14.5 Rollen und Berechtigungen in automatisierten Umgebungen

Rollen und Berechtigungen gehören zu den wichtigsten Sicherheits- und Betriebsgrundlagen in automatisierten Netzwerkumgebungen, weil sie festlegen, wer welche Aktionen auf welchen Systemen ausführen darf. Genau dieser Punkt wird in frühen Automatisierungsprojekten häufig unterschätzt. Solange ein einzelnes Skript im Lab läuft, erscheint es oft bequem, einfach mit einem weitreichenden Administratorkonto zu arbeiten. In produktiven Netzen führt dieser Ansatz jedoch schnell zu unnötigen Risiken, mangelnder Nachvollziehbarkeit und einer gefährlichen Vermischung von Aufgaben. Für Network Engineers ist deshalb entscheidend zu verstehen, dass Automatisierung nicht nur aus Code, APIs oder Playbooks besteht, sondern immer auch aus einem Berechtigungsmodell. Erst wenn Rollen, Zugriffe und Verantwortlichkeiten sauber definiert sind, wird aus technischer Automatisierung ein kontrollierbarer und sicherer Betriebsprozess.

Warum Rollen und Berechtigungen in der Netzwerkautomation so wichtig sind

Automatisierung arbeitet mit hochprivilegierten Management-Zugängen

Netzwerkautomation greift typischerweise direkt auf Management-Schnittstellen zu. Das betrifft SSH, NETCONF, RESTCONF, Controller-APIs, zentrale Orchestrierungsplattformen oder CI/CD-Runner mit Netzwerkzugriff. Diese Zugänge ermöglichen nicht nur lesende Abfragen, sondern oft auch direkte Konfigurationsänderungen.

• Running- und Startup-Konfigurationen auslesen
• Log- und Statusdaten sammeln
• Standards validieren
• Konfigurationsänderungen ausrollen
• Drift korrigieren oder Remediation ausführen

Wenn diese Fähigkeiten ohne differenzierte Rechtevergabe genutzt werden, entsteht schnell ein Szenario, in dem zu viele Prozesse mit zu viel Macht arbeiten. Genau deshalb sind Rollen und Berechtigungen kein organisatorischer Luxus, sondern technische Notwendigkeit.

Fehler und Missbrauch skalieren in automatisierten Umgebungen schneller

Ein manueller Fehler auf einem einzelnen Gerät ist bereits problematisch. In automatisierten Umgebungen kann derselbe Fehler, wenn er über ein überprivilegiertes Konto oder eine falsch designte Rolle läuft, auf viele Geräte gleichzeitig wirken. Dasselbe gilt für Missbrauch oder kompromittierte Zugangsdaten.

• Ein fehlerhaftes Skript kann Änderungen auf dutzenden Geräten ausrollen.
• Ein überprivilegierter Service-Account kann unnötig breite Schäden verursachen.
• Ein falsch gesetztes API-Recht kann sensible Plattformfunktionen öffnen.
• Ein schlecht getrenntes Teammodell erschwert saubere Verantwortlichkeit.

Rollen und Berechtigungen reduzieren dieses Risiko, indem sie Zugriffe bewusst begrenzen und Aufgaben voneinander trennen.

Was mit Rollen und Berechtigungen in automatisierten Umgebungen gemeint ist

Rollen beschreiben Aufgaben und Verantwortlichkeiten

Eine Rolle beschreibt in automatisierten Umgebungen typischerweise nicht nur eine technische Identität, sondern einen definierten Funktionsbereich. Rollen beantworten die Frage, welche Aufgabe ein Benutzer, Service-Account oder Prozess ausführen soll.

• Read-Only-Inventarisierung
• Backup und Konfigurationssicherung
• Compliance-Validierung
• Standardisierte Write-Changes
• Freigabe oder Review von Änderungen
• Plattformadministration

Eine gute Rolle ist damit nicht einfach nur „Admin“ oder „User“, sondern möglichst nah an realen Betriebsaufgaben formuliert.

