Mein IBM Anmelden Abonnieren

Startseite

Think

Themen

Authentifizierung

 Was ist Authentifizierung?

Was ist Authentifizierung?
Entdecken Sie die Authentifizierungslösung von IBM Für den Think Newsletter anmelden
Abbildung mit Collage aus Wolkenpiktogrammen, Handy, Fingerabdruck, Häkchen

Veröffentlicht: 18. Juni 2024

Mitwirkender: Matthew Kosinski
Was ist Authentifizierung?

Was ist Authentifizierung?

In einem Computersystem ist die Authentifizierung (kurz „auth“) der Prozess, der überprüft, ob ein Benutzer derjenige ist, für den er sich ausgibt. Die meisten Authentifizierungssysteme basieren auf Authentifizierungsfaktoren. Dabei handelt es sich um Elemente (eine Magnetstreifenkarte), Merkmale (ein Fingerabdruck-Scan) oder Informationen (ein PIN-Code), die nur der Benutzer kennt.

Stellen Sie sich ein gängiges Authentifizierungsszenario vor: Es wird eine Benutzer-ID und ein Kennwort eingegeben, um sich bei einem E-Mail-Konto anzumelden. Wenn ein Benutzer seine Benutzer-ID eingibt (in diesem Fall wahrscheinlich seine E-Mail-Adresse), teilt er dem E-Mail-System mit: „Das bin ich.“

Dies reicht jedoch nicht aus, um die Identität des Endbenutzers zu überprüfen. Jeder kann eine beliebige Benutzer-ID eingeben, insbesondere wenn es sich bei der ID eines Benutzers um eine öffentlich verfügbare Adresse handelt, z. B. um eine E-Mail-Adresse. Um zu beweisen, dass dies wirklich der Inhaber einer E-Mail-Adresse ist, gibt der Benutzer sein Passwort ein – ein geheimes Kennwort, über das (theoretisch) niemand sonst verfügen sollte. Das E-Mail-System identifiziert dann, dass es sich bei diesem Benutzer um den tatsächlichen Kontoinhaber handelt, und gewährt ihm Zugriff.

Authentifizierungsprozesse können auch die Identitäten von nicht-menschlichen Benutzern wie Servern, Webanwendungen und anderen Maschinen und Workloads bestätigen.

Authentifizierung ist ein grundlegender Bestandteil der Informationssicherheitsstrategie . Dies ist insbesondere für das Identity und Access Management (IAM) von Bedeutung, die Disziplin der Cybersicherheit, die sich damit befasst, wie Benutzer auf digitale Ressourcen zugreifen. Durch die Authentifizierung können Unternehmen den Netzwerkzugriff auf legitime Benutzer als ersten Schritt zur Durchsetzung individueller Benutzerberechtigungen beschränken.

Heutzutage sind Benutzeridentitäten das Hauptziel von Bedrohungsakteuren. Laut IBM X-Force Threat Intelligence Index ist das Hijacking gültiger Benutzerkonten mit 30 % aller Cyberangriffe die häufigste Methode für Angreifer, in Netzwerke einzudringen. Hacker stehlen Zugangsdaten und geben sich dann als legitime Benutzer aus, sodass sie sich an der Netzwerkabwehr vorbeischleichen können, um Malware einzuschleusen und Daten zu stehlen.

Um diese identitätsbasierten Angriffe zu bekämpfen, wenden sich viele Unternehmen von rein passwortbasierten Authentifizierungsmethoden ab. Stattdessen setzen sie Multi-Faktor-Authentifizierung, adaptive Authentifizierung und andere effektive Authentifizierungssysteme ein, mit denen der Diebstahl oder die Fälschung von Benutzerberechtigungsnachweisen schwieriger gestaltet wird. 

Authentifizierung im Vergleich zu Autorisierung

Authentifizierung und Autorisierung sind verwandte, aber unterschiedliche Prozesse. Bei der Authentifizierung wird die Identität eines Benutzers überprüft, während bei der Autorisierung diesem verifizierten Benutzer die entsprechende Zugriffsstufe auf eine Ressource gewährt wird.

Man kann sich Authentifizierung und Autorisierung als Antwort auf zwei sich ergänzende Fragen vorstellen:

  • Authentifizierung: Wer sind Sie?

