Am 7. Mai 2026 (11 Uhr bis 12 Uhr) erfahren Entwickler*innen, wie sich sensible Unternehmensdaten sicher und zugleich flexibel für APIs, Anwendungen und KI-basierte Workflows nutzbar machen lassen. Sie lernen, warum klassische rollenbasierte Modelle (RBAC) häufig an ihre Grenzen stoßen und wie attributbasierte Zugriffskontrolle (ABAC) als leistungsfähige Alternative überzeugt. Praxisnahe Beispiele zeigen, wie komplexe Autorisierungsanforderungen in traditionellen Systemen ebenso wie in modernen KI-Szenarien mit RAG und LLM-Tools umgesetzt werden können.
Das Webinar wird durchgeführt von Dr. Dominic Heutelbeck – die Teilnahme ist kostenlos:
Zugriffskontrolle als herausfordernde Chance
In der aktuellen Situation wird versucht, die Daten, die eine Organisation hat, optimal zu nutzen. Wie aber erschließen wir sie für die Unternehmensprozesse oder für die Nutzung in KI-basierten Agenten im Unternehmen? Immer muss man die Daten und andere Kapazitäten des Unternehmens über APIs über Sicherheitsgrenzen hinweg freigeben.
Dabei werden Fehler in der Zugriffskontrolle von OWASP als das Top-Sicherheitsrisiko in Informationssystemen geführt. Eigentlich ist klar, worum es geht: “Prinzip der geringsten Rechte” oder “Verweigerung als Standardverhalten”.
Um diese Prinzipien umzusetzen, gibt es in praktisch jedem Framework grundlegende Funktionen, welche meist auf rollenbasierten Zugriffsmodellen (RBAC), OAuth und JWT aufsetzen.
In der Praxis verschwimmen hier häufig die Grenzen zwischen Authentifizierung und Autorisierung. Auch sind die Architekt*innen und Entwickler*innen häufig damit konfrontiert, dass sich die realen Anforderungen der eigenen Anwendungsdomäne nicht immer direkt auf ein rein rollenbasiertes Modell oder einfache “JWT scopes” abbilden lassen oder dass es plötzlich zu einer Explosion von Rollen kommt, um die Anforderungen umsetzen zu können.
Dieser Konflikt in der Passung von Autorisierungsmodell zu Anwendungsdomäne führt häufig dazu, dass die Implementierung des Sicherheitsmodells fehleranfällig ist, zu sehr vereinfacht wird oder schwer zu warten ist. Vor allem dynamische Zugriffsrechte sind hier nur schwer allein über ein solches Modell zu realisieren, was dazu führt, dass sich Logik für Autorisierung und fachliche Logik vermischen und somit die resultierenden Systeme komplex und schwer zu testen sind.
Um dem entgegenzuwirken, gibt es Autorisierungsmodelle, welche sowohl flexibler in ihrer Ausdruckskraft für verschiedene Anwendungsmodelle sind als auch leichter zur Laufzeit des Systems anpassbar sind, bis hin zur nahezu Echtzeit-Autorisierung in Event-basierten Systemen.
Was erfahren Sie im Webinar?
In diesem Webinar werden Sie mehr zu einem dieser Modelle erfahren, der attributbasierten Zugriffskontrolle (Attribute-Based Access Control, ABAC).
Sie lernen die grundsätzlichen Paradigmen kennen und erhalten eine Übersicht über verschiedene konkrete ABAC-Technologien.
Darüber hinaus werden wir praktische Beispiele sehen, wie ABAC eingesetzt werden kann, sowohl in traditionellen Anwendungen als auch in KI-Arbeitsabläufen mit Retrieval Augmented Generation (RAG) und Werkzeugen für LLMs in der Form von MCP-Servern.
Ablauf des Webinars
1 Einleitung & Problemstellung
OWASP Top 10 2025 – Access Control Failures auf Platz 1
2 Grundlagen der Zugriffskontrolle
Authentifizierung vs. Autorisierung, Einsatzorte
3 Schwachstellen bei der Zugriffskontrolle: Beispiele aus der Praxis
IDOR, Rechteausweitung („Privilege Escalation“), Parametermanipulation („Parameter Tampering“)
4 Das RBAC/JWT-Dilemma
Warum Rollen und Scopes für komplexe Anforderungen nicht ausreichen
5 ABAC – Das Konzept
Attributbasierte Zugriffskontrolle als Paradigma, Architektur
6 ABAC-Technologien im Überblick
XACML, OPA/Rego, Cedar, Casbin, SAPL – Auswahlkriterien
7 Streaming Attribute Policy Language (SAPL) im Detail
Live-Beispiele, Streaming-Policies
8 OWASP-Empfehlung umsetzen
Zentral implementieren, überall nutzen, testen
9 Zusammenfassung & Q&A
Durchführung
Das Webinar richtet sich in erster Linie an Entwickler*innen. Aber auch wenn Sie kein*e Entwickler*in sind, sind Sie herzlich willkommen teilzunehmen.
Referent ist Prof. Dr. Dominic Heutelbeck, FTK – Forschungsinstitut für Telekommunikation und Kooperation e. V., Dortmund
Das Online-Seminar wird durchgeführt im Rahmen der Netzwerkpartnerschaft des Mittelstand-Digital Zentrums Zukunftskultur mit der Transferstelle Cybersicherheit.