Was ist Authentifizierung?
Erfahren Sie mehr über die Identitätsprüfung von Personen, Apps und Diensten, bevor diese Zugriff auf digitale Systeme und Ressourcen erhalten.
Einfach erklärt: Authentifizierung
Authentifizierung ist der Prozess, durch den Unternehmen sicherstellen, dass nur die richtigen Personen, Dienste und Apps mit den richtigen Berechtigungen auf Unternehmensressourcen zugreifen dürfen. Es handelt sich um einen wichtigen Bereich der Cybersicherheit, denn Cyberkriminelle zielen vor allem darauf ab, sich unbefugten Zugang zu Systemen zu verschaffen. Um dies zu erreichen, stehlen sie Benutzernamen und Kennwörter von Personen mit legitimen Zugriffsberechtigungen. Der Authentifizierungsprozess umfasst drei wesentliche Schritte:
- Identifizierung: Benutzer definieren ihre Identität in der Regel durch einen Benutzernamen.
- Authentifizierung: Normalerweise bestätigen Benutzer durch Eingabe eines Kennworts (das nur sie selbst kennen), dass sie diejenige Person sind, für die sie sich ausgeben. Aber um die Sicherheit zu erhöhen, verlangen viele Unternehmen auch, dass Identitäten durch etwas nachgewiesen werden, was man besitzt (ein Telefon oder Token) oder was einen auszeichnet (ein Fingerabdruck oder Gesichtsscan).
- Autorisierung: Das System prüft, ob die Benutzer über eine Zugriffsberechtigung für das gewünschte System verfügen.
Warum ist Authentifizierung wichtig?
Der Nutzen der Authentifizierung liegt darin, dass sie Unternehmen hilft, ihre Systeme, Daten, Netzwerke, Websites und Anwendungen vor Angriffen zu schützen. Außerdem können Einzelpersonen personenbezogene Daten auf diese Weise vertraulich halten und Onlinetransaktionen wie Bankgeschäfte oder Investitionen mit geringerem Risiko durchführen. Sind die Authentifizierungsverfahren unzureichend, können Angreifer Konten einfacher kompromittieren, indem sie entweder Kennwörter erraten oder Personen dazu bringen, ihre Anmeldeinformationen preiszugeben. Dies kann folgende Risiken nach sich ziehen:
- Datenschutzverletzung oder Datenexfiltration
- Installation von Schadsoftware wie etwa Ransomware
- Nichteinhaltung regionaler oder branchenüblicher Datenschutzbestimmungen
Wie funktioniert Authentifizierung?
Die Authentifizierung von Personen umfasst die Einrichtung eines Benutzernamens, Kennworts und weiterer Authentifizierungsmethoden wie z. B. Gesichtsscan, Fingerabdruck oder PIN. Um Identitäten zu schützen, wird keine dieser Authentifizierungsmethoden in der Datenbank des Diensts gespeichert. Kennwörter werden nicht verschlüsselt, sondern mit einem Hashwert versehen, der dann in der Datenbank gespeichert wird. Wenn eine Person ein Kennwort eingibt, weist dieses ebenfalls das Hashformat auf, woraufhin die beiden Hashwerte verglichen werden. Wenn die Hashwerte übereinstimmen, wird der Zugriff gewährt. Bei Fingerabdrücken und Gesichtsscans werden die Informationen codiert, verschlüsselt und auf dem Gerät gespeichert.
Authentifizierungsmethoden
Bei der modernen Authentifizierung wird der Authentifizierungsprozess an ein vertrauenswürdiges, separates Identitätssystem delegiert, während sich bei der traditionellen Authentifizierung jedes System selbst verifiziert. Auch die Authentifizierungsmethoden haben sich geändert. Die meisten Anwendungen fordern einen Benutzernamen und ein Kennwort an, aber da böswillige Akteure beim Kennwortdiebstahl immer raffinierter vorgehen, hat die Sicherheitscommunity mehrere neue Methoden zum Identitätsschutz entwickelt.
Kennwortbasierte Authentifizierung
Die kennwortbasierte Authentifizierung ist die häufigste Authentifizierungsform. Viele Anwendungen und Dienste verlangen Kennwörter, die eine Kombination aus Ziffern, Buchstaben und Symbolen enthalten, damit sie von Cyberkriminellen nicht so leicht erraten werden können. Kennwörter sind jedoch immer ein Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit. Für viele Menschen ist es schwierig, sich für jedes einzelne Onlinekonto ein eigenes Kennwort auszudenken und zu merken. Deshalb verwenden sie häufig die gleichen Kennwörter. Darüber hinaus bedienen sich Angreifer verschiedenster Taktiken, um Kennwörter zu erraten oder zu stehlen bzw. Menschen zur unfreiwilligen Weitergabe zu verleiten. Aus diesem Grund steigen Unternehmen von Kennwörtern auf andere Authentifizierungsformen um, die mehr Sicherheit bieten.
