Hier in diesem Blog nutzen wir regelmäßig Begriffe wie die Authentifizierung, die Authentisierung oder die Autorisierung. Diese Begriffe sind alle miteinander verwandt, weisen aber gewisse Unterschiede auf. Diese Unterschiede können auch für Unternehmen relevant sein. Wir erklären sie Ihnen in diesem Artikel.
Die Authentisierung ist ein Nachweis der Identität. Dieser Nachweis wird im Rahmen der Authentisierung von einem System oder einer Person überprüft. Ein klassisches Beispiel für die Authentisierung ist der Personalausweis, der für jeden Einwohner Pflicht ist, um sich jederzeit authentisieren zu können.
In der digitalen Welt dient häufig der Benutzername in Kombination mit einem Passwort der Authentisierung. Das ist allerdings eine äußerst unsichere Methode. Das System überprüft zwar die Richtigkeit der Kombination von Namen und Passwort, im Grunde kann aber jeder diese Daten eingeben und sich so Zugang zu einem Account verschaffen.
Eine sichere Authentisierung sollte über komplexere Verfahren geschehen. Ein Beispiel dafür sind verschlüsselte Verbindungen. Reine Passwörter sind zu leicht zu knacken und öffnen Betrügern viele Möglichkeiten, sich Zugang zu Ihrem Account zu verschaffen.
Bei der Authentifizierung wird der im Rahmen der Authentisierung erbrachte Identitätsnachweis auf seine Authentizität überprüft. Um bei unserem Beispiel mit dem Personalausweis zu bleiben: Eine Authentifizierung ist eine Überprüfung der Echtheit des Ausweisdokuments und der Abgleich mit der Person. Also im Grunde, ob Person und Personalausweis tatsächlich zusammengehören und das offiziell bestätigt werden kann.
In der IT ist die Authentifizierung beispielsweise die Überprüfung im System, ob die Kombination aus Benutzername und Passwort existiert. Man kann sich nur authentifizieren, wenn beides exakt übereinstimmt.
Bei der Authentifizierung sollte immer eine Zwei-Faktor-Authentifizierung stattfinden. Diese kann selbst dann nicht von Hackern umgangen werden, wenn diese die Authentisierungsinformationen besitzen. Der Authenticator von Reiner SCT generiert beispielsweise alle 30 Sekunden ein neues Einmal-Passwort, um sich in Accounts einzuloggen. Diese Einmal-Passwörter verfallen also schnell und sind somit bereits nach kürzester Zeit unbrauchbar. Hacker könnten sie selbst dann nicht verwenden, wenn sie die Passwörter herausfinden würden.
Die Autorisierung ist die erteilte Erlaubnis eines Zugangs oder Eintritts, der durch die erfolgreiche Authentisierung und Authentifizierung entsteht.
Im Beispiel mit dem Personalausweis ist das der Zutritt zu einem Unternehmen oder Etablissement.
Die Autorisierung kann vollständig oder beschränkt erteilt werden. In einem Unternehmen kann Besuchern beispielsweise der Zutritt zum Besprechungsraum gewährt werden. Die Autorisierung für die Produktionshallen bleibt aber zum Beispiel untersagt und erfolgt nur, wenn sich bestimmte Mitarbeiter autorisieren lassen.
Im digitalen Bereich erfolgt die Autorisierung ebenfalls für bestimmte Bereiche. Ein Account auf einer Webseite erlaubt beispielsweise das Verfassen von Kommentaren oder Beiträgen. Es ist aber nicht möglich, Änderungen an der Seite selbst vorzunehmen.
Bei Programmen, die von Unternehmen genutzt werden, liegen die Beschränkungen beispielsweise in dem Zugang zu bestimmten Bereichen und Aufgaben. Dafür müssen zusätzlich Administratorenrechte erteilt werden.
Durch die Autorisierung kann gesteuert werden, welche Person welche Privilegien in einem System oder einem Arbeitsbereich besitzt. Am besten ist es, diese Privilegien genau so zu erteilen, wie sie notwendig sind.
Es kann auch sinnvoll sein, mit unterschiedlichen Accounts zu arbeiten. Beispielsweise mit einem Account, der alle Rechte besitzt und einem Account, der ausschließlich für die Bearbeitung von Aufträgen dient. So kann der Administratorenaccount nur dann genutzt werden, wenn er notwendig ist und bietet seltener Angriffsmöglichkeiten. Wird ein Account mit weniger Rechten gehackt, bleibt der Schaden geringer oder es ist zumindest schwerer, Schadprogrammen in alle Systeme einzuschleusen.
Die Unterschiede zwischen der Authentisierung, der Authentifizierung und der Autorisierung liegen vor allem darin, dass sie im Grunde aufeinander aufbauen und dementsprechend voneinander abhängig sind. Gemein haben sie, dass alle drei der Identitätskontrolle und Zugangserteilung dienen. Das gilt sowohl in der „realen“ Welt als auch in digitalen Anwendungen.
