article

Das Least Privilege-Prinzip

Was ist das Least Privilege-Prinzip?

Das Least Privilege-Prinzip, manchmal auch als PoLP bezeichnet, ist eine Strategie und Praxis der Cybersicherheit, die zur Kontrolle des Zugriffs auf die Daten, Netzwerke, Anwendungen und andere Ressourcen von Unternehmen dient, indem die Zugriffsrechte von Benutzern genau überwacht und kontrolliert werden. Das Least Privilege-Prinzip gilt nicht nur für menschliche Benutzer, sondern auch für nicht-menschliche Benutzer, z. B. Anwendungen, Systeme und verknüpfte Geräte, die zur Ausführung einer erforderlichen Aufgabe Privilegien oder Berechtigungen benötigen. Die Benutzer erhalten den minimal notwendigen Zugriff, um die für ihre Arbeit erforderlichen Aufgaben auszuführen, und nicht mehr.

Einige Beispiele für das Least Privilege-Prinzip in der Praxis:

  • Ein Mitarbeiter, der Rechnungen bearbeitet, hat beispielsweise nur Zugriff auf diese spezielle Funktion in einer Buchhaltungsanwendung und nicht auf andere Bereiche wie die Debitoren- oder Lohnbuchhaltung.
  • Ein Vertriebsmitarbeiter besitzt zwar Lese- und Schreibrechte für eine Kundendatenbank, kann aber weder herunterladen noch kopieren.
  • Regierungsmitarbeiter haben nur Zugriff auf Informationen, für die sie eine entsprechende Berechtigung besitzen und die für ihre Arbeit relevant sind (z. B. kann ein Mitarbeiter der FDA (Food and Drug Administration) nicht auf Informationen aus dem Verteidigungsbereich zugreifen).
  • Ein Designer von Software-Benutzeroberflächen hat keinen Zugriff auf den Quellcode.

Das Least Privilege-Prinzip gilt weithin als eine der effektivsten Cybersecurity-Praktiken aufgrund seiner Wirksamkeit bei der Einschränkung lateraler Bewegungen und unbefugten Zugriffs, der Minimierung der Angriffsfläche und der Reduzierung der Malware-Verbreitung. Das Prinzip ist eine wirksame Strategie zur Erfüllung des CIA-Trias (Vertraulichkeit, Integrität und Verfügbarkeit) und ein grundlegender Bestandteil des Zero Trust-Sicherheitsframeworks.

Funktionsweise des Least Privilege-Prinzips

Das Least Privilege-Prinzip beruht auf der Einschränkung und Überwachung des Zugriffs auf Daten, Netzwerke, Anwendungen und andere Ressourcen. In einer Umgebung mit Zero Trust Security kann das Least Privilege-Prinzip dabei helfen, den spezifischen Zugriff zu identifizieren, der den menschlichen und nicht-menschlichen Benutzern gewährt wird, unabhängig von der IP-Adresse (Internetprotokoll), dem Protokoll oder dem Port, den eine Anwendung verwendet (z. B. Anwendungen für Kommunikation und Zusammenarbeit, die dynamische Ports einsetzen).

Die Kernelemente des Least Privilege-Prinzips

Das Least Privilege-Prinzip umfasst drei Kernelemente: die Authentifizierung der Identität des Benutzers, die Sicherheitslage des Geräts und die Benutzer-zu-Anwendung-Segmentierung.

Authentifizierung der Identität des Benutzers Zur Durchsetzung des Least Privilege-Prinzips muss zunächst die Identität von menschlichen und nicht-menschlichen Benutzern überprüft werden.

Sicherheitslage des Geräts Zur wirksamen Anwendung des Least Privilege-Prinzips gehört die Überwachung der Nutzung, um kompromittierte menschliche oder nicht-menschliche Benutzer zu identifizieren und aufzuhalten.

Benutzer-zu-Anwendung-Segmentierung Das Least Privilege-Prinzip verhindert mit einer Zero Trust-Lösung für den Netzwerkzugriff unautorisierte laterale Bewegungen, indem Netzwerke segmentiert und der Zugriff anforderungsgemäß eingeschränkt wird.

