Zum Inhalt springen Zur Navigation springen
Authentisierung, Authentifizierung und Autorisierung

Authentisierung, Authentifizierung und Autorisierung

In dem heutigen IT-Artikel wird der Unterschied zwischen den Begrifflichkeiten Authentisierung, Authentifizierung sowie Autorisierung geklärt. Diese Begriffe trifft man insbesondere bei Zugriff auf EDV-Systeme, wobei sie oft synonym verwendet werden. In gewohnter Manier werden die Begriffe anhand eines lebensnahmen Szenarios rund um einen Fußball-Fan veranschaulicht.

Verwechslungen in der Praxis

Alle drei Begrifflichkeiten werden in der Praxis oft verwechselt oder auch synonym gebraucht. Zum einen mag das daran liegen, dass alle drei Begriffe oberflächlich gesehen, in demselben
Vorgang verwickelt sind: Prüfung der Identität und Zugriffserlaubnis. Zum anderen sind die Unterschiede so gering, dass sich die synonyme Benutzung der Wörter in der Praxis durchgesetzt hat und die Unterscheidung meist nicht relevant ist. Hilfreich und wichtig ist die Differenzierung jedoch, wenn z.B. im Rahmen einer Dokumentationspflicht IT-Prozesse detailiert beschrieben werden müssen.

Authentisierung

Die Authentisierung stellt den Nachweis einer Person dar, dass sie tatsächlich diejenige Person ist, die sie vorgibt zu sein. Eine Person legt also Nachweise vor, die ihre Identität bestätigen sollen. Je nach der eingesetzten Authentisierungsmethode kann die Person ihre Identität unter anderem auf folgenden Wegen behaupten:

  • sie hat geheime Informationen, die nur ihr bekannt sind (z.B. Passwort)
  • sie besitzt einen Identifizierungsgegenstand (z.B. Personalausweis)
  • sie ist selbst das Identifizierungsobjekt (z.B. biometrische Merkmale wie Fingerabdruck).

Kurz gesagt: Die Authentisierung stellt einen ersten Schritt zur Prüfung der Identität dar, indem eine Person aktiv eine bestimmte Identität behauptet.

Beispiel:
Ein Fußball-Fan, nennen wir ihn Thomas, möchte das EM-Finalspiel 2016 live im Stade de France in Paris mitverfolgen. Hierfür hat sich Thomas für viel Geld ein personalisiertes Ticket bei einem Veranstalter gekauft. Am 10.07 steht er in der Schlange, um in das Stadium reinzukommen und hofft, dass er sich sogar in die VIP-Loge durchmogeln kann. Am Stadioneingang werden die Besucher nicht nur geprüft, ob sie ein gültiges Ticket haben, sondern stichprobenartig auch, ob der auf dem Ticket aufgedruckte Namen mit dem Besucher übereinstimmt. Thomas wird auserwählt und muss nicht nur sein Ticket sondern auch sein Personalausweis vorzeigen. Mit dem Vorzeigen des Personalausweises behauptet er zunächst „Thomas“ zu sein.

Authentifizierung

Die Authentifizierung stellt eine Prüfung der behaupteten Authentisierung dar. Bei der Authentifizierung ist nun der Prüfer an der Reihe. Er überprüft die Angaben auf ihre Echtheit. Zeitlich betrachtet findet eine „Authentifizierung“ also nach einer „Authentisierung“ statt.

Beispiel:
Um bei unserem Fußball-Beispiel zu bleiben: Nachdem sich Thomas mit seinem Personalausweis authentisiert hat, überprüft und bestätigt nun der Sicherheitsdienst seine Identität. Der freundliche Sicherheitsmitarbeiter schaut sich den Personalausweis genau an, ob der vor ihm stehende Thomas dem Foto im Personalausweis entspricht. Die Überprüfung der Identität ist hier die Authentifizierung. Das Ergebnis der Authentifizierung ist hier: entweder Thomas kommt rein oder nicht.

Autorisierung

Die Autorisierung ist die Einräumung von speziellen Rechten. War die Identifizierung einer Person erfolgreich, heißt es noch nicht automatisch, dass diese Person bereitgesellte Dienste und Leistungen nutzen darf. Darüber entscheidet die Autorisierung.

Beispiel:
In unserem Fußball-Beispiel hieße das: Der Sicherheitsmitarbeiter überprüft nun auch das Ticket von Thomas, um sicherzustellen, dass er im Besitz eines Tickets mit dem Zusatz VIP-Loge ist. Leider hat Thomas zwar ein gültiges Ticket für das Finalspiel jedoch keine Zusatzrechte, das Spiel in der VIP-Loge zu genießen. Er kommt zwar in das Stadion rein, ist aber nicht für den Besuch der VIP-Loge autorisiert. Hierfür fehlen ihm die zusätzlichen Rechte.

Tl;dr

Zusammenfassend können alle drei Begriffe anhand eines EDV-Systems wie folgt verdeutlicht werden:

  1. Authentisierung:
    Eingabe von Login-Daten in einem EDV-System (Behauptung einer Identität)
  2. Authentifizierung:
    Überprüfung der Behauptung durch das EDV-Systems inkl. Ergebnis der Prüfung (Verifizierung der Behauptung aus 1.)
  3. Autorisierung:
    Prüfung der Rechte und Konsequenz (Einräumung oder Verweigerung von Rechten).
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Frau Czernik, wie immer ein gelungener Artikel! Vielen Dank!

  • nein, nicht gut, sondern sehr gut!!

  • Ein wirklich guter Artikel. Schönes Beispiel, welches das Thema fassbar gestaltet. Vielen Dank!

  • Guter Artikel. ich bin jedoch der Meinung, dass in der Zusammenfassung bei der Aufzählung die Begriffe Authentisierung und Authentifizierung verwechselt werden.

    • Wir haben dies überprüft, können hier aber keinen Fehler in der Zusammenfassung entdecken.

      Kurz gesagt: Ein User authentisiert sich beim Server, der Server authentifiziert danach den User. Anhand des hinterlegten Rollenprofils erhält der User dadurch entsprechende Autorisierungen.

      Der Unterschied in den Wortbedeutungen ist so minimal, dass in der englischsprachigen Kommunikation keinerlei Unterscheidung getroffen wird , beides ist „authenticate“.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.