Berechtigungen definieren den konkreten Zugriff

Berechtigungen legen fest, was eine Rolle tatsächlich tun darf. Dazu gehören Zugriffsrechte auf Geräte, APIs, Plattformbereiche, Konfigurationsobjekte oder Workflow-Funktionen.

• Lesen oder Schreiben
• Zugriff auf bestimmte Gerätegruppen
• Zugriff nur auf definierte Konfigurationsbereiche
• Starten, Freigeben oder nur Prüfen von Automatisierungsjobs
• Verwalten von Secrets oder nur Nutzen vorhandener Secrets

Erst durch diese Kombination aus Rolle und Berechtigung entsteht ein kontrollierbares Zugriffsmodell.

Warum „ein Konto für alles“ in automatisierten Umgebungen gefährlich ist

Überprivilegierung ist einer der häufigsten Fehler

In vielen frühen Automatisierungsprojekten wird aus Bequemlichkeit ein einziges stark berechtigtes Konto verwendet. Dasselbe Service-Konto sichert Konfigurationen, prüft Standards, ruft Logs ab und ändert bei Bedarf produktive Parameter. Genau das ist aus Sicherheits- und Betriebssicht problematisch.

• Read-Only-Prozesse erhalten unnötige Write-Rechte.
• Backup-Jobs könnten theoretisch Konfigurationen ändern.
• Compliance-Skripte hätten im Fehlerfall zu viel Wirkung.
• Ein kompromittiertes Konto hätte unnötig breite Macht.

Diese Überprivilegierung entsteht oft nicht aus Absicht, sondern aus Bequemlichkeit. Gerade deshalb muss sie bewusst vermieden werden.

Nachvollziehbarkeit leidet massiv

Wenn viele Prozesse, Teams oder Tools dieselbe Rolle oder dasselbe Konto nutzen, wird unklar, wer oder was welche Aktion ausgelöst hat. Das erschwert Incident-Analyse, Change-Review und Audit erheblich.

• Welche Änderung kam aus welchem Skript?
• War ein Mensch oder ein geplanter Job verantwortlich?
• Wurde nur gelesen oder tatsächlich geschrieben?
• Welche Plattformfunktion wurde genutzt?

Saubere Rollenmodelle schaffen deshalb nicht nur Sicherheit, sondern auch betriebliche Klarheit.

Das Prinzip Least Privilege als Grundlage

Nur so viele Rechte wie nötig

Das wichtigste Leitprinzip für Rollen und Berechtigungen in automatisierten Umgebungen ist Least Privilege. Gemeint ist, dass jeder Benutzer, jedes Konto und jeder Prozess nur genau die Rechte erhalten soll, die für die konkrete Aufgabe nötig sind – nicht mehr.

• Ein Backup-Job braucht keine Änderungsrechte.
• Ein Inventarskript braucht keinen Zugriff auf alle APIs eines Controllers.
• Ein NTP-Rollout braucht keine vollen Administratorrechte auf jede Plattformfunktion.
• Ein Reporting-Prozess braucht keine Secret-Management-Rechte.

Least Privilege ist deshalb kein theoretisches Ideal, sondern eine sehr praktische Methode, Schaden zu begrenzen.

Weniger Rechte bedeuten weniger Risiko

Wenn ein Read-Only-Konto kompromittiert wird, ist das ernst, aber in der Regel weniger gefährlich als ein kompromittierter Volladmin-Account. Dieselbe Logik gilt für fehlerhafte Skripte. Ein überprivilegierter Prozess kann deutlich größere Schäden auslösen als ein eng begrenzter.

• Missbrauch wird technisch eingeschränkt.
• Fehlkonfigurationen wirken nicht unnötig breit.
• Unbeabsichtigte Seiteneffekte werden reduziert.
• Audits und Freigaben werden klarer.

