Authentisierung, Authentifizierung & Autorisierung: Was ist der Unterschied?

Benutzername und Passwort eintippen, Sicherheitscode vom Handy eingeben, fertig: Auf diesem Weg melden sich die meisten von uns jeden Tag in etlichen IT-Systemen an. Was im Alltag wenige Sekunden dauert, lässt sich auf technischer Ebene jedoch in mehrere Schritte gliedern. In diesem Beitrag sehen wir uns an, was die Begriffe Authentisierung, Authentifizierung und Autorisierung im Kontext von Login-Verfahren bedeuten und was den Unterschied zwischen diesen Konzepten ausmacht.

Authentisierung vs. Authentifizierung vs. Autorisierung

Die Bestätigung unserer Identität gegenüber digitalen Systemen stellt für die meisten Menschen eine Routinehandlung dar, über die wir nicht aktiv nachdenken. Im Unterschied dazu befassen sich Sicherheitsexperten hingegen sehr intensiv mit Login-Verfahren. Aus Perspektive der Informationssicherheit läuft die Anmeldung eines Benutzers in drei klar getrennten Phasen ab:

  • 1

    Authentisierung bezeichnet den Nachweis der Identität durch den Benutzer, z.B. durch die Eingabe von Benutzername und Passwort.

  • 2

    Authentifizierung bezeichnet die Kontrolle der Identität durch das System, also die Überprüfung der Angaben und gegebenenfalls die Forderung zusätzlicher Nachweise im Rahmen der Multi-Faktor-Authentifizierung.

  • 3

    Autorisierung beschreibt die Zuweisung von Rechten auf Basis der nachgewiesenen Identität, also der Zugriff, der dem Benutzer nach erfolgreicher Anmeldung gewährt wird.

Der Unterschied zwischen Authentisierung, Authentifizierung und Autorisierung kann wie folgt zusammgefasst werden:

Authentisierung ist der Nachweis der Identität, Authentifizierung die Überprüfung der Identität und Autorisierung der Zugang zum System nach bestandener Kontrolle.

Im Alltag sind diese einzelnen Schritte natürlich eng miteinander verknüpft, weshalb die Begriffe häufig synonym gebraucht werden: Ich gebe meine Daten ein, ich warte ein paar Sekunden, ich bin im System. Aus Expertensicht ist eine genauere Unterscheidung notwendig. Dabei zeigt sich, dass die einzelnen Stufen einer Anmeldung nicht nur einer zeitlichen Anordnung sondern auch einer Hierarchie folgen: Ohne Authentifizierung keine Autorisierung! Andernfalls wäre es unmöglich, unberechtigte Zugriffe durch Hacker, Kriminelle und Insider Threats zu verhindern.

Wie funktioniert Authentifizierung im Detail?

Der Nachweis bzw. die anschließende Verifizierung der Identität kann in unterschiedlichen Formen und mehreren Stufen erfolgen. Grundsätzlich baut die Kontrolle dabei auf dem Abgleich von Daten auf. Die Eingabe des Users wird also mit auf dem Server gespeicherten Zugangsdaten verglichen (bzw. Sicherheitscodes, biometrischen Informationen etc.).

Da Hacker großes Interesse daran haben, gespeicherte Zugangsdaten in die Hände zu bekommen, muss der jeweilige Dienst diese streng absichern und unkenntlich machen. Dazu kommen Passwort-Hashing sowie die verschlüsselte Speicherung und Übertragung von Daten zum Einsatz.

Je nachdem, wie viele Identitätskontrollen zum Einsatz kommen, unterscheidet man zwischen:

  • 1

    Single-Faktor-Authentifizierung: Benutzer müssen nur einen Nachweis ihrer Identität erbringen, üblicherweise die Eingabe von Benutzername und Passwort.

  • 2

    Zwei- bzw. Multi-Faktor-Authentifzierung: Benutzer müssen mehrere Identitätsnachweise erbringen, etwa durch die Eingabe von per E-Mail erhaltenen Zugangscodes oder Einmalpasswörtern aus Authenticator Apps.

Damit Benutzer den Anmeldeprozess nicht bei jedem Website-Aufruf bzw. jedem Öffnen eines Programms wiederholen müssen, können Anwendungen die aktive Anmeldung eines Users in Form von Session Cookies oder Tokens speichern. Ebenso können Dienste die Authentifizierung von Nutzern mit anderen Diensten teilen. Dabei kommen Protokolle wie OAuth oder Kerberos zum Einsatz. So funktioniert zum Beispiel das Anmelden auf anderen Websiten über das eigene Google- oder Facebook-Konto. Oder der Zugriff auf Teams, OneDrive, Outlook & Co. nach der Anmeldung in Microsoft 365.

Wie funktioniert Autorisierung im Detail?

Auf welche Anwendungen, Ressourcen und Systeme Nutzer nach erfolgter Anmeldung Zugriff erhalten, lässt sich technisch auf verschiedenen Wegen steuern. Die Autorisierung von Usern in Windows und den meisten Betriebssystemen funktioniert über die sogenannte Access Control List bzw. ACL.

