Authentisierung: Was den Begriff von Authentifizierung und Autorisierung unterscheidet

Insbesondere die Begriffe authentisieren und authentifizieren werden gern synonym verwendet. Jedoch handelt es sich um verschiedene Prozesse. Das Nachweisen der Identität ist die Authentisierung. Bei der Authentifizierung wird der Identitätsnachweis auf Authentizität geprüft. Und bei der Autorisierung handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde. Hier nun die Unterscheidung der drei Begriffe Authentisierung, Authentifizierung und Autorisierung.

Authentisierung: Identität nachweisen

Nutzende, die sich gegenüber einem IT-System anmelden möchten, authentisieren sich zunächst, legen also einen Nachweis für ihre Identität vor. Dieser Identitätsnachweis kann auf unterschiedliche Art erfolgen, beispielsweise in Form eines Passworts, eines Musters, einer Passphrase oder einer PIN. Der Identitätsnachweis kann auch mittels biometrischer Daten wie dem Fingerabdruck erfolgen oder über Informationen, die ausschließlich die nutzende Person besitzt, etwa digitale Identitäten, Token, Badge, Smartcard oder auch Zertifikate.

Nutzende müssen bei der Authentisierung aktiv handeln und den Beweis erbringen, wirklich zu sein, wer sie zu sein vorgeben. In der analogen Welt geschieht dies in aller Regel durch Ausweisdokumente, während in der digitalen Welt die oben genannten Wege in Frage kommen.

Authentifizierung: Prüfung des Identitätsnachweises

Auf die Authentisierung folgt die Authentifizierung: Der Identitätsnachweis, den Nutzer beim Authentisieren erbracht haben, lässt sich in diesem Schritt überprüfen. Übertragen auf das analoge Leben geht es in diesem Schritt darum, das Ausweisdokument einer zu authentifizierenden Person auf Echtheit zu untersuchen. Eine vertrauenswürdige Instanz verifiziert oder falsifiziert also jene Daten, die Nutzende beim Authentisieren als Identitätsnachweis vorgelegt haben. Eine Authentifizierung in der IT funktioniert beispielsweise über den Faktor Wissen: Passwörter, PINs, Passphrasen, Muster oder andere geheime Informationen. Auch digitale Authentifizierungen über Besitz, wie Token oder digitale Identität, sowie über Biometrie, also Iris, Fingerabdruck oder Stimme, sind denkbar.

Je mehr Faktoren beim Authentifizieren eingesetzt werden, umso sicherer kann ein Anmeldeprozess werden. Es ist vorstellbar, dass Kriminelle einen Faktor, beispielsweise ein Passwort, knacken können. Kommen jedoch ein weiterer oder gar mehrere verschiedene Faktoren hinzu, etwa Iris-Scan und Token, haben es Kriminelle wirklich schwer.

Autorisierung: Gewähren bestimmter Rechte

Mit der Authentifizierung endet der Prozess der Anmeldung noch nicht, denn noch muss der Zugang zu jenen Ressourcen gewährt werden, auf die nach der erfolgreich nachgewiesenen Identität Zugriff erfolgen darf. Wenn sich jemand mit seiner E-Mail-Adresse, einem Passwort und zusätzlich einem biometrischen Faktor einloggt, dann ist das die Authentisierung, also der Identitätsnachweis. Das IT-System prüft, ob E-Mail-Adresse, Passwort und biometrischer Faktor zusammenpassen – es authentifiziert die Person. Diese ist nun autorisiert, auf bestimmte Daten zuzugreifen. Aufgrund einer bestehenden Rechteverwaltung sind das aber beispielsweise nur Buchhaltungsdaten und nicht Personaldaten.

Über die Autorin: Patrycja Schrenk ist Geschäftsführerin der PSW Group. Die PSW Group ist ein Full-Service-Provider für Internetlösungen mit einem besonderen Schwerpunkt auf Internet Security. Als Dienstleister bietet das Unternehmen sowohl für den Webeinsatz als auch für die E-Mail-Kommunikation Zertifikats-, Signatur-, Verschlüsselungs- und Authentifizierungslösungen an. Das Portfolio reicht von SSL-Zertifikaten über Code Signing-Zertifikate bis hin zu S/MIME-Zertifikaten und De-Mail. (sg)

Lesen Sie auch: E-Mail-Betrug: Warum dieser große Verluste bei Unternehmen verursacht