Attribute-Based Access Control (ABAC) ist ein Zugriffskontrollmodell, bei dem die Entscheidung über die Gewährung oder Verweigerung eines Zugriffs anhand von Attributen getroffen wird, die den Benutzer, die Ressource, die Aktion und den Kontext des Vorgangs beschreiben. Im Unterschied zu Modellen, die ausschließlich auf Rollen basieren, beschränkt sich ABAC nicht auf die Zuordnung eines Benutzers zu einer Gruppe oder Position. Stattdessen bewertet es ein Regelwerk aus Zugriffsrichtlinien, zum Beispiel, ob ein Operator Mitglied des Compliance-Teams ist, an einer Arbeitsstation im internen Netzwerk arbeitet, die Berechtigung zur Sichtung von Beweismaterial besitzt und ob das Material aus einem bestimmten Fall stammt oder einen bestimmten Aufbewahrungsstatus hat.
Attribute-Based Access Control (ABAC) - Definition
ABAC ist in den Veröffentlichungen des NIST formal beschrieben, insbesondere in der NIST Special Publication 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations aus dem Jahr 2014. Das NIST definiert ABAC als eine Methode der Zugriffskontrolle, bei der die Autorisierung durch die Auswertung von Attributen des Subjekts, Objekts, der Operation und der Umgebung gegenüber Richtlinien bestimmt wird. In der Praxis bedeutet das, dass das System nicht nur fragt: „Wer bist du?“, sondern auch: „Worauf möchtest du zugreifen?“, „Was möchtest du tun?“ und „Unter welchen Bedingungen?“
Im Kontext der Anonymisierung von Fotos und Videoaufnahmen hat ABAC eine operative Bedeutung. Das Ausgangsmaterial vor dem Verpixeln von Gesichtern oder Kfz-Kennzeichen enthält personenbezogene Daten. Der Zugriff darauf sollte restriktiver sein als der Zugriff auf eine bereits anonymisierte Version. ABAC ermöglicht es daher, Berechtigungen zwischen den einzelnen Arbeitsschritten mit einer Datei zu trennen - Import, Sichtung des Rohmaterials, Start der Erkennung, manuelle Korrektur von Masken, Export sowie das Löschen temporärer Dateien.
In einem System zur Video- und Bildanonymisierung kann die ABAC-Zugriffskontrolle nicht nur den Benutzer, sondern auch die Materialklasse, die Rechtsgrundlage der Verarbeitung, die Jurisdiktion, den Stand des Verfahrens und den Standort der Umgebung berücksichtigen. Das ist besonders wichtig bei On-Premise-Implementierungen, bei denen die Organisation selbst für technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 24, 25 und 32 DSGVO verantwortlich ist.
Die Rolle von ABAC bei der Anonymisierung von Fotos und Videoaufnahmen
Das ABAC-Modell ist überall dort nützlich, wo dieselbe Videodatei mehrere Verarbeitungsschritte durchläuft und in jeder Phase für eine andere Personengruppe sichtbar sein sollte. Das betrifft insbesondere Überwachungsmaterial, Aufnahmen von Bodycams, Inspektionsdokumentationen, Schulungsmaterialien und Inhalte, die zur Veröffentlichung vorbereitet werden.
In einem solchen Szenario kann ABAC präzise Zugriffsbeschränkungen durchsetzen:
- für Rohmaterial - nur für Personen mit einer begründeten dienstlichen Grundlage, etwa für den Sachbearbeiter eines Falls oder eine Person in der Funktion des Datenschutzbeauftragten, sofern dies durch den Aufgabenbereich gerechtfertigt ist,
- für Funktionen der automatischen Erkennung - für Benutzer mit der Berechtigung, den Erkennungsprozess für Gesichter und Kfz-Kennzeichen zu starten,
- für die manuelle Bearbeitung - für Operatoren, die für die Korrektur von Bereichen zuständig sind, die das System nicht automatisch erkennt, zum Beispiel Dokumente oder Inhalte auf Monitoren,
- für den Export der anonymisierten Version - für Personen, die das Material veröffentlichen oder weitergeben,
- für das Löschen von Quelldateien - für den Verantwortlichen für Aufbewahrungsfristen oder die Person, die den Abschluss des Falls freigibt.
In der Praxis reduziert das das Risiko eines übermäßigen Zugriffs auf personenbezogene Daten. Das entspricht dem Grundsatz der Datenminimierung sowie dem Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. c und f DSGVO.
