Wie funktionieren Conditional-Access-Systeme?

Was ist Conditional Access?

Täglich greifen Mitarbeiter an Hunderten von Standorten auf die Anwendungen und Ressourcen Ihres Unternehmens zu. Gleichzeitig suchen Hacker und andere Cyberkriminelle nach Möglichkeiten, auf Ihre sensiblen Daten zuzugreifen, und versuchen dabei, Schwachstellen in Ihrem Authentifizierungsverfahren auszunutzen.

Conditional Access ist eine der wirksamsten Methoden zum Schutz Ihrer Endanwender und Daten in der dynamischen Arbeitswelt von heute. Ein Conditional-Access-System gibt Administratoren feingranulare Kontrolle über den Umfang des Zugriffs, den User auf Ihre Software haben – basierend auf dem Kontext, in dem sie versuchen, sich einzuloggen.

Je nachdem, wie riskant der Login-Versuch erscheint, können unterschiedliche Zugriffsvoraussetzungen festgelegt werden. Wenn sich der User z. B. von einem vertrauenswürdigen Gerät auf dem Firmengelände einloggt, erfüllt er möglicherweise die Voraussetzungen für „geringes Risiko“ und muss seine Identität nur mit passwortloser Authentifizierung verifizieren.

Versucht der User hingegen, sich von einem neuen Gerät und einer verdächtigen IP-Adresse aus einzuloggen, können Sie Multi-Faktor-Authentifizierung oder einen stärkeren Sicherheitsfaktor wie WebAuthn verlangen oder den Zugriff sogar ganz blockieren.

Unternehmen nutzen Conditional Access, um besser zu kontrollieren, wer auf ihre Ressourcen und ihre sensiblen Informationen zugreifen kann. Indem sie festlegen, wie User in unterschiedlichen Kontexten auf diese Daten zugreifen können, schaffen Sie ein hochsicheres System, das die UX vertrauenswürdiger User nicht beeinträchtigt.

Wie funktioniert ein Conditional-Access-System?

Wie ermöglichen Ihnen Conditional-Access-Systeme diese feingranulare Kontrolle? Vereinfacht ausgedrückt, funktionieren Conditional-Access-Systeme, indem sie verschiedene kontextbezogene Datensignale während eines Login-Versuchs sammeln und auf der Grundlage zuvor definierter Voraussetzungen entscheiden, welche Art von Zugriff gewährt werden soll.

Es gibt eine Reihe verschiedener Signale, die berücksichtigt werden können. Zum Beispiel:

• Standortinformationen – Von wo aus loggt sich der User ein? Ist es ein Ort, von dem aus er sich normalerweise nicht einloggen würde?
• Rolle – Für User mit Zugriff auf vertrauliche Inhalte braucht es eine stärkere Authentifizierung
• IP-Adresse und Netzwerk – Versuchen User, von einer verdächtigen IP-Adresse aus zuzugreifen?
• Gerät – Handelt es sich um ein neues Gerät oder um eines, das schon einmal für einen Login verwendet wurde?
• Browser – Handelt es sich um einen bekannten und vertrauenswürdigen Browser? Oder wurde er vom Unternehmen wegen Sicherheitsbedenken verboten?
• Betriebssystem (OS)

Anhand dieser Signale wird das Risiko jedes Login-Versuchs bewertet, und auf der Grundlage Ihrer Conditional Access Policies kann entsprechend darauf reagiert werden. Das Spektrum reicht dabei von der Gewährung des Zugriffs mit minimaler Authentifizierung bis hin zum vollständigen Blockieren des Zugriffs.

Was Conditional Access wirklich wertvoll macht, ist die Tatsache, dass es zwischen diesen beiden Extremen viele Nuancen gibt. Sie können bei wenig risikoreichen Login-Versuchen beschränkten Zugriff gewähren, vom User Authentifizierung via MFA oder WebAuthn verlangen oder ihn auffordern, sein Passwort zurückzusetzen, bevor er fortfahren kann. Ihre Access Policies bestimmen den Risikograd – und der Risikograd bestimmt, wie das System und Ihre User reagieren.

Was sollten Sie in Ihrer Conditional Access Policy berücksichtigen?

Welche Faktoren berücksichtigt werden und in welchem Umfang Zugriff gewährt wird, wird durch das Conditional-Access-System automatisiert und vom Unternehmen, das es verwendet, festgelegt. Sie tun dies, indem sie eine Reihe von Conditional Access Policies definieren, sprich: „Wenn-Dann“-Anweisungen, die die Zugangsvoraussetzungen für ihre Anwendungen festlegen.

