Attribute-Based Access Control ist eine Methode des Identitäts- und Zugriffsmanagements. Der Zugriff auf Ressourcen erfolgt auf Basis von Attributen der Subjekte, Objekte und der Systemumgebung sowie den diesen Attributen zugeordneten Richtlinien. ABAC ermöglicht eine flexible, feingranulare Kontrolle der Zugriffsrechte.
Attribute-Based Access Control (ABAC) ist eine Methode des Identitäts- und Zugriffsmanagements (IAM) zur attributbasierten Zugriffskontrolle.
ABAC ist das Akronym für Attribute-Based Access Control. Der deutsche Begriff lautet attributbasierte Zugriffskontrolle. Attribute-Based Access Control ist eine von mehreren möglichen Methoden des Identitäts- und Zugriffsmanagements (IAM). Bei ABAC erfolgt der Zugriff auf Ressourcen oder Objekte und die Vergabe von Berechtigungen auf Basis der Attribute der Benutzer oder Clients, der Systemumgebung und der Ressource oder des Objekts selbst sowie den diesen Attributen zugeordneten Sicherheitsrichtlinien (Policies). Für die attributbasierte Zugriffskontrolle gibt es mit XACML (Xtensible Access Control Markup Language) einen eigenen Standard für ein XML-Schema zur Darstellung und Verarbeitung von Autorisierungsrichtlinien.
ABAC kann als eine Weiterentwicklung der rollenbasierten Zugriffskontrolle (Role-Based Access Control - RBAC) betrachtet werden und ist eine Art Next-Generation-Berechtigungsmodell. Die attributbasierte Zugriffskontrolle ermöglicht ein flexibles und dynamisches Berechtigungsmanagement. Es lassen sich feingranulare Zugriffskontrollen einrichten und durchsetzen. Mit ABAC können Zugriffskontrollsysteme mit hohen Sicherheitsstandards realisiert werden, die auch strengen Compliance-Richtlinien oder gesetzlichen Vorgaben genügen. Im Vergleich zu anderen Zugriffskontrollmethoden ist die Implementierung allerdings etwas aufwendiger.
Die grundlegenden Komponenten und die prinzipielle Funktionsweise von Attribute-Based Access Control
Attribute-Based Access Control besteht aus diesen drei grundlegenden Komponenten:
Attribute
Policies
Policy-Engine
Attribute sind Eigenschaften oder Werte, die einem Subjekt, einem Objekt, einer Aktion oder einer Umgebung zugeordnet sind. Ein Subjekt ist beispielsweise ein User oder ein Client, der Zugriff auf ein Objekt anfordert. Typische Attribute eines Subjekts sind beispielsweise die Position im Unternehmen, die Zugehörigkeit zu einer Abteilung, ein Sicherheitsfreigabelevel oder eine Gruppenzugehörigkeit. Bei einem Objekt, auf das ein Subjekt Zugriff anfordert, handelt es sich um Ressourcen wie IT-Systeme, Daten, Anwendungen, APIs oder Datenbanken und anderes. Typische Attribute dieser Objekte sind Vertraulichkeitsgrad der Ressource, Besitzer oder Ersteller der Ressource, Ressourcentyp oder Ressourcenname. Ein Attribut einer Aktion beschreibt die Aktivität, die ein Subjekt an einem Objekt vornehmen möchte. Es kann sich bei diesen Attributen um Aktivitäten wie Lesen, Bearbeiten, Löschen, Kopieren oder Schreiben handeln. Unter der Umgebung versteht man den Kontext, in dem die Aktivität eines Subjekts an einem Objekt stattfinden soll. Attribute eines Kontexts sind zum Beispiel Datum und Uhrzeit, Standort, verwendetes Gerät, genutzte Anwendung, Konfiguration und anderes. Grundsätzlich können die Attribute der Subjekte, Objekte, Aktionen und Umgebungen von verschiedenen Datenquellen wie von LDAP-Servern, Datenbanken, ERP-Systemen oder HR-Systemen und anderen stammen.
Policies sind Richtlinien beziehungsweise Regeln, die anhand von Kombinationen der Attribute festlegen, unter welchen Bedingungen Zugriffe zugelassen werden dürfen und unter welchen sie zu blockieren sind. Richtlinien können so gestaltet sein, dass sie lokal oder global gelten oder dass einzelne Richtlinien andere Richtlinien überschreiben. Die Anzahl der Richtlinien und genutzten Attribute ist prinzipiell nicht beschränkt, sodass sich eine Vielzahl an Zugriffsszenarien abdecken und umsetzen lässt.
