Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung stellt fest, wer eine Partei ist (Überprüfung der Identität, z. B. über ein Passwort oder einen Schlüssel). Autorisierung entscheidet, was eine authentifizierte Partei tun darf (ihre Berechtigungen). Ein System muss beides tun: die Identität bestätigen und dann die Zugriffsrechte durchsetzen.

Reicht starke Kryptografie aus, um ein System zu sichern?

Nein. Kryptografie ist notwendig, aber nicht ausreichend. Die meisten realen Sicherheitsverletzungen nutzen schwache Passwörter, Fehlkonfigurationen, ungepatchte Software, Phishing oder schlechtes Schlüsselmanagement aus, anstatt die Kryptografie selbst zu brechen, weshalb sicheres Engineering und Betrieb genauso wichtig sind wie die Algorithmen.

System- und Netzwerksicherheit

System- und Netzwerksicherheit wendet kryptografische und technische Verfahren an, um Computer, Netzwerke und die dazwischen fließenden Daten vor Abhören, Manipulation, Identitätsdiebstahl und unbefugtem Zugriff zu schützen.

Thema finden mit PaperMindDemnächstFind papers & topics

Tools & resources

Folien herunterladen

Learn & explore

VideoDemnächst

Definition

System- und Netzwerksicherheit ist die Disziplin des Schutzes der Vertraulichkeit, Integrität und Verfügbarkeit von Computersystemen und der sie verbindenden Netzwerke durch die Kombination von Kryptografie, Zugriffskontrolle und sicheren Engineering-Praktiken.

Scope

Dieser Bereich umfasst die praktische Verteidigung der eingesetzten Infrastruktur: die Sicherung der Netzwerkkommunikation, die Authentifizierung von Benutzern und Maschinen, die Zugriffskontrolle, die Verteilung von Vertrauen durch Public-Key-Infrastrukturen und den Aufbau sicherer Kanäle wie TLS. Er befasst sich damit, wie kryptografische Primitive zu realen Protokollen zusammengefügt werden und wie Sicherheitsprinzipien (geringstes Privileg, gestaffelte Verteidigung) das Systemdesign leiten. Er schließt das Design der zugrunde liegenden kryptografischen Primitive und die Analyse von Schwachstellen auf Softwareebene aus, die in verwandten Bereichen behandelt werden.

Sub-topics

Core questions

Wie werden Daten geschützt, wenn sie unsichere Netzwerke durchqueren?
Wie werden Benutzer und Maschinen zuverlässig authentifiziert und wie wird ihr Zugriff kontrolliert?
Wie wird Vertrauen in öffentliche Schlüssel in großem Maßstab aufgebaut und verwaltet?
Welche Sicherheitsprinzipien leiten das Design zuverlässiger Systeme?
Wie werden Vertraulichkeit, Integrität und Verfügbarkeit mit Benutzerfreundlichkeit und Leistung in Einklang gebracht?

Key concepts

Vertraulichkeit, Integrität, Verfügbarkeit
Prinzip des geringsten Privilegs
gestaffelte Verteidigung (Defense in Depth)
Authentifizierung und Autorisierung
Zugriffskontrolle
Public-Key-Infrastruktur
sichere Kanäle (TLS)
Bedrohungsmodellierung
Netzwerkperimeter und Segmentierung

Key theories

Saltzer und Schroeders Designprinzipien: Klassische Prinzipien für sicheres Systemdesign – geringstes Privileg, ausfallsichere Standardeinstellungen, Sparsamkeit des Mechanismus, vollständige Mediation, offenes Design, Trennung der Privilegien – bleiben die Grundlage des Sicherheits-Engineerings.
Die CIA-Triade und gestaffelte Verteidigung: Sicherheitsziele werden als Vertraulichkeit, Integrität und Verfügbarkeit formuliert; robuste Systeme schichten mehrere unabhängige Kontrollen (gestaffelte Verteidigung), sodass der Ausfall eines Mechanismus nicht das Ganze kompromittiert.

Clinical relevance

System- und Netzwerksicherheit ist das, was das Internet nutzbar hält: TLS schützt Web- und API-Verkehr, VPNs und IPsec sichern den Fernzugriff, Zertifizierungsstellen und PKI ermöglichen es Maschinen Fremder, einander zu vertrauen, und Zugriffskontrollsysteme schützen alles von Cloud-Konsolen bis zu Krankenhausakten. Fehler in diesem Bereich verursachen die Datenlecks, Ransomware-Vorfälle und Lieferkettenkompromittierungen, die die Sicherheitsnachrichten dominieren.

Evidence & guidelines

Die Praxis wird durch Frameworks und Standards geprägt: das NIST Cybersecurity Framework und die SP 800-Reihe, ISO/IEC 27001, die OWASP- und MITRE ATT&CK-Wissensbasen sowie Protokoll-RFCs. Zero-Trust-Architekturen (NIST SP 800-207) ersetzen zunehmend reine Perimeter-Modelle, und regulatorische Rahmenbedingungen (DSGVO, HIPAA, PCI-DSS) legen Sicherheitsanforderungen für spezifische Sektoren fest.

History

Die Netzwerksicherheit wuchs mit dem Internet selbst: Der Morris-Wurm (1988) zeigte systemische Schwachstellen auf, Firewalls und Intrusion Detection entstanden in den 1990er Jahren, und SSL/TLS (ab 1995) sicherte das Web. Saltzer und Schroeders Prinzipien von 1975 bilden immer noch die Grundlage des Feldes. Als sich die Perimeter mit Cloud- und mobilem Computing auflösten, verlagerte sich die Disziplin hin zu identitätszentrierten Zero-Trust-Modellen.

Key figures

Roger Needham
Ross Anderson
Jerome Saltzer
Michael Schroeder
Whitfield Diffie

Seminal works

anderson2020
saltzer1975
stallings2017

Frequently asked questions

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?: Authentifizierung stellt fest, wer eine Partei ist (Überprüfung der Identität, z. B. über ein Passwort oder einen Schlüssel). Autorisierung entscheidet, was eine authentifizierte Partei tun darf (ihre Berechtigungen). Ein System muss beides tun: die Identität bestätigen und dann die Zugriffsrechte durchsetzen.
Reicht starke Kryptografie aus, um ein System zu sichern?: Nein. Kryptografie ist notwendig, aber nicht ausreichend. Die meisten realen Sicherheitsverletzungen nutzen schwache Passwörter, Fehlkonfigurationen, ungepatchte Software, Phishing oder schlechtes Schlüsselmanagement aus, anstatt die Kryptografie selbst zu brechen, weshalb sicheres Engineering und Betrieb genauso wichtig sind wie die Algorithmen.