Obligatorische Zugangskontrolle vs. diskretionäre Zugangskontrolle: Was ist zu wählen?

Die Zugangskontrolle ist eine der wichtigsten Praktiken der Cybersicherheit. Eine sorgfältige Anpassung der Zugriffsrechte der Nutzer hilft, sensible Daten zu schützen und die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern.

Die Auswahl eines für Ihr Unternehmen geeigneten Zugriffskontrollmodells kann jedoch schwierig sein. In diesem Artikel werden Anwendungsfälle für obligatorische und diskretionäre Zugriffskontrollmodelle erörtert. Wir zeigen auch die Unterschiede zwischen der diskretionären Zugriffskontrolle (DAC) und der obligatorischen Zugriffskontrolle (MAC) auf, um Ihnen die Entscheidung für das eine oder das andere Modell zu erleichtern. Schließlich geben wir Tipps zur Implementierung.

Zugangskontrollmodelle: Warum sind sie wichtig?

Die Zugriffskontrolle regelt, welche Benutzer, Anwendungen und Geräte Ressourcen in der Umgebung eines Unternehmens anzeigen, bearbeiten, hinzufügen und löschen können. Die Zugriffskontrolle ist eine der wichtigsten Praktiken, um sensible Daten vor Diebstahl, Missbrauch und anderen Bedrohungen zu schützen. Es gibt zwei Ebenen der Zugriffskontrolle: die physische und die logische.

Die Zugangskontrolle trägt dazu bei, Bedrohungen sowohl durch Insider als auch durch Outsider abzuschwächen. Aus diesem Grund schreiben IT-Vorschriften, Gesetze und Standards – NIST, HIPAA, PCI DSS und andere – strenge Maßnahmen zur physischen und logischen Zugriffskontrolle vor. In diesem Artikel werden Modelle der logischen Zugriffskontrolle besprochen.

Sie können zwischen verschiedenen Modellen der logischen Zugriffskontrolle wählen, darunter obligatorisch, diskretionär, rollenbasiert und attributbasiert. Jedes Modell hat seine Vor- und Nachteile. Später in diesem Artikel werden wir die Vor- und Nachteile von MAC und DAC besprechen. Weitere Informationen zu diesem Thema finden Sie in unserem Artikel über die Vor- und Nachteile der rollenbasierten Zugriffskontrolle und der attributbasierten Zugriffskontrollmodelle.

Der Prozess der Auswahl eines dieser Modelle unterscheidet sich von Organisation zu Organisation. Die Wahl des Modells hängt davon ab:

• Art der geschützten Daten
• IT-Anforderungen und Branchenstandards
• Anzahl der Mitarbeiter
• Budget für Cybersicherheit

Lernen Sie die Besonderheiten der einzelnen Modelle kennen, um herauszufinden, wann die Verwendung von MAC besser ist als die von DAC und umgekehrt.

Insider-Bedrohungsmanagement mit dem Syteca

Was ist eine obligatorische Zugangskontrolle?

Die obligatorische Zugangskontrolle (Mandatory Access Control – MAC) ist ein Modell der Zugangskontrolle, bei dem das Betriebssystem den Benutzern den Zugang auf der Grundlage der Vertraulichkeit der Daten und der Benutzerfreigabestufen gewährt. Bei diesem Modell wird der Zugang auf der Grundlage des Wissensbedarfs gewährt: Die Benutzer müssen nachweisen, dass sie die Informationen benötigen, bevor sie Zugang erhalten.

MAC wird auch als nicht-diskretionäres Kontrollmodell bezeichnet, was bedeutet, dass die Kontrolle nicht nach dem Ermessen des Benutzers oder Dateieigentümers erfolgt. MAC setzt mit seinen Kontrollmechanismen das Null-Vertrauens-Prinzip um.

MAC gilt als das sicherste aller Zugangskontrollmodelle. Die Zugriffsregeln in diesem Modell werden von Systemadministratoren manuell festgelegt und vom Betriebssystem oder Sicherheitskernel streng durchgesetzt. Normale Benutzer können die Sicherheitsattribute nicht ändern, auch nicht für Daten, die sie selbst erstellt haben.

Was sind die Grundprinzipien von MAC?

1. Der Schutz der Privatsphäre und die Vertraulichkeit der Unternehmensressourcen sind von größter Bedeutung. Niemand hat standardmäßig die Berechtigung, auf die Daten einer anderen Person zuzugreifen oder sie zu bearbeiten.
2. Die Bereitstellung des Zugangs wird zentral verwaltet.
3. Jede Person und jede Ressource im System hat Sicherheitskennzeichnungen mit ihrer Klassifizierung und Kategorie.

