Autorisierung nach dem Login

Nach der Authentifizierung steht fest, wer eingeloggt ist. Jetzt entscheidet die Autorisierung, was dieser Nutzer darf. Das sind zwei strikt getrennte Vorgänge – und diese Trennung ist kein Detail, sondern ein fundamentales Sicherheitsprinzip. Ein System, das nach erfolgreichem Login jeden Nutzer auf alles zugreifen lässt, hat Authentifizierung, aber keine Autorisierung.

Autorisierung beantwortet für jede einzelne Anfrage: Darf Subjekt S die Operation O auf Objekt O ausführen? Subjekt ist der Nutzer oder Prozess; Operation ist z.B. Lesen, Schreiben, Ausführen, Löschen; Objekt ist die Ressource – eine Datei, eine Datenbanktabelle, eine API, ein Gerät. Die Antwort kommt aus einer Richtlinie – einer Policy – die entweder rollenbasiert (RBAC), attributbasiert (ABAC) oder listbasiert (ACL) definiert sein kann.

1) AAA: Authentifizierung, Autorisierung, Accounting

Die drei Konzepte greifen in einer festen Reihenfolge ineinander. Kein Schritt kann den vorherigen überspringen: Autorisierung setzt eine erfolgreiche Authentifizierung voraus; Accounting protokolliert, was nach der Autorisierung tatsächlich passiert ist.

AAA-Ablauf – Authentication · Authorization · Accounting

🔐Authentifizierung: Wer bist du? – Identität verifizieren via Passwort, MFA, ZertifikatAuthN

⚖️Autorisierung: Was darfst du? – Anfrage gegen Policy prüfen (RBAC/ABAC/ACL)AuthZ

📋Accounting: Was hast du getan? – Alle Aktionen protokollieren (Audit-Log, SIEM)Acc

AAA-Protokolle in der Praxis: RADIUS (Remote Authentication Dial-In User Service) und TACACS+ sind Netzwerkprotokolle, die AAA für Netzwerkgeräte, VPN-Zugänge und WLAN-Authentifizierung bereitstellen. RADIUS ist weit verbreitet, TACACS+ bietet feingranularere Autorisierung auf Kommandoebene – relevant für Privileged Access Management.

2) Autorisierungsmodelle

Es gibt grundlegend verschiedene Ansätze, wie Autorisierungsregeln definiert und durchgesetzt werden. Jedes Modell hat typische Einsatzgebiete und Stärken. In der Praxis werden sie oft kombiniert.

Autorisierungsmodelle im Überblick

In der IHK-Prüfung werden DAC, MAC und RBAC direkt abgefragt. Das wichtigste Unterscheidungsmerkmal: Bei DAC entscheidet der Ressourceneigentümer; bei MAC entscheidet das System (Sicherheitsstufen); bei RBAC entscheidet die Rolle; bei ABAC entscheiden Attribute und Kontext.

3) Zugriffsentscheidungs-Simulator

Die folgende Demo zeigt, wie eine Autorisierungsentscheidung in einem RBAC-System konkret aussieht. Benutzer haben Rollen, Rollen haben Berechtigungen auf bestimmte Ressourcen in bestimmten Operationen.

RBAC-Autorisierungs-Simulator

Benutzer / Rolle

Ressource

Operation

Wähle Benutzer, Ressource und Operation und drücke „Prüfen".

Dieses Modell entspricht einem vereinfachten RBAC. In der Praxis wird Autorisierung zentral durch IAM-Systeme wie Active Directory, Azure AD oder Keycloak verwaltet. Die Trennung zwischen „Autorisierung konfigurieren" (Admin-Aufgabe) und „Autorisierung nutzen" (Anwendung) ist ein wichtiges Designprinzip.

4) Wichtige Autorisierungsprinzipien

Prinzip	Bedeutung	Beispiel
Least Privilege	Nur die minimal nötigen Rechte vergeben	Entwickler darf Quellcode lesen/schreiben, nicht Server-Root-Zugang
Need-to-know	Zugang nur, wenn die Aufgabe es erfordert	HR sieht Gehaltsabrechnungen, Entwicklung nicht
Separation of Duties	Kritische Aktionen brauchen mehrere Personen	Wer Zahlungen anlegt, darf sie nicht selbst freigeben
Deny-by-Default	Alles ist verboten, außer explizit erlaubt	Neuer Mitarbeiter hat anfangs keine Berechtigungen
Regelmäßiges Review	Berechtigungen verfallen nicht automatisch – Review nötig	Vierteljährlicher Access Review für alle Nutzerkonten

Zusammenfassung

Autorisierung entscheidet nach erfolgter Authentifizierung, was ein Nutzer darf. Modelle: DAC (Eigentümer entscheidet), MAC (Systemklassifikation), RBAC (Rollen), ABAC (Attribute+Kontext). Kernprinzipien: Least Privilege, Need-to-know, Separation of Duties, Deny-by-Default. Nächste Vertiefung: RBAC im Detail und Access Control Lists.

Autorisierung nach dem Login

1) AAA: Authentifizierung, Autorisierung, Accounting

2) Autorisierungsmodelle

3) Zugriffsentscheidungs-Simulator

4) Wichtige Autorisierungsprinzipien

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title