Was ist Authentifizierung?

Was ist Authentifizierung?

In einem Computersystem ist die Authentifizierung (kurz „auth“) der Prozess, der überprüft, ob ein Benutzer derjenige ist, für den er sich ausgibt. Die meisten Authentifizierungssysteme basieren auf Authentifizierungsfaktoren. Dabei handelt es sich um Elemente (eine Magnetstreifenkarte), Merkmale (ein Fingerabdruck-Scan) oder Informationen (ein PIN-Code), die nur der Benutzer kennt.

Stellen Sie sich ein gängiges Authentifizierungsszenario vor: Es wird eine Benutzer-ID und ein Kennwort eingegeben, um sich bei einem E-Mail-Konto anzumelden. Wenn ein Benutzer seine Benutzer-ID eingibt (in diesem Fall wahrscheinlich seine E-Mail-Adresse), teilt er dem E-Mail-System mit: „Das bin ich.“

Dies reicht jedoch nicht aus, um die Identität des Endbenutzers zu überprüfen. Jeder kann eine beliebige Benutzer-ID eingeben, insbesondere wenn es sich bei der ID eines Benutzers um eine öffentlich verfügbare Adresse handelt, z. B. um eine E-Mail-Adresse. Um zu beweisen, dass dies wirklich der Inhaber einer E-Mail-Adresse ist, gibt der Benutzer sein Passwort ein – ein geheimes Kennwort, über das (theoretisch) niemand sonst verfügen sollte. Das E-Mail-System identifiziert dann, dass es sich bei diesem Benutzer um den tatsächlichen Kontoinhaber handelt, und gewährt ihm Zugriff.

Authentifizierungsprozesse können auch die Identitäten von nicht-menschlichen Benutzern wie Servern, Webanwendungen und anderen Maschinen und Workloads bestätigen.

Authentifizierung ist ein grundlegender Bestandteil der Informationssicherheitsstrategie . Dies ist insbesondere für das Identity und Access Management (IAM) von Bedeutung, die Disziplin der Cybersicherheit, die sich damit befasst, wie Benutzer auf digitale Ressourcen zugreifen. Durch die Authentifizierung können Unternehmen den Netzwerkzugriff auf legitime Benutzer als ersten Schritt zur Durchsetzung individueller Benutzerberechtigungen beschränken.

Heutzutage sind Benutzeridentitäten das Hauptziel von Bedrohungsakteuren. Laut IBM X-Force Threat Intelligence Index ist das Hijacking gültiger Benutzerkonten mit 30 % aller Cyberangriffe die häufigste Methode für Angreifer, in Netzwerke einzudringen . Hacker stehlen Zugangsdaten und geben sich dann als legitime Benutzer aus, sodass sie sich an der Netzwerkabwehr vorbeischleichen können, um Malware einzuschleusen und Daten zu stehlen.

Um diese identitätsbasierten Angriffe zu bekämpfen, wenden sich viele Unternehmen von rein passwortbasierten Authentifizierungsmethoden ab. Stattdessen setzen sie Multi-Faktor-Authentifizierung, adaptive Authentifizierung und andere effektive Authentifizierungssysteme ein, mit denen der Diebstahl oder die Fälschung von Benutzerberechtigungsnachweisen schwieriger gestaltet wird.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Authentifizierung im Vergleich zu Autorisierung

Authentifizierung und Autorisierung sind verwandte, aber unterschiedliche Prozesse. Bei der Authentifizierung wird die Identität eines Benutzers überprüft, während bei der Autorisierung diesem verifizierten Benutzer die entsprechende Zugriffsstufe auf eine Ressource gewährt wird.

Man kann sich Authentifizierung und Autorisierung als Antwort auf zwei sich ergänzende Fragen vorstellen:

  • Authentifizierung: Wer sind Sie?

  • Autorisierung: Was dürfen Sie in diesem System tun?

