlich) und Nutzer erhalten entsprechende Freigabestufen. Typisch in militärischen und Hochsicherheitsumgebungen.
Rechte werden nicht direkt Benutzern sondern Rollen zugewiesen. Benutzer erhalten eine oder mehrere Rollen. Sehr praktisch in Unternehmen.
RBAC-Beispiel:
Benutzer Max → Rolle: Buchhalter
Benutzer Erika → Rolle: Buchhalter, Prüfer
Rolle Buchhalter → Rechte: Rechnungen lesen, Buchungen erstellen
Rolle Prüfer → Rechte: Buchungen freigeben
→ Max kann Buchungen erstellen aber nicht freigeben
→ Erika kann beidesZugriff wird anhand von Attributen entschieden – Nutzerattribute (Abteilung, Standort), Ressourcenattribute (Klassifizierung) und Umgebungsattribute (Uhrzeit, IP-Adresse). Sehr granular aber komplex.
Bevor Zugriffsrechte geprüft werden können muss die Identität festgestellt werden. Authentifizierung erfolgt durch drei Faktoren:
Faktor | Prinzip | Beispiele |
|---|---|---|
Wissen | Etwas das du weißt | Passwort, PIN, Sicherheitsfrage |
Besitz | Etwas das du hast | Smartcard, Token, Smartphone (TOTP) |
Inhärenz | Etwas das du bist | Fingerabdruck, Gesichtserkennung, Iris |
MFA (Multi-Factor Authentication): Kombination aus mindestens zwei verschiedenen Faktoren. Selbst wenn ein Passwort gestohlen wird, schützt der zweite Faktor den Account.
Mindestlänge: mindestens 12 Zeichen (besser 16+)
Komplexität: Groß/Klein, Zahlen, Sonderzeichen
Kein Wiederverwenden von Passwörtern über verschiedene Dienste
Passwort-Manager nutzen
Regelmäßiger Wechsel nur bei Verdacht auf Kompromittierung (BSI-Empfehlung)
Niemals Passwörter im Klartext speichern – nur gehashte Werte (bcrypt, Argon2)
Separation of Duties: Kritische Prozesse auf mehrere Personen aufteilen
Vier-Augen-Prinzip: Wichtige Aktionen brauchen zwei Freigaben
RBAC: Rechte über Rollen vergeben – Standard in Unternehmen
MFA: Mindestens zwei Faktoren für sichere Authentifizierung
Passwörter: Lang, komplex, nicht wiederverwenden, gehasht speichern