Zugriffssteuerung

Zugriffssteuerung (engl. Access Control) bezeichnet die Gesamtheit von Konzepten, Prozessen und Technologien, die festlegen, welche Personen, Dienste oder Geräte auf Daten, Funktionen, Systeme, Anwendungen oder physische Ressourcen zugreifen dürfen.

Produkt:
Allgemein
RessourcenGlossar
Zugriffssteuerung

Das Ziel besteht darin, Zugriffe nachvollziehbar, bedarfsgerecht und sicher auf die jeweils autorisierten Nutzergruppen zu beschränken. So werden sensible Informationen und essentielle Ressourcen sowohl vor unbefugtem Zugriff als auch vor unbeabsichtigter Veränderung oder Offenlegung geschützt. Zugriffssteuerung ist ein fundamentaler Baustein für Datenschutz, Compliance und Informationssicherheit – sie ist nicht nur für Informationssysteme, sondern für alle digitalen und physischen Infrastrukturen von zentraler Bedeutung.

Definition und Ziel

Zugriffssteuerung umfasst das Zusammenspiel aus Richtlinien (Policies), technischen Kontrollen und organisatorischen Prozessen. Sie beinhaltet das Festlegen, Entscheiden und technische Erzwingen von Zugriffsrechten. In modernen Architekturen kommen dabei spezialisierte Komponenten zum Einsatz:

  • Policy Administration Point (PAP): Verwaltung und Pflege der Zugriffsrichtlinien.
  • Policy Repository (PRP): Ablage und Versionierung der aktiven Richtlinien.
  • Policy Decision Point (PDP): Bewertet Zugriffsanfragen anhand der Richtlinien, eingehender Attribute und Kontextinformationen.
  • Policy Enforcement Point (PEP): Setzt Richtlinienentscheidungen im Zielsystem durch.
  • Policy Information Point (PIP): Liefert Attributwerte und Kontextdaten, z. B. aus Identitäts-, HR- oder Inventarsystemen.

Diese Komponenten repräsentieren keine menschlichen Rollen, sondern technische Bausteine einer Zugriffssteuerungsarchitektur. Die Entscheidungen des PDP basieren in der Regel auf den vier Grundelementen: Subjekt (wer), Objekt (worauf), Aktion (was) und Umgebung (unter welchen Bedingungen).

Das Ziel der Zugriffssteuerung ist der Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Daten und Ressourcen. Unternehmen erfüllen so regulatorische Anforderungen (z. B. DSGVO, ISO 27001), minimieren Risiken im Alltag und wahren Compliance. Authentifizierung (Identitätsprüfung) und Autorisierung (Entscheidung über Umfang und Bedingungen des Zugriffs) sind eng miteinander verknüpft, werden jedoch fachlich klar unterschieden.

Zentrale Prinzipien

Für wirksame Zugriffssteuerung gelten mehrere Schlüsselprinzipien:

  • Least Privilege: Jeder Nutzer, jede Maschine und jeder Dienst erhält ausschließlich die Rechte, die unbedingt notwendig sind.
  • Need-to-Know: Informationszugang erfolgt nur, wenn dies für die jeweilige Aufgabe erforderlich ist – mit Fokus auf den inhaltlichen Zusammenhang.
  • Separation of Duties (SoD – Aufgabentrennung): Kritische Maßnahmen und Befugnisse werden organisatorisch und technisch getrennt, um Missbrauch und Fehler zu verhindern.
  • Zero Trust: Implizites Vertrauen auf Netzwerkebene entfällt. Zugriffe werden konsequent kontext- und identitätsbasiert überprüft.
  • Defense in Depth: Mehrstufige, sich überlappende Schutzmechanismen verhindern das vollständige Versagen bei Durchbruch einer einzelnen Kontrollebene.

Zusätzlich nutzt die Zugriffssteuerung Policy-Kombinierungsalgorithmen wie „deny-overrides“, „permit-overrides“ oder „first-applicable“, die im Rahmen standardisierter Richtliniensprachen wie XACML zur Konfliktlösung eingesetzt werden. Das Prinzip „deny by default“ verhindert, dass nicht explizit erlaubte Zugriffe unbeabsichtigt gewährt werden.

