Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Startseite Glossar Access Control / Least Privilege
Glossar, ISMS / Zugriffsmanagement / Compliance

Access Control / Least Privilege

Englisch: Access Control / Principle of Least Privilege

Zuletzt aktualisiert: Mai 2026
Lesedauer: ca. 5 Minuten

Access Control / Least Privilege bezeichnet die Gesamtheit der organisatorischen und technischen Maßnahmen, die regeln, welche Identität, Benutzer, Prozess oder Dienst, auf welche Ressource unter welchen Bedingungen zugreifen darf. ISO/IEC 27001:2022 Annex A 5.15 verpflichtet ISMS-zertifizierte Organisationen, ein risikobasiertes Zugriffskontrollkonzept zu definieren und umzusetzen. Das Least-Privilege-Prinzip (Prinzip der geringsten Privilegien) ist der normative Grundsatz dieses Konzepts: Jede Identität erhält ausschließlich die minimalen Rechte, die zur Erfüllung der ihr zugewiesenen Aufgabe notwendig sind, und keine darüber hinausgehenden.

Normative Grundlage: NIST SP 800-53 Rev. 5, Control AC-6 (Least Privilege); ISO/IEC 27001:2022 Annex A 5.15 (Access Control)

Hintergrund und normative Einordnung

Zugriffskontrolle ist kein neues Konzept, aber ihre normative Verbindlichkeit ist in den vergangenen Jahren deutlich gestiegen. Bereits in frühen IT-Sicherheitsmodellen, dem Bell-LaPadula-Modell (MAC, 1973) und dem Graham-Denning-Modell (DAC, 1972), wurden die theoretischen Grundlagen für Mandatory Access Control und Discretionary Access Control gelegt. Das Role-Based Access Control (RBAC)-Modell, formalisiert durch NIST in SP 800-207 und NIST RBAC-Standards, wurde zum Industriestandard und ist heute in nahezu allen Enterprise-Infrastrukturen das operative Fundament. Neuere Modelle, Attribute-Based Access Control (ABAC, definiert in NIST SP 800-162) und Policy-Based Access Control (PBAC), ermöglichen granularere, kontextabhängige Zugriffsentscheidungen und bilden die technische Basis für Zero-Trust-Architekturen nach NIST SP 800-207. Das Least-Privilege-Prinzip durchzieht alle diese Modelle als universeller Grundsatz: Zugriff ist immer die Ausnahme, nicht die Regel.

In der deutschen Compliance-Landschaft ist Zugriffskontrolle über mehrere Regelwerke verbindlich verankert. BSI IT-Grundschutz Baustein ORP.4 (Identitäts- und Berechtigungsmanagement, Edition 2023) ist ein MUSS-Baustein für alle Organisationen, die nach IT-Grundschutz vorgehen, und behandelt den vollständigen Identity-Lifecycle: Vergabe, Änderung und Entzug von Zugriffsrechten, Trennung administrativer und produktiver Konten sowie die regelmäßige Überprüfung von Berechtigungen. ISO/IEC 27001:2022 adressiert Zugriffskontrolle über sechs Annex-A-Controls: 5.15 (Access Control), 5.16 (Identity Management), 5.17 (Authentication Information), 5.18 (Access Rights), 8.2 (Privileged Access Rights) und 8.3 (Information Access Restriction). NIS-2 (Richtlinie 2022/2555, Art. 21 Abs. 2 lit. i) verpflichtet wesentliche und wichtige Einrichtungen zu expliziten Konzepten für Zugriffskontrolle und Anlagenmanagement. KRITIS-Betreiber unterliegen nach §8a BSIG zusätzlich der Anforderung, den Stand der Technik einzuhalten, zu dem Zugriffskontrollmaßnahmen gehören. Organisationen, die eine ISO 27001 Zertifizierung anstreben, müssen alle sechs zugriffsbezogenen Annex-A-Controls im Statement of Applicability bewerten und mit Implementierungsnachweisen belegen.

Normative Bezüge:

ISO/IEC 27001:2022 Annex A 5.15 (Access Control) ISO/IEC 27001:2022 Annex A 5.18 (Access Rights) ISO/IEC 27001:2022 Annex A 8.2 (Privileged Access Rights) NIST SP 800-53 Rev. 5, AC-6 (Least Privilege) BSI IT-Grundschutz ORP.4 (Edition 2023) NIS-2 Art. 21 Abs. 2 lit. i

Vorgehen in der Praxis

Die Implementierung eines normkonformen Zugriffskontrollkonzepts folgt einem vierstufigen Ablauf, der auf den Anforderungen von ISO/IEC 27001:2022 Annex A 5.15–5.18 und 8.2–8.3, BSI IT-Grundschutz ORP.4 (Edition 2023) sowie NIST SP 800-53 Rev. 5 Controls AC-2, AC-3, AC-5 und AC-6 aufbaut. Der Ablauf gilt unabhängig davon, ob die Organisation nach ISO 27001 zertifiziert ist oder NIS-2-Pflichten unterliegt.

