Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber völlig verschieden voneinander. Authentisierung und Authentifizierung wird verwendet, um die Identität einer Person zu bestätigen. Die Autorisierung ist eine Möglichkeit, den Zugriff auf eine bestimmte Ressource zuzulassen.

Autor Dr. Ewan Fleischmann 27.09.2022

Wesentliches in Kürze

  • Authentisierung bezeichnet den Nachweis einer Identität, beispielsweise durch Vorlage eines Personalausweises oder die Eingabe von Benutzernamen und Passwort.
  • Authentifizierung bezeichnet die Prüfung des vorgelegten Identitätsbeweises, beispielsweise durch Sichtung des Personalausweises oder Prüfung des Benutzernamens/Passworts.
  • Unter Autorisierung versteht man – nachdem die Authentifizierung abgeschlossen ist - die Zuweisung bestimmter Rechte wie beispielsweise Leserechte auf einem Netzwerklaufwerk.
Beitrag teilen

Lesezeit 3 Minuten

1. Überblick: Authentisierung vs. Authentifizierung vs. Autorisierung

Authentisierung, Authentifizierung und Autorisierung sind drei Fachbegriffe, die in der IT-Sicherheit häufig genutzt werden.

Insbesondere die Begriffe Authentisierung und Authentifizierung werden oft synonym verwendet. Hintergrund dafür mag auch sein, dass beide Begriffe die gleiche englischsprachige Übersetzung haben: "authentication".

Um zuverlässig bestimmte Zugriffsrechte auf Daten und Informationen zuweisen zu können (autorisieren) müssen wir genau wissen, mit wem wir es zu tun haben. Persönliches Vorsprechen ist dabei nicht immer realistisch. Wir müssen uns also gegenüber einem Dritten digital ausweisen können (authentisieren). Diese Drittpartei hat dann die Möglichkeit unseren Identitätsnachweis zu prüfen (authentifizieren) und damit die Freigabe zur Erteilung weiterer Rechte (Autorisierung) zu erteilen.

2. Authentisierung: Benutzeridentität nachweisen

Es drei grundsätzlich drei verschiedene Arten die eine digitale Identität nachzuweisen.

  • Wissen: Der Benutzer weiß etwas, beispielsweise eine PIN oder ein Passwort.
  • Besitz: Der Benutzer hat etwas, beispielsweise einen OTP-Generator, eine EC-Karte oder einen Schlüssel.
  • Benutzer: Die Gegenwart des Benutzers selbst wird durch ein biometrisches Merkmal, beispielsweise ein Fingerabdruck, nachgewiesen.

Ein Identitätsnachweises über eine Art, wie beispielsweise eine E-Mail-Adresse verbunden mit einem Passwort oder einer PIN, wird als Ein-Faktor-Authentisierung (Single-Factor-Authentication, SFA) bezeichnet.

Allerdings kann das für einen solchen Nachweis notwendige Password bzw. PIN leicht gestohlen werden und zum Identitätsdiebstahl missbraucht werden. Daher haben Unternehmen und öffentliche Organisationen ihre Identitätsprüfung verstärkt indem eine zweite Art zum Nachweis der Benutzeridentität hinzugefügt wird.

Beispielsweise wird nach Eingabe von E-Mail und Passwort noch der Nachweis des Besitzes der hinterlegten SIM-Karte über Zusendung einer SMS-TAN erwartet. Dies wird dann als Zwei-Faktoren-Authentifizierung (2FA) bezeichnet.

Die Nutzer müssen insofern während der Authentisierung eine aktive Rolle spielen, um zu beweisen, dass sie die sind, die sie vorgeben zu sein.

Zum Vergleich: In der analogen Welt geschieht die Authentisierung in der Regel durch die persönliche Vorlage des Personalausweises. Dies ist so eine Art 2FA-Verfahren, da der Besitz eines nicht gefälschten Personalausweises mit dem persönlichen Vorsprechen des Abgleich des biometrischen Merkmals (Bild) kombiniert werden.

Übertragung der Authentisierungsinformationen zur prüfenden Stelle

In der digitalen Welt müssen die zur Verfügung gestellten Identitätsinformationen über Netzwerke an eine zu prüfende Stelle übertragen werden. Können diese Daten abgehört werden ist es möglich sie zur Vortäuschung einer falschen Identität zu missbrauchen.

Abgesehen von der Sicherstellung einer verschlüsselten Verbindung gibt es zwei grundsätzliche Herangehensweisen, um das zu verhindern:

  1. Einmalpasswörter: Es werden nur Einmalpasswörter wie eine SMS-TAN übertragen. Ein Angreifer könnte selbst, falls die Verbindung abgehört werden kann diese nicht mehr nutzen.
  2. Challenge-Response-Verfahren: Dabei werden die Informationen nicht direkt übertragen, sondern nur daraus abgeleitete Daten, die bei einem Abhörvorgang wertlos sind.

Starke Authentisierung

Die Europäische Zentralbank (EZB) hat die starke Authentisierung definiert als "ein Verfahren, das auf zwei oder mehr der drei Authentisierungsfaktoren beruht". Die verwendeten Faktoren müssen voneinander unabhängig sein und mindestens ein Faktor muss "nicht wiederverwendbar und nicht replizierbar" sein, außer im Falle eines Inhärenzfaktors, und er darf auch nicht aus dem Internet gestohlen werden können.

3. Authentifizierung: Benutzeridentität prüfen und bestätigen.

Auf die Authentisierung folgt die Authentifizierung: In diesem Schritt wird der zur Verfügung gestellt Identitätsnachweis durch eine Prüfstelle kontrolliert. Aus Benutzersicht ist dieser Vorgang passiv.

