Mandatory Access Control ist ein Zugriffskontrollmodell für IT-Systeme mit zentral definierten Zugriffsrichtlinien. Es bietet ein hohes Sicherheitsniveau, da zentrale Instanzen wie Systemadministratoren festlegen, welche Berechtigungen Benutzer für den Zugriff auf Ressourcen erhalten.
Mandatory Access Control (MAC) ist ein strenges Zugriffskontrollmodell für IT-Systeme.
MAC ist das Akronym für Mandatory Access Control. Die deutsche Übersetzung lautet obligatorische oder verbindliche Zugriffskontrolle. Bei MAC handelt es sich um ein Zugriffskontrollmodell für IT-Systeme, das für den Zugriff auf Ressourcen wie Datenobjekte zum Einsatz kommen kann. Das Zugriffskontrollmodell legt fest, welche Operationen wie Lesen, Schreiben oder Ausführen ein Benutzer an einer Ressource wie einer Datei ausführen darf oder nicht. Die Berechtigungen werden von einer zentralen Instanz wie einem Systemadministrator festgelegt und vom Betriebssystem beziehungsweise dem Kernel durchgesetzt. Die Benutzer selbst haben keine Möglichkeit, Berechtigungen zu verändern oder an andere Benutzer weiterzugeben.
Manchmal wird MAC deshalb auch als nicht-diskretionäres Zugriffskontrollmodell bezeichnet, um zu verdeutlichen, dass die Berechtigungsvergabe nicht wie bei Discretionary Access Control (DAC) im Ermessen des Benutzers oder Dateieigentümers liegt. Die zentral definierten Zugriffsrichtlinien sorgen für ein hohes Sicherheitsniveau des MAC-Zugriffskontrollmodells. Die Zugriffskontrolle folgt dem Zero-Trust-Prinzip, das davon ausgeht dass zunächst kein Benutzer vertrauenswürdig ist. Erst durch eine strenge Authentifizierung und den Abgleich mit den zentralen Zugriffsrichtlinien erhält ein Benutzer seine Berechtigungen.
Prinzipielle Funktionsweise von Mandatory Access Control
Wichtig für das Verständnis der Funktionsweise von Mandatory Access Control sind die beiden zentralen Begriffe des Zugriffskontrollmodells Subjekt und Objekt. Objekte sind Systemressourcen wie Dateien, Verzeichnisse, Services oder Geräte, auf die zugegriffen werden soll. Bei den Subjekten handelt es sich um die Akteure wie Benutzer, Anwendungen, Prozesse oder andere Entitäten, die auf Objekte zugreifen und Aktionen mit ihnen ausführen möchten.
Zugriffe auf Objekte und Aktionen mit ihnen sind per Mandatory Access Control geschützt. MAC steuert und begrenzt die Berechtigungen der Subjekte an den Objekten. Zunächst hat kein Subjekt irgendwelche Berechtigungen an einem Objekt. Erst durch die von einer zentralen Instanz festgelegten Regeln und den Nachweis der Identität eines Subjekts können Subjekte Berechtigungen an Objekten erhalten. Versucht ein Subjekt auf ein Objekt zuzugreifen, überprüft Mandatory Access Control sowohl die Sicherheitseigenschaften des Objekts als auch die des Subjekts und gleicht sie mit den hinterlegten Zugriffsrichtlinien ab.
Ob Berechtigungen erteilt werden oder nicht, hängt also von dem Objekt und seinen Eigenschaften, dem Subjekt und seinen Eigenschaften und den definierten Regeln ab. Hierfür weist der Administrator den Objekten und den Subjekten Sicherheitsstufen und Kategorien zu. Beim Zugriff eines Subjekts auf ein Objekt werden diese überprüft. Nur bei Übereinstimmung mit den Sicherheitsrichtlinien werden entsprechende Berechtigungen erteilt. Die Durchsetzung der Zugriffsrichtlinien erfolgt durch das Betriebssystem beziehungsweise durch den Sicherheitskernel.
Grundsätzlich ist bei Mandatory Access Control (MAC) eine Unterscheidung zwischen Multi-Level-Sicherheitssysteme (MLS) und multilateralen Sicherheitssystemen möglich. MLS gliedert die Schutzklassen der Subjekte und Objekte in Schichten. Informationen dürfen nur innerhalb dieser Schichten fließen. Der Zugriff eines Subjekts auf ein Objekt ist nur möglich, wenn die Schutzstufe mindestens so hoch wie die des Objekts ist. Bei multilateralen Sicherheitsmodellen werden die Zugriffsrechte auf Basis sogenannter Segmente mit Schutzstufen und Codewörtern vergeben. Es ergibt sich ein horizontales Zugriffssystem mit zusätzlichen vertikalen Eigenschaften.
