Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.
Home / Identity and Access Management 101 / Authentifizierung vs. Autorisierung

Authentifizierung vs. Autorisierung

Authentifizierung und Autorisierung sind zwei wichtige Prozesse der Informationssicherheit, die Administratoren zum Schutz von Systemen und Informationen einsetzen. Die Authentifizierung verifiziert die Identität eines Benutzers oder Services, und die Autorisierung bestimmt die Zugriffsrechte. Obwohl die beiden Begriffe ähnlich klingen, spielen sie unterschiedliche, aber gleichermaßen wichtige Rollen bei der Absicherung von Anwendungen und Daten. Es ist wichtig, den Unterschied zu verstehen. Gemeinsam bestimmen sie die Sicherheit eines Systems. Ihre Lösung ist nur dann sicher, wenn sowohl Authentifizierung als auch Autorisierung richtig konfiguriert sind.

Was ist Authentifizierung (AuthN)?

Authentifizierung (AuthN) ist ein Prozess, der die Identität einer Person (oder auch einer Website, Anwendung o. ä.) verifiziert. Technologiesysteme verwenden in der Regel eine Form der Authentifizierung, um den Zugriff auf eine Anwendung oder ihre Daten zu sichern. Wenn Sie zum Beispiel auf eine Website oder einen Online-Service zugreifen möchten, müssen Sie in der Regel Ihren Benutzernamen und Ihr Kennwort eingeben. Die von Ihnen eingegebenen Daten werden mit einem Datensatz in einer Datenbank verglichen. Wenn die Informationen übereinstimmen, geht das System davon aus, dass Sie ein gültiger Benutzer sind, und gewährt Ihnen Zugriff. Die Systemauthentifizierung in diesem Beispiel geht davon aus, dass nur Sie den richtigen Benutzernamen und das richtige Kennwort kennen. Es authentifiziert Sie also basierend auf Informationen, die nur Sie kennen.

Was ist der Zweck der Authentifizierung?

Der Zweck der Authentifizierung besteht darin, die Identität einer Person (oder auch einer Website, Anwendung o. ä.) zu überprüfen. Es gibt viele Formen der Authentifizierung. In der Kunstwelt gibt es zum Beispiel Verfahren und Institutionen, die bestätigen, dass ein Gemälde oder eine Skulptur das Werk eines bestimmten Künstlers ist. Ebenso verwenden Regierungen verschiedene Authentifizierungsverfahren, um ihre Zahlungsmittel vor Falschgeld zu schützen. Normalerweise schützt die Authentifizierung Wertgegenstände, und im Informationszeitalter schützt sie Systeme und Daten.

Was ist Identitätsauthentifizierung?

Bei der Identitätsauthentifizierung wird die Identität eines Benutzers oder eines Services überprüft. Auf Grundlage dieser Informationen gewährt ein System dem Benutzer dann den entsprechenden Zugriff. Nehmen wir zum Beispiel an, dass zwei Personen in einem Café arbeiten, Lucia und Rahul. Lucia ist die Managerin des Cafés, während Rahul als Barista bearbeitet. Das Café verwendet ein POS-System (Point of Sale), über das Bedienungspersonal und Baristas Bestellungen für die Zubereitung aufgeben können. In diesem Beispiel würde die Kasse die Identität von Lucia oder Rahul überprüfen, bevor sie ihnen den Zugriff auf das System erlaubt. Sie werden zum Beispiel nach einem Benutzernamen und einem Kennwort gefragt oder müssen ihren Daumen auf einem Fingerabdrucklesegerät scannen. Da das Café den Zugriff auf sein POS sichern muss, müssen die Mitarbeiter, die das System nutzen, ihre Identität über einen Authentifizierungsprozess überprüfen.

Gängige Arten der Authentifizierung

Systeme können verschiedene Mechanismen zur Authentifizierung eines Benutzers verwenden. Um Ihre Identität zu überprüfen, verwenden Authentifizierungsverfahren in der Regel etwas, was Sie wissen, etwas, was Sie haben, oder etwas, was Sie sind.

Kennwörter und Sicherheitsfragen sind zwei Authentifizierungsfaktoren, die unter die Kategorie „Etwas, was Sie wissen“ fallen. Da nur Sie Ihr Kennwort oder die Antwort auf eine bestimmte Reihe von Sicherheitsfragen kennen, gehen die Systeme davon aus, dass Sie Zugriff erhalten.

