Mandatory Access Control (MAC)

Die Mandatory Access Control ist ein Konzept für die Kontrolle und Steuerung von Zugriffsrechten auf IT-Systeme, bei der die Entscheidung über den Zugriff nicht auf der Basis der Identität des Subjektes (Benutzers, Prozesses) und des Objektes (Datei, Ressource) gefällt wird, sondern aufgrund allgemeiner Regeln und Eigenschaften des Subjektes und Objektes. Voraussetzung ist, dass Subjekte niemals direkt, sondern nur durch einen Referenzmonitor auf Objekte zugreifen können. Die Regeln des Referenzmonitors können nicht von individuellen Benutzern verändert werden. Da dieses Modell auf Regeln basiert, wird es häufig auch als Rule(set)-Based-Access-Control bezeichnet. Dies sollte nicht mit der rollenbasierten Role-Based-Access-Control (RBAC) verwechselt werden.

Modelle des Mandatory-Access-Control sind vor allem dazu geeignet, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu garantieren. Sie dienen also dazu, den Informationsfluss zu kontrollieren und so das ``Abfließen'' geschützter Information zu verhindern, sowie zu gewährleisten, dass sich die Daten immer in einem konsistenten Zustand befinden.

Ursprünglich wurden die MAC Systeme vor allem im Bereich des Militärs entwickelt. Hier handelt es sich bei der Datenverarbeitung primär um sensible Informationen. Auch in anderen Bereichen, in denen sensible Informationen verarbeitet werden, wurden früh MAC-Systeme eingesetzt (Nachrichtentechnik).

Allgemein werden zwei verschiedene Arten von MAC-Modellen unterschieden: Multi-Level-Security und Multilateral-Security