GH GambleHub

Grundsatz der Mindestrechte

1) Zweck und Definition

Das Ziel: Den Nutzer/Dienst nur zu jenen Ressourcen zuzulassen, die für die Erfüllung einer bestimmten Aufgabe unbedingt notwendig sind, für einen minimal ausreichenden Zeitraum und in einem minimalen Umfang.
Definition: „Minimum für Breite (Ressourcen), Tiefe (Operationen), Zeit (TTL), Kontext (Geo/Gerät/Schicht), Empfindlichkeit (PII/Finanzen)“.

2) Grundprinzipien der Umsetzung

1. Need-to-Know: Jedes Recht ist mit einem bestimmten Zweck (Basis) verbunden.
2. Time-Bound: erhöhte Rechte werden mit TTL (JIT) gewährt; dauerhafte Rechte - nur lesen/maskiert.
3. Scope-Bound: Der Zugang ist nach Mietvertrag/Region/Marke/Projekt (Tenant/Region Scoping) begrenzt.
4. Datenminimierung: PII ist standardmäßig maskiert; De-Maske - nur mit ausdrücklicher Begründung.
5. Traceability: Jeder Zugriff → das Journal + 'purpose '/' ticket _ id'.
6. Revocability: schneller Rückruf (Offboarding ≤ 15 Minuten, JIT - Auto-Rückruf).

3) Kommunikation mit anderen Kontrollen

RBAC: legt fest, wer grundsätzlich kann (Grundrolle).
ABAC: spezifiziert unter welchen Bedingungen (Geo, Gerät/MDM, Zeit, KYC-Level, Risiko).
SoD: verbietet gefährliche Rollenkombinationen, fordert 4-Augen für sensible Aktionen.
Segmentierung: Netzwerk/logische Perimeter (Payment, KYC, DWH, Secrets).
PAM/JIT/break-glass: sichere Vergabe temporärer Privilegien und deren Aufzeichnung.

4) Klassifizierung von Ressourcen und Operationen

DatenklasseDie BeispieleMindestniveau
PublicInhalt der Websiteohne Autorisierung
InternalMetriken ohne PIISSO, read-only
ConfidentialDWH Berichte/AggregateSSO + MFA, Rollen „viewer_...“
Eingeschränkt (PII/Finanzen)KYC/AML, Transaktionen, RGmasked-read, JIT für unmaskiert
Highly RestrictedGeheimnisse, Admin-Konsolen, PANPAM, aufgezeichnete Sitzungen, Isolation

Operationen: 'READ', 'MASKED _ READ' (Standard für PII), 'WRITE' (scoped), 'APPROVE _' (4-eyes), 'EXPORT' (nur über Vitrinen, Signatur/Log).

5) Engineering Rechte „von der Aufgabe zum Zugriff“

1. User Story → Purpose: „Der Analyst muss einen EU-Konversionsbericht ohne PII erstellen“.
2. Liste der Ressourcen: Schaukasten 'agg _ conversions _ eu'.
3. Operationen: 'READ' (ohne PII), Verbot 'EXPORT _ RAW'.
4. ABAC-Kontext: Geschäftszeiten, Corp-VPN/MDM, Region = EU.
5. TTL: permanent masked-read; JIT für einmalige Demaskierung (falls erforderlich).
6. Zeitschriften: 'READ '/' EXPORT' mit 'purpose' und 'fields _ scope'.

6) Maskierung und selektive Demaskierung

E-Mail/Telefon/IBAN/PAN-Maskierung standardmäßig;

Unmaskierter Zugriff ('pii _ unmask') - nur JIT + 'purpose' + Bestätigung des Domaininhabers/Compliance;

Die Berichte enthalten Aggregate/k-Anonymität, das Verbot von „kleinen Stichproben“ (Privacy Thresholds).

7) Temporäre Privilegien: JIT und Break-Glass

JIT: 15-120 Minuten, unter Ticket, Auto-Feedback, komplettes Audit.
Break-glass: Notfallzugang (MFA + zweite Bestätigung, Sitzungsaufzeichnung, Security + DPO Post-Review).
PAM: Secret Safe, Session Proxy, Privilege Rotation.

8) Prozesse (SOP)

8. 1 Erteilung des Zugangs (IDM/ITSM)

1. Anwendung mit 'Zweck', Ressourcen, TTL/Persistenz.
2. SoD/Jurisdiktion/Datenklasse/Kontexte Autoprüfung.
3. Genehmigung des Domain-Inhabers; для Restricted+ — Security/Compliance.
4. Ausgabe von minimalem Scope (oft masked-read).
5. Eintragung in das Rechteregister: Datum der Revision, SLA des Widerrufs.

8. 2 Re-Zertifizierung (quarterly)

Der Domaininhaber bestätigt jede Rolle/Gruppe; ungenutzte Rechte (> 30/60 Tage) - Auto-Widerruf.

8. 3 Datenexport