Zertifikatsbasierte Authentifizierung
Die zertifikatsbasierte Authentifizierung ist eine Verschlüsselungsmethode, mit der sich Geräte und Personen gegenüber anderen Geräten und Systemen identifizieren können. Zwei gängige Beispiele sind Smartcards oder digitale Zertifikate, die von einem Mitarbeitergerät an ein Netzwerk oder einen Server gesendet werden.
Biometrische Authentifizierung
Bei der biometrischen Authentifizierung bestätigen Menschen ihre Identität anhand biologischer Merkmale. Viele melden sich per Finger- oder Daumenabdruck bei ihrem Smartphone an, während einige Computer die Identität einer Person durch Gesichts- oder Retinascans bestätigen. Biometrische Daten sind zudem an ein bestimmtes Gerät gekoppelt, sodass Angreifer gestohlene Biometriedaten nur in Verbindung mit diesem Gerät nutzen können. Die biometrische Authentifizierung wird immer beliebter, da sich die Benutzer nichts merken müssen. Außerdem sind Biometriedaten für Cyberkriminelle nur schwer zu stehlen, was sie sicherer als Kennwörter macht.
Tokenbasierte Authentifizierung
Bei der tokenbasierten Authentifizierung generieren sowohl das Gerät als auch das System alle 30 Sekunden eine neue eindeutige Nummer, die so genannte TOTP-PIN (Time-Based One-Time). Bei Übereinstimmung der Nummern prüft das System, ob der Benutzer das Gerät besitzt.
Einmalkennwort (One-Time Password, OTP)
Ein Einmalkennwort ist ein Code, der für ein bestimmtes Anmeldeereignis generiert wird und kurz nach der Ausstellung abläuft. Diese Kennwörter werden per SMS, E-Mail oder als Hardwaretoken zugestellt.
Pushbenachrichtigung
Einige Anwendungen und Dienste verwenden Pushbenachrichtigungen, um Benutzer zu authentifizieren. In diesen Fällen erhalten die Personen eine Nachricht auf ihr Smartphone, in der sie aufgefordert werden, die Zugriffsanforderung zu genehmigen oder abzulehnen. Da es manchmal vorkommt, dass Personen versehentlich Pushbenachrichtigungen genehmigen, obwohl sie noch nicht selbst beim betreffenden Dienst angemeldet sind, wird diese Methode gelegentlich mit einer OTP-Methode kombiniert. Durch OTP generiert das System eine eindeutige Nummer, die die Person eingeben muss. Dadurch schützt die Authentifizierung noch besser vor Phishing.
Sprachauthentifizierung
Bei der Sprachauthentifizierung erhält die Person, die auf einen Dienst zugreifen möchte, einen Telefonanruf mit der Aufforderung, einen Code einzugeben oder sich per Stimme zu identifizieren.
Multi-Faktor-Authentifizierung
Eine der besten Maßnahmen gegen die Kontokompromittierung besteht darin, zwei oder mehr Authentifizierungsmethoden vorauszusetzen. Dabei können die oben genannten Methoden beliebig kombiniert werden. Es hat sich bewährt, zwei der folgenden Methoden zu kombinieren:
- etwas, was die Person weiß, in der Regel ein Kennwort
- etwas, was die Person besitzt, wie ein vertrauenswürdiges, schwer nachzuahmendes Gerät wie ein Telefon oder Hardwaretoken
- etwas, was die Person auszeichnet, wie ein Fingerabdruck oder Gesichtsscan
Viele Unternehmen fordern beispielsweise ein Kennwort an (das die Person kennt) und senden außerdem ein einmaliges Kennwort per SMS an ein vertrauenswürdiges Gerät (das die Person besitzt). Erst dann wird der Zugriff gewährt.
Zweistufige Authentifizierung
Die zweistufige Authentifizierung ist eine Variante der Multi-Faktor-Authentifizierung, bei der zwei Authentifizierungsfaktoren bestätigt werden.
