In der heutigen digitalen Ära ist der sichere Zugriff auf personenbezogene Daten von höchster Bedeutung. Unternehmen sind durch Datenschutzvorschriften dazu verpflichtet, diesen Grundsatz strikt zu befolgen. Daher sind IT-Systeme mit Zugriffskontrollmechanismen ausgestattet, die Benutzer dazu auffordern, ihre Legitimation vor dem Datenzugriff nachzuweisen.
Häufig werden die Begriffe “Authentisierung”, “Authentifizierung” und “Autorisierung” synonym verwendet. Sie haben jedoch unterschiedliche Bedeutungen, die wir im Folgenden klären werden. Diese Differenzierung ist insbesondere in spezifischen Kontexten von Bedeutung, wie beispielsweise bei der Dokumentation von Prozessen im Rahmen des Datenschutzes oder eines Informationssicherheits-Managementsystems (ISMS).
Der Drei-Stufen-Anmeldeprozess
Ein erfolgreicher Anmeldevorgang an einem IT-System kann in drei klar definierte Schritte unterteilt werden:
- Authentisierung: Aus Sicht des Benutzers handelt es sich hierbei um den Vorgang der Systemanmeldung. Der Benutzer legitimiert sich, indem er Anmeldeinformationen wie Benutzername und Passwort bereitstellt. Es gibt auch alternative Authentisierungsmethoden, wie Magnetkarten oder biometrische Erkennungsmerkmale.
- Authentifizierung: In dieser Phase übernimmt das System die Kontrolle. Während der Authentifizierung prüft das System die vom Benutzer bereitgestellten Informationen gegen seine Datenbank, um Übereinstimmungen mit gespeicherten Benutzernamen und Passwort-Hashwerten zu finden.
- Autorisierung: Nach einer erfolgreichen Authentifizierung erfolgt die Autorisierung. Dem Benutzer werden spezifische Rechte basierend auf seinem Profil gewährt. Diese Rechte bestimmen den Zugriffsgrad auf das System und welche personenbezogenen Daten eingesehen oder modifiziert werden können.