Grundlegende Modelle der Zugriffssteuerung

Zugriffsrechte können nach verschiedenen Modellen vergeben werden:

  • DAC (Discretionary Access Control): Ressourceneigner bestimmen die Zugriffsrechte, was zwar flexibel ist, aber Schattenberechtigungen begünstigen kann.
  • MAC (Mandatory Access Control): Übergeordnete Instanzen legen Rechte nach festen Regeln und Sicherheitsklassen fest. Besonders relevant in Behörden und kritischen Infrastrukturen (z. B. mit SELinux/AppArmor-Zugriffsprofilen).
  • RBAC (Role-Based Access Control): Benutzer bekommen Rechte über Rollen zugewiesen. Standardisiert, effizient und nachvollziehbar. Oft Basis in Unternehmen, z. B. bei Windows-NTFS oder Kubernetes RBAC.
  • ABAC (Attribute-Based Access Control): Attribute von Subjekt, Objekt, Aktion und Kontext (wie Abteilung, Standort, Klassifizierung, Uhrzeit, Gerätezustand) steuern feingranular die Zugriffsentscheidung. Technische Standardbeispiele sind XACML, OPA/Rego, Cedar.
  • ReBAC (Relationship-Based Access Control): Autorisierung basiert auf grafisch dargestellten Beziehungen (z. B. Teammitgliedschaft, Besitzverhältnisse, Mandantenbeziehungen). Moderne Implementierungen: Google Zanzibar-Modell, SpiceDB/AuthZed.

In Cloud-Umgebungen kommen eigene Autorisierungsmodelle (z. B. AWS IAM, Azure RBAC, GCP IAM) sowie Ressourcenspezifische Policies zum Einsatz. „Cross-Account“-Zugriffe werden in AWS z. B. über IAM-Roles, Resource-based Policies und AWS STS/AssumeRole ermöglicht.

Viele moderne Systeme kombinieren diese Modelle, sodass hybride Ansätze (RBAC-ABAC, ReBAC-ABAC) entstehen. Hinzu kommen Anforderungen wie Just-in-Time (JIT) oder Just-Enough-Access (JEA), Delegation (On-Behalf-Of, Token Exchange RFC 8693) sowie Privileged Identity Management (PIM) für temporäre Rechteerweiterungen.

Architekturbausteine und Entscheidungswege

Zugriffssteuerung gliedert sich in verschiedene technische Schichten und Komponenten:

  • Policy Administration Point (PAP): Verwaltung von Zugriffsrichtlinien.
  • Policy Repository (PRP): Sichere, versionierte Ablage und Freigabe aller Richtlinien.
  • Policy Decision Point (PDP): Bewertet bei jeder Anfrage, ob Zugriff unter aktuellen Bedingungen zulässig ist. Kann zentralisiert, dezentral (z. B. als Sidecar) oder in gemischten Topologien betrieben werden.
  • Policy Enforcement Point (PEP): Setzt die Entscheidung des PDP in Anwendungen, API-Gateways, Datenbanken oder Devices um.
  • Policy Information Point (PIP): Stellt Attribute und Kontext-Daten bereit (z. B. Device-Compliance, HR-Status, Standorte, Änderungszeitpunkte).

Häufig werden Attribute aus verschiedenen Quellen zusammengeführt, wobei Aspekte wie Quellenqualität, Aktualität (Time-to-Live), Herkunft und Synchronisationslatenz zu beachten sind (TOCTOU-Problematik). Bei Zugriffsanfragen werden Kontextdaten (wie Gerätestatus, Standort, Risikofaktoren, Session-Parameter) dynamisch bewertet. Continuous Access Evaluation (CAE) stellt sicher, dass Zugriffe auch während einer laufenden Sitzung kontinuierlich validiert und ggf. bei Änderung der Bedingungen entzogen werden. Für besonders sensible Aktionen sind Privilege Elevation oder Step-up-Authentifizierung erforderlich.

Bausteine einer wirksamen Zugriffssteuerung

Ein effektives Zugriffssteuerungskonzept enthält zentrale Bausteine:

