Authentifizierung und Autorisierung sind beides Prozesse, die unter die Kategorie des Identitäts- und Zugriffsmanagements (IAM) fallen, allerdings dienen sie unterschiedlichen Zwecken. Wenn Sie verstehen, welche Rolle die beiden Prozesse bei der Datensicherheit spielen, kann Ihr Unternehmen bessere Sicherheitsentscheidungen treffen.
Die Authentifizierung dient dazu, die Identität von Benutzern nachzuweisen. Eine Studie des Digital Shadows Photon Research Teams aus dem Jahr 2020 ergab, dass im Dark Web 15 Milliarden gestohlene Anmeldedaten zu finden sind, welche die Übernahme von Konten ermöglichen, darunter auch Kombinationen von Benutzernamen und Passwörtern für Online-Banking, Social-Media-Konten und Musik-Streaming-Dienste.
Die meisten von uns sind es gewohnt, in ihrem täglichen Leben ihre Identität zu authentifizieren. Man wird nach dem Führerschein oder einem anderen Ausweis gefragt, um einen Scheck einzulösen, Alkohol zu kaufen oder einen zugangsgeschützten Bereich zu betreten. Der Ausweis wird überprüft, um sicherzustellen, dass die Person wie auf dem Foto aussieht und der Ausweis selbst nicht gefälscht ist. Wenn der Ausweis gestohlen oder gefälscht zu sein scheint, kann die Person abgewiesen, den Strafverfolgungsbehörden gemeldet und/oder der Ausweis eingezogen werden.
Es gibt viele Möglichkeiten, die Identität eines Benutzers online zu bestätigen, und diese lassen sich in drei Arten von Authentifizierungsfaktoren unterteilen:
Etwas, das man weiß: Informationen oder Geheimnisse, die nur Ihnen bekannt sind (z.B. Passwörter, PINs, Antworten auf persönliche Fragen)
Etwas, das man hat: Eine Bestätigung des Besitzes eines bestimmten Gegenstands (z.B. Smartphone, Karte, Schlüsselanhänger, physische Token)
Etwas, das man ist: Eine eindeutige Erkennung Ihrer physischen Person (z.B. Fingerabdruck, Gesichtserkennung, Spracherkennung)
Multifaktor-Authentifizierung (MFA) bezieht sich auf die Verwendung von zwei oder mehr dieser Faktoren bei der Verifizierung einer Benutzeridentität. Sie können zum Beispiel nach einem Passwort (etwas, das man weiß) und einem an Ihr Smartphone gesendeten einmaligen Zugangscode (etwas, das man hat) gefragt werden. Wenn eine dieser beiden Vorgänge nicht korrekt ausgeführt wird, wird der Zugriff verweigert.
Unternehmen nutzen die Autorisierung, um den Zugriff auf Ressourcen mit vorab festgelegten oder benutzerdefinierten Berechtigungen auf Grundlage der Rolle des Benutzers, der Identitätsattribute oder unter Umständen bestimmter Risikofaktoren zu gewähren. Sobald ein Benutzer authentifiziert ist, legt die Autorisierung fest, auf welche Daten, Anwendungen und Ressourcen ein verifizierter Benutzer zugreifen darf. Außerdem verhindert diese, dass nicht-autorisierte Benutzer auf Dinge zugreifen, auf die sie nicht zugreifen dürfen, einschließlich lokaler und Cloud-Anwendungen.
Unternehmen können sensible Informationen schützen, wenn sie die Berechtigungen nur auf die Ressourcen beschränken, die ein Benutzer benötigt. So können z.B. Autorisierungsrichtlinien den Mitarbeitern der Personalabteilung den Zugriff auf Anwendungen erlauben, in denen sensible Mitarbeiterdaten gespeichert sind, den Marketingteams aber den Zugriff verweigern. Gleichermaßen können Buchhaltungsteams auf Finanzanwendungen zugreifen, für die andere Abteilungen keine Zugriffsrechte haben.
Die Autorisierung kann auch auf Kundenanwendungen angewendet werden. So können z.B. zwei Kunden bei einer Einzelhandelswebsite angemeldet sein, aber nur einer von ihnen ist Mitglied des VIP-Bonusprogramms. Eine Autorisierungsrichtlinie würde dem VIP-Kunden den Zugriff auf die Bonus-Anwendung gewähren, dem anderen jedoch nicht.
Bestimmte Autorisierungssysteme können zudem den Zugriff auf Daten gewähren oder verweigern, je nachdem, was die Kunden zur Freigabe genehmigt haben. Das erleichtert die Einhaltung von Datenschutzbestimmungen und stärkt das Vertrauen der Kunden.
Es gibt Ähnlichkeiten und Unterschiede zwischen Authentifizierung und Autorisierung.
Authentifizierung und Autorisierung gehen Hand in Hand in Bezug auf Identität und Datensicherheit. Bei beiden Prozessen wird festgelegt, ob einem Benutzer Zugriff auf eine Anwendung oder ein System gewährt werden soll. Sowohl die Authentifizierung als auch die Autorisierung dienen dem Schutz eines Systems, indem sie sicherstellen, dass nur legitime Benutzer Zugang zu den für sie bestimmten Informationen erhalten.
