Obwohl Authentication und Authorization häufig synonym verwendet werden, handelt es sich dabei um unterschiedliche Prozesse, die ein Unternehmen vor Cyberangriffen schützen sollen. Angesichts der zunehmenden Häufigkeit und des Ausmaßes von Datenschutzverletzungen sind Authentifizierung und Autorisierung die erste Linie der Verteidigung, mit der verhindert werden soll, dass vertrauliche Daten in die falschen Hände geraten. Daher sollten solide Methoden für die Authentifizierung und Autorisierung ein wichtiger Bestandteil der allgemeinen Sicherheitsstrategie jedes Unternehmens sein.
Authentication vs. Authorization
Was ist Authentifizierung, was ist Autorisierung, und worin liegt der Unterschied? Kurz gesagt: Bei der Authentifizierung wird überprüft, wer eine Person ist, während bei der Autorisierung überprüft wird, auf welche spezifischen Anwendungen, Dateien und Daten ein Benutzer Zugriff hat. Ein Beispiel aus dem Leben macht es deutlich: Eine Fluggesellschaft muss festlegen, welche Personen an Bord kommen dürfen. Dabei besteht der erste Schritt darin, die Identität eines Passagiers zu bestätigen, um sicherzustellen, dass er derjenige ist, der er vorgibt zu sein. Sobald die Identität eines Fluggastes festgestellt wurde, besteht der zweite Schritt in der Überprüfung von Sonderleistungen, zu denen der Fluggast Zugang hat, sei es ein Flug in der ersten Klasse oder ein Besuch in der VIP-Lounge.
In der digitalen Welt erfüllen Authentication und Authorization dieselben Ziele. Mit der Authentifizierung wird überprüft, ob die Benutzer wirklich die sind, für die sie sich ausgeben. Sobald dies bestätigt ist, wird die Autorisierung verwendet, um dem Benutzer die Erlaubnis zu erteilen, auf verschiedene Ebenen von Informationen zuzugreifen und bestimmte Funktionen auszuführen, abhängig von den Regeln, die für verschiedene Arten von Benutzern festgelegt wurden.
Authentication | Authorization |
Mit der Authentifizierung wird überprüft, wer der Benutzer ist. | Die Autorisierung bestimmt, auf welche Ressourcen ein Benutzer zugreifen kann. |
Die Authentifizierung erfolgt über Passwörter, Einmal-PINs, biometrische Informationen und anderen, vom Benutzer bereitgestellten oder eingegebenen Informationen. | Authorization erfolgt über Einstellungen, die von der Organisation implementiert und gepflegt werden. |
Authentication ist der erste Schritt in einem angemessenen Identitäts- und Zugriffsmanagementprozess. | Die Autorisierung findet immer nach der Authentifizierung statt. |
Die Authentifizierung ist für den Benutzer sichtbar und kann teilweise von ihm geändert werden. | Die Autorisierung ist für den Benutzer nicht sichtbar und kann von ihm nicht geändert werden. |
Beispiel: Sobald die Zugriffsberechtigung erteilt ist, können Mitarbeiter und HR-Manager auf der Grundlage der vom Unternehmen festgelegten Berechtigungen auf verschiedene Datenebenen zugreifen. |
Gängige Authentication-Methoden
Während die Benutzeridentität in der Vergangenheit mit einer Kombination aus Benutzername und Passwort überprüft wurde, stützen sich die heutigen Authentifizierungsmethoden in der Regel auf drei Arten von Informationen:
- Was Sie wissen: In der Regel handelt es sich dabei um ein Passwort. Es kann sich aber auch um die Antwort auf eine Sicherheitsfrage oder eine einmalige PIN handeln, die dem Benutzer nur für eine Sitzung oder Transaktion Zugang gewährt.
- Was Sie besitzen: Dabei kann es sich um ein mobiles Gerät oder eine App, ein Sicherheits-Token oder eine digitale ID-Karte handeln.
- Was Sie sind: Hier handelt es sich um biometrische Daten wie Fingerabdrücke, Netzhautscans oder die Gesichtserkennung.