  • Identitätsmanagement: Verwaltung aller Nutzer, Gastkonten, Maschinen- und Service-Accounts. Berücksichtigt deren Lebenszyklus, die Rotation und die Auditierbarkeit.
  • Authentifizierung: Identitätsnachweis über SSO (SAML, OpenID Connect für Authentifizierung), Multifaktor-Authentifizierung (FIDO2, WebAuthn), biometrische Systeme oder Zertifikate.
  • Autorisierung: Durchsetzung von Policies über RBAC, ABAC, ReBAC – unter Berücksichtigung von Attribut- und Beziehungsmodellen, dynamischen Kontexten und Policy-as-Code Ansätzen.
  • Ressourcenmanagement: Festlegung und Verwaltung von Attributen, Sensitivitäts-Labels, Klassifikationen und Schutzmaßnahmen für Objekte und Ressourcen auf Datenbank-, Datei- und Anwendungsebene. Dazu gehören z. B. Row-Level Security, Spaltenmaskierung, Field-Level- und Cell-Level-Security, Tokenization und Format-Preserving Encryption.
  • Sitzungs- und Kontextüberprüfung: Überprüfung und Reevaluierung (Continuous Access Evaluation) je nach Kontextwechsel, Standort, Risikobewertung oder bei Privileg-Eskalation.
  • Protokollierung und Audits: Zweckgebundene, risikobasierte Protokollierung aller relevanten Vorgänge. Protokolle werden separat abgesichert, mit differenzierten Administrationsrechten versehen und individuellen Aufbewahrungsfristen verwaltet. Pseudonymisierung erfolgt risikobasiert und nur dort, wo Auditierbarkeit gewährleistet bleibt.
  • Rechte- und Privilegienmanagement: Automatisierte Provisionierung und Entzug (z. B. via SCIM für Identitäts- und Gruppendaten, für Entitlements ggf. spezialisierte Schnittstellen/Modelle), regelmäßige Überprüfung auf Orphaned Accounts, Rezertifizierung und Kontrolle aller Sonder- und Ausnahmeberechtigungen.

Ergänzend relevant: Datenzentrische Kontrollen (wie Data Loss Prevention), Verschlüsselung, Schlüsselmanagement, Integration physischer Zugriffssteuerung (Badges, Zutrittszonen) und Besuchermanagement.

Umsetzung in Informationssystemen und Praxisbeispiele

Zugriffssteuerung ist in unterschiedlichsten Systemen erforderlich:

  • Dokumentenmanagement und Informationssysteme: Verfeinerte Rechtevergabe nach Rolle, Attribut (z. B. Mandant, Vertraulichkeit) und Umfeld. Workflows sichern Freigaben und Zugriffsfortschreibung.
  • Wissensdatenbanken und Intranets: Öffentlich zugängliche Standardinhalte, vertrauliche Bereiche mit detaillierten Zugriffsbeschränkungen und temporären Sonderrechten; Freigaben werden in Policies dokumentiert.
  • Kollaborationsplattformen/Mehrmandantensysteme: Trennung der Mandanten durch Labels, ReBAC und dedizierte Rollen. Tenant Isolation verhindert Datenlecks.
  • APIs und Schnittstellen: Zugriffskontrolle über Access-Tokens (OAuth 2.0). Für Authentifizierung dient OpenID Connect (ID Tokens), für die API-Autorisierung ausschließlich OAuth 2.0 Access Tokens. Schutz vor Token-Diebstahl oder Replay-Angriffen durch Proof-of-Possession-Techniken (mTLS, DPoP). Token Exchange und On-Behalf-Of-Modelle ermöglichen Delegation.
  • Cloud-Systeme: Implementierung von domänenspezifischen Policies (AWS-Resource-based Policies, Azure-Rollen, Google Resource-Policies). Ressourcenzugriffe lassen sich über Cloud-spezifische Hierarchien (Organisations, OUs, Subscriptions/Projects) und Service Control Policies (AWS SCPs) granular steuern. CIEM-Lösungen verschaffen Übersicht über Zugriffsrechte selbst bei Shadow-IT.
  • Maschinen- und Workload-Identitäten: Absicherung von Service-Accounts, Apps und Workloads mit mTLS, Workload Attestation über SPIFFE/SPIRE, secrets management sowie automatisierte Rotation/Revokation von Credentials.

Praxisbeispiel: Ein Projektordner steht nur dem internen Team mit Lesezugriff offen, während Projektleitungen über erweiterte Rechte verfügen. Externe erhalten Zugriffsrechte auf Unterordner nur zeitlich und auf den notwendigen Umfang eingeschränkt. Mandanten- und Vertraulichkeitsattribute verhindern organisationsübergreifende Zugriffe.

