Discretionary Access Control (DAC)

DAC gehört zu den klassischen Modellen der Zugriffskontrolle und entstand zunächst im weiteren Feld der Informations- und Systemsicherheit. Dort wurde das Modell genutzt, um zu beschreiben, wie Zugriffsrechte auf Dateien, Systeme oder andere geschützte Ressourcen durch verantwortliche Eigentümer vergeben werden können. Später wurden diese Grundgedanken konzeptionell auf physische Zutrittsumgebungen übertragen.

Das Modell ist im Eigentums- beziehungsweise Verantwortungsprinzip verankert. Danach besitzt die Person oder organisatorische Einheit, die für eine Ressource verantwortlich ist, auch die Befugnis, über Zugriffsberechtigungen für andere zu entscheiden. Dieses Prinzip ist für das Facility Management besonders anschlussfähig, weil Räume und Flächen in der Praxis häufig konkreten Verantwortungsbereichen zugeordnet sind.

Die Grundprinzipien von DAC lassen sich vom digitalen auf den physischen Kontext übertragen. An die Stelle digitaler Ressourcen treten Räume, Zonen oder funktionale Bereiche. An die Stelle des Daten- oder Systemeigentümers tritt der Raumverantwortliche, Bereichsleiter, Laborverantwortliche oder Verwahrer. Damit wird aus einem ursprünglich informationsbezogenen Modell ein strukturierender Ansatz für physische Zutrittsentscheidungen.

DAC bleibt in Organisationen relevant, in denen lokale Entscheidungskompetenz, flexible Delegation und nutzerspezifische Steuerung erforderlich sind. Gerade in komplexen Gebäuden mit unterschiedlichen Nutzungsarten ist ein Modell vorteilhaft, das Verantwortlichkeiten nahe an den realen Betriebsstrukturen abbildet.

Das erste Grundprinzip von DAC ist die Zuordnung eines klar definierten Eigentümers oder Verantwortlichen zu einer geschützten Ressource. Im Facility Management kann dies der Abteilungsleiter, der Raumnutzer, der Laborleiter oder der Flächenmanager sein. Ohne eine solche Zuordnung fehlt die Grundlage für diskretionäre Zugriffsentscheidungen.

Ein zentrales Merkmal von DAC ist die Möglichkeit des Verantwortlichen, zu entscheiden, wer eine geschützte Fläche betreten oder nutzen darf, und diese Berechtigung bei Bedarf wieder zu entziehen. Die Steuerung der Zutrittsrechte ist damit nicht nur initial, sondern auch fortlaufend anpassbar.

DAC arbeitet häufig mit direkten Berechtigungszuweisungen an einzelne Personen oder ausgewählte Gruppen. Die Berechtigungen ergeben sich nicht allein aus allgemein gültigen Systemkategorien, sondern aus konkreten Entscheidungen des verantwortlichen Eigentümers oder Verwahrers.

In vielen DAC-Strukturen können Rechte weitergegeben oder durch lokal verwaltete Entscheidungen an andere Nutzer übertragen werden. Diese Delegation kann unmittelbar oder über definierte Freigabeprozesse erfolgen und erhöht die operative Flexibilität.

DAC ermöglicht differenzierte und kontextbezogene Berechtigungsentscheidungen. Dies ist besonders nützlich, wenn Zutrittsanforderungen je nach Funktion, Aufgabe, Zusammenarbeit oder kurzfristigem Bedarf variieren.

Subjekte sind die Personen, Identitäten oder Berechtigungsnachweise, die Zugriff anfordern. In Einrichtungen können dies Mitarbeitende, Fremdfirmen, Fachpersonal, Forschende, Besucher mit Sonderfreigabe oder temporäre Nutzer sein. Das Subjekt ist damit die aktive Einheit im Zugriffsprozess.

Objekte sind die geschützten Räume oder kontrollierten Ressourcen, deren Zugang geregelt wird. Dazu zählen Büros, Archive, Technikräume, Lagerflächen, abgeschlossene Zonen, Laborräume oder andere geschützte Bereiche. Das Objekt ist die Ressource, auf die sich die Berechtigung bezieht.

Der Eigentümer oder Controller ist die Stelle, die über diskretionäre Entscheidungsbefugnis bezüglich des Objekts verfügt. Diese Rolle ist im DAC zentral, weil sie bestimmt, wer Berechtigungen festlegen, ändern oder entziehen darf. Im Gebäudebetrieb kann dies eine Führungskraft, ein Bereichsverantwortlicher oder ein fachlich zuständiger Verwahrer sein.

Berechtigungen definieren die zulässige Interaktion zwischen Subjekt und Objekt. Im physischen Zutrittskontext bedeutet dies typischerweise das Recht zum Betreten, einen zeitlich begrenzten Zugang oder eine eingeschränkte Nutzungsfreigabe für einen kontrollierten Bereich.

DAC ist um die Beziehung zwischen Eigentümer, Subjekt und Objekt aufgebaut. Die Zugriffsentscheidung hängt davon ab, ob der Eigentümer dem Subjekt eine Berechtigung für das betreffende Objekt erteilt hat. Damit ist die Entscheidung nicht abstrakt, sondern an eine konkrete Verantwortungsbeziehung gekoppelt.

