Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Role-Based Access Control

Was ist Role-Based Access Control (RBAC)?

Role-Based Access Control (RBAC) ist ein Berechtigungsmodell, bei dem der Zugriff auf Ressourcen über vordefinierte Rollen gesteuert wird. Jede Rolle repräsentiert eine bestimmte Funktion innerhalb einer Organisation, etwa Administrator, Auditor, Entwickler oder Support-Mitarbeiter.

Benutzer oder Benutzergruppen erhalten Rollen zugewiesen, die wiederum bestimmte Rechte (z. B. Lesen, Schreiben, Ausführen) auf Systeme, Anwendungen oder Daten gewähren. Durch die Trennung von Rollen und Benutzern wird das Zugriffsmanagement übersichtlicher, konsistenter und besser kontrollierbar – was RBAC zu einem wichtigen Baustein für Compliance und Governance macht.

Wichtige RBAC-Ressourcen

  • Rollenmodellierung
    → Definition von Rollen auf Basis betrieblicher Funktionen und Aufgaben.

  • Zentralisiertes Berechtigungsmanagement
    → Verwaltung aller Rollen und Rechte über ein einheitliches IAM-System.

  • Auditability
    → Nachvollziehbarkeit von Zugriffsentscheidungen im Rahmen von Compliance-Prüfungen.

  • Trennung von Pflichten (SoD)
    → Sicherstellung, dass kritische Rollen wie Buchhaltung und Prüfung nicht kombiniert vergeben werden.

  • Automatisiertes Rollenmapping
    → Zuweisung von Rollen über Attribute wie Abteilung, Standort oder Projektgruppe.

Anwendung in der Praxis

  • Onboarding: Neue Mitarbeitende erhalten ihre Rechte automatisch über die zugewiesene Rolle.

  • Change Management: Rollen lassen sich bei Aufgabenwechsel anpassen, ohne individuelle Rechte anpassen zu müssen.

  • Revisionssicherheit: Zugriffskontrollen sind dokumentierbar und prüfbar.

  • Least Privilege: Rollen definieren exakt, welche Ressourcen notwendig sind – und nicht mehr.

  • Skalierbarkeit: RBAC ist besonders effektiv in größeren Organisationen mit klaren Zuständigkeiten.

Verwandte Begriffe

Beispiel aus der Praxis

In einem Finanzunternehmen wird RBAC eingesetzt, um den Zugriff auf kritische Applikationen zu regulieren. Die Rolle „Controller“ erhält Lese- und Schreibrechte auf Buchhaltungssysteme, aber keinen Zugriff auf administrative Funktionen. Neue Mitarbeitende in der Buchhaltung erhalten automatisch diese Rolle. Wird ein Mitarbeiter zur internen Revision versetzt, genügt ein Wechsel der Rolle auf „Auditor“, um passende Rechte zu vergeben – ohne manuelle Einzeländerungen. Zugriffsprotokolle bleiben dabei vollständig nachvollziehbar für interne und externe Prüfer.

zum Glossar