1
Inventur: Identitäten, Rollen und Ressourcen erfassen Alle Identitäten werden vollständig inventarisiert: menschliche Benutzerkonten (reguläre Mitarbeiter, Administratoren, externe Dienstleister), Service-Accounts, Maschinenidentitäten (API-Keys, Zertifikate, Deployment-Pipelines) und privilegierte Konten. Parallel werden schutzbedürftige Ressourcen klassifiziert (Systeme, Anwendungen, Daten, Netzwerksegmente) und der tatsächliche Zugriffsbedarf je Rolle ermittelt. BSI ORP.4 verlangt, dass Benutzer-Identifikationen eindeutig einer natürlichen Person zugeordnet sein müssen; gemeinsam genutzte Accounts (Shared Accounts) sind zu eliminieren. Das Ergebnis ist eine dokumentierte Identitäts- und Ressourcenmatrix als Basis für das Rollenkonzept.
2
Konzept definieren: RBAC-Modell mit Least-Privilege-Grundsatz Auf Basis der Inventur wird ein Rollenkonzept nach dem RBAC-Prinzip (Role-Based Access Control) erarbeitet: Rollen werden anhand von Aufgabenprofilen definiert, nicht nach Einzelpersonen. Jede Rolle erhält ausschließlich die Rechte, die zur Erfüllung der zugehörigen Aufgaben notwendig sind, Least Privilege nach NIST SP 800-53 AC-6. Für komplexere Umgebungen kann ABAC (Attribute-Based Access Control) nach NIST SP 800-162 zusätzliche Granularität liefern, insbesondere bei kontextabhängigen Zugriffsanforderungen (Standort, Gerätetyp, Tageszeit). Das Konzept regelt außerdem die Trennung von Rollen mit Interessenkonfliktpotenzial (Separation of Duties, NIST AC-5): kein Benutzer darf gleichzeitig Transaktionen anlegen und genehmigen. ISO/IEC 27001:2022 Annex A 5.15 und 5.18 verlangen die Dokumentation des Zugriffskontrollkonzepts und des Prozesses für Rechtevergabe, -änderung und -entzug im ISMS.
3
PAM einführen: Privilegierte Zugriffe gesondert absichern Privilegierte Konten, Domänen-Administratoren, lokale Administratoren, Root-Accounts, Service-Accounts mit erhöhten Rechten, erfordern nach ISO/IEC 27001:2022 Annex A 8.2 (Privileged Access Rights) und BSI ORP.4 eine gesonderte Behandlung. MITRE ATT&CK Mitigation M1026 (Privileged Account Management) empfiehlt: (1) Trennung privilegierter und regulärer Benutzerkonten, Administratoren verwenden für die tägliche Arbeit unprivilegierte Konten und eskalieren nur bei Bedarf. (2) Privileged Access Management (PAM)-Systeme für Passwort-Vaulting, Session-Recording und Just-in-Time-Zugriffsgewährung. (3) Multi-Faktor-Authentifizierung ist für alle privilegierten Konten Pflicht (ISO/IEC 27001:2022 Annex A 5.17, NIS-2 Art. 21 Abs. 2). (4) Service-Accounts erhalten dedizierte, nicht-interaktive Konten mit minimalem Berechtigungsumfang und definiertem Lifecycle. NIST SP 800-207 (Zero Trust Architecture) empfiehlt zusätzlich Just-in-Time-Access: privilegierte Rechte werden nur für die Dauer der benötigten Aufgabe gewährt und automatisch entzogen.
4
Re-Zertifizierung und Audit: Berechtigungen regelmäßig überprüfen Erteilte Berechtigungen driften ohne aktives Management mit der Zeit vom Least-Privilege-Grundsatz ab (Right-Drift). ISO/IEC 27001:2022 Annex A 5.18 (Access Rights) und BSI ORP.4 verlangen die regelmäßige Überprüfung vergebener Zugriffsrechte, mindestens jährlich, bei privilegierten Konten häufiger. Der Joiner-Mover-Leaver-Prozess (JML) regelt: (1) Neue Mitarbeiter erhalten nur die für ihre Rolle notwendigen Rechte (Joiner). (2) Bei Rollenwechsel werden Altrechte entzogen und neue Rechte vergeben, kein kumulatives Aufaddieren (Mover). (3) Bei Austritt werden alle Zugriffsrechte unverzüglich gesperrt und Konten deaktiviert (Leaver). MITRE ATT&CK Mitigation M1018 (User Account Management) betont die Notwendigkeit eines formalisierten Account-Lifecycle-Prozesses. Audit-Logs aller Zugriffe werden nach ISO/IEC 27001:2022 Annex A 8.15 (Logging) revisionssicher gespeichert und regelmäßig ausgewertet.

