Least Privilege Prinzip

Was ist das Least Privilege Prinzip?

Das Least Privilege Prinzip (Prinzip der geringsten Rechte) besagt, dass Benutzern, Programmen und Systemprozessen nur jene Rechte und Zugriffe gewährt werden dürfen, die zur Erfüllung ihrer Aufgaben unbedingt notwendig sind—nicht mehr und nicht weniger. Dies reduziert das Risiko von Fehlkonfigurationen, Datenlecks und lateralen Bewegungen durch Angreifer und erhöht gleichzeitig die Kontrollierbarkeit und Nachvollziehbarkeit im System.

In der IT-Sicherheit ist das Prinzip einer der Grundpfeiler von Zero-Trust-Architekturen und Sicherheitsframeworks wie ISO 27001 oder NIST. Es ist gleichermaßen auf Menschen, Maschinenidentitäten, Dienste und Anwendungen anwendbar.

Technischer Aufbau & Varianten

Implementierungsbeispiele:

• Betriebssysteme:
  Benutzer arbeiten mit Standardkonten, Adminrechte werden nur über temporäre Elevation (z. B. sudo) vergeben.

• Applikationen & Systeme:
  Feingranulare Zugriffsmodelle durch RBAC, ABAC oder Policy-Engines wie OPA (Open Policy Agent).

• IAM & Directory Services:
  Automatisierte Rollenzuweisung mit De-Provisioning-Prozessen in Active Directory oder Cloud IAM-Plattformen.

• Datenbanken & APIs:
  Trennung von Lese- und Schreibzugriff, Nutzung dedizierter Service-Accounts mit minimalen Berechtigungen.

• Cloud-Umgebungen:
  Just-in-Time-Zugriffe und zeitlich begrenzte Session-Token (z. B. in Azure AD PIM oder AWS IAM Roles).

Relevanz in der Praxis

Die konsequente Umsetzung von Least Privilege:

• verhindert Privilege Escalation, also das unerlaubte Ausweiten von Zugriffsrechten

• reduziert Angriffsflächen, da kompromittierte Konten nur begrenzten Schaden anrichten können

• erfüllt regulatorische Anforderungen wie ISO 27001, DSGVO oder NIS2

• steigert die Transparenz, insbesondere in großen Multi-Cloud- oder hybriden IT-Umgebungen

• vereinfacht das Berechtigungs-Review im Rahmen von Audits

Standards & regulatorische Anforderungen

• ISO/IEC 27001 – A.9.1.2: Zugriff auf Grundlage des „Need-to-Know“-Prinzips

• NIST SP 800-53 – AC-6: Least Privilege

• PCI DSS – 7.1: Zugriff auf Systemkomponenten beschränken

• DSGVO – Art. 25: Datenschutz durch Technikgestaltung

• NIS-2 & DORA – Schutz kritischer Infrastrukturen durch Zugriffskontrollrichtlinien

Verwandte Begriffe

• Identity and Access Management

• Access Control

• Role-Based Access Control (RBAC)

• Just-in-Time Access

• Privileged Access Management

• Zero Trust

Beispiel aus der Praxis

Ein international tätiges Industrieunternehmen stellte nach einem internen Audit fest, dass zahlreiche Service-Accounts administrative Vollzugriffe auf Produktionssysteme hatten – ohne Notwendigkeit. Nach einer unternehmensweiten Bereinigung wurden per IGA-Plattform überprivilegierte Konten reduziert, rollenbasierte Richtlinien durchgesetzt und eine JIT-Zugriffsplattform eingeführt. Die Anzahl privilegierter Konten sank um 70 % – bei gleichzeitiger Verbesserung der Auditierbarkeit und Compliance-Konformität.