Eine andere gängige Art von Authentifizierungsfaktor verwendet etwas, was Sie besitzen. Physische Geräte wie USB-Sicherheits-Token und Mobiltelefone fallen unter diese Kategorie. Wenn Sie beispielsweise auf ein System zugreifen und es Ihnen eine Einmal-Pin per SMS oder über eine App sendet, kann es Ihre Identität verifizieren, da es sich um Ihr Gerät handelt.

Die letzte Art von Authentifizierungsfaktor verwendet etwas, was Sie sind. Biometrische Authentifizierungsmechanismen fallen unter diese Kategorie. Da individuelle physische Merkmale wie Fingerabdrücke einzigartig sind, ist die Verifizierung von Personen anhand dieser Faktoren ein sicherer Authentifizierungsmechanismus.

Was ist Autorisierung (AuthZ)?

Die Autorisierung ist der Sicherheitsprozess, der die Zugriffsstufe eines Benutzers oder Services festlegt. In der Technik verwenden wir die Autorisierung, um Benutzern oder Services die Erlaubnis zu geben, auf bestimmte Daten zuzugreifen oder eine bestimmte Aktion durchzuführen. Wenn wir noch einmal auf unser Beispiel mit dem Café zurückkommen, haben Rahul und Lucia dort unterschiedliche Rollen. Da Rahul Barista ist, kann er nur Bestellungen aufgeben und einsehen. Lucia hingegen hat in ihrer Rolle als Managerin möglicherweise auch Zugriff auf die täglichen Umsätze. Da Rahul und Lucia unterschiedliche Rollen im Café haben, würde das System ihre verifizierte Identität verwenden, um jedem Benutzer individuelle Berechtigungen zu erteilen. Es ist wichtig, dass Sie hier den Unterschied zwischen Authentifizierung und Autorisierung beachten. Die Authentifizierung verifiziert die Benutzerin (Lucia), bevor sie Zugriff erhält, und die Autorisierung legt fest, was sie tun kann, nachdem das System ihr Zugriff gewährt hat (Umsatzinformationen anzeigen).

Gängige Arten der Autorisierung

Autorisierungssysteme gibt es in einer typischen Technologieumgebung in vielen Formen. Zugriffskontrolllisten (ACLs) bestimmen beispielsweise, welche Benutzer oder Services auf eine bestimmte digitale Umgebung zugreifen können. Sie erreichen diese Zugriffskontrolle, indem sie Regeln zum Zulassen oder Verweigern auf Grundlage der Autorisierungsstufe des Benutzers durchsetzen. So gibt es in jedem System normalerweise allgemeine Benutzer und Superuser oder Administratoren. Wenn ein Standardbenutzer Änderungen vornehmen möchte, die seine Sicherheit betreffen, kann eine ACL den Zugriff verweigern. Administratoren dagegen haben die Autorisierung, Sicherheitsänderungen vorzunehmen, sodass die ACL ihnen dies erlaubt.

Eine weitere gängige Art der Autorisierung ist der Zugriff auf Daten. In jeder Unternehmensumgebung gibt es in der Regel Daten mit unterschiedlichen Sensibilitätsgraden. Beispielsweise gibt es öffentliche Daten, die auf der Website des Unternehmens zu finden sind, interne Daten, die nur für Mitarbeiter zugänglich sind, und vertrauliche Daten, auf die nur wenige Personen Zugriff haben. In diesem Beispiel bestimmt die Autorisierung, welche Benutzer auf die verschiedenen Informationstypen zugreifen können.

Der Unterschied zwischen Authentifizierung und Autorisierung

Wie bereits erwähnt, mögen Authentifizierung und Autorisierung ähnlich klingen, aber beide spielen eine unterschiedliche Rolle bei der Absicherung von Systemen und Daten. Leider werden beide Begriffe oft synonym verwendet, da sie sich beide auf den Systemzugriff beziehen. Es handelt sich jedoch um unterschiedliche Prozesse. Einfach ausgedrückt, prüft der eine die Identität eines Benutzers oder Services, bevor er ihm Zugriff gewährt, während der andere bestimmt, was er tun kann, sobald er Zugriff hat.

Die Unterschiede zwischen den beiden Begriffen lassen sich am besten anhand eines einfachen Beispiels verdeutlichen. Nehmen wir an, Sie beschließen, eine Freundin zu besuchen. Bei Ihrer Ankunft klingeln Sie an der Tür und Ihre Freundin öffnet. Sie erkennt (Authentifizierung) und begrüßt Sie. Da Ihre Freundin Sie authentifiziert hat, ist sie nun bereit, Sie in ihr Haus zu lassen. Je nach Ihrer Beziehung zueinander gibt es jedoch bestimmte Dinge, die Sie tun können, und andere, die Sie nicht tun können (Autorisierung). Sie dürfen zum Beispiel den Küchenbereich betreten, aber nicht in ihr privates Büro gehen. Mit anderen Worten: Sie haben die Autorisierung, die Küche zu betreten, aber der Zugang zu ihrem privaten Büro ist verboten.