Ein Nutzer präsentiert einen Ausweis, ein Medium oder eine digitale Identität. Das System identifiziert den Nutzer und prüft anschließend, ob eine Berechtigung vorliegt, die unter der Autorität des zuständigen Eigentümers oder Verwahrers vergeben wurde. Wird eine gültige Berechtigung erkannt, wird der Zugang freigegeben; andernfalls wird er verweigert.

Im DAC ist die Entscheidungsbefugnis teilweise dezentralisiert. Eine lokale Autorität kann innerhalb ihres Verantwortungsbereichs festlegen, welche Personen bestimmte Räume oder Zonen betreten dürfen. Dadurch wird der zentrale Systembetrieb entlastet, ohne dass die Kontrolle über geschützte Bereiche verloren geht.

DAC führt häufig zu individuellen Berechtigungsstrukturen, weil der Zugang auf direkten Entscheidungen basiert und nicht ausschließlich auf allgemeinen Benutzerkategorien. Zwei Nutzer mit ähnlicher Funktion können deshalb unterschiedliche Zugangsrechte besitzen, wenn dies aus Sicht des Raumverantwortlichen erforderlich ist.

DAC erlaubt die fortlaufende Anpassung von Berechtigungen an veränderte Anforderungen. Wenn sich Projekte, Personalbesetzungen oder Nutzungszwecke ändern, können Zugriffsrechte durch den Verantwortlichen entsprechend angepasst werden. Das macht das Modell besonders geeignet für dynamische Betriebsumgebungen.

DAC passt gut zu Umgebungen, in denen Abteilungen Verantwortung über eigene Büros, Archive, Besprechungsräume oder Nebenflächen ausüben. In solchen Fällen kann die fachlich zuständige Organisationseinheit auch über den Zugang zu diesen Flächen entscheiden.

In bestimmten Konstellationen kann ein Raumnutzer oder benannter Verantwortlicher die Befugnis haben, Kolleginnen und Kollegen, Assistenzpersonal oder temporären Nutzern Zugang zu gewähren. Dies ist vor allem dort sinnvoll, wo die tatsächliche Nutzung eng an eine konkrete Person oder Funktion gebunden ist.

DAC ist besonders relevant, wenn Zugangsrechte die Zugehörigkeit zu einem Projekt oder Arbeitszusammenhang abbilden sollen. In solchen Fällen entscheidet die Projektleitung oder ein lokaler Manager, wer aufgrund der Mitarbeit am Projekt Zugang zu den zugehörigen Flächen erhält.

Werkstätten, Technikräume, Probenlager, Geräteraume oder kontrollierte Forschungsflächen können nach DAC organisiert sein, wenn der fachlich verantwortliche Spezialist oder Manager entscheidet, wer diese Bereiche betreten darf. Dadurch lässt sich Fachverantwortung direkt mit Zutrittssteuerung verknüpfen.

DAC unterscheidet sich auf konzeptioneller Ebene von anderen Zugriffsmodellen dadurch, dass die Zugriffsentscheidung an Eigentümerschaft, lokale Verantwortung und diskretionäre Freigabe gebunden ist. Während andere Modelle Berechtigungen stärker an formale Rollen, zentrale Regeln, Sicherheitsklassifikationen oder systemweit einheitliche Entscheidungslogiken knüpfen, setzt DAC auf die Befugnis einer konkret verantwortlichen Stelle, über Zugangsrechte zu entscheiden. Dadurch entsteht eine andere Verteilung von Autorität, eine andere Struktur der Berechtigungsvergabe und eine andere Logik der Steuerung geschützter Ressourcen.

Das Verständnis dieser Unterschiede ist wichtig, um zu erkennen, wann DAC konzeptionell geeignet ist und wodurch es sich als Zugriffsmodell auszeichnet. Für das Facility Management ist dies besonders relevant, weil die Wahl des Modells beeinflusst, ob Zutrittsentscheidungen zentral standardisiert oder lokal verantwortungsbezogen organisiert werden.

DAC bedeutet, dass die Verantwortung für Zugriffsentscheidungen nicht ausschließlich bei der zentralen ACS-Administration liegt. Vielmehr kann diese Verantwortung auf lokale Raumverantwortliche, Fachbereiche oder benannte Controller verteilt werden.

Das Modell verknüpft die operative oder organisatorische Verantwortung für eine Fläche direkt mit der Befugnis, Nutzerzugänge zu bestimmen. Dadurch wird die Zutrittslogik eng an reale Zuständigkeiten im Gebäudebetrieb gekoppelt.

Auch ohne eine vertiefte Betrachtung von Compliance oder operativen Prozessen zeigt DAC, dass sich durch dieses Modell verändert, wer an Zugriffsentscheidungen beteiligt ist und wo Entscheidungshoheit organisatorisch verortet wird. Das betrifft sowohl Freigaben als auch Änderungs- und Entzugsentscheidungen.

DAC setzt voraus, dass eindeutig festgelegt ist, wer für welchen geschützten Raum oder welches Objekt zuständig ist. Ohne eine anerkannte Zuordnung von Verantwortung kann eine diskretionäre Berechtigungsentscheidung weder fachlich noch organisatorisch sauber verankert werden.