Authentisieren, Authentifizieren und Autorisieren: PSW GROUP erklärt Unterschiede

Insbesondere die Begriffe authentisieren und authentifizieren werden gerne synonym verwendet

[datensicherheit.de, 18.11.2021] Authentisieren, authentifizieren und autorisieren seien Begriffe, welche häufig fielen, aber nicht immer korrekt verwendet würden, so die aktuelle Stellungnahme der PSW GROUP: „Insbesondere die Begriffe ,authentisieren‘ und ,authentifizieren‘ werden gern synonym verwendet. Jedoch handelt es sich um verschiedene Prozesse.“ Das Nachweisen der Identität sei das Authentisieren. Bei der Authentifizierung werde der Identitätsnachweis auf Authentizität geprüft. „Und beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde“, erläutert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Beim Autorisieren handelt es sich um das Gewähren eines Zugangs, nachdem erfolgreich die Identität nachgewiesen wurde…

Authentisierung: Aktiver Nachweis der Identität

Nutzer, welche sich gegenüber einem IT-System anmelden möchten, authentisierten sich zunächst, legten also einen Nachweis für ihre Identität vor. Dieser Identitätsnachweis könne auf unterschiedliche Art erfolgen, beispielsweise in Form eines Passworts, eines Musters, einer Passphrase oder einer PIN.
Der Identitätsnachweis könne auch mittels biometrischer Daten wie dem Fingerabdruck erfolgen oder über Informationen, „die ausschließlich die nutzende Person besitzt, etwa digitale Identitäten, Token, Badge, Smartcard oder auch Zertifikate“. Nutzer müssten bei der Authentisierung aktiv handeln und den Beweis erbringen, wirklich zu sein, wer sie zu sein vorgeben. Schrenk: „In der analogen Welt geschieht dies in aller Regel durch Ausweisdokumente, während in der digitalen Welt die oben genannten Wege in Frage kommen.“

Authentifizierung: Überprüfung des Identitätsnachweises

Auf die Authentisierung folge dann die Authentifizierung: Der Identitätsnachweis der Nutzer beim Authentisieren werde in diesem Schritt überprüft. „Übertragen auf das analoge Leben würde in diesem Schritt das Ausweisdokument einer zu authentifizierenden Person auf Echtheit untersucht werden. Eine vertrauenswürdige Instanz verifiziert oder falsifiziert also jene Daten, die Nutzende beim Authentisieren als Identitätsnachweis vorgelegt haben“, so Schrenk. Eine Authentifizierung in der IT funktioniere beispielsweise über den Faktor „Wissen“: Passwörter, PINs, Passphrasen, Muster oder andere geheime Informationen. Auch digitale Authentifizierungen über Besitz, wie Token oder digitale Identität, sowie über Biometrie, also Iris, Fingerabdruck oder Stimme, seien denkbar.
Schrenk führt aus: „Je mehr Faktoren beim Authentifizieren eingesetzt werden, umso sicherer kann ein Anmeldeprozess werden. Es ist vorstellbar, dass Kriminelle einen Faktor, beispielsweise ein Passwort, knacken können. Kommen jedoch ein weiterer oder gar mehrere verschiedene Faktoren hinzu, etwa Iris-Scan und Token, haben es Kriminelle wirklich schwer.“

Autorisierung nach Authentisierung und Authentifizierung: Gewährung bestimmter Rechte

Mit der Authentifizierung ende der Prozess der Anmeldung noch nicht, denn noch müsse der Zugang zu jenen Ressourcen gewährt werden, auf welche nach der erfolgreich nachgewiesenen Identität Zugriff erfolgen dürfe. „Wenn sich jemand mit seiner E-Mail-Adresse, einem Passwort und zusätzlich einem biometrischen Faktor einloggt, dann ist das die Authentisierung, also der Identitätsnachweis.“
Das IT-System prüfe, ob E-Mail-Adresse, Passwort und biometrischer Faktor zusammenpassten – es authentifiziere die Person. Diese sei nun autorisiert, auf bestimmte Daten zuzugreifen. „Aufgrund einer bestehenden Rechteverwaltung sind das aber beispielsweise nur Buchhaltungsdaten und nicht Personaldaten.“

Weitere Informationen unter:

PSW GROUP, Bianca Wellbrock, 14.09.2021
IT-Security / Authentisieren, authentifizieren & autorisieren: Begriffsdefinitionen