Authentifizierung vs. Autorisierung: Was ist der Unterschied?

Authentifizierung und Autorisierung sind verwandte, aber unterschiedliche Prozesse im Identity and Access Management (IAM)-System eines Unternehmens. Die Authentifizierung überprüft die Identität eines Benutzers. Die Autorisierung gewährt dem Benutzer die entsprechende Zugriffsstufe auf die Systemressourcen.

Der Authentifizierungsprozess basiert auf Anmeldedaten wie Passwörtern oder Fingerabdruckscans, die Benutzer vorlegen, um zu beweisen, dass sie die Person sind, für die sie sich ausgeben.

Der Autorisierungsprozess basiert auf Benutzerberechtigungen, die festlegen, was jeder Benutzer innerhalb einer bestimmten Ressource oder eines bestimmten Netzwerks tun kann. Zum Beispiel können Berechtigungen in einem Dateisystem festlegen, ob ein Benutzer Dateien erstellen, lesen, aktualisieren oder löschen kann.

Authentifizierungs- und Autorisierungsprozesse gelten sowohl für menschliche als auch für nicht-menschliche Benutzer, wie z. B. Geräte, automatisierte Workloads und Webanwendungen. Ein einzelnes IAM-System kann sowohl die Authentifizierung als auch die Autorisierung übernehmen, oder die Prozesse können von separaten Systemen abgewickelt werden, die zusammenarbeiten.

Die Authentifizierung ist in der Regel eine Voraussetzung für die Autorisierung. Ein System muss wissen, wer ein Benutzer ist, bevor es diesem Benutzer Zugriff auf etwas gewähren kann.

Identitätsbasierte Angriffe, bei denen Hacker gültige Benutzerkonten kapern und deren Zugriffsrechte missbrauchen, sind auf dem Vormarsch. Laut dem IBM X-Force Threat Intelligence Index sind diese Angriffe eine der häufigsten Möglichkeiten, mit denen sich Bedrohungsakteure in Netzwerke einschleichen, und machen 30 % aller Cyberangriffe aus.

Authentifizierung und Autorisierung arbeiten zusammen, um sichere Zugriffskontrollen durchzusetzen und Datenschutzverletzungen zu unterbinden. Starke Authentifizierungsprozesse erschweren es Hackern, Benutzerkonten zu übernehmen. Eine starke Autorisierung begrenzt den Schaden, den Hacker mit diesen Konten anrichten können.

Die Authentifizierung, manchmal auch als „Authn“ abgekürzt, basiert auf dem Austausch von Benutzeranmeldeinformationen, auch Authentifizierungsfaktoren genannt. Authentifizierungsfaktoren sind Nachweise, die die Identität eines Benutzers belegen.

Wenn sich ein Benutzer erstmalig in einem System registriert, legt er eine Reihe von Authentifizierungsfaktoren fest. Wenn sich der Benutzer anmeldet, werden diese Faktoren angezeigt. Das System gleicht die angegebenen Faktoren mit den gespeicherten Faktoren ab. Wenn sie übereinstimmen, geht das System davon aus, dass der Benutzer derjenige ist, für den er sich ausgibt.

Gängige Authentifizierungsmethoden:

• Wissensfaktoren: Etwas, das nur der Benutzer weiß, wie ein Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage.
  
• Eigentumsfaktoren: Etwas, das nur der Benutzer hat, wie z. B. eine einmalige PIN (OTP), die per SMS an sein persönliches Mobiltelefon gesendet wird, oder ein Physical-Security-Token.
  
• Inhärente Faktoren: Biometrische Informationen wie Gesichtserkennung und Fingerabdrücke.

Einzelne Apps und Ressourcen können über eigene Authentifizierungssysteme verfügen. Viele Unternehmen verwenden ein integriertes System, wie z. B. eine Single Sign-on (SSO)-Lösung, bei der sich Benutzer einmal authentifizieren können, um auf mehrere Ressourcen in einer sicheren Domäne zuzugreifen.

Zu den gängigen Authentifizierungsstandards gehören Security Assertion Markup Language (SAML) und OpenID Connect (OIDC). SAML verwendet XML-Nachrichten, um Authentifizierungsinformationen zwischen Systemen auszutauschen, während OIDC JSON-Web-Token (JWTs) verwendet, die als „ID-Token“ bezeichnet werden.

• Bei der Single-Factor-Authentifizierung (SFA) wird ein Authentifizierungsfaktor benötigt, um die Identität eines Benutzers nachzuweisen. Die Angabe eines Benutzernamens und eines Passworts für die Anmeldung bei einer Social-Media-Website ist ein typisches Beispiel für SFA.
  
