Identifizieren, Authentifizieren, Autorisieren: Die drei entscheidenden Schritte in der Zugriffssicherheit

Eine Ingenieurin beginnt ihren ersten Arbeitstag bei einem Cybersecurity-Unternehmen. Wie wahrscheinlich ist es, dass sie einfach so ins Büro spaziert, ohne mit jemandem zu sprechen, und direkt beginnt, Informationen vom nächstgelegenen Rechner abzurufen?

In einem deutlich realistischeren Szenario würde sich die Ingenieurin vorstellen und von der Sicherheitskraft anhand einer Mitarbeiterliste identifiziert werden. Anschließend würde sie sich mit einem Lichtbildausweis oder durch die visuelle Bestätigung einer vertrauenswürdigen Person authentifizieren. Erst dann würde ihr der Sicherheitsdienst den Zutritt zum Büro gestatten.

Dieser dreistufige Sicherheitsprozess – Identifizierung, Authentifizierung, Autorisierung – ist fester Bestandteil unseres Alltags, sei es beim Einsteigen in ein Flugzeug oder beim Besuch eines Partnerunternehmens. Dasselbe Prinzip muss auch für IT-Infrastrukturen gelten, um sicherzustellen, dass Personen, die auf Unternehmensressourcen zugreifen, tatsächlich die sind, die sie vorgeben zu sein – und auch die entsprechende Berechtigung dafür haben. In einem effektiven Zugriffssicherheitskonzept greifen diese drei Schritte ineinander, um sensible Daten in IT-Infrastrukturen zu schützen.

Identifikation

Die Identität ist der Ausgangspunkt jeder Zugriffssicherheit. In einem virtuellen Szenario entspräche unsere Ingenieurin einem Benutzer, der versucht, auf ein IT-Netzwerk zuzugreifen. Genauso wie der Sicherheitsdienst einen Nachweis verlangt, dass die Ingenieurin tatsächlich die ist, die sie vorgibt zu sein, verlangt auch ein IT-System einen Identitätsnachweis. Da innerhalb der IT-Infrastruktur eines Unternehmens zahlreiche sensible Daten gespeichert sind, ist es entscheidend, digitale Benutzer ebenso präzise voneinander unterscheiden zu können wie physische Personen.

Wenn Unternehmen ein Identitätsmanagementsystem einführen, verfolgen sie in erster Linie das Ziel, jeden Benutzer, der sich mit dem Unternehmensnetzwerk verbinden möchte, eindeutig und mit größtmöglicher Sicherheit zu identifizieren. Benutzer erhalten dafür eindeutige Kennungen und sind über persönliche Zugangsdaten – also Benutzername und Passwort – bekannt, nicht über Gesicht oder Namen auf einer Liste.

Doch einfache Zugangsdaten allein reichen nicht aus, um ein Netzwerk zu schützen – zu groß ist die Gefahr, dass sich unbefugte Nutzer eine fremde Identität aneignen. Gestohlene oder verlorene Zugangsdaten sind keine Seltenheit. Eine genaue und verlässliche Identifikation ist unerlässlich, um Sicherheitsrichtlinien durchzusetzen und Daten zu schützen. Genau deshalb brauchen wir den nächsten Schritt: die Authentifizierung.

Authentifizierung

Die Authentifizierung ist der Schritt im Sicherheitsprozess, bei dem ein Benutzer seine zuvor angegebene Identität nachweisen muss. In unserem physischen Beispiel entspricht dies dem Moment, in dem die Ingenieurin ihren Lichtbildausweis vorzeigt, um ihre Identität zu bestätigen. Die Authentifizierung vor dem Zugriff auf Ressourcen folgt dem Zero-Trust-Modell der Cybersicherheit. Zero Trust bedeutet, dass Identität und Zugriffsrechte niemals vorausgesetzt werden – sie müssen stets durch strenge Sicherheitsmechanismen überprüft werden.

Es gibt drei Arten von Authentifizierungsfaktoren, mit denen sich eine digitale Identität überprüfen lässt:

  • Etwas, das man weiß: Das klassische Beispiel ist ein Passwort. Es ist die einfachste Form der Zugriffssicherheit, birgt aber Risiken wie Passwortweitergabe oder das Ausspähen von Zugangsdaten.
  • Etwas, das man besitzt:Dazu zählt ein physischer Gegenstand wie ein Smartphone, eine Zugangskarte oder ein Sicherheitstoken (z. B. RSA-Token), das einen temporären Zugangscode empfängt oder generiert.
  • Etwas, das man ist: Biometrische Merkmale wie Iris oder Fingerabdruck dienen als eindeutige Identifikatoren. Auch Verhaltensbiometrie – etwa Tippverhalten, Stimme oder Unterschrift – kann zur Authentifizierung herangezogen werden.

