Skip to content

Erklären Sie DAC, MAC, RBAC und ABAC. Wann würden Sie welches wählen?

Kurzantwort

DAC lässt den Dateneigentümer den Zugriff nach eigenem Ermessen gewähren; MAC erzwingt den Zugriff zentral über Labels/Freigaben und ist nicht-diskretionär; RBAC gewährt Zugriff über Jobrollen; ABAC bewertet Attribute (Benutzer, Ressource, Umgebung) gegen eine Richtlinie für feingranulare, kontextbewusste Entscheidungen.

Zugriffskontrolle ist eine zentrale CISSP-Domäne, und dieser Vergleich zeigt, ob Sie ein Modell einer realen Umgebung zuordnen können, statt nur Akronyme aufzusagen.

DAC — Diskretionäre Zugriffskontrolle

Der Eigentümer der Ressource entscheidet, wer Zugriff erhält und auf welcher Ebene, typischerweise über ACLs. Das ist flexibel und in kommerziellen Betriebssystemen verbreitet (Dateiberechtigungen), skaliert aber schlecht und ist riskant: Ein einzelner Benutzer kann zu viel freigeben, und das Modell ist anfällig für Schadsoftware, die mit den Rechten des Benutzers handelt.

MAC — Verbindliche Zugriffskontrolle

Der Zugriff ist nicht-diskretionär und wird vom System auf Basis von Sicherheitslabels (z. B. Vertraulich, Geheim, Streng geheim) erzwungen, die mit der Freigabe eines Subjekts sowie dem Need-to-know abgeglichen werden. Eigentümer können das nicht außer Kraft setzen. Es ist starr und hochsicher, weshalb es militärische, nachrichtendienstliche und andere klassifizierte Umgebungen dominiert.

RBAC — Rollenbasierte Zugriffskontrolle

Berechtigungen hängen an Rollen, die Jobfunktionen abbilden; Benutzer erben den Zugriff, indem sie eine Rolle innehaben. Das Modell skaliert gut im Unternehmen und vereinfacht Eintritts-/Wechsel-/Austrittsänderungen, leidet aber unter Rollenexplosion, wenn sich zu viele eng gefasste Rollen ansammeln.

ABAC — Attributbasierte Zugriffskontrolle

Entscheidungen werden zur Anfragezeit aus Attributen des Subjekts, der Ressource, der Aktion und der Umgebung (Zeit, Ort, Gerätestatus) berechnet und gegen eine Richtlinie ausgewertet. Es ist das feingranularste und kontextbewussteste Modell — „erlauben, wenn Abteilung = Finanzen UND im Netzwerk UND während der Geschäftszeiten" — auf Kosten der Richtlinienkomplexität. Es bildet die Grundlage moderner Zero-Trust-Designs.

Worauf Interviewer achten

Korrekt zu benennen, wer den Zugriff kontrolliert in jedem Modell (Eigentümer, System/Label, Rolle, Richtlinie/Attribute), MAC als nicht-diskretionär und label-gesteuert zu kennzeichnen und die Rollenexplosion von RBAC mit der Flexibilität von ABAC zu verknüpfen — alles verankert im Prinzip der geringsten Rechte.

Wahrscheinliche Anschlussfragen

  • Warum wird MAC in militärischen und klassifizierten Umgebungen bevorzugt?
  • Was ist die Rollenexplosion und wie hilft ABAC dagegen?
  • Wie wirkt das Prinzip der geringsten Rechte über diese Modelle hinweg?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.