Was ist der Unterschied zwischen Authentifizierung und Autorisierung?
Authentifizierung klärt „Wer bist du" (Login, Passwort, OAuth). Autorisierung klärt „Was darfst du" (welche Daten siehst du, welche Aktionen darfst du ausführen). Beides ist nötig und verschieden. KI-Coding-Tools bauen den ersten Teil oft solide, den zweiten nicht.
Zwei Begriffe, die ständig verwechselt werden. Der Unterschied ist klein im Wort, groß in der Wirkung. Genau hier liegt die häufigste schwere Sicherheitslücke in Apps, die schnell mit KI-Coding-Tools gebaut werden.
Die Flughafen-Metapher
Ausweis zeigen: Klärt „Wer bist du". Das ist Authentifizierung. Typisch: Passwort, Magic Link, Login über Google oder GitHub.
Bordkarte zeigen: Klärt „Was darfst du". Das ist Autorisierung. Welche Maschine, welche Reihe, welcher Sitz. Oder in der App: welche Daten, welche Aktionen, welche Tabelle.
Beides ist nötig. Beides ist nicht dasselbe.
Warum das getrennt wichtig ist
Ein Nutzer kann sich sauber authentifizieren (der Ausweis stimmt) und trotzdem überhaupt nichts dürfen. Oder er darf alles lesen, aber nichts schreiben. Oder er darf seine eigenen Daten sehen, aber nicht die der anderen Nutzer. All das regelt Autorisierung, nicht Authentifizierung.
Der echte Fall
Im Frühjahr 2025 entdeckte ein Security-Forscher, dass 170 Apps, die mit einem populären KI-Coding-Tool gebaut worden waren, dieselbe Lücke hatten (CVE-2025-48757). Alle hatten ein funktionierendes Login. Aber jeder eingeloggte Nutzer konnte die Daten aller anderen Nutzer lesen, inklusive E-Mails, Adressen, Zahlungsdaten. Der Agent hatte die Regel „Wenn eingeloggt, darfst du alles lesen" geschrieben. Richtig gewesen wäre: „Wenn eingeloggt, darfst du deine eigenen Daten lesen." Ein Wort Unterschied, 170 kompromittierte Apps.
Was du tun musst
Pro Tabelle festlegen: Wer darf lesen? Wer darf schreiben? Wer darf löschen? Wie prüft das System die Rolle? Wenn der Agent bei einer Tabelle keine klare Antwort liefert, ist das die Stelle, an der du explizit werden musst.