BSI IT-Grundschutz ORP.4 verlangt, dass jeder Benutzer eine eindeutig zuordenbare Identifikation besitzt und Berechtigungen ausschließlich auf der Basis des dokumentierten Minimalbedarfs vergeben werden, Shared Accounts und generische Administrations-Logins sind mit diesem Grundsatz unvereinbar.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu Access Control / Least Privilege
Authentifizierung (Authentication) Identitätsprüfung: Wer bist du? Authentifizierung und Zugriffskontrolle sind aufeinanderfolgende, nicht austauschbare Konzepte. Authentifizierung klärt, ob eine Identität die ist, die sie behauptet zu sein (Passwort, MFA, Zertifikat). Zugriffskontrolle (Autorisierung) entscheidet danach, was diese verifizierte Identität tun darf. Ohne erfolgreiche Authentifizierung findet keine Zugriffskontrolle statt, umgekehrt ist eine erfolgreiche Authentifizierung keine Garantie für Zugriffsberechtigung. ISO/IEC 27001:2022 behandelt Authentifizierung in Annex A 5.17 (Authentication Information) und 8.5 (Secure Authentication), Autorisierung in 5.15 (Access Control) und 5.18 (Access Rights).
Identity Management (Identitätsmanagement) Verwaltung des vollständigen Lebenszyklus von Identitäten Identity Management umfasst die Erstellung, Pflege und Löschung von Identitäten im gesamten Lebenszyklus (Joiner-Mover-Leaver). Zugriffskontrolle ist der davon abhängige Prozess: erst wenn eine Identität existiert und verwaltet wird, können ihr Zugriffsrechte zugewiesen werden. ISO/IEC 27001:2022 Annex A 5.16 (Identity Management) und 5.15 (Access Control) sind konzeptionell getrennte, aber eng verzahnte Controls. BSI ORP.4 behandelt beide Aspekte integriert unter dem Begriff Identitäts- und Berechtigungsmanagement.
Privileged Access Management (PAM) Spezialisierte Disziplin für die Absicherung privilegierter Konten PAM ist eine Teilmenge der Zugriffskontrolle, die sich ausschließlich auf Accounts mit erhöhten Rechten konzentriert, Administratoren, Root-Accounts, Service-Accounts. Während Access Control alle Identitäten und Ressourcen umfasst, adressiert PAM gezielt die höchste Risikoklasse: privilegierte Konten, die bei Kompromittierung maximalen Schaden anrichten können. ISO/IEC 27001:2022 Annex A 8.2 (Privileged Access Rights) ist der normative Anker für PAM im ISMS. MITRE ATT&CK Mitigation M1026 zeigt, dass PAM-Schwächen direkt in Privilege-Escalation-Angriffe (Taktik TA0004) münden.
Auditing / Logging Nachweis: Was hat eine Identität getan? Auditing schließt das AAA-Tripel (Authentication, Authorization, Accounting) nach der Zugriffskontrolle ab: es dokumentiert, welche Identität zu welchem Zeitpunkt auf welche Ressource zugegriffen hat. Zugriffskontrolle verhindert unerlaubten Zugriff, Auditing erbringt den Nachweis für erlaubten und unerlaubten Zugriff gleichermaßen. ISO/IEC 27001:2022 Annex A 8.15 (Logging) und 8.16 (Monitoring Activities) sind die normativen Grundlagen für Audit-Logs im ISMS-Kontext.