Bei der Identitäts- und Zugriffsverwaltung (IAM) ist die Authentifizierung der Prozess zur Identitätsüberprüfung, während die Autorisierung der Prozess der Zugriffsverwaltung ist. Die Authentifizierung kommt in der Online-Erfahrung zuerst und verlangt von den Benutzern die Angabe von Anmeldeinformationen, die nachweisen, dass sie die sind, für die sie sich ausgeben. Danach folgt die Autorisierung, bei der anhand von Richtlinien bewertet wird, auf welche Ressourcen den Benutzern Zugriff gewährt wird.
Denken Sie zum Beispiel an eine E-Commerce-Website, bei der Sie ein Kundenkonto haben.
Authentifizierung: Um auf Ihr Konto zuzugreifen, müssen Sie sich mit einem oder mehreren Authentifizierungsfaktoren ausweisen.
Es gibt zahlreiche Authentifizierungsmethoden, die unter die drei Authentifizierungsfaktoren fallen (etwas, das man weiß, etwas, das man hat, etwas, das man ist). Jedoch haben selbst die gängigsten Methoden ihre Vor- und Nachteile.
Passwörter sind die wohl am weitesten verbreitete Authentifizierungsmethode, aber auch die unsicherste. Der Schutz von Kontoinformationen wird immer schwieriger, da Phishing-Versuche und andere Cyberangriffe immer raffinierter werden. Hacker können Passwörter auch mithilfe von Softwareprogrammen erraten, indem sie in kürzester Zeit die möglichen Kombinationen durchgehen.
Passwortmüdigkeit ist ein weit verbreitetes Phänomen. Je nach Unternehmen können die Anforderungen an Passwörter sehr streng sein, sodass die Benutzer gezwungen sind, eine Kombination aus Buchstaben, Zahlen und Sonderzeichen zu wählen. Es ist schwierig, sich mehrere Passwörter zu merken und sich für jedes Konto ein eigenes Passwort auszudenken. Da Passwörter gestohlen oder erraten werden können, birgt die Verwendung desselben Passworts für alle Konten eine hohe Gefahr für Kontoinhaber und Systemadministratoren. Der Verizon Data Breach Investigations Report 2021 stellte fest, dass 61% der Datenschutzverletzungen im Jahr 2020 auf die Verwendung nicht autorisierter Zugangsdaten zurückzuführen waren.
61% aller Datenschutzverletzungen sind mit der unberechtigten Verwendung von Anmeldedaten verbunden.
2021, Data Breach Investigations Report, Verizon
Biometrische Daten sind eindeutige physische Merkmale wie Fingerabdrücke, Gesichtserkennung, Netzhaut- oder Iris-Scans und Stimmerkennung. Biometrische Daten sind extrem schwer zu fälschen, was sie als Authentifizierungsmethode attraktiv macht, aber sie bergen auch Nachteile. Nicht jeder hat Zugang zu den erforderlichen Geräten oder kann sich diese leisten, z.B. Smartphones. Ein weiteres Problem sind Bedenken zum Thema Datenschutz. Biometrische Datenbanken können gehackt werden und Gesichtserkennungssysteme können ungenau sein oder missbraucht werden.
Wie die Authentifizierungsmethoden haben auch die gängigen Autorisierungsmethoden ihre Vor- und Nachteile.
Die rollenbasierte Zugriffskontrolle (RBAC) ist ein traditioneller Ansatz, der sich auf die Rolle des Benutzers stützt, um Zugriffsentscheidungen zu treffen, und diese Entscheidungen an die Anwendung delegiert, auf die zugegriffen wird. So haben zum Beispiel Mitglieder der Personalabteilung Zugriff auf die Anwendung für Gehaltsabrechnung, während Mitglieder der Finanzabteilung auf Tools für die Finanzberichterstattung zugreifen können. RBAC war sinnvoll, als der Zugriff auf interne Nutzer innerhalb eines Netzwerkbereichs beschränkt war, ist aber für viele der heutigen Anwendungsfälle zu einschränkend.
Die attributbasierte Zugriffskontrolle löst einige der mit RBAC verbundenen Einschränkungen, indem sie zusätzliche Attribute verwendet, die bei Autorisierungsentscheidungen berücksichtigt werden können. ABAC bietet mehr Flexibilität und Sicherheit, indem sie zusätzliche Informationen wie andere Benutzerattribute (z.B. Alter, Sicherheitsfreigabe), Ressourcenattribute (z.B. Erstellungsdatum, Ressourcentyp) und den Kontext (z.B. Zugriffsort, Tageszeit) auswertet, um Autorisierungsentscheidungen zu treffen.
In der Erkenntnis, dass Attribute alleine möglicherweise nicht ausreichen, geht die dynamische Autorisierung einen Schritt weiter, indem sie die Verwendung von fein abgestimmten Zugriffskontrollen ermöglicht, mit denen Sie den Zugriff über die Anwendungs- und Ressourcenebene hinaus steuern und verlangen können, dass bestimmte Bedingungen erfüllt werden. Die dynamische Autorisierung zentralisiert die Zugriffskontrollen, anstatt sie auf der Ebene der einzelnen Anwendungen einzubauen.
Wenn Sie mehr darüber erfahren möchten, wie eine moderne Zugriffssicherheitslösung, die sowohl Authentifizierung als auch Autorisierung umfasst, Ihnen die Sicherheit bietet, die Sie wünschen, und gleichzeitig den Zugriff, den Ihre Benutzer benötigen, lesen Sie den Expertenleitfaden für Zugriffssicherheit.
Starten Sie jetzt
Kontaktieren Sie uns
Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.
