Conditional Access: Definition, Vorteile und wie es funktioniert
- Was ist Conditional Access?
- Wie funktioniert ein Conditional-Access-System?
- Die wichtigsten Vorteile der Implementierung von Conditional Access
- Was sollten Sie in Ihrer Conditional Access Policy berücksichtigen?
- Braucht mein Unternehmen Conditional Access?
- Wie wählen Sie den richtigen Conditional-Access-Provider für Ihr Unternehmen aus?
Was ist Conditional Access?
Täglich greifen Mitarbeiter an Hunderten von Standorten auf die Anwendungen und Ressourcen Ihres Unternehmens zu. Gleichzeitig suchen Hacker und andere Cyberkriminelle nach Möglichkeiten, auf Ihre sensiblen Daten zuzugreifen, und versuchen dabei, Schwachstellen in Ihrem Authentifizierungsverfahren auszunutzen.
Conditional Access ist eine der wirksamsten Methoden zum Schutz Ihrer Endanwender und Daten in der dynamischen Arbeitswelt von heute. Ein Conditional-Access-System gibt Administratoren feingranulare Kontrolle über den Umfang des Zugriffs, den User auf Ihre Software haben – basierend auf dem Kontext, in dem sie versuchen, sich einzuloggen.
Je nachdem, wie riskant der Login-Versuch erscheint, können unterschiedliche Zugriffsvoraussetzungen festgelegt werden. Wenn sich der User z. B. von einem vertrauenswürdigen Gerät auf dem Firmengelände einloggt, erfüllt er möglicherweise die Voraussetzungen für „geringes Risiko“ und muss seine Identität nur mit passwortloser Authentifizierung verifizieren.
Versucht der User hingegen, sich von einem neuen Gerät und einer verdächtigen IP-Adresse aus einzuloggen, können Sie Multi-Faktor-Authentifizierung oder einen stärkeren Sicherheitsfaktor wie WebAuthn verlangen oder den Zugriff sogar ganz blockieren.
Unternehmen nutzen Conditional Access, um besser zu kontrollieren, wer auf ihre Ressourcen und ihre sensiblen Informationen zugreifen kann. Indem sie festlegen, wie User in unterschiedlichen Kontexten auf diese Daten zugreifen können, schaffen Sie ein hochsicheres System, das die UX vertrauenswürdiger User nicht beeinträchtigt.
Wie funktioniert ein Conditional-Access-System?
Wie ermöglichen Ihnen Conditional-Access-Systeme diese feingranulare Kontrolle? Vereinfacht ausgedrückt, funktionieren Conditional-Access-Systeme, indem sie verschiedene kontextbezogene Datensignale während eines Login-Versuchs sammeln und auf der Grundlage zuvor definierter Voraussetzungen entscheiden, welche Art von Zugriff gewährt werden soll.
Es gibt eine Reihe verschiedener Signale, die berücksichtigt werden können. Zum Beispiel:
- Standortinformationen – Von wo aus loggt sich der User ein? Ist es ein Ort, von dem aus er sich normalerweise nicht einloggen würde?
- Rolle – Für User mit Zugriff auf vertrauliche Inhalte braucht es eine stärkere Authentifizierung
- IP-Adresse und Netzwerk – Versuchen User, von einer verdächtigen IP-Adresse aus zuzugreifen?
- Gerät – Handelt es sich um ein neues Gerät oder um eines, das schon einmal für einen Login verwendet wurde?
- Browser – Handelt es sich um einen bekannten und vertrauenswürdigen Browser? Oder wurde er vom Unternehmen wegen Sicherheitsbedenken verboten?
- Betriebssystem (OS)
Anhand dieser Signale wird das Risiko jedes Login-Versuchs bewertet, und auf der Grundlage Ihrer Conditional Access Policies kann entsprechend darauf reagiert werden. Das Spektrum reicht dabei von der Gewährung des Zugriffs mit minimaler Authentifizierung bis hin zum vollständigen Blockieren des Zugriffs.