• Die Multi-Faktor-Authentifizierung (MFA) erfordert mindestens zwei Authentifizierungsfaktoren zwei verschiedener Arten, wie z. B. ein Passwort (Wissensfaktor) und den Scan eines Fingerabdrucks (inhärenter Faktor). 
  
• Die Zwei-Faktor-Authentifizierung (2FA) ist eine bestimmte Form der MFA, die genau zwei Faktoren erfordert. Die meisten Internetbenutzer haben bereits Erfahrung mit der 2FA gemacht, z. B. wenn eine Banking-App sowohl ein Passwort als auch einen Einmalcode erfordert, der an das Telefon des Benutzers gesendet wird.
  
• Passwortlose Authentifizierungsmethoden verwenden keine Passwörter oder andere Wissensfaktoren. Systeme ohne Passwort sind als Schutz vor Datendiebstahl beliebt, da die Wissensfaktoren am einfachsten zu stehlen sind.
  
• Adaptive Authentifizierungssysteme nutzen künstliche Intelligenz und maschinelles Lernen, um die Authentifizierungsanforderungen je nach Risikograd des Benutzerverhaltens anzupassen. Ein Benutzer, der beispielsweise versucht, auf vertrauliche Daten zuzugreifen, muss möglicherweise mehrere Authentifizierungsfaktoren angeben, bevor das System diese bestätigt.

Erfahren Sie, wie die Identitäts- und Sicherheitsexperten von IBM dabei helfen können, IAM-Bemühungen zu optimieren, Lösungen in Hybrid Clouds zu verwalten und Governance-Workflows zu transformieren.

• Mit einem Fingerabdruckscan und einem PIN-Code wird ein Smartphone entsperrt.
  
• Vorlage eines Ausweises zur Eröffnung eines neuen Bankkontos.
  
• Ein Webbrowser überprüft die Legitimität einer Website, indem er ihr digitales Zertifikat überprüft.
  
• Eine App verifiziert sich gegenüber einer Programmierschnittstelle (API), indem sie bei jedem Aufruf ihren geheimen API-Schlüssel mitsendet.

Die Autorisierung, manchmal auch als „authz“ abgekürzt, basiert auf Benutzerberechtigungen. Berechtigungen sind Richtlinien, die festlegen, auf welche Daten ein Benutzer zugreifen und was er mit diesem Zugriff in einem System tun kann.

Administratoren und Sicherheitsbeauftragte definieren in der Regel Benutzerberechtigungen, die dann von Autorisierungssystemen durchgesetzt werden. Wenn ein Benutzer versucht, auf eine Ressource zuzugreifen oder eine Aktion auszuführen, überprüft das Autorisierungssystem seine Berechtigungen, bevor es ihm den Zugriff gestattet.

Stellen Sie sich eine Datenbank mit vertraulichen Kundendaten vor. Die Autorisierung bestimmt, ob ein Benutzer diese Datenbank überhaupt sehen kann. Wenn sie können, bestimmt die Autorisierung auch, was sie innerhalb der Datenbank tun können. Können sie nur Einträge lesen oder auch Einträge erstellen, löschen und aktualisieren?

OAuth 2.0, das Zugriffstoken verwendet, um Benutzern Berechtigungen zu erteilen, ist ein Beispiel für ein gängiges Autorisierungsprotokoll. OAuth ermöglicht es Apps, Daten miteinander zu teilen. Mit OAuth kann eine Social-Media-Website beispielsweise die E-Mail-Kontakte eines Benutzers nach Personen durchsuchen, die der Benutzer möglicherweise kennt – vorausgesetzt, der Benutzer stimmt zu.

• Methoden zur rollenbasierten Zugriffskontrolle (RBAC) bestimmen die Zugriffsberechtigungen von Benutzern auf der Grundlage ihrer Rollen. Ein Junior-Sicherheitsanalyst kann beispielsweise Firewall-Konfigurationen anzeigen, aber nicht ändern, während der Leiter der Netzwerksicherheit möglicherweise über vollständigen Administratorzugriff verfügt.
  
• Attributbasierte Zugriffskontrollmethoden (ABAC) verwenden die Attribute von Benutzern, Objekten und Aktionen (z. B. den Benutzernamen, den Typ einer Ressource und die Tageszeit) zur Bestimmung der Zugriffsebenen. Wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, analysiert ein ABAC-System alle relevanten Attribute und gewährt nur dann Zugriff, wenn bestimmte vordefinierte Kriterien erfüllt sind. In einem ABAC-System können Benutzer beispielsweise nur während der Arbeitszeit und nur dann auf sensible Daten zugreifen, wenn sie eine bestimmte Position innehaben.
  