Die Kontotypen des Least Privilege-Prinzips

Zur Umsetzung des Least Privilege-Prinzips werden verschiedene Kontotypen mit unterschiedlichen Berechtigungsstufen je nach Anforderungen des Benutzers eingesetzt. Im Einzelnen sind dies die Folgenden:

Nicht-privilegierte Konten Es gibt zwei Hauptarten von nicht privilegierten Konten:

  1. Least-Privileged User Accounts (LPUs) gewähren den Benutzern den geringstmöglichen Zugriff, mit dem sie ihre Aufgaben erfüllen können. Diese Kontoebene wird den meisten Benutzern zugewiesen.
  2. Gast-Benutzerkonten werden externen Benutzern (z. B. Drittpartnern, Auftragnehmern, Zeitarbeitern usw.) zugewiesen, die nur minimalen Zugriff benötigen. Gast-Benutzerkonten besitzen in der Regel weniger Berechtigungen als LPUs. Nach dem Least Privilege-Prinzip sollten Gast-Benutzerkonten deaktiviert werden, sobald der Zugriff nicht mehr erforderlich ist.

Privilegierte Konten Privilegierte Konten werden auch als Superuser- oder Admin-Konten bezeichnet und haben den umfassendsten Zugriff.

Erfahren Sie, wie Sie Ihre Investitionen in die Identity auf privilegierte Konten ausweiten können.

Dies sind einige der privilegierten Konten, die häufig eingesetzt werden:

  • Anwendungskonten werden von Anwendungen zur Bereitstellung des Zugriffs auf andere Anwendungen oder Zugriffsdatenbanken oder zur Ausführung von Batch-Jobs oder Skripts verwendet.
  • Domain-Administrationskonten haben administrativen Zugriff auf alle Arbeitsrechner und Server innerhalb der jeweiligen Domain.
  • Domainservice- oder Active Directory-Konten sind befugt, Passwortänderungen für Konten zu ermöglichen und Informationen über Ressourcen zu verwalten und zu speichern.
  • Notfallkonten, auch Break-Glass- oder Firecall-Konten genannt, werden von nicht-privilegierten Benutzern mit Administratorzugriff auf sichere Systeme in Notfällen verwendet.
  • Lokale Administratorkonten bieten administrativen Zugriff ausschließlich auf den lokalen Host oder die lokale Instanz.
  • Service-Konten, auch privilegierte lokale oder Domain-Konten genannt, werden von einer Anwendung oder einem Service zur Kommunikation mit dem Betriebssystem verwendet.

Beim Least Privilege-Prinzip haben normalerweise nur Administratoren Zugriff auf privilegierte Konten. Sie gelten als am meisten vertrauenswürdig und benötigen zur Erfüllung ihrer Aufgaben erweiterte Zugriffsrechte. Zu den Aufgaben, die Inhaber von privilegierten Konten ausführen können, gehören unter anderem:

  • Aktivierung oder Deaktivierung anderer Benutzer-Konten, einschließlich privilegierter Konten
  • Anpassung der Netzwerkeinstellungen
  • Installierung und Aktualisierung von Anwendungen
  • Überwachung von Benutzern und Systemen
  • Datenlöschung

Service-Konten Service-Konten werden nicht-menschlichen Benutzern zugewiesen, die ein gesondertes Konto benötigen. Laut dem Least Privilege-Prinzip sollten bestimmte Zugriffsanforderungen festgelegt werden. So wird der Zugriff auf das absolute Minimum beschränkt, das zur Ausführung autorisierter Aufgaben erforderlich ist.

Gemeinsam genutzte Konten Gemeinsam genutzte Konten werden auch als generische Konten bezeichnet und von einer Gruppe von Benutzern gemeinsam genutzt. Sie sollten mit Bedacht eingesetzt werden, da nach den Best Practices des Least Privilege-Prinzips jedem einzelnen Benutzer ein eigenes Konto zugewiesen werden sollte.

