RBAC (Role-Based Access Control) ordnet Zugriffsrechte Rollen zu, die wiederum Benutzern zugewiesen werden. Du definierst beispielsweise eine Rolle “Buchhaltung” mit Leserechten auf Finanzdaten und weist sie allen Mitarbeitenden der Abteilung zu. Ändert sich eine Berechtigung, genügt die Anpassung an der Rolle. RBAC reduziert den Verwaltungsaufwand erheblich und minimiert das Risiko übermäßiger Berechtigungen. Im ISMS ist RBAC eine zentrale Kontrolle gemäß ISO 27001 Annex A 5.15 (Access Control). Regelmäßige Rezertifizierungen stellen sicher, dass Rollenzuweisungen aktuell bleiben.