Zum Inhalt springen

Startseite > Datenrettung Lexikon > Anfangsbuchstabe B > Berechtigung

Berechtigung Definition & Begriffserklärung

Berechtigung – Zugriffsrechte und Zugriffskontrolle in IT-SystemenDer Begriff der Berechtigung muss genau definiert werden. So handelt es sich um eine Zugangsberechtigung, wenn geregelt ist, ob ein Besucher oder Mitarbeiter zu einem geschützten Bereich einen berechtigten Zugang haben darf oder nicht. Andererseits gibt es noch einen sogenannten Berechtigungsnachweis, der aber eher für die Inanspruchnahme von sozialen Leistungen in Frage kommt. Letztlich gibt es noch im Bereich der EDV eine Art Dateiberechtigung, bei der geregelt wird, ob, wann und in welcher Form auf Programme und Dateibestände zugegriffen werden darf.

Im IT-Kontext ist es hilfreich, zwischen Authentifizierung (Wer ist der Benutzer?) und Autorisierung (Was darf der Benutzer?) zu unterscheiden. Berechtigungen sind Teil der Autorisierung und definieren, welche Aktionen auf welchem Objekt in welchem Kontext zulässig sind. Sie werden häufig durch Gruppen, Rollen und Richtlinien gebündelt.

  • Zugangsberechtigung: physische oder logische Zutrittsrechte zu Räumen, Systemen oder Anwendungen
  • Berechtigungsnachweis: Nachweis zur Anspruchsprüfung in Behörden/Institutionen
  • Datei- und Systemberechtigungen: feingranulare Rechte auf Dateien, Ordner, Prozesse und Dienste

Von Dateiberechtigung ist auch die Rede, wenn beispielsweise ein Systemadministrator den Benutzern oder ganzen Benutzergruppen unterschiedliche Zugriffsrechte in Dateisystemen einräumt. Die Erstellung einer solchen Berechtigung ist von Betriebssystem zu Betriebssystem verschieden geregelt. Beispielsweise können in einem Netzwerk sehr viele Berechtigungen für verschiedene Benutzer verteilt werden. Ebenfalls kann ein Benutzer auch anderen Benutzergruppen mit deren Berechtigung zugeordnet werden.

In der Praxis unterscheidet man zudem zwischen Berechtigungen (z. B. Lesen, Schreiben, Ausführen auf Objekten) und Privilegien bzw. Benutzerrechten (z. B. Anmelden lokal, Sichern und Wiederherstellen, Dienste verwalten). Wichtige Prinzipien sind least privilege (nur minimal notwendige Rechte), Trennung von Aufgaben sowie Vererbung von Berechtigungen in Hierarchien. Für die Verwaltung werden oft Gruppen, Rollen, Vorlagen und automatisierte Provisionierung eingesetzt.

Die bekanntesten Berechtigungen im EDV-Bereich für den Zugriff auf Dateien oder Ordner sind der uneingeschränkte Vollzugriff, Lese- und Schreibberechtigungen, reine Leseberechtigungen und reine Änderungsberechtigungen.

  • Vollzugriff: sämtliche Aktionen inkl. Rechte ändern und Besitz übernehmen
  • Lesen: Inhalte anzeigen und Attribute einsehen
  • Schreiben/Ändern: Inhalte erstellen, verändern und löschen (ohne Rechteverwaltung)
  • Ausführen: Programme starten bzw. Ordner durchlaufen
  • Erweitert (je nach System): Ordnerinhalt auflisten, Dateieigenschaften lesen/ändern, Berechtigungen ändern, Objekte löschen
Datenrettung zum Festpreis

Wir analysieren Defekte an allen gängigen Datenträgern aller Hersteller - kostenlos und unverbindlich.

Sie erhalten anschließend ein Festpreis-Angebot für die Wiederherstellung Ihrer Daten. Kosten fallen nur an, wenn Sie uns beauftragen und wir Ihre Daten retten können!

100% kostenlose Analyse anfordern!

Berechtigungen in den verschiedenen Betriebssystemen

Bei den bekannten MSDOS und älteren Windows-Versionen hat es keine Dateiberechtigungen gegeben. Schließlich handelte es sich hierbei um keine Mehrbenutzer-Betriebssysteme und wurden lediglich auf einem Rechner ausgeführt. Selbst der bekannte MSDOS-Befehl attrib wurde lediglich dazu genutzt, um eine Datei mit dem Attribut Archiv, Versteckt und Schreibgeschützt zu versehen.

