Risiko- und kontextbasierende Authentifizierung und Autorisierung

Intelligente Login- und Zugriffskontrolle

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Bei der Authentifizierung gilt es unter anderem auch zu klären, woher der Zugriff tatsächlich kommt.
Bei der Authentifizierung gilt es unter anderem auch zu klären, woher der Zugriff tatsächlich kommt. (Bild: Archiv)

Etablierte Ansätze zur Authentifizierung und Autorisierung sind erheblich von „Schwarz-/Weiß-Denken“ geprägt: Wer sich authentisieren kann ist „gut“. Tatsächlich braucht es heute aber differenzierte Ansätze, die auch den Kontext des Authentisierungsversuchs mit einbeziehen.

Martin Kuppinger: „Unternehmen sollten vom Kontext abhängig machen, ob jemand authentifiziert wird und für was er autorisiert wird.“
Martin Kuppinger: „Unternehmen sollten vom Kontext abhängig machen, ob jemand authentifiziert wird und für was er autorisiert wird.“ (Bild: KuppingerCole)

Bei der Authentifizierung wird geprüft, ob ausreichend Anhaltspunkte dafür vorliegen, dass ein Benutzer auch derjenige ist, der er zu sein vorgibt. Kennt er das Benutzername und das dazu gehörige Kennwort oder hat er das richtige Token, um ein Einmal-Kennwort zu erzeugen?

Einmal authentifiziert, kann ein Benutzer auf ein oder mehrere Systeme zugreifen. Hier wird er autorisiert, entweder von den Systemen selbst oder (meist ergänzend) über ein zentrales Autorisierungssystem wie beispielsweise Web Access Management.

Nun hat sich aber in den vergangenen Jahren viel verändert in der IT. Benutzer verwenden immer mehr und unterschiedliche mobile Endgeräte. Schlagwörter wie Mobile Computing und BYOD (Bring Your Own Device) stehen für diesen Trend. Es werden immer mehr externe Anwender eingebunden, sowohl Geschäftspartner als auch Kunden. Das Schlagwort hier ist Extended Enterprise.

Blick auf das jeweilige Risiko

Gerade Kunden melden sich hier nicht mehr nur mit einer vom Unternehmen vergebenen Identität – und sei es über eine Selbstregistrierung – an, sondern verwenden zumindest an manchen Stellen auch Logins von sozialen Netzwerken. Auch das Social Computing hat Einfluss auf die Authentifizierung und Autorisierung.

Hinzu kommt auf der anderen Seite, dass die IT selbst auch zunehmend in Risiken denkt und denken muss. Die komplexen Herausforderungen der Informationssicherheit lassen sich nicht alle lösen, zumindest nicht gleichzeitig für alle Systeme.

Die IT muss sich auf die Systeme und Informationen mit dem höchsten Risiko fokussieren. Das ist auch eine gängige Forderung von Wirtschaftsprüfern, die Maßnahmen oft primär oder ausschließlich für die „kritischen“ Systeme und Informationen fordern und nicht für die gesamte Breite.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39131830 / Authentifizierung)