Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Deutsch
Entry № 092

Autorisierung

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Autorisierung?

AutorisierungEntscheidung darüber, was eine bereits authentifizierte Identität tun darf – welche Ressourcen, Aktionen und Bedingungen erlaubt sind.

Autorisierung (AuthZ) folgt auf die Authentifizierung: Nachdem ein Benutzer, Dienst oder Gerät nachgewiesen hat, wer er ist, muss das System entscheiden, ob diese Identität eine angeforderte Aktion auf einer bestimmten Ressource ausführen darf. Entscheidungen können auf Rollen (RBAC), Attributen und Richtlinien (ABAC), Klassifizierungen (MAC) oder dem Ermessen des Eigentümers (DAC) beruhen und werden typischerweise von einem Policy Decision Point durchgesetzt, der Subjekt, Ressource, Aktion und Umgebung auswertet, während ein Policy Enforcement Point die Anfrage kontrolliert. Moderne Architekturen externalisieren Richtlinien mit Standards wie OAuth-2.0-Scopes (RFC 6749), OpenID-Connect-Claims, XACML oder Rego/Open Policy Agent (OPA) und halten die Regeln so aus dem Anwendungscode heraus.

Autorisierung ist die fehleranfälligste Kontrolle im Web. OWASP stufte Broken Access Control als A01 – das Risiko Nummer 1 – in seinen Top 10 von 2021 ein, festgestellt in 94 % der getesteten Anwendungen, eine Position, die es in der Ausgabe 2025 beibehält. Der klassische Fehler ist IDOR (Insecure Direct Object Reference): das Ändern einer numerischen id in einer URL oder einem API-Aufruf, um die Daten eines anderen Mandanten zu lesen. 2022 legte der Optus-Vorfall in Australien die Datensätze von rund 10 Millionen Kunden über einen nicht authentifizierten, aufzählbaren API-Endpunkt offen, und der IDOR bei Instagram 2019 gab private Beiträge und Storys preis.

Eine subtilere Klasse ist der Confused Deputy, bei dem eine höher privilegierte Komponente dazu verleitet wird, ihre Befugnis im Auftrag eines Angreifers zu missbrauchen – die konzeptionelle Wurzel von CSRF und SSRF. Abwehrmaßnahmen: standardmäßig verweigern, Autorisierung serverseitig bei jeder Anfrage durchsetzen (niemals dem Client vertrauen), die Objekteigentümerschaft prüfen und nicht nur die Authentifizierung, nicht erratbare Identifier bevorzugen, Zugriffsentscheidungen protokollieren und kontinuierlich auf horizontale und vertikale Privilegieneskalation testen.

flowchart LR
  U[Authentifizierte Anfrage] --> PEP[Policy Enforcement Point]
  PEP --> PDP[Policy Decision Point]
  CTX[Subjekt Ressource Aktion Umgebung] --> PDP
  POL[(Richtlinie RBAC ABAC Rego)] --> PDP
  PDP -->|Erlauben| R[Auf Ressource zugreifen]
  PDP -->|Verweigern| X[403 Forbidden und Audit-Log]

Beispiele

  1. 01

    Einem Support-Agenten Nur-Lese-Zugriff auf Kundentickets, aber nicht auf Abrechnungsdaten gewähren.

  2. 02

    OAuth-2.0-Zugriffstokens mit begrenzten Scopes wie "orders:read".

Häufige Fragen

Was ist Autorisierung?

Entscheidung darüber, was eine bereits authentifizierte Identität tun darf – welche Ressourcen, Aktionen und Bedingungen erlaubt sind. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.

Was bedeutet Autorisierung?

Entscheidung darüber, was eine bereits authentifizierte Identität tun darf – welche Ressourcen, Aktionen und Bedingungen erlaubt sind.

Wie schützt man sich gegen Autorisierung?

Schutzmaßnahmen gegen Autorisierung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Autorisierung?

Übliche alternative Bezeichnungen: AuthZ, Zugriffssteuerung.

Verwandte Begriffe

Siehe auch