Zugriffskontrolle

Zugriffskontrolle

Zugriffskontrolle (engl. access control) bezeichnet die Überwachung des Zugriffs auf bestimmte Ressourcen. Im Konkreten entscheidet die Zugriffskontrolle, ob der Zugang zu einer bestimmten Ressource gewährt oder verwehrt wird. Das Ziel der Zugriffskontrolle ist die Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen.

Eine der wichtigsten Grundlagen der Informationssicherheit ist die Art und Weise wie auf Ressourcen zugegriffen werden kann und wie diese Ressourcen durch die Zugriffsmechanismen geschützt werden. Somit handelt es sich bei der Zugriffskontrolle nicht nur um technische Hilfsmittel.

Inhaltsverzeichnis

Einteilung

  • Administrative Zugriffskontrolle
  • Physikalische Zugriffskontrolle
  • Technische Zugriffskontrolle

Die Aufteilung dieser drei Gebiete wird als komplementär angesehen, das heißt, dass sich die Gebiete durch ein Schichtenmodell beschreiben lassen, wobei sich die einzelnen Schichten komplementär ergänzen.

Administrative Zugriffskontrolle

Die administrativen Kontrollen stehen zuoberst in der Hierarchie. Sie beschreiben, wie eine Organisation mit dem Zugriff auf ihre Informationen umgehen will. Aspekte der Zugriffkontrolle auf dieser Ebene sind:

Sicherheitsvorschriften und Prozeduren

  • Die Sicherheitsvorschrift kann Vorgaben an die Zugriffskontrolle machen, muss dies aber nicht zwingend. Zur Erstellung der Sicherheitsvorschriften muss eine Organisation feststellen, welche Informationen schützenswert sind und natürlich welchen finanziellen Wert die jeweilige Ressource hat (beispielsweise Firmengeheimnisse wie Konstruktionspläne im Automobilsektor, Kontodaten im Banksektor, usw.). Weiterhin wird die Sicherheitsvorschrift auch durch regulatorische Vorgaben (Datenschutzgesetz, Bankgeheimnis, zu erfüllende Normen, etc.) geprägt. Je nach Branche in welcher die Organisation agiert kommen Patentschutz, IP (Intellectual Property) oder ähnliches dazu.

Ein weiterer Aspekt ist die Zugriffskontrolle für die Mitarbeiter

  • Welche Rollen getrennt werden müssen (4-Augen-Prinzip, Segregation of Duties).
  • Welche Rollen und Personen Zugriff auf welche Informationen besitzen.
  • Welche Eigenschaften diese Personen erfüllen müssen um den Zugang zu erhalten.
  • Wie diese Eigenschaften regelmäßig verifiziert werden können.
  • Wie einer Person die Rechte wieder entzogen werden können.

Die Kontrollstruktur einer Organisation

  • Wer kontrolliert welche Daten auf Integrität
  • Welche Indikatoren können zur Steuerung verwendet werden
  • Wer ist für welche Aktionen in einer Organisation verantwortlich

Die Testbarkeit der Zugriffskontrollen

  • Wie die spezifizierten Kontrollen verifiziert werden können (Audit)

Physikalische Zugriffskontrolle

Bei der physikalischen Zugriffskontrolle handelt es sich um Zugriffskontrollen, welche durch physikalische Maßnahmen eingefordert werden können. Darunter versteht man die Zugriffskontrolle wie:

  • Aufbau und Architektur von Gebäuden oder umzäunten Gebieten in Bezug auf Zugangs- oder Zutrittskontrolle
  • Schlösser, Bluetooth- (Handy) oder biometrische Zutrittskontrolle bei Räumen (Serverräume, Tresore)
  • Flutlicht, Alarmanlagen oder Videoüberwachung.
  • Schutzdienst, Wachhunde, Zäune etc.

Die physikalische Aufteilung eines Netzwerkes kann auch zur physikalischen Zugriffskontrolle gerechnet werden, da eine physikalisch räumliche Teilung eines Netzwerkes erfolgt und so der Zugang zum Netzwerk geschützt wird. Wenn das Backup eines Systems in einem brandsicheren Tresor verwahrt wird, handelt es sich auch um eine physikalische Kontrolle, nämlich um den Zugriffschutz vor Feuer und Diebstahl.

Technische Zugriffskontrolle

Bei dem Gebiet der technischen Zugriffskontrolle, manchmal auch logische Zugriffkontrolle genannt, handelt es sich um die Restriktion des Zugriffes durch Software und Hardware. Dabei handelt es sich um Komponenten von Betriebssystemen, Software Applikationen, Netzwerkgeräte oder Protokolle.

