Das Least-Privilege-Prinzip
Jeder Benutzer, jedes System und jeder Prozess sollte nur die minimalen Berechtigungen erhalten, die für seine Aufgabe tatsächlich benötigt werden – nicht mehr. Dieses Prinzip begrenzt den Schaden, den ein kompromittiertes Konto anrichten kann.

Warum Zugriffskontrolle wichtig ist

In vielen KMU haben alle Mitarbeiter Zugriff auf alle Daten – weil es "einfacher" ist. Das ist ein gravierendes Risiko: Ein einziger Phishing-Angriff auf ein beliebiges Konto gibt dem Angreifer Zugriff auf alles.

Rollenbasierte Zugriffskontrolle (RBAC)

Berechtigungen werden nicht einzelnen Personen, sondern Rollen zugewiesen. Mitarbeiter erhalten die Rolle, die ihrer Funktion entspricht.

Beispielrolle

Buchhaltung

Zugriff auf: Finanzsystem, freigegebene Buchhaltungs-
ordner. Kein Zugriff auf: Entwicklungs-
server, HR-Daten, Kundendatenbanken

Beispielrolle

Vertrieb

Zugriff auf: CRM, Produktkatalog, Angebotsvorlagen. Kein Zugriff auf: Finanzdaten, interne System-
konfigurationen.

Sonderrolle

Administrator

Separate Admin-Accounts, nicht für Alltagsarbeit. Privileged Access Workstation (PAW) nutzen. Jede Admin-Aktion wird protokolliert.

Privileged Access Management (PAM)

Administratoren mit Vollzugriff auf Systeme sind das wertvollste Ziel für Angreifer. Privilegierte Konten brauchen besondere Schutzmaßnahmen:

  • Separate Admin-Konten – nicht das alltägliche Arbeitskonto für Admin-Aufgaben nutzen
  • Just-in-Time-Zugriff – Admin-Rechte werden nur für die Dauer einer Aufgabe erteilt
  • Vier-Augen-Prinzip – kritische Änderungen erfordern Genehmigung einer zweiten Person
  • Vollständiges Audit-Log – alle Admin-Aktionen werden protokolliert und aufbewahrt

Zugriffsüberprüfung (Access Review)

Berechtigungen werden mit der Zeit zu großzügig. Mitarbeiter wechseln Abteilungen, bekommen temporäre Rechte die nie widerrufen werden, oder verlassen das Unternehmen.

  • Vierteljährliche Überprüfung aller Benutzerkonten und -berechtigungen
  • Inaktive Konten (kein Login seit 90 Tagen) deaktivieren
  • Abteilungswechsel: alte Rechte entziehen, neue vergeben
  • Dienstleister und externe Mitarbeiter: befristete Zugänge mit Ablaufdatum

Zero-Trust-Ansatz für KMU

Zero Trust in der Praxis
"Vertraue nie, überprüfe immer." Auch interne Netzwerkzugriffe werden authentifiziert – ein Gerät im Firmennetz bekommt nicht automatisch Vertrauen. Für KMU beginnt Zero Trust mit MFA, Conditional Access und Netzwerksegmentierung.

Checkliste: Zugriffskontrolle