  • Autorisierung: Was dürfen Sie in diesem System tun?

Die Authentifizierung ist in der Regel eine Voraussetzung für die Autorisierung. Wenn sich beispielsweise ein Netzwerkadministrator in einem sicheren System anmeldet, muss er nachweisen, dass er ein Administrator ist, indem er die richtigen Authentifizierungsfaktoren angibt. Erst dann autorisiert das IAM-System den Benutzer, administrative Aktionen durchzuführen, wie z. B. das Hinzufügen und Entfernen anderer Benutzer. 
KuppingerCole Access Management Leadership Compass

Erfahren Sie, warum Unternehmen, die nach ausgereiften, skalierbaren und sicheren Authentifizierungslösungen für Unternehmen suchen, IBM in Betracht ziehen sollten.
Ähnliche Inhalte Registrieren Sie sich für den X-Force Threat Intelligence Index
Wie funktioniert die Benutzerauthentifizierung?

Wie funktioniert die Benutzerauthentifizierung?

Auf hoher Ebene basiert die Authentifizierung auf dem Austausch von Zugangsdaten von Benutzern, die auch als Authentifizierungsfaktoren bezeichnet werden. Ein Benutzer gibt seine Zugangsdaten an das Authentifizierungssystem weiter. Wenn sie mit den Daten im System übereinstimmen, authentifiziert das System den Benutzer.

Um dies genauer zu verdeutlichen, kann man den Authentifizierungsprozess in eine Reihe von Schritten unterteilen:

  1. Zunächst muss ein neuer Benutzer ein Konto in einem Authentifizierungssystem erstellen. Bei der Erstellung dieses Kontos registriert der Benutzer eine Reihe von Authentifizierungsfaktoren, die von einfachen Passwörtern bis hin zu Physical Security Token und Fingerabdruck-Scans reichen können. (Weitere Informationen finden Sie unter „Authentifizierungsfaktoren“.)

    Diese Faktoren sollten Informationen sein, die nur dem Benutzer vorliegen. Auf diese Weise kann das Authentifizierungssystem mit hoher Sicherheit davon ausgehen, dass es sich bei der Person, die diese Faktoren angeben kann, um den Benutzer handeln muss.

  2. Das Authentifizierungssystem speichert die Zugangsdaten des Benutzers in einem Verzeichnis oder einer Datenbank, wo sie mit der Benutzer-ID und anderen wichtigen Attributen verknüpft sind.

    Aus Sicherheitsgründen speichern Authentifizierungssysteme Zugangsdaten normalerweise nicht als Klartext. Stattdessen speichern sie gehashte oder verschlüsselte Versionen, was sich für Hacker, die Zugriff darauf erhalten, als weniger darstellt.

  3. Wenn sich der Benutzer im System anmelden möchte, gibt er seine Benutzer-ID und die von ihm registrierten Authentifizierungsfaktoren an. Das Authentifizierungssystem überprüft den Verzeichniseintrag für diese Benutzer-ID, um zu sehen, ob die Anmeldedaten mit den im Verzeichnis gespeicherten Anmeldedaten übereinstimmen. Wenn dies der Fall ist, überprüft das Authentifizierungssystem die Identität des Benutzers.

    Was der verifizierte Benutzer als Nächstes tun kann, hängt vom separaten, aber verwandten Autorisierungsprozess ab.

Während in diesem Beispiel von einem menschlichen Benutzer ausgegangen wird, ist die Authentifizierung für nichtmenschliche Benutzer im Allgemeinen identisch. Wenn ein Entwickler beispielsweise zum ersten Mal eine App mit einer Programmierschnittstelle (API) verbindet, kann die API einen API-Schlüssel generieren. Der Schlüssel ist ein geheimer Wert, den nur die API und die App kennen. Von da an muss die App bei jedem Aufruf dieser API ihren Schlüssel anzeigen, um zu beweisen, dass der Aufruf echt ist.