Drei Best Practices bei der Umsetzung des Least Privilege-Prinzips

  1. Erstellen und pflegen Sie ein Inventar aller privilegierten Konten, inklusive der Benutzer- und lokalen Konten, Anwendungs- und Service-Konten, Datenbankkonten, Cloud- und Social-Media-Konten, SSH-Schlüssel (Secure Shell), Standard- und hartcodierte Passwörter und andere privilegierte Zugangsdaten (z. B. jene von Partnern oder Anbietern). Das Inventar sollte auch Plattformen, Verzeichnisse und Hardware umfassen.
  2. Enforce the principle of least privilege over end users, endpoints, accounts, applications, services, systems, and devices. This can be done by:
  3. Legen Sie umfassende Regeln für das Least Privilege-Prinzip fest, um festzulegen, wie Konten, insbesondere privilegierte Konten, provisioniert und deprovisioniert und privilegierte Identitäten und Konten überwacht und verwaltet werden sollen.
  • Verbot der gemeinsamen Nutzung von Passwörtern
  • Beseitigung unnötiger Rechte von Anwendungen, Prozessen, Geräten, Tools und anderen Ressourcen
  • Umsetzung von Richtlinien zur Aufgabentrennung
  • Beschränkung der Rechte für privilegierte Konten auf das anforderungsgemäße Minimum
  • Beschränkung der Rechte für privilegierte Konten auf das anforderungsgemäße Minimum
  • Beseitigung hartcodierter Zugangsdaten
  • Entzug von Administratorrechten auf Endpunkten und Servern
  • Vorschrift der Verwendung sicherer Passwörter und der Multi-Faktor-Authentifizierung
  • Einschränkung der Zuweisung privilegierter Konten
  • Größtmögliche Segmentierung von Systemen und Netzwerken
  • Nutzung von Dauerprivilegien nur wenn nötig

Warum das Least Privilege-Prinzip wichtig ist

Das Least Privilege-Prinzip ist wichtig, weil es die Herausforderungen an die Sicherheit im Zusammenhang mit dem Ausbau hybrider Umgebungen auf eine Weise angeht, bei der Benutzerfreundlichkeit und Sicherheit in einem ausgewogenen Verhältnis stehen, während gleichzeitig die Performance verbessert und der Einfluss menschlicher Fehler reduziert wird.

Durch die Anwendung des Least Privilege-Prinzips als Grundelement ihrer Sicherheitsstrategie können sich Unternehmen vor den Folgen unberechtigten Zugriffs auf ihre Ressourcen und Daten schützen.

Dazu gehört auch finanzieller Schaden und Rufschädigung durch Datenverstöße, Ransomware-Angriffe und andere böswillige Aktivitäten.

Ein weiterer entscheidender Vorteil des Least Privilege-Prinzips besteht darin, dass es die Angriffsflächen des Unternehmens reduziert. So werden nicht nur Risiken und Schwachstellen minimiert, sondern auch wertvolle Zeit und Mittel für die IT- und Sicherheitsteams gewonnen. Darüber hinaus wird die Anzahl der Bedrohungen reduziert, die zur Abwehr von Angreifern bewältigt werden müssen, die sich durch die Kompromittierung eines weniger privilegierten Kontos Zugriff auf kritische Systeme und sensible Daten verschaffen wollen.

Durch die Anwendung des Least Privilege-Prinzips auf Endgeräten kann auch die Ausbreitung von Malware unterbunden werden. Damit wird verhindert, dass Malware-Angriffe erhöhte Privilegien nutzen, um den Zugriff zu erweitern und sich lateral auszubreiten, um andere Systeme zu infizieren.

Das Least Privilege-Prinzip verhindert auch, dass nicht autorisierte interne Benutzer auf sensible Informationen und Systeme zugreifen können. Dadurch wird die Datensicherheit insgesamt erhöht, die Compliance-Anforderungen erfüllt und die Zahl der böswilligen Insider-Aktivitäten verringert.

Die Vorteile des Least Privilege-Prinzips

Audit-Bereitschaft Die Fähigkeiten zur Überwachung, Protokollierung und Berichterstellung, die mit dem Least Privilege-Prinzip einhergehen, liefern viele der für Audits benötigten Informationen. Dadurch wird der Audit-Prozess gestrafft und die Compliance mit behördlichen Sicherheitsanforderungen sichergestellt.

Bessere Dateneinstufung Das Least Privilege-Prinzip erfordert von den Netzwerkmanagern, ein Inventar darüber zu führen, wer wann auf was zugreifen darf. Dies trägt zur Sicherheit und Funktionsfähigkeit der Netzwerke bei.

Verbesserte Sichtbarkeit Das Least Privilege-Prinzip erfordert einen besseren Einblick in die Aktivitäten der Benutzer. So können Cyberangriffe und bösartige Insider-Aktivitäten schneller erkannt und abgewehrt werden.

Verbesserte Datensicherheit Durch die Anwendung des Least Privilege-Prinzips in Sicherheitsstrategien können die katastrophalen Auswirkungen von Datenverstößen verhindert werden, da der Zugriff einer Person auf die Informationen beschränkt wird, die sie zur Erfüllung ihrer Aufgaben auch wirklich benötigt. Da die meisten Benutzer nur wenige Daten wirklich brauchen, wird das Risiko eines Verstoßes erheblich reduziert.

