Prinzip der geringsten Rechte

Auch bekannt als: Least Privilege, Need-to-know-Prinzip

Sicherheitsprinzip, das jedem Nutzer, Prozess oder Dienst nur jene Rechte gewährt, die er zwingend für seine Aufgabe benötigt — nicht mehr.

Das Prinzip der geringsten Rechte (Principle of Least Privilege, PoLP) wurde 1975 von Saltzer und Schroeder formuliert: Jedes Subjekt soll mit dem kleinstmöglichen Berechtigungsumfang arbeiten, der für seine Aufgabe nötig ist. Konsequent angewandt begrenzt es den "Blast Radius": Ein kompromittiertes Konto, ein Container oder Dienst kann nur den engen Bereich beschädigen, auf den er Zugriff hatte. PoLP prägt IAM-Design (granulare Rollen, Scope-Tokens), System-Hardening (Linux Capabilities reduzieren, kein Root), Software-Architektur (Privilege Separation, Sandboxing) und Zero-Trust-Strategien. Umgesetzt wird es über RBAC/ABAC, zeitlich begrenzte JIT-Elevation, regelmäßige Access Reviews und das Entfernen ungenutzter Rechte über Entitlement Analytics.

Beispiele

Ein Microservice nutzt eine Datenbankrolle, die nur die nötigen Zeilen lesen darf, nicht das ganze Schema.
Ein Entwickler beantragt zeitlich begrenzte Adminrechte per JIT, statt sie dauerhaft zu besitzen.

Prinzip der geringsten Rechte

Beispiele

Verwandte Begriffe

Just-in-Time-Zugriff

Privileged Access Management (PAM)

Rollenbasierte Zugriffskontrolle (RBAC)

Attributbasierte Zugriffskontrolle (ABAC)

Zero Trust Network

Autorisierung

Definition

Beispiele

Verwandte Begriffe

Just-in-Time-Zugriff

Privileged Access Management (PAM)

Rollenbasierte Zugriffskontrolle (RBAC)

Attributbasierte Zugriffskontrolle (ABAC)

Zero Trust Network

Autorisierung