Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Authentisierung, Authentifizierung und Autorisierung: Die Unterschiede einfach erklärt
Authentisierung, Authentifizierung und Autorisierung sind drei eng verwandte Begriffe in der IT-Sicherheit. Leider werden sie oft falsch verstanden. Wir beschreiben die Unterschiede zwischen diesen Begriffen und illustrieren sie mit praxisnahen Beispielen.
In kaum einem Bereich der IT-Sicherheit gibt es so viele Verwechslungen und Missverständnisse wie bei den Begriffen Authentisierung, Authentifizierung und Autorisierung. Selbst erfahrene Sicherheitsexperten bringen sie immer wieder durcheinander. Deshalb erklären wir hier die wesentlichen Unterschiede zwischen Authentisierung, Authentifizierung und Autorisierung und erläutern, was sich genau hinter diesen Begriffen verbirgt.
Was Authentisierung, Authentifizierung und Autorisierung bedeuten
Authentisierung ist der Nachweis einer Identität, Authentifizierung bestätigt deren Echtheit und Autorisierung gewährt authentifizierten Entitäten bestimmte Zugriffsrechte.
Authentisierung: Dieser Begriff wird oft als Synonym für Authentifizierung verwendet, doch das ist nicht ganz korrekt. Unter Authentisierung verstehen wir lediglich den Nachweis der Identität von etwas oder jemandem. Die Vorlage eines solchen Identitätsnachweises erfolgt in der Regel durch eine Anmeldung per Benutzername und Passwort. Darüber hinaus kommen auch Chipkarten, biometrische Verfahren oder Einmalpasswörter (One Time Passwords) zum Einsatz.
- Bei der Authentisierung geht es um das WER, also um die Identität.
Authentifizierung: Die Authentifizierung überprüft die Echtheit des Identitätsnachweises einer Person, einer Anwendung oder eines Gerätes. Authentifizierung sorgt für Vertrauenswürdigkeit und stellt sicher, dass nur berechtigte Entitäten Zugang zu geschützten Ressourcen erhalten. Zu den konkreten Beispielen aus der IT-Sicherheit zählen Überprüfungen der Echtheit und Gültigkeit eines Zertifikats, einer Webseite oder auch eines digital vorliegenden Dokuments.
- Authentifizierung prüft die ECHTHEIT von Identitätsnachweisen.
Autorisierung: Erst nach der im vorigen Abschnitt beschriebenen Authentifizierung erfolgt die Autorisierung, etwas zu tun oder zu bekommen. Dieser Prozess legt im Detail fest, welche Zugriffsrechte und Berechtigungen die authentifizierte Person, Anwendung oder das Gerät für die bereitgestellten Ressourcen erhält. Diese Zugriffssteuerung bestimmt somit die tatsächlich gewährten Rechte auf Dienste, Funktionen und Daten.
- Die Autorisierung legt fest, WAS getan werden darf.
Die Authentisierung weist also die Identität von Personen, Anwendungen oder Geräten nach, während die Authentifizierung einen solchen Nachweis verifiziert. Die Autorisierung legt schließlich fest, welche Zugriffsrechte das System vergeben darf.
Wo Authentisierung, Authentifizierung und Autorisierung zum Einsatz kommen
Nachfolgend finden Sie jeweils drei Praxisbeispiele für Authentisierungen, Authentifizierungen und Autorisierungen.
Beispiele für Authentisierungen
Wie bereits erwähnt, geht es bei der Authentisierung in erster Linie darum, die Identität eines Benutzers, einer Anwendung oder eines Geräts nachzuweisen.
- Anmeldung per Benutzername und Passwort: Dies ist die häufigste und bekannteste Art der Authentisierung. Bei einem Log-in muss ein Benutzer beispielsweise sowohl seinen Usernamen als auch sein Passwort eingeben. Nur bei korrekten Daten erhält er Zugriff auf die Systeme und deren Ressourcen.
- Zwei-Faktor-Authentisierung: Da herkömmliche Zugangsdaten leicht gestohlen und missbraucht werden können, kamen zusätzliche Authentisierungsmaßnahmen wie die Zwei- oder Mehr-Faktor-Authentisierung (2FA beziehungsweise MFA) ins Spiel. Nach der Eingabe des Benutzernamens und des zugehörigen Passworts muss der User dann noch einen Code eingeben, der in der Regel nur einmal und lediglich für kurze Zeit gültig ist. Dazu benötigt er ein spezielles Gerät oder eine entsprechende App auf seinem Smartphone.
