Was ist bedingter / risikobasierter Zugriff und wie funktioniert er?
Kurzantwort
Bedingter Zugriff macht die Zugriffsentscheidung vom Kontext abhängig statt von einer festen Regel. Er wertet Signale aus — wer der Benutzer ist, Gerätekonformität, Standort, die App und einen aus Anomalieerkennung berechneten Risikowert — und reagiert verhältnismäßig: erlauben, blockieren oder eine Verschärfung wie MFA oder ein konformes Gerät verlangen. Risikobasierter Zugriff ist die dynamische Variante, bei der ein Echtzeit-Risikosignal die Richtlinie steuert.
Eine starre Entscheidung „erlauben, wenn das Passwort korrekt ist" verschenkt Information. Bedingter Zugriff (und sein dynamischer Vetter, der risikobasierte Zugriff) macht die Autorisierungsentscheidung zu einer Funktion des Kontexts, sodass das System nachsichtig sein kann, wenn alles normal aussieht, und streng, wenn nicht.
Wie die Entscheidung getroffen wird
Eine Richtlinien-Engine kombiniert zum Zeitpunkt des Zugriffs Signale:
- Identität — wer ist der Benutzer, welche Gruppe/Rolle.
- Gerät — ist es verwaltet, konform, gepatcht, verschlüsselt?
- Standort und Netzwerk — bekanntes Land, Unternehmens-IP, Prüfungen auf unmögliche Reisen.
- Anwendungssensibilität — Finanz-App vs. Kantinenmenü.
- Risikowert — ein Echtzeitsignal aus der Anomalieerkennung (Treffer geleakter Anmeldedaten, ungewohnte Anmeldemuster, atypische Token-Nutzung).
Die Engine reagiert dann verhältnismäßig: erlauben, blockieren oder verschärfen, indem sie MFA, ein konformes Gerät oder ein Zurücksetzen des Passworts verlangt. Das ist die Durchsetzungsschicht, die Zero Trust praktikabel macht.
Speziell die risikobasierte Authentifizierung
Die risikobasierte Authentifizierung speist einen kontinuierlich berechneten Risikowert in die Richtlinie ein. Eine Anmeldung vom üblichen Gerät und aus der üblichen Stadt des Benutzers läuft glatt durch; dasselbe Konto, das sich plötzlich aus einem neuen Land auf einem nicht verwalteten Gerät authentifiziert, löst MFA oder eine Blockade aus. Der Punkt ist, Reibung nur dort hinzuzufügen, wo die Daten es rechtfertigen.
Die Falle: Reibung und Fehlalarme
Zu aggressive Richtlinien sperren legitime Benutzer aus (einen reisenden Vertriebler, einen VPN-Ausgangsknoten) und brüten Umgehungen aus. Gutes Design nutzt gestaffelte Reaktionen (Verschärfung, keine harte Blockade) und justiert anhand echter Telemetrie, und es bewahrt stets einen Wiederherstellungspfad, damit ein falsches Signal niemanden dauerhaft strandet.
Worauf Interviewer achten: Sie beschreiben Kontextsignale plus verhältnismäßige Reaktionen (erlauben/blockieren/verschärfen), verknüpfen es mit der Zero-Trust-Durchsetzung, und erkennen den Kompromiss zwischen Benutzerfreundlichkeit und Fehlalarmen an.
Wahrscheinliche Anschlussfragen
- Welche Signale würden Sie beim Bewerten des Anmelderisikos gewichten?
- Was ist eine «verschärfte» (Step-up-)Authentifizierung und wann sollte sie auslösen?
- Wie vermeiden Sie es, legitime Benutzer mit zu aggressiven Richtlinien auszusperren?