Was ist Zugriffskontrolle? | Der Unterschied zwischen Autorisierung und Authentifizierung

Zugriffskontrolle ist eine Reihe von Regeln, mit denen festgelegt wird, wer Zugriff auf geschützte Informationen oder einen zugangsbeschränkten Standort erhält.

Share facebook icon linkedin icon twitter icon email icon

Zugriffskontrolle

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Zugriffskontrolle definieren
  • Zwischen physischer Zugangskontrolle und Zugriffskontrolle bei Informationen unterscheiden
  • Den Unterschied zwischen einem VPN und einer Zero-Trust-Sicherheitslösung erklären

Was ist Zugriffskontrolle?

Access Control

Zugriffskontrolle ist ein Sicherheitsbegriff, mit dem eine Reihe von Richtlinien gemeint ist, durch die der Zugriff auf Informationen, Tools und physische Standorte eingeschränkt wird. Bei der Zugriffskontrolle kann es sich typischerweise um physische Zugriffskontrolle (Zugangskontrolle) oder die Zugriffskontrolle bei Informationen handeln. In diesem Artikel geht es um Letzteres.

Was ist physische Zugriffskontrolle/Zugangskontrolle?

Auch wenn es in diesem Artikel um die Zugriffskontrolle bei Informationen geht, können wir zum besseren Verständnis den Begriff der physischen Zugangskontrolle als Ausgangspunkt hernehmen. Physische Zugangskontrolle ist eine Reihe von Richtlinien, mit denen man steuert, wer Zugang zu einem physischen Standort erhält.

Beispiele für physische Zugangskontrolle in der Praxis sind:

  • Türsteher in einer Bar
  • Drehkreuze in einer U-Bahn-Station
  • Zollbeamte am Flughafen
  • Schlüsselkartenscanner für Hotelzimmer

In all diesen Beispielen geht eine Person oder ein Gerät nach einer Reihe von Richtlinien vor, um zu entscheiden, wer Zugang zu einem gesperrten physischen Standort erhält. Ein Schlüsselkartenscanner in einem Hotel beispielsweise gewährt nur autorisierten Gästen mit einem Hotelschlüssel Zugang.

Was ist Zugriffskontrolle bei Informationen?

Bei Informationen bedeutet Zugriffskontrolle, dass der Zugriff auf Daten und auf die Software zur Bearbeitung dieser Daten eingeschränkt wird. Diese Informationszugriffskontrolle wird sehr häufig im Bereich Computer- und Netzwerksicherheit verwendet. Einige Beispiele:

  • Ein Benutzer, der sich mit einem Passwort bei seinem Laptop anmeldet
  • Ein Benutzer, der sein Smartphone mit einem Fingerabdruck-Scan entsperrt
  • Ein Google-Mail-Benutzer, der sich bei seinem E-Mail-Konto anmeldet
  • Ein Mitarbeiter, der von außerhalb über ein VPN auf das interne Netzwerk seines Arbeitgebers zugreift

In all diesen Fällen wird der Benutzer mittels Software authentifiziert und autorisiert, wenn er auf digitale Informationen zugreifen möchte. Sowohl die Authentifizierung als auch die Autorisierung sind integrale Bestandteile der Informationszugriffskontrolle.

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Kurz gesagt, Authentifizierung ist der Sicherheitsvorgang, bei dem überprüft wird, ob jemand derjenige ist, für den er sich ausgibt. Bei der Autorisierung geht es um die Zugriffsebene, die dem jeweiligen Benutzer gewährt wird.

Stellen Sie sich zum Beispiel einen Reisenden vor, der in ein Hotel eincheckt. Wenn er sich an der Rezeption anmeldet, wird er gebeten, einen Reisepass vorzulegen, um zu beweisen, dass er tatsächlich derjenige ist, dessen Name auf der Reservierung steht. Dies ist ein Beispiel für Authentifizierung.

Zunächst wird der Gast von einem Hotelmitarbeiter authentifiziert, also seine Identität geprüft. Danach erhält der Gast eine Schlüsselkarte mit eingeschränkten Berechtigungen. Das ist ein Beispiel für eine Autorisierung. Mit der Schlüsselkarte bekommt der Gast Zugang zu seinem Zimmer, dem Gästeaufzug und dem Pool. Mit dieser Schlüsselkarte kann man aber keine Zimmer anderer Gäste betreten oder den Servicelift anfordern, denn hierfür besitzt der Gast keine Berechtigung.

Ein Housekeeping-Mitarbeiter des Hotels besitzt eine Schlüsselkarte mit einer höheren Autorisierungsstufe. Er hat Zugang zu allen Gästezimmern, dem Servicelift, der Waschküche und dem Aufenthaltsraum für Mitarbeiter. Aber auch er hat keinen Zutritt zu bestimmten sensiblen Bereichen wie der Sicherheitszentrale oder dem Tresor. Der Sicherheitschef des Hotels wiederum besitzt eine Schlüsselkarte, mit der er jeden Teil des Hotels betreten kann. Er hat uneingeschränkten Zutritt zu allem.