Bei MAC sieht der Zugangsprozess folgendermaßen aus:

• Der Administrator konfiguriert Zugriffsrichtlinien und definiert Sicherheitsattribute: Vertraulichkeitsstufen, Berechtigungen für den Zugriff auf verschiedene Projekte und Ressourcentypen.
• Der Administrator weist jedem Subjekt (Benutzer oder Ressource, die auf Daten zugreift) und Objekt (Datei, Datenbank, Port usw.) eine Reihe von Attributen zu.
• Wenn ein Subjekt versucht, auf ein Objekt zuzugreifen, prüft das Betriebssystem die Sicherheitsattribute des Subjekts und entscheidet, ob der Zugriff gewährt werden kann.
• Um Zugang zum Objekt zu erhalten, gibt der Benutzer seine Anmeldedaten an.

Neben der Überprüfung der Vertraulichkeits- und Freigabestufen (Klassifizierungsübereinstimmungen zwischen Subjekt und Objekt) achten die Betriebssysteme auch auf die Übereinstimmung der Kategorien zwischen Subjekt und Objekt. Eine Einstufung als “streng geheim” bedeutet nicht automatisch, dass ein Benutzer vollen Zugriff auf eine Datei hat, wenn er nicht zu der für das Objekt erforderlichen Kategorie gehört.

Schauen wir uns ein Beispiel für die Implementierung einer obligatorischen Zugangskontrolle an. Angenommen, eine Organisation verfügt über Daten mit der Vertraulichkeitsstufe “streng geheim” und dem Sicherheitskennzeichen “Engineeringprojekt”. Diese Daten sind nur für eine Reihe von Nutzern zugänglich, die sowohl eine “streng geheime” Sicherheitsfreigabe (Klassifizierung) als auch die Berechtigung zum Zugriff auf technische Dokumente (Kategorie) besitzen. Diese Benutzer können auch auf Informationen zugreifen, für die eine niedrigere Sicherheitsstufe erforderlich ist. Mitarbeiter mit einer niedrigeren Freigabestufe oder ohne Zugriffsrechte auf technische Dokumente können jedoch nicht auf solche Informationen zugreifen.

MAC bringt viele Vorteile für ein Cybersicherheitssystem. Aber es gibt auch einige Nachteile zu beachten. Betrachten wir die Nachteile und Vorteile der obligatorischen Zugangskontrolle.

Wann MAC zu verwenden ist

Dieses Zugangskontrollmodell wird hauptsächlich von Regierungsorganisationen, Militärs und Strafverfolgungsbehörden verwendet. MAC wird von der US-Regierung zum Schutz von Verschlusssachen und zur Unterstützung mehrstufiger Sicherheitsrichtlinien und -anwendungen eingesetzt. Für einen besseren Datenschutz und die Einhaltung von Vorschriften in der Versicherungsbranche und im Bankensektor verwenden Organisationen MAC, um den Zugriff auf Kundenkontodaten zu kontrollieren. Dieses nicht-diskretionäre Zugriffskontrollmodell kann auch den Zugriff auf eine Datenbank schützen, wobei Prozeduren, Tabellen, Ansichten und andere Elemente die Objekte sind.

Es ist sinnvoll, MAC in Unternehmen einzusetzen, denen Datensicherheit wichtiger ist als betriebliche Flexibilität und Kosten. Die Implementierung von MAC in einer privaten Organisation ist aufgrund der Komplexität und Unflexibilität eines solchen Systems selten.

Ein reines MAC-Modell bietet ein hohes und granulares Maß an Sicherheit. Andererseits ist es schwierig einzurichten und zu pflegen. Deshalb ist es üblich, MAC mit anderen Zugangskontrollmodellen zu kombinieren.

Die Kombination mit dem rollenbasierten Modell beschleunigt zum Beispiel die Konfiguration von Benutzerprofilen. Anstatt Zugriffsrechte für jeden Benutzer zu definieren, kann ein Administrator Benutzerrollen erstellen. In jedem Unternehmen gibt es Benutzer mit ähnlichen Rollen und Zugriffsrechten: Mitarbeiter mit der gleichen Position, Drittanbieter usw. Ein Administrator kann Rollen für diese Gruppen konfigurieren, anstatt einzelne Benutzerprofile von Grund auf zu konfigurieren.