Typische Fehler und wie ihr sie vermeidet

  • Right-Drift: Berechtigungen kumulieren über die Karriere: Bei jedem Stellenwechsel erhalten Mitarbeiter neue Rechte für die neue Rolle, ohne dass Altrechte aus früheren Positionen entzogen werden. Nach einigen Jahren verfügt ein Mitarbeiter damit über akkumulierte Zugriffsrechte aus allen bisherigen Tätigkeiten, die weit über das Least-Privilege-Prinzip hinausgehen. BSI ORP.4 verlangt die explizite Dokumentation und regelmäßige Überprüfung von Zugriffsrechten; ISO/IEC 27001:2022 Annex A 5.18 fordert einen formalisierten Prozess für Rechteentzug bei Rollenwechsel. Ohne einen gesteuerten Mover-Prozess im Joiner-Mover-Leaver-Framework ist Right-Drift systematisch vorprogrammiert.
  • Admin-Konten als Standard-Arbeitsaccount: Administratoren melden sich täglich mit ihrem privilegierten Admin-Account an und erledigen auch reguläre Arbeitsaufgaben, E-Mail, Browsernutzung, Dokumentenbearbeitung, unter diesem Account. Jede Phishing-Mail, jede kompromittierte Webseite, jede manipulierte Datei, die in dieser Session geöffnet wird, läuft unmittelbar mit Administratorrechten. MITRE ATT&CK Mitigation M1026 (Privileged Account Management) und ISO/IEC 27001:2022 Annex A 8.2 verlangen die strikte Trennung privilegierter und regulärer Konten: Administratoren verwenden für die tägliche Arbeit unprivilegierte Accounts und eskalieren nur für konkrete administrative Aufgaben. BSI ORP.4 nennt die Trennung administrativer und produktiver Konten als explizite Anforderung.
  • Fehlende Re-Zertifizierung: Zugriffsrechte werden nie überprüft: Einmal vergebene Berechtigungen bleiben dauerhaft bestehen, weil kein Prozess existiert, der sie regelmäßig validiert. Mitarbeiter, die das Unternehmen verlassen haben, behalten aktive Konten; Konten von externen Dienstleistern bleiben nach Projektende offen; Service-Accounts aus abgelösten Projekten existieren weiter. ISO/IEC 27001:2022 Annex A 5.18 und BSI ORP.4 verlangen explizit die regelmäßige Überprüfung aller Zugriffsrechte. MITRE ATT&CK weist Valid Accounts (T1078), also die Nutzung legitimer, aber nicht mehr benötigter Konten, als einen der meistgenutzten Initial-Access-Vektoren aus.
  • Service-Accounts ohne Lifecycle und mit überhöhten Rechten: Service-Accounts, für Anwendungen, Backup-Jobs, Monitoring-Agenten, Deployment-Pipelines, werden mit überhöhten Rechten ausgestattet (häufig Domain-Admin oder lokaler Administrator) und anschließend nie wieder überprüft. Passwörter werden selten rotiert, der Eigentümer des Accounts ist unbekannt, und bei Systemablösung wird der Account nicht deaktiviert. NIST SP 800-53 Rev. 5 Control AC-2 (Account Management) verlangt die vollständige Dokumentation aller Accounts inklusive Service-Accounts sowie die Definition von Verantwortlichen. ISO/IEC 27001:2022 Annex A 8.2 (Privileged Access Rights) schließt Service-Accounts mit erhöhten Rechten explizit ein. MITRE ATT&CK Mitigation M1026 empfiehlt für Service-Accounts dedizierte, nicht-interaktive Konten mit minimalem Berechtigungsumfang und erzwungener Passwortrotation.

Relevanz im regulatorischen Kontext

Die Richtlinie (EU) 2022/2555 (NIS-2) macht Zugriffskontrolle zu einer expliziten Rechtspflicht für wesentliche und wichtige Einrichtungen. Artikel 21 Absatz 2 Buchstabe i verlangt Konzepte und Verfahren für den Einsatz von Zugriffskontrolle und Anlagenmanagement. Buchstabe j fordert den Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung für alle schutzbedürftigen Zugangswege, was privilegierte Accounts und Remote-Zugänge einschließt. Organisationen, die unter NIS-2 fallen, müssen dokumentieren, wie ihr Zugriffskontrollkonzept diese Anforderungen erfüllt. DSGVO Art. 32 Abs. 1 lit. b konkretisiert für die Verarbeitung personenbezogener Daten die Pflicht zu technisch-organisatorischen Maßnahmen, zu denen Zugriffskontrolle und Pseudonymisierung gehören, eine fehlende oder mangelhafte Zugriffskontrolle auf personenbezogene Daten kann nach Art. 83 DSGVO bußgeldpflichtig sein.