Als sogenannte Einzelplatzlösung hatte jeder auf dem Rechner eine Berechtigung und konnte ungehindert den Rechner starten. Gegebenenfalls wurden nach dem Bootvorgang entsprechende Sicherheitsprogramme vorgeschaltet, so dass zumindest der Anwender ein Passwort eingeben musste. Spezielle Benutzerrechte konnten jedoch nicht vergeben oder verwaltet werden.

In Windows NT und den aktuellen Windows-Versionen sieht dies anders aus. Es handelt sich um Mehrbenutzer-Betriebssysteme, so dass durch die Verwendung des NTFS-Dateisystems die Möglichkeit besteht, sogenannte erweiterte Datei-Zugriffsrechte zu vergeben. Insbesondere ab Windows Vista erfolgt häufig die Meldung auf dem Bildschirm, dass zur Ausführung bestimmter Funktionen Administratorrechte benötigt werden.

Aktuelle Windows-Versionen wie Windows 10, Windows 11 sowie Windows Server (z. B. 2019 und 2022) nutzen NTFS-ACLs mit DACL (Discretionary ACL) und SACL (System ACL für Überwachung). Wichtige Aspekte sind Vererbung, Effektive Berechtigungen, die Priorität von Verweigern gegenüber Zulassen sowie die Trennung zwischen Rechten auf Dateien/Ordner und Benutzerrechten/Privilegien auf Betriebssystemebene. Die Benutzerkontensteuerung (UAC), seit Windows Vista eingeführt, sorgt weiterhin dafür, dass administrative Aktionen bewusst bestätigt werden müssen. Auch ReFS unterstützt Zugriffssteuerung mittels ACLs.

Das bekannteste Mehrbenutzersystem ist jedoch das klassische Unix. Es verfügt seit seiner ersten Version über die Einrichtung von Dateirechten. Die Berechtigung wird hierbei unterteilt in die Klassen Benutzer (User), alle anderen Benutzer (Others) und Gruppe (Group). In allen Klassen können die Berechtigungen zum Lesen, Schreiben und Ausführen individuell geregelt werden. Hierzu stehen in Unix entsprechende Befehle zur Verfügung. Unabhängig von diesen Berechtigungen können noch die Dateirechtebits in Unix vergeben werden. Es handelt sich hierbei um Set Group Identity, Set User Identity und Sticky Bit. In den neuen Unix-Versionen können auf Wunsch sogar Zugriffskontrolllisten erstellt werden.

Unter modernen Unix-/Linux-Derivaten (etwa Linux-Distributionen und auch BSD-Systemen) kommen neben den klassischen rwx-Rechten für User/Group/Others auch POSIX-ACLs sowie erweiterte Attribute zum Einsatz. Praktische Werkzeuge sind z. B. chmod (symbolisch oder oktal, etwa 755), chown, chgrp, umask sowie setfacl/getfacl für feingranulare Regeln. Sicherheitsmechanismen wie setuid, setgid und das sticky bit beeinflussen die Ausführung und Löschbarkeit in gemeinsam genutzten Verzeichnissen (z. B. /tmp). macOS nutzt auf APFS ebenfalls ACLs und erweiterte Attribute.

Beim Betriebssystem VMS oder OpenVMS von DEC sind ebenfalls die Unix-Dateirechte möglich, jedoch kann hier zusätzlich noch ein Löschrecht vergeben werden.

Methoden der Vergabe von Berechtigungen im EDV-Bereich

Generell bezeichnen Berechtigungen und Zugriffsrechte spezielle Regeln der Zugriffskontrolle. Hiernach wird entschieden, ob und wie der jeweilige Benutzer Programme, Operationen auf Dateisysteme und deren technischen Systeme ausführen darf. Mithilfe von Zugriffskontrolllisten ist es möglich, die jeweiligen Zugriffsrechte flexibel zu gestalten. Dabei ist auch für Außenstehende leicht erkennbar, welche Zugriffe erlaubt sind und welche nicht erlaubt sind.

Eine weitere Methode für die Vergabe von Berechtigungen wird von einigen Programmiersprachen selbst geregelt. So seien hier die Sicherheitskonzepte der Sprachen Java und .NET genannt. Dabei bestimmt die Laufzeitumgebung dieser Sprachen, ob eine bestimmte Bibliothek von Unterprogrammen vertrauenswürdig ist oder nicht.