Zum Beispiel: Wenn der User, der sich einloggt, die Rolle eines Administrators hat, dann muss er sich über MFA authentifizieren, um Zugriff zu erhalten. Wenn sich dieser User in den Vereinigten Staaten befindet, obwohl Ihr Unternehmen dort nicht tätig ist, dann muss er sich über einen noch stärkeren Faktor, wie FIDO2.0, authentifizieren. Oder Sie können den Zugriff ganz blockieren, außer wenn der Login-Versuch von einem vertrauenswürdigen Gerät ausgeht – dann kann der User die Authentifizierung fortsetzen.

Wie Sie sehen, kann Ihr Unternehmen Access Policies festlegen, die genau so viele Fälle abdecken, wie Sie benötigen, um die Sicherheit in jeder Situation zu gewährleisten. Ob die festgelegten Voraussetzungen erfüllt werden oder nicht, entscheidet darüber, ob der Zugriff auf Ihre Systeme gewährt oder blockiert wird.

Braucht mein Unternehmen Conditional Access?

85 % der Arbeitnehmer, die von zu Hause aus arbeiten, wünschen sich ein hybrides Arbeitsumfeld. 50 der größten britischen Arbeitgeber planen nicht mit einer Rückkehr ins Büro. Die Modelle „Remote Work“ und „Arbeit von zu Hause“ setzen sich in der britischen Unternehmenslandschaft immer mehr durch. Arbeitnehmer wollen an den Orten und zu den Zeiten arbeiten, die für sie am günstigsten sind, um ihre Produktivität zu maximieren.

Mit einem Conditional-Access-System wird Ihr Unternehmen in der Lage sein:

• die Sicherheit nachhaltig zu verbessern, da Daten und User-Accounts auf der Grundlage von Standort, Risiko und anderen kontextbezogenen Faktoren geschützt sind
• Mitarbeiter von jedem Ort aus sicher arbeiten zu lassen
• die UX zu verbessern, indem Sie nur bei Login-Versuchen mit mittlerem und hohem Risiko eine zusätzliche Verifizierung verlangen
• Compliance mit Datenschutz- und Informationssicherheitsvorgaben nachzuweisen
• seinen Partnern und Third-Party-Usern Zugriff auf genau die Ressourcen zu ermöglichen, die sie benötigen, ohne Schwachstellen im Netzwerk zu hinterlassen, die ausgenutzt werden können

In dieser zunehmend digitalen Welt müssen Unternehmen die Balance finden zwischen einer überall reibungslosen User-Experience für ihre Mitarbeiter und einem starken Security-Standing, bei dem böswillige Akteure nicht durchs Raster fallen. An dieser Stelle kommen Conditional-Access-Systeme ins Spiel.

Authentifizierungslösungen wie SSO und MFA machen das Einloggen für alle sicherer – können User, die täglich denselben Prozess durchlaufen, mitunter aber auch frustrieren. Die Risikobewertung im Rahmen des Conditional Access erlaubt es Ihnen, vertrauenswürdigen Personen automatisch leichteren Zugriff zu gewähren und gleichzeitig dafür zu sorgen, dass verdächtige Logins zusätzliche Authentifizierung erfordern.

Welcher Conditional-Access-Provider ist der richtige für Ihr Unternehmen?

Auf dem Markt gibt es mehrere Optionen für Conditional-Access-Systeme, aber viele von ihnen sind insofern limitiert, als dass sie nur in der Lage sind, SSO und MFA für eine begrenzte Anzahl von Anwendungen durchzusetzen.

Im Gegensatz dazu lässt sich Adaptive MFA von Okta in alle Plattformen und Apps integrieren, sodass Sie Ihre Conditional Access Policies lückenlos durchsetzen können. Stärken Sie Ihre User bei jedem Schritt des Authentifizierungsprozesses, indem Sie den Risikograd mit geeigneten Zugriffsentscheidungen für jede einzelne Situation verknüpfen.

Wenn Sie bereit sind, Ihre Mitarbeiter und Ressourcen mit einem Conditional-Access-System vor böswilligen Akteuren zu schützen, können Sie mit einer kostenlosen Testversion von Okta für Ihre Workforce loslegen  – noch heute.