Ein Referenzmonitor (engl. reference monitor) ist in der IT-Sicherheit eine logische Einheit (ein abstraktes Modell, oder auch eine konkrete Implementierung) die für die Kontrolle und Durchsetzung von Zugriffsrechten zuständig ist. Das heißt, der Referenzmonitor entscheidet für jeden Zugriff eines Subjektes (also eines Akteurs wie Benutzers oder Prozesses) auf ein Objekt (Daten beliebiger Art) anhand von Regeln, ob der Zugriff erlaubt wird. Dabei sind folgende Eigenschaften entscheidend:
- Subjekte können nicht direkt, sondern nur durch den Referenzmonitor auf Objekte zugreifen.
- Der Referenzmonitor selbst muss vor Manipulation geschützt sein.
- Sekundärdaten (insbesondere die Definition der Regeln, Logdateien etc.) müssen vor Manipulation geschützt sein.
- Der Referenzmonitor muss eine wohldefinierte Schnittstelle besitzen.
- Das Verhalten des Referenzmonitors muss eindeutig spezifiziert sein und die Regeln korrekt umsetzen.
- Die Implementierung des Referenzmonitors muss korrekt sein. Evtl. wird dafür eine formale Verifikation gefordert.
Diese Eigenschaften des Referenzmonitors eines Sicherheitssystems sind wichtige Kriterien für die Beurteilung der Sicherheit von Computersystemen. Sie sind Voraussetzung für eine Zertifizierung für die höheren Stufen der gängigen Sicherheitszertifikate wie TCSEC und ITSEC.