Was sind die Gemeinsamkeiten zwischen Autorisierung und Authentifizierung?

Authentifizierung und Autorisierung sind insofern ähnlich, als sie zwei Teile des zugrunde liegenden Prozesses sind, der den Zugriff ermöglicht. Daher werden die beiden Begriffe in der Informationssicherheit oft verwechselt, da im Englischen für beide die gleiche Abkürzung „auth“ verwendet wird. Authentifizierung und Autorisierung ähneln sich auch in der Art und Weise, wie sie Identitäten nutzen. Authentifizierung verifiziert eine Identität, bevor Zugriff gewährt wird. Autorisierung dagegen nutzt diese verifizierte Identität zur Kontrolle des Zugriffs.

Authentifizierung und Autorisierung im Cloud Computing

Sicherheit ist eine wichtige Komponente jeder Cloud-Computing-Lösung. Da diese Services ein gemeinsames Zugriffsmodell bieten, bei dem alles auf der gleichen Plattform ausgeführt wird, müssen sie die Systeme und Daten unterschiedlicher Kunden trennen und schützen. Cloud-Serviceanbieter verwenden Authentifizierung und Autorisierung, um diese Sicherheitsziele zu erreichen. In der Tat könnten Cloud-Computing-Plattformen ohne Authentifizierung und Autorisierung keine Skaleneffekte durch ihr gemeinsames Ressourcenmodell erzielen.

Wenn ein Benutzer beispielsweise versucht, auf einen bestimmten Cloud-Service zuzugreifen, wird das System ihn zu einer Form der Authentifizierung auffordern. Der Benutzer kann etwa aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben oder einen anderen Faktor zur Identitätsüberprüfung zu verwenden, z. B. das Akzeptieren einer Benachrichtigung in einer App. Sobald sich der Benutzer erfolgreich authentifiziert hat, verwendet die Cloud-Plattform die Autorisierung, um sicherzustellen, dass der Benutzer nur auf seine Systeme und Daten zugreifen kann. Ohne Authentifizierung und Autorisierung wäre die Trennung von Kundenumgebungen auf derselben Plattform nicht möglich.

Was kommt zuerst, Authentifizierung oder Autorisierung?

Authentifizierung und Autorisierung basieren beide auf der Identität. Da Sie einen Benutzer oder Service nicht autorisieren können, bevor Sie ihn identifiziert haben, geht die Authentifizierung immer der Autorisierung voraus. Zur Veranschaulichung dieses Punktes können wir wieder auf das Beispiel unseres Cafés zurückgreifen.

Wie bereits erwähnt, können Baristas nur Bestellungen erstellen und einsehen, während Manager auch auf die täglichen Verkaufsdaten zugreifen können. Wenn das Kassensystem nicht erkennen kann, welcher Benutzer auf das System zugreift, kann es nicht die richtige Zugriffsebene bereitstellen. Die Authentifizierung liefert die verifizierte Identität, die die Autorisierung für die Zugriffskontrolle benötigt. Wenn sich Rahul oder Lucia im System anmelden, weiß die Anwendung, wer sich angemeldet hat und welche Rolle sie der Identität zuweisen soll.

Zugriffskontrolle vs. Authentifizierung

Die Begriffe Zugriffskontrolle und Autorisierung werden oft synonym verwendet. Obwohl viele Autorisierungsrichtlinien Teil der Zugriffskontrolle sind, ist die Zugriffskontrolle eine Komponente der Autorisierung. Die Zugriffskontrolle verwendet den Autorisierungsprozess, um den Zugriff auf Systeme oder Daten entweder zu gewähren oder zu verweigern. Mit anderen Worten: Die Autorisierung legt fest, worauf ein Benutzer oder Service zugreifen darf. Die Zugriffskontrolle setzt diese Richtlinien durch.

Wenn wir Authentifizierung und Zugriffskontrolle vergleichen, gilt immer noch der Vergleich zwischen Authentifizierung und Autorisierung. Die Authentifizierung überprüft die Identität des Benutzers, und die Zugriffskontrolle verwendet diese Identität, um den Zugriff zu gewähren oder zu verweigern.

OneLogin kostenlos testen

Testen Sie das Access Management von OneLogin 30 Tage kostenlos und überzeugen Sie sich selbst.
Jetzt ausprobieren