Authentisieren, authentifizieren und autorisieren: Begriffe, die h\u00e4ufig fallen \u2013 aber werden sie auch korrekt verwendet? Gerade die Begriffe \u201eauthentisieren\u201c und \u201eauthentifizieren\u201c werden gerne synonym verwendet. Jedoch handelt es sich um verschiedene Prozesse. Deshalb nutzen wir den heutigen Beitrag zur Aufkl\u00e4rung: Was verbirgt sich hinter den Begriffen \u201eauthentisieren, authentifizieren und autorisieren\u201c und was haben diese Fachbegriffe mit IT-Sicherheit zu tun? Hierf\u00fcr f\u00fchren wir ebenfalls Beispiele aus der analogen Welt an, um die Begriffe besser einzuordnen.<\/p>\n
<\/p>\n
Die Begriffe \u201eauthentisieren\u201c, \u201eauthentifizieren\u201c sowie \u201eautorisieren\u201c h\u00e4ngen eng zusammen und sind Teile von Anmeldeprozessen: Das Nachweisen der Identit\u00e4t ist das Authentisieren. Bei der Authentifizierung wird der Identit\u00e4tsnachweis auf Authentizit\u00e4t gepr\u00fcft. Und beim Autorisieren handelt es sich um das Gew\u00e4hren eines Zugangs, nachdem erfolgreich die Identit\u00e4t nachgewiesen wurde. Doch gehen wir tiefer ins Detail:<\/p>\n
Nutzende, die sich gegen\u00fcber einem IT-System anmelden m\u00f6chten, authentisieren sich zun\u00e4chst, legen also einen Nachweis f\u00fcr die Identit\u00e4t vor. Der Identit\u00e4tsnachweis kann in ganz unterschiedlichen Formen erfolgen:<\/p>\n
Nutzende m\u00fcssen bei der Authentisierung also aktiv handeln: sie weisen ihre Identit\u00e4t auf verschiedene Weise nach. Nutzende erbringen den Beweis, wirklich zu sein, wer sie zu sein vorgeben. In der analogen Welt geschieht dies in aller Regel durch Ausweisdokumente, w\u00e4hrend in der digitalen Welt die oben genannten Wege infrage kommen.<\/p>\n
Auf die Authentisierung folgt die Authentifizierung: Der Identit\u00e4tsnachweis, den Nutzende beim Authentisieren erbracht haben, wird in diesem Schritt \u00fcberpr\u00fcft. \u00dcbertragen auf das analoge Leben w\u00fcrde in diesem Schritt das Ausweisdokument einer zu authentifizierenden Person auf Echtheit untersucht werden. Eine vertrauensw\u00fcrdige Instanz verifiziert oder falsifiziert also jene Daten, die Nutzende beim Authentisieren als Identit\u00e4tsnachweis vorgelegt haben.<\/p>\n
Daf\u00fcr lassen sich die im obigen Absatz bereits vorgestellten Verfahren wieder einsetzen. So w\u00e4re eine Authentifizierung in der IT etwa \u00fcber den Faktor Wissen vorstellbar: Passw\u00f6rter, PINs, Passphrasen, Muster oder andere geheime Informationen. Auch digitale Authentifizierungen \u00fcber Besitz (Token, digitale Identit\u00e4t usw.) sowie \u00fcber Biometrie (Iris, Fingerabdruck, Stimme, etc.) sind denkbar.<\/p>\n
Je mehr Faktoren beim Authentifizieren eingesetzt werden, umso sicherer kann ein Anmeldeprozess werden. Es ist vorstellbar, dass Kriminelle einen Faktor \u2013 etwa ein Passwort \u2013 knacken k\u00f6nnen. Kommen jedoch ein weiterer oder gar mehrere verschiedene Faktoren hinzu \u2013 etwa Iris-Scan und Token \u2013 haben es Kriminelle wirklich schwer.<\/p>\n
Mit der Authentifizierung endet der Prozess der Anmeldung noch nicht: Es fehlt noch die Autorisierung, also das Gew\u00e4hren eines Zugangs zu jenen Ressourcen, auf die nach der erfolgreich nachgewiesenen Identit\u00e4t Zugriff erfolgen darf. Erfolgreiches Authentifizieren ist nicht gleichbedeutend mit einem Zugriff auf s\u00e4mtliche Ressourcen im Netzwerk. Sehen wir uns das zur Verdeutlichung wieder mit einem Beispiel aus der analogen Welt an:<\/p>\n
Sie stehen an einem Bargeldautomaten und m\u00f6chten Geld abheben. Zun\u00e4chst authentisieren Sie sich mithilfe Ihrer EC-Karte, also etwas, was nur Sie besitzen, sowie Ihrer PIN, also etwas, was im Idealfall auch nur Sie wissen. Der Geldautomat pr\u00fcft nun, ob die PIN zur EC-Karte passt, sodass Sie als rechtm\u00e4\u00dfige:r Nutzer:in des Kontos authentifiziert werden k\u00f6nnen. Nach erfolgreicher Authentifizierung k\u00f6nnen Sie Bargeld abheben \u2013 jedoch nicht unendlich viel, sondern ausschlie\u00dflich die finanziellen Ressourcen, die Ihr Konto erlaubt. Das ist die Autorisierung.<\/p>\n
\u00dcbertragen wir unser Beispiel zur\u00fcck auf die IT bedeutet dies: Sie loggen sich mit Ihrer E-Mail-Adresse, einem Passwort und zus\u00e4tzlich einem biometrischen Faktor ein \u2013 das ist die Authentisierung, also Ihr Identit\u00e4tsnachweis. Das System pr\u00fcft, ob E-Mail-Adresse, Passwort und biometrischer Faktor zusammenpassen \u2013 es authentifiziert Sie mithilfe Ihrer Eingaben. Dann sind Sie autorisiert, auf bestimmte Daten zuzugreifen. Sie d\u00fcrfen jedoch aufgrund der Rechteverwaltung nicht auf Mitarbeiterdaten zugreifen \u2013 hier fehlt die Autorisierung.<\/p>\n
<\/p>\n
Sie sehen: Es ist durchaus verst\u00e4ndlich, dass im Alltag die Begriffe authentisieren, authentifizieren und autorisieren synonym verwendet werden \u2013 sie geh\u00f6ren zu einem Prozess. Dennoch ist es wichtig, diese Begriffe voneinander trennen zu k\u00f6nnen, um Anmeldeprozesse mit allen vorhandenen Sicherheitsmechanismen verstehen zu k\u00f6nnen. Wir werden diesbez\u00fcglich auch noch weiter in die Tiefe gehen: Freuen Sie sich auf eine neue Reihe in unserem Blog, in der wir ausf\u00fchrlich zu den Themen Passw\u00f6rter, Biometrie und Mehr-Faktor-Authentifizierung berichten werden.<\/p>\n