Authentisierung, Authentifizierung & Autorisierung: Was ist der Unterschied?

Beim Zugriff auf digitale Dienstleistungen oder Daten sind der Nachweis und Beweis von Identität sicherheitsrelevant. Wer jemand ist, ob das wirklich stimmt und was das für den Zugriff bedeutet, ist in den Mechanismen Authentisierung, Authentifizierung und Autorisierung definiert.Was diese Disziplinen bedeuten und wie das Zusammenspiel gelingt, zeigen wir in diesem Beitrag.

Kurzdefinitionen auf einen Blick

Die Unterschiede von Authentisierung, Authentifizierung und Autorisierung lassen sich in deren Zusammenwirken erklären. Wenn beispielsweise ein Chefarzt des Krankenhauses einen Raum betreten oder auf Daten zugreifen möchte, hat er entsprechend seiner Rolle bestimmte Rechte.

  • Authentisierung: Wer bist du und womit kannst du das belegen?
  • Authentifizierung: Stimmen deine Angaben mit den hinterlegten Daten überein?
  • Autorisierung: Was darfst du tun?

Die Bedeutung von Authentisierung, Authentifizierung und Autorisierung erklärt sich im Zusammenspiel: Ohne erfolgreiche Authentisierung keine Authentifizierung und ohne erfolgreiche Authentifizierung keine Autorisierung – also kein Zugriff.

Stufe 1: Authentisierung vs. Authentifizierung

Authentisierung und Authentifizierung sind wichtige Mechanismen, die den Zugriff auf Daten absichern. Die Nachweispflicht der Identität ist von der Person selbst (Authentisierung) und danach vom System (Authentifizierung) zu verifizieren.

In unserem Beispiel liegt während der Authentisierung die aktive Nachweispflicht der Identität beim Chefarzt selbst: Je nach digitaler Durchdringung dient ihm dafür eine Keycard, um einen Raum zu betreten oder er nutzt ein Passwort bzw. ein Badge für den Log-in an einem Endgerät.

Was ist authentifizieren?Während der Authentifizierung bestätigt das Türschloss bzw. die Sicherheitsmechanismen, ob der Zugangsnachweis authentisch ist und ob er die Person ist, die er vorgibt zu sein.

Moderne Methoden der Cybersicherheit erfordern verschiedene Stufen der Bestätigung (Multi-Faktor-Authentifizierung), um eine Identität möglichst sicher zu bestätigen und Verwechslungen oder Betrug vorzubeugen.

Stufe 2: Authentifizierung vs. Autorisierung

Authentifizierung und Autorisierung beschreiben, dass nach erfolgreicher Verifizierung der Identität (Authentifizierung) bestimmte Rechte zugeteilt werden (Autorisierung).

Wurde die Identität des Chefarztes bestätigt, stellt sich in der Phase der Autorisierung die Frage, ob er in seiner Rolle wirklich Zugang erhält.

Ein wichtiges Thema für IAM im Krankenhaus ist es auch, was mit einem Konto und vor allem mit einem kritischen Kontogeschieht, wenn z. B. der Zugang gesperrt werden soll. Beim Zugang auf kritische Daten oder Funktionen sind die Möglichkeiten des Privileged Access Managements mit einem effektiven Zero-Trust-Ansatz für Datensicherheit zentral.

Authentifizierungsmethoden: Welche Arten gibt es?

Bei der Authentifizierung kommen unterschiedliche Faktoren und Verfahren zum Einsatz. Grundsätzlich unterscheidet man drei Hauptkategorien von Authentifizierungsfaktoren, auch bekannt als das Prinzip von etwas, das du weißt (Knowledge), besitzt (Possession) oder was du bist (Inherence).

Wir zeigen dir gängige Methoden und geben praktische Beispiele, wie sie im Identity- and Access Management und als Maßnahmen der Cyber Security genutzt werden.

Wissensfaktor: Knowledge – etwas, das man weiß

Authentifizierung bedeutet den Nachweis von Geheimnissen, die man nur selbst kennt oder mit einer bestimmten Personengruppe teilt.

  • Passwort: Die älteste Form der Authentifizierung an digitalen Endgeräten erfordert die Eingabe eines Passworts. Passwörter können für Angriffe anfällig sein, wenn sie zu einfach sind, offensichtlich gewählt und sogar mehrfach verwendet werden. Entsprechend sollten Passwörter komplex sein, geheim gehalten und gut geschützt gespeichert werden.
  • PIN (Persönliche Identifikationsnummer):Die meist 4- bis 6-stellige Zahlenfolgekann dazu dienen, die SIM-Karte zu entsperren, Geld vom Bankautomaten abzuheben oder Zugang zu einer Tür mit Keycode zu erhalten. Als alleinige Verifizierungsmethode gilt die Nummernfolge aufgrund der Kürze als unsicher.
  • Sicherheitsfragen und -antworten:Vordefinierte Fragen (etwa „Name des ersten Haustiers?“) sind als zusätzliche Sicherheitsfaktoren z. B. bei der Wiederherstellung von Accounts gefragt. Ein Sicherheitsrisiko sind sie, da Antworten durch Social Engineering herausgefunden werden können.

