ACL (Access Control List)
Eine ACL (Access Control List), auf Deutsch Zugriffskontrollliste, ist ein fundamentales Sicherheitskonzept in der IT. Sie legt fest, welche Benutzer, Gruppen oder Systemprozesse auf bestimmte Ressourcen zugreifen duerfen und welche Aktionen sie dabei ausfuehren koennen. ACLs kommen sowohl bei Dateisystemen als auch bei Netzwerkgeraeten zum Einsatz und bilden eine wichtige Grundlage fuer die Zugriffskontrolle in modernen IT-Infrastrukturen.
Das Grundprinzip ist einfach: Wenn ein Benutzer oder Prozess auf eine Ressource zugreifen moechte, prueft das System die zugehoerige ACL. Ist der Zugriff dort erlaubt, wird er gewaehrt - andernfalls wird er verweigert. Dieses Konzept findest du ueberall: bei Dateien und Ordnern auf deinem Computer, bei Netzwerkverbindungen auf Routern und Firewalls sowie bei Datenbankzugriffen.
Aufbau einer ACL
Eine ACL besteht aus einzelnen Eintraegen, den sogenannten Access Control Entries (ACEs). Jeder ACE definiert eine Regel fuer einen bestimmten Benutzer, eine Gruppe oder ein System. Ein typischer ACE enthaelt drei wesentliche Informationen:
- Subjekt: Wer ist betroffen? (Benutzer, Gruppe, IP-Adresse)
- Berechtigung: Was darf getan werden? (Lesen, Schreiben, Ausfuehren, Verbinden)
- Aktion: Erlauben (Allow) oder Verweigern (Deny)
Die Reihenfolge der Eintraege ist dabei entscheidend: Das System arbeitet die ACL von oben nach unten ab und wendet die erste passende Regel an. Deshalb stehen spezifischere Regeln typischerweise vor allgemeineren.
Arten von ACLs
Je nach Einsatzgebiet unterscheidet man verschiedene Arten von ACLs. Die beiden wichtigsten Kategorien sind Dateisystem-ACLs und Netzwerk-ACLs.
Dateisystem-ACLs
Dateisystem-ACLs kontrollieren den Zugriff auf Dateien und Verzeichnisse. Sie erweitern die klassischen Berechtigungsmodelle von Betriebssystemen um granularere Kontrollmoeglichkeiten.
POSIX ACLs kommen bei Linux und Unix-Systemen zum Einsatz. Sie erweitern das traditionelle Berechtigungsschema (Owner, Group, Others) um die Moeglichkeit, Rechte fuer beliebige zusaetzliche Benutzer und Gruppen zu vergeben. Mit den Befehlen getfacl und setfacl kannst du POSIX ACLs unter Linux verwalten.
NTFS ACLs sind das Berechtigungssystem von Windows. Sie bieten ueber 30 verschiedene Berechtigungstypen und unterstuetzen Vererbung, sodass Berechtigungen automatisch an Unterordner und Dateien weitergegeben werden. Die Microsoft-Dokumentation zu ACLs beschreibt alle Details dieses umfangreichen Systems.
Netzwerk-ACLs
Netzwerk-ACLs filtern den Datenverkehr auf Routern, Switches und Firewalls. Sie entscheiden anhand von Kriterien wie IP-Adressen, Ports und Protokollen, ob Datenpakete weitergeleitet oder blockiert werden sollen.
Bei Netzwerkgeraeten wie Cisco-Routern unterscheidet man zwischen Standard-ACLs und Extended ACLs:
| Merkmal | Standard-ACL | Extended ACL |
|---|---|---|
| Filtert nach | Nur Quell-IP | Quell-IP, Ziel-IP, Protokoll, Port |
| Nummernbereich | 1-99, 1300-1999 | 100-199, 2000-2699 |
| Platzierung | Nahe am Ziel | Nahe an der Quelle |
| Flexibilitaet | Eingeschraenkt | Sehr hoch |
Standard-ACLs eignen sich fuer einfache Szenarien, waehrend Extended ACLs praezise Kontrolle ueber den Netzwerkverkehr ermoeglichen. In der Praxis kommen Extended ACLs deutlich haeufiger zum Einsatz.
Funktionsweise am Beispiel
Um das Konzept besser zu verstehen, schauen wir uns zwei praktische Beispiele an: eine Dateisystem-ACL unter Linux und eine Netzwerk-ACL auf einem Router.