Die Authentifizierungs- und Autorisierungskontrollen bei Computer- und Netzwerksystemen sind ganz ähnlich strukturiert. Wenn sich ein Benutzer bei seinem E-Mail- oder Onlinebanking-Konto anmeldet, verwendet er eine Kombination aus Anmeldename und Passwort, die nur er kennen sollte. Die Software verwendet diese Informationen zur Authentifizierung des Benutzers. Bei einigen Anwendungen sind die Anforderungen hierfür viel strenger als bei anderen. Während für einige ein Passwort ausreicht, erfordern andere möglicherweise Zwei-Faktor-Authentifizierung oder sogar eine biometrische Überprüfung, z. B. einen Fingerabdruck oder einen Gesichts-Identitätsscan.

Nach der Authentifizierung kann ein Benutzer nur die Informationen aufrufen, auf die er zugreifen darf. Beim Onlinebanking kann der Benutzer nur Informationen zu seinem persönlichen Bankkonto aufrufen. Ein Fondsmanager der Bank kann sich bei derselben Anwendung anmelden und Daten zu den Finanzanlagen der Bank aufrufen. Außerdem kann er möglicherweise auf ein Tool zugreifen, mit dem er Wertpapiere im Namen der Bank kaufen und verkaufen kann. Da die Bank mit sehr sensiblen personenbezogenen Informationen zu tun hat, ist es durchaus möglich, dass niemand uneingeschränkten Zugriff auf alle Daten hat. Selbst der Direktor oder Sicherheitschef der Bank muss möglicherweise ein Sicherheitsprotokoll durchlaufen, bevor er auf die vollständigen Daten einzelner Kunden zugreifen kann.

Ein weiteres Beispiel für Authentifizierung ist TLS-Verschlüsselung. Wenn ein Webbrowser eine Verbindung zu einer HTTPS-Website herstellt, wird ein TLS-Handshake ausgelöst. Dabei wird der Webserver mithilfe eines Verschlüsselungsverfahrens mit öffentlichem/privatem Schlüssel authentifiziert. Erst wenn der Webserver seine Identität nachgewiesen hat, lädt der Browser Inhalte herunter, die dem Benutzer angezeigt werden sollen.

Welche Methoden zur Implementierung der Zugriffskontrolle gibt es?

Ein sehr beliebtes Hilfsmittel für die Zugriffskontrolle auf Informationen ist ein virtuelles privates Netzwerk (VPN). Ein VPN ist ein Dienst, mit dem externe Benutzer auf das Internet zugreifen können, als wären sie mit einem privaten Netzwerk verbunden. Bei Unternehmensnetzwerken werden häufig VPNs verwendet, um die Zugriffe von außen auf das interne Netzwerk zu kontrollieren. Hat ein Unternehmen beispielsweise ein Büro in San Francisco, ein weiteres in New York und externe Mitarbeiter auf der ganzen Welt, kann ein VPN eingesetzt werden, damit sich alle Mitarbeiter unabhängig davon, wo sie sich physisch aufhalten, sicher beim internen Netzwerk anmelden können. Das VPN trägt auch zum Schutz der Mitarbeiter vor Man-in-the-Middle-Angriffen bei, wenn sie mit einem öffentlichen WLAN-Netzwerk verbunden sind.

VPNs haben jedoch einige Nachteile. Erstens beeinträchtigen VPNs die Performance. Wenn eine Verbindung zu einem VPN besteht, muss jedes Datenpaket, das ein Benutzer sendet oder empfängt, bis zum Ziel einen zusätzlichen Weg zurücklegen, denn jede Anfrage und jede Antwort muss den VPN-Server passieren. Dies führt häufig zu mehr Latenz. Zweitens arbeiten VPNs bei der Netzwerksicherheit meist nach der Alles-oder-nichts-Methode. VPNs bieten eine hervorragende Authentifizierung, aber keine detaillierte Steuerung der Berechtigungen. Das führt dazu, dass eine Organisation mehrere VPNs verwenden muss, wenn sie für verschiedene Mitarbeiter unterschiedliche Zugriffsebenen festlegen möchte. Das wird schnell kompliziert und erfüllt dennoch nicht die Anforderungen für Zero-Trust-Sicherheit.

Was ist Zero-Trust-Sicherheit?

Zero-Trust-Sicherheit ist ein IT-Sicherheitsmodell mit einer strikten Identitätsprüfung für alle Personen und Geräte, die auf Ressourcen in einem privaten Netzwerk zugreifen möchten. Dabei kommt es nicht darauf an, ob sie sich innerhalb oder außerhalb des Netzwerkperimeters befinden. Bei Zero-Trust-Netzwerken wird auch mit Mikrosegmentierung gearbeitet. Damit ist die Methode gemeint, Sicherheitsperimeter in kleine Zonen aufzuteilen, um den Zugriff für separate Teile des Netzwerks separat zu verwalten.

Inzwischen lösen sich viele Unternehmen von VPNs und bevorzugen Zero-Trust-Sicherheitslösungen wie Cloudflare Access. Mit einer Zero-Trust-Sicherheitslösung kann man die Zugriffskontrolle für Mitarbeiter innerhalb und außerhalb des Hauses verwalten und vermeidet gleichzeitig die größten Nachteile von VPNs.