Identifizieren, Authentifizieren, Autorisieren: Die drei entscheidenden Schritte in der Zugriffssicherheit

Eine Ingenieurin beginnt ihren ersten Arbeitstag bei einem Cybersecurity-Unternehmen. Wie wahrscheinlich ist es, dass sie einfach so ins Büro spaziert, ohne mit jemandem zu sprechen, und direkt beginnt, Informationen vom nächstgelegenen Rechner abzurufen?

In einem deutlich realistischeren Szenario würde sich die Ingenieurin vorstellen und von der Sicherheitskraft anhand einer Mitarbeiterliste identifiziert werden. Anschließend würde sie sich mit einem Lichtbildausweis oder durch die visuelle Bestätigung einer vertrauenswürdigen Person authentifizieren. Erst dann würde ihr der Sicherheitsdienst den Zutritt zum Büro gestatten.

Dieser dreistufige Sicherheitsprozess – Identifizierung, Authentifizierung, Autorisierung – ist fester Bestandteil unseres Alltags, sei es beim Einsteigen in ein Flugzeug oder beim Besuch eines Partnerunternehmens. Dasselbe Prinzip muss auch für IT-Infrastrukturen gelten, um sicherzustellen, dass Personen, die auf Unternehmensressourcen zugreifen, tatsächlich die sind, die sie vorgeben zu sein – und auch die entsprechende Berechtigung dafür haben. In einem effektiven Zugriffssicherheitskonzept greifen diese drei Schritte ineinander, um sensible Daten in IT-Infrastrukturen zu schützen.

Identifikation

Die Identität ist der Ausgangspunkt jeder Zugriffssicherheit. In einem virtuellen Szenario entspräche unsere Ingenieurin einem Benutzer, der versucht, auf ein IT-Netzwerk zuzugreifen. Genauso wie der Sicherheitsdienst einen Nachweis verlangt, dass die Ingenieurin tatsächlich die ist, die sie vorgibt zu sein, verlangt auch ein IT-System einen Identitätsnachweis. Da innerhalb der IT-Infrastruktur eines Unternehmens zahlreiche sensible Daten gespeichert sind, ist es entscheidend, digitale Benutzer ebenso präzise voneinander unterscheiden zu können wie physische Personen.

Wenn Unternehmen ein Identitätsmanagementsystem einführen, verfolgen sie in erster Linie das Ziel, jeden Benutzer, der sich mit dem Unternehmensnetzwerk verbinden möchte, eindeutig und mit größtmöglicher Sicherheit zu identifizieren. Benutzer erhalten dafür eindeutige Kennungen und sind über persönliche Zugangsdaten – also Benutzername und Passwort – bekannt, nicht über Gesicht oder Namen auf einer Liste.

Doch einfache Zugangsdaten allein reichen nicht aus, um ein Netzwerk zu schützen – zu groß ist die Gefahr, dass sich unbefugte Nutzer eine fremde Identität aneignen. Gestohlene oder verlorene Zugangsdaten sind keine Seltenheit. Eine genaue und verlässliche Identifikation ist unerlässlich, um Sicherheitsrichtlinien durchzusetzen und Daten zu schützen. Genau deshalb brauchen wir den nächsten Schritt: die Authentifizierung.

Authentifizierung

Die Authentifizierung ist der Schritt im Sicherheitsprozess, bei dem ein Benutzer seine zuvor angegebene Identität nachweisen muss. In unserem physischen Beispiel entspricht dies dem Moment, in dem die Ingenieurin ihren Lichtbildausweis vorzeigt, um ihre Identität zu bestätigen. Die Authentifizierung vor dem Zugriff auf Ressourcen folgt dem Zero-Trust-Modell der Cybersicherheit. Zero Trust bedeutet, dass Identität und Zugriffsrechte niemals vorausgesetzt werden – sie müssen stets durch strenge Sicherheitsmechanismen überprüft werden.

Es gibt drei Arten von Authentifizierungsfaktoren, mit denen sich eine digitale Identität überprüfen lässt:

Etwas, das man weiß: Das klassische Beispiel ist ein Passwort. Es ist die einfachste Form der Zugriffssicherheit, birgt aber Risiken wie Passwortweitergabe oder das Ausspähen von Zugangsdaten.
Etwas, das man besitzt:Dazu zählt ein physischer Gegenstand wie ein Smartphone, eine Zugangskarte oder ein Sicherheitstoken (z. B. RSA-Token), das einen temporären Zugangscode empfängt oder generiert.
Etwas, das man ist: Biometrische Merkmale wie Iris oder Fingerabdruck dienen als eindeutige Identifikatoren. Auch Verhaltensbiometrie – etwa Tippverhalten, Stimme oder Unterschrift – kann zur Authentifizierung herangezogen werden.