Abgrenzung zu Discretionary Access Control (DAC) und weiteren Modellen der Zugriffskontrolle
MAC ist nur eines von mehreren möglichen Zugriffskontrollmodellen für IT-Systeme. Eines dieser weiteren Modelle ist Discretionary Access Control, abgekürzt DAC. DAC wird auch als diskretionäre oder benutzerbestimmbare Zugriffskontrolle bezeichnet. Bei Discretionary Access Control bestimmen der Eigentümer eines Objekts und die Identität des Benutzers die Zugriffsrechte. Die Zugriffsrechte werden nicht wie bei MAC von einer zentralen Instanz vergeben, sondern die Eigentümer von Objekten erteilen den Benutzern Berechtigungen an ihren Objekten oder geben Eigentumsrechte weiter. Es liegt im Ermessen des Eigentümers eines Objekts, wem er welche Berechtigungen erteilt. Die Berechtigungen sind an die Identität des jeweiligen Benutzers gebunden. Die Feststellung der Identität eines Benutzers erfolgt über Authentisierungsverfahren. Mit DAC lässt sich kein so hohes Sicherheitsniveau wie mit MAC erreichen. DAC ist aber sehr flexibel und erlaubt den Eigentümern von Objekten eine selbstbestimmte Erteilung von Berechtigungen an andere Benutzer. Eine zentrale Instanz zur Erteilung von Rechten ist nicht notwendig und Freigaben können delegiert werden. Darüber hinaus lässt sich DAC einfach und schnell implementieren. Das Zugriffskontrollmodell gilt als benutzerfreundlich und intuitiv anwendbar.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein ebenfalls häufig angewandtes Zugriffskontrollmodell ist die rollenbasierte Zugriffskontrolle (Englisch: Role Based Access Control, RBAC). Das RBAC-Modell zentralisiert und flexibilisiert das Erteilen von Berechtigungen an Objekten, indem es den Benutzern Rollen zuweist. RBAC kann als eine Art Erweiterung von DAC betrachtet werden. Das Erteilen von Berechtigungen an Ressourcen erfolgt nicht auf Basis einer individuellen Identität, sondern gemäß der einem Benutzer zugewiesenen Rolle. Jede Rolle ist mit bestimmten Berechtigungen an Objekten verbunden. Die Einteilung der Benutzer in die verschiedenen Rollen und die Berechtigungen der Rollen werden im Vorfeld zentral über ein Rollenmodell festgelegt und konfiguriert. Das rollenbasierte Zugriffskontrollmodell sorgt für die Durchsetzung konsistenter Berechtigungsrichtlinien.
Ebenfalls zu den Zugriffskontrollmodellen zählt Attribute-Based Access Control (ABAC). Die attributbasierte Zugriffskontrolle versieht Benutzer und Objekte mit Attributen. Anhand der Attribute entscheidet eine Policy Engine dynamisch, ob Zugriffe auf Ressourcen erlaubt sind oder abgewiesen werden. Mit ABAC lässt sich eine sehr granulare Zugriffskontrolle realisieren. Die Implementierung ist aber aufwendig.
Typische Anwendungsbereiche von Mandatory Access Control
Mandatory Access Control kommt überall dort zum Einsatz, wo strenge Sicherheitsvorgaben oder hohe Datenschutzanforderungen einzuhalten sind. Typische Anwendungsbereiche sind Zugriffskontrollen auf IT-Systemen von Regierungsbehörden, medizinischen Einrichtungen, Finanzinstituten oder militärischen Institutionen.
MAC lässt sich in verschiedene Betriebssysteme implementieren. Beispielsweise besitzt Security-Enhanced Linux (SELinux) eine MAC-Implementierung. Auch bei AppArmor handelt es sich um eine MAC-Implementierung für Linux.
Vorteile von MAC
Die Zugriffskontrolle per Mandatory Access Control bietet zahlreiche Vorteile. Sie gilt als sehr sicher und ermöglicht eine zentrale Kontrolle und Durchsetzung der Berechtigungen. Es lässt sich ein hohes Sicherheits- und Datenschutzniveau erreichen. Benutzer können selbst keine Berechtigungen vergeben oder ändern. Überprivilegierte Benutzer lassen sich leichter verhindern als bei DAC. Darüber hinaus schützt MAC durch die Ausrichtung am Zero-Trust-Prinzip auch gegen Insider-Bedrohungen.
Nachteile und Herausforderungen von Mandatory Access Control
Zu den Nachteilen und Herausforderungen von MAC zählen:
die zentrale Vergabe der Berechtigungen ist aufwendig und langsam
zur Umsetzung von MAC ist eine detaillierte Planung notwendig
MAC erfordert eine fortwährende Überprüfung der den Objekten und Subjekten zugewiesenen Berechtigungen
die komplette Verantwortung für die Vergabe von Berechtigungen liegt bei einer zentralen Instanz (unter Umständen nur bei einer Person)
Benutzer können keine Rechte selbstbestimmt vergeben
für die Erteilung von Berechtigungen muss ein Beantragungsprozess durchlaufen werden
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/bb/c9bb4fcdc1ff2bc6a6ab37eef7f3677a/0129082547v2.jpeg "Die Cyberangriffe auf Luxshare könnten schwerwiegende Auswirkungen auf Apple haben, da vertrauliche Produktpläne und Fertigungsdaten nicht nur die Wettbewerbsfähigkeit von Apple gefährden, sondern auch potenzielle Sicherheitsrisiken in bereits ausgelieferten Produkten schaffen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/8d/e3/8de3e179cf385865c48280fb070a0143/0124316468v2.jpeg "Attribute-Based Access Control (ABAC) ist eine Methode des Identitäts- und Zugriffsmanagements (IAM) zur attributbasierten Zugriffskontrolle. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/59/b5/59b588114a2e0986f3aebb77d5505821/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")