Authentifizierungsfaktoren

Es gibt vier Arten von Authentifizierungsfaktoren, die Benutzer zum Nachweis ihrer Identität verwenden können:
Geheimes Wissen (Etwas, das nur der Benutzer weiß)

Beim geheimen Wissen handelt es sich um Informationen, die theoretisch nur der Benutzer kennt, wie z. B. Passwörter, PINs und Antworten auf Sicherheitsfragen. Geheimes Wissen ist zwar weit verbreitet, es gilt aber auch als die am einfachsten zu stehlenden oder zu knackenden Faktoren.
Besitzfaktoren (etwas, das der Benutzer besitzt)

Besitzfaktoren sind Dinge, die einem Benutzer gehören. Während einige Benutzer über dedizierte Hardware-Sicherheitstoken verfügen, die ausschließlich als Besitzfaktor dienen, nutzen viele Menschen ihre mobilen Geräte.

Beispielsweise kann ein Benutzer eine Authentifizierungs-App installieren, die Einmalkennwörter (OTPs) generiert, die nach einmaliger Verwendung ablaufen. Benutzer können OTPs auch per SMS-Textnachricht erhalten.

Maschinen und Workloads verwenden häufig digitale Zertifikate als Besitzfaktoren, die von vertrauenswürdigen Dritten ausgestellt wurden. 
Inhärenzfaktoren (Etwas, das der Benutzer ist)

Inhärenzfaktoren sind körperliche Merkmale, die nur für den jeweiligen Benutzer gelten. Diese Kategorie umfasst biometrische Authentifizierungsmethoden wie die Gesichtserkennung und das Scannen von Fingerabdrücken.
Verhaltensfaktoren (Etwas, das der Benutzer tut)

Verhaltensfaktoren sind Verhaltensmuster wie der typische IP-Adressbereich einer Person, die Aktivitätsstunden und die durchschnittliche Tippgeschwindigkeit.

Adaptive Authentifizierungsschemata verwenden häufig Verhaltensfaktoren, um das Risikoniveau eines Benutzers zu bewerten. (Weitere Informationen finden Sie unter „Arten der Authentifizierung.“)

Single Sign-on, Identity Federation und Identity Orchestration

Traditionell verfügte jede einzelne App, Website oder andere Ressource über ein eigenes IAM-System für die Benutzerauthentifizierung. Mit dem Aufkommen der digitalen Transformation und der Verbreitung von Unternehmens- und Verbraucher-Apps ist dieses fragmentierte System umständlich und unbequem geworden.

Unternehmen haben Schwierigkeiten, Benutzer zu verfolgen und einheitliche Zugriffsrichtlinien im gesamten Netzwerk durchzusetzen. Benutzer übernehmen schlechte Sicherheitsangewohnheiten, wie z. B. die Verwendung einfacher Passwörter oder die Wiederverwendung von Anmeldeinformationen in verschiedenen Systemen.

Als Reaktion darauf implementieren viele Unternehmen einheitlichere Identitätsansätze, bei denen ein einziges System Benutzer für verschiedene Apps und Assets authentifizieren kann. 

  • Single Sign-On (SSO) ist ein Authentifizierungsschema, bei dem sich Benutzer mit einem einzigen Satz an Anmeldedaten einmalig anmelden und auf mehrere Anwendungen innerhalb einer bestimmten Domain zugreifen können.
  • Eine föderierte Identitätsarchitektur ist eine umfassendere Authentifizierungsanordnung, bei der ein System Benutzer für ein anderes authentifizieren kann. Anmeldungen in sozialen Netzwerken, z. B. die Verwendung eines Google-Kontos, um sich auf einer anderen Website anzumelden, sind eine gängige Form der föderierten Identität.
  • Identity Orchestration entfernt Identität und Authentifizierung von einzelnen Systemen und behandelt die Identität als eigenständige Netzwerkschicht. Lösungen mit Identity Orchestration führen eine Integrationsebene namens Identity Fabric ein. Damit können Unternehmen benutzerdefinierte Authentifizierungssysteme zur Integration aller Anwendungen und Assets erstellen.
Arten der Authentifizierung

Arten der Authentifizierung

Verschiedene Authentifizierungssysteme verwenden unterschiedliche Authentifizierungsschemata. Einige der häufigsten Beispiele sind:

  • Ein-Faktor-Authentifizierung
  • Multi-Faktor-Authentifizierung und Zwei-Faktor-Authentifizierung
  • Adaptive Authentifizierung
  • Authentifizierung ohne Kennwort

Ein-Faktor-Authentifizierung

Bei einer Ein-Faktor-Authentifizierung (SFA) müssen Benutzer nur einen Authentifizierungsfaktor angeben, um ihre Identität nachzuweisen. Die meisten SFA-Systeme basieren auf Kombinationen aus Benutzernamen und Passwort.

