Least Privilege Prinzip

Das Least Privilege Prinzip schreibt vor, dass einem Benutzer, einer Softwarekomponente oder einer anderen Entität nur die absolut notwendigen Rechte eingeräumt werden sollen, damit diese die ihr zugeteilten Aufgaben erledigen kann. Die konsequente Umsetzung des Least-Privilege-Prinzips verhindert Eskalation von Zugriffsrechten und minimiert potenzielle Schäden bei Kompromittierungen. Auf Betriebssystemebene bedeutet dies, dass Administratorrechte nur temporär (z. B. über sudo-Sessions) vergeben werden und Nutzer Standardkonten verwenden. In Applikationen erfolgt Autorisierung granular, etwa über RBAC (Role-Based Access Control) oder feingranulare Policy-Engines (OPAL, OPA). Datenbanken nutzen separate Konten für Lese- und Schreibzugriff, Services kommunizieren über dedizierte Service-Accounts mit minimalen Berechtigungen. Regelmäßige Überprüfung von IAM-Richtlinien (Identity and Access Management) und automatische De-Provisionierungen in Active Directory oder Cloud-Umgebungen gewährleisten, dass veraltete oder unnötige Zugriffsrechte zeitnah entfernt werden.