- Biometrische Authentisierung: Bei dieser Methode rücken einzigartige Merkmale einer Person in den Mittelpunkt, um sie eindeutig zu identifizieren. Dazu gehört beispielsweise die Erkennung der Stimme, aber auch des Fingerabdrucks, der Iris oder des gesamten Gesichts. Die meisten Smartphones und Business-Notebooks unterstützen heutzutage die biometrische Authentisierung.
Beispiele für Authentifizierungen
Die Authentifizierung hingegen überprüft die Echtheit des Identitätsnachweises, den eine Entität zuvor im Rahmen der Authentisierung vorgelegt hat.
- SSL/TLS-Zertifikate: Beim Besuch einer mit SSL/TLS (Secure Sockets Layer, Transport Layer Security) verschlüsselten Webseite mit einem Browser findet eine Authentifizierung des verwendeten Zertifikats statt. Das stellt sicher, dass die Datenübertragung zwischen der Webseite und dem Client des Besuchers sicher und verschlüsselt abläuft. Zudem garantiert es, dass es sich um eine vertrauenswürdige Webseite handelt. Die Authentifizierung erfolgt also durch die Überprüfung der Echtheit des SSL/TLS-Zertifikats durch den Browser des Benutzers.
- Digitale Signaturen: Auch digitale Schlüssel müssen authentifiziert werden, wenn sich etwa Personen ein signiertes Dokument per E-Mail schicken. Die Authentifizierung beweist dann, dass die Nachricht tatsächlich vom angegebenen Absender stammt und authentisch (echt) ist.
- Authentifizierung von E-Mails: Authentifizierungen dienen hier dazu, die Zahl der Spam- und Phishing-Mails zu reduzieren, die weltweit unzählige Postfächer verstopfen. Dazu wurden Techniken wie das Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) entwickelt. Mit ihrer Hilfe lässt sich feststellen, ob eingehende E-Mails tatsächlich vom angegebenen Absender stammen oder ob sie gefälscht sind. Im zweiten Fall können sie getrost ignoriert werden.
Beispiele für Autorisierungen
Autorisierung legt fest, auf welche Ressourcen ein bereits authentifizierter Benutzer, eine schon authentifizierte Anwendung oder ein längst authentifiziertes Gerät zugreifen darf.
- Rollenbasierter Zugriff: Unternehmen nutzen Autorisierungen, um Rollen zu definieren. So legen sie fest, wer worauf zugreifen darf. Beispielsweise erhält ein einfacher Angestellter in der Regel weniger Zugriffsrechte als ein leitender Manager oder ein Administrator.
- Zugriff auf Datenbanken: Auch hier lässt sich über Autorisierungen vorgeben, welche Benutzer auf welche Daten und Funktionen zugreifen dürfen. Es ist auch möglich, fein abgestufte Berechtigungen zu definieren, wie etwa nur das Lesen, aber nicht Schreiben oder Ändern bestimmter Datensätze.
- Zugriff auf Business-Applikationen: Kommt zum Beispiel eine Projektmanagement-Software zum Einsatz, erhält in der Regel nicht jeder Benutzer alle Berechtigungen, um beispielsweise neue Aufgaben anzulegen, zu bearbeiten oder zu löschen. Auf diese Weise stellt ein Unternehmen sicher, dass die Mitglieder eines Teams nur auf die Informationen und Funktionen zugreifen können, die für sie relevant sind und die sie für ihre aktuellen Aufgaben benötigen.
Authentisiert, authentifiziert und autorisiert per Single Sign-On
Der Wildwuchs an Accounts und Passwörtern ist in vielen Unternehmen immer noch ungebrochen. Abhilfe schafft ein Single-Sign-On-System. Benutzer müssen sich dann nur einmal authentisieren, um sicheren Zugriff auf alle benötigten Ressourcen zu bekommen. Die Authentifizierung kann dabei durch eine moderne VPN-Lösung erfolgen. Mehr dazu lesen Sie in unserem Blogbeitrag „Wie Single Sign On durch SAML den Login vereinfacht“.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.