diff --git a/ops/restore-tests/authelia-restore-test.sh b/ops/restore-tests/authelia-restore-test.sh
index 0ae6acf..b2edb12 100644
--- a/ops/restore-tests/authelia-restore-test.sh
+++ b/ops/restore-tests/authelia-restore-test.sh
@@ -152,7 +152,11 @@ authentication_backend:
       parallelism: 4
 
 access_control:
-  default_policy: bypass
+  # Authelia 4.39 verlangt: wenn KEINE Regeln gesetzt sind, muss default_policy
+  # 'two_factor' oder 'one_factor' sein. 'bypass' ist als Default-Policy ohne
+  # explizite Regeln nicht erlaubt. Fuer den Smoke ist das egal: /api/health
+  # ist ein public Endpunkt und laeuft nicht durch access_control.
+  default_policy: two_factor
 
 regulation:
   max_retries: 3