Cybersicherheit | Hinweise | tippsund Trends
Früher oder später wird jeder Computernutzer einmal mit den Begriffen Autorisierung, Authentisierung und Authentifizierung konfrontiert. Immer wieder stellt sich im Arbeitsalltag die Frage: Habe ich Zugriff auf diese Datei? Darf ich diesen Ordner mit meinem Kollegen teilen? Und was war noch einmal eine 2-Faktor-Authentifizierung? Wo Ihnen die unterschiedlichen Formen begegnen können, und wie sie sich voneinander unterscheiden, lesen Sie hier.
Autorisierung, Authentisierung oder auch die Authentifizierung begegnen Ihnen bereits häufiger, als Ihnen eventuell bewusst ist. Es reicht, einen ganz normalen Arbeitsalltag im Büro zu beschreiben.
Es ist 7:30. Sie befinden sich in der Bahn auf dem Weg ins Büro, und möchten von dort aus Ihre E-Mails auf dem Smartphone abrufen. Um das Telefon zu entsperren, geben Sie entweder einen Pin ein, nutzen Ihren Fingerabdruck oder die eingebaute Gesichtserkennung – alles Beispiele von Authentisierungen. Anschließend öffnen Sie das E-Mailprogramm auf Ihrem Handy und müssen eventuell ein Passwort eingeben. Auch hier müssen Sie Ihre Identität dem Programm gegenüber durch eine Art von Authentisierung bestätigen. Im Büro angekommen, sitzen Sie an Ihrem Schreibtisch und melden sich auf Ihrem Computer an. Erneut weisen Sie sich durch eine Authentisierung (z.B. ein Passwort) aus.
In diesen drei Fällen wird, nachdem Sie sich authentisiert haben, im System überprüft, ob der Benutzername mit dem eingegebenen Passwort übereinstimmt, und ob die Kombination existiert. Das bedeutet: Ihre Eingaben werden nun authentifiziert. Sind diese richtig und einer bestimmten Identität zuordenbar, können Sie nun mit den Zugriffsrechten genau dieser Identität auf das Gerät, die Anwendung oder das Programm zugreifen und es nutzen.
Vor dem nächsten Meeting müssen Sie noch eine Überweisung tätigen. Dafür melden Sie sich beim Online-Banking Ihrer Bank an. Auch hier werden Sie nach einem Passwort – einer Authentisierung – gefragt, die ebenfalls anschließend authentifiziert wird. Doch nun verlangt das Bankinstitut nach einer zusätzlichen Bestätigung Ihrer Identität. Das kann in Form von Sicherheitsfragen sein, die Sie beantworten müssen. Oder Sie bekommen einen Pin oder Code auf ein zweites Gerät, zum Beispiel Ihr Smartphone, geschickt. Erst nach der Eingabe dieser Information erhalten Sie Zugang zum System und können die Überweisung tätigen. Das nennt man 2-Faktor-Authentifizierung. Anders als bei der Authentifizierung, die in der Regel standardmäßig im System aktiviert ist, müssen Sie die 2-Faktor-Authentifizierung selbst aktivieren. Doch einmal hinterlegt bietet sie einen besonderen Schutz für Sie und Ihre Daten.
Perseus’ Tipp: Erfahren Sie, warum eine 2-Faktor-Authentifizierung wirklich sicherer ist.
Nach der Mittagspause ruft Ihr Vorgesetzter Sie zu einem Gespräch. Dieses findet in einem Konferenzraum statt, der normalerweise nur dem Management-Team vorbehalten ist. Um den Raum betreten zu können, muss Ihnen die Tür geöffnet oder Ihre Zugangskarte, mit der Sie sich sonst im Bürogebäude bewegen können, für diesen Bereich freigeschaltet werden – vorher sind Sie nicht autorisiert.
Ihr Chef bittet Sie für ein Meeting, das in einer Stunde ansteht, noch ein Dokument eines Kollegen zu überarbeiten. Beim Öffnen der Datei wird Ihnen dann angezeigt, dass Sie keinen Zugriff auf diese haben. Da Ihr Kollege in einer anderen Abteilung arbeitet, fehlt Ihnen die entsprechende Berechtigung. Sie müssen beim Mitarbeiter anfragen, ob Sie diese Datei bearbeiten dürfen. Der Kollege antwortet prompt und erteilt Ihnen die Erlaubnis. Nun sind Sie autorisiert, diese Datei zu lesen und zu bearbeiten.
Perseus’ Tipp: Aus Sicherheitsgründen ist es durchaus ratsam, Ordner-Zugriffe individuell anzupassen. Bestimmte Dateien müssen nicht für die gesamte Belegschaft öffentlich verfügbar sein, sie sollten nur einer bestimmten Personengruppe zugänglich gemacht werden. Datenpannen und Datenverlust können dadurch eingegrenzt werden.
