Authentisierung, Authentifizierung & Autorisierung: Was ist der Unterschied?

Benutzername und Passwort eintippen, Sicherheitscode vom Handy eingeben, fertig: Auf diesem Weg melden sich die meisten von uns jeden Tag in etlichen IT-Systemen an. Was im Alltag wenige Sekunden dauert, lรคsst sich auf technischer Ebene jedoch in mehrere Schritte gliedern. In diesem Beitrag sehen wir uns an, was die Begriffe Authentisierung, Authentifizierung und Autorisierung im Kontext von Login-Verfahren bedeuten und was den Unterschied zwischen diesen Konzepten ausmacht.

Authentisierung vs. Authentifizierung vs. Autorisierung

Die Bestรคtigung unserer Identitรคt gegenรผber digitalen Systemen stellt fรผr die meisten Menschen eine Routinehandlung dar, รผber die wir nicht aktiv nachdenken. Im Unterschied dazu befassen sich Sicherheitsexperten hingegen sehr intensiv mit Login-Verfahren. Aus Perspektive der Informationssicherheit lรคuft die Anmeldung eines Benutzers in drei klar getrennten Phasen ab:

  • 1

    Authentisierung bezeichnet den Nachweis der Identitรคt durch den Benutzer, z.B. durch die Eingabe von Benutzername und Passwort.

  • 2

    Authentifizierung bezeichnet die Kontrolle der Identitรคt durch das System, also die รœberprรผfung der Angaben und gegebenenfalls die Forderung zusรคtzlicher Nachweise im Rahmen der Multi-Faktor-Authentifizierung.

  • 3

    Autorisierung beschreibt die Zuweisung von Rechten auf Basis der nachgewiesenen Identitรคt, also der Zugriff, der dem Benutzer nach erfolgreicher Anmeldung gewรคhrt wird.

Der Unterschied zwischen Authentisierung, Authentifizierung und Autorisierung kann wie folgt zusammgefasst werden:

Authentisierung ist der Nachweis der Identitรคt, Authentifizierung die รœberprรผfung der Identitรคt und Autorisierung der Zugang zum System nach bestandener Kontrolle.

Im Alltag sind diese einzelnen Schritte natรผrlich eng miteinander verknรผpft, weshalb die Begriffe hรคufig synonym gebraucht werden: Ich gebe meine Daten ein, ich warte ein paar Sekunden, ich bin im System. Aus Expertensicht ist eine genauere Unterscheidung notwendig. Dabei zeigt sich, dass die einzelnen Stufen einer Anmeldung nicht nur einer zeitlichen Anordnung sondern auch einer Hierarchie folgen: Ohne Authentifizierung keine Autorisierung! Andernfalls wรคre es unmรถglich, unberechtigte Zugriffe durch Hacker, Kriminelle und Insider Threats zu verhindern.

Wie funktioniert Authentifizierung im Detail?

Der Nachweis bzw. die anschlieรŸende Verifizierung der Identitรคt kann in unterschiedlichen Formen und mehreren Stufen erfolgen. Grundsรคtzlich baut die Kontrolle dabei auf dem Abgleich von Daten auf. Die Eingabe des Users wird also mit auf dem Server gespeicherten Zugangsdaten verglichen (bzw. Sicherheitscodes, biometrischen Informationen etc.).

Da Hacker groรŸes Interesse daran haben, gespeicherte Zugangsdaten in die Hรคnde zu bekommen, muss der jeweilige Dienst diese streng absichern und unkenntlich machen. Dazu kommen Passwort-Hashing sowie die verschlรผsselte Speicherung und รœbertragung von Daten zum Einsatz.

Je nachdem, wie viele Identitรคtskontrollen zum Einsatz kommen, unterscheidet man zwischen:

  • 1

    Single-Faktor-Authentifizierung: Benutzer mรผssen nur einen Nachweis ihrer Identitรคt erbringen, รผblicherweise die Eingabe von Benutzername und Passwort.

  • 2

    Zwei- bzw. Multi-Faktor-Authentifzierung: Benutzer mรผssen mehrere Identitรคtsnachweise erbringen, etwa durch die Eingabe von per E-Mail erhaltenen Zugangscodes oder einem Einmalpasswort aus Authenticator Apps.

Damit Benutzer den Anmeldeprozess nicht bei jedem Website-Aufruf bzw. jedem ร–ffnen eines Programms wiederholen mรผssen, kรถnnen Anwendungen die aktive Anmeldung eines Users in Form von Session Cookies oder Tokens speichern. Ebenso kรถnnen Dienste die Authentifizierung von Nutzern mit anderen Diensten teilen. Dabei kommen Protokolle wie OAuth oder Kerberos zum Einsatz. So funktioniert zum Beispiel das Anmelden auf anderen Websiten รผber das eigene Google- oder Facebook-Konto. Oder der Zugriff auf Teams, OneDrive, Outlook & Co. nach der Anmeldung in Microsoft 365.

Wie funktioniert Autorisierung im Detail?

Auf welche Anwendungen, Ressourcen und Systeme Nutzer nach erfolgter Anmeldung Zugriff erhalten, lรคsst sich technisch auf verschiedenen Wegen steuern. Die Autorisierung von Usern in Windows und den meisten Betriebssystemen funktioniert รผber die sogenannte Access Control List bzw. ACL.

