Authentifizierung vs. Autorisierung

Was versteht man unter Benutzerauthentifizierung?

Die Authentifizierung oder Benutzerauthentifizierung ist eine von vielen Sicherheitsmaßnahmen, die Unternehmen zum Schutz vor unbefugtem Zugriff einsetzen. Dabei wird die Identität eines Benutzers überprüft, bevor ihm Zugriff auf eine App, eine Workstation, ein lokal installiertes Tool oder ein VPN gewährt wird. Der Benutzer authentisiert sich (d. h., verifiziert seine Identität) mithilfe eines Sicherheitstokens, das an den Server oder Client des Anbieters übermittelt wird.

Arten der Authentifizierung

Zwei-Faktor-Authentifizierung: Hier wird nach der Eingabe von Benutzername und Passwort bzw. nach der Anmeldung via Single Sign-On (SSO) ein weiterer Verifizierungsschritt ausgeführt. Dabei können Methoden wie Einmalpasswörter (OTP), SMS, Push-Benachrichtigungen an ein Smartphone oder Zugriffstoken wie ein YubiKey oder andere Hardwaretoken zum Einsatz kommen.
Multifaktor-Authentifizierung (MFA): MFA erweitert die Zwei-Faktor-Authentifizierung um zusätzliche Authentifizierungsschritte und kombiniert dabei verschiedene der oben erwähnten Methoden, z. B. die Eingabe eines Passworts gefolgt von einem Zugriffstoken wie einem Einmalpasswort und einem weiteren Faktor, etwa ein Hardwaretoken wie ein YubiKey.
Biometrische Authentifizierung: Bei der biometrischen Multifaktor-Authentifizierung wird die Identität des Benutzers anhand menschlicher Erkennungsmerkmale bestätigt. Der Benutzer authentisiert sich z. B. per Gesichts- oder Fingerabdruckerkennung.
Kontextbasierte Multifaktor-Authentifizierung: Bei dieser hochentwickelten Authentifizierungsmethode wird die Identität eines Benutzers anhand von Identifizierungsmerkmalen wie seines Standorts, der IP-Adresse, von der aus Zugriff angefordert wird, und zeitabhängigen Faktoren überprüft. Angenommen, einer Ihrer Mitarbeiter lebt in Berlin und arbeitet immer von dort aus. Wenn Ihr Unternehmen von München aus eine Zugriffsanfrage über das Konto dieses Mitarbeiters erhält, wird der Zugriff verweigert, da das System dies als unbefugten Zugriff erkennt.
Single Sign-On (SSO): Technisch gesehen ist SSO eine Form der Authentifizierung. MFA und SSO werden oft als zwei verschiedene Prozesse betrachtet, weil sie genau das sind: verschieden. Single Sign-On arbeitet mit Verbundidentitäten, wobei die Identität des Benutzers in der Regel über ein vom Identitätsanbieter generiertes ID-Token wie ein JSON Web Token (JWT) festgestellt wird. Dieses wird dann an den Client weitergeleitet, um die Zugriffsanfrage zu genehmigen. Da der Benutzer bereits bei seiner Identity-Lösung (der zentralen Domain) angemeldet ist, wird seine Identität durch das ID-Token bestätigt und die App gewährt Zugriff.

Was versteht man unter Autorisierung?

Während die Authentifizierung der Schlüssel ist, um Zugriff auf eine Web-App oder ein Tool zu erhalten, bezieht sich die Autorisierung auf verschiedene Zugriffsstufen. Diese legen fest, ob ein Benutzer Zugang zu sensiblen Informationen hat. Die Autorisierung kommt oft bei Cloud-Speichern zum Einsatz, bei denen Kontoadministratoren die Zugriffsanforderungen festlegen und den Zugriff auf Dokumente sowie die zulässigen Aktionen beschränken können.

