Discretionary Access Control ist ein benutzerbestimmbares Zugriffsmodell für IT-Systeme. Der Objekteigentümer bestimmt die Zugriffsrechte für die Benutzer. Die Berechtigungen sind an die Identität des Benutzers gebunden. Ein alternatives Zugriffskontrollmodell ist Mandatory Access Control (MAC).
Discretionary Access Control ist ein benutzerbestimmbares Zugriffsmodell für IT-Systeme.
DAC ist das Akronym für Discretionary Access Control. Die deutsche Übersetzung lautet diskretionäre oder benutzerbestimmbare Zugriffskontrolle. Bei DAC handelt es sich um ein Zugriffskontrollmodell für IT-Systeme, das beispielsweise für den Zugriff auf Dateien zum Einsatz kommen kann. Das Modell legt fest, welche Operationen wie Lesen, Schreiben oder Ausführen ein Benutzer an einer Ressource oder einem Datenobjekt wie einer Datei oder einem Verzeichnis ausführen darf oder nicht. Die Berechtigungen sind an die Identität des Benutzers gebunden. Die Identifizierung eines Benutzers findet über die Authentifizierung, beispielsweise mit Benutzername und Kennwort oder anderen Verfahren, statt.
Zugriffsrechte auf Datenobjekte werden immer pro Benutzer festgelegt. Der Eigentümer eines Datenobjekts bestimmt, welche Berechtigungen anderer Nutzer an diesem Objekt haben. Er kann Berechtigungen erteilen und entziehen oder das Eigentum an einem Objekt auf andere Benutzer übertragen. Der Eigentümer hat die Kontrolle über seine Datenobjekte. Es liegt in seinem Ermessen, wem er welche Berechtigungen erteilt. Daher auch der Begriff „discretionary“, der im Deutschen „im Ermessen stehend“ oder „im Ermessensspielraum“ bedeutet. DAC wird von verschiedenen Betriebssystemen verwendet und sorgt dort für die Durchsetzung der Sicherheitsrichtlinien für Dateiaktionen und den Schutz von Daten vor unbefugtem Zugriff.
Prinzipielle Funktionsweise von Discretionary Access Control
Für das Verständnis der prinzipiellen Funktionsweise von Discretionary Access Control ist die Bedeutung der beiden Begriffe Subjekt und Objekt wichtig. Bei Objekten handelt es sich um Systemressourcen (beispielsweise einen Service) oder Daten (beispielsweise eine Datei). Subjekte sind Akteure wie Benutzer, Anwendungen oder Prozesse, die auf Objekte zugreifen und Aktionen mit ihnen ausführen möchten. Der Zugriff auf Objekte oder Aktionen mit ihnen sind per DAC geschützt.
Um Zugriff auf ein Objekt zu erhalten, muss ein Subjekt zunächst identifiziert werden. Zur Feststellung der Identität stellt das Subjekt entsprechende Authentisierungsinformationen bereit. Anhand der festgestellten Identität des Subjekts, entscheidet das System, ob ein angeforderter Zugriff auf ein Objekt oder eine Aktion mit ihm ausgeführt werden darf. Die entsprechenden Berechtigungen wurden zuvor vom Eigentümer des Objekts festgelegt. Eigentümer kann beispielsweise das Subjekt sein, das ein Objekt initial erstellt hat. Der Eigentümer erteilt einem Subjekt Berechtigungen an einem Objekt. Subjekte können ihre Rechte an andere weitergeben. Dadurch ist es möglich, das Eigentum an einem Objekt vollständig an ein anderes Subjekt zu übertragen.
Alle Berechtigungen im Zugriffskontrollmodell lassen sich somit als Beziehungen zwischen Subjekt, Objekt und Recht darstellen. Hat ein Subjekt keine Rechte an einem Objekt, sieht es keine Objekteigenschaften. Mehrere unberechtigte Zugriffsversuche erzwingen eine neue Authentifizierung oder schränken den Zugriff eines Benutzers weiter ein.
Abgrenzung zu Mandatory Access Control (MAC) und weiteren Modellen der Zugriffskontrolle
DAC ist nur eines von mehreren möglichen Zugriffskontrollmodellen für IT-Systeme. Eines der weiteren Modelle ist Mandatory Access Control, abgekürzt MAC. Es wird auch als obligatorische Zugriffskontrolle bezeichnet. Bei Mandatory Access Control bestimmen nicht wie bei DAC der Eigentümer eines Objekts und die Identität des Benutzers die Zugriffsrechte, sondern die Berechtigungen werden von einer zentralen Instanz, zum Beispiel einem Administrator, anhand von Regeln und Informationen über die Akteure festgelegt und durchgesetzt. Benutzer selbst haben keine Möglichkeit, anderen Benutzern Berechtigungen an ihren Objekten zu erteilen oder weiterzugeben. Mandatory Access Control bietet ein hohes Sicherheitsniveau und kommt in Umgebungen und Anwendungen mit hohen Anforderungen an den Schutz von Systemressourcen und Daten zum Einsatz. Die zentrale Verwaltung der Berechtigungen ist allerdings aufwendig und wenig flexibel.
