Authorization (Autorisierung)
Authorization (Autorisierung) beschreibt den Prozess, bei dem festgelegt wird, auf welche Ressourcen ein authentifizierter Nutzer zugreifen darf. Während die Authentifizierung die Identität überprüft, entscheidet die Autorisierung über die Berechtigungen innerhalb eines Systems.
Gängige Modelle sind die rollenbasierte Zugriffskontrolle (RBAC), bei der Berechtigungen über Rollen gebündelt werden, und die attributbasierte Zugriffskontrolle (ABAC), die Entscheidungen aus Eigenschaften von Nutzer, Ressource und Kontext ableitet. Leitprinzip ist Least Privilege: Jeder erhält nur die Rechte, die für die jeweilige Aufgabe tatsächlich nötig sind – dauerhaft überschüssige Berechtigungen zählen zu den häufigsten vermeidbaren Risiken.
Eine sauber definierte Autorisierung erleichtert zugleich Compliance-Nachweise, weil Berechtigungen nachvollziehbar begründet und überprüfbar sind. Konsequent kontextabhängig angewendet ist sie ein Kernmechanismus von Zero Trust: Zugriff wird pro Anfrage entschieden, nicht pauschal gewährt.