Authentifizierung vs. Autorisierung
Die Begriffe Authentifizierung und Autorisierung mögen ähnlich klingen, doch in der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) bezeichnen sie zwei grundverschiedene Sicherheitsprozesse. Während die Authentifizierung bestätigt, dass Benutzer die sind, die sie vorgeben zu sein, erhalten diese Benutzer durch die Autorisierung die Erlaubnis, auf Ressourcen zuzugreifen.
Authentifizierung vs. Autorisierung
| Kriterium | Authentifizierung | Autorisierung |
|---|---|---|
| Definition | Verifizierung der Identität eines Benutzers | Bestimmung der Zugriffsrechte eines Benutzers |
| Zweck | Sicherstellen, dass der Benutzer ist, wer er vorgibt zu sein | Festlegen, welche Ressourcen und Aktionen einem Benutzer erlaubt sind |
| Zeitpunkt der Anwendung | Zu Beginn des Zugriffsprozesses | Nach erfolgreicher Authentifizierung |
| Häufig verwendete Methoden | Passwörter, biometrische Daten, einmalige PINs, Auth-Apps | Rollenbasierte Zugriffskontrolle (RBAC), Zugriffskontrolllisten (ACLs) |
| Sichtbarkeit für den Benutzer | Ja | Nein |
| Änderbarkeit durch den Benutzer | Teilweise (z.B. Passwortänderung) | Nein |
| Beispiele | Login mit Benutzername und Passwort, Fingerabdruck-Scan | Zugriff auf bestimmte Dateien oder Anwendungen, Admin-Rechte |
| Relevanz in IAM | Erster Schritt in jedem Sicherheitsprozess | Zweiter Schritt, um spezifische Berechtigungen zu erteilen |
| Sicherheitsniveau | Schutz vor unbefugtem Zugriff | Kontrolle und Begrenzung des Zugriffs auf Ressourcen |
| Beispiele für Sicherheitsmaßnahmen | Multi-Faktor-Authentifizierung (MFA), Zwei-Faktor-Authentifizierung (2FA) | Zugriffsrechte basierend auf Benutzerrollen, Attribute-basierte Zugriffskontrolle (ABAC) |
Grundlagen der Authentifizierung
Die Authentifizierung ist der Prozess der Überprüfung der Identität eines Benutzers oder Systems. Sie stellt sicher, dass derjenige, der sich als ein bestimmter Benutzer ausgibt, tatsächlich diese Person ist und nicht ein Unbefugter, der versucht, sich Zugang zu verschaffen. Dies ist der erste Schritt im Schutz sensibler Daten und Systeme, da er verhindert, dass Unbefugte sich als legitime Benutzer ausgeben und Schaden anrichten können.
Verschiedene Verfahren können zur Authentifizierung eingesetzt werden, wie zum Beispiel:
- Passwörter: Die gebräuchlichste Methode, bei der der Benutzer ein geheimes Passwort eingeben muss, um sich zu authentifizieren.
- Biometrische Daten: Nutzung von einzigartigen körperlichen Merkmalen wie Fingerabdrücken, Iris-Scans oder Gesichtserkennung zur Identifizierung.
- Einmalige Passwörter (OTPs): Temporäre Codes, die an den Benutzer gesendet werden, z. B. per SMS oder Authentifizierungs-App, und nur für eine kurze Zeit gültig sind.
- Hardware-Token: Physische Geräte, die einen Code generieren, der zusammen mit einem Passwort oder einer PIN zur Authentifizierung verwendet wird.
Grundlagen der Autorisierung
Autorisierung: Gewährung von Zugriffsrechten
Nachdem die Identität eines Benutzers authentifiziert wurde, kommt die Autorisierung ins Spiel. Hierbei wird festgelegt, welche Berechtigungen und Zugriffsrechte der Benutzer auf Ressourcen und Systeme erhält. Dies stellt sicher, dass Benutzer nur auf die Informationen und Funktionen zugreifen können, die sie für ihre Aufgaben benötigen, und sensible Bereiche vor unbefugtem Zugriff geschützt bleiben.
Verschiedene Methoden können zur Autorisierung eingesetzt werden, wie zum Beispiel:
- Zugriffskontrolllisten (ACLs): Listen, die festlegen, welche Benutzer auf welche Ressourcen zugreifen dürfen.
- Rollenbasierte Zugriffskontrolle (RBAC): Weist Berechtigungen basierend auf der Rolle eines Benutzers in der Organisation zu.
- Attributbasierte Zugriffskontrolle (ABAC): Ermöglicht granularere Zugriffskontrollen basierend auf einer Vielzahl von Attributen, wie z. B. Benutzeridentität, Gerätetyp, Uhrzeit und Ort des Zugriffs.
Bezug zur NIS2-Richtlinie
Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) setzt strenge Anforderungen an Unternehmen, um ein hohes Maß an Cybersicherheit zu gewährleisten. Dies umfasst sowohl technische als auch organisatorische Maßnahmen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten.
Bezug zur Authentifizierung und Autorisierung:
- Artikel 21 Absatz 2 (j) der NIS2-Richtlinie hebt die Notwendigkeit von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung hervor. Dies zeigt die Wichtigkeit der Authentifizierung als erste Verteidigungslinie gegen unbefugten Zugriff.
- Absatz 2 (i) bezieht sich auf Konzepte für die Zugriffskontrolle und das Management von Anlagen, was die Bedeutung der Autorisierung unterstreicht. Hier geht es darum sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten und Systeme haben.
Mehr zum Thema NIS-2 Richtlinie: Was bedeutet NIS-2 für Unternehmen in Deutschland
Bezug zur ISO/IEC 27001
Es gibt nicht nur regulatorische Vorgaben, die auf IAM abzielen, sondern auch internationale Standards wie die ISO/IEC 27001, die eine entscheidende Rolle bei der Gestaltung und Umsetzung effektiver Identitäts- und Zugriffsverwaltungssysteme (IAM) spielen.
| Abschnitt der Richtlinie | ISO/IEC 27001 Abschnitt | Beschreibung |
|---|---|---|
| Benutzerregistrierung und -verwaltung | A.9.2.1 – Benutzerregistrierung und -abmeldung | Formalisiertes Verfahren zur Erstellung und Genehmigung von Benutzeridentitäten; Identitätsprüfung vor Erstellung |
| Authentifizierung und Autorisierung | A.9.2.2 – Benutzerzugriffsbereitstellung | Implementierung von Mehrfaktor-Authentifizierung (MFA); Nutzung von rollenbasierter Zugriffskontrolle (RBAC); Prinzip der minimalen Rechte (Least Privilege Principle) |
| Überwachung und Reporting | A.12.4.1 – Ereignisprotokollierung | Protokollierung von Zugriffsversuchen und -änderungen; regelmäßige Überprüfungen der Zugriffsrechte und Protokolle; Meldung von verdächtigen Aktivitäten oder Sicherheitsvorfällen |
| Überprüfung und Aktualisierung | A.18.2.2 – Bewertung der Einhaltung | Jährliche oder bedarfsweise Überprüfung und Aktualisierung der Richtlinie |
| Verantwortlichkeiten | A.6.1.1 – Definition der Informationssicherheitsrollen und -verantwortlichkeiten | Verantwortlichkeiten des Datenschutz- und Informationssicherheitsteams (DST) und der IT-Abteilung |
| Sanktionen | A.7.2.3 – Konsequenzen bei Nichterfüllung der Sicherheitsanforderungen | Analyse und Schulungsmaßnahmen bei unbeabsichtigten Verstößen; arbeitsrechtliche Maßnahmen bei vorsätzlichen Verstößen |