Bewertung von Zugangskontrollsystemen: Von DAC bis PBAC

In der heutigen, sich schnell entwickelnden cyber-physischen Landschaft ist die Sicherung des Zugangs zu vertraulichen Informationen und Ressourcen von entscheidender Bedeutung für den Erfolg eines jeden Unternehmens. Ein ausschlaggebender Aspekt der Sicherung von Systemen ist die Implementierung wirksamer Zugangskontrollmechanismen. Die benutzerbestimmbare Zugriffskontrolle (Discretionary Access Control, DAC) ist ein Zugangskontrollmodell, das es Organisationen ermöglicht, Berechtigungen allein auf Basis der Identität des einzelnen Benutzers zu definieren und durchzusetzen. Aber was ist sie und wie unterscheidet sie sich von der richtlinienbasierten Zugriffskontrolle (Policy-Based Access Control, PBAC)? Keine Sorge – in wenigen Minuten wissen Sie mehr.

Grundlegendes zu Discretionary Access Control (DAC)

Im Kontext der physischen Sicherheit spielt DAC eine zentrale Rolle als Schutzmaßnahme für cyber-physische Systeme. Durch die Implementierung von DAC können Organisationen den Zugang zu kritischen Infrastrukturen regeln und sicherstellen, dass nur autorisiertes Personal mit diesen Systemen interagieren kann. In einer Industrieanlage kann DAC beispielsweise eingesetzt werden, um den Zugang zu sensiblen Maschinen oder operativen Steuerungssystemen zu kontrollieren und zu verhindern, dass unbefugte Personen entscheidende Prozesse manipulieren oder unterbrechen.

Das Prinzip der geringsten Berechtigungen ist ein grundlegendes Konzept in DAC, das den Ansatz unterstützt, Benutzern nur das für die Durchführung ihrer Aufgaben erforderliche Mindestmaß an Zugang zu erteilen. Indem dieses Prinzip aufrechterhalten wird, können Organisationen den potenziellen Schaden minimieren, der durch versehentlichen oder vorsätzlichen Missbrauch von Berechtigungen verursacht wird. In einer cyber-physischen Umgebung wird dadurch sichergestellt, dass Einzelpersonen nur Zugang zu den spezifischen Komponenten haben, die sie für ihre Arbeit benötigen, was die Angriffsfläche reduziert und unbefugte Änderungen verhindert.

Verbesserung der Zugangskontrolle mit Policy-Based Access Control (PBAC) – Richtlininebasierter Zugangskontrolle

DAC bietet zwar eine flexibles Framework für die Zugangskontrolle, ist aber möglicherweise nicht immer ausreichend für komplexe Sicherheitsanforderungen. Hier kommt die PBAC ins Spiel. PBAC ist ein Modell zur Zugangssteuerung, das Richtlinien verwendet, um Zugangsrechte basierend auf verschiedenen Attributen und Bedingungen zu definieren. Durch die Nutzung von PBAC können Organisationen anspruchsvollere Mechanismen zur Zugangskontrolle implementieren, die auf ihre spezifischen Sicherheitsanforderungen abgestimmt sind.

In einem PBAC-System definieren Sicherheitsrichtlinien die Bedingungen, unter denen der Zugang erteilt oder verweigert wird. Diese Richtlinien berücksichtigen Attribute wie Benutzerrollen, Zeitpunkt des Zugangs, Standort und die Vertraulichkeit der Ressource, auf die zugegriffen wird . PBAC kann DAC ergänzen, indem er es Organisationen ermöglicht, granulare Richtlinien zur Zugangskontrolle durchzusetzen, die deren spezifischen Sicherheitsanforderungen entsprechen.