Obwohl Authentifizierung (manchmal als AuthN bezeichnet) und Autorisierung (manchmal als AuthZ bezeichnet) häufig synonym verwendet werden, handelt es sich um zwei verwandte, aber dennoch unterschiedliche Konzepte. Durch die Authentifizierung wird bestätigt, dass jemand wirklich die Person ist, für die er sich bei der Anmeldung ausgibt. Anders bei der Autorisierung: Hier muss eine Person über die richtigen Berechtigungen für den Zugriff auf die gewünschten Informationen verfügen. Eine Person in der Personalabteilung hat möglicherweise Zugang zu vertraulichen Systemen, wie etwa zur Gehaltsabrechnung oder Speicherung von Personalakten, die andere nicht einsehen können. Sowohl die Authentifizierung als auch die Autorisierung sind wichtig für produktives Arbeiten und den Schutz vertraulicher Daten, geistigen Eigentums und der Privatsphäre.
Best Practices für eine sichere Authentifizierung
Da die Kontokompromittierung eine häufige Angriffsmethode ist, um sich unbefugten Zugang zu Unternehmensressourcen zu verschaffen, kommt es auf eine sichere Authentifizierung an. Hier einige Tipps für den Schutz Ihres Unternehmens:
-
Multi-Faktor-Authentifizierung implementieren
Die wichtigste Maßnahme, die das Risiko einer Kontokompromittierung verringern kann, ist die Einführung der Multi-Faktor-Authentifizierung mit mindestens zwei Authentifizierungsfaktoren. Mehrere Authentifizierungsmethoden sind für Angreifer viel schwieriger auszuspähen, vor allem, wenn es sich um ein biometrisches Merkmal oder etwas handelt, was die Person bei sich trägt, wie etwa ein Gerät. Um Beschäftigten, Kunden und Partnern die Anmeldung so einfach wie möglich zu machen, sollten Sie ihnen die Wahl zwischen mehreren Faktoren lassen. Trotzdem sei darauf hingewiesen, dass nicht alle Authentifizierungsmethoden gleichwertig sind. Manche sind sicherer als andere. Der Empfang einer SMS ist zwar besser als nichts, aber eine Pushbenachrichtigung ist sicherer.
-
Kennwortlos anmelden
Sobald Sie die Multi-Faktor-Authentifizierung eingerichtet haben, können Sie sogar die Verwendung von Kennwörtern einschränken und Beschäftigte dazu anhalten, mindestens zwei weitere Authentifizierungsmethoden zu verwenden, z. B. eine PIN und ein biometrisches Merkmal. Indem Sie den Gebrauch von Kennwörtern einschränken oder ganz auf Kennwörter verzichten, beschleunigen Sie den Anmeldeprozess und verringern das Risiko einer Kontokompromittierung.
-
Kennwortschutz durchsetzen
Neben Mitarbeiterschulungen bieten sich auch Tools an, um den Gebrauch leicht zu erratender Kennwörter zu reduzieren. Durch Lösungen für den Kennwortschutz lässt sich die Nutzung häufiger Kennwörter wie Kennwort1 unterbinden. Darüber hinaus können Sie eine Sperrliste speziell für Ihr Unternehmen oder Ihre Region erstellen, die u. a. Namen lokaler Sportteams oder Wahrzeichen enthält.
-
Risikobasierte Multi-Faktor-Authentifizierung aktivieren
Durch einige Authentifizierungsvorgänge werden Kompromittierungsindikatoren ausgelöst, z. B. wenn eine Mitarbeiterin oder ein Mitarbeiter versucht, von einem neuen Gerät oder einem fremden Standort aus auf Ihr Netzwerk zuzugreifen. Andere Anmeldevorgänge sind womöglich ganz alltäglich, stellen aber dennoch ein höheres Risiko dar, z. B. wenn jemand aus der Personalabteilung auf personenbezogene Mitarbeiterdaten zugreift. Um das Risiko zu verringern, konfigurieren Sie Ihre IAM-Lösung (Identity & Access Management) so, dass ein solches Ereignis mindestens zwei Authentifizierungsfaktoren erfordert.