Ein gutes Beispiel dafür ist Microsoft OneDrive. Bei diesem Filehosting-Dienst können Administratoren von Dateien Dokumente für andere Benutzer freigeben, dabei aber nicht steuern:

wer auf ein Dokument zugreifen darf
ob das Dokument schreibgeschützt ist oder bearbeitet werden darf
welche Personen im Unternehmen das Dokument bearbeiten dürfen
ob das Dokument für andere freigegeben werden darf
ob das Dokument innerhalb des Teams, im Unternehmen oder auch für Außenstehende freigegeben werden darf

Vier Arten der Autorisierung

Attribute-Based Access Control (ABAC): Bei der attributbasierten Zugriffskontrolle werden Benutzerzugriffe anhand von Richtlinien autorisiert. Bevor die Autorisierungsanfrage genehmigt wird, ermittelt das System die Berechtigungen des Benutzers. Dabei überprüft es seine Identität, die Ressource, auf die er zugreifen will, die Aktion, die er ausführen will, und die Umgebung, in der er Zugriff anfordert. Erfüllt der Benutzer alle Anforderungen, so erhält er Zugriff.
Discretionary Access Control (DAC): Bei dieser benutzerbestimmbaren Zugriffskontrolle werden die Zugriffsberechtigungen einer Gruppe oder eines Benutzers überprüft. DAC ist eine schnelle und sichere Methode, um Benutzer anhand ihrer Gruppenzugehörigkeit oder Identität zu autorisieren.
Mandatory Access Control (MAC): Hier wird nicht die Gruppenzugehörigkeit oder Identität eines Benutzers überprüft, sondern die Person auf Betriebssystemebene autorisiert. Zum Schutz vor schwerwiegenden Sicherheitsverletzungen definiert diese systembestimmte Form der Zugriffskontrolle, ob weiterer Zugriff auf ein System gewährt wird.
Role-Based Access Control (RBAC): Die rollenbasierte Zugriffskontrolle vereint die Vorteile von DAC und MAC. Dabei wird der Datei- und Systemzugriff anhand der Rolle und Berechtigungen eines Benutzers konfiguriert, wodurch die Zugriffsrechte auf Personen mit einer bestimmten Rolle im Unternehmen beschränkt werden.

In LastPass Business können Sie den Zugriff auf bestimmte Vault-Einträge oder freigegebene Ordner basierend auf Benutzerattributen wie Abteilung, Funktion oder Dienstalter beschränken. Finanzunterlagen könnten z. B. nur für Benutzer aus der Finanzabteilung zugänglich sein und Zugangsdaten für IT-Systeme nur für Mitglieder des IT-Teams.

Authentifizierung und Autorisierung im Vergleich

Es gibt unzählige Authentifizierungssysteme auf dem Markt – mindestens genauso viele wie Autorisierungsmöglichkeiten. Unternehmen denken jedoch oft, zwischen Authentifizierung und Autorisierung wählen zu müssen.

Sie müssen sich jedoch nicht für ein Verfahren entscheiden, sondern können eine Kombination dieser Methoden einsetzen und sie zusammenspielen lassen. Bei der Authentifizierung bestätigen die Benutzer ihre Identität, während die darauffolgende Autorisierung ihnen gestattet, auf eine Ressource zuzugreifen. In Kombination schützen Authentifizierung und Autorisierung jeden Zugangspunkt zu den Daten Ihres Unternehmens und somit die Daten selbst noch besser.

LastPass verfügt über eine Reihe von Authentifizierungs- und Autorisierungsrichtlinien, sodass Sie eine ganzheitliche Identity-Lösung für Ihr Unternehmen entwickeln können.

