zurĂŒck zum Artikel

IT-Sicherheit: Role Engineering in Aktion

Armin Berberovic

Zugriffsmodelle fĂŒr komplexe Umgebungen bergen viele Gefahren. Der an Requirements Engineering angelehnte Prozess des Role Engineering hilft sie zu vermeiden.

Unzureichend konzipierte RBAC-Modelle fĂŒhren zu SicherheitslĂŒcken, da sie Nutzern mehr Berechtigungen einrĂ€umen, als sie zur AusĂŒbung ihrer TĂ€tigkeit benötigen, oder es ihnen erlauben, kritische Prozesse ohne Genehmigung durch eine zweite Partei durchzufĂŒhren. Dies erhöht bei einer Kompromittierung den Schaden und gefĂ€hrdet weitere Systeme.

Ursache ist hĂ€ufig eine mangelnde BerĂŒcksichtigung der Grundprinzipien wie Least Privilege und der Funktionstrennung beim Entwurf von RBAC-Modellen [1] [1]. Eine komplizierte Berechtigungsverwaltung kann das Entstehen solcher Schwachstellen zusĂ€tzlich begĂŒnstigen. Ein definierter Prozess, der zu einem systematischen Entwurf fĂŒhrt, hilft LĂŒcken zu schließen und so das Risiko zu reduzieren.

Mehr zu IT-Security

Das Role Engineering beschreibt einen an das Requirements Engineering angelehnten Prozess, um individuelle RBAC-Modelle zu entwickeln. Der Prozess besteht aus sieben Schritten, aus denen zunÀchst drei Dinge hervorgehen: ein Berechtigungskatalog, ein Katalog mit EinschrÀnkungen und eine Rollenhierarchie. Im letzten Schritt erarbeitet man anhand dieser drei Outputs ein RBAC-Modell. Zum besseren VerstÀndnis illustriert dieser Artikel die einzelnen Schritte anhand eines fiktiven IT-Dienstleisters namens Airspace Booking Services GmbH (ABS).

URL dieses Artikels:
https://www.heise.de/-9620487

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Role-Engineering-fuer-rollenbasierte-Zugriffskontrolle-9616387.html
[2] https://www.heise.de/hintergrund/Grundwissen-Asymmetrische-Kryptografie-erklaert-Teil-1-9585886.html
[3] https://www.heise.de/hintergrund/Grundwissen-Asymmetrische-Kryptografie-erklaert-Teil-2-9608592.html
[4] https://www.heise.de/hintergrund/Grundwissen-Asymmetrische-Kryptografie-erklaert-Teil-3-9642194.html
[5] https://www.heise.de/ratgeber/Netzwerkanalysewerkzeug-BloodHound-CE-Beutezug-durch-die-Windows-Domaene-9625924.html
[6] https://www.heise.de/hintergrund/DORA-Neue-Regulierung-fuer-mehr-Resilienz-in-der-Finanzbranche-9624238.html
[7] https://www.heise.de/hintergrund/IT-Sicherheit-Role-Engineering-in-Aktion-9620487.html
[8] https://www.heise.de/hintergrund/Role-Engineering-fuer-rollenbasierte-Zugriffskontrolle-9616387.html
[9] https://www.heise.de/hintergrund/Was-die-SBOM-Richtlinie-fuer-Anbieter-von-Cloud-Diensten-bedeutet-9594634.html
[10] https://www.heise.de/hintergrund/Online-Erpressung-Wie-Cyberkriminelle-Gastronomen-erpressen-9580531.html
[11] https://www.heise.de/hintergrund/IT-Sicherheit-Eine-Security-Einfuehrung-fuer-DevOps-Teams-9573277.html
[12] https://www.heise.de/ratgeber/Selbst-Hacking-Ueberpruefen-von-Cloud-Umgebungen-9535885.html
[13] https://www.heise.de/ratgeber/Selbst-Hacking-fuer-Unternehmen-Oeffentlich-zugaengliche-Informationen-sammeln-9324902.html

Copyright © 2024 Heise Medien