Die Authentifizierung ist in der Regel eine Voraussetzung für die Autorisierung. Wenn sich beispielsweise ein Netzwerkadministrator in einem sicheren System anmeldet, muss er nachweisen, dass er ein Administrator ist, indem er die richtigen Authentifizierungsfaktoren angibt. Erst dann autorisiert das IAM-System den Benutzer, administrative Aktionen durchzuführen, wie z. B. das Hinzufügen und Entfernen anderer Benutzer.

Wie funktioniert die Benutzerauthentifizierung?

Auf hoher Ebene basiert die Authentifizierung auf dem Austausch von Zugangsdaten von Benutzern, die auch als Authentifizierungsfaktoren bezeichnet werden. Ein Benutzer gibt seine Zugangsdaten an das Authentifizierungssystem weiter. Wenn sie mit den Daten im System übereinstimmen, authentifiziert das System den Benutzer.

Um dies genauer zu verdeutlichen, kann man den Authentifizierungsprozess in eine Reihe von Schritten unterteilen:

  1. Zunächst muss ein neuer Benutzer ein Konto in einem Authentifizierungssystem erstellen. Bei der Erstellung dieses Kontos registriert der Benutzer eine Reihe von Authentifizierungsfaktoren, die von einfachen Passwörtern bis hin zu Physical Security Token und Fingerabdruck-Scans reichen können. (Weitere Informationen finden Sie unter „Authentifizierungsfaktoren“.)

    Diese Faktoren sollten Informationen sein, die nur dem Benutzer vorliegen. Auf diese Weise kann das Authentifizierungssystem mit hoher Sicherheit davon ausgehen, dass es sich bei der Person, die diese Faktoren angeben kann, um den Benutzer handeln muss.

  2. Das Authentifizierungssystem speichert die Zugangsdaten des Benutzers in einem Verzeichnis oder einer Datenbank, wo sie mit der Benutzer-ID und anderen wichtigen Attributen verknüpft sind.

    Aus Sicherheitsgründen speichern Authentifizierungssysteme Zugangsdaten normalerweise nicht als Klartext. Stattdessen speichern sie gehashte oder verschlüsselte Versionen, was sich für Hacker, die Zugriff darauf erhalten, als weniger darstellt.

  3. Wenn sich der Benutzer im System anmelden möchte, gibt er seine Benutzer-ID und die von ihm registrierten Authentifizierungsfaktoren an. Das Authentifizierungssystem überprüft den Verzeichniseintrag für diese Benutzer-ID, um zu sehen, ob die Anmeldedaten mit den im Verzeichnis gespeicherten Anmeldedaten übereinstimmen. Wenn dies der Fall ist, überprüft das Authentifizierungssystem die Identität des Benutzers.

    Was der verifizierte Benutzer als Nächstes tun kann, hängt vom separaten, aber verwandten Autorisierungsprozess ab.

Während in diesem Beispiel von einem menschlichen Benutzer ausgegangen wird, ist die Authentifizierung für nichtmenschliche Benutzer im Allgemeinen identisch. Wenn ein Entwickler beispielsweise zum ersten Mal eine App mit einer Programmierschnittstelle (API) verbindet, kann die API einen API-Schlüssel generieren. Der Schlüssel ist ein geheimer Wert, den nur die API und die App kennen. Von da an muss die App bei jedem Aufruf dieser API ihren Schlüssel anzeigen, um zu beweisen, dass der Aufruf echt ist.

Authentifizierungsfaktoren

Es gibt vier Arten von Authentifizierungsfaktoren, die Benutzer zum Nachweis ihrer Identität verwenden können:

Geheimes Wissen (Etwas, das nur der Benutzer weiß)

Beim geheimen Wissen handelt es sich um Informationen, die theoretisch nur der Benutzer kennt, wie z. B. Passwörter, PINs und Antworten auf Sicherheitsfragen. Geheimes Wissen ist zwar weit verbreitet, es gilt aber auch als die am einfachsten zu stehlenden oder zu knackenden Faktoren.
Besitzfaktoren (etwas, das der Benutzer besitzt)

Besitzfaktoren sind Dinge, die einem Benutzer gehören. Während einige Benutzer über dedizierte Hardware-Sicherheitstoken verfügen, die ausschließlich als Besitzfaktor dienen, nutzen viele Menschen ihre mobilen Geräte.

