Access Control (Zugriffskontrolle)

Access Control umfasst technische und organisatorische Mechanismen, die sicherstellen, dass nur autorisierte Nutzer und Systeme auf bestimmte Ressourcen zugreifen können; grundlegende Modelle sind DAC (Discretionary), MAC (Mandatory) und RBAC (Role-Based Access Control). BSI IT-Grundschutz ORP.4 (Identitäts- und Berechtigungsmanagement) schreibt Mindestanforderungen vor: Least Privilege, Need-to-Know, regelmäßige Rezertifizierung von Berechtigungen und vollständige Protokollierung privilegierter Zugriffe. In IT-Ausschreibungen für Betriebssysteme, Anwendungen und Cloud-Plattformen sind Access-Control-Konzepte, Berechtigungsmodelle und automatisierte Provisionierung als technische Anforderungen zu spezifizieren.