Wissensfaktoren sind heute ein Standard und einfach umzusetzen. Sie haben jedoch den Nachteil, dass sie komplett auf der Geheimhaltung durch den Nutzer beruhen. Wird ein Passwort erraten, ausspioniert oder in einem Datenleck entwendet, kann ein Angreifer die Identität stehlen. Aus diesem Grund kommt heute fast überall zumindest eine zweite Schutzschicht zum Einsatz.

Besitzfaktor: Possession – Etwas, das man hat

Diese Methode überprüft etwas, das der Benutzer physisch oder digital besitzt. Der Benutzer muss bei der Anmeldung einen Gegenstand oder ein Gerät vorweisen bzw. verwenden, der eindeutig ihm zugeordnet ist.

Die Kombination der Faktoren Passwort + Authenticator oder Passwort + E-Mail- und SMS-Code sind als Zwei-Faktor-Authentifizierungen bekannt.

Typische Beispiele für den Besitzfaktor sind:

  • Smartphone-Authentifikatoren oder -Apps:Die Nutzung eines persönlichen Mobilgeräts ist heute ein gängiger Besitznachweis. Bekannte Beispiele sind Authenticator-Apps, die zeitbasierte Einmalpasswörter (TOTP) erzeugen, oder Push-Benachrichtigungen, bei denen der Log-in auf dem eigenen Handy bestätigt werden muss. Imprivata nutzt mobiles Zugriffsmanagement als Grundlage der Authentifizierung.
  • Hardware-Token und Smartcards:Kleine Geräte, die eine Einmal-Passcode generieren oder auf denen Zertifikate gespeichert sind. Nur wer den physischen Token besitzt, kann den Code ablesen und authentifiziert werden.
  • E-Mail- und SMS-Link oder Code:Manche Dienste versenden zum Log-in eine Nachricht an die registrierte E-Mail-Adresse. Auch dies ist ein Besitzfaktor, da der Zugriff ein vorhandenes E-Mail-Postfach voraussetzt. Mobile TAN-Verfahren (mTAN) per SMS fallen in diese Kategorie – eine einmalige PIN wird an das hinterlegte Handy des Nutzers gesendet.

Der Besitzfaktor bietet den Vorteil, dass ein Angreifer neben eventuell bekannten Passwörtern noch etwas konkret stehlen oder kopieren müsste, was die Hürde für einen Angriff erhöht.

Inhärenzfaktor: Inherence – etwas, das man ist

Beim Sicherheitspersonal am Eingang des Firmengeländes ist man aufgrund charakteristischer Merkmale wie Aussehen und Stimme bekannt. Den Security-Kräften fallen weitere für eine Person inhärente Details auf, z. B. wenn an der Gangart oder dem Verhalten einer Person etwas anders ist als sonst.

Unter Inhärenz versteht man biometrische Merkmale und Verhaltensweisen, welche einer Person zuzuweisen sind. Diese Faktoren nutzen also physische und persönliche Eigenschaften zur Authentifizierung. Beispiele für Inhärenzfaktoren umfassen:

  • Fingerabdruck: Der Fingerabdruck jedes Menschen ist einzigartig. Fingerabdruckscanner (z. B. am Smartphone oder Laptop) werden häufig für eine bequeme Authentifizierung genutzt. Wird der Fingerabdruck allerdings kompromittiert (z. B. als Abdruck gestohlen), kann man ihn nicht einfach ändern.
  • Gesichtserkennung: Techniken wie Apples Face ID und Android-Gesichtserkennung scannen biometrische Gesichtsdaten. Sie bieten hohen Komfort, da der Nutzer nur in eine Kamera schauen muss. Gesichtserkennung im Gesundheitswesen dient dazu, Patienten eindeutig zuzuordnen.
  • Iris- / Retina-Scan: Die Muster in der Iris und der Netzhaut des Auges sind ebenfalls einzigartig. Iris-Scanner kommen bei einigen Hochsicherheitsanwendungen zum Einsatz.
  • Stimm- bzw. Spracherkennung: Stimmeigenschaften können als biometrischer Faktor dienen, etwa bei telefonischer Authentifizierung. Allerdings können Stimmen mittels Aufnahmen und KI nachgeahmt werden, weshalb alleinige Spracherkennung als kritisch bewertet wird.
  • Verhaltensbiometrie: Hierbei wird der Nutzer durch sein typisches Verhalten erkannt – z. B. die Tastenanschlag-Dynamikbeim Tippen, Mausbewegungsmuster oder die Art des Smartphone-Handlings. Solche Merkmale werden oft im Hintergrund zu Risikoanalysen herangezogen, um verdächtige Abweichungen festzustellen.

Fazit

Eine klare Trennung der Konzepte und ein fundiertes Verständnis von Authentisierung, Authentifizierung und Autorisierung sind Voraussetzung, um Sicherheitskonzepte korrekt zu planen und umzusetzen und die IT-Infrastruktur entsprechend der Datenschutzvorgaben abzusichern.

Moderne IAM-Lösungen für das Gesundheitssystem integrieren diese Prozesse. Durch zentrales Identity Management und automatisierte Access Management-Prozesse können Einrichtungen sicherstellen, dass jeder Benutzer nur die Zugriffsrechte erhält, die er benötigt, und dass Identitäten über ihren gesamten Lebenszyklus richtig verwaltet werden.