Vereinfacht gesagt hat jedes Objekt in Windows eine Access Control List, auf der vermerkt ist, welche Security Identifier für das Objekt freigegeben bzw. gesperrt sind. Beim Zugriff auf die entsprechende Ressource überprüft Windows, ob die ID des Benutzers auf der Liste ist oder nicht. Man kann es sich vorstellen wie den Türsteher bei einem Event, der kontrolliert ob du auf der Gästeliste stehst oder nicht.

Ein Sicherheits-Mitarbeiter, der dich am Zugang zu einem Event hindert.
“Stehst du auf der Liste?” Nur autorisierte SIDs können auf Verzeichnisse auf Microsoft Servern zugreifen. Adobe Stock, (c) Chris Ryan/KOTO

Wenn ein Benutzer Zugriff auf einen Ordner erhalten soll, können Admins die Einstellungen des Verzeichnisses öffnen und die notwendige Berechtigung eintragen. Allerdings ist das ein sehr ineffizienter Weg, NTFS Berechtigungen zu verwalten. Rechte für jeden Nutzer einzeln zuzuweisen kann in kleinen Betrieben funktionieren. Wenn man es aber mit dutzenden oder hunderten Accounts zu tun hat, stößt diese Methode an ihre Grenzen.

In der Praxis lässt sich die Autorisierung in Windows-Umgebungen am sinnvollsten über Active Directory Gruppen steuern. Die Verwendung von Gruppenmitgliedschaften hat den Vorteil, dass für spätere Änderungen nur eine einzelne Gruppe anstatt dutzender von Konten und Objekten bearbeitet werden muss. Das trifft insbesondere zu, wenn Ihre Organisation Microsofts Best Practice von verschachtelten Berechtigungsgruppen folgt. Details finden Sie in unserem Beitrag zum AGDLP-Prinzip.

Authentifizierung und Autorisierung über mehrere Systeme hinweg

Somit wäre geklärt, wie die Authentisierung, Authentifizierung und Autorisierung eines Benutzers in Windows abläuft: Die Person meldet sich in ihrem Windows-Account an und kann anschließend auf alle Resourcen zugreifen, für die ihre ID freigegeben ist. Doch wie steht es um alle weiteren Anwendungen, die ein Mitarbeiter im Büro-Alltag braucht: Cloud-Dienste, Bild- und Video-Programme, Helpdesk-Systeme, HR-Software usw. Nachdem für all diese Dienste separate Konten notwendig sind, müssen Admins die Rechte von Usern in jedem System einzeln anpassen.

Hier kommt Identity & Access Management ins Spiel: Dank einem umfangreichen Set an Plugins agieren IAM Lösungen als zentrale Drehscheibe für die Verwaltung von Benutzerkonten und Zugriffsrechten in der gesamten IT-Infrastruktur. IAM Software erlaubt es Unternehmen, die Berechtigungen von Anwendern in allen verknüpften Systemen über eine Oberfläche zu steuern. Mehr als das, sie ermöglicht die Automatisierung der gesamten Benutzer- und Berechtigungsverwaltung, von der Anlage von Konten über laufende Anpassungen bis hin zur regelmäßigen Kontrolle durch User Access Reviews.

Zentrale Zugriffssteuerung

Für die Automatisierung der Berechtigungsvergabe machen sich Identity & Access Management Systeme effiziente und zentralisierte Modelle wie Role-Based Access Control zunutze. Dabei definieren Organisationen Rollen, die die vorgesehenen Berechtigungen für User in unterschiedlichen Abteilungen und Positionen enthalten. Dabei ist auf die Einhaltung des Least-Privilege-Prinzips zu achten. Wird ein Benutzer zu einer Rolle hinzugefügt, weist ihm die IAM Plattform automatisch alle damit verbundenen Berechtigungen zu. Und das quer über alle Systeme.

Gleichzeitig sorgt Identity & Access Management dafür, dass alle nicht mehr benötigten Rechte entfernt werden. Das ist entscheidend, um Sicherheitslücken zu schließen, die durch Privilege Creep, also die schleichende Ansammlung von Rechten, entstehen.

Das Basis-Set an Rechten, dass über die rollenbasierte Zugriffsverwaltung an User vergeben wird, lässt sich durch flexible Methoden für die Autorisierung von Nutzern erweitern bzw. einschränken. Beispielsweise verwenden Modelle für bedingten Zugriff (conditional access) den Kontext von Handlungen, um zu beurteilen ob diese erlaubt werden sollen. Faktoren, die für die Bewertung herangezogen werden, sind etwa der Standort und das Gerät des Nutzers, welche Aktion durchgeführt werden soll (öffnen, bearbeiten, löschen etc.) und als wie sensibel die Zieldatei markiert wurde.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Köller

Joe Köller ist Content Manager bei tenfold und beschäftigt sich auf diesem Blog mit Themen wie Compliance, IT-Sicherheit und Access Management. Außerdem zählen digitale Medien, amerikanische Literatur und das Gärtnern zu seinen Leidenschaften.