Unternehmen müssen ihre IT-Systeme mit Zugriffskontrollen absichern, um sensible Informationen zu schützen. Ein kontrollierter Zugriff stellt sicher, dass nur berechtigte Mitarbeiter die Daten einsehen oder bebeiten können und damit die geltenden Verordnungen sowie Richtlinien (z.B. DSGVO und NIS2) eingehalten werden.
Begriffschaos vermeiden: Authentisierung und Co.
Im Zusammenhang mit dem Login werden häufig die Begriffe Authentisierung, Authentifizierung und Autorisierung verwendet. Da sie ähnlich klingen, werden sie oft verwechselt. Sie haben jedoch unterschiedliche Bedeutungen, weshalb eine genaue Unterscheidung wichtig ist. Wenn beispielsweise Prozesse im Datenschutz oder in der Informationssicherheit dokumentiert werden, ist eine korrekte Begriffsverwendung unerlässlich.
In diesem Beitrag definieren wir die drei Begriffe, erläutern die genauen Unterschiede, die Rollen der einzelnen Konzepte und warum sie für den Schutz digitaler Systeme so wichtig sind.
Die Rollen von Authentisierung, Authentifizierung und Autorisierung im Anmeldeprozess
Obwohl Authentisierung, Authentifizierung und Autorisierung miteinander verwandt sind, erfüllen sie jeweils unterschiedliche Funktionen. Zusammen bilden sie ein wesentliches Sicherheitssystem, das nur autorisierten Personen den Zugriff auf bestimmte Ressourcen oder Funktionen erlaubt.
Der erfolgreiche Ablauf eines Login an einem IT-System lässt sich in drei Schritten abbilden. Authentisierung, Authentifizierung und Autorisierung stehen für jeweils einen dieser Schritte.
- Authentisierung
Der Fokus ist auf den Benutzer gerichtet, der sich am System anmeldet. Dazu weist er seine Identität nach, indem er z.B. seinen Benutzernamen und das dazugehörige Passwort eingibt. Die Authentisierung kann auch in anderer Form erfolgen, z.B. durch eine Magnetkarte oder biometrische Merkmale. - Authentifizierung
In diesem Schritt ist das System am Zug. Im Rahmen der Authentifizierung überprüft das System die vom Benutzer gemachten Angaben. Dazu werden die eingegebenen Daten mit den Einträgen in der zugehörigen Datenbank, wie z.B. dem hinterlegten Benutzernamen und dem Hashwert des Passworts, verglichen. - Autorisierung
Erst nach erfolgreicher Authentifizierung kann die Autorisierung, d.h. die Festlegung der Zugriffsberechtigung erfolgen. Dabei werden dem Benutzer seine Rechte zugewiesen. Die Zugriffsrechte entscheiden darüber, in welchem Umfang das System genutzt werden kann und ob z.B. personenbezogene Daten eingesehen oder verändert werden können.
Sicherheitsmechanismen in der Zugriffskontrolle
Die praktische Umsetzung einer Zugriffskontrolle zum Schutz von Informationen kann auf unterschiedliche Weise erfolgen.
Einfache Benutzer-Authentifizierung
Bei dieser Methode wird die Identität eines Benutzers anhand eines einzigen Faktors, in der Regel eines Passworts, überprüft. Sie bietet nur begrenzte Sicherheit, da sie leicht durch schwache Passwörter oder gestohlene Zugangsdaten kompromittiert werden kann.
Multi-Faktor-Authentifizierung (MFA)
Diese Methode erhöht die Sicherheit von Systemen, indem für den Zugriff mindestens zwei unabhängige Faktoren wie Wissen (z.B. Passwort), Besitz (z.B. Smartphone) oder Biometrie (z.B. Fingerabdruck) erforderlich sind. Dadurch wird das Risiko eines unbefugten Zugriffs erheblich reduziert, selbst wenn ein Faktor kompromittiert ist.
Fazit
Die Begriffe Authentisierung, Authentifizierung und Autorisierung werden im Sprachgebrauch gerne missverständlich verwendet. Aufgrund der verschiedenen Bedeutungen ist es jedoch wichtig, eine genaue Unterscheidung zu treffen, um z.B. Missverständnisse bei der Planung von Sicherheitskonzepten oder Fehler in der Dokumentation zu vermeiden.
Beratung zu Datenschutz und Informationssicherheit
Sie stehen vor komplexen Fragen des Datenschutzes oder der Informationssicherheit und benötigen Unterstützung? Unsere erfahrenen Berater stehen Ihnen bundesweit zur Verfügung, wie z.B. in Berlin, Stuttgart und Hamburg. Für weitere Informationen stehen wir Ihnen gerne zur Seite, nutzen Sie unsere kostenfreie Erstberatung.