Besserer Schutz für IT-Assets Das Least Privilege-Prinzip bietet nicht nur Schutz vor Cyber-Kriminellen. Es schützt Daten, Systeme, Netzwerke und andere Ressourcen vor den negativen Auswirkungen menschlicher Fehler auf Daten, Systeme und Netzwerke, die auf Irrtümer, Böswilligkeit oder Fahrlässigkeit zurückzuführen sind, indem es den Zugriff der Benutzer auf die Ressourcen beschränkt, die sie zur Erfüllung ihrer Aufgaben tatsächlich benötigen.

Minimierte Angriffsfläche Das Least Privilege-Prinzip minimiert die Angriffsfläche, indem es den Cyberkriminellen weniger Möglichkeiten für den Zugriff auf sensible Daten oder die Durchführung eines Angriffs bietet, da sie sich auf die wenigen Ressourcen beschränken, auf die der Benutzer zugreifen darf.

Betriebliche Effizienz und Performance Das Least Privilege-Prinzip steigert die betriebliche Effizienz und Performance durch die Reduzierung der Ausfallzeiten, die andernfalls durch einen Verstoß, die Verbreitung von Malware oder nicht genehmigte Anwendungen entstehen könnten.

Eindämmung der Ausbreitung von Malware Das Least Privilege-Prinzip schränkt die Ausbreitung von Malware in Netzwerken ein, indem es laterale Bewegungen verhindert, die zu Angriffen auf andere verknüpfte Geräte führen können. Es hindert Benutzer auch daran, nicht autorisierte Anwendungen zu installieren und erzwingt eine Berechtigungstrennung.

Implementierung des Least Privilege-Prinzips

Im Folgenden finden Sie einige Schritte, mit denen ein Unternehmen die Least Privilege-Prinzipien umsetzen kann.

Durchführung eines Audits für privilegierte Konten Die regelmäßige Überprüfung privilegierter Benutzerkonten ist eine wichtige Funktion des Least Privilege-Prinzips. Dabei werden Identitäten und Rechte auf das Netzwerk, Systeme, Softwareanwendungen, Prozesse und Programme überprüft.

Sperrung von unnötigem Zugriff auf Ressourcen Ein Sicherheitsprogramm, das dem Least Privilege-Prinzip folgt, deaktiviert Standardrechte und aktiviert nur diejenigen Rechte, die auf der Grundlage der tatsächlichen Anforderungen benötigt werden.

Erhöhung der Zugriffsrechte auf Einzelfallbasis Um die Wirksamkeit des Least Privilege-Prinzips aufrechtzuerhalten, sollten Benutzern nur situationsabhängig und zeitlich begrenzt erweiterte Zugriffsrechte gewährt werden.

Eliminierung ungenutzter Konten Das Least Privilege-Prinzip gilt auch dann, wenn keine Privilegien vorhanden sind. Wenn ein Benutzer keinen Bedarf mehr für den Zugriff auf alle oder bestimmte Ressourcen hat, sollten seine Berechtigungen umgehend entzogen werden. Um eine optimale Zugriffskontrolle zu gewährleisten, sollten Systeme zur regelmäßigen Überprüfung der Nutzung vorhanden sein.

Überwachung von Endpunkten Realisieren Sie das Least Privilege-Prinzip, indem Sie alle Aktivitäten auf den Endpunkten kontinuierlich überwachen, protokollieren und auditieren sowie ein Endpunktinventar führen.

Regelmäßige Überprüfung der Protokolle Das Least Privilege-Prinzip schließt die Überwachung und Protokollierung der Nutzung ein. Eine laufende, planmäßige Überprüfung der Protokolle ist von entscheidender Bedeutung, da sonst unberechtigter Zugriff unentdeckt bleiben kann.

Wiederholte Überprüfung von Konten und Privilegien Um die Wirksamkeit des Least Privilege-Prinzips zu optimieren, sollten die Zugriffsrechte einmal im Monat oder mindestens vierteljährlich überprüft werden. Wenn übermäßige Privilegien festgestellt werden, sollten diese sofort widerrufen werden. Bei ruhenden Konten sollte auch geprüft werden, ob sie aktiv bleiben sollen.

Benutzertrennung Die Trennung der Benutzer in Gruppen mit höherem und niedrigerem Zugriff und Untergruppen auf Basis ihrer Rollen oder Standorte ist bei der Umsetzung des Least Privilege-Prinzips ebenfalls unerlässlich.