Beispielsweise kann ein Benutzer eine Authentifizierungs-App installieren, die Einmalkennwörter (OTPs) generiert, die nach einmaliger Verwendung ablaufen. Benutzer können OTPs auch per SMS-Textnachricht erhalten.

Maschinen und Workloads verwenden häufig digitale Zertifikate als Besitzfaktoren, die von vertrauenswürdigen Dritten ausgestellt wurden.
Inhärenzfaktoren (Etwas, das der Benutzer ist)

Inhärenzfaktoren sind körperliche Merkmale, die nur für den jeweiligen Benutzer gelten. Diese Kategorie umfasst biometrische Authentifizierungsmethoden wie die Gesichtserkennung und das Scannen von Fingerabdrücken.
Verhaltensfaktoren (Etwas, das der Benutzer tut)

Verhaltensfaktoren sind Verhaltensmuster wie der typische IP-Adressbereich einer Person, die Aktivitätsstunden und die durchschnittliche Tippgeschwindigkeit.

Adaptive Authentifizierungsschemata verwenden häufig Verhaltensfaktoren, um das Risikoniveau eines Benutzers zu bewerten. (Weitere Informationen finden Sie unter „Arten der Authentifizierung.“)

Single Sign-on, Identity Federation und Identity Orchestration

Traditionell verfügte jede einzelne App, Website oder andere Ressource über ein eigenes IAM-System für die Benutzerauthentifizierung. Mit dem Aufkommen der digitalen Transformation und der Verbreitung von Unternehmens- und Verbraucher-Apps ist dieses fragmentierte System umständlich und unbequem geworden.

Unternehmen haben Schwierigkeiten, Benutzer zu verfolgen und einheitliche Zugriffsrichtlinien im gesamten Netzwerk durchzusetzen. Benutzer übernehmen schlechte Sicherheitsangewohnheiten, wie z. B. die Verwendung einfacher Passwörter oder die Wiederverwendung von Anmeldeinformationen in verschiedenen Systemen.

Als Reaktion darauf setzen viele Unternehmen auf einheitlichere Identitätsansätze, bei denen ein einziges System Benutzer für eine Vielzahl von Apps und Ressourcen authentifizieren kann.

  • Single Sign-On (SSO) ist ein Authentifizierungsschema, bei dem sich Benutzer mit einem einzigen Satz an Anmeldedaten einmalig anmelden und auf mehrere Anwendungen innerhalb einer bestimmten Domain zugreifen können.
  • Eine föderierte Identitätsarchitektur ist eine umfassendere Authentifizierungsanordnung, bei der ein System Benutzer für ein anderes authentifizieren kann. Anmeldungen in sozialen Netzwerken, z. B. die Verwendung eines Google-Kontos, um sich auf einer anderen Website anzumelden, sind eine gängige Form der föderierten Identität.
  • Identity Orchestration entfernt Identitäten und Authentifizierungen aus einzelnen Systemen und behandelt die Identität als eigenständige Netzwerkschicht. Lösungen mit Identity Orchestration enthalten eine Integrationsebene namens Identity Fabric. Damit können Unternehmen benutzerdefinierte Authentifizierungssysteme zur Integration aller Apps und Assets erstellen.