Eine weitere beliebte Kombination ist MAC und das Modell der diskretionären Zugriffskontrolle (DAC). MAC kann zur Sicherung sensibler Daten verwendet werden, während DAC den Mitarbeitern die gemeinsame Nutzung von Informationen innerhalb eines Unternehmensdateisystems ermöglicht.

Was ist eine diskretionäre Zugangskontrolle?

Die diskretionäre Zugriffskontrolle ist ein identitätsbasiertes Zugriffskontrollmodell, das den Benutzern ein gewisses Maß an Kontrolle über ihre Daten bietet. Dateneigentümer (Ersteller von Dokumenten oder andere Benutzer, die zur Kontrolle von Daten berechtigt sind) können Zugriffsberechtigungen für bestimmte Benutzer oder Benutzergruppen festlegen. Mit anderen Worten: Es liegt im Ermessen des Ressourceneigentümers, wem er den Zugriff gewährt und welche Berechtigungen er gewährt.

Die Zugriffsberechtigungen für die einzelnen Daten werden in einer Zugriffskontrollliste (ACL) gespeichert. Ein Administrator erstellt diese Liste, wenn ein Benutzer jemandem Zugang gewährt. Die Liste kann auch automatisch erstellt werden. Die Liste kann auch automatisch erstellt werden. Eine ACL enthält Benutzer und Gruppen, die auf Daten zugreifen dürfen, sowie die Zugriffsebenen, über die sie verfügen. Ein Systemadministrator kann eine ACL auch erzwingen. In diesem Fall fungiert die ACL als Sicherheitsrichtlinie, und normale Benutzer können sie nicht bearbeiten oder außer Kraft setzen.

Was sind die Grundprinzipien von DAC?

1. Objektmerkmale (Größe, Name, Verzeichnispfad) sind für nicht autorisierte Benutzer unsichtbar.
2. Mehrere fehlgeschlagene Zugriffsversuche erzwingen eine zusätzliche Multi-Faktor-Authentifizierung oder verweigern den Zugriff.
3. Benutzer können ihr Eigentum an Objekten auf andere Benutzer übertragen. Außerdem bestimmt der Eigentümer die Zugriffsart der anderen Benutzer. Auf der Grundlage dieser Zugriffsrechte entscheidet das Betriebssystem, ob es den Zugriff auf eine Datei gewährt.

Der Zugriff auf eine Datei im DAC-Modell funktioniert folgendermaßen:

• Benutzer 1 erstellt eine Datei und wird deren Eigentümer oder erhält Zugriffsrechte auf eine bestehende Datei.
• Benutzer 2 fordert Zugang zu dieser Datei an. Er gibt seine Anmeldedaten an: Benutzername, Passwort oder etwas anderes.
• Benutzer 1 gewährt Zugang nach eigenem Ermessen. Benutzer 1 kann jedoch keine Zugriffsrechte gewähren, die über seine eigenen hinausgehen. Wenn Benutzer 1 zum Beispiel ein Dokument nur lesen kann, kann er Benutzer 2 nicht erlauben, es zu bearbeiten.
• Wenn es keinen Widerspruch zwischen der von einem Administrator erstellten ACL und der von Benutzer 1 getroffenen Entscheidung gibt, wird der Zugang gewährt.

Die diskretionäre Zugangskontrolle ist ein recht beliebtes Modell, weil es den Benutzern viel Freiheit lässt und keinen Verwaltungsaufwand verursacht. Allerdings hat es mehrere erhebliche Einschränkungen.

Wann sollte DAC verwendet werden?

DAC sollte aus mehreren Gründen nicht von Organisationen verwendet werden, die mit extrem sensiblen Daten arbeiten (Medizin, Finanzen, Militär usw.):

• Wenn Benutzer 1 Zugriffsrechte mit Benutzer 2 teilt, gibt es keine Garantie dafür, dass Benutzer 2 diesen Zugriff für seine Arbeit benötigt, keine Daten stiehlt oder beschädigt und keinem böswilligen Benutzer Zugriff gewährt.
• Es ist unmöglich, den Informationsfluss innerhalb des Netzes zu kontrollieren.
• Es ist unmöglich, die Grundsätze des geringsten Privilegs, der Notwendigkeit, etwas zu wissen, und der Aufgabentrennung durchzusetzen.

Gleichzeitig ist DAC eine gute Wahl für kleine Unternehmen mit begrenztem IT-Personal und Cybersicherheitsbudget. Es ermöglicht die gemeinsame Nutzung von Informationen und gewährleistet den reibungslosen Betrieb des Unternehmens. Wenn dieser Ansatz in einem Unternehmen mit 10 bis 20 Mitarbeitern angewandt wird, fehlen die Komplexität und die Herausforderungen bei der Überwachung, die mit dem Einsatz von DAC in Unternehmen mit Hunderten oder Tausenden von Mitarbeitern verbunden sind.

