Role-Based Access Control

[ˈrəʊl beɪst ˈækses kənˈtrəʊl] · auch: RBAC, rollenbasierte Zugriffskontrolle

Role-Based Access Control (RBAC) ist ein Zugriffssteuerungsmodell, in dem Berechtigungen nicht direkt Benutzern, sondern Rollen zugewiesen werden – Benutzer erhalten Zugriffsrechte durch Rollenzuweisung, was Berechtigungsmanagement skalierbar und auditierbar macht.

Warum Role-Based Access Control ein Governance-Kernbegriff ist

Role-Based Access Control ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen Role-Based Access Control als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.

Wo Role-Based Access Control gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.5.15 / A.8.2	Zugriffskontrolle und privilegierter Zugriff: RBAC als empfohlenes Zugriffskontrollmodell.
NIS-2 / BSIG	§ 30 Abs. 2b	Zugriffssteuerung als technische Mindestmassnahme: RBAC als Umsetzungsmodell.
DORA	Art. 9	Identitäts- und Zugriffsmanagement: RBAC als anerkannte Methode.
BSI IT-Grundschutz	ORP.4	Identitäts- und Berechtigungsmanagement: Rollenkonzept als Grundschutz-Anforderung.
SOC 2	CC6.3	Logical and Physical Access Controls: RBAC als Standardmethode im SOC-2-Pruefkontext.

BAM-Objektreferenz

BAM-Objekt GOV-RBAC-01

BeschreibungRBAC-Implementierung mit definierten Rollen, Berechtigungsmatrizen und regelmaessiger Rollenpruefung

GitHubBAM Core →

Häufige Audit-Fehler

Konzept verstanden, aber nicht formal dokumentiert
Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
Keine regelmäßige Überprüfung der Umsetzung
Fehlende Evidence für den Auditor

Kernelemente in der Praxis

Ein wirksames Role-Based Access Control-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.

Abgrenzung und Einordnung

Role-Based Access Control steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein Role-Based Access Control-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.

Nächste Ebene

Role-Based Access Control in der Praxis: Umsetzung, Nachweise und Evidence

Was Auditoren bei Role-Based Access Control konkret prüfen und welche Evidence benötigt wird.

Ebene 2 lesen → Stresstest starten →