Autorisierung

Was ist Autorisierung?

Autorisierung regelt, was ein Benutzer tun darf, nachdem er erfolgreich authentisiert wurde. Es geht also um die Zuweisung von Rechten auf Aktionen oder Ressourcen innerhalb eines Systems.

Technischer Hintergrund / Aufbau / Varianten

Zwei häufig genutzte Modelle:

• Role-Based Access Control (RBAC): Rechte nach Rollen

• Attribute-Based Access Control (ABAC): Rechte nach Kontextattributen wie Uhrzeit, Standort, Gerätetyp

In modernen Anwendungen wird Autorisierung oft mit JSON Web Tokens (JWTs) umgesetzt, die sogenannte Claims enthalten.

Anwendungsbezug / Relevanz in der Praxis

Ob Benutzer XY eine Datei löschen, eine Transaktion ausführen oder eine API ansprechen darf, regelt die Autorisierung. Besonders wichtig in Multi-Tenant-Umgebungen, Web-APIs und bei privilegierten Aktionen.

Verbindung zu Richtlinien, Standards oder Bedrohungen

• ISO 27001 (A.9.1–A.9.4) – Rechtevergabe und Zugriffskontrolle

• NIS-2 – Absicherung verteilter Zugriffsmuster

• OWASP ASVS – fordert konsistente Policy Enforcement

Verwandte Begriffe

• Authentisierung

• RBAC

• ABAC

• Authorization Server

Beispiel / Risiken bei Missachtung

Ein Nutzer ohne ausreichende Berechtigung kann durch fehlerhafte Autorisierungslogik sensible Daten löschen – ein häufiger Fehler bei unsicheren APIs (Insecure Direct Object Reference).