Skip to content

Erklären Sie das Least-Privilege-Prinzip und wie Sie es anwenden würden.

Kurzantwort

Least Privilege bedeutet, dass jeder Nutzer, Prozess und Dienst nur den für seine Aufgabe minimal erforderlichen Zugriff erhält und nicht mehr. Es begrenzt den Wirkungsradius eines kompromittierten Kontos, senkt das Insider-Bedrohungsrisiko und verkleinert die Angriffsfläche. Man wendet es über rollenbasierten Zugriff, regelmäßige Zugriffsüberprüfungen und Just-in-Time-Erhöhung an.

Least Privilege ist ein grundlegendes Prinzip, das überall auftaucht, von Active Directory bis zum Cloud-IAM. Interviewer wollen wissen, dass Sie verstehen, warum es wichtig ist und wie Sie es tatsächlich durchsetzen würden.

Das Prinzip

Jeder Nutzer, jedes Konto, jeder Prozess und jeder Dienst sollte nur den zur Erfüllung seiner Funktion nötigen Zugriff haben — und nicht mehr. Ein Helpdesk-Techniker braucht keine Domänenadministratorrechte; das Datenbankkonto einer Webanwendung muss keine Tabellen löschen können; ein Microservice sollte keine kontoweiten Cloud-Berechtigungen besitzen.

Warum es wichtig ist

Der zentrale Nutzen ist die Begrenzung des Wirkungsradius. Wenn ein Konto unvermeidlich kompromittiert wird — durch Phishing, einen gestohlenen Token oder einen anfälligen Dienst — deckelt Least Privilege, was der Angreifer erreichen kann. Ein überprivilegiertes Konto ist ein Generalschlüssel; ein eng zugeschnittenes eine Sackgasse. Es senkt zudem das Insider-Bedrohungsrisiko und verkleinert die gesamte Angriffsfläche.

Wie Sie es anwenden

  • Rollenbasierte Zugriffskontrolle (RBAC): Rollen mit zugeschnittenen Berechtigungen definieren und Personen Rollen zuweisen, statt Ad-hoc-Rechte zu vergeben.
  • Aufgaben und Konten trennen: Administratoren nutzen Standardkonten für die tägliche Arbeit und erhöhen Privilegien nur bei Bedarf.
  • Just-in-Time-Zugriff (JIT) und zeitlich begrenzter Zugriff: erhöhte Rechte vorübergehend gewähren und automatisch entziehen.
  • Regelmäßige Zugriffsüberprüfungen: dem Privilege Creep entgegenwirken, bei dem Personen beim Rollenwechsel Berechtigungen ansammeln, die alten aber nie verlieren.
  • Zugeschnittene Dienstidentitäten: in der Cloud IAM-Richtlinien eng halten und Wildcard- oder Admin-Rollen für Workloads vermeiden.

Warum das wichtig ist

Interviewer stellen diese Frage, um zu sehen, ob Sie das Prinzip mit realen Ergebnissen verknüpfen. Eine starke Antwort verbindet Least Privilege mit der Reduktion des Wirkungsradius, benennt Privilege Creep als Feind und schlägt konkrete Mechanismen vor — RBAC, JIT-Zugriff und regelmäßige Überprüfungen — statt nur den Begriff zu definieren.

Wahrscheinliche Anschlussfragen

  • Wie begrenzt Least Privilege den Wirkungsradius einer Sicherheitsverletzung?
  • Was ist Privilege Creep und wie begegnen Zugriffsüberprüfungen ihm?
  • Was ist Just-in-Time-Zugriff?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.