Es ist deutlich schwieriger für einen Angreifer, zwei Informationen zu stehlen als nur eine. Die Ergänzung zusätzlicher Faktoren zur klassischen Kombination aus Benutzername und Passwort – bekannt als Multi-Faktor-Authentifizierung (MFA)– verschafft Unternehmen ein hohes Maß an Sicherheit, dass die Person, die Zugang verlangt, auch wirklich die ist, die sie vorgibt zu sein. Und diese Sicherheit ist entscheidend, wenn es um den Zugriff auf sensible Daten geht.

Lösungen für Identity and Access Management (IAM) wie WALLIX Trustelem ermöglichen es Unternehmen, Identitäten intelligent zu authentifizieren und zu verwalten. Die Benutzeridentität kann durch MFA abgesichert und anschließend über ein zentrales Dashboard einfach gesteuert werden – ein komfortabler Prozess für Administratoren.

Sobald Benutzer im Netzwerk eindeutig identifiziert und authentifiziert sind, ist es ebenso wichtig, dass sie nur über passende Berechtigungen verfügen.

Autorisierung

„Darf ich hier rein?“ – Diese Frage beantwortet die Autorisierung als letzter Schritt im Zugriffssicherheitsprozess. Der Sicherheitsdienst hat zwar die Identität der Ingenieurin bestätigt, würde sie aber dennoch nur in das Büro der Cybersecurity-Firma lassen – nicht jedoch in das Nachbarbüro. Auch wenn eine digitale Identität durch MFA zweifelsfrei authentifiziert wurde, gilt das Prinzip der minimalen Rechtevergabe (Least Privilege): Niemand sollte im IT-Netzwerk unbegrenzten Zugriff erhalten. Schwache Autorisierungsmechanismen führen zu überprivilegierten Nutzern – mit dem Risiko, dass Root-Rechte versehentlich oder vorsätzlich missbraucht werden. Das wiederum kann zu Betrug, Datenverlust oder einem Reputationsschaden für das Unternehmen führen.

Unternehmen, die eine robuste Privileged Access Management (PAM) einsetzen, stellen sicher, dass nur autorisierte Benutzer zu sensiblen Ressourcen Zugang erhalten – und das auch nur zur richtigen Zeit. IT-Administratoren können Benutzer und Zielsysteme zentral verwalten, Autorisierungsregeln definieren und Zugriffe auf kritische Ressourcen automatisiert erlauben oder verweigern. Darüber hinaus lassen sich Aktivitäten privilegierter Nutzer in einer Sitzung überwachen und aufzeichnen – zur späteren Prüfung oder um verdächtiges Verhalten in Echtzeit zu unterbinden.

Eine PAM-Lösung wie der WALLIX Bastion bietet eine sichere und effiziente Möglichkeit, alle privilegierten Benutzer im IT-Netzwerk eines Unternehmens zu autorisieren und zu überwachen. Neben der Verwaltung der jeweiligen Zugriffsrechte ermöglicht sie es, unter anderem:

Die Notwendigkeit zu beseitigen, dass privilegierte Benutzer lokale Systempasswörter benötigen oder kennen müssen
Einen nicht manipulierbaren Audit-Trail für jede privilegierte Aktion zu erzeugen
Zugriffskontroll-, Überwachungs- und Prüfpflichten gemäß Vorgaben wie GDPR, NIS, ISO 27001, HIPAA und PCI DSS zu erfüllen
Eine Endpoint Privilege Management-Lösung (EPM) wie WALLIX BestSafe zu integrieren, um das Prinzip der minimalen Rechtevergabe auch auf Endgeräte im Unternehmen anzuwenden

IdentifizieruIdentifikation, Authentifizierung und Autorisierung sind die drei tragenden Säulen eines starken Zugriffssicherheitskonzepts. Sie wirken zusammen, um den Zugriff auf das Unternehmensnetzwerk abzusichern und sensible Informationen umfassend zu schützen – mit einem durchgängigen, ganzheitlichen Ansatz für Access Security.

Erhalten Sie einen tiefergehenden Einblick in Zugriffssicherheitslösungen und die dahinterliegenden Konzepte – laden Sie dazu unser Whitepaper „Grundlagen der Zugriffssicherheit: Ein Leitfaden für Einsteiger“ herunter.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Identifizieren, Authentifizieren, Autorisieren: Die drei entscheidenden Schritte in der Zugriffssicherheit

Identifikation

Authentifizierung

Autorisierung

Verwandte Inhalte

Identifizieren, Authentifizieren, Autorisieren: Die drei entscheidenden Schritte in der Zugriffssicherheit

Herausforderungen bei der Implementierung: Zero Trust in OT-Umgebungen

Welche Security-Trends starten in der Sicherheitsbranche durch? Aktuellen Security-Herausforderungen begegnen

Verwandte Ressourcen

Grundlagen der Zugriffssicherheit: Ein Leitfaden für Einsteiger

Zero Trust Cybersecurity

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS