Conditional Access
Richtlinienbasierte Zugriffssteuerung, die Anmeldungen anhand von Bedingungen wie Gerätetyp, Standort und Risikostufe automatisch erlaubt, einschränkt oder blockiert.
Conditional Access bezeichnet ein richtlinienbasiertes Zugriffsmodell, bei dem jede Anmeldung in Echtzeit gegen definierte Bedingungen geprüft wird. Statt allen authentifizierten Nutzern pauschal Zugang zu gewähren, entscheidet das System anhand von Signalen — etwa Gerätetyp, Standort, Risikostufe oder Gruppenzugehörigkeit — ob der Zugriff erlaubt, eingeschränkt oder blockiert wird. In Microsoft Entra ID (ehemals Azure AD) ist Conditional Access die zentrale Steuerungsebene für Zero Trust. Das Konzept existiert auch bei anderen Identity Providern, doch die Microsoft-Implementierung ist im Unternehmensumfeld am weitesten verbreitet.
Funktionsweise
Conditional-Access-Richtlinien folgen einem einfachen Prinzip: Wenn eine Bedingung zutrifft, dann wird eine Aktion ausgeführt. Die Bedingungen (Signals) umfassen unter anderem Benutzer- und Gruppenzugehörigkeit, IP-Standort, Geräteplattform und Compliancestatus, Anmelderisiko (berechnet durch Identity Protection) sowie die Zielanwendung.
Auf Basis dieser Signale kann die Richtlinie den Zugriff gewähren, MFA erzwingen, den Zugriff auf verwaltete Geräte beschränken oder die Anmeldung vollständig blockieren. Die Auswertung erfolgt nach der primären Authentifizierung — Conditional Access ersetzt also nicht die Anmeldung, sondern ergänzt sie um eine kontextabhängige Entscheidungsschicht. Mehrere Richtlinien können gleichzeitig greifen, wobei die restriktivste Aktion Vorrang hat.
Typische Richtlinien
In der Praxis bilden wenige Kernrichtlinien das Fundament einer sicheren Konfiguration. MFA für alle Nutzer schließt den häufigsten Angriffsvektor — kompromittierte Zugangsdaten durch Phishing — erheblich. Die Einschränkung auf verwaltete und compliant gepatchte Geräte verhindert, dass unkontrollierte Endgeräte auf Unternehmensressourcen zugreifen.
Standortbasierte Richtlinien können Anmeldungen aus Ländern blockieren, in denen das Unternehmen nicht tätig ist. Risikobasierte Richtlinien reagieren dynamisch auf verdächtige Anmeldemuster — etwa Anmeldungen aus ungewöhnlichen Regionen oder von Geräten mit bekannter Malware. Für privilegierte Konten empfiehlt sich eine zusätzliche Verschärfung: PAM-Richtlinien können den Zugriff auf administrative Portale auf dedizierte Workstations beschränken und zusätzliche Authentifizierungsstärke verlangen.
Conditional Access und Zero Trust
Conditional Access ist ein zentraler Baustein jeder Zero-Trust-Architektur. Das Prinzip "Never trust, always verify" wird durch Conditional Access operationalisiert: Jeder Zugriff wird kontextabhängig bewertet, unabhängig davon, ob er aus dem Unternehmensnetz oder von extern erfolgt.
In Kombination mit Gerätecompliance und Identity and Access Management entsteht eine adaptive Zugriffssteuerung, die das Sicherheitsniveau an die jeweilige Situation anpasst. Ein Nutzer am verwalteten Firmengerät im Büro erhält direkten Zugriff, derselbe Nutzer am privaten Smartphone muss zusätzliche Faktoren nachweisen oder wird auf einen eingeschränkten Funktionsumfang beschränkt. Ohne Conditional Access bleibt Zero Trust ein Konzept ohne Durchsetzungsmechanismus.
Häufige Fehlkonfigurationen
In der Praxis finden sich regelmäßig dieselben Fehler. Zu weit gefasste Ausnahmen — etwa für die gesamte IT-Abteilung oder für Breakglass-Konten ohne Monitoring — untergraben die gesamte Richtlinienstruktur. Richtlinien im reinen Report-Only-Modus, die nie in den erzwingenden Modus überführt werden, bieten keinen tatsächlichen Schutz.
Fehlende Abdeckung von Legacy-Authentifizierungsprotokollen wie SMTP, IMAP oder POP3 erlaubt es Angreifern, Conditional Access vollständig zu umgehen — diese Protokolle unterstützen kein MFA und werden häufig für Credential-Stuffing-Angriffe missbraucht. Zu granulare Richtlinien mit hunderten Einzelregeln führen zu Konflikten und erschweren die Wartung erheblich. Breakglass-Konten sind notwendig, müssen aber durch SIEM-gestützte Überwachung und Alerting abgesichert werden, damit jede Nutzung sofort auffällt.
Relevanz für KMUs
Die meisten KMUs nutzen bereits Microsoft 365 und Entra ID — Conditional Access ist also technisch verfügbar, wird aber häufig nicht oder nur rudimentär konfiguriert. Schon mit wenigen Richtlinien lässt sich das Sicherheitsniveau erheblich steigern: MFA für alle Nutzer, Blockierung von Legacy-Authentifizierung und Einschränkung auf verwaltete Geräte.
Diese drei Maßnahmen adressieren die häufigsten Angriffsvektoren gegen Active Directory und Cloud-Identitäten, ohne zusätzliche Lizenzen oder komplexe Infrastruktur zu erfordern. Ein häufiger Fehler ist, MFA nur für Administratoren zu aktivieren — gerade reguläre Nutzerkonten sind das bevorzugte Ziel für Phishing und Lateral Movement. Ein strukturiertes Conditional-Access-Assessment identifiziert Lücken in der bestehenden Konfiguration und liefert einen priorisierten Maßnahmenplan.