<EbeneX/>
Sicherheit Architektur · Updated 11. März 2026

RBAC und ABAC

Definition

Zwei Modelle für Zugriffssteuerung – RBAC basiert auf Rollen, ABAC auf Attributen. Grundlage für sichere Autorisierung.

Fortgeschritten 1 Min. Lesezeit EN: Role-Based / Attribute-Based Access Control
ERKLÄRUNG

Einfach erklärt

RBAC und ABAC steuern, wer auf was zugreifen darf.

RBAC (Role-Based):
User → Role → Permissions
├── Alice → Admin → [read, write, delete]
├── Bob → Editor → [read, write]
└── Carol → Viewer → [read]

ABAC (Attribute-Based):
IF user.department == "Finance"
   AND resource.type == "Report"
   AND time.hour BETWEEN 9 AND 17
   AND user.device == "Corporate"
THEN allow

Technischer Deep Dive

RBAC Implementation

class RBAC:
    def __init__(self):
        self.roles = {
            "admin": ["read", "write", "delete", "admin"],
            "editor": ["read", "write"],
            "viewer": ["read"]
        }
        self.user_roles = {}
    
    def assign_role(self, user_id, role):
        self.user_roles[user_id] = role
    
    def has_permission(self, user_id, permission):
        role = self.user_roles.get(user_id)
        return permission in self.roles.get(role, [])

ABAC mit OPA

# policy.rego
package authz

default allow = false

allow {
    input.user.role == "admin"
}

allow {
    input.user.department == input.resource.department
    input.action == "read"
}
ANALOGIE

RBAC ist wie Schlüssel für Abteilungen (Marketing-Schlüssel öffnet Marketing-Türen). ABAC ist wie ein intelligentes Schloss (öffnet nur für Senior-Mitarbeiter, während Arbeitszeit, vom Firmengerät).

WICHTIGSTE PUNKTE

RBAC: Benutzer → Rolle → Berechtigungen

ABAC: Regeln basierend auf Attributen (User, Resource, Context)

RBAC einfacher, ABAC flexibler

ANWENDUNGSFÄLLE

Enterprise-Anwendungen

Abteilungsbasierte Zugriffsrechte

Multi-Tenant SaaS

Tenant-Isolation

Sicherheit

Nachvollziehbare Berechtigungen

HÄUFIGE FRAGEN
RBAC oder ABAC – was wählen?

RBAC für einfache Hierarchien. ABAC wenn Kontext wichtig ist (Zeit, Ort, Gerät). Oft Kombination: RBAC als Basis, ABAC für Feinsteuerung.

Was ist PBAC?

Policy-Based Access Control – ähnlich ABAC, aber Policies zentral definiert. Oft mit OPA (Open Policy Agent) implementiert.

VERWANDTE BEGRIFFE
Sicherheit DevOps

IAM (Identity and Access Management)

Das Framework zur Verwaltung digitaler Identitäten und deren Zugriffsrechte – wer darf was in welchem System tun.
Architektur Sicherheit

JWT (JSON Web Token)

Ein kompakter, URL-sicherer Token-Standard für die sichere Übertragung von Informationen zwischen Parteien – der De-facto-Standard für API-Authentifizierung.

Dein persönliches Share-Bild für Instagram – 1080×1080px, bereit zum Posten.
Zurück zum Glossar