Zero Trust: Wie Sie Missverständnisse und Irrtümer vermeiden
Die häufige Verwendung des Begriffs Zero Trust im Marketing führt zu einer Verunsicherung der Kunden. Wir erklären, was sich wirklich dahinter verbirgt.
Authentisierung, Authentifizierung und Autorisierung sind drei eng verwandte Begriffe in der IT-Sicherheit. Leider werden sie oft falsch verstanden. Wir beschreiben die Unterschiede zwischen diesen Begriffen und illustrieren sie mit praxisnahen Beispielen.
In kaum einem Bereich der IT-Sicherheit gibt es so viele Verwechslungen und Missverständnisse wie bei den Begriffen Authentisierung, Authentifizierung und Autorisierung. Selbst erfahrene Sicherheitsexperten bringen sie immer wieder durcheinander. Deshalb erklären wir hier die wesentlichen Unterschiede zwischen Authentisierung, Authentifizierung und Autorisierung und erläutern, was sich genau hinter diesen Begriffen verbirgt.
Authentisierung ist der Nachweis einer Identität, Authentifizierung bestätigt deren Echtheit und Autorisierung gewährt authentifizierten Entitäten bestimmte Zugriffsrechte.
Authentisierung: Dieser Begriff wird oft als Synonym für Authentifizierung verwendet, doch das ist nicht ganz korrekt. Unter Authentisierung verstehen wir lediglich den Nachweis der Identität von etwas oder jemandem. Die Vorlage eines solchen Identitätsnachweises erfolgt in der Regel durch eine Anmeldung per Benutzername und Passwort. Darüber hinaus kommen auch Chipkarten, biometrische Verfahren oder Einmalpasswörter (One Time Passwords) zum Einsatz.
- Bei der Authentisierung geht es um das WER, also um die Identität.
Authentifizierung: Die Authentifizierung überprüft die Echtheit des Identitätsnachweises einer Person, einer Anwendung oder eines Gerätes. Authentifizierung sorgt für Vertrauenswürdigkeit und stellt sicher, dass nur berechtigte Entitäten Zugang zu geschützten Ressourcen erhalten. Zu den konkreten Beispielen aus der IT-Sicherheit zählen Überprüfungen der Echtheit und Gültigkeit eines Zertifikats, einer Webseite oder auch eines digital vorliegenden Dokuments.
- Authentifizierung prüft die ECHTHEIT von Identitätsnachweisen.
Autorisierung: Erst nach der im vorigen Abschnitt beschriebenen Authentifizierung erfolgt die Autorisierung, etwas zu tun oder zu bekommen. Dieser Prozess legt im Detail fest, welche Zugriffsrechte und Berechtigungen die authentifizierte Person, Anwendung oder das Gerät für die bereitgestellten Ressourcen erhält. Diese Zugriffssteuerung bestimmt somit die tatsächlich gewährten Rechte auf Dienste, Funktionen und Daten.
- Die Autorisierung legt fest, WAS getan werden darf.
Die Authentisierung weist also die Identität von Personen, Anwendungen oder Geräten nach, während die Authentifizierung einen solchen Nachweis verifiziert. Die Autorisierung legt schließlich fest, welche Zugriffsrechte das System vergeben darf.
Nachfolgend finden Sie jeweils drei Praxisbeispiele für Authentisierungen, Authentifizierungen und Autorisierungen.
Wie bereits erwähnt, geht es bei der Authentisierung in erster Linie darum, die Identität eines Benutzers, einer Anwendung oder eines Geräts nachzuweisen.
Die Authentifizierung hingegen überprüft die Echtheit des Identitätsnachweises, den eine Entität zuvor im Rahmen der Authentisierung vorgelegt hat.
Autorisierung legt fest, auf welche Ressourcen ein bereits authentifizierter Benutzer, eine schon authentifizierte Anwendung oder ein längst authentifiziertes Gerät zugreifen darf.
Der Wildwuchs an Accounts und Passwörtern ist in vielen Unternehmen immer noch ungebrochen. Abhilfe schafft ein Single-Sign-On-System. Benutzer müssen sich dann nur einmal authentisieren, um sicheren Zugriff auf alle benötigten Ressourcen zu bekommen. Die Authentifizierung kann dabei durch eine moderne VPN-Lösung erfolgen. Mehr dazu lesen Sie in unserem Blogbeitrag „Wie Single Sign On durch SAML den Login vereinfacht“.