• Obligatorische Zugriffskontrollsysteme (MAC) setzen zentral definierte Zugriffskontrollrichtlinien für alle Benutzer durch. MAC-Systeme sind weniger granular als RBAC und ABAC und der Zugriff basiert in der Regel auf festgelegten Freigabestufen oder Vertrauensbewertungen. Viele Betriebssysteme verwenden MAC, um den Programmzugriff auf sensible Systemressourcen zu steuern.
  
• Diskretionäre Zugriffskontrollsysteme (DAC) ermöglichen es den Eigentümern von Ressourcen, ihre eigenen Regeln für die Zugriffskontrolle auf diese Ressourcen festzulegen. DAC ist flexibler als die pauschalen Richtlinien von MAC.

• Wenn sich ein Benutzer bei seinem E-Mail-Konto anmeldet, kann er nur seine E-Mails sehen. Sie sind jedoch nicht berechtigt, die Nachrichten anderer Personen einzusehen.
  
• In einem Gesundheitsaktensystem können die Daten eines Patienten nur von Anbietern eingesehen werden, denen der Patient ausdrücklich seine Zustimmung erteilt hat.
  
• Ein Benutzer erstellt ein Dokument in einem gemeinsam genutzten Dateisystem. Sie setzen die Zugriffsberechtigungen auf „Nur lesen“, sodass andere Benutzer das Dokument zwar anzeigen, aber nicht bearbeiten können.
  
• Das Betriebssystem eines Laptops verhindert, dass ein unbekanntes Programm die Systemeinstellungen ändert.

Benutzerauthentifizierung und -autorisierung spielen eine sich ergänzende Rolle beim Schutz sensibler Informationen und Netzwerkressourcen vor internen Bedrohungen und externen Angreifern. Kurz gesagt hilft die Authentifizierung Unternehmen dabei, Benutzerkonten zu schützen, während die Autorisierung dazu beiträgt, die Systeme zu schützen, auf die diese Konten zugreifen können.

Umfassende Identity und Access Management (IAM)-Systeme helfen dabei, Benutzeraktivitäten zu verfolgen, unbefugten Zugriff auf Netzwerk-Assets zu blockieren und granulare Berechtigungen durchzusetzen, sodass nur die richtigen Benutzer auf die richtigen Ressourcen zugreifen können.

Authentifizierung und Autorisierung sind zwei entscheidende Punkte, die Unternehmen klären müssen, um sinnvolle Zugriffskontrollen durchzusetzen: 

• Wer sind Sie? (Authentifizierung)
  
• Was dürfen Sie in diesem System tun? (Autorisierung)

Ein Unternehmen muss wissen, wer ein Benutzer ist, bevor es den richtigen Zugriffslevel aktivieren kann. Wenn sich beispielsweise ein Netzwerkadministrator anmeldet, muss er nachweisen, dass er ein Administrator ist, indem er die richtigen Authentifizierungsfaktoren angibt. Erst dann autorisiert das IAM-System den Benutzer, administrative Aktionen durchzuführen, wie z. B. das Hinzufügen und Entfernen anderer Benutzer.

Da die organisatorischen Sicherheitskontrollen immer effektiver werden, umgehen immer mehr Angreifer diese, indem sie Benutzerkonten stehlen und deren Privilegien missbrauchen, um Chaos anzurichten. Diese Angriffe sind für Cyberkriminelle leicht durchzuführen. Hacker können Passwörter durch Brute-Force-Angriffe knacken, Malware verwenden oder Anmeldedaten von anderen Hackern kaufen. 

Phishing ist eine weitere gängige Taktik zum Diebstahl von Anmeldedaten. Generative KI-Tools ermöglichen es Hackern nun, in kürzerer Zeit effektivere Phishing-Angriffe zu entwickeln.

Auch wenn sie als grundlegende Sicherheitsmaßnahmen angesehen werden können, sind Authentifizierung und Autorisierung wichtige Schutzmaßnahmen gegen Identitätsdiebstahl und Kontomissbrauch, einschließlich KI-gestützter Angriffe.

Durch die Authentifizierung kann es schwieriger werden, Konten zu stehlen, indem Passwörter durch andere Faktoren ersetzt oder verstärkt werden, die schwieriger zu knacken sind, wie z. B. biometrische Daten.

Granulare Autorisierungssysteme können Lateralbewegungen einschränken, indem sie die Benutzerrechte ausschließlich auf die Ressourcen und Aktionen beschränken, die sie benötigen. Dies begrenzt den Schaden, den sowohl böswillige Hacker als auch Insider durch den Missbrauch von Zugriffsrechten anrichten können.