Für KRITIS-Betreiber ist nach §8a BSIG der Stand der Technik verbindlich, zu dem umfassende Zugriffskontrolle nach ISO/IEC 27001:2022 Annex A 5.15–5.18 und 8.2–8.3 sowie BSI IT-Grundschutz ORP.4 gehören. ISO/IEC 27001-zertifizierte Organisationen sind verpflichtet, alle sechs zugriffsbezogenen Annex-A-Controls (5.15, 5.16, 5.17, 5.18, 8.2, 8.3) im Statement of Applicability (SoA) zu bewerten, zu begründen und ihre Implementierung nachzuweisen. Für die Zertifizierungs-Auditierung bedeutet das: Access-Control-Policy, dokumentierter Prozess für Rechtevergabe/-änderung/-entzug, Nachweise für Re-Zertifizierungszyklen und PAM-Implementierungsnachweise sind prüfungsrelevante Dokumente. NIST SP 800-53 Rev. 5 Access-Control-Familie (AC-1 bis AC-25) gilt für US-Bundesbehörden verbindlich und ist international ein anerkannter Referenzrahmen für die Ausgestaltung von Zugriffskontrollmaßnahmen.

Häufige Fragen

Was ist das Least-Privilege-Prinzip?
Das Least-Privilege-Prinzip (Prinzip der geringsten Privilegien) besagt, dass jede Identität, Benutzer, Prozess oder Dienst, ausschließlich die minimalen Rechte erhalten soll, die zur Erfüllung der zugewiesenen Aufgabe notwendig sind. NIST SP 800-53 Rev. 5 Control AC-6 definiert es als: „each entity is granted the minimum system resources and authorizations that the entity needs to perform its function." Das Prinzip ist kein optionaler Sicherheitswunsch, sondern normativer Bestandteil von ISO/IEC 27001:2022 Annex A 5.15 (Access Control) und BSI IT-Grundschutz ORP.4. Seine Missachtung, etwa durch überhöhte Rechte für Service-Accounts oder kumulierte Altrechte nach Rollenwechseln, ist einer der meistgenutzten Angriffsvektoren für Privilege-Escalation-Techniken nach MITRE ATT&CK Taktik TA0004.
RBAC oder ABAC, welches Modell ist das richtige?
RBAC (Role-Based Access Control) ist der bewährte Industriestandard und für die meisten Organisationen der richtige Ausgangspunkt: Rechte werden Rollen zugeordnet, Rollen werden Identitäten zugewiesen, das ist administrierbar, auditierbar und ISO/IEC 27001-konform. ABAC (Attribute-Based Access Control, formalisiert in NIST SP 800-162) ist sinnvoll, wenn Zugriffsrechte von mehreren Kontextfaktoren abhängen sollen, Standort des Nutzers, Gerätezustand, Tageszeit, Datensensitivität. ABAC bildet die Grundlage für Zero-Trust-Architekturen nach NIST SP 800-207, die jeden Zugriff dynamisch und kontextabhängig autorisieren. Die Wahl des Modells folgt dem Risikoprofil der Organisation: RBAC für standardisierbare Rollen, ABAC oder hybride Modelle für hochkomplexe, kontext-sensitive Umgebungen.
Wie oft müssen Zugriffsrechte re-zertifiziert werden?
ISO/IEC 27001:2022 Annex A 5.18 (Access Rights) schreibt vor, dass Zugriffsrechte regelmäßig überprüft werden müssen, legt aber kein festes Intervall fest. Als anerkannter Mindeststandard gilt: reguläre Benutzerkonten mindestens jährlich, privilegierte Konten halbjährlich oder quartalsweise, Konten externer Dienstleister projektgebunden und unmittelbar nach Projektende. BSI IT-Grundschutz ORP.4 verlangt explizit die regelmäßige Überprüfung und Anpassung vergebener Berechtigungen. Entscheidend ist, dass ein dokumentierter, nachweisbarer Prozess existiert, die Frequenz muss risikobasiert begründet sein und im ISMS dokumentiert vorliegen, damit sie einer ISO-27001-Auditprüfung standhält.

Quellen & weiterführende Literatur

  1. NIST Special Publication 800-53 Revision 5, Security and Privacy Controls for Information Systems and Organizations (Controls AC-2, AC-3, AC-5, AC-6)
  2. NIST CSRC Glossary, Least Privilege (Definition, Quellennachweis SP 800-53 Rev. 5, CNSSI 4009-2015)
  3. NIST Special Publication 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations
  4. NIST Special Publication 800-207, Zero Trust Architecture
  5. BSI IT-Grundschutz Kompendium, Baustein ORP.4 Identitäts- und Berechtigungsmanagement (Edition 2023)
  6. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates (NIS-2-Richtlinie), Artikel 21 Absatz 2
  7. DSGVO, Verordnung (EU) 2016/679, Artikel 32 (Sicherheit der Verarbeitung)
  8. MITRE ATT&CK, Mitigation M1026: Privileged Account Management
  9. MITRE ATT&CK, Mitigation M1018: User Account Management