Best Practices für Implementierung und Betrieb

Für nachhaltige, sichere Zugriffssteuerung empfehlen sich:

  1. Entwickeln Sie einen rollen- und attributbasierten Rechte- und Entitlement-Katalog unter Einbeziehung der Fachbereiche.
  2. Klassifizieren Sie alle Ressourcen und Daten anhand Vertraulichkeit, Kritikalität sowie Schutzbedarf und verknüpfen Sie diese mit klaren Policies.
  3. Implementieren Sie Standardrollen, handhaben Sie Ausnahmen restriktiv und zeitlich befristet (z. B. über Privileged Identity Management).
  4. Setzen Sie mehrstufige Antrags- und Freigabeprozesse ein, insbesondere für erhöhte oder privilegierte Rechte. SoD-Matrizen verhindern „toxic combinations“.
  5. Nutzen Sie verpflichtend Multifaktor-Authentifizierung bei sensiblen Zugängen. Differenzieren Sie Rechte für interne, externe und Maschinenidentitäten.
  6. Führen Sie risikobasierte Rezertifizierungen durch; für kritische Rollen häufiger, für Standardnutzer in größeren Abständen.
  7. Automatisieren Sie Provisionierung und Entzug von Zugriffsrechten durch Integration mit HR-, Identity- und Directory-Systemen (via SCIM für Identitäts- und Gruppendaten, Entitlements je nach System).
  8. Überwachen Sie Rechteänderungen und Zugriffe risikoorientiert, implementieren Sie Alarmierungen und generieren Sie belastbare Audit-Reports.
  9. Definieren Sie einen Break-Glass-Prozess für Notfälle – zeitlich begrenzt, hochsicher, revisionssicher protokolliert und mit nachgelagerter Kontrolle.
  10. Investieren Sie in gut verständliche, aktuelle Dokumentation und gezielte Schulungen. Wert legen auf Usability und nachvollziehbare Prozesse mit klaren Feedbackmechanismen.

Regelmäßige Test- und Reviewprozesse (z. B. im Rahmen eines Secure SDLC) sind obligatorisch: Dazu zählen autorisierungsspezifische Fuzz- und Negativtests, Policy-Reviews, Threat Modeling im Hinblick auf Privilege Escalation, Insecure Direct Object Reference (IDOR) und mögliche Policy-Bypässe.

Häufige Fehler und deren Vermeidung

Typische Schwächen zeigen sich bei:

  • Zu breiten Standardrechten und dem großzügigen Zuweisen privilegierter Berechtigungen.
  • Unklarer Abgrenzung zwischen Authentifizierung und Autorisierung.
  • Schattenberechtigungen und nicht dokumentierten Ausnahmen mangels regelmäßiger Überprüfung.
  • Gemeinsamen oder nicht individualisierten Konten, was Auditierbarkeit und Compliance erschwert.
  • Fehlender Governance für Service- und Maschinenidentitäten, insbesondere bei Rotation und Kontrolle.
  • Übermäßigem Vertrauen in Netzwerkkontrollen (z. B. VPN) ohne Anwendungskontrolle.
  • Unvollständigen Berechtigungsentzügen beim Offboarding und mangelhaften Offboarding-Prozessen.
  • Schlechter oder unkontrollierter Protokollierung; fehlende Zweckbindung, mangelnde Absicherung, unangemessene Protokollanpassung an Datenschutzanforderungen.

Ein konsequentes, automatisiertes, nachvollziehbares und versioniertes Policy-Management mit regelmäßigen Reviews und klaren Zuständigkeiten ist essenziell.

Compliance, Datenschutz und Nachvollziehbarkeit

Rechtliche und regulatorische Vorgaben erfordern dokumentierte, überprüfbare und datenschutzkonforme Zugriffssteuerung:

  • Die DSGVO verlangt, dass der Zugriff auf personenbezogene Daten auf das notwendige Maß beschränkt wird, und dass Protokollierung zweckgebunden, risikobasiert und mit begrenzter Aufbewahrung erfolgt.
  • Sicherheitsstandards wie ISO 27001, NIST SP 800-53, PCI DSS 4.0, BSI IT-Grundschutz schreiben ein umfassendes Rechte- und Auditmanagement vor. Dazu gehören regelmäßige Rezertifizierungen, Nachweisbarkeit und klare Dokumentation.
  • Protokolle müssen gegen Manipulation gesichert, pseudonymisiert (soweit mit Auditierbarkeit und Rechtspflichten vereinbar), und nach dem Prinzip der Zugriffstrennung verwaltet werden. Separate Administration für Logs verhindert unberechtigte Manipulationen.
  • Bei Monitoring und Session Recording sind Mitbestimmungsrechte und arbeitsrechtliche Anforderungen zu berücksichtigen. Privacy-by-Design und Data-Protection-by-Default sollten beachtet werden, z. B. durch DSFA/DPIA und frühzeitige Einbindung des Betriebsrats.

