Authentisierung, Authentifizierung und Autorisierung – einfach erklärt

In Sachen Sicherheitsterminologie herrscht oft Verwirrung. Wir erklären den Unterschied zwischen Authentisierung, Authentifizierung und Autorisierung.

Okt 8, 2021 - 2 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Je stärker die Bedeutung von Onlinediensten wächst und je mehr wir unsere täglichen Verrichtungen ins Internet verlagern, desto mehr Fachbegriffe kennen wir, die früher nur von Eingeweihten verwendet wurden. Doch oft ist unklar, was genau diese Begriffe eigentlich bedeuten. Das gilt vor allem für Wörter aus dem Authentifizierungsverfahren.

Viele kennen bereits verschiedene Authentifizierungsverfahren wie die Zwei-Faktor- oder die Multi-Faktor-Authentifizierung. Dabei werden Benutzer in mehreren Schritten identifiziert, authentifiziert und autorisiert, um auf Benutzerkonten, Plattformen oder Daten zugreifen zu können. Doch rund um diese Prozesse herrscht einige Unklarheit, und die Begriffe werden mitunter austauschbar verwendet. Dabei gibt es in Wirklichkeit klare Bedeutungsunterschiede.

Das sind die Unterschiede

Schauen wir uns ein Praxisbeispiel an, um die Unterschiede zwischen Identifizierung, Authentifizierung und Autorisierung aufzuzeigen.

Durch die Lockerung der Corona-Massnahmen kehrt ein Stück Normalität in den Alltag zurück, und die Menschen geniessen wieder kulturelle Veranstaltungen. Kunstfreunde, Filmkenner und Sportfans strömen in Museen, Theater und Stadien. Um die Coronamassnahmen nach und nach lockern zu können, ist dafür oft ein Covid-Zertifikat erforderlich. An diesem Beispiel lassen sich die Unterschiede zwischen Identifizierung, Authentifizierung und Autorisierung gut veranschaulichen.

Schritt 1: Authentisierung

Am Konzerttag begeben Sie sich mit Ihrer Eintrittskarte in der Hand zum Veranstaltungsort. Um sich als Karteninhaber auszuweisen, zeigen Sie dem Sicherheitspersonal Ihre Identitätskarte. Im Internet entspricht dies der Eingabe Ihres Benutzernamens.

Schritt 2: Authentifizierung

Am Eingang des Konzerthauses werden Name und Passfoto Ihrer Identitätskarte mit dem Namen auf dem Ticket und Ihrem Gesicht abgeglichen. Stimmen Gesicht und Name über ein, wurden Sie authentifiziert. Dies ist praktisch die analoge Variante der digitalen Gesichtserkennung. Und auf Gesichtserkennung basierende Sicherheitsverfahren ersetzen mittlerweile immer öfter herkömmliche Passwörter.

Schritt 3: Autorisierung

Nachdem Ihre Identität überprüft wurde, muss Ihnen noch der Zugang zum Konzertsaal gewährt werden. Hier kommt Ihr Covid-Zertifikat ins Spiel. Denn erst damit dürfen Sie der Veranstaltung beiwohnen. Dies kann man mit den Zugriffsberechtigungen vergleichen, die Ihnen den Zugriff auf und die Bearbeitung von bestimmten Daten erlauben resp. untersagen.

Wenn bei Ihrem Konzertbesuch einer dieser Schritte scheitert, kommen Sie nicht in das Konzert.

Zurück zur Online-Welt

Das Thema Sicherheit ist im Internet in den vergangenen 20 Jahren immer wichtiger geworden. Denn persönliche Daten werden zunehmend digitalisiert, und die Digitalisierung hat unser Geschäfts- und Privatleben verändert. Natürlich wollen wir nicht, dass beliebige Personen auf sämtliche Daten zugreifen können. Deshalb sind Benutzerkonten immer mit bestimmten Rechten und Einschränkungen verbunden.

Wenn Sie sich in Ihrem Bankkonto oder den sozialen Medien anmelden, reicht ein Benutzername heute nicht mehr aus. Und das ist auch gut so! Denn sonst könnte sich jeder, der Ihren Benutzernamen kennt, Zugang zu all Ihren Daten verschaffen. Um sicherzugehen, dass nur Sie Zugriff auf Ihre persönlichen Daten haben, brauchen Sie also ein Tool, um Ihre Identität nachzuweisen.

Und damit nicht jeder Benutzer Zugang zu wichtigen Systemdaten und -programmen hat, können Unternehmen einzelnen Benutzern ganz bestimmte Berechtigungen erteilen. So können nur bestimmte Personen Daten und Informationen aufrufen resp. bearbeiten.

IAM-Systeme als Sicherheitsgarantie

Identity- und Access-Management-Systeme (IAM) wie die Lösungen von Nevis vereinfachen die Zuweisung, Verwaltung und Überwachung von Zugriffsrechten und Berechtigungen auf Grundlage bestimmter Richtlinien. Dazu zählen Parameter wie Gerät, Standort und natürlich Benutzerkonto. Unberechtigte Zugriffsversuche lösen einen Alarm aus, so dass ihnen bei Bedarf genauer nachgegangen werden kann.

Da Hackerangriffe und Erpressungsversuche die Sicherheit von Daten und Systemen zunehmend gefährden, ist es für Unternehmen wichtig, für mehr Sicherheit zu sorgen, wo immer dies möglich ist. Und die automatische Erteilung von Zugriffsberechtigungen und die Authentifizierung von Benutzern per IAM ist eines der Verfahren, die dafür infrage kommen. Schliesslich verdienen Ihre Daten und Systeme mindestens denselben Schutz wie Konzerte oder Sportveranstaltungen.

 

Was ist CIAM?