Authentifizierung und Autorisierung
Auch bekannt als: Authentifizierung, Autorisierung, Authentication, Authorization, Auth
Zwei Konzepte, die ständig verwechselt werden. Authentifizierung klärt „Wer bist du" (Login, Ausweis zeigen). Autorisierung klärt „Was darfst du" (welche Daten sehen, welche Aktionen ausführen). Beide sind nötig, beide sind verschieden.
Die Flughafen-Metapher trägt weit. Den Ausweis zeigen klärt „Wer bist du". Das ist Authentifizierung. Die Bordkarte zeigen klärt „Was darfst du, in welche Maschine, in welche Reihe". Das ist Autorisierung. Beides ist nötig, beides ist verschieden.
Authentifizierung
Der Login-Schritt. Ein Nutzer beweist, dass er wirklich er ist, durch Passwort, Magic Link, OAuth-Anbieter (Google, GitHub). Das Ergebnis: Die App weiß, wer gerade angemeldet ist. KI-Coding-Tools bauen diesen Teil typischerweise solide.
Autorisierung
Der Rechte-Schritt. Die App prüft für jede Anfrage: Darf dieser Nutzer diese Daten sehen, diese Aktion ausführen? Das muss pro Tabelle und pro Aktion definiert werden (lesen, schreiben, löschen). Hier liegt die häufigste schwere Sicherheitslücke von Tools, die schnell mit KI gebaut wurden.
Der echte Vorfall
Im Frühjahr 2025 entdeckte ein Security-Forscher, dass 170 Apps, die mit einem populären KI-Coding-Tool gebaut worden waren, dieselbe Lücke hatten (CVE-2025-48757). Login funktionierte überall. Aber jeder eingeloggte Nutzer konnte die Daten aller anderen Nutzer lesen. Der Agent hatte sinngemäß die Regel „Wenn eingeloggt, darfst du alles lesen" geschrieben, statt „Wenn eingeloggt, darfst du deine eigenen Daten lesen". Ein Wort Unterschied, 170 kompromittierte Apps.
Faustregel
Wenn es Nutzer gibt, die nicht du bist, ist Autorisierung eine eigene Entscheidung. „Login gebaut" reicht nicht.