- Definition
- Funktionsweise
- Einsatzbereiche
- Unterschiede zu ähnlichen Technologien
- Vorteile und Nachteile
- Verwandte Begriffe
- Beispiele
- Quellen
Kurzerklärung
Kontextbasierte Zugriffskontrolle (CBAC) gewährt oder verweigert Zugriff auf Ressourcen basierend auf situativen Kontextinformationen wie Benutzer, Gerät, Standort oder Risiko.
Kontextbasierte Zugriffskontrolle (CBAC)
Definition
Kontextbasierte Zugriffskontrolle (Context-Based Access Control, CBAC) ist ein Sicherheitsmodell, bei dem Zugriffsentscheidungen nicht allein auf Benutzerrollen oder statischen Berechtigungen beruhen, sondern zusätzlich kontextuelle Faktoren berücksichtigen.
Der Zugriff auf Anwendungen, Systeme oder Daten wird abhängig von situativen Parametern dynamisch erlaubt oder verweigert.
Typische Kontextfaktoren
- Benutzeridentität
- Gerätezustand (z. B. Compliance-Status)
- Standort oder IP-Adresse
- Uhrzeit
- Sicherheitsrisiko oder Anomalien
CBAC ist ein zentraler Bestandteil moderner Sicherheitsarchitekturen und wird häufig im Rahmen von Zero-Trust-Modellen eingesetzt.
Funktionsweise
CBAC analysiert bei jedem Zugriffsversuch verschiedene Kontextinformationen und gleicht diese mit definierten Sicherheitsrichtlinien ab.
Typische Funktionsmechanismen:
- Prüfung der Identität (z. B. über Identity Provider)
- Bewertung des Gerätezustands
- Analyse von Standort- und Netzwerkparametern
- Risikobewertung basierend auf Verhaltensmustern
- Dynamische Durchsetzung von Richtlinien (z. B. MFA-Anforderung)
Je nach Ergebnis kann das System:
- Zugriff gewähren
- Zusätzliche Authentifizierung verlangen
- Zugriff einschränken
- Zugriff vollständig blockieren
Die Bewertung erfolgt häufig in Echtzeit.
Einsatzbereiche
Kontextbasierte Zugriffskontrolle wird eingesetzt in:
- Cloud- und Hybrid-Umgebungen
- Unternehmensportalen und SaaS-Anwendungen
- Remote- und Homeoffice-Szenarien
- Administrativen Zugängen
- Organisationen mit erhöhten Compliance-Anforderungen
Besonders relevant ist CBAC in Umgebungen, in denen Benutzer von unterschiedlichen Geräten und Standorten auf Ressourcen zugreifen.
Unterschiede zu ähnlichen Technologien
Role-Based Access Control (RBAC)
RBAC basiert auf festen Rollen; CBAC berücksichtigt zusätzlich dynamische Kontextinformationen.
Multi-Faktor-Authentifizierung (MFA)
MFA ist ein möglicher Bestandteil von CBAC, jedoch nicht das gesamte Entscheidungsmodell.
Zero Trust
Zero Trust ist ein Sicherheitskonzept; CBAC ist eine konkrete technische Umsetzung innerhalb dieses Modells.
Vorteile und Nachteile
- Dynamische, risikobasierte Zugriffskontrolle
- Reduzierung unbefugter Zugriffe
- Anpassungsfähig an moderne Arbeitsmodelle
- Unterstützung regulatorischer Anforderungen
- Granulare Steuerung von Zugriffsrechten
- Erhöhte Implementierungs- und Regelkomplexität
- Abhängigkeit von zuverlässigen Kontextdaten
- Potenzielle Fehlentscheidungen bei ungenauer Konfiguration
- Laufender Pflege- und Überwachungsbedarf
Verwandte Begriffe
- Zero Trust
- Multi-Faktor-Authentifizierung (MFA)
- Identity & Access Management (IAM)
- Conditional Access
- Role-Based Access Control (RBAC)
- Risk-Based Authentication
Beispiele
- Zugriff auf eine Anwendung nur bei Anmeldung aus einem bekannten Unternehmensnetzwerk
- Erzwingen zusätzlicher MFA bei Anmeldung aus unbekanntem Standort
- Blockieren von Zugriffen bei nicht konformen Endgeräten
- Einschränkung administrativer Rechte außerhalb definierter Zeitfenster
Quellen
- NIST Special Publication 800-207 – Zero Trust Architecture
https://csrc.nist.gov/publications/detail/sp/800-207/final - NIST Special Publication 800-63B – Digital Identity Guidelines: Authentication and Lifecycle Management
https://pages.nist.gov/800-63-3/sp800-63b.html - Microsoft Learn – Conditional Access overview
https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview - ENISA – Zero Trust Architecture and Access Control Guidelines
Threat Landscape | ENISA