In einer cyber-physischen Umgebung trägt PBAC zur Festlegung von umfassenden Sicherheitsrichtlinien bei, indem es nicht nur die Benutzer und ihre Berechtigungen berücksichtigt, sondern auch die kontextbezogenen Faktoren, die sich auf Zugangsentscheidungen auswirken können. Eine PBAC-Richtlinie kann beispielsweise in einer Hochsicherheitseinrichtung vorschreiben, dass der Zugang zu bestimmten Bereichen zu bestimmten Zeiten auf bestimmte Personen beschränkt ist, selbst wenn diese über die erforderlichen DAC-Berechtigungen verfügen. PBAC fügt eine zusätzliche Sicherheitsebene hinzu und stellt sicher, dass Entscheidungen zur Zugangskontrolle mit den allgemeinen Sicherheitszielen der Organisation übereinstimmen.

PBAC erleichtert außerdem die dynamische Zugangskontrolle und ermöglicht es Organisationen, die Zugangsberechtigungen in Echtzeit an sich ändernde Bedingungen oder sich entwickelnde Bedrohungen anzupassen. Diese Funktionalität ist vor allem in cyber-physischen Systemen ausschlaggebend, wo die physische Umgebung und die dazugehörigen Risiken rasch schwanken können. Durch die Kombination von DAC mit PBAC können Organisationen ein zuverlässiges und und anpassungsfähiges Zugangskontrollsystem einrichten, das die komplexen Sicherheitsherausforderungen von cyber-physischen Umgebungen bewältigt.

Alles zusammenfügen.

Die Implementierung von zuverlässigen Mechanismen zur Zugangskontrolle ist ein Muss für die Aufrechterhaltung der Sicherheit von cyber-physischen Systemen. DAC Ressourcen und ermöglicht es ihnen, Zugangsberechtigungen über Listen zur Zugangskontrolle (Access Control Lists, ACLs) zu bestimmen. Bei der physischen Sicherheit spielt DAC eine entscheidende Rolle, um autorisiertem Personal Zugang zu sensibler Infrastruktur zu erteilen, während unbefugter Zugang gleichzeitig verhindert wird. Darüber hinaus verbessert die Integration von PBAC die Mechanismen zur Zugriffskontrolle noch weiter, indem sie es Organisationen ermöglicht, Sicherheitsrichtlinien basierend auf kontextbezogenen Faktoren zu definieren. Durch den Einsatz von DAC und PBAC können Organisationen ein umfassendes Zugangskontrollsystem einrichten, das individuelle Bestimmung, zentralisierte Verwaltung und dynamische Sicherheitsrichtlinien in Einklang bringt und so den Schutz von cyber-physischen Systemen gewährleistet und Schwachstellen minimiert.

Kontaktieren Sie Alert Enterprise und wir zeigen Ihnen, wie Sie den Zugang nach individuellen Zeitplänen und Vorgaben mit dem allerersten Cloud-Service für richtlinienbasierte Zugangskontrolle steuern können.

Lass uns plaudern.

David Cassady

Chief Strategy Officer

Seit mehr als 30 Jahren ist David Cassady im Silicon Valley als Vertriebler und Teamleiter tätig. Während dieser Zeit leitete er eine Mischung aus etablierten Softwareunternehmen und Startups. Cassady war außerdem an fünf Börsengängen beteiligt – und an mindestens ebenso vielen Übernahmen. 

Als Chief Strategy Officer verhilft Cassady mit seiner umfassenden Erfahrung Softwareunternehmen zu mehr Wachstum. Für diese Zwecke greift er auf seine fundierten und wirkungsvollen Partnerschaften mit den weltweit erfolgreichsten SaaS-Anbietern wie ServiceNow, Microsoft und SAP zurück. 

Mark Weatherford

Chief Security Officer
Senior Vice President, Regulated Industries

Mark Weatherford bringt jahrelange Erfahrung im Cyber- und physischen Bereich in Alert Enterprise ein. Als Chief Security Officer (CSO) leitet er die Strategie der Datenverwaltung und des Datenschutzes, indem er die Erstellung von Richtlinien und Verfahren für Cyber- und physische Bereiche im Unternehmen mit seiner Expertise unterstützt. Er arbeitet zudem mit Unternehmen und Führungskräften in der Cyber- und physischen Sicherheitsbranche zusammen, um die Einführung der Sicherheitskonvergenz weiter zu beschleunigen.