SFA gilt als die am wenigsten sichere Art der Authentifizierung, da Hacker nur eine einzige Zugangsberechtigung stehlen müssen, um das Konto eines Benutzers zu übernehmen. Die US-Behörde für Cybersicherheit und Infrastruktur (CISA) rät offiziell von der Nutzung von SFA ab.

Mehrfaktorauthentifizierung

Methoden der Multi-Faktor-Authentifizierung (MFA) erfordern mindestens zwei ganz unterschiedliche Faktoren. MFA gilt als effektiver als SFA, da Hacker mehrere Anmeldedaten stehlen müssen, um Benutzerkonten zu übernehmen. MFA-Systeme verwenden in der Regel auch Anmeldedaten, die viel schwerer zu stehlen sind als Passwörter.

Die Zwei-Faktor-Authentifizierung (2FA) ist eine Unterkategorie der MFA, bei der genau zwei Authentifizierungsfaktoren verwendet werden. Dies ist wahrscheinlich die heute am häufigsten verwendete Form von MFA. Wenn Benutzer beispielsweise auf einer Website sowohl ein Passwort als auch einen Code eingeben müssen, der per SMS an ihr Telefon gesendet wird, handelt es sich um ein 2FA-Schema. 

Adaptive Authentifizierung

Adaptive Authentifizierungssysteme, die manchmal auch als risikobasierte Authentifizierung bezeichnet werden, verwenden künstliche Intelligenz (KI) und maschinelles Lernen (ML), um das Benutzerverhalten zu analysieren und das Risikoniveau zu berechnen. Adaptive Authentifizierungssysteme ändern die Authentifizierungsanforderungen dynamisch, je nachdem, wie riskant das Verhalten eines Benutzers gerade ist.

Wenn sich jemand beispielsweise von seinem gewohnten Gerät und Standort aus bei einem Konto anmeldet, muss er möglicherweise nur sein Passwort eingeben. Wenn sich derselbe Benutzer von einem neuen Gerät aus anmeldet oder versucht, auf sensible Daten zuzugreifen, kann das adaptive Authentifizierungssystem weitere Faktoren abfragen, bevor fortgefahren werden kann.  

Authentifizierung ohne Kennwort

Die passwortlose Authentifizierung ist ein Authentifizierungssystem, das keine Kennwörter oder andere geheime Informationen verwendet. Der Authentifizierungsstandard Fast Identity Online 2 (FIDO2) beispielsweise ersetzt Passwörter durch Passkeys, die auf Public-Key-Kryptografie basieren.  

Im Rahmen von FIDO2 registriert ein Benutzer sein Gerät als Authenticator bei einer App, einer Website oder einem anderen Dienst. Bei der Registrierung wird eine Kombination aus einem öffentlichen und einem privaten Schlüssel erstellt. Der öffentliche Schlüssel wird mit dem Dienst geteilt und der private Schlüssel wird auf dem Gerät des Benutzers gespeichert.

Wenn sich der Benutzer beim Service anmelden möchte, sendet der Service eine Aufforderung an sein Gerät. Der Benutzer antwortet, indem er einen PIN-Code eingibt, seinen Fingerabdruck scannt oder eine andere Aktion durchführt. Diese Aktion ermöglicht es dem Gerät, den privaten Schlüssel zu verwenden, um die Abfrage zu signieren und die Identität des Benutzers nachzuweisen.

Unternehmen setzen zunehmend auf passwortlose Authentifizierung, um sich gegen Datendiebstahl zu schützen, der sich meist auf die vergleichsweise einfach zu stehlenden Wissensfaktoren konzentriert.

Andere Arten der Authentifizierung
  • Security Assertion Markup Language (SAML) ist ein offener Standard, der es Anwendungen und Diensten ermöglicht, Benutzerauthentifizierungsinformationen über XML-Nachrichten zu teilen. Viele SSO-Systeme verwenden SAML-Assertionen, um Benutzer für integrierte Apps zu authentifizieren.  

