Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Grundbegriffe Glossar

Authentifizierung (Authentication)

Der Prozess der Identitätsverifikation: Wer behauptet, jemand zu sein, muss es beweisen - durch etwas, das er weiß (Passwort), besitzt (Token) oder ist (Biometrie).

Authentifizierung ist der Prozess, mit dem ein System die behauptete Identität eines Nutzers, Geräts oder Dienstes überprüft und bestätigt. Sie ist der Torwächter jeder IT-Sicherheitsarchitektur.

Authentifizierung vs. Autorisierung vs. Authentisierung

Diese drei Begriffe werden häufig verwechselt:

BegriffBedeutungBeispiel
AuthentisierungDer Nutzer behauptet eine Identität (Nachweis seiner Identität)“Ich bin Max Müller, hier ist mein Passwort”
AuthentifizierungDas System verifiziert die behauptete IdentitätSystem prüft: Stimmt das Passwort für “Max Müller”?
AutorisierungBerechtigungserteilung nach erfolgreicher IdentitätsprüfungMax Müller darf auf Ordner X, aber nicht auf Y

In der Praxis werden “Authentisierung” und “Authentifizierung” oft synonym verwendet - beide bezeichnen den Login-Prozess. Technisch korrekt ist: Der Nutzer authentisiert sich, das System authentifiziert ihn.

Die drei Authentifizierungsfaktoren

Alle Authentifizierungsmethoden basieren auf einem oder mehreren dieser Faktoren:

1. Wissen (Something you know):

  • Passwort, PIN, Sicherheitsfrage
  • Schwächster Faktor - Passwörter können gestohlen, erraten oder geleakt sein

2. Besitz (Something you have):

  • Hardware-Token (YubiKey, RSA SecurID)
  • Smartphone (TOTP-App wie Google Authenticator)
  • Smartcard, Bankkartenleser
  • Stärker als Wissen - Token muss physisch vorhanden sein

3. Sein (Something you are):

  • Fingerabdruck, Gesichtserkennung, Iris-Scan, Stimmerkennung
  • Biometrische Merkmale sind unveränderlich und nicht weitergebar - aber auch nicht rücksetzbar bei Kompromittierung

Authentifizierungsmethoden

Passwort-Authentifizierung:

  • Standard, weit verbreitet, gut verstanden
  • Schwächen: Passwort-Wiederverwendung, schwache Passwörter, Credential-Stuffing
  • Best Practice: Mindestlänge 12+ Zeichen, Passwort-Manager, keine Passwort-Wiederverwendung

Multi-Faktor-Authentifizierung (MFA): Kombination aus mindestens zwei verschiedenen Faktoren. Deutlich sicherer als Einzelfaktor.

TOTP (Time-based One-Time Password):

  • App generiert alle 30 Sekunden neuen 6-stelligen Code (RFC 6238)
  • Schützt gegen Password-Replay-Angriffe
  • Schützt NICHT gegen AiTM-Phishing (Angreifer leitet in Echtzeit weiter)

FIDO2 / Passkeys (phishing-resistent):

  • Verwendet asymmetrische Kryptographie
  • Private Key verlässt nie das Gerät
  • Server speichert nur Public Key
  • Kein Passwort übertragen - Phishing funktioniert nicht
  • BSI und NIST empfehlen FIDO2 als sicherste Authentifizierungsmethode

Biometrie:

  • Zunehmend verbreitet (Face ID, Touch ID, Windows Hello)
  • Vorteil: Benutzerfreundlich, kein Passwort nötig
  • Risiko: Biometrische Daten sind nicht rücksetzbar; Deepfake-Angriffe nehmen zu

Certificate-based Authentication:

  • PKI-Zertifikat als Identitätsnachweis
  • Häufig für Maschinenidentitäten (mTLS), VPN-Clients, SSH-Verbindungen

Authentifizierungsangriffe

Brute Force: Automatisiertes Durchprobieren aller Passwortkombinationen.

  • Gegenmaßnahme: Account-Lockout, Rate Limiting, CAPTCHA

Credential Stuffing: Gestohlene Passwortlisten aus Datenverletzungen bei anderen Diensten testen.

  • Gegenmaßnahme: MFA, HIBP-Monitoring, Password-Spray-Detection im SIEM

Pass-the-Hash: Windows-Angriff der NTLM-Hashes direkt für Authentifizierung nutzt - ohne Klartext-Passwort.

  • Gegenmaßnahme: Kerberos statt NTLM, Protected Users Group, EDR

AiTM-Phishing (Adversary-in-the-Middle): Phishing-Kit agiert als Proxy und fängt Session-Cookies ab - umgeht TOTP-MFA.

  • Gegenmaßnahme: FIDO2/Passkeys (phishing-resistent)

Social Engineering: Benutzer wird durch Betrug zur Herausgabe von Credentials oder MFA-Codes bewegt.

  • Gegenmaßnahme: Security Awareness Training, FIDO2

Authentifizierungsstandards und Protokolle

  • OAuth 2.0: Autorisierungs-Framework für delegierten Zugriff (“Login mit Google”)
  • OpenID Connect (OIDC): Identitätsschicht über OAuth 2.0 für Authentifizierung
  • SAML 2.0: Enterprise-Standard für Single Sign-On (SSO)
  • Kerberos: Ticket-basiertes Protokoll in Active-Directory-Umgebungen
  • RADIUS: Netzwerk-Authentifizierungsprotokoll (VPN, WLAN)
  • LDAP: Verzeichnisprotokoll mit Authentifizierungsfunktion (häufig mit Active Directory)

Compliance-Anforderungen

NIS2 (Art. 21): Multi-Faktor-Authentifizierung für alle privilegierten Zugänge verpflichtend.

ISO 27001 A.9: Zugangskontrolle und Authentifizierungsanforderungen in Annex A definiert.

BSI IT-Grundschutz ORP.4: Identitäts- und Berechtigungsmanagement mit MFA-Anforderungen.

PCI DSS 4.0: MFA für alle Zugänge zur Cardholder Data Environment (CDE) verpflichtend.

Cyber-Versicherungen: Fast alle Cyber-Versicherungen fordern MFA für privilegierte Accounts als Mindestvoraussetzung für Coverage.

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Active Directory Angriffe

10 Min. Lesezeit

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

16 min Lesezeit

Zero Trust - Modernes Sicherheitsarchitekturprinzip

8 Min. Lesezeit

Verwandte Begriffe

Credential Stuffing IAM (Identity and Access Management) MFA (Multi-Faktor-Authentifizierung) Zero-Day
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung