Datenschutz und Authentisierung, Authentifizierung und Autorisierung

Datenschutz und Authentisierung, Authentifizierung und Autorisierung

Der Datenschutz und Authentisierung, Authentifizierung und Autorisierung gehen nah beieinander. Oftmals werden die Begriffe der Authentisierung, Authentifizierung und Autorisierung versehentlich sogar verwechselt. In diesem Beitrag möchten wir näher auf die Begriffe selbst und damit die Unterschiede dieser untereinander, auch anhand von Beispielen, eingehen.

Authentisierung

Wie auch bei der Authentifizierung handelt es sich hierbei um einen Begriff eines Anmeldeverfahrens. Im Unterschied zur Authentifizierung sprechen wir bei der Authentisierung von der Eingabe der Anmeldedaten eines Nutzers. Für einen Nutzer gibt es verschiedene Wege und Mittel, sich zu authentisieren:

1) Eingabe eines Nutzernamens und Passwortes zur Anmeldung in einem System ⇒ Wissen (z. B. Passwort, PIN),

2) Nutzung einer Chipkarte, um ein Gebäude betreten zu dürfen ⇒ Besitz (z. B. Zutrittskarte, TAN-Generator) oder/und

3) Scan des Fingerabdrucks ⇒ Biometrie (z. B. Fingerabdruck, Iris-Scan).

Seit einiger Zeit – besonders in Zeiten der zunehmenden Cyber-Kriminalität – ist auch die Zwei-Faktor-Authentisierung in aller Munde – zumindest bei den Personen, die sich für die Sicherheit und den Schutz ihrer und der Daten anderer interessieren. Dabei handelt es sich um den Einsatz und damit die Kombination zwei verschiedener Möglichkeiten zur Authentisierung. Sind also beispielsweise die PIN und das Passwort (1. Faktor) kompromittiert worden, kann ein Hacker sich dennoch nicht in das Online-Bankkonto einer Person einloggen, da ihm der Code, der zur Anmeldebestätigung auf das Mobiltelefon geschickt wird (2. Faktor), fehlt.

Authentifizierung

Nachdem ein Nutzer sich authentisiert hat, überprüft – also authentifiziert – das System, ob es sich dabei tatsächlich um die zugriffsberechtigte Person handelt.

Wie oben erwähnt, erhöht der Einsatz der Zwei-Faktor-Authentisierung die Wahrscheinlichkeit, dass es sich dabei um die tatsächlich zugriffsberechtigte Person handelt.

Autorisierung

Bei dem Prozess der Autorisierung überprüft das System, welche Berechtigungen eine Person hat.

Wenn ein Online-Bankkontennutzer sich anmeldet, um sein Bankkonto einzusehen, hat er nicht die Berechtigung, Änderungen an beispielsweise der Webseite oder dem Programm vorzunehmen. Durch die Anmeldung kann das System dies feststellen, also eine Autorisierung vornehmen.

Der Zusammenhang mit dem Datenschutz

Unternehmen und Behörden – Verantwortliche – haben Maßnahmen zum Schutz und zur Sicherheit personenbezogener Daten zu ergreifen. Diese Maßnahmen müssen der Höhe des Risikos für die Rechte und Freiheiten der betroffenen Personen entsprechen (siehe Art. 32 Abs. 1 DSGVO).

Die Authentisierung, Authentifizierung und Autorisierung sind dabei Maßnahmen, die Unternehmen und Behörden ergreifen können. Die Folgen davon wären die Beeinträchtigung der Vertraulichkeit, ggf. auch die der Integrität und Verfügbarkeit.

Folgen ungenügender technischer und organisatorischer Maßnahmen

Die Folgen solcher ungenügenden technischen und organisatorischen Maßnahmen können schwerwiegend sein. Bemerkbar machen können sie sich beispielsweise in folgenden Szenarien:

1)    Ein Beschäftigter meldet dies ggf. der Datenschutzaufsichtsbehörde, die diesem Hinweis nachgeht. Möglicherweise geht dieser Beschäftigte sogar so weit, gerichtlich vorzugehen.

2)    Die Datenschutzaufsichtsbehörde verlangt anlasslos Auskunft über den Stand des Datenschutzes im Unternehmen und bemerkt dabei die mangelhaften technischen und organisatorischen Maßnahmen.

3)    Eine externe Person, z. B. ein Kunde, erfährt davon und meldet dies der Datenschutzaufsichtsbehörde.

4)    Es kommt tatsächlich zu einem Datenschutzvorfall.

Die Folgen davon können u. a. Bußgelder, Schadenersatzansprüche oder Abmahnungen sein. Nicht nur diese, denn auch das öffentliche Bild kann anhaltenden Schaden erleiden. Das absolute Endresultat ist eventuell sogar die Existenzbedrohung des Unternehmens.

Fazit

Die Einführung von Maßnahmen zur Authentisierung, Authentifizierung und Autorisierung und demzufolge zum Schutz und zur Sicherheit personenbezogener Daten kann ein Verantwortlicher ohne großen Aufwand umsetzen. Dabei stellen diese Maßnahmen als Teil der im Unternehmen implementierten technischen und organisatorischen Maßnahmen einen Teil der Basis eines Datenschutzmanagementsystems dar.

Sie benötigen weiterreichende Unterstützung zum Datenschutz und zu einem entsprechenden Datenschutzmanagementsystem in Ihrem Unternehmen? Kontaktieren Sie uns gern dazu.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.