Arten der Authentifizierung

Verschiedene Authentifizierungssysteme verwenden unterschiedliche Authentifizierungsschemata. Einige der häufigsten Beispiele sind:

  • Ein-Faktor-Authentifizierung
  • Multi-Faktor-Authentifizierung und Zwei-Faktor-Authentifizierung
  • Adaptive Authentifizierung
  • Authentifizierung ohne Kennwort

Ein-Faktor-Authentifizierung

Bei einer Ein-Faktor-Authentifizierung (SFA) müssen Benutzer nur einen Authentifizierungsfaktor angeben, um ihre Identität nachzuweisen. Die meisten SFA-Systeme basieren auf Kombinationen aus Benutzernamen und Passwort.

SFA gilt als die am wenigsten sichere Art der Authentifizierung, da Hacker nur eine einzige Zugangsberechtigung stehlen müssen, um das Konto eines Benutzers zu übernehmen. Die US-Behörde für Cybersicherheit und Infrastruktur (CISA) rät offiziell von der Nutzung von SFA ab.

Mehrfaktorauthentifizierung

Methoden der Multi-Faktor-Authentifizierung (MFA) erfordern mindestens zwei ganz unterschiedliche Faktoren. MFA gilt als effektiver als SFA, da Hacker mehrere Anmeldedaten stehlen müssen, um Benutzerkonten zu übernehmen. MFA-Systeme verwenden in der Regel auch Anmeldedaten, die viel schwerer zu stehlen sind als Passwörter.

Die Zwei-Faktor-Authentifizierung (2FA) ist eine Unterkategorie der MFA, bei der genau zwei Authentifizierungsfaktoren verwendet werden. Dies ist wahrscheinlich die heute am häufigsten verwendete Form von MFA. Zum Beispiel fordert eine Website, dass Benutzer sowohl ein Passwort als auch einen Code eingeben, der an ihre Telefonnummer gesendet wird. Das ist ein 2FA-Schema, wie es leibt und lebt.

Adaptive Authentifizierung

Adaptive Authentifizierungssysteme, die manchmal auch als risikobasierte Authentifizierung bezeichnet werden, verwenden künstliche Intelligenz (KI) und maschinelles Lernen (ML), um das Benutzerverhalten zu analysieren und das Risikoniveau zu berechnen. Adaptive Authentifizierungssysteme ändern die Authentifizierungsanforderungen dynamisch, je nachdem, wie riskant das Verhalten eines Benutzers gerade ist.

Wenn sich jemand beispielsweise von seinem gewohnten Gerät und Standort aus bei einem Konto anmeldet, muss er möglicherweise nur sein Passwort eingeben. Wenn sich der Benutzer mit demselben Konto von einem neuen Gerät anmeldet oder auf sensible Daten zugreifen möchte, könnte das adaptive Authentifizierungssystem zusätzliche Authentifizierungsfaktoren anfordern, bevor der Benutzer fortfahren kann.

Authentifizierung ohne Kennwort

Die passwortlose Authentifizierung ist ein Authentifizierungssystem, das keine Kennwörter oder andere geheime Informationen verwendet. Der Authentifizierungsstandard Fast Identity Online 2 (FIDO2) ersetzt Passwörter durch Passkeys, die auf Public-Key-Kryptografie basieren.

Im Rahmen von FIDO2 registriert ein Benutzer sein Gerät als Authenticator bei einer App, einer Website oder einem anderen Dienst. Bei der Registrierung wird eine Kombination aus einem öffentlichen und einem privaten Schlüssel erstellt. Der öffentliche Schlüssel wird mit dem Dienst geteilt und der private Schlüssel wird auf dem Gerät des Benutzers gespeichert.

Wenn sich der Benutzer beim Service anmelden möchte, sendet der Service eine Aufforderung an sein Gerät. Der Benutzer antwortet, indem er einen PIN-Code eingibt, seinen Fingerabdruck scannt oder eine andere Aktion durchführt. Diese Aktion ermöglicht es dem Gerät, den privaten Schlüssel zu verwenden, um die Abfrage zu signieren und die Identität des Benutzers nachzuweisen.