Vereinfacht gesagt hat jedes Objekt in Windows eine Access Control List, auf der vermerkt ist, welche Security Identifier fรผr das Objekt freigegeben bzw. gesperrt sind. Beim Zugriff auf die entsprechende Ressource รผberprรผft Windows, ob die ID des Benutzers auf der Liste ist oder nicht. Man kann es sich vorstellen wie den Tรผrsteher bei einem Event, der kontrolliert ob du auf der Gรคsteliste stehst oder nicht.

Ein Sicherheits-Mitarbeiter, der dich am Zugang zu einem Event hindert.
“Stehst du auf der Liste?” Nur autorisierte SIDs kรถnnen auf Verzeichnisse auf Microsoft Servern zugreifen. Adobe Stock, (c) Chris Ryan/KOTO

Wenn ein Benutzer Zugriff auf einen Ordner erhalten soll, kรถnnen Admins die Einstellungen des Verzeichnisses รถffnen und die notwendige Berechtigung eintragen. Allerdings ist das ein sehr ineffizienter Weg, NTFS Berechtigungen zu verwalten. Rechte fรผr jeden Nutzer einzeln zuzuweisen kann in kleinen Betrieben funktionieren. Wenn man es aber mit dutzenden oder hunderten Accounts zu tun hat, stรถรŸt diese Methode an ihre Grenzen.

In der Praxis lรคsst sich die Autorisierung in Windows-Umgebungen am sinnvollsten รผber Active Directory Gruppen steuern. Die Verwendung von Gruppenmitgliedschaften hat den Vorteil, dass fรผr spรคtere ร„nderungen nur eine einzelne Gruppe anstatt dutzender von Konten und Objekten bearbeitet werden muss. Das trifft insbesondere zu, wenn Ihre Organisation Microsofts Best Practice von verschachtelten Berechtigungsgruppen folgt. Details finden Sie in unserem Beitrag zum AGDLP-Prinzip.

Authentifizierung und Autorisierung รผber mehrere Systeme hinweg

Somit wรคre geklรคrt, wie die Authentisierung, Authentifizierung und Autorisierung eines Benutzers in Windows ablรคuft: Die Person meldet sich in ihrem Windows-Account an und kann anschlieรŸend auf alle Resourcen zugreifen, fรผr die ihre ID freigegeben ist. Doch wie steht es um alle weiteren Anwendungen, die ein Mitarbeiter im Bรผro-Alltag braucht: Cloud-Dienste, Bild- und Video-Programme, Helpdesk-Systeme, HR-Software usw. Nachdem fรผr all diese Dienste separate Konten notwendig sind, mรผssen Admins die Rechte von Usern in jedem System einzeln anpassen.

Hier kommt Identity & Access Management ins Spiel: Dank einem umfangreichen Set an Plugins agieren IAM Lรถsungen als zentrale Drehscheibe fรผr die Verwaltung von Benutzerkonten und Zugriffsrechten in der gesamten IT-Infrastruktur. IAM Software erlaubt es Unternehmen, die Berechtigungen von Anwendern in allen verknรผpften Systemen รผber eine Oberflรคche zu steuern. Mehr als das, sie ermรถglicht die Automatisierung der gesamten Benutzer- und Berechtigungsverwaltung, von der Anlage von Konten รผber laufende Anpassungen bis hin zur regelmรครŸigen Kontrolle durch User Access Reviews.

Zentrale Zugriffssteuerung

Fรผr die Automatisierung der Berechtigungsvergabe machen sich Identity & Access Management Systeme effiziente und zentralisierte Modelle wie Role-Based Access Control zunutze. Dabei definieren Organisationen Rollen, die die vorgesehenen Berechtigungen fรผr User in unterschiedlichen Abteilungen und Positionen enthalten. Dabei ist auf die Einhaltung des Least-Privilege-Prinzips zu achten. Wird ein Benutzer zu einer Rolle hinzugefรผgt, weist ihm die IAM Plattform automatisch alle damit verbundenen Berechtigungen zu. Und das quer รผber alle Systeme.

Gleichzeitig sorgt Identity & Access Management dafรผr, dass alle nicht mehr benรถtigten Rechte entfernt werden. Das ist entscheidend, um Sicherheitslรผcken zu schlieรŸen, die durch Privilege Creep, also die schleichende Ansammlung von Rechten, entstehen.

Das Basis-Set an Rechten, dass รผber die rollenbasierte Zugriffsverwaltung an User vergeben wird, lรคsst sich durch flexible Methoden fรผr die Autorisierung von Nutzern erweitern bzw. einschrรคnken. Beispielsweise verwenden Modelle fรผr bedingten Zugriff (conditional access) den Kontext von Handlungen, um zu beurteilen ob diese erlaubt werden sollen. Faktoren, die fรผr die Bewertung herangezogen werden, sind etwa der Standort und das Gerรคt des Nutzers, welche Aktion durchgefรผhrt werden soll (รถffnen, bearbeiten, lรถschen etc.) und als wie sensibel die Zieldatei markiert wurde.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.