ABAC-Attribute und Richtlinien in Anonymisierungssystemen
Die Wirksamkeit von ABAC hängt von der Qualität der Attribute und der Präzision der Richtlinien ab. Attribute müssen aktuell, messbar und vom System überprüfbar sein. In Umgebungen, in denen Bilder und Videos verarbeitet werden, kommen üblicherweise mehrere Attributklassen zum Einsatz.
Attributklasse | Beispiele | Anwendung bei der Anonymisierung
|
|---|---|---|
Subjekt | dienstliche Rolle, Abteilung, Zertifizierung, Berechtigungsstufe, Beschäftigungsstatus | legt fest, wer das Ausgangsmaterial ansehen und wer das Ergebnis exportieren darf |
Objekt | Dateityp, Vertraulichkeitsklassifizierung, Quelle der Aufnahme, Fall-ID, Aufbewahrungsstatus | unterscheidet zum Beispiel Beweismaterial von Material zur Veröffentlichung |
Operation | Lesen, Annotation, Start der Erkennung, Bearbeitung, Export, Löschen | ermöglicht die Vergabe von Zugriffsrechten nur für konkrete Aktionen |
Umgebung | IP-Adresse, Netzwerksegment, Tageszeit, Arbeitsplatzrechner, Land der Verarbeitung | beschränkt Operationen auf eine sichere On-Premise-Umgebung |
Eine beispielhafte Richtlinie kann wie folgt aussehen: Der Zugriff auf eine Rohaufnahme aus der Videoüberwachung ist nur dann zulässig, wenn der Benutzer den Status eines aktiven Mitarbeiters hat, zur den Fall bearbeitenden Einheit gehört, ein von der Organisation verwaltetes Gerät nutzt und sich im internen Netzwerk befindet. Der Export einer anonymisierten Version kann für eine größere Gruppe erlaubt sein, jedoch ohne das Recht, das Ausgangsmaterial herunterzuladen.
Technischer Kontext von ABAC und Erkennung von Gesichtern und Kfz-Kennzeichen
In Anonymisierungssystemen sind die Zugriffsentscheidung und der eigentliche Erkennungsprozess zwei unterschiedliche Ebenen. ABAC dient nicht der Gesichts- oder Kennzeichenerkennung. Es dient dazu zu steuern, wer diese Funktionen unter welchen Bedingungen starten und nutzen darf. Die eigentliche Erkennung von Gesichtern und Kennzeichen basiert in der Regel auf Modellen des maschinellen Lernens, meist auf Deep Learning. Das KI-Modell wird zuvor mit geeigneten Daten trainiert und anschließend verwendet, um Objekte im Bild oder in aufeinanderfolgenden Videoframes zu lokalisieren, die verpixelt werden sollen.
In der Praxis bedeutet das eine klare Trennung der Verantwortlichkeiten:
- die KI-Ebene ist für die Erkennung von Gesichtern und Kfz-Kennzeichen verantwortlich,
- die Ebene der ABAC-Richtlinien ist dafür verantwortlich, wer die Erkennung starten, das Ergebnis sehen und den Export freigeben darf.
In Gallio PRO ist die korrekte Definition dieser Grenzen besonders wichtig. Die Software verpixelt Gesichter und Kfz-Kennzeichen automatisch, erkennt jedoch nicht automatisch Logos, Tätowierungen, Namensschilder, Dokumente oder Bildinhalte auf Monitoren. Diese Elemente können im Editor manuell unkenntlich gemacht werden. Aus Sicht von ABAC bedeutet das, dass die Richtlinie die Berechtigung zur automatischen Anonymisierung von der Berechtigung zur manuellen Bearbeitung des Materials trennen kann.
Zentrale Parameter und Metriken von ABAC
ABAC wird nicht nur unter dem Aspekt der Sicherheit bewertet, sondern auch hinsichtlich Leistung und Auditierbarkeit. In Systemen, die mit großen Videodateien arbeiten, kann eine zu langsame Autorisierung die Effizienz der Prozesse beeinträchtigen. Deshalb lohnt es sich, grundlegende Leistungsparameter der Richtlinien zu messen.