Dies geschieht mittels Autorisierung und Vergabe von Zugriffsrechten. Die Kontrolle wird normalerweise über Passworte, die Gewährung von Privilegien oder das Bereitstellen von Attributen erreicht (vgl. Dateiattribute). Es müssen dazu drei Fragen beantwortet werden:

  • Körnigkeit: Was ist die kleinste schützbare Einheit? Eine Datei oder eine Menge von Dateien?
  • Operationen: Zwischen welchen Operationen (Lesen, Schreiben, Löschen, Ausführen, usw.) kann bei der Vergabe von Rechten unterschieden werden?
  • Zugang: Wie wird die Autorisierung durchgeführt? Gängige Methoden nach erfolgreicher Authentifizierung sind: Vergabe einer Benutzerkennung und Zuordnung zu einer Benutzerklasse.

Technisch wurden diverse Zugriffsmodelle implementiert. Es ist anzumerken, dass die Modelle auch für organisatorische sowie physikalische Zugriffskontrolle verwendet werden können.

Alternativen

Die zur Zugriffskontrolle notwendigen Informationen könnten in einer Zugriffsmatrix abgelegt sein. Zugriffsmatrizen sind jedoch für eine Implementierung ungeeignet, da sie sehr groß sind und i.a. dünn besetzt sind. Eine Alternative könnte eine Tripelliste sein, bei der es für jedes vergebene Recht eines Benutzers auf ein Objekt einen Eintrag gibt.

Beispiele


Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Zugriffskontrolle — Zugriffskontrolle,   ein Verfahren, den Zugriff auf bestimmte Informationen oder Funktionen in einem Netzwerk abhängig von der Identität des Benutzers zu beschränken. Typischerweise gibt es vordefinierte Benutzergruppen mit unterschiedlichen… …   Universal-Lexikon

  • Rollenbasierte Zugriffskontrolle — Die Artikel Rollenkonzept und Role Based Access Control überschneiden sich thematisch. Hilf mit, die Artikel besser voneinander abzugrenzen oder zu vereinigen. Beteilige dich dazu an der Diskussion über diese Überschneidungen. Bitte entferne… …   Deutsch Wikipedia

  • Zugriffschutz — Zugriffskontrolle (engl. access control) bezeichnet die Überwachung des Zugriffs auf bestimmte Ressourcen. Im Konkreten entscheidet die Zugriffskontrolle, ob der Zugang zu einer bestimmten Ressource gewährt oder verwehrt wird. Das Ziel der… …   Deutsch Wikipedia

  • X.800 — ist eine Sicherheitsarchitektur im Sinne der Informationssicherheit zur sicheren Anbindung verschiedenster offener digitaler Systeme. Nach wie vor ist X.800 kein Standard, sondern eine Empfehlung der ITU (International Telecommunication Union)… …   Deutsch Wikipedia

  • CISSP — Dieser Artikel oder Abschnitt besteht hauptsächlich aus Listen, an deren Stelle besser Fließtext stehen sollte. Der Certified Information Systems Security Professional (CISSP) ist eine Zertifizierung, die vom International Information Systems… …   Deutsch Wikipedia

  • Festplattenlaufwerk — Speichermedium Festplattenlaufwerk geöffnete Festplatte: drei Magnetscheiben, Schreib /Lesekopf, Mechanik Allgemeines Typ magnetisch Kapazität bis 4 TByte (2011) …   Deutsch Wikipedia

  • Certified Information Systems Security Professional — Der Certified Information Systems Security Professional (CISSP) ist eine Zertifizierung, die vom International Information Systems Security Certification Consortium, Inc. (auch: (ISC)²) angeboten wird. Es handelt sich bei dem Zertifikat um einen… …   Deutsch Wikipedia

  • Benutzerrecht — Zugriffsrechte bezeichnen in der EDV die Regeln der administrativen Zugriffskontrolle, nach denen entschieden wird, ob und wie Benutzer, Programme oder Programmteile, Operationen auf Objekten (z. B. Netzwerke, Drucker, Dateisysteme) ausführen… …   Deutsch Wikipedia

  • Benutzerrechte — Zugriffsrechte bezeichnen in der EDV die Regeln der administrativen Zugriffskontrolle, nach denen entschieden wird, ob und wie Benutzer, Programme oder Programmteile, Operationen auf Objekten (z. B. Netzwerke, Drucker, Dateisysteme) ausführen… …   Deutsch Wikipedia

  • Role Based Access Control — (RBAC; deutsch: Rollenbasierte Zugriffskontrolle) ist in Mehrbenutzersystemen oder Rechnernetzen ein Verfahren zur Zugriffssteuerung und kontrolle auf Dateien oder Dienste. Das RBAC Modell wurde 1992 von D.F Ferraiolo und D.R. Kuhn beschrieben[1] …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”