Was Conditional Access wirklich wertvoll macht, ist die Tatsache, dass es zwischen diesen beiden Extremen viele Nuancen gibt. Sie können bei wenig risikoreichen Login-Versuchen beschränkten Zugriff gewähren, vom User Authentifizierung via MFA oder WebAuthn verlangen oder ihn auffordern, sein Passwort zurückzusetzen, bevor er fortfahren kann. Ihre Access Policies bestimmen den Risikograd – und der Risikograd bestimmt, wie das System und Ihre User reagieren.
Die wichtigsten Vorteile der Implementierung von Conditional Access
Vorteil 1: Erhöhte Sicherheit
Die Verwendung von Conditional Access ermöglicht mehr Flexibilität und Präzision bei der Überprüfung der Benutzerlegitimität. Dies verbessert die Unternehmenssicherheit enorm gegenüber einfachen Zugangskontrollen mit Benutzernamen und Passwort.
Vorteil 2: Beschränkung bestimmter Aktivitäten
Conditional Access dient nicht nur dazu, unbefugte Benutzer von der Anmeldung auszuschließen, sondern auch zur Einschränkung der Aktivitäten, die legitime Benutzer durchführen können.
Vorteil 3: Automatisierung des Zugangsverwaltungsprozesses
Nach der Festlegung aller gewünschten Wenn/Dann-Anweisungen, übernimmt das System automatisiert die Überwachung der kontextbezogenen Faktoren und ergreift selbständig die notwendigen Maßnahmen.
Vorteil 4: Verbessert das Anmeldeerlebnis der Benutzer
Multi-Faktor-Authentifizierung (MFA) ist eine der wirksamsten Methoden, um den Missbrauch von Zugangsdaten zu verhindern, wird aber von Benutzern oft als aufwändig empfunden. Die Verwendung von Conditional Access mit MFA vereinfacht das Benutzererlebnis bei einem hohen Standard an Sicherheit.
Vorteil 5: Setzt das Prinzip der geringsten Privilegien (PoLP) ein
Die Anwendung des Prinzips der geringsten Privilegien ist eine bewährte Sicherheitsmaßnahme. Das bedeutet, dass Benutzern nur die minimal erforderlichen Zugriffsrechte für ihre Aufgaben im System gewährt werden. Nachdem Sie Rollen in Ihrem Identitätsmanagementsystem eingerichtet haben, können Sie den Zugriff basierend auf diesen Rollen steuern.
Was sollten Sie in Ihrer Conditional Access Policy berücksichtigen?
Benutzerrollen und Berechtigungen
Welche Faktoren berücksichtigt werden und in welchem Umfang Zugriff gewährt wird, wird durch das Conditional-Access-System automatisiert und vom Unternehmen, das es verwendet, festgelegt. Sie tun dies, indem sie eine Reihe von Conditional Access Policies definieren, sprich: „Wenn-Dann“-Anweisungen, die die Zugangsvoraussetzungen für ihre Anwendungen festlegen.
Benutzer müssen für den Zugang bestimmte Anforderungen erfüllen. Der kontextabhängige Zugang kann beispielsweise Anmeldeversuche aus Ländern blockieren, in denen sich keine Mitarbeiter aufhalten. Es können auch zusätzliche Überprüfungsfragen gestellt werden, wenn Mitarbeiter ein nicht anerkanntes Gerät verwenden.
Zum Beispiel: Wenn der User, der sich einloggt, die Rolle eines Administrators hat, dann muss er sich über MFA authentifizieren, um Zugriff zu erhalten. Wenn sich dieser User in den Vereinigten Staaten befindet, obwohl Ihr Unternehmen dort nicht tätig ist, dann muss er sich über einen noch stärkeren Faktor, wie FIDO2.0, authentifizieren. Oder Sie können den Zugriff ganz blockieren, außer wenn der Login-Versuch von einem vertrauenswürdigen Gerät ausgeht – dann kann der User die Authentifizierung fortsetzen.