DAC und MAC: Vergleichstabelle

Im Folgenden gehen wir auf die wichtigsten Merkmale beider Modelle ein, damit Sie die Unterschiede zwischen DAC und MAC leicht erkennen können.

Dieser Vergleich zwischen obligatorischer und diskretionärer Zugangskontrolle zeigt, dass es sich um sehr unterschiedliche Zugangskontrollmodelle handelt, die für unterschiedliche Arten von Organisationen geeignet sind. DAC eignet sich gut für Organisationen, die Flexibilität und benutzerfreundliche Arbeitsabläufe benötigen. Andererseits ist MAC besser für Organisationen geeignet, die mit hochsensiblen Daten arbeiten.

Verwaltung des privilegierten Zugangs mit dem Syteca

Implementierung einer robusten und flexiblen Zugangsverwaltung mit Syteca

Es gibt viele Organisationen, die sowohl Elemente der diskretionären als auch der obligatorischen Zugangskontrolle benötigen. Die Flexibilität, Skalierbarkeit und Einfachheit von DAC sind wichtig, um einen einfachen und ununterbrochenen Arbeitsablauf zu schaffen. Gleichzeitig benötigen Organisationen möglicherweise das hohe Maß an Sicherheit und Granularität, das das MAC-Modell bietet.

Sind diese Eigenschaften für Ihr Unternehmen entscheidend? Mit den Zugriffsverwaltung-Funktionen von Syteca können Sie das Beste aus MAC und DAC in einer All-in-One-Plattform vereinen. Wir bieten eine breite Palette von Zutrittskontrollmöglichkeiten:

• Identitätsmanagement – Die automatisierte Benutzerauthentifizierung und -autorisierung bestätigt Identitäten, um die Risiken eines unbefugten oder böswilligen Zugriffs zu verringern.
• Multi-Faktor-Authentifizierung – Bestätigen Sie die Identitäten der Benutzer durch eine doppelte Überprüfung anhand verschiedener Faktoren (Wissen, Vererbung, Besitz), um Eindringlinge zu stoppen und eine zusätzliche Ebene der Zugangskontrolle zu schaffen.
• Sekundäre Authentifizierung – Bestätigen Sie die Identität jedes Benutzers für gemeinsam genutzte Konten, indem Sie persönliche Anmeldedaten anfordern.
• Verwaltung von Passwörtern und Geheimnissen – Automatisierte Einmalpasswörter, Erstellung von Anmeldeinformationen und regelmäßige Rotation vereinfachen die Arbeit Ihres Administrators, da weniger manuelle Verfahren erforderlich sind. Außerdem wird die Gefahr von Benutzerfehlern verringert, da Sie sich keine Passwörter merken oder aufschreiben müssen.
• Verwaltung des privilegierten Zugriffs – Eine robuste Kontrolle über die Benutzerrechte und die Überwachung der Benutzersitzungen hilft Ihnen, die Manipulationen mit den wichtigsten Daten in Ihrem Unternehmen zu sichern.
• Antragsgenehmigungs-Workflow – Eine sichere Methode zur Kontrolle der Zugriffsanträge aller Benutzer, wenn der Administrator alle Zugriffsversuche sieht und kontrolliert.

Fazit

Nachdem wir die beiden Ansätze verglichen und die Unterschiede zwischen DAC und MAC verstanden haben, sehen wir, dass es sich um zwei entgegengesetzte Modelle der Zugangskontrolle handelt. MAC wird von Administratoren kontrolliert und erfordert viel Zeit und Mühe bei der Pflege, bietet aber ein hohes Maß an Sicherheit. DAC ist viel einfacher zu implementieren und zu pflegen, da die Benutzer den Zugriff auf die Daten, die ihnen gehören, selbst verwalten können. Für den Schutz sensibler Datensätze ist DAC jedoch nicht gut genug.

Mit Syteca können Sie die Vorteile dieser beiden Zugriffskontrollmodelle kombinieren. Die Plattform bietet Passwortmanagement, Einmalpasswörter, zeitbasierte Zugriffsbeschränkungen und manuelle Zugriffsgenehmigungsfunktionen, mit denen Sie einen flexiblen und dennoch sicheren Zugriffsmanagementprozess durchsetzen können.