  • ACL-basierte Vergabe: Objektbezogene Einträge für Benutzer und Gruppen (Zulassen/Verweigern, Vererbung, Audit-Regeln)
  • Rollen- und gruppenbasiert: Zuweisung über Rollenprofile und Sicherheitsgruppen zur Vereinfachung der Verwaltung
  • Attributbasiert (ABAC): Entscheidungen anhand von Attributen wie Standort, Zeitpunkt, Geräte- oder Sicherheitsstatus
  • Richtliniengesteuert: Zentral definierte Policies, Vorlagen und Automatisierung (Provisionierung/Deprovisionierung)
  • Prozessual: Vier-Augen-Prinzip, Rezertifizierungen, regelmäßige Berechtigungsreviews und Protokollierung

Best Practices umfassen die konsequente Anwendung des Minimalprinzips, das Vermeiden individueller Direktzuweisungen zugunsten von Gruppen/Rollen, die Trennung von Administrations- und Benutzerkonten, sowie eine lückenlose Überwachung und Dokumentation von Änderungen.

Zugriffsklassen und Sicherheitssysteme

Um die Sicherheit von EDV-Systemen zu gewährleisten, werden die Sicherheitssysteme, die für die Verwaltung von Zugriffsrechen verantwortlich sind, in verschiedene Klassen eingeteilt. Beim Discretionary Access Control wird der Zugang zu einem System von der Identität des Benutzers abhängig gemacht. Hierunter fällt zum Beispiel der bekannte Zugriffsschutz für Dateien in den verschiedenen Dateisystemen. Beim Mandatory Access Control werden unabhängig von der Identität des Benutzers zusätzliche Regeln und Eigenschaften überprüft. Diese Zugriffskontrolle findet vornehmlich in Hochsicherheitssystemen statt, bei denen die Kontrolle durch einen sogenannten Referenzmonitor implementiert wird. Beim Role Based Access Control wird die Berechtigung anhand der jeweiligen Rolle des Benutzers überprüft. So kann ein Benutzer auch mehrere Rollen besitzen. Die Methoden und die Verwaltung von Berechtigungen stellen eine wichtige Voraussetzung für eine wirkungsvolle Zugriffskontrolle dar.

  • DAC (Discretionary Access Control): Objekt-Eigentümer vergeben Rechte; flexibel, aber fehleranfällig bei vielen Einzelzuweisungen
  • MAC (Mandatory Access Control): Zentrale Richtlinien und Labels regeln Zugriffe unabhängig vom Eigentümer (z. B. in Hochsicherheitsumgebungen)
  • RBAC (Role Based Access Control): Rechte werden Rollen zugeordnet; Benutzer erhalten Rollen gemäß Funktion/Aufgabe
  • ABAC (Attribute Based Access Control): Kontextabhängige Entscheidungen auf Basis von Attributen, Regeln und Policies

Ein Referenzmonitor erzwingt die Einhaltung der Regeln und ist unverzichtbar für konsistente Zugriffskontrolle. Ergänzende Maßnahmen wie Mehrfaktor-Authentifizierung, Protokollierung und regelmäßige Audits erhöhen die Sicherheit zusätzlich und machen Berechtigungsvergaben nachvollziehbar.

Häufige Fragen und Antworten

Was versteht man unter Berechtigung?

Unter Berechtigung versteht man die Zugangsberechtigung zu einem geschützten Bereich, bei der geregelt ist, ob ein Besucher oder Mitarbeiter darauf zugreifen darf oder nicht. Es können auch Zugriffsrechte in EDV-Systemen oder Dateisystemen gemeint sein.

Im Kern definiert eine Berechtigung, welche Aktion (lesen, schreiben, ausführen, löschen) ein Subjekt (Benutzer, Dienst, Gruppe) auf ein Objekt (Datei, Ordner, Prozess, Ressource) ausführen darf. Sie ist Teil der Autorisierung und wird häufig über Gruppen, Rollen und Richtlinien administriert.

  • Physische Berechtigung: Zutritt zu Räumen/Geräten
  • Logische Berechtigung: Zugriff auf Systeme/Anwendungen
  • Objektberechtigung: Rechte auf Dateien, Ordner, Datenbanken
Welche Arten von Berechtigungen gibt es in den verschiedenen Betriebssystemen?