Typische Rollen in automatisierten Netzwerkumgebungen

Read-Only-Rollen für Inventar und Monitoring

Eine der wichtigsten Grundrollen ist die reine Leseberechtigung. Sie eignet sich für Prozesse, die Informationen sammeln, Berichte erzeugen oder Validierungen durchführen, ohne produktive Änderungen vorzunehmen.

• Gerätefakten auslesen
• Konfigurationsstände prüfen
• Log- und Statusdaten sammeln
• Compliance-Berichte erzeugen
• Backups der Running-Config lesen

Typische CLI-Beispiele für solche Rollen wären:

show version
show running-config
show ip interface brief
show logging

Diese Rolle sollte bewusst keine Möglichkeit haben, in den Konfigurationsmodus zu wechseln oder APIs für schreibende Aktionen zu nutzen.

Write-Rollen für standardisierte Änderungen

Eine weitere typische Rolle ist für definierte, standardisierte Änderungen gedacht. Solche Rollen können beispielsweise NTP-, Syslog-, DNS- oder Interface-Standards ausrollen, aber nicht zwingend jede beliebige Konfiguration ändern.

• NTP- oder Syslog-Standards setzen
• Management-Banner aktualisieren
• Bestimmte Interface-Parameter anpassen
• Rollen- oder standortbasierte Standardänderungen ausführen

Typische CLI-Aktionen wären etwa:

conf t
ntp server 10.10.10.10
logging host 10.20.20.20
end

Wichtig ist, dass solche Rollen nicht automatisch Vollzugriff auf alle Geräte und Konfigurationsbereiche haben.

Review- und Freigaberollen

In reiferen Automatisierungsumgebungen gibt es Rollen, die Änderungen nicht selbst ausführen, sondern prüfen, freigeben oder ablehnen. Diese Trennung ist besonders wichtig in regulierten oder sicherheitskritischen Umgebungen.

• Änderungen reviewen
• Pipeline-Freigaben erteilen
• Deployment-Fenster steuern
• Produktive Läufe autorisieren

Dadurch wird verhindert, dass dieselbe Person oder derselbe Prozess Änderung und Freigabe vollständig allein kontrolliert.

Plattform- und Automationsadministration

Zusätzlich gibt es Rollen für die Verwaltung der Automatisierungsumgebung selbst. Diese Rollen betreffen nicht primär Netzwerkgeräte, sondern Tools wie Orchestrierungsplattformen, Controller, Secret-Management-Systeme oder CI/CD-Komponenten.

• Inventar verwalten
• Runner und Jobs konfigurieren
• Tokens oder Secrets pflegen
• Benutzer und Rollen zuweisen

Diese Rechte sollten klar von operativen Netzwerk-Write-Rollen getrennt sein.

Trennung nach Aufgabe statt nach Person allein

Menschliche und maschinelle Rollen unterscheiden

Eine wichtige Best Practice besteht darin, Rollen nicht nur nach Personen, sondern nach Prozessen und Aufgaben zu modellieren. In automatisierten Umgebungen greifen nicht nur Menschen, sondern auch Skripte, Runner, Controller oder Playbooks auf Systeme zu.

• Persönliche Admin-Rolle für manuelle Diagnose
• Service-Account für Inventarisierung
• Dedizierte Rolle für Backup-Prozesse
• Eigene Rolle für Change-Automation

Diese Trennung verbessert sowohl Sicherheit als auch Nachvollziehbarkeit.

Service-Accounts sind keine Volladmins

Ein häufiger Fehler besteht darin, Service-Accounts grundsätzlich mit denselben Rechten auszustatten wie Senior-Administratoren. Das ist fast nie nötig. Service-Accounts sollten an den konkreten Use Case gebunden und so eng wie möglich berechtigt werden.

• Read-Only-Service-Accounts für Ausleseprozesse
• Schreibende Service-Accounts nur für definierte Standardänderungen
• Separate Konten für unterschiedliche Umgebungen und Rollen

Geräte- und Umgebungsgrenzen berücksichtigen

Nicht jede Rolle braucht Zugriff auf jedes Gerät

Rollen und Berechtigungen sollten nicht nur nach Aktion, sondern auch nach Zielsystem segmentiert werden. Ein Prozess für Access-Switches muss nicht automatisch auf Core-Router, WAN-Edges oder Sicherheitsplattformen zugreifen können.