-
Benutzerfreundlichkeit priorisieren
Echte Sicherheit erfordert die Unterstützung durch Mitarbeitende und weitere Beteiligte. Sicherheitsrichtlinien halten Menschen manchmal von riskanten Onlineaktivitäten ab, aber wenn die Richtlinien zu kompliziert sind, suchen sie nach einer Ausweichlösung. Die besten Lösungen sind solche, die das normale menschliche Verhalten berücksichtigen. Stellen Sie Selfservicefunktionen wie das selbständige Zurücksetzen von Kennwörtern bereit, damit die betroffenen Personen nicht mehr beim Helpdesk anrufen müssen, wenn sie ein Kennwort vergessen haben. Mit dem Wissen, dass sich vergessene Kennwörter leicht zurücksetzen lassen, verlieren vielleicht auch komplexere Kennwörter ihren Schrecken. Eine weitere gute Methode für die Vereinfachung der Anmelderoutine besteht darin, den Benutzern die Wahl der bevorzugten Autorisierungsmethode zu überlassen.
-
Einmaliges Anmelden bereitstellen
Ein großartiges Feature, das die Benutzerfreundlichkeit verbessert und die Sicherheit verbessert, ist Einmaliges Anmelden (Single Sign-On, SSO). Niemand möchte erneut nach einem Kennwort gefragt werden, sobald er oder sie zu einer anderen Anwendung wechselt. Daher mag es bequem sein, dasselbe Kennwort für mehrere Konten zu verwenden, um Zeit zu sparen. Mit Single Sign-on müssen sich Beschäftigte nur einmal anmelden, um Zugriff auf die meisten oder alle benötigten Arbeitsanwendungen zu erhalten. Dadurch können Sie Hürden abbauen und universelle oder bedingte Sicherheitsrichtlinien wie die Multi-Faktor-Authentifizierung auf die gesamte Software am Arbeitsplatz anwenden.
-
Prinzip der geringstmöglichen Berechtigungen umsetzen
Begrenzen Sie die Anzahl privilegierter Konten auf der Grundlage von Rollen, und erteilen Sie Mitarbeitenden nur die Berechtigungen, die sie für ihre Arbeit benötigen. Die Einrichtung der Zugriffssteuerung reduziert die Anzahl der Personen, die Zugriff auf Ihre wichtigsten Daten und Systeme haben. Wenn jemand eine vertrauliche Aufgabe ausführen muss, empfiehlt sich eine PAM-Lösung (Privileged Access Management) wie die Just-in-Time-Aktivierung mit zeitlicher Begrenzung, um das Risiko weiter zu verringern. Genauso hilfreich ist es, die Ausführung administrativer Tätigkeiten auf hochsichere Geräte zu beschränken, die von den für Routineaufgaben verwendeten Computern getrennt sind.
-
Sicherheitsverletzungen antizipieren und regelmäßige Überprüfungen durchführen
In vielen Unternehmen ändern sich laufend die Rollen und der Beschäftigungsstatus von Mitarbeitenden, die das Unternehmen verlassen oder in eine andere Abteilung wechseln. Und auch Partner arbeiten an wechselnden Projekten mit. Dies kann problematisch sein, wenn die Zugriffsregeln nicht Schritt halten. Es muss sichergestellt werden, dass die Mitarbeitenden keinen Zugriff auf Systeme und Dateien behalten, die sie für ihre Arbeit nicht mehr benötigen. Um das Risiko zu verringern, dass Angreifer in den Besitz vertraulicher Informationen gelangen, empfiehlt sich eine Identity-Governance-Lösung, die Sie bei der konsequenten Überwachung Ihrer Konten und Rollen unterstützt. Mit diesen Tools lässt sich auch sicherstellen, dass Beschäftigte nur Zugriff auf die wirklich benötigten Ressourcen haben und dass die Konten ehemaliger Beschäftigter deaktiviert werden.
-
Identitäten vor Bedrohungen schützen
Identity & Access Management -Lösungen bieten viele Werkzeuge, mit denen das Kompromittierungsrisiko für Konten verringert werden kann. Dennoch ist es ratsam, sich auf mögliche Sicherheitsverletzungen einzustellen. Selbst gut informierte Beschäftigte fallen manchmal auf Phishingbetrug herein. Um eine Kontokompromittierung frühzeitig zu erkennen, sollten Sie in Lösungen zum Schutz vor Identitätsbedrohungen investieren und Richtlinien implementieren, mit denen Sie verdächtige Aktivitäten aufspüren und Gegenmaßnahmen einleiten können. Viele moderne Lösungen, z. B. Microsoft Security Copilot, verwenden KI, um Bedrohungen nicht nur zu erkennen, sondern automatisch darauf zu reagieren.