Inzwischen ist es 17:30, und Ihr Arbeitstag neigt sich dem Ende. Bevor Sie allerdings gehen können, zeigt Ihr Computer an, dass ein wichtiges Update installiert werden muss. Da Updates umgehend installiert werden sollen, klicken Sie die Benachrichtigung an, um die Installation zu starten. Das System verlangt hierzu allerdings nach einem Account mit Admin-Rechten, über die Sie mit Ihrem Account nicht verfügen. Ihnen fehlt somit die entsprechende Autorisierung, um den Vorgang durchzuführen. Sie müssen diese bei der verantwortlichen Person einholen. In den meisten Fällen schaltet sich der IT-Admin des Unternehmens auf Ihren Computer und autorisiert die Installation des Updates über seinen eigenen Account oder gibt ihrem Account (ggf. temporär) die entsprechenden erweiterten Rechte.
Mit diesem Satz können Sie sich die Unterschiede zwischen den Begriffen leicht merken:
Bei der Authentisierung handelt es sich um die Angabe einer Identität, bei der Authentifizierung um die Bestätigung einer Identität, und bei der Autorisierung um die Berechtigung einer Identität.
Eine detaillierte Definition der einzelnen Begriffe finden Sie bereits in unserem Glossar unter dem Beitrag Authentisierung, Authentifizierung und Autorisierung.
Cyber security | Information | Tips and trends
Sooner or later, every computer user will encounter the terms authorisation, authentication and authorisation. The question arises time and time again in everyday working life: Do I have access to this file? Can I share this folder with my colleague? And what was two-factor authentication again? Read on to find out where you might encounter the different forms and how they differ from one another.
Authorisation, authentication and even authentication are more common than you might realise. Just describe a typical day at the office.
It’s 7:30 a.m. You’re on the train to work and want to check your emails on your smartphone. To unlock your phone, you either enter a PIN, use your fingerprint or the built-in facial recognition feature – all examples of authentication. You then open the email programme on your mobile phone and may need to enter a password. Here, too, you must confirm your identity to the programme through some form of authentication. When you arrive at the office, you sit down at your desk and log in to your computer. Once again, you identify yourself through authentication (e.g. a password).
In these three cases, after you have authenticated yourself, the system checks whether the username matches the password you entered and whether the combination exists. This means that your entries are now authenticated. If they are correct and can be assigned to a specific identity, you can now access and use the device, application or programme with the access rights of that identity.
Before your next meeting, you need to make a bank transfer. To do this, you log in to your bank’s online banking system. Here, too, you will be asked for a password – authentication – which is then also authenticated. But now the bank asks for additional confirmation of your identity. This can be in the form of security questions that you must answer. Or you will be sent a PIN or code to a second device, such as your smartphone. Only after entering this information will you be granted access to the system and be able to make the transfer. This is called two-factor authentication. Unlike authentication, which is usually enabled by default in the system, you must enable two-factor authentication yourself. However, once set up, it provides extra protection for you and your data.
Perseus‘ tip: Find out why two-factor authentication is really more secure.
After lunch, your manager calls you in for a meeting. It takes place in a conference room that is normally reserved for the management team. To enter the room, the door must be opened for you or your access card, which you normally use to move around the office building, must be activated for this area – otherwise you are not authorised to enter.
Your boss asks you to revise a document from a colleague for a meeting that is scheduled to take place in an hour. When you open the file, you are informed that you do not have access to it. Since your colleague works in a different department, you do not have the necessary authorisation. You have to ask the employee if you can edit this file. Your colleague responds promptly and grants you permission. Now you are authorised to read and edit this file.
Perseus‘ tip: For security reasons, it is advisable to customise folder access. Certain files do not need to be publicly available to the entire workforce; they should only be accessible to a specific group of people. This can help to limit data breaches and data loss.
It is now 5:30 p.m. and your working day is coming to an end. However, before you can leave, your computer indicates that an important update needs to be installed. As updates should be installed immediately, you click on the notification to start the installation.
However, the system requires an account with admin rights, which you do not have with your account. You therefore do not have the necessary authorisation to carry out the process. You must obtain this from the responsible person. In most cases, the company’s IT administrator will log on to your computer and authorise the installation of the update via their own account or grant your account the necessary extended rights (temporarily, if necessary).
This sentence will help you remember the differences between the terms:
Authentication is the process of providing an identity, while authorisation is the process of confirming an identity.
You can find a detailed definition of each term in our glossary under the article Authentication, authorisation and authorisation.