Authentifizierung und Autorisierung sind verwandte, aber unterschiedliche Prozesse im Identity and Access Management (IAM)-System eines Unternehmens. Die Authentifizierung überprüft die Identität eines Benutzers. Die Autorisierung gewährt dem Benutzer die entsprechende Zugriffsstufe auf die Systemressourcen.
Der Authentifizierungsprozess basiert auf Anmeldedaten wie Passwörtern oder Fingerabdruckscans, die Benutzer vorlegen, um zu beweisen, dass sie die Person sind, für die sie sich ausgeben.
Der Autorisierungsprozess basiert auf Benutzerberechtigungen, die festlegen, was jeder Benutzer innerhalb einer bestimmten Ressource oder eines bestimmten Netzwerks tun kann. Zum Beispiel können Berechtigungen in einem Dateisystem festlegen, ob ein Benutzer Dateien erstellen, lesen, aktualisieren oder löschen kann.
Authentifizierungs- und Autorisierungsprozesse gelten sowohl für menschliche als auch für nicht-menschliche Benutzer, wie z. B. Geräte, automatisierte Workloads und Webanwendungen. Ein einzelnes IAM-System kann sowohl die Authentifizierung als auch die Autorisierung übernehmen, oder die Prozesse können von separaten Systemen abgewickelt werden, die zusammenarbeiten.
Die Authentifizierung ist in der Regel eine Voraussetzung für die Autorisierung. Ein System muss wissen, wer ein Benutzer ist, bevor es diesem Benutzer Zugriff auf etwas gewähren kann.
Identitätsbasierte Angriffe, bei denen Hacker gültige Benutzerkonten kapern und deren Zugriffsrechte missbrauchen, sind auf dem Vormarsch. Laut dem IBM X-Force Threat Intelligence Index von IBM sind diese Angriffe die häufigste Methode, mit der Bedrohungsakteure in Netzwerke eindringen. Sie machen 30 % aller Cyberangriffe aus.
Authentifizierung und Autorisierung arbeiten zusammen, um sichere Zugriffskontrollen durchzusetzen und Datenschutzverletzungen zu unterbinden. Starke Authentifizierungsprozesse erschweren es Hackern, Benutzerkonten zu übernehmen. Eine starke Autorisierung begrenzt den Schaden, den Hacker mit diesen Konten anrichten können.
Die Authentifizierung, manchmal auch als „Authn“ abgekürzt, basiert auf dem Austausch von Benutzeranmeldeinformationen, auch Authentifizierungsfaktoren genannt. Authentifizierungsfaktoren sind Nachweise, die die Identität eines Benutzers belegen.
Wenn sich ein Benutzer erstmalig in einem System registriert, legt er eine Reihe von Authentifizierungsfaktoren fest. Wenn sich der Benutzer anmeldet, werden diese Faktoren angezeigt. Das System gleicht die angegebenen Faktoren mit den gespeicherten Faktoren ab. Wenn sie übereinstimmen, geht das System davon aus, dass der Benutzer derjenige ist, für den er sich ausgibt.
Gängige Authentifizierungsmethoden:
Einzelne Apps und Ressourcen können über eigene Authentifizierungssysteme verfügen. Viele Unternehmen verwenden ein integriertes System, wie z. B. eine Single Sign-on (SSO)-Lösung, bei der sich Benutzer einmal authentifizieren können, um auf mehrere Ressourcen in einer sicheren Domäne zuzugreifen.
Zu den gängigen Authentifizierungsstandards gehören Security Assertion Markup Language (SAML) und OpenID Connect (OIDC). SAML verwendet XML-Nachrichten, um Authentifizierungsinformationen zwischen Systemen auszutauschen, während OIDC JSON-Web-Token (JWTs) verwendet, die als „ID-Token“ bezeichnet werden.
Die Autorisierung, manchmal auch als „authz“ abgekürzt, basiert auf Benutzerberechtigungen. Berechtigungen sind Richtlinien, die festlegen, auf welche Daten ein Benutzer zugreifen und was er mit diesem Zugriff in einem System tun kann.
Administratoren und Sicherheitsbeauftragte definieren in der Regel Benutzerberechtigungen, die dann von Autorisierungssystemen durchgesetzt werden. Wenn ein Benutzer versucht, auf eine Ressource zuzugreifen oder eine Aktion auszuführen, überprüft das Autorisierungssystem seine Berechtigungen, bevor es ihm den Zugriff gestattet.