• Access-, Distribution- und Core-Bereiche trennen
• Produktions- und Testnetze trennen
• Standortgruppen separat berechtigen
• Besonders kritische Systeme restriktiver behandeln

So wird verhindert, dass ein einzelner Fehler oder Missbrauch unnötig breit wirkt.

Lab, Staging und Produktion sauber trennen

Eine besonders wichtige Grenze verläuft zwischen Test- und Produktionsumgebungen. Rollen, Tokens und Berechtigungen aus dem Lab dürfen nicht unkontrolliert in Produktion gelten. Ebenso sollten Runner, Playbooks und Secrets nicht identisch über alle Umgebungen hinweg verwendet werden.

• Getrennte Service-Accounts
• Getrennte Schlüssel und Tokens
• Getrennte Inventare und Runner
• Bewusste Freigabe für Produktionsdeployments

Diese Trennung ist ein elementarer Bestandteil sicherer Automatisierung.

Rollenmodell für SSH-, API- und Controller-Zugriffe

CLI- und SSH-basierte Rollen

In SSH-basierten Automatisierungsmodellen sollten Rollen möglichst klar definieren, ob ein Prozess nur lesend arbeitet oder Konfigurationen schreiben darf. Auf klassischen Geräten kann das mit lokaler Benutzerlogik oder besser mit AAA-Systemen wie TACACS+ oder RADIUS umgesetzt werden.

Beispielhafte AAA-Grundlage:

aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local

Zusätzlich sollten CLI-Rechte möglichst so modelliert werden, dass nicht jeder Service-Account denselben vollständigen Kommandozugriff erhält.

API- und Controller-Rollen

Bei APIs und Netzwerkcontrollern ist die Rollensteuerung oft feiner über Plattformrechte, Scopes oder Mandantenmodelle umsetzbar. Das ist ein Vorteil, wenn diese Möglichkeiten konsequent genutzt werden.

• Read-Only-API-Zugriff für Inventar
• Write-Scopes nur für benötigte Endpunkte
• Trennung von Controller-Administration und Geräteänderung
• Keine unnötigen Global-Admin-Tokens

Gerade Bearer Tokens oder API-Keys sollten immer an ein bewusst eingeschränktes Rollenmodell gekoppelt sein.

Rollen und Berechtigungen in CI/CD- und Automationsplattformen

Runner und Pipelines brauchen eigene Sicherheitsgrenzen

Mit zunehmender Reife verlagert sich Netzwerkautomation oft auf zentrale Runner, Pipelines oder Plattformen. Dann reicht es nicht mehr, nur Gerätezugriffe sauber zu modellieren. Auch die Plattform selbst braucht Rollen und Berechtigungsgrenzen.

• Wer darf Jobs definieren?
• Wer darf Jobs starten?
• Wer darf produktive Deployments freigeben?
• Wer darf Secrets oder Runner konfigurieren?

Wenn diese Ebenen nicht getrennt werden, kann ein Benutzer mit zu vielen Plattformrechten indirekt mehr Schaden anrichten als über direkte Gerätezugriffe.

Deployment-Rechte von Entwicklungsrechten trennen

Ein weiteres wichtiges Prinzip ist die Trennung zwischen Entwicklung und produktiver Ausführung. Wer Skripte oder Playbooks schreibt, sollte nicht automatisch ungeprüft produktive Läufe starten können. Diese Trennung schützt vor logischen Fehlern ebenso wie vor Missbrauch.

• Code schreiben und testen
• Review und Freigabe
• Produktive Ausführung

Dieses Modell ist aus der Softwarewelt bekannt und in der Netzwerkautomation genauso wertvoll.