Unterschied	Authentifizierung	Autorisierung
Schwerpunkt	Bei der Authentifizierung geht es darum, eine Identität zu bestätigen.	Bei der Autorisierung geht es darum, basierend auf der bestätigten Identität und den Berechtigungen Zugriff auf Ressourcen zu gewähren bzw. zu verweigern.
Abfolge	Die Authentifizierung findet vor der Autorisierung statt.	Benutzer müssen sich authentisieren, bevor der Zugriff auf Ressourcen durch sie autorisiert werden kann.
Beantwortete Fragen	„Wer sind Sie?“	„Was dürfen Sie tun?“
Beispiele in LastPass	Kombination aus Benutzername und Passwort Multifaktor-Richtlinien Face ID, Touch ID, Sicherheitstoken kontextbasierte Richtlinien Single Sign-On	Passwortregeln Richtlinien für Kontobeschränkungen freigegebene Ordner Benutzer- und Gruppentypen

Passwortlose Authentifizierung und Autorisierung

Bei der Entwicklung ihrer Sicherheitsinfrastruktur müssen Administratoren einer Identity-and-Access-Management-Lösung (IAM) wissen, wie sie verschiedene Systeme wie die Multifaktor-Authentifizierung, Single Sign-On und rollenbasierte Zugriffskontrollen kombinieren können. Dieser Prozess mag kompliziert erscheinen, aber LastPass hat eine intelligente und sichere Cybersecurity-Lösung im Angebot.

Durch die Kombination von biometrischen und kontextbasierten Authentifizierungsfaktoren ist Ihr Unternehmen besser geschützt.
Die passwortlose Authentifizierung kann den Anmeldevorgang für Mitarbeiter im Büro und Homeoffice sowie für Kunden vereinfachen.
Die Benutzer können sich nahtlos auf allen Geräten authentisieren und somit unterbrechungsfrei und produktiv arbeiten.
Sie schützen jeden Zugriffspunkt – von Cloud- und lokal installierten Apps über VPNs bis hin zu Workstations.
Die biometrischen Daten werden auf Geräteebene verschlüsselt und verbleiben immer auf dem Benutzergerät, um ihre Sicherheit und Vertraulichkeit zu erhöhen.
Die von LastPass angebotenen MFA-Methoden lassen sich flexibel anpassen, sodass Sie den Zugriff auf Benutzer- oder Gruppenebene steuern können.
Über zentrale, detaillierte Richtlinien können Sie die Zugriffsrechte für einzelne Benutzer, Gruppen und das gesamte Unternehmen verwalten.
Dank der einfachen Bereitstellung, für die keine professionellen Dienstleistungen erforderlich sind, sparen Sie Zeit und Geld.
Für eine einfache Einrichtung und minimalen Verwaltungsaufwand lässt sich die Bereitstellung mit Benutzerverzeichnissen wie Microsoft AD und Microsoft Entra ID automatisieren.
LastPass bietet Ihnen mehrere Authentifizierungsprotokolle und Autorisierungspläne, sodass Sie die Lösung an die Größe, die Sicherheitsanforderungen und das Budget Ihres Unternehmens anpassen können.

Häufig gestellte Fragen

Authentifizierung und Autorisierung sind zwei separate Prozesse, die zusammenspielen können, um Benutzern Zugriff zu gewähren und Ihr Unternehmen vor unbefugtem Zugriff zu schützen.

Bei der Authentifizierung wird überprüft, ob ein Benutzer, der Zugriff anfordert, tatsächlich die Person ist, für die er sich ausgibt. Zum Bestätigen seiner Identität muss er z. B. die Antwort auf eine Sicherheitsfrage eingeben, die nur er kennt, oder biometrische Daten wie seinen Fingerabdruck übermitteln.

Die Autorisierung bestimmt, ob ein Benutzer eine bestimmte Aktion ausführen darf – z. B. auf eine Ressource zugreifen, Daten bearbeiten oder ein Dokument anzeigen. Dies lässt sich mit einer Sicherheitskontrolle bei einer privaten Veranstaltung vergleichen: Durch die Authentifizierung erhalten Sie Einlass, während die Autorisierung regelt, ob Sie Zugang zum VIP-Raum erhalten.

