Kennen Sie den Unterschied? Warum authentisieren, authentifizieren und autorisieren nicht das Gleiche ist

Drei Begriffe, die häufig fallen, aber nicht immer korrekt verwendet werden. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und erklären gleich den Unterschied.

Firma zum Thema

Die fast gleich klingenden Begriffe Authentisieren, Authentifizieren und Autorisieren haben eines gemeinsam: Sie kontrollieren den berechtigten Zugang zu IT-Systemen.
Die fast gleich klingenden Begriffe Authentisieren, Authentifizieren und Autorisieren haben eines gemeinsam: Sie kontrollieren den berechtigten Zugang zu IT-Systemen.
(Bild: gemeinfrei © TBIT / Pixabay )

„Insbesondere die Begriffe authentisieren und authentifizieren werden gern synonym verwendet. Jedoch handelt es sich um verschiedene Prozesse. Das Nachweisen der Identität ist das Authentisieren. Bei der Authentifizierung wird der Identitätsnachweis auf Authentizität geprüft. Und beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde“, erklärt Geschäftsführerin Patrycja Schrenk.

Authentisierung: Identität nachweisen

Nutzer, die sich gegenüber einem IT-System anmelden möchten, authentisieren sich zunächst, legen also einen Nachweis für ihre Identität vor. Dieser Identitätsnachweis kann auf unterschiedliche Art erfolgen, beispielsweise in Form eines Passworts, eines Musters, einer Passphrase oder einer PIN. Der Identitätsnachweis kann auch mittels biometrischer Daten wie dem Fingerabdruck erfolgen oder über Informationen, die ausschließlich die nutzende Person besitzt, etwa digitale Identitäten, Token, Badge, Smartcard oder auch Zertifikate.

„Nutzende müssen bei der Authentisierung aktiv handeln und den Beweis erbringen, wirklich zu sein, wer sie zu sein vorgeben. In der analogen Welt geschieht dies in aller Regel durch Ausweisdokumente, während in der digitalen Welt die oben genannten Wege in Frage kommen“, so Schrenk.

Authentifizierung: Prüfung des Identitätsnachweises

Auf die Authentisierung folgt die Authentifizierung: Der Identitätsnachweis, den ein Nutzer beim Authentisieren erbracht hat, wird in diesem Schritt überprüft. „Übertragen auf das analoge Leben würde in diesem Schritt das Ausweisdokument einer zu authentifizierenden Person auf Echtheit untersucht werden. Eine vertrauenswürdige Instanz verifiziert oder falsifiziert also jene Daten, die Nutzende beim Authentisieren als Identitätsnachweis vorgelegt haben“, erklärt Schrenk. Eine Authentifizierung in der IT funktioniert beispielsweise über den Faktor Wissen: Passwörter, PINs, Passphrasen, Muster oder andere geheime Informationen. Auch digitale Authentifizierungen über Besitz, wie Token oder digitale Identität, sowie über Biometrie, also Iris, Fingerabdruck oder Stimme, sind denkbar.

„Je mehr Faktoren beim Authentifizieren eingesetzt werden, umso sicherer kann ein Anmeldeprozess werden. Es ist vorstellbar, dass Kriminelle einen Faktor, beispielsweise ein Passwort, knacken können. Kommen jedoch ein weiterer oder gar mehrere verschiedene Faktoren hinzu, etwa Iris-Scan und Token, haben es Kriminelle wirklich schwer“, so die IT-Sicherheitsexpertin.

Autorisierung: Gewähren bestimmter Rechte

Mit der Authentifizierung endet der Prozess der Anmeldung noch nicht, denn noch muss der Zugang zu jenen Ressourcen gewährt werden, auf die nach der erfolgreich nachgewiesenen Identität Zugriff erfolgen darf. Patrycja Schrenk erklärt: „Wenn sich jemand mit seiner E-Mail-Adresse, einem Passwort und zusätzlich einem biometrischen Faktor einloggt, dann ist das die Authentisierung, also der Identitätsnachweis. Das IT-System prüft, ob E-Mail-Adresse, Passwort und biometrischer Faktor zusammenpassen – es authentifiziert die Person. Diese ist nun autorisiert, auf bestimmte Daten zuzugreifen. Aufgrund einer bestehenden Rechteverwaltung sind das aber beispielsweise nur Buchhaltungsdaten und nicht Personaldaten.“

(ID:47895079)