Auditierbarkeit und Verantwortlichkeit

Rollen helfen bei klarer Zuordnung

Ein sauberes Rollenmodell verbessert nicht nur Sicherheit, sondern auch Verantwortlichkeit. Wenn Aktionen einer klar definierten Rolle, einem Service-Account oder einem Benutzer zugeordnet werden können, wird die Analyse von Vorfällen und Fehlern deutlich einfacher.

• Welche Rolle hat die Änderung ausgelöst?
• War es ein Read-Only-Job oder ein Write-Prozess?
• Wurde die Aktion manuell oder automatisiert gestartet?
• War die Ausführung freigegeben?

Ohne solche Trennung verschwimmen Verantwortlichkeiten schnell.

Zentrale Protokollierung ist unverzichtbar

Rollen und Berechtigungen wirken besonders stark, wenn ihre Nutzung protokolliert wird. Logs, AAA-Aufzeichnungen, Controller-Events oder Pipeline-Historien schaffen die nötige Transparenz.

Typische Logging-Grundlage:

logging host 10.20.20.20
logging host 10.20.20.21
service timestamps log datetime msec

Damit wird nicht nur sichtbar, dass ein Zugang existiert, sondern auch, wie er konkret genutzt wurde.

Typische Fehler bei Rollen und Berechtigungen

Grobe Rollen ohne fachliche Differenzierung

Viele Umgebungen kennen nur „Admin“ und „Read-Only“. Für automatisierte Prozesse ist das meist zu grob. Es fehlen dann Zwischenstufen für definierte Standardänderungen, Freigaben oder plattformspezifische Aufgaben.

Gemeinsame Konten für viele Prozesse

Wenn Inventarisierung, Backups, Compliance und produktive Changes alle mit demselben Service-Account laufen, ist das aus Sicherheits- und Audit-Sicht problematisch. Solche Modelle sind bequem, aber riskant.

Keine Trennung zwischen Geräte- und Plattformrechten

Ein weiterer Fehler ist die Vermischung von Rechten auf der Automatisierungsplattform mit Rechten auf Netzwerkgeräten. Wer etwa Runner verwalten kann, sollte nicht automatisch auch Geräteänderungen ausführen dürfen.

Rollen werden nie überprüft

Auch ein gutes Rollenmodell verliert an Qualität, wenn es über Jahre nicht überprüft wird. Teams ändern sich, Umgebungen wachsen, Tools kommen hinzu. Rollen und Berechtigungen müssen deshalb regelmäßig bewertet und angepasst werden.

Best Practices für Rollen und Berechtigungen in automatisierten Umgebungen

• Rollen immer an realen Aufgaben und nicht nur an groben Benutzerkategorien ausrichten.
• Read-Only-, Write-, Review- und Plattformrollen klar voneinander trennen.
• Service-Accounts nur mit den minimal notwendigen Rechten ausstatten.
• Zugriffe zusätzlich nach Gerätetyp, Standort und Umgebung segmentieren.
• Lab, Staging und Produktion mit getrennten Rollen, Tokens und Konten betreiben.
• Gerätezugriffe und Plattformadministration nicht in derselben Rolle bündeln.
• Produktive Deployments von Entwicklung und Review organisatorisch trennen.
• AAA, Controller-Rollen und API-Scopes konsequent für Least Privilege nutzen.
• Alle Rollen und deren Nutzung zentral protokollieren und auditierbar machen.
• Rollenmodelle regelmäßig überprüfen und an neue Betriebsrealitäten anpassen.

Damit wird deutlich, dass Rollen und Berechtigungen in automatisierten Umgebungen weit mehr sind als ein administratives Detail. Sie bilden das eigentliche Kontrollgerüst dafür, wie Automatisierung sicher, nachvollziehbar und verantwortbar im Netzwerkbetrieb eingesetzt werden kann. Erst wenn Aufgaben, Zugriffe und Verantwortlichkeiten sauber getrennt sind, entsteht eine Automatisierungsarchitektur, die nicht nur effizient arbeitet, sondern auch langfristig beherrschbar bleibt.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.