Stellen Sie sich eine Datenbank mit vertraulichen Kundendaten vor. Die Autorisierung bestimmt, ob ein Benutzer diese Datenbank überhaupt sehen kann. Wenn sie können, bestimmt die Autorisierung auch, was sie innerhalb der Datenbank tun können. Können sie nur Einträge lesen oder auch Einträge erstellen, löschen und aktualisieren?
OAuth 2.0, das Zugriffstoken verwendet, um Benutzern Berechtigungen zu erteilen, ist ein Beispiel für ein gängiges Autorisierungsprotokoll. OAuth ermöglicht es Apps, Daten miteinander zu teilen. Mit OAuth kann eine Social-Media-Website beispielsweise die E-Mail-Kontakte eines Benutzers nach Personen durchsuchen, die der Benutzer möglicherweise kennt – vorausgesetzt, der Benutzer stimmt zu.
Benutzerauthentifizierung und -autorisierung spielen eine sich ergänzende Rolle beim Schutz sensibler Informationen und Netzwerkressourcen vor internen Bedrohungen und externen Angreifern. Kurz gesagt hilft die Authentifizierung Unternehmen dabei, Benutzerkonten zu schützen, während die Autorisierung dazu beiträgt, die Systeme zu schützen, auf die diese Konten zugreifen können.
Umfassende Identity und Access Management (IAM)-Systeme helfen dabei, Benutzeraktivitäten zu verfolgen, unbefugten Zugriff auf Netzwerk-Assets zu blockieren und granulare Berechtigungen durchzusetzen, sodass nur die richtigen Benutzer auf die richtigen Ressourcen zugreifen können.
Authentifizierung und Autorisierung sind zwei entscheidende Punkte, die Unternehmen klären müssen, um sinnvolle Zugriffskontrollen durchzusetzen:
Ein Unternehmen muss wissen, wer ein Benutzer ist, bevor es den richtigen Zugriffslevel aktivieren kann. Wenn sich beispielsweise ein Netzwerkadministrator anmeldet, muss er nachweisen, dass er ein Administrator ist, indem er die richtigen Authentifizierungsfaktoren angibt. Erst dann autorisiert das IAM-System den Benutzer, administrative Aktionen durchzuführen, wie z. B. das Hinzufügen und Entfernen anderer Benutzer.
Da die organisatorischen Sicherheitskontrollen immer effektiver werden, umgehen immer mehr Angreifer diese, indem sie Benutzerkonten stehlen und deren Privilegien missbrauchen, um Chaos anzurichten. Laut dem IBM X-Force Threat Intelligence Index haben identitätsbasierte Angriffe zwischen 2022 und 2023 um 71 % zugenommen.
Diese Angriffe sind für Cyberkriminelle leicht durchzuführen. Hacker können Passwörter durch Brute-Force-Angriffe knacken, Malware zur Infostealing verwenden oder Zugangsdaten von anderen Hackern kaufen. Tatsächlich wurde im X-Force Threat Intelligence Index festgestellt, dass Anmeldedaten für Cloud-Konten 90 % der im Dark Web verkauften Cloud-Assets ausmachen.
Phishing ist eine weitere gängige Taktik zum Diebstahl von Anmeldedaten. Generative KI-Tools ermöglichen es Hackern nun, in kürzerer Zeit effektivere Phishing-Angriffe zu entwickeln.
Auch wenn sie als grundlegende Sicherheitsmaßnahmen angesehen werden können, sind Authentifizierung und Autorisierung wichtige Schutzmaßnahmen gegen Identitätsdiebstahl und Kontomissbrauch, einschließlich KI-gestützter Angriffe.
Durch die Authentifizierung kann es schwieriger werden, Konten zu stehlen, indem Passwörter durch andere Faktoren ersetzt oder verstärkt werden, die schwieriger zu knacken sind, wie z. B. biometrische Daten.
Granulare Autorisierungssysteme können Lateralbewegungen einschränken, indem sie die Benutzerrechte ausschließlich auf die Ressourcen und Aktionen beschränken, die sie benötigen. Dies begrenzt den Schaden, den sowohl böswillige Hacker als auch Insider durch den Missbrauch von Zugriffsrechten anrichten können.
Mit IBM Security Verify können Unternehmen über die grundlegende Authentifizierung und Autorisierung hinausgehen. Verify kann dabei helfen, Konten mit passwortlosen und Multi-Faktor-Authentifizierungsoptionen zu schützen. Außerdem können Anwendungen mit detaillierten, kontextbezogenen Zugriffsrichtlinien kontrolliert werden.