Es ist deutlich schwieriger für einen Angreifer, zwei Informationen zu stehlen als nur eine. Die Ergänzung zusätzlicher Faktoren zur klassischen Kombination aus Benutzername und Passwort – bekannt als Multi-Faktor-Authentifizierung (MFA)– verschafft Unternehmen ein hohes Maß an Sicherheit, dass die Person, die Zugang verlangt, auch wirklich die ist, die sie vorgibt zu sein. Und diese Sicherheit ist entscheidend, wenn es um den Zugriff auf sensible Daten geht.

Lösungen für Identity and Access Management (IAM) wie WALLIX Trustelem ermöglichen es Unternehmen, Identitäten intelligent zu authentifizieren und zu verwalten. Die Benutzeridentität kann durch MFA abgesichert und anschließend über ein zentrales Dashboard einfach gesteuert werden – ein komfortabler Prozess für Administratoren.

Sobald Benutzer im Netzwerk eindeutig identifiziert und authentifiziert sind, ist es ebenso wichtig, dass sie nur über passende Berechtigungen verfügen.

Autorisierung

„Darf ich hier rein?“ – Diese Frage beantwortet die Autorisierung als letzter Schritt im Zugriffssicherheitsprozess. Der Sicherheitsdienst hat zwar die Identität der Ingenieurin bestätigt, würde sie aber dennoch nur in das Büro der Cybersecurity-Firma lassen – nicht jedoch in das Nachbarbüro. Auch wenn eine digitale Identität durch MFA zweifelsfrei authentifiziert wurde, gilt das Prinzip der minimalen Rechtevergabe (Least Privilege): Niemand sollte im IT-Netzwerk unbegrenzten Zugriff erhalten. Schwache Autorisierungsmechanismen führen zu überprivilegierten Nutzern – mit dem Risiko, dass Root-Rechte versehentlich oder vorsätzlich missbraucht werden. Das wiederum kann zu Betrug, Datenverlust oder einem Reputationsschaden für das Unternehmen führen.

Unternehmen, die eine robuste Privileged Access Management (PAM) einsetzen, stellen sicher, dass nur autorisierte Benutzer zu sensiblen Ressourcen Zugang erhalten – und das auch nur zur richtigen Zeit. IT-Administratoren können Benutzer und Zielsysteme zentral verwalten, Autorisierungsregeln definieren und Zugriffe auf kritische Ressourcen automatisiert erlauben oder verweigern. Darüber hinaus lassen sich Aktivitäten privilegierter Nutzer in einer Sitzung überwachen und aufzeichnen – zur späteren Prüfung oder um verdächtiges Verhalten in Echtzeit zu unterbinden.

Eine PAM-Lösung wie der WALLIX Bastion bietet eine sichere und effiziente Möglichkeit, alle privilegierten Benutzer im IT-Netzwerk eines Unternehmens zu autorisieren und zu überwachen. Neben der Verwaltung der jeweiligen Zugriffsrechte ermöglicht sie es, unter anderem:

  • Die Notwendigkeit zu beseitigen, dass privilegierte Benutzer lokale Systempasswörter benötigen oder kennen müssen
  • Einen nicht manipulierbaren Audit-Trail für jede privilegierte Aktion zu erzeugen
  • Zugriffskontroll-, Überwachungs- und Prüfpflichten gemäß Vorgaben wie GDPR, NIS, ISO 27001, HIPAA und PCI DSS zu erfüllen
  • Eine Endpoint Privilege Management-Lösung (EPM) wie WALLIX BestSafe zu integrieren, um das Prinzip der minimalen Rechtevergabe auch auf Endgeräte im Unternehmen anzuwenden

IdentifizieruIdentifikation, Authentifizierung und Autorisierung sind die drei tragenden Säulen eines starken Zugriffssicherheitskonzepts. Sie wirken zusammen, um den Zugriff auf das Unternehmensnetzwerk abzusichern und sensible Informationen umfassend zu schützen – mit einem durchgängigen, ganzheitlichen Ansatz für Access Security.

Erhalten Sie einen tiefergehenden Einblick in Zugriffssicherheitslösungen und die dahinterliegenden Konzepte – laden Sie dazu unser Whitepaper „Grundlagen der Zugriffssicherheit: Ein Leitfaden für Einsteigerherunter.