Authentifizierung & Autorisierung
Authentifizierung und Autorisierung bilden das fundamentale Sicherheitsrückgrat jeder modernen IT-Infrastruktur. Fehler oder Missverständnisse in diesem Bereich führen unmittelbar zu Sicherheitslücken, Compliance-Verstößen und potenziell existenzbedrohenden Vorfällen für Unternehmen.
1. Grundlegende Definitionen
1.1 Authentifizierung (Authentication)
Authentifizierung beantwortet ausschließlich die Frage: „Wer bist du?“
Dabei wird die Identität eines Benutzers, Systems oder Dienstes überprüft. Ohne erfolgreiche Authentifizierung darf kein Zugriff auf geschützte Ressourcen erfolgen.
Typische Authentifizierungsmerkmale:
- Wissen – Passwort, PIN, Sicherheitsfrage
- Besitz – Token, Smartcard, Hardware-Key
- Biometrie – Fingerabdruck, Gesichtserkennung
Moderne Sicherheitsarchitekturen kombinieren mehrere Faktoren (MFA / 2FA), um das Risiko kompromittierter Zugangsdaten drastisch zu reduzieren.
1.2 Autorisierung (Authorization)
Autorisierung beantwortet die Frage: „Was darfst du?“
Erst nach erfolgreicher Authentifizierung wird geprüft, welche Aktionen, Ressourcen oder Daten einem Benutzer erlaubt sind.
Autorisierung basiert auf:
- Rollen
- Rechten
- Policies
- Kontext (Ort, Zeit, Gerät, Netzwerk)
2. Trennung von Authentifizierung & Autorisierung
Ein häufiger Architekturfehler ist die Vermischung beider Konzepte. Professionelle Systeme trennen diese strikt.
| Aspekt | Authentifizierung | Autorisierung |
|---|---|---|
| Zweck | Identität prüfen | Berechtigungen prüfen |
| Beispiel | Login mit Passwort | Zugriff auf Admin-Bereich |
| Abhängigkeit | Grundvoraussetzung | Erfolgt danach |
Diese Trennung ermöglicht skalierbare Sicherheitsmodelle, zentrale Identity Provider und konsistente Rechteverwaltung.
3. Typische Authentifizierungsverfahren in der Praxis
3.1 Passwortbasierte Authentifizierung
Nach wie vor weit verbreitet, aber sicherheitstechnisch problematisch.
Best Practices:
- Keine Klartext-Speicherung
- Starke Hash-Verfahren (bcrypt, argon2)
- Rate-Limiting & Lockout
- Kombination mit MFA
Typische Fehler:
- Wiederverwendung von Passwörtern
- Zu kurze Passwortrichtlinien
- Fehlende Brute-Force-Sperren
3.2 Zertifikats- & Key-basierte Authentifizierung
Insbesondere bei Servern, APIs und DevOps-Prozessen Standard.
Beispiele:
- SSH-Keys
- TLS-Client-Zertifikate
- Service-Accounts
Diese Verfahren sind deutlich sicherer als Passwort-Logins, sofern Schlüssel korrekt geschützt und rotiert werden.
4. Autorisierungsmodelle
4.1 Role-Based Access Control (RBAC)
RBAC ist das in Unternehmen am häufigsten eingesetzte Modell.
Benutzer erhalten Rollen, Rollen enthalten Berechtigungen.
Vorteile:
- Übersichtlich
- Skalierbar
- Audit-fähig
Nachteile:
- Rollenexplosion bei schlechter Planung
- Starre Strukturen
4.2 Least Privilege Prinzip
Ein zentrales Sicherheitsprinzip:
Ein Benutzer erhält nur exakt die Rechte, die er für seine Aufgabe benötigt – nicht mehr.
Dieses Prinzip reduziert massiv:
- Schadensausmaß bei Account-Kompromittierung
- Fehlbedienungen
- Interne Sicherheitsvorfälle
5. Typische Fehlerbilder & Troubleshooting
5.1 „Login erfolgreich, Zugriff verweigert“
Ursache liegt fast immer in der Autorisierung.
Prüfschritte:
- Rolle korrekt zugewiesen?
- Policy greift?
- Cache / Token aktualisiert?
5.2 „Benutzer hat zu viele Rechte“
Ein klassischer Designfehler mit hohem Risiko.
Lösung:
- Rechte-Audit durchführen
- Rollen konsolidieren
- Temporäre Rechte zeitlich begrenzen
6. Betrieb & Best Practices
- Zentrale Benutzerverwaltung einsetzen
- Regelmäßige Rechte-Reviews
- MFA verpflichtend für privilegierte Konten
- Trennung von Benutzer- und Service-Accounts
- Dokumentation aller Rollen & Rechte
7. Fazit aus Betriebssicht
Authentifizierung ohne saubere Autorisierung ist nutzlos. Autorisierung ohne starke Authentifizierung ist gefährlich.
Professioneller IT-Betrieb verlangt:
- Klare Sicherheitsarchitektur
- Trennung der Verantwortlichkeiten
- Regelmäßige Überprüfung
Richtig umgesetzt sind Authentifizierung und Autorisierung kein Hindernis, sondern ein Enabler für skalierbare, sichere und revisionssichere Systeme.