Diese Prüfstellen, in der Regel ein IT-Systeme oder Server, muss folglich über einen gewissen Schatz an Informationen verfügen damit Identitätsnachweis verifiziert oder falsifiziert werden kann.

Der Vollständigkeit halber sei darauf hingewiesen, dass eine Datenbank mit Klartextpasswörtern zur Prüfung des Passwortes auf gar keinen Fall zu diesem Schatz an Informationen zählen sollte.

Authentifizierung as-a-service

Es gibt eine große Menge von Authentifizierungsdiensten im Software-as-a-Service Cloud-Liefermodell. Diese Dienste können von Unternehmen genutzt werden um eine Single-Sign-On Funktionalität für On-Prem und Cloud-Dienste zur Verfügung zu stellen.

4. Autorisierung: Gewährung von Zugriffs- oder Zutrittsrechten

Nach erfolgreicher Authentifizierung ist die Identität des Benutzers sichergestellt. Der Benutzer ist nun berechtigt, auf bestimmte Informationen zuzugreifen oder erhält bestimmte Zugriffsrechte.

Beispielsweise erhalten Projektmitarbeiter Zugriff auf vertrauliche Projektinformationen des eigenen Projektes, aber nicht auf die anderen Projekte des Unternehmens oder der öffentlichen Organisation. Die häufigsten eingesetzten Autorisierungstechniken sind dabei RBAC und DAC.

Rollenbasierte Zugriffssteuerung (RBAC)

In einem IT-System ist eine Menge an Rollen hinterlegt. Beispiele dafür können sein Projektmitarbeiter Projekt A, Projektmitarbeiter Projekt B, Systemadministrator, usw. Jeder Benutzer erhält eine Menge von Rollen zugewiesen. Dies sollte auf Grundlage des "Need-to-Know"-Prinzips erfolgen: Benutzer erhalten nur Zugang zu den Informationen, die für die Arbeit aktuell benötigt werden.

Discretionary Access Control (DAC)

Im Gegensatz zum rollenbasierten Konzept RBAC ist die DAC benutzerzentriert. Zugriffsrechte werden direkt für jeden Benutzer festgelegt und nicht über Rollen organisiert und verwaltet.

Inhalt
Dr. Ewan Fleischmann

Dr. Ewan Fleischmann

Gründer Redlings GmbH

Auch interessant

Card Image

Was ist Datensicherheit? Standards & Technologien

Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen...

Weiterlesen...
Card Image

Angriffsvektor und Angriffsfläche

Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören ...,

Weiterlesen...
Card Image

Buffer-Overflow

Ein Buffer-Overflow ist ein Programmierfehler, die von Hackern ausgenutzt werden kann, um sich unbefugten Zugang zu IT-Systemen zu verschaffen. Er ist...

Weiterlesen...
Card Image

IT-Sicherheitskonzept in 8 Schritten

Unter einem IT-Sicherheitskonzept versteht man Richtlinien welche die IT-Sicherheit im Unternehmen gewährleisten sollen. Es geht darum, die...

Weiterlesen...
Card Image

Proxy Server

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien...

Weiterlesen...
Card Image

Was ist MITRE ATT&CK?

Das MITRE ATT&CK Framework ist eine laufend aktualisierte Wissensdatenbank, bestehend aus Taktiken und Techniken von Cyber-Angreifern über den...

Weiterlesen...
Card Image

Endpoint Security

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien...

Weiterlesen...
Card Image

Need-to-Know-Prinzip

Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel für vertrauliche Informationen. Der Zugriff sollte nur dann für einen Benutzer freigegeben...

Weiterlesen...
Card Image

Top 10 Vulnerability Scanner für 2024

Vulnerability Scanner sind automatisierte Tools, mit denen Unternehmen prüfen können, ob ihre Netzwerke, Systeme und Anwendungen Sicherheitslücken...

Weiterlesen...
Card Image

NTLM-Authentifizierung

In diesem Artikel erklären wir, was die NTLM-Authentifizierung ist, wie sie funktioniert und wie sie von Angreifern ausgenutzt werden kann.

Weiterlesen...
Card Image

Informations­sicherheits­managementsystem (ISMS)

Ein Information Security Management System (ISMS) definiert Methoden, um die Informationssicherheit in einer Organisation zu gewährleisten.

Weiterlesen...
Card Image

CVSS (Common Vulnerability Scoring System)

Der CVSS Score bietet eine numerische Darstellung (0,0 bis 10,0) des Schweregrads einer Sicherheitslücke in der IT. Wir erklären wie das Common...

Weiterlesen...
Card Image

Schutzziele der Informationssicherheit

Die Informationssicherheit soll die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen...

Weiterlesen...
Card Image

CIS Controls kurz erklärt

Die CIS Critical Security Controls (CIS Controls) sind eine priorisierte Liste von Schutzmaßnahmen um die häufigsten Cyberangriffe auf IT-Systeme...

Weiterlesen...
Card Image

Karriereguide Pentester

Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den...

Weiterlesen...
Card Image

Firewall-Grundlagen & Firewall-Architektur

Firewalls spielen eine entscheidende Rolle beim Schutz von Unternehmensnetzen. Malware, Cyberangriffe und Datenschutzverletzungen können mit dem...

Weiterlesen...

Möchten Sie Ihre Webanwendung und Ihr internes Netzwerk auf Schwachstellen in der Authentifizierung und Autorisierung prüfen?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.

Privacy Policy

Sie haben unsere Regelungen zum Datenschtz gelesen und anerkannt.

NOTWENDIG
YouTube

Wir verwenden den Dienst YouTube, um das Streaming von Videoinhalten auf dieser Website zu ermöglichen.

Datenschutz