Authentisierung, Authentifizierung und Autorisierung

it-sicherheit 35
Fachbeitrag

In dem heutigen IT-Artikel wird der Unterschied zwischen den Begrifflichkeiten Authentisierung, Authentifizierung sowie Autorisierung geklärt. Diese Begriffe trifft man insbesondere bei Zugriff auf EDV-Systeme, wobei sie oft synonym verwendet werden. In gewohnter Manier werden die Begriffe anhand eines lebensnahmen Szenarios rund um einen Fußball-Fan veranschaulicht.

Verwechslungen in der Praxis

Alle drei Begrifflichkeiten werden in der Praxis oft verwechselt oder auch synonym gebraucht. Zum einen mag das daran liegen, dass alle drei Begriffe oberflächlich gesehen, in demselben
Vorgang verwickelt sind: Prüfung der Identität und Zugriffserlaubnis. Zum anderen sind die Unterschiede so gering, dass sich die synonyme Benutzung der Wörter in der Praxis durchgesetzt hat und die Unterscheidung meist nicht relevant ist. Hilfreich und wichtig ist die Differenzierung jedoch, wenn z.B. im Rahmen einer Dokumentationspflicht IT-Prozesse detailiert beschrieben werden müssen.

Authentisierung

Die Authentisierung stellt den Nachweis einer Person dar, dass sie tatsächlich diejenige Person ist, die sie vorgibt zu sein. Eine Person legt also Nachweise vor, die ihre Identität bestätigen sollen. Je nach der eingesetzten Authentisierungsmethode kann die Person ihre Identität unter anderem auf folgenden Wegen behaupten:

  • sie hat geheime Informationen, die nur ihr bekannt sind (z.B. Passwort)
  • sie besitzt einen Identifizierungsgegenstand (z.B. Personalausweis)
  • sie ist selbst das Identifizierungsobjekt (z.B. biometrische Merkmale wie Fingerabdruck).

Kurz gesagt: Die Authentisierung stellt einen ersten Schritt zur Prüfung der Identität dar, indem eine Person aktiv eine bestimmte Identität behauptet.

Beispiel:
Ein Fußball-Fan, nennen wir ihn Thomas, möchte das EM-Finalspiel 2016 live im Stade de France in Paris mitverfolgen. Hierfür hat sich Thomas für viel Geld ein personalisiertes Ticket bei einem Veranstalter gekauft. Am 10.07 steht er in der Schlange, um in das Stadium reinzukommen und hofft, dass er sich sogar in die VIP-Loge durchmogeln kann. Am Stadioneingang werden die Besucher nicht nur geprüft, ob sie ein gültiges Ticket haben, sondern stichprobenartig auch, ob der auf dem Ticket aufgedruckte Namen mit dem Besucher übereinstimmt. Thomas wird auserwählt und muss nicht nur sein Ticket sondern auch sein Personalausweis vorzeigen. Mit dem Vorzeigen des Personalausweises behauptet er zunächst „Thomas“ zu sein.

Authentifizierung

Die Authentifizierung stellt eine Prüfung der behaupteten Authentisierung dar. Bei der Authentifizierung ist nun der Prüfer an der Reihe. Er überprüft die Angaben auf ihre Echtheit. Zeitlich betrachtet findet eine „Authentifizierung“ also nach einer „Authentisierung“ statt.

Beispiel:
Um bei unserem Fußball-Beispiel zu bleiben: Nachdem sich Thomas mit seinem Personalausweis authentisiert hat, überprüft und bestätigt nun der Sicherheitsdienst seine Identität. Der freundliche Sicherheitsmitarbeiter schaut sich den Personalausweis genau an, ob der vor ihm stehende Thomas dem Foto im Personalausweis entspricht. Die Überprüfung der Identität ist hier die Authentifizierung. Das Ergebnis der Authentifizierung ist hier: entweder Thomas kommt rein oder nicht.

Autorisierung

Die Autorisierung ist die Einräumung von speziellen Rechten. War die Identifizierung einer Person erfolgreich, heißt es noch nicht automatisch, dass diese Person bereitgesellte Dienste und Leistungen nutzen darf. Darüber entscheidet die Autorisierung.

Beispiel:
In unserem Fußball-Beispiel hieße das: Der Sicherheitsmitarbeiter überprüft nun auch das Ticket von Thomas, um sicherzustellen, dass er im Besitz eines Tickets mit dem Zusatz VIP-Loge ist. Leider hat Thomas zwar ein gültiges Ticket für das Finalspiel jedoch keine Zusatzrechte, das Spiel in der VIP-Loge zu genießen. Er kommt zwar in das Stadion rein, ist aber nicht für den Besuch der VIP-Loge autorisiert. Hierfür fehlen ihm die zusätzlichen Rechte.

Tl;dr

Zusammenfassend können alle drei Begriffe anhand eines EDV-Systems wie folgt verdeutlicht werden:

  1. Authentisierung:
    Eingabe von Login-Daten in einem EDV-System (Behauptung einer Identität)
  2. Authentifizierung:
    Überprüfung der Behauptung durch das EDV-Systems inkl. Ergebnis der Prüfung (Verifizierung der Behauptung aus 1.)
  3. Autorisierung:
    Prüfung der Rechte und Konsequenz (Einräumung oder Verweigerung von Rechten).

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.