  • OAuth und OpenID Connect (OIDC): OAuth ist ein tokenbasiertes Autorisierungsprotokoll, das es Benutzern ermöglicht, einer App Zugriff auf Daten in einer anderen App zu gewähren, ohne Anmeldeinformationen zwischen diesen Apps zu teilen. Wenn ein Benutzer beispielsweise seine E-Mail-Kontakte von einer Social-Media-Website importieren lässt, wird bei diesem Prozess häufig OAuth verwendet.

    OAuth ist kein Authentifizierungsprotokoll, kann aber mit OpenID Connect (OIDC) kombiniert werden, einer Identitätsschicht, die auf dem OAuth-Protokoll aufbaut. ODIC fügt ID-Token zusammen mit den Autorisierungstoken von OAuth hinzu. Diese ID-Token können einen Benutzer authentifizieren und Informationen zu seinen Attributen enthalten.

  • Kerberos ist ein ticketbasiertes Authentifizierungsschema, das häufig in Microsoft Active Directory-Domains verwendet wird. Benutzer und Dienste authentifizieren sich bei einem zentralen Schlüsselverteilungszentrum, das ihnen Tickets gewährt, mit denen sie sich untereinander authentifizieren und auf andere Ressourcen in derselben Domain zugreifen können.
Darum ist Authentifizierung so wichtig

Darum ist Authentifizierung so wichtig

Während Cybersicherheitskontrollen immer effektiver werden, lernen Bedrohungsakteure, sie zu umgehen, anstatt sie direkt anzugehen. Effektive Authentifizierungsprozesse können dazu beitragen, identitätsbasierte Cyberangriffe zu stoppen, bei denen Hacker Benutzerkonten stehlen und deren gültige Berechtigungen missbrauchen, um sich an Netzwerkabwehrmechanismen vorbei zu schleichen und Schaden anzurichten.

Identitätsbasierte Angriffe sind laut X-Force Threat Intelligence Index der häufigste ursprüngliche Angriffsvektor, und Bedrohungsakteure haben viele Taktiken, um Anmeldedaten zu stehlen. Benutzerpasswörter, auch starke Passwörter, lassen sich leicht durch Brute-Force-Angriffe knacken, bei denen Hacker mithilfe von Bots und Skripten mögliche Passwörter systematisch testen, bis eines funktioniert.

Bedrohungsakteure können Social-Engineering Taktiken einsetzen, um Zielpersonen dazu zu bringen, ihre Passwörter preiszugeben. Sie können direktere Methoden ausprobieren, z. B. Man-in-the-Middle-Angriffe oder Spyware auf den Geräten der Opfer installieren. Angreifer sind sogar dazu in der Lage, Zugangsdaten im Dark Web von anderen Hackern zu kaufen, die diese bei früheren Verstößen gestohlen haben.

Dennoch verwenden viele Unternehmen immer noch ineffektive Authentifizierungssysteme. Laut X-Force Threat Intelligence Index sind Identifizierungs- und Authentifizierungsfehler die am zweithäufigsten beobachteten Sicherheitsrisiken für Webanwendungen.

Starke Authentifizierungsprozesse können zum Schutz von Benutzerkonten – und den Systemen, auf die sie zugreifen können – beitragen, indem sie es Hackern erschweren, Anmeldedaten zu stehlen und sich als legitime Benutzer auszugeben.

Zum Beispiel sorgt die Multifaktor-Authentifizierung (MFA) dafür, dass Hacker mehrere Authentifizierungsfaktoren stehlen müssen, einschließlich physischer Geräte oder sogar biometrischer Daten, um sich als Benutzer auszugeben. Adaptive Authentifizierungsschemata erkennen ebenfalls, wenn Benutzer riskantes Verhalten an den Tag legen, und stellen zusätzliche Authentifizierungsanforderungen, bevor sie fortfahren können. Dies kann dazu beitragen, die Versuche von Angreifern zu blockieren, gestohlene Konten zu missbrauchen. 