Unternehmen setzen zunehmend auf passwortlose Authentifizierung, um sich gegen Datendiebstahl zu schützen, der sich meist auf die vergleichsweise einfach zu stehlenden Wissensfaktoren konzentriert.

Andere Arten der Authentifizierung

  • Security Assertion Markup Language (SAML) ist ein offener Standard, der es Anwendungen und Diensten ermöglicht, Benutzerauthentifizierungsinformationen über XML-Nachrichten zu teilen. Viele SSO-Systeme verwenden SAML-Assertionen, um Benutzer für integrierte Apps zu authentifizieren.

  • OAuth und OpenID Connect (OIDC): OAuth ist ein tokenbasiertes Autorisierungsprotokoll, das es Benutzern ermöglicht, einer App Zugriff auf Daten in einer anderen App zu gewähren, ohne Anmeldeinformationen zwischen diesen Apps zu teilen. Wenn ein Benutzer beispielsweise seine E-Mail-Kontakte von einer Social-Media-Website importieren lässt, wird bei diesem Prozess häufig OAuth verwendet.

    OAuth ist kein Authentifizierungsprotokoll, kann aber mit OpenID Connect (OIDC) kombiniert werden, einer Identitätsebene, die auf dem OAuth-Protokoll aufbaut. ODIC fügt ID-Token zusammen mit den Autorisierungstoken von OAuth hinzu. Diese ID-Token können einen Benutzer authentifizieren und Informationen zu seinen Attributen enthalten.

  • Kerberos ist ein ticketbasiertes Authentifizierungsschema, das häufig in Microsoft Active Directory-Domains verwendet wird. Benutzer und Dienste authentifizieren sich bei einem zentralen Schlüsselverteilungszentrum, das ihnen Tickets gewährt, mit denen sie sich untereinander authentifizieren und auf andere Ressourcen in derselben Domain zugreifen können.

Darum ist Authentifizierung so wichtig

Während Cybersicherheitskontrollen immer effektiver werden, lernen Bedrohungsakteure, sie zu umgehen, anstatt sie direkt anzugehen. Effektive Authentifizierungsprozesse können dazu beitragen, identitätsbasierte Cyberangriffe zu stoppen, bei denen Hacker Benutzerkonten stehlen und deren gültige Berechtigungen missbrauchen, um sich an Netzwerkabwehrmechanismen vorbei zu schleichen und Schaden anzurichten.

Identitätsbasierte Angriffe sind laut X-Force Threat Intelligence Index der häufigste ursprüngliche Angriffsvektor, und Bedrohungsakteure haben viele Taktiken, um Anmeldedaten zu stehlen. Benutzerpasswörter, auch starke Passwörter, lassen sich leicht durch Brute-Force-Angriffe knacken, bei denen Hacker mithilfe von Bots und Skripten mögliche Passwörter systematisch testen, bis eines funktioniert.

Bedrohungsakteure können Social-Engineering Taktiken einsetzen, um Zielpersonen dazu zu bringen, ihre Passwörter preiszugeben. Sie können direktere Methoden ausprobieren, z. B. Man-in-the-Middle-Angriffe oder Spyware auf den Geräten der Opfer installieren. Angreifer sind sogar dazu in der Lage, Zugangsdaten im Dark Web von anderen Hackern zu kaufen, die diese bei früheren Verstößen gestohlen haben.

Dennoch verwenden viele Unternehmen immer noch ineffektive Authentifizierungssysteme. Laut X-Force Threat Intelligence Index sind Identifizierungs- und Authentifizierungsfehler die am zweithäufigsten beobachteten Sicherheitsrisiken für Webanwendungen.

Starke Authentifizierungsprozesse können zum Schutz von Benutzerkonten – und den Systemen, auf die sie zugreifen können – beitragen, indem sie es Hackern erschweren, Anmeldedaten zu stehlen und sich als legitime Benutzer auszugeben.