Integration, Standards und Technologien

Die Umsetzung einer modernen Zugriffssteuerung basiert auf etablierten Technologien und Standards:

  • LDAP-kompatible Verzeichnisdienste (Active Directory, OpenLDAP) für Identitäts- und Gruppenverwaltung.
  • Föderierte Authentifizierung und Single Sign-On mit SAML, OpenID Connect. Multifaktorielle Verfahren wie FIDO2/WebAuthn.
  • SCIM zur automatisierten Provisionierung von Identitäts- und Gruppendaten (nicht für feingranulare Berechtigungen).
  • OAuth 2.0 für API-Autorisierung mit Access-Tokens, Claims, Audience/Scope, Proof-of-Possession-Verfahren (mTLS, DPoP). Sicherheitsstandards wie RFC 9126 (OAuth 2.0 BCP) und RFC 8725 (JWT BCP) sind zu beachten.
  • Policy-Engines (OPA/Rego, Cedar, XACML/ALFA), die flexible, versionierbare Richtliniendefinition (Policy-as-Code) erlauben und systematische Test- und Deployment-Prozesse unterstützen.
  • Privileged Access Management (PAM) zur sicheren Verwaltung und Überwachung administrativer Konten inklusive kontrolliertem Session-Recording.
  • Cloud- und CIEM-Lösungen geben hybride und Multi-Cloud-Umgebungen die notwendige Transparenz.

Weitere Aspekte: Absicherung von SaaS, Link-Sharing-Policies, Integration von IGA/SSPM, Legacy-Mechanismen (NTFS/POSIX-ACLs, RADIUS/TACACS+), API-Sicherheitsmuster (Refresh-Token-Rotation, BFF), Secrets und Key Management (Vaults/KMS) sowie die Integration moderner Technologien in Service Meshes, Kubernetes (OPA/Gatekeeper, Kyverno) und device/posture-basierten Policies (MDM-Compliance, TPM Attestation).

Kennzahlen zur Steuerung und Kontrolle

Für die Steuerung und Weiterentwicklung von Zugriffssteuerungsprozessen eignen sich folgende Kennzahlen:

  • Anteil der Konten mit aktiver Multifaktor-Authentifizierung.
  • Anzahl und Anteil inaktiver oder verwaister Konten.
  • Durchschnittliche Anzahl vergebener Privilegien pro Nutzer, Rolle oder System.
  • Zeit bis zum vollständigen Berechtigungsentzug nach Austritt oder Rollenwechsel.
  • Abschlussquote risikobasierter Rezertifizierungen.
  • Zeit bis zur Genehmigung oder Ablehnung von Ausnahmebeantragungen (Time-to-Approve).
  • Quote und Dauer just-in-time vergebener Privilegien (JIT), Anzahl und Häufigkeit von Notfallzugriffsereignissen (Break-Glass).
  • Anzahl und Schwere von Separation-of-Duties-Verstößen (SoD), Coverage und Umfang von Access-Reviews.
  • Anteil privilegierter Sitzungen über PAM, Rotation von Maschinengeheimnissen.
  • Deny-Rate, Policy-Änderungsdurchlaufzeit, Zeit bis zur Behebung überprivilegierter Zugriffsrechte, Anzahl veralteter Policies und Gruppen („stale“).
  • Auffällige Zugriffsereignisse sowie die mittlere Reaktionszeit des Security-Teams.

Die Auswahl und Überwachung der Metriken erfolgt risikoorientiert und unternehmensspezifisch.

Häufige Fragen zu Zugriffssteuerung

Was ist der Unterschied zwischen RBAC und ABAC?

RBAC basiert auf vordefinierten Rollen, denen Berechtigungen zugewiesen sind. Nutzer erhalten ihre Berechtigungen anhand ihrer Rolle. ABAC arbeitet dynamisch mit Attributen von Subjekt, Objekt, Aktion und Umgebung, die bei jeder Anfrage ausgewertet werden. In der Praxis werden beide Ansätze oft hybrid kombiniert, um Skalierbarkeit und Feingranularität zu erreichen.

Wie wende ich das Least-Privilege-Prinzip effektiv an?