Linux POSIX ACL
Stell dir vor, du hast einen Projektordner, auf den neben dem Besitzer auch ein bestimmter Kollege Zugriff haben soll. Mit dem klassischen chmod-Befehl waere das nicht moeglich, da er nur Owner, Group und Others kennt. Mit ACLs loest du das Problem elegant:
# ACL fuer Benutzer 'kollege' setzen
setfacl -m u:kollege:rwx /home/projekt
# ACL anzeigen
getfacl /home/projekt
# Ausgabe:
# user::rwx
# user:kollege:rwx
# group::r-x
# other::---
Cisco Router ACL
Auf einem Router kannst du mit einer Extended ACL den Datenverkehr praezise steuern. Das folgende Beispiel erlaubt HTTP- und HTTPS-Verkehr zu einem Webserver, blockiert aber allen anderen eingehenden Traffic:
! Extended ACL erstellen
access-list 101 permit tcp any host 192.168.10.50 eq 80
access-list 101 permit tcp any host 192.168.10.50 eq 443
access-list 101 deny ip any any
! ACL auf Interface anwenden
interface GigabitEthernet0/0
ip access-group 101 in
Die Cisco-Dokumentation zu ACLs bietet umfassende Informationen zur Konfiguration auf Netzwerkgeraeten.
ACLs im Vergleich zu anderen Berechtigungsmodellen
ACLs sind eine Implementierung des DAC-Modells (Discretionary Access Control), bei dem der Ressourceneigentuemer selbst bestimmt, wer Zugriff erhaelt. Daneben existieren weitere Berechtigungsmodelle:
| Modell | Beschreibung | Typischer Einsatz |
|---|---|---|
| ACL/DAC | Eigentuemer kontrolliert Zugriff | Dateisysteme, Standard-Netzwerke |
| RBAC | Zugriff ueber Rollen gesteuert | Unternehmensanwendungen, Datenbanken |
| MAC | Zentrale Sicherheitsrichtlinien | Hochsicherheitsumgebungen, Militaer |
RBAC (Role-Based Access Control) ordnet Benutzer Rollen zu, die vordefinierte Berechtigungen haben. Das vereinfacht die Verwaltung in grossen Organisationen erheblich. MAC (Mandatory Access Control) setzt zentrale Sicherheitsrichtlinien durch, die Benutzer nicht aendern koennen - etwa Klassifizierungsstufen wie "Vertraulich" oder "Geheim".
In der Praxis werden diese Modelle oft kombiniert. Ein Unternehmen nutzt beispielsweise RBAC fuer die Anwendungsebene und ACLs fuer die darunterliegende Dateisystem- und Netzwerkebene.
Einsatzgebiete
ACLs kommen in nahezu allen Bereichen der IT-Infrastruktur zum Einsatz:
- Dateiserver: Kontrolle, wer auf welche Dateien und Ordner zugreifen darf
- Router und Firewalls: Filterung des Netzwerkverkehrs nach IP-Adressen und Ports
- VLANs: Zusaetzliche Absicherung der logischen Netzwerksegmentierung
- Cloud-Dienste: Zugriffssteuerung auf Ressourcen wie S3-Buckets oder Azure-Speicher
- Datenbanken: Rechtevergabe auf Tabellen- und Spaltenebene
- Webserver: Zugriffsbeschraenkung auf bestimmte Verzeichnisse oder Seiten
Best Practices
Bei der Arbeit mit ACLs solltest du einige bewaehrte Vorgehensweisen beachten, um Sicherheit und Uebersichtlichkeit zu gewaehrleisten:
- Prinzip der minimalen Rechte: Vergib nur die Berechtigungen, die tatsaechlich benoetigt werden
- Explizite Deny-Regel: Beende Netzwerk-ACLs immer mit einer expliziten Deny-Regel
- Dokumentation: Halte fest, warum bestimmte Regeln existieren
- Regelmaessige Ueberpruefung: Kontrolliere ACLs periodisch auf veraltete oder ueberfluessige Eintraege
- Testen vor Produktiveinsatz: Pruefe neue ACL-Regeln in einer Testumgebung
Das BSI IT-Grundschutz-Kompendium enthaelt ausfuehrliche Empfehlungen zur sicheren Konfiguration von Zugriffskontrollen in Unternehmen.
ACLs in der Praxis
Als Fachinformatiker fuer Systemintegration wirst du regelmaessig mit ACLs arbeiten - sei es bei der Einrichtung von Fileservern, der Konfiguration von Netzwerkgeraeten oder der Absicherung von Cloud-Ressourcen. Auch Anwendungsentwickler benoetigen ein solides Verstaendnis von ACLs, wenn sie Berechtigungssysteme in Software implementieren.
Die Faehigkeit, ACLs korrekt zu planen und umzusetzen, ist eine Kernkompetenz in der IT-Sicherheit. Ein falsch konfigurierter ACE kann entweder zu unberechtigtem Zugriff fuehren oder legitime Benutzer aussperren. Deshalb lohnt es sich, dieses Thema gruendlich zu verstehen.