Zum Beispiel sorgt die Multi-Faktor-Authentifizierung (MFA) dafür, dass Hacker mehrere Authentifizierungsfaktoren stehlen müssen, einschließlich physischer Geräte oder sogar biometrischer Daten, um sich als Benutzer auszugeben. Adaptive Authentifizierungsschemata erkennen ebenfalls, wenn Benutzer riskantes Verhalten an den Tag legen, und stellen zusätzliche Authentifizierungsanforderungen, bevor sie fortfahren können. Dies kann dazu beitragen, Versuche von Angreifern zu blockieren, gestohlene Konten zu missbrauchen.

Durch die Stärkung der Cybersicherheit kann auch die Authentifizierung dazu beitragen, zusätzlichen Nutzen zu erzielen. Eine Studie des IBM Institute for Business Value ergab beispielsweise, dass 66 % der Führungskräfte im Betrieb die Cybersicherheit als Umsatzfaktor betrachten.

Anwendungsfälle für die Authentifizierung

Authentifizierungssysteme können auch bestimmte Anwendungsfälle bedienen, die über die Sicherung einzelner Benutzerkonten hinausgehen, darunter:

  • Zugriffskontrolle: Um granulare Zugriffsrichtlinien durchzusetzen und zu überwachen, was Benutzer in ihren Netzwerken tun, benötigen Unternehmen eine Möglichkeit, um zu bestimmen, wer welche Rolle in ihren Systemen übernimmt. Die Authentifizierung ermöglicht es Unternehmen, den Netzwerkzugriff auf legitime Benutzer zu beschränken, sicherzustellen, dass jeder Benutzer über die richtigen Berechtigungen verfügt, und Aktivitäten bestimmten Benutzern zuzuordnen.

  • Einhaltung gesetzlicher Vorschriften: Viele Vorschriften zur Datensicherheit und zum Datenschutz erfordern strenge Zugriffskontrollrichtlinien und eine umfassende Verfolgung der Benutzeraktivitäten. Einige Vorschriften, wie der Payment Card Industry Data Security Standard (PCI DSS), schreiben die Verwendung von MFA-Systemen ausdrücklich vor.1

  • KI-Sicherheit: Da Bedrohungsakteure KI -Tools einsetzen, um komplexe Cyberangriffe durchzuführen, können starke Authentifizierungsmaßnahmen dazu beitragen, selbst komplexe Bedrohungen zu vereiteln. Zum Beispiel können Betrüger generative KI verwenden, um überzeugende Phishing-Nachrichten zu verfassen und mehr Passwörter zu stehlen, während adaptive Authentifizierungssysteme eine Hilfe dabei sind, diese Betrüger zu fangen, falls sie versuchen, Kontoberechtigungen zu missbrauchen.
Weitere Lösungen
Passwortlose Authentifizierung IBM Verify

Erweitern sie die Basisauthentifizierung mit passwortlosen und Mehrfaktor-Optionen.

 Die passwortlose Authentifizierung IBM Verify erkunden
Sicherheitslösungen

Sichern Sie Ihre Hybrid-Cloud- und KI-Umgebungen mit intelligentem, automatisiertem Schutz von Daten, Identität und vor Bedrohungen.

 Sicherheitslösungen entdecken
Services für Identitäts- und Zugriffsmanagement

Schützen und verwalten Sie den Benutzerzugriff mit automatisierten Identitätskontrollen und risikobasierter Governance in Hybrid-Cloud-Umgebungen.

         IAM-Services erkunden
    Machen Sie den nächsten Schritt

    Erfahren Sie, wie die passwortlose Authentifizierung Ihre Konten zusätzlich schützen und Ihnen eine detaillierte, kontextbezogene Kontrolle über den Zugriff auf die Anwendung ermöglichen kann.

         Die passwortlose Authentifizierung IBM Verify entdecken Sicherheitslösungen entdecken