Weatherford hatte zahlreiche Führungspositionen im Bereich Cybersicherheit inne. So war er zum Beispiel Vice President und Chief Security Officer bei der North American Electric Reliability Corporation (NERC), der erste stellvertretende Staatssekretär für Cybersicherheit des Department of Homeland Security in der Regierung unter Obama und der erste Chief Information Security Officer sowohl im Bundesstaat Kalifornien als auch im Bundesstaat Colorado.

Harsh Chauhan

Chief Technology Officer

Harsh Chauhan, Chief Technology Officer (CTO) bei Alert Enterprise, ist für die technologischen Innovationen und die Bereitstellung von Lösungen verantwortlich. Als Technologieveteran und Führungskraft mit 20 Jahren Erfahrung konzentriert sich Chauhan auf das Wachstum der Hyperscale-Cloud-Plattform 3D Governance Risk Compliance (GRC) des Unternehmens.

Darüber hinaus entwickelt er weiterhin integrierte Lösungen mit führenden Technologiepartnern wie SAP, SAP NS2 und ServiceNow. Vor Alert Enterprise war Herr Chauhan in mehreren CTO-Positionen und als Product Owner und Head of Development bei SAP GRC 10.0 tätig und lieferte zielgerichtete Lösungen für namhafte SAP-Kunden.

Ruby Deol

Chief Operations Officer

Ruby Deol beaufsichtigt alle Geschäftsbereiche bei Alert Enterprise. Deol, mit mehr als 20 Jahren Erfahrung im weltweiten Vertrieb und Support pflegt bestehende Kundenbeziehungen mit einem kundenorientierten Ansatz. Alert Enterprise gewinnt in der Branche zunehmend an Anerkennung und Ansehen. Die Aufgabe von Deol ist es, Methoden zu entwickeln und umzusetzen, um die Unternehmensziele zu erreichen und die laufende Transformation des Unternehmens zu erleichtern.

Kaval Kaur

CFO und Mitbegründerin

Als Chief Financial Officer (CFO) und Mitbegründer von Alert Enterprise leitet Kaval Kaur alle Back Office-Abläufe im Finanz- und Verwaltungsbereich. Kaur ist Mitglied der nationalen US-Berufsorganisation American Institute of Certified Public Accountants (AICPA) und der California State CPA Society.

Bevor sie zu Alert Enterprise kam, war sie CFO und Mitbegründerin von Virsa Systems – einer Position, die sie bis zur Übernahme durch SAP innehatte.

Kaur ist im Herzen eine Philanthropin, die die Vielfalt der Region San Francisco Bay durch die Unterstützung besonderer kultureller Veranstaltungen fördert. Vor Kurzem hat sie 2.000 öffentliche Schulen in ländlichen Gegenden Indiens finanziell unterstützt, um die Computerkenntnisse von Kindern zu verbessern. Darüber hinaus ist sie Pflegemutter eines 10 Jahre alten Kindes.

Jasvir Gill

Gründer und CEO

Jasvir Gill, Gründer und CEO von Alert Enterprise, Inc., ist verantwortlich für die digitale Transformation und Sicherheitskonvergenz. Gill ist von Beruf Ingenieur und treibt die längst überfällige digitale Transformation der physischen Sicherheitsbranche voran.

Vor der Gründung von Alert Enterprise war Gill Gründer und CEO von Virsa Systems, das er zu einem weltweit führenden Anbieter von Anwendungssicherheitssoftware entwickelte. Als früher Pionier bei der Etablierung von Governance, Risiko und Compliance als Software-Marktsegment trieb er das exponentielle Wachstum bei Virsa voran und ermöglichte die Übernahme durch SAP im Jahr 2006.

In seiner Freizeit unterstützt Gill die soziale und wirtschaftliche Entwicklung in der lokalen Gemeinde. Er ist außerdem Treuhänder der American India Foundation.