Einstellung des Benutzerzugriffs auf die geringsten Privilegien Im Rahmen des Least Privilege-Prinzips sollten die minimalen Privilegien als Standardeinstellung verwendet werden. Wenn ein Benutzer für eine bestimmte Aufgabe zusätzliche Zugriffsrechte benötigt, sollten diese entzogen werden, sobald sie nicht mehr benötigt werden, um zu verhindern, dass die Privilegien ausufern.

Einsatz des Privileg-Bracketings Mit dem Privileg-Bracketing wird das Least Privilege-Prinzip durchgesetzt, indem der Zugriff nur so lange gewährt wird, wie der Benutzer für die Erledigung seiner Aufgabe benötigt.

Begriffe und Konzepte in Bezug auf das Least Privilege-Prinzip

Einschleichende Privilegien Wenn Benutzern im Laufe der Zeit zusätzliche Zugriffsrechte eingeräumt werden, schleichen sich Privilegien immer weiter ein. Häufig passiert dies, wenn einer Person bei einem Positionswechsel oder bei der Übernahme neuer Aufgaben neue Zugriffsrechte gewährt werden, ohne dass bestehende, nicht mehr benötigte Privilegien widerrufen werden. Dies führt zu einer Anhäufung von Zugriffsrechten oder einer Eskalation der Privilegien, die über das erforderliche Maß hinausgeht.

Die Anwendung des Least Privilege-Prinzips verhindert eine Ausweitung der Privilegien, indem die Zugriffsberechtigungen regelmäßig überprüft und aktualisiert werden.

Privileg-Bracketing Beim Privileg-Bracketing wird die Zugriffsberechtigung erhöht, kurz bevor sie benötigt wird, und direkt nach Beendigung der entsprechenden Aufgabe wieder entzogen. So wird sichergestellt, dass die Privilegien für einen möglichst kurzen Zeitraum angehoben werden.

Privilegientrennung Bei der Privilegientrennung wird der Funktionsbereich eines Systems in einzelne Teile aufgeteilt. Den Benutzern wird der Zugriff anforderungsbezogen auf bestimmte Teile gewährt. Dadurch wird das Risiko begrenzt und die Angriffsfläche verringert.

Privilegien-Eskalation Die Privilegien-Eskalation ist eine Art von Cyberangriff, bei dem sich ein Angreifer unbefugten Zugriff auf erweiterte Rechte oder Privilegien verschafft. Durch das Least Privilege-Prinzip an Endpunkten können solche Angriffe eingedämmt werden, da der Angreifer keine erweiterten Rechte nutzen kann, um den Zugriff auszuweiten und sich lateral zu bewegen, um Malware oder andere schädliche Aktivitäten auszuführen.

Zero Trust-Sicherheit Zero Trust-Sicherheit beruht auf dem Prinzip, dass standardmäßig keinem Gerät, Benutzer, Workload oder System vertraut werden kann, unabhängig davon, ob es sich innerhalb oder außerhalb des Sicherheitsperimeters befindet. Andere Sicherheitsmodelle gehen implizit davon aus, dass allem, was sich innerhalb des Netzwerks befindet, vertraut werden kann, da es als autorisiert und legitim gilt. Bei einem Zero Trust-Modell wird jede Zugriffsanfrage geprüft und autorisiert, bevor der Zugriff gewährt wird.

Zero Trust Network Access (ZTNA) ZTNA, auch als Software-Defined Perimeter (SDP) bezeichnet, kontrolliert den Zugriff nach Mikrosegmenten, in denen sich wertvolle Assets befinden. Außerdem wird das Least Privilege-Prinzip angewandt, um bösartige oder nicht autorisierte laterale Bewegungen zu identifizieren und zu unterbinden.

Das Least Privilege-Prinzip bietet den größtmöglichen Nutzen

Bei einer wirksamen Implementierung und Durchsetzung leistet das Least Privilege-Prinzip einen wertvollen Beitrag zur Sicherheit. Es trägt zur Verbesserung der Cybersicherheit und der Sicherheitskontrollen in Bezug auf menschliches Versagen bei und verbessert gleichzeitig die Produktivität und Performance.

Die Vorteile, die sich aus der Anwendung des Least Privilege-Prinzips ergeben, sind zahlreich und erwiesen. Unternehmen jeder Größe und aller Branchen sollten das Least Privilege-Prinzip als eine der Säulen ihrer Sicherheitsstrategie einsetzen.

Date: 4. April 2023Reading time: 15 minutes
Privileged AccountsZero Trust