Die eigentliche Entscheidung, ob ein Zugriff anhand der Attribute und der Policies zugelassen wird oder nicht, und die Durchsetzung dieser Entscheidung nimmt die sogenannte Policy-Engine vor. Sie lässt sich je nach Realisierungsansatz eines ABAC-Systems in weitere Komponenten unterteilen, beispielsweise in einen Policy Decision Point (PDP), einen Policy Information Point (PIP) oder einen Policy Enforcement Point (PEP). Für den Schutz eines Objekts beziehungsweise einer Ressource ist der PEP zuständig. Er prüft Anfragen und leitet sie an den PDP weiter. Der PDP trifft anhand der bereitgestellten Attribute und Policies die Entscheidung, ob ein Zugriff zulässig ist oder abgelehnt wird. Über den PIP kann der PDP mit diversen Attributquellen verbunden werden.
Eine kurze Abgrenzung zwischen der attributbasierten und der rollenbasierten Zugriffskontrolle (RBAC)
Eine andere Methode beziehungsweise ein anderes Modell der Zugriffskontrolle ist die sogenannte rollenbasierte Zugriffskontrolle. Der englische Fachbegriff dafür lautet Role-Based Access Control, abgekürzt RBAC.
Bei der rollenbasierten Zugriffskontrolle werden die Berechtigungen nicht anhand von Attributen und Policies erteilt. Die Berechtigungen sind den verschiedenen Rollen zugewiesen. Die Rollen werden zentral definiert und sind beispielsweise von der Position, der Abteilung, vom Standort oder von der Zuständigkeit abhängig. So erhält beispielsweise die Administratorrolle umfassende Berechtigungen, während einer Standardrolle nur eingeschränkte Rechte wie das Lesen von Daten zugewiesen werden. Die verschiedenen Benutzer werden einer bestimmten Rolle zugeordnet, anhand derer sie Zugriff auf ein Objekt erhalten oder nicht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das rollenbasierte Konzept von RBAC ist zwar recht einfach umzusetzen und zu verstehen, aber wesentlich starrer als das attributbasierte Konzept von ABAC. RBAC ist gut für statische Umgebungen mit festen Rollenzuweisungen geeignet, hat aber ein Problem in dynamischen Umgebungen, in denen Berechtigungen sehr feingranular erteilt werden müssen. Sollen sehr viele Rollen mit fein abgestuften Berechtigungen angelegt werden, wird eine rollenbasierte Zugriffskontrolle schnell unübersichtlich, inkonsistent und schwer zu managen.
Die typischen Anwendungsbereiche der attributbasierten Zugriffskontrolle
Aufgrund der Flexibilität, der feingranularen Berechtigungsvergabe und der Möglichkeit, sehr viele verschiedene Attribute bei der Zugriffskontrolle zu berücksichtigen, eignet sich ABAC sehr gut für verteilte, dynamische Umgebungen. Die Zugriffskontrolle kann auf allen Ebenen, angefangen von der Hardwareebene über die Softwareebene bis zur Anwendungs-, Service-, Schnittstellen- und Datenebene, erfolgen. Typische Anwendungsbereiche der attributbasierten Zugriffskontrolle sind Enterprise-IT-Umgebungen, cloudbasierte beziehungsweise cloudnative Umgebungen und verteilte Microservice-Architekturen.
Die Vor- und Nachteile der attributbasierten Zugriffskontrolle
Die attributbasierte Zugriffskontrolle bietet im Vergleich zu anderen Access-Control-Methoden einige Vorteile. ABAC ist extrem flexibel, lässt eine feingranulare Berechtigungsvergabe zu und eignet sich für dynamische und große, komplexe Umgebungen. Die Zugriffskontrolle ermöglicht die Berücksichtigung einer Vielzahl von verschiedenen Attributen und ist kontextbezogen. Für die Zugriffskontrolle verwendbare Attribute lassen sich aus unterschiedlichen, auch externen Quellen einbeziehen. Die Entscheidung, ob Zugriffe zugelassen werden oder nicht, und die Durchsetzung dieser Entscheidung erfolgen über die Policy-Engine automatisiert. Attributbasierte Regeln lassen sich einfach und zentral verwaltet anpassen. Berechtigungen können ohne Anlegen neuer Nutzer oder Rollen durch einfaches Verändern der Attribute entzogen oder hinzugefügt werden. Attribute-Based Access Control ermöglicht die Realisierung von Zugriffskontrollsystemen mit hohen Sicherheitsstandards, die auch strengen Compliance-Richtlinien und gesetzlichen Vorgaben genügen.
Als Herausforderungen und Nachteile der attributbasierten Zugriffskontrolle lassen sich nennen:
ABAC erfordert eine hohe Datenqualität der Attribute
Konzeption und Implementierung einer attributbasierten Zugriffskontrolle sind im Vergleich zu anderen Methoden aufwendiger
Policies können sehr umfangreich und komplex werden
je feingranularer die Berechtigungsvergabe, desto stärker sind die Auswirkungen auf die Performance und den Overhead der Zugriffskontrolle
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/59/b5/59b588114a2e0986f3aebb77d5505821/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/9c/a69c8f85791876250ede82e229bf8a0a/0122914415v2.jpeg "Conditional Access ist eine Methode zur Zugriffskontrolle mit bedingtem Zugriff der User auf Anwendungen und Daten. (Bild: gemeinfrei)")