Häufig werden diese Arten von Informationen mit mehreren Authentifizierungsebenen kombiniert. Zum Beispiel kann ein Benutzer aufgefordert werden, einen Benutzernamen und ein Passwort einzugeben, um einen Online-Einkauf abzuschließen. Sobald dies bestätigt ist, kann als zweite Sicherheitsebene eine einmalige PIN an das Mobiltelefon des Benutzers gesendet werden. Durch die Kombination mehrerer Authentification-Methoden mit konsistenten Authentifizierungsprotokollen können Unternehmen sowohl die Sicherheit unterstützen als auch die Kompatibilität zwischen Systemen gewährleisten.
Gängige Authorization-Methoden
Sobald ein Benutzer authentifiziert ist, werden Autorisierungskontrollen angewandt, um sicherzustellen, dass die Benutzer auf die benötigten Daten zugreifen und bestimmte Funktionen ausführen können. Dazu gehören z. B. das Hinzufügen oder Löschen von Informationen, basierend auf den von der Organisation erteilten Berechtigungen. Diese Berechtigungen können auf der Anwendungs-, Betriebssystem- oder Infrastrukturebene zugewiesen werden. Zwei gängige Autorisierungstechniken sind:
- Rollenbasierte Zugriffskontrolle (RBAC): Bei dieser Authorization-Methode erhalten Benutzer je nach ihrer Rolle innerhalb des Unternehmens Zugriff auf Informationen. So können beispielsweise alle Mitarbeiter eines Unternehmens ihre persönlichen Daten wie Gehalt, Urlaubszeiten und Altersvorsorgedaten einsehen, aber nicht ändern. HR-Manager können jedoch Zugriff auf alle HR-Informationen der Mitarbeiter sowie die Berechtigung erhalten, Daten hinzuzufügen, zu löschen und zu ändern. Durch die Zuweisung von Berechtigungen entsprechend der Rolle jeder Person können Unternehmen sicherstellen, dass jeder Benutzer produktiv arbeiten kann, während gleichzeitig der Zugriff auf sensible Daten eingeschränkt ist.
- Attributbasierte Zugriffskontrolle (ABAC): ABAC vergibt Benutzerberechtigungen auf einer granulareren Ebene als RBAC. Dafür wird eine Reihe von Attributen genutzt. Dazu können Benutzerattribute wie der Name des Benutzers, seine Rolle, Organisation, ID und seine Sicherheitsfreigabe gehören. Umgebungsattribute, wie z. B. der Zeitpunkt des Zugriffs, der Standort der Daten und die aktuelle Bedrohungslage im Unternehmen, können ebenfalls verwendet werden. Auch Ressourcenattribute wie der Eigentümer der Ressource, der Dateiname und der Grad der Datensensibilität können einbezogen werden. ABAC ist ein komplexerer Autorisierungsprozess als RBAC, der darauf ausgelegt ist, den Zugriff weiter einzuschränken. Anstatt z. B. allen Personalleitern in einem Unternehmen generell die Änderung von Personaldaten zu gestatten, kann der Zugriff auf bestimmte geografische Standorte oder Tageszeiten beschränkt werden, um enge Sicherheitsgrenzen einzuhalten.
Eine solide Authentication- und Authorization-Strategie ist unerlässlich
Eine solide Sicherheitsstrategie erfordert den Schutz der eigenen Ressourcen, sowohl durch Authentifizierung als auch durch Autorisierung. Mit einer starken Authentication- und Authorization-Strategie können Unternehmen konsequent überprüfen, wer jeder Benutzer ist und worauf er Zugriff hat, um nicht autorisierte Aktivitäten zu verhindern, die eine ernsthafte Bedrohung darstellen. Unternehmen können ihre Produktivität maximieren und gleichzeitig ihre Sicherheit erhöhen, indem sie sicherstellen, dass sich alle Benutzer ordnungsgemäß identifizieren und nur Zugriff auf die wirklich benötigten Ressourcen erhalten. Das ist extrem wichtig in einer Zeit, in der Datenschutzverletzungen die Einnahmen eines Unternehmens stark beeinträchtigen und die Reputation enorm beschädigen können.
Sehen Sie hier, wie SailPoint integriert mit den richtigen Anbietern von Authentication-Lösungen arbeitet.
Das könnte Sie auch interessieren:
Übernehmen Sie die Kontrolle über Ihre Cloud-Plattform!
Erfahren Sie mehr über die Integration von SailPoint mit den verschiedensten Authentication-Lösungen.