Authentisierung, Authentifizierung & Autorisierung: Was ist der Unterschied?

Die Bestätigung unserer Identität gegenüber digitalen Systemen stellt für die meisten Menschen eine Routinehandlung dar, über die wir nicht aktiv nachdenken. Im Unterschied dazu befassen sich Sicherheitsexperten hingegen sehr intensiv mit Login-Verfahren. Aus Perspektive der Informationssicherheit läuft die Anmeldung eines Benutzers in drei klar getrennten Phasen ab:

Der Unterschied zwischen Authentisierung, Authentifizierung und Autorisierung kann wie folgt zusammgefasst werden:

Im Alltag sind diese einzelnen Schritte natürlich eng miteinander verknüpft, weshalb die Begriffe häufig synonym gebraucht werden: Ich gebe meine Daten ein, ich warte ein paar Sekunden, ich bin im System. Aus Expertensicht ist eine genauere Unterscheidung notwendig. Dabei zeigt sich, dass die einzelnen Stufen einer Anmeldung nicht nur einer zeitlichen Anordnung sondern auch einer Hierarchie folgen: Ohne Authentifizierung keine Autorisierung! Andernfalls wäre es unmöglich, unberechtigte Zugriffe durch Hacker, Kriminelle und Insider Threats zu verhindern.

Der Nachweis bzw. die anschließende Verifizierung der Identität kann in unterschiedlichen Formen und mehreren Stufen erfolgen. Grundsätzlich baut die Kontrolle dabei auf dem Abgleich von Daten auf. Die Eingabe des Users wird also mit auf dem Server gespeicherten Zugangsdaten verglichen (bzw. Sicherheitscodes, biometrischen Informationen etc.).

Da Hacker großes Interesse daran haben, gespeicherte Zugangsdaten in die Hände zu bekommen, muss der jeweilige Dienst diese streng absichern und unkenntlich machen. Dazu kommen Passwort-Hashing sowie die verschlüsselte Speicherung und Übertragung von Daten zum Einsatz.

Je nachdem, wie viele Identitätskontrollen zum Einsatz kommen, unterscheidet man zwischen:

Damit Benutzer den Anmeldeprozess nicht bei jedem Website-Aufruf bzw. jedem Öffnen eines Programms wiederholen müssen, können Anwendungen die aktive Anmeldung eines Users in Form von Session Cookies oder Tokens speichern. Ebenso können Dienste die Authentifizierung von Nutzern mit anderen Diensten teilen. Dabei kommen Protokolle wie OAuth oder Kerberos zum Einsatz. So funktioniert zum Beispiel das Anmelden auf anderen Websiten über das eigene Google- oder Facebook-Konto. Oder der Zugriff auf Teams, OneDrive, Outlook & Co. nach der Anmeldung in Microsoft 365.

Auf welche Anwendungen, Ressourcen und Systeme Nutzer nach erfolgter Anmeldung Zugriff erhalten, lässt sich technisch auf verschiedenen Wegen steuern. Die Autorisierung von Usern in Windows und den meisten Betriebssystemen funktioniert über die sogenannte Access Control List bzw. ACL.

Vereinfacht gesagt hat jedes Objekt in Windows eine Access Control List, auf der vermerkt ist, welche Security Identifier für das Objekt freigegeben bzw. gesperrt sind. Beim Zugriff auf die entsprechende Ressource überprüft Windows, ob die ID des Benutzers auf der Liste ist oder nicht. Man kann es sich vorstellen wie den Türsteher bei einem Event, der kontrolliert ob du auf der Gästeliste stehst oder nicht.

Wenn ein Benutzer Zugriff auf einen Ordner erhalten soll, können Admins die Einstellungen des Verzeichnisses öffnen und die notwendige Berechtigung eintragen. Allerdings ist das ein sehr ineffizienter Weg, NTFS Berechtigungen zu verwalten. Rechte für jeden Nutzer einzeln zuzuweisen kann in kleinen Betrieben funktionieren. Wenn man es aber mit dutzenden oder hunderten Accounts zu tun hat, stößt diese Methode an ihre Grenzen.

In der Praxis lässt sich die Autorisierung in Windows-Umgebungen am sinnvollsten über Active Directory Gruppen steuern. Die Verwendung von Gruppenmitgliedschaften hat den Vorteil, dass für spätere Änderungen nur eine einzelne Gruppe anstatt dutzender von Konten und Objekten bearbeitet werden muss. Das trifft insbesondere zu, wenn Ihre Organisation Microsofts Best Practice von verschachtelten Berechtigungsgruppen folgt. Details finden Sie in unserem Beitrag zum AGDLP-Prinzip.

Somit wäre geklärt, wie die Authentisierung, Authentifizierung und Autorisierung eines Benutzers in Windows abläuft: Die Person meldet sich in ihrem Windows-Account an und kann anschließend auf alle Resourcen zugreifen, für die ihre ID freigegeben ist. Doch wie steht es um alle weiteren Anwendungen, die ein Mitarbeiter im Büro-Alltag braucht: Cloud-Dienste, Bild- und Video-Programme, Helpdesk-Systeme, HR-Software usw. Nachdem für all diese Dienste separate Konten notwendig sind, müssen Admins die Rechte von Usern in jedem System einzeln anpassen.

Hier kommt Identity & Access Management ins Spiel: Dank einem umfangreichen Set an Plugins agieren IAM Lösungen als zentrale Drehscheibe für die Verwaltung von Benutzerkonten und Zugriffsrechten in der gesamten IT-Infrastruktur. IAM Software erlaubt es Unternehmen, die Berechtigungen von Anwendern in allen verknüpften Systemen über eine Oberfläche zu steuern. Mehr als das, sie ermöglicht die Automatisierung der gesamten Benutzer- und Berechtigungsverwaltung, von der Anlage von Konten über laufende Anpassungen bis hin zur regelmäßigen Kontrolle durch User Access Reviews.

Für die Automatisierung der Berechtigungsvergabe machen sich Identity & Access Management Systeme effiziente und zentralisierte Modelle wie Role-Based Access Control zunutze. Dabei definieren Organisationen Rollen, die die vorgesehenen Berechtigungen für User in unterschiedlichen Abteilungen und Positionen enthalten. Dabei ist auf die Einhaltung des Least-Privilege-Prinzips zu achten. Wird ein Benutzer zu einer Rolle hinzugefügt, weist ihm die IAM Plattform automatisch alle damit verbundenen Berechtigungen zu. Und das quer über alle Systeme.

Das Basis-Set an Rechten, dass über die rollenbasierte Zugriffsverwaltung an User vergeben wird, lässt sich durch flexible Methoden für die Autorisierung von Nutzern erweitern bzw. einschränken. Beispielsweise verwenden Modelle für bedingten Zugriff (conditional access) den Kontext von Handlungen, um zu beurteilen ob diese erlaubt werden sollen. Faktoren, die für die Bewertung herangezogen werden, sind etwa der Standort und das Gerät des Nutzers, welche Aktion durchgeführt werden soll (öffnen, bearbeiten, löschen etc.) und als wie sensibel die Zieldatei markiert wurde.