In den verschiedenen Betriebssystemen gibt es unterschiedliche Arten von Berechtigungen für den Zugriff auf Dateien oder Ordner. Dazu gehören der uneingeschränkte Vollzugriff, Lese- und Schreibberechtigungen, reine Leseberechtigungen und reine Änderungsberechtigungen.

Windows (NTFS) kennt Basis- und erweiterte Berechtigungen inklusive Vererbung, Audit-Regeln und Besitzübernahme. Unix/Linux nutzt rwx für Benutzer/Gruppe/Andere, ergänzt um setuid/setgid/sticky sowie POSIX-ACLs für Feingranularität. macOS (APFS) und ReFS setzen ebenfalls auf ACLs.

  • Basis: Lesen, Schreiben, Ändern, Ausführen, Vollzugriff
  • Erweitert: Ordnerinhalt auflisten, Attribute lesen/ändern, Berechtigungen ändern, Löschen
  • Spezialbits: setuid/setgid, sticky bit (Unix/Linux)
Welche Methoden werden zur Vergabe von Berechtigungen im EDV-Bereich verwendet?

Zur Vergabe von Berechtigungen im EDV-Bereich werden verschiedene Methoden verwendet. Dazu gehören die Vergabe von Zugriffskontrolllisten, bei denen die Zugriffsrechte flexibel gestaltet werden können, und die Sicherheitskonzepte bestimmter Programmiersprachen wie Java und .NET, bei denen die Laufzeitumgebung über die Vertrauenswürdigkeit von Bibliotheken entscheidet.

Zusätzlich sind rollenbasierte (RBAC) und attributbasierte (ABAC) Modelle verbreitet. In der Praxis werden Rechte über Gruppen/Rollen zugewiesen, per Richtlinien zentral gesteuert und regelmäßig rezertifiziert. Audits, Logging und das Minimalprinzip sichern die Qualität der Vergaben.

  • ACLs pro Objekt (Zulassen/Verweigern, Vererbung, Auditing)
  • Gruppen/Rollen statt Einzelzuweisungen
  • Automatisierte Provisionierung und periodische Reviews
Welche Zugriffsklassen und Sicherheitssysteme werden in EDV-Systemen verwendet?

In EDV-Systemen werden verschiedene Zugriffsklassen und Sicherheitssysteme verwendet. Dazu gehören das Discretionary Access Control, bei dem der Zugang abhängig von der Benutzeridentität ist, das Mandatory Access Control, bei dem zusätzliche Regeln und Eigenschaften überprüft werden, und das Role Based Access Control, bei dem die Berechtigung anhand der Benutzerrolle überprüft wird. Diese Methoden und Systeme sind wichtig, um eine effektive Zugriffskontrolle zu gewährleisten.

Ergänzend wird häufig ABAC eingesetzt, das kontextabhängige Entscheidungen erlaubt. Ein Referenzmonitor setzt die Regeln durch. In Kombination mit Protokollierung und Mehrfaktor-Authentifizierung entstehen robuste, nachvollziehbare Zugriffskonzepte.

  • DAC: Eigentümergesteuert, flexibel
  • MAC: Richtliniengesteuert, hochsicher
  • RBAC: Rollen und Funktionen
  • ABAC: Attribute und Kontext
Quelle für Ihr Zitat: Obenstehende Definition darf in kommerziellen und nicht kommerziellen Publikationen (somit auch in Hausarbeiten, Foren, Social Media Seiten) ohne Rückfrage zitiert werden. Kopieren Sie einfach den nachfolgenden Link für Ihr Zitat:

https://www.it-service24.com/lexikon/b/berechtigung/

Bildnachweis: iStock.com/tsingha25

Sie können entspannt sein.
Wir retten Ihre Daten.

Sie können entspannt sein. Wir retten Ihre Daten.
100% kostenlose Analyse!

Senden Sie uns jetzt Ihre unverbindliche Anfrage: Sie erhalten eine kostenlose Analyse und ein unverbindliches Angebot zur Datenrettung mit Festpreisgarantie.

Ihre Daten werden gemäß Datenschutzerklärung verarbeitet, um Ihre Anfrage bearbeiten zu können.
Wir helfen Ihnen gerne!

Häufige Fragen
und Antworten

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung:
» Kontakt

Folgende Artikel könnten Sie ebenfalls interessieren:

Related Posts