Lösungen für die Cloudauthentifizierung
Die Authentifizierung ist sowohl für ein wirksames Cybersicherheitsprogramm als auch für die Mitarbeiterproduktivität entscheidend. Eine cloudbasierte Komplettlösung für die Identitäts- und Zugriffsverwaltung wie Microsoft Entra bietet Ihnen Tools, mit denen Sie Beschäftigten maßgeschneiderten Zugriff auf die benötigten Ressourcen bieten können. Gleichzeitig sorgen leistungsfähige Kontrollmechanismen dafür, dass das Kompromittierungsrisiko für Konten und der unbefugte Zugriff auf vertrauliche Daten eingedämmt werden.
Mehr erfahren über Microsoft Security
Microsoft Entra ID
Schützen Sie Ihr Unternehmen mit Identitäts- und Zugriffsverwaltung.
Microsoft Entra ID Governance
Stellen Sie automatisch sicher, dass die richtigen Personen zur richtigen Zeit Zugriff auf die richtigen Apps erhalten.
Microsoft Entra Permissions Management
Verwalten Sie die Berechtigungen aller Identitäten in Ihrer Multicloud-Infrastruktur mit einer durchgängigen Lösung.
Microsoft Entra Verified ID
Dezentralisieren Sie Ihre Identitäten mit einem verwalteten Nachweisdienst, der auf offenen Standards basiert.
Microsoft Entra Workload ID
Verwalten und schützen Sie die Identitäten, die Anwendungen und Diensten zugewiesen sind.
Häufig gestellte Fragen
-
Es gibt verschiedene Arten der Authentifizierung. Einige Beispiele:
- Viele Menschen melden sich per Gesichtserkennung oder Fingerabdruck bei ihren Smartphones an.
- Bei Banken und anderen Diensten muss man sich oft mit einem Kennwort und einem Code anmelden, der automatisch per SMS verschickt wird.
- Einige Konten erfordern lediglich einen Benutzernamen und ein Kennwort, obwohl viele Unternehmen bereits auf die Multi-Faktor-Authentifizierung umstellen, um die Sicherheit zu optimieren.
- Beschäftigte erhalten durch die Anmeldung bei ihrem Computer oft gleichzeitigen Zugriff auf mehrere Anwendungen, was als Single Sign-On bezeichnet wird.
- Darüber hinaus gibt es Konten, bei denen sich Benutzer über ein Facebook- oder Google-Konto anmelden können. In diesem Fall ist Facebook, Google oder Microsoft für die Authentifizierung der Benutzer und die Weitergabe der Autorisierungsdaten an den Dienst verantwortlich, auf den der Zugriff erfolgen soll.
-
Die Cloudauthentifizierung ist ein Dienst, durch den sichergestellt wird, dass nur die richtigen Personen und Apps mit den richtigen Berechtigungen Zugriff auf Cloudnetzwerke und -ressourcen erhalten. Viele Cloud-Apps verfügen über eine integrierte Authentifizierung, die cloudbasiert ist, aber es gibt auch umfassendere Lösungen, z. B. Microsoft Entra ID, die für die Authentifizierung über mehrere Cloud-Apps und -Dienste hinweg konzipiert sind. Für diese Lösungen wird in der Regel das SAML-Protokoll verwendet, damit ein Authentifizierungsdienst mehrere Konten abdecken kann.
-
Obwohl Authentifizierung und Autorisierung oft synonym verwendet werden, handelt es sich um zwei verwandte, aber dennoch unterschiedliche Konzepte. Durch die Authentifizierung wird bestätigt, dass jemand wirklich die Person ist, für die er sich bei der Anmeldung ausgibt. Anders bei der Autorisierung: Hier muss eine Person über die richtigen Berechtigungen für den Zugriff auf die gewünschten Informationen verfügen. Zusammen verringern Authentifizierung und Autorisierung das Risiko, dass ein Angreifer Zugriff auf vertrauliche Daten erhält.
-
Durch die Authentifizierung wird überprüft, ob Personen und Einrichtungen die sind, für die sie sich ausgeben, bevor sie Zugriff auf digitale Ressourcen und Netzwerke erhalten. Obwohl Sicherheit das primäre Ziel ist, sind moderne Authentifizierungslösungen zusätzlich auf höhere Benutzerfreundlichkeit ausgelegt. Viele Unternehmen implementieren beispielsweise Single-Sign-On-Lösungen, um den Beschäftigten das Auffinden von Informationen im Arbeitsalltag zu erleichtern. Bei Verbraucherdiensten ist es oft möglich, sich mit seinem Facebook-, Google- oder Microsoft-Konto anzumelden, um den Authentifizierungsprozess abzukürzen.
Microsoft Security folgen