:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition OAuth Was ist OAuth?
Bei OAuth handelt es sich um ein offenes Sicherheitsprotokoll für die tokenbasierte Autorisierung und Authentifizierung im Internet. Webservices eines Drittanbieters können auf externe Ressourcen zugreifen, ohne dass Benutzernamen und Passwort offenzulegen sind. Dienste von Google, Facebook oder Twitter nutzen OAuth.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Die Abkürzung OAuth steht für Open Authorization und ist ein offenes Protokoll, das eine sichere Autorisierung von Webservices oder mobilen Anwendungen ermöglicht, ohne Drittanbietern Passwörter offenlegen zu müssen. Das Protokoll verwendet eine tokenbasierte Autorisierung und Authentifizierung. Der Prozess zum Erhalt eines Tokens nennt sich Flow.
Mit Hilfe von Open Authorization kann eine User einer Drittanwendung erlauben, auf Daten zuzugreifen, die bei einem anderen Dienst gespeichert sind. Hierfür müssen der Drittanwendung keine geheimen Details der Zugangsberechtigung preisgegeben werden. Die erste Version von Open Authorization entstand in den Jahren 2006 und 2007. Beteiligt an der Entwicklung waren unter anderem Mitarbeiter von Google, Yahoo und Twitter. Die Spezifikation von Open Authorization 1.0 ist in RFC 5849 veröffentlicht. 2009 wurde eine Sicherheitslücke im Protokoll entdeckt. Das Open Authorization-Framework 2.0 wurde im Jahr 2012 im RFC 6749 verabschiedet. OAuth 2.0 ist nicht rückwärtskompatibel zur Version 1.0.
Die verschiedenen Rollen in OAuth
Open Authorization kennt insgesamt vier verschiedene Rollen. Diese Rollen sind:
- der Resource Owner
- der Resource Server
- der Client
- der Authorization Server
Beim Resource Owner handelt es sich um den User, der einem Drittanbieter Zugriff auf seine Ressourcen gestatten möchte. Auf dem Resource Server sind die geschützten Ressourcen des Users gespeichert. Der Resource Server kann mit Hilfe von Token anderen Zugriff auf die Ressourcen gewähren. Der Client ist der Drittanbieter, der Zugriff auf die geschützten Ressourcen zu erlangen versucht. Der Client selbst kann eine Webanwendung, eine mobile App oder eine Anwendung auf einem Desktoprechner sein. Der Authorization Server schließlich ist für die Authentifizierung des Users verantwortlich und stellt die Zugriffstoken aus. Oft werden der Authorization Server und der Resource Server gemeinsam auf einer Plattform betrieben.
Typischer Anwendungsfall und Autorisierungsvorgang mit OAuth
Ein typischer Anwendungsfall für Open Authorization könnte folgendermaßen aussehen: Ein Anwender möchte einem Drittanbieter B Zugriff auf seine Dokumente gewähren, die auf dem Webservice A gespeichert sind. Da es sich um unterschiedliche Services handelt, muss sich Drittanbieter B beim Webservice A autorisieren, um Zugriff zu erlangen. Der Anwender möchte allerdings seinen Benutzernamen und das Passwort für Webservice A nicht an den Drittanbieter B übermitteln. Für diesen Fall ermöglicht OAuth dem Drittanbieter B den Zugriff auf Basis eines Berechtigungstokens. Der Anwender muss hierfür lediglich dem Webservice A bestätigen, dass Drittanbieter B Zugriff auf bestimmte Ressourcen erhalten darf.
Der Autorisierungsvorgang läuft vereinfacht dargestellt in diesen Schritten ab:
- 1. Der Anwender wird für die Dateifreigabe von der Seite des Drittanbieters B mit einen Link auf den Webservice A weitergeleitet, bei dem er sich anmelden muss.
- 2. Er bekommt angezeigt, dass Drittanbieter B auf bestimmte Dokumente zugreifen möchte.
- 3. Der Anwender stimmt zu und der Webservice A erstellt einen Autorisierungs-Token.
- 4. Diesen Autorisierungs-Token teilt Webservice A dem Drittanbieter B mit.
- 5. Gleichzeitig wird der Anwender wieder auf die Seite des Drittanbieters B zurückgeleitet.
- 6. Drittanbieter B fragt nun mit dem Token beim Webservice A an und erhält Zugriff auf die Dokumente.
(ID:45283964)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945975/original.jpg "Cloudflare hilft mit dem API Gateway dabei, Programmierschnittstellen aufzuspüren und abzusichern. (Cloudflare)")
:quality(80)/p7i.vogel.de/wcms/e7/38/e7387f0ec804df4a1f728f2ec4ce71a2/0110072273.jpeg "Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren. (Bild: immimagery - stock.adobe.com)")