Anwendungsfälle für die Authentifizierung

Authentifizierungssysteme können auch bestimmte Anwendungsfälle bedienen, die über die Sicherung einzelner Benutzerkonten hinausgehen, darunter:

  • Zugriffskontrolle: Um granulare Zugriffsrichtlinien durchzusetzen und zu überwachen, was Benutzer in ihren Netzwerken tun, benötigen Unternehmen eine Möglichkeit, um zu bestimmen, wer welche Rolle in ihren Systemen übernimmt. Die Authentifizierung ermöglicht es Unternehmen, den Netzwerkzugriff auf legitime Benutzer zu beschränken, sicherzustellen, dass jeder Benutzer über die richtigen Berechtigungen verfügt, und Aktivitäten bestimmten Benutzern zuzuordnen.

  • Einhaltung gesetzlicher Vorschriften: Viele Vorschriften zur Datensicherheit und zum Datenschutz erfordern strenge Zugriffskontrollrichtlinien und eine umfassende Verfolgung der Benutzeraktivitäten. Einige Vorschriften, wie der Payment Card Industry Data Security Standard (PCI DSS), schreiben die Verwendung von MFA-Systemen ausdrücklich vor.1

  • KI-Sicherheit: Da Bedrohungsakteure KI -Tools einsetzen, um komplexe Cyberangriffe durchzuführen, können starke Authentifizierungsmaßnahmen dazu beitragen, selbst komplexe Bedrohungen zu vereiteln. Zum Beispiel können Betrüger generative KI verwenden, um überzeugende Phishing-Nachrichten zu verfassen und mehr Passwörter zu stehlen, während adaptive Authentifizierungssysteme eine Hilfe dabei sind, diese Betrüger zu fangen, falls sie versuchen, Kontoberechtigungen zu missbrauchen.
Weiterführende Lösungen

Weiterführende Lösungen

IBM Verify

Schützen und verwalten Sie Kunden-, Mitarbeiter- und privilegierte Identitäten in der Hybrid Cloud mit Hilfe von KI.

 IBM Verify erkunden
Services für das Identity und Access Management (IAM)

Umfassendes, sicheres und konformes Identity und Access Management (IAM) für das moderne Unternehmen.

 IAM-Services erkunden
IBM Security Risk Based Authentication Solution

Transparenter, auf Beweisen basierender Schutz vor Betrug in Verbindung mit einer Benutzerzugriffsverwaltung.

 Entdecken Sie die risikobasierte Authentifizierung
Ressourcen

Ressourcen

Data Breach Kosten Report

Machen Sie sich mit den Ursachen von Sicherheitsverletzungen und den Faktoren vertraut, die Kosten erhöhen oder senken.

 Cybersicherheit im Zeitalter generativer KI

Erfahren Sie, wie sich die heutige Sicherheitslandschaft verändert und wie Sie die Herausforderungen meistern und die Leistungsfähigkeit der generativen KI nutzen können.

 Was ist Identity und Access Management (IAM)?

Identity und Access Management (IAM) ist das Fachgebiet der Cybersicherheit, das sich damit beschäftigt, wie Benutzer auf digitale Ressourcen zugreifen und was sie mit diesen Ressourcen tun können.
Machen Sie den nächsten Schritt

IBM Security Verify ist eine führende IAM-Plattform, die KI-gestützte Funktionen zur Verwaltung Ihrer Belegschaft und Kundenanforderungen bietet. Vereinheitlichen Sie Identitätssilos, reduzieren Sie das Risiko identitätsbasierter Angriffe und ermöglichen Sie moderne Authentifizierung – auch passwortlos.

 Verify entdecken Testen Sie Verify 90 Tage lang
Fußnoten

1 „PCI DSS: v4.0“. PCI Security Standards Council März 2022. (Der Link befindet sich außerhalb von ibm.com.).

Produkte Kostenlose Testversionen Rabatte Services Branchen Kundenreferenzen Events THINK Blog Finanzierung Entwickler IBM Business Partner Neupartner (Startangebote) IBM Consulting Support Business Partner Meine IBM IBM Innovation Studio Munich IBM Innovation Studio Zurich Karriere Newsroom Teilnahme an der User Experience Research Investor-Relations IBM in DACH Gesetz zu Sorgfaltspflichten in der Lieferkette (LkSG) IBM Central Holding GmbH Frauenquote §289f HGB (PDF, 427 KB) X LinkedIn YouTube Deutschland — Deutsch Kontakt Datenschutz Nutzungsbedingungen Barrierefreiheit Impressum