Authentifizierung vs. Autorisierung

Die Begriffe Authentifizierung und Autorisierung mögen ähnlich klingen, doch in der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) bezeichnen sie zwei grundverschiedene Sicherheitsprozesse. Während die Authentifizierung bestätigt, dass Benutzer die sind, die sie vorgeben zu sein, erhalten diese Benutzer durch die Autorisierung die Erlaubnis, auf Ressourcen zuzugreifen.

Authentifizierung vs. Autorisierung

KriteriumAuthentifizierungAutorisierung
DefinitionVerifizierung der Identität eines BenutzersBestimmung der Zugriffsrechte eines Benutzers
ZweckSicherstellen, dass der Benutzer ist, wer er vorgibt zu seinFestlegen, welche Ressourcen und Aktionen einem Benutzer erlaubt sind
Zeitpunkt der AnwendungZu Beginn des ZugriffsprozessesNach erfolgreicher Authentifizierung
Häufig verwendete MethodenPasswörter, biometrische Daten, einmalige PINs, Auth-AppsRollenbasierte Zugriffskontrolle (RBAC), Zugriffskontrolllisten (ACLs)
Sichtbarkeit für den BenutzerJaNein
Änderbarkeit durch den BenutzerTeilweise (z.B. Passwortänderung)Nein
BeispieleLogin mit Benutzername und Passwort, Fingerabdruck-ScanZugriff auf bestimmte Dateien oder Anwendungen, Admin-Rechte
Relevanz in IAMErster Schritt in jedem SicherheitsprozessZweiter Schritt, um spezifische Berechtigungen zu erteilen
SicherheitsniveauSchutz vor unbefugtem ZugriffKontrolle und Begrenzung des Zugriffs auf Ressourcen
Beispiele für SicherheitsmaßnahmenMulti-Faktor-Authentifizierung (MFA), Zwei-Faktor-Authentifizierung (2FA)Zugriffsrechte basierend auf Benutzerrollen, Attribute-basierte Zugriffskontrolle (ABAC)

Grundlagen der Authentifizierung

Die Authentifizierung ist der Prozess der Überprüfung der Identität eines Benutzers oder Systems. Sie stellt sicher, dass derjenige, der sich als ein bestimmter Benutzer ausgibt, tatsächlich diese Person ist und nicht ein Unbefugter, der versucht, sich Zugang zu verschaffen. Dies ist der erste Schritt im Schutz sensibler Daten und Systeme, da er verhindert, dass Unbefugte sich als legitime Benutzer ausgeben und Schaden anrichten können.

Verschiedene Verfahren können zur Authentifizierung eingesetzt werden, wie zum Beispiel:

  • Passwörter: Die gebräuchlichste Methode, bei der der Benutzer ein geheimes Passwort eingeben muss, um sich zu authentifizieren.
  • Biometrische Daten: Nutzung von einzigartigen körperlichen Merkmalen wie Fingerabdrücken, Iris-Scans oder Gesichtserkennung zur Identifizierung.
  • Einmalige Passwörter (OTPs): Temporäre Codes, die an den Benutzer gesendet werden, z. B. per SMS oder Authentifizierungs-App, und nur für eine kurze Zeit gültig sind.
  • Hardware-Token: Physische Geräte, die einen Code generieren, der zusammen mit einem Passwort oder einer PIN zur Authentifizierung verwendet wird.

Grundlagen der Autorisierung

Autorisierung: Gewährung von Zugriffsrechten

Nachdem die Identität eines Benutzers authentifiziert wurde, kommt die Autorisierung ins Spiel. Hierbei wird festgelegt, welche Berechtigungen und Zugriffsrechte der Benutzer auf Ressourcen und Systeme erhält. Dies stellt sicher, dass Benutzer nur auf die Informationen und Funktionen zugreifen können, die sie für ihre Aufgaben benötigen, und sensible Bereiche vor unbefugtem Zugriff geschützt bleiben.

Verschiedene Methoden können zur Autorisierung eingesetzt werden, wie zum Beispiel:

  • Zugriffskontrolllisten (ACLs): Listen, die festlegen, welche Benutzer auf welche Ressourcen zugreifen dürfen.
  • Rollenbasierte Zugriffskontrolle (RBAC): Weist Berechtigungen basierend auf der Rolle eines Benutzers in der Organisation zu.
  • Attributbasierte Zugriffskontrolle (ABAC): Ermöglicht granularere Zugriffskontrollen basierend auf einer Vielzahl von Attributen, wie z. B. Benutzeridentität, Gerätetyp, Uhrzeit und Ort des Zugriffs.

Vergleich Authentifizierung vs. Autorisierung

Bezug zur NIS2-Richtlinie

Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) setzt strenge Anforderungen an Unternehmen, um ein hohes Maß an Cybersicherheit zu gewährleisten. Dies umfasst sowohl technische als auch organisatorische Maßnahmen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten.

Bezug zur Authentifizierung und Autorisierung:

  • Artikel 21 Absatz 2 (j) der NIS2-Richtlinie hebt die Notwendigkeit von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung hervor. Dies zeigt die Wichtigkeit der Authentifizierung als erste Verteidigungslinie gegen unbefugten Zugriff.
  • Absatz 2 (i) bezieht sich auf Konzepte für die Zugriffskontrolle und das Management von Anlagen, was die Bedeutung der Autorisierung unterstreicht. Hier geht es darum sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten und Systeme haben.

Mehr zum Thema NIS-2 Richtlinie: Was bedeutet NIS-2 für Unternehmen in Deutschland

Bezug zur ISO/IEC 27001

Es gibt nicht nur regulatorische Vorgaben, die auf IAM abzielen, sondern auch internationale Standards wie die ISO/IEC 27001, die eine entscheidende Rolle bei der Gestaltung und Umsetzung effektiver Identitäts- und Zugriffsverwaltungssysteme (IAM) spielen.

Abschnitt der RichtlinieISO/IEC 27001 AbschnittDescription
Benutzerregistrierung und -verwaltungA.9.2.1 – Benutzerregistrierung und -abmeldungFormalisiertes Verfahren zur Erstellung und Genehmigung von Benutzeridentitäten; Identitätsprüfung vor Erstellung
Authentifizierung und AutorisierungA.9.2.2 – BenutzerzugriffsbereitstellungImplementierung von Mehrfaktor-Authentifizierung (MFA); Nutzung von rollenbasierter Zugriffskontrolle (RBAC); Prinzip der minimalen Rechte (Least Privilege Principle)
Überwachung und ReportingA.12.4.1 – EreignisprotokollierungProtokollierung von Zugriffsversuchen und -änderungen; regelmäßige Überprüfungen der Zugriffsrechte und Protokolle; Meldung von verdächtigen Aktivitäten oder Sicherheitsvorfällen
Überprüfung und AktualisierungA.18.2.2 – Bewertung der EinhaltungJährliche oder bedarfsweise Überprüfung und Aktualisierung der Richtlinie
VerantwortlichkeitenA.6.1.1 – Definition der Informationssicherheitsrollen und -verantwortlichkeitenVerantwortlichkeiten des Datenschutz- und Informationssicherheitsteams (DST) und der IT-Abteilung
SanktionenA.7.2.3 – Konsequenzen bei Nichterfüllung der SicherheitsanforderungenAnalyse und Schulungsmaßnahmen bei unbeabsichtigten Verstößen; arbeitsrechtliche Maßnahmen bei vorsätzlichen Verstößen

Weitere spannende Blogbeiträge