Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Least Privilege

Was ist Least Privilege?

Das Prinzip der geringsten Rechte (Least Privilege) ist ein zentrales Sicherheitskonzept, das darauf abzielt, Risiken wie Datenlecks, Missbrauch oder laterale Bewegungen im Netzwerk zu minimieren. Dabei erhalten Benutzer, Prozesse, Anwendungen oder Systeme ausschließlich die minimal erforderlichen Berechtigungen, die sie zur Ausführung ihrer jeweiligen Aufgaben benötigen – nicht mehr und nicht weniger.

Dieses Prinzip reduziert die Angriffsfläche erheblich, da kompromittierte Accounts oder Anwendungen in ihrer Wirkung begrenzt bleiben. Least Privilege gilt nicht nur für Endanwender, sondern auch für Service-Accounts, Admin-Zugriffe, APIs und automatisierte Skripte.

Technischer Aufbau & Varianten

Wichtige technische Maßnahmen:

  • Rollenbasierte Zugriffskontrolle (RBAC): Zuweisung spezifischer Rollen mit minimalem Rechteumfang

  • Just-in-Time-Zugriffe (JIT): Temporäre Erhöhung von Berechtigungen bei Bedarf, oft mit Genehmigungsprozess

  • Privileged Access Management (PAM): Verwaltung und Kontrolle besonders sensibler Zugänge

  • Segregation of Duties (SoD): Funktionale Trennung kritischer Aufgaben zur Reduktion von Machtkonzentration

  • Policy-Based Access Control: Feingranulare Definition, welche Aktionen in welchem Kontext erlaubt sind

Automatisierung & Überwachung:

  • Identity Governance and Administration (IGA): Automatisiertes Rollenmanagement, Genehmigungs-Workflows und Audit-Protokolle

  • Access Reviews & Rezertifizierung: Regelmäßige Überprüfung von Berechtigungen

  • Audit Logging: Lückenlose Protokollierung und Anomalieerkennung

Relevanz in der Praxis

Least Privilege ist essenziell, um:

  • Insider-Bedrohungen zu begrenzen

  • Komplexität im Berechtigungsmanagement zu reduzieren

  • Compliance-Anforderungen zu erfüllen (z. B. DSGVO, ISO 27001, SOX)

  • Reaktionsfähigkeit im Incident Response zu verbessern

  • Laterale Bewegung von Angreifern in Netzwerken einzudämmen

In der Cloud-Umgebung (z. B. AWS IAM, Azure AD) ist Least Privilege auch Grundlage für Zero-Trust-Architekturen und Infrastrukturautomatisierung (IaC).

Standards & regulatorische Anforderungen

  • ISO/IEC 27001: A.9.1.2 – Zugriff basierend auf Need-to-Know-Prinzip

  • NIST SP 800-53: AC-6 Least Privilege

  • DSGVO: Art. 25 – Datenschutz durch Technikgestaltung (Privacy by Design)

  • SOX (Sarbanes-Oxley Act): Kontrollmechanismen für kritische Berechtigungen

  • PCI DSS: Minimierung privilegierter Konten und Zugriffskontrollen

Verwandte Begriffe

  • RBAC

  • Access Control

  • Identity and Access Management (IAM)

  • Zero Trust Architecture

  • Just-in-Time Access

  • Privileged Access Management (PAM)

Beispiel aus der Praxis

In einem internationalen Versicherungskonzern wurde festgestellt, dass Administratoren weitreichenden Zugriff auf mehrere Produktivsysteme hatten – über Jahre hinweg. Nach Einführung eines Least-Privilege-Modells wurden Berechtigungen granular zugewiesen, überflüssige Adminrechte entfernt und Just-in-Time-Zugriffe implementiert. Der Wechsel wurde durch ein IGA-System überwacht. Die Anzahl privilegierter Konten sank um 65 %, während das Audit- und Reporting-Niveau deutlich verbessert wurde.

zum Glossar