Definition

Schleichende Rechteausweitung (Privilege Creep)

Unter dem englischen Begriff Privilege Creep versteht man eine allmähliche Zunahme an Zugriffsrechten, die bei weitem übersteigt, was eine bestimmte Person für ihre eigentliche Tätigkeit benötigt. In der Informationstechnologie ist ein Privileg ein eindeutig definiertes Recht, das ein bestimmter Anwender gegenüber einer bestimmten Ressource in einem System hat. Ein Beispiel dafür wäre etwa ein Dateiordner oder eine virtuelle Maschine, auf den er zugreifen darf.

Eine schleichende Ausweitung der Berechtigungen tritt häufig auf, wenn ein Mitarbeiter seinen Aufgabenbereich innerhalb des Unternehmens wechselt und ihm neue Berechtigungen gewährt werden. Auch wenn ein Mitarbeiter seine früheren Berechtigungen während einer Übergangsphase beibehalten muss, werden diese Berechtigungen selten widerrufen und führen zu einer unnötigen Ausweitung der Zugriffsberechtigungen.

Die Ausweitung von Berechtigungen, die in IT-Organisationen jeder Größe ein häufiges Problem darstellt, birgt ein zweifaches Sicherheitsrisiko. Erstens kann ein Mitarbeiter mit übermäßigen Privilegien versucht sein, diese Berechtigungen in unangemessener Weise zu nutzen. Zweitens, wenn ein Eindringling Zugriff auf das Konto eines Endbenutzers erlangt - und dieser Endbenutzer hat übermäßige Berechtigungen - hat auch der Eindringling übermäßige Berechtigungen. Beide Szenarien stellen ein Risiko dar, das zu Datenverlust oder -diebstahl führen kann.

Die Ausweitung der Rechte kann durch die Anwendung des Prinzips der geringsten Privilegien beziehungsweise der minimalen Rechtevergabe (PoLP) und die Beschränkung der Berechtigungen auf das Mindestmaß, das ein Mitarbeiter für seine Arbeit benötigt, minimiert werden. Die Ausweitung der Rechte kann auch durch eine regelmäßige Überprüfung der Zugriffsrechte minimiert werden. Dabei handelt es sich um einen Prozess, bei dem Systemverantwortliche und Manager die Notwendigkeit des Zugriffs jedes Mitarbeiters auf bestimmte Rollen und Rechte bestätigen, um übermäßige Privilegien aufzudecken und zu widerrufen. Ein Identitäts- und Zugriffsmanagementsystem (IAM) kann eine Überprüfung erleichtern, indem es Administratoren die Möglichkeit bietet, Zugriffsrechte sofort einzusehen und zu ändern.

Diese Definition wurde zuletzt im Oktober 2022 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)