Ein ebenfalls oft verwendetes Zugriffskontrollmodell ist Role Based Access Control (RBAC). RBAC zentralisiert und flexibilisiert das Erteilen von Berechtigungen, indem den Benutzern bestimmte Rollen zugewiesen werden. Das Modell kann als eine Art Erweiterung von DAC betrachtet werden. Die Berechtigungen an Ressourcen werden nicht auf Basis einer individuellen Identität, sondern der dem Benutzer zugewiesenen Rolle erteilt. Jede Rolle umfasst bestimmte Berechtigungen an Objekten. Diese Berechtigungen und die Einteilung der Benutzer in die verschiedenen Rollen gemäß dem Rollenmodell werden im Vorfeld zentral festgelegt und konfiguriert. Durch dieses rollenbasierte Konzept lassen sich konsistente Berechtigungsrichtlinien durchsetzen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zu den weiteren Zugriffskontrollmodellen zählt Attribute-Based Access Control (ABAC). Die attributbasierte Zugriffskontrolle versieht Benutzer und Objekte mit Attributen, anhand derer eine Policy Engine dynamisch entscheidet, ob Zugriffe auf Ressourcen gestattet oder abgewiesen werden. ABAC ermöglicht eine sehr granulare Zugriffskontrolle, ist aber aufwendig in der Implementierung.
Typische Anwendungsbereiche von Discretionary Access Control
Discretionary Access Control kann in Betriebs- und Dateisystemen zum Einsatz kommen. So lassen sich mit einer entsprechenden DAC-Implementierung und einer Discretionary Access Control List (DACL) Berechtigungen per DAC erteilen und durchsetzen.
Auch das Erteilen von Berechtigungen für Apps an bestimmten Smartphonefunktionen folgt dem Prinzip der benutzerbestimmbaren Zugriffskontrolle. Der Eigentümer des Smartphones entscheidet, welche App auf welche Funktionen (zum Beispiel Ortsbestimmung) oder Ressourcen (zum Beispiel Kontakte) des Smartphones zugreifen darf.
Weitere Anwendungsbereiche von Discretionary Access Control sind das Management der Berechtigungen von Mitgliedern in Gruppen sozialer Netzwerke oder die Zugriffskontrolle auf Ressourcen von Kollaborationsplattformen.
Vorteile von DAC
Die Zugriffskontrolle per Discretionary Access Control bietet zahlreiche Vorteile. Sie ist sehr flexibel und erlaubt den Eigentümern von Objekten eine selbstbestimmte Erteilung von Berechtigungen an andere Benutzer. Es muss keine zentrale Instanz zur Erteilung von Rechten hinzugezogen werden. Freigaben können delegiert werden. Zudem ist DAC einfach und schnell zu implementieren und gilt als benutzerfreundlich und intuitiv anwendbar.
Nachteile und Herausforderungen von Discretionary Access Control
Als Nachteile und Herausforderungen von DAC lassen sich aufführen:
eigenständige Vergabe von Berechtigungen durch die Benutzer ist schwierig zu überwachen und kann zu überprivilegierten Nutzern führen
keine zentralisierte Pflege, Verwaltung und Durchsetzung von Berechtigungen
niedrigeres Sicherheits- und Datenschutzniveau als andere Modelle wie Mandatory Access Control
Berechtigungen sind vollständig von der Identität eines Benutzers abhängig
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/bb/c9bb4fcdc1ff2bc6a6ab37eef7f3677a/0129082547v2.jpeg "Die Cyberangriffe auf Luxshare könnten schwerwiegende Auswirkungen auf Apple haben, da vertrauliche Produktpläne und Fertigungsdaten nicht nur die Wettbewerbsfähigkeit von Apple gefährden, sondern auch potenzielle Sicherheitsrisiken in bereits ausgelieferten Produkten schaffen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8d/e3/8de3e179cf385865c48280fb070a0143/0124316468v2.jpeg "Attribute-Based Access Control (ABAC) ist eine Methode des Identitäts- und Zugriffsmanagements (IAM) zur attributbasierten Zugriffskontrolle. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a6/9c/a69c8f85791876250ede82e229bf8a0a/0122914415v2.jpeg "Conditional Access ist eine Methode zur Zugriffskontrolle mit bedingtem Zugriff der User auf Anwendungen und Daten. (Bild: gemeinfrei)")