Mit LastPass profitiert Ihr Unternehmen von einem externen SaaS-Tool für die Authentifizierung und Autorisierung von Benutzern, das sich in Ihre vorhandenen Lösungen integrieren lässt.

Die Identifizierung ist Teil des Prozesses, bei dem Sie sich – wie der Name schon sagt – identifizieren, indem Sie z. B. Ihren Namen, Ihre E-Mail-Adresse, Ihre offizielle ID oder Ähnliches eingeben.

Die Authentifizierung ist der Prozess, über den Sie Ihre Identität bestätigen. Dazu benötigen Sie etwas, das nur jemand mit Ihrer Identität haben oder kennen kann: ein Passwort, einen Fingerabdruck oder Zugriff auf Ihr Smartphone.

Die Autorisierung ist der Prozess, der feststellt, ob Sie auf eine Ressource oder ein System zugreifen dürfen – wenn Ihnen etwa von einem Administrator oder Eigentümer das Recht gewährt wurde, ein Dokument anzuzeigen oder es zu bearbeiten.

Benutzer müssen sich zunächst identifizieren, bevor sie authentifiziert und autorisiert werden. Wenn Sie sich bei einem System anmelden und auf eine Ressource zugreifen wollen, kann dies wie folgt ablaufen:

Sie geben zur Identifizierung Ihren Benutzernamen und Ihr Passwort ein (der erste Schritt der Authentifizierung).
Sie bestätigen Ihre Identität mit Ihrem Fingerabdruck (eine Form der Multifaktor-Authentifizierung).
Abschließend autorisiert Sie der Client entsprechend Ihrer Identität, dem Dokument, auf das Sie zugreifen wollen, und der Aktion, die Sie ausführen wollen. Verfügen Sie in allen Fällen über die korrekten Berechtigungen, so wird Ihnen Zugriff gewährt.

Es gibt verschiedene Möglichkeiten, Authentifizierungsmethoden wie SSO und den darauffolgenden Autorisierungsprozess aus technischer Sicht umzusetzen. Dazu zählen Verfahren wie OpenID Connect, SAML und weitere.

OAuth ist ein häufig verwendeter Begriff im Bereich der Cybersecurity. SAML ähnelt OAuth insofern, als dass beide für webbasiertes Single Sign-On eingesetzt werden können. Sie erfüllen jedoch unterschiedliche Zwecke: SAML wird in der Regel benutzerspezifisch in Bezug auf ein Benutzerverzeichnis verwendet, während die OAuth-Protokolle bei bestimmten Apps und Geräten zum Einsatz kommen.

In diesem Sinne wird OAuth für gewöhnlich zur Autorisierung eingesetzt, wobei OAuth 2.0 der aktuelle Branchenstandard ist. Es ermöglicht eine eindeutige und spezifische Autorisierung für Desktop-Apps, Smartphones, native und Web-Apps. Dabei werden in der Regel Zugriffstoken zugewiesen und verwaltet.

Die Benutzerauthentifizierung ist eine einfache und gleichzeitig wichtige Maßnahme für Unternehmen, um sich vor unbefugtem Zugriff und möglichen Sicherheitsverletzungen zu schützen. In Kombination mit der Benutzerautorisierung legt die Authentifizierung die geltenden Zugriffsrechte fest, um sicherzustellen, dass nur verifizierte Benutzer auf geschützte Ressourcen zugreifen können.

Bei der Authentifizierung können Administratoren die Identität der Personen überprüfen, die auf interne Systeme, Business-Apps, Dokumente und mehr zugreifen wollen. Authentifizierungsverfahren wie Einmalcodes, SMS-Codes und die biometrische Authentifizierung stellen sicher, dass nur authentifizierte Benutzer Zugriff erhalten. So sind alle Endpunkte des Unternehmens geschützt.

Ihre Frage ist nicht dabei? Besuchen Sie das Supportcenter.