Definieren Sie restriktive Standardrollen und vergeben Sie zusätzliche Rechte nur zeitlich und kontextbezogen, zum Beispiel über just-in-time oder automatisierte Workflows. Prüfen und entziehen Sie unnötige Rechte regelmäßig, z. B. durch risikobasierte Rezertifizierungen und automatische Prozesse.

Ist MFA (Mehrfaktor-Authentifizierung) auch für interne Systeme notwendig?

Gerade bei privilegierten, sensiblen oder fernzugänglichen Systemen ist MFA ein starker Schutz gegen Kontoübernahmen. Sie ist inzwischen Branchenstandard und sollte auch intern verpflichtend sein – insbesondere für privilegierte Nutzer und Zugriff von unsicheren Geräten oder Standorten.

Wie gehe ich mit externen Nutzenden oder Partnern um?

Nutzen Sie temporäre Gastkonten mit minimalen Rechten, klaren Ablaufdaten und individueller Verantwortlichkeit (Sponsor aus dem Unternehmen). Jede Aktivität sollte nachvollziehbar protokolliert werden. Prüfen und widerrufen Sie Gastzugänge nach Zweckentfall sofort.

Wie halte ich Berechtigungen bei Mitarbeiterwechseln aktuell?

Verknüpfen Sie Ihr Identitätsmanagement mit HR-Eventquellen und automatisieren Sie die Provisionierung und Entfernung von Berechtigungen (z. B. per SCIM oder API). Führen Sie bei Rollen- oder Aufgabenwechseln sofortige Rezertifizierungen durch.

Welche Protokolle und Standards sollte ich unterstützen?

Für Identitäts- und Gruppenmanagement empfehlen sich LDAP und SCIM; zur Authentifizierung SAML, OpenID Connect, FIDO2/WebAuthn; für API-Autorisierung OAuth 2.0 (mit Proof-of-Possession); für Policy-Definition XACML, OPA/Rego oder Cedar.

Reicht ein VPN als Zugriffssteuerung aus?

Nein, ein VPN regelt lediglich den Netzwerkzugang, nicht den Zugriff auf spezifische Ressourcen. Für wirksame Kontrolle bedarf es rollen- und attributbasierter Autorisierung sowie kontextbasierter Validierung – ein zentraler Bestandteil des Zero-Trust-Modells.

Wie kann ich Zugriffe auditierbar und datenschutzkonform machen?

Führen Sie zweckgebundene, risikoorientierte, gegen Manipulation gesicherte Protokollierung durch. Trennen Sie Administration von Logs, definieren Sie differenzierte Zugriffsrechte und sorgen Sie für datenschutzkonforme Aufbewahrungsfristen. Pseudonymisierung ist risikobasiert zu prüfen und muss Auditierbarkeit sowie betroffene Rechte berücksichtigen.

Wie lassen sich Berechtigungskonflikte und „toxic combinations“ vermeiden?

Nutzen Sie SoD-Matrizen, „deny-overrides“-Regelwerke und regelmäßige Tests auf Inkonsistenz. Rollen- und Policy-Konzepte mit „deny by default“ und differenzierten Freigabeprozessen sind wirksam gegen gefährliche Kombinationen.

Welche Besonderheiten gelten bei Cloud- und SaaS-Systemen?

Cloud-IAM-Lösungen ermöglichen flexible Policies, jedoch steigt die Komplexität der Rechteverteilung erheblich. CIEM-Tools sorgen für Transparenz auch bei Multi-Cloud und Shadow-IT. Mandantenfähigkeit, Föderation und B2B-Beziehungen müssen gezielt gesteuert und auditiert werden.

Was ist Continuous Access Evaluation oder Risk-Adaptive Access Control (RAdAC)?

Continuous Access Evaluation prüft während einer laufenden Sitzung fortlaufend, ob die Zugriffsbedingungen (z. B. Kontext, Gerät, Standort) weiterhin erfüllt sind. Risk-Adaptive Access Control trifft Zugriffsentscheidungen dynamisch in Abhängigkeit aktueller Risiken und Umgebungsfaktoren – sowohl vor als auch während des Zugriffs.

Inhaltsverzeichnis
GLOMAS Logo
Wir gestalten das Informations­management der Zukunft.
Lösungen
BibliotheksmanagementNormenmanagementParlamentsdokumentation
Ressourcen
ArtikelGlossar
GLOMAS
NewsroomÜber unsKarriere
Copyright © 2025 GLOMAS Deutschland GmbH
Privatsphäre-EinstellungenImpressumDatenschutz