Risikobasierte Zugangskontrollen
Wie Sie sehen, kann Ihr Unternehmen Access Policies festlegen, die genau so viele Fälle abdecken, wie Sie benötigen, um die Sicherheit in jeder Situation zu gewährleisten. Ob die festgelegten Voraussetzungen erfüllt werden oder nicht, entscheidet darüber, ob der Zugriff auf Ihre Systeme gewährt oder blockiert wird.
Conditional Access ermöglicht zusätzlich die Einschränkung bestimmter Aktivitäten von legitimen Benutzern. Je nach der Rolle eines Benutzers im System können Sie den Zugriff auf Daten oder Funktionen ganz oder nur teilweise freigeben. Sie können die Bedingungen auch in einer Kombination verwenden, z. B. die Einschränkung der Berechtigungen auf „Nur anzeigen“, wenn der Benutzer zwar eine bestimmte Rolle innehat, aber sich von einem unbekannten Gerät aus anmeldet.
Braucht mein Unternehmen Conditional Access?
85 % der Arbeitnehmer, die von zu Hause aus arbeiten, wünschen sich ein hybrides Arbeitsumfeld. 50 der größten britischen Arbeitgeber planen nicht mit einer Rückkehr ins Büro. Die Modelle „Remote Work“ und „Arbeit von zu Hause“ setzen sich in der britischen Unternehmenslandschaft immer mehr durch. Arbeitnehmer wollen an den Orten und zu den Zeiten arbeiten, die für sie am günstigsten sind, um ihre Produktivität zu maximieren.
Mit einem Conditional-Access-System wird Ihr Unternehmen in der Lage sein:
- die Sicherheit nachhaltig zu verbessern, da Daten und User-Accounts auf der Grundlage von Standort, Risiko und anderen kontextbezogenen Faktoren geschützt sind
- Mitarbeiter von jedem Ort aus sicher arbeiten zu lassen
- die UX zu verbessern, indem Sie nur bei Login-Versuchen mit mittlerem und hohem Risiko eine zusätzliche Verifizierung verlangen
- Compliance mit Datenschutz- und Informationssicherheitsvorgaben nachzuweisen
- seinen Partnern und Third-Party-Usern Zugriff auf genau die Ressourcen zu ermöglichen, die sie benötigen, ohne Schwachstellen im Netzwerk zu hinterlassen, die ausgenutzt werden können
In dieser zunehmend digitalen Welt müssen Unternehmen die Balance finden zwischen einer überall reibungslosen User-Experience für ihre Mitarbeiter und einem starken Security-Standing, bei dem böswillige Akteure nicht durchs Raster fallen. An dieser Stelle kommen Conditional-Access-Systeme ins Spiel.
Authentifizierungslösungen wie SSO und MFA machen das Einloggen für alle sicherer – können User, die täglich denselben Prozess durchlaufen, mitunter aber auch frustrieren. Die Risikobewertung im Rahmen des Conditional Access erlaubt es Ihnen, vertrauenswürdigen Personen automatisch leichteren Zugriff zu gewähren und gleichzeitig dafür zu sorgen, dass verdächtige Logins zusätzliche Authentifizierung erfordern.
Wie wählen Sie den richtigen Conditional-Access-Provider für Ihr Unternehmen aus?
Auf dem Markt gibt es mehrere Optionen für Conditional-Access-Systeme, aber viele von ihnen sind insofern limitiert, als dass sie nur in der Lage sind, SSO und MFA für eine begrenzte Anzahl von Anwendungen durchzusetzen.
Im Gegensatz dazu lässt sich Adaptive MFA von Okta in alle Plattformen und Apps integrieren, sodass Sie Ihre Conditional Access Policies lückenlos durchsetzen können. Stärken Sie Ihre User bei jedem Schritt des Authentifizierungsprozesses, indem Sie den Risikograd mit geeigneten Zugriffsentscheidungen für jede einzelne Situation verknüpfen.
Wenn Sie bereit sind, Ihre Mitarbeiter und Ressourcen mit einem Conditional-Access-System vor böswilligen Akteuren zu schützen, können Sie mit einer kostenlosen Testversion von Okta für Ihre Workforce loslegen – noch heute.