Parameter | Bedeutung | Praktischer Nutzen
|
|---|---|---|
Decision latency | Zeit für die Auswertung der Zugriffsrichtlinie | beeinflusst die flüssige Öffnung von Dateien und die Ausführung von Operationen |
Policy coverage | Anteil der Fälle, die durch eine formale Richtlinie abgedeckt sind | zeigt, ob Zugriffswege außerhalb der Kontrolle existieren |
False allow / false deny | fehlerhafte Gewährung oder Verweigerung eines Zugriffs | misst das operationelle Risiko und die Auswirkungen auf die Teamarbeit |
Audit completeness | Vollständigkeit des Audit-Trails | ermöglicht den Nachweis, wer eine bestimmte Operation durchgeführt hat |
Attribute freshness | Aktualität der Attribute | begrenzt das Risiko, dass Zugriffe nach einem Rollen- oder Projektwechsel bestehen bleiben |
Es ist sinnvoll, ABAC-Metriken von den Metriken des Erkennungsmodells zu unterscheiden. Die Genauigkeit der Gesichts- oder Kennzeichenerkennung wird mit anderen Kennzahlen gemessen, zum Beispiel Precision, Recall oder Intersection over Union. ABAC verbessert nicht die Qualität der Erkennung, sondern reduziert die Exposition von Daten vor und nach der Anonymisierung.
ABAC, DSGVO, Datensicherheit und On-Premise-Implementierungen
ABAC unterstützt die Umsetzung der DSGVO-Anforderungen, stellt aber für sich genommen noch keine automatische Compliance her. Es ist eine technische Maßnahme, die hilft, Zugriffsregeln auf Materialien durchzusetzen, die Gesichter oder Kfz-Kennzeichen enthalten. Besonders relevant ist das dort, wo eine Organisation Material lokal verarbeitet, ohne es an Cloud-Dienste weiterzugeben.
In einer On-Premise-Umgebung kann ABAC den Zugriff auf Quelldaten auf eine sehr kleine Benutzergruppe beschränken. Das ist besonders vorteilhaft bei risikoreichem Material, etwa Interventionsaufnahmen, Beweismaterial oder Aufnahmen aus dem öffentlichen Raum. Gleichzeitig sollte die Organisation sicherstellen, dass ABAC mit dem Identitätsmanagement, der Aufbewahrungssteuerung und den Richtlinien für Arbeitsstationen konsistent ist.
Außerdem ist zu beachten, dass der Audit-Trail administrative und prozessbezogene Vorgänge dokumentieren sollte, selbst aber nicht zu einer Sammlung personenbezogener Daten werden darf, die über den Zweck hinausgeht. Im Kontext von Gallio PRO ist wichtig, dass die Software keine Ergebnisse der Gesichts- und Kennzeichenerkennung in Logs speichert; der Umfang der Protokolle kann jedoch je nach Systemkonfiguration weiterhin andere Betriebsdaten umfassen.
Herausforderungen und Grenzen von ABAC
ABAC bietet eine hohe Flexibilität, erfordert aber ein ausgereiftes Modell für das Attributmanagement. Je mehr Richtlinien und Ausnahmen es gibt, desto höher ist das Risiko von Konfigurationsfehlern. Problematisch ist oft auch die Inkonsistenz von Attributquellen, etwa wenn die HR-Abteilung, das IAM-System und das Fall-Repository unterschiedliche Daten über denselben Benutzer führen.
Die häufigsten Einschränkungen sind:
- die Komplexität der Richtlinien wächst mit der Zahl organisatorischer Ausnahmen,
- fehlerhafte oder veraltete Attribute führen zu falschen Zugriffsentscheidungen,
- die vollständige Menge möglicher Bedingungskombinationen ist schwer zu testen,
- ABAC ersetzt keine Berechtigungsüberprüfungen, Netzwerksegmentierung oder Datenverschlüsselung,
- ABAC löst keine Probleme der KI-Erkennungsqualität und ersetzt nicht die manuelle Kontrolle des Anonymisierungsergebnisses.
Normative Verweise und Quellen
Der Begriff ABAC und seine praktische Anwendung sollten auf Quelldokumenten und Vorschriften beruhen, die die Sicherheit der Verarbeitung regeln. Für Systeme zur Anonymisierung von Fotos und Videoaufnahmen sind die folgenden Veröffentlichungen besonders relevant:
- NIST SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations, National Institute of Standards and Technology, 2014,
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates - DSGVO, insbesondere Art. 5, 24, 25 und 32,
- ISO/IEC 27001:2022 - Anforderungen an ein Informationssicherheits-Managementsystem,
- ISO/IEC 27002:2022 - Sicherheitsmaßnahmen, einschließlich Zugriffskontrolle und Identitätsmanagement.
Wenn eine Organisation ABAC bei der Verarbeitung von Materialien mit Personenbezug einsetzt, empfiehlt es sich, die Logik der Richtlinien, die Attributquellen, Verfahren zur Überprüfung von Berechtigungen sowie die Beziehung zwischen dem Zugriff auf Rohmaterial und anonymisiertes Material zu dokumentieren. Das erleichtert den Nachweis der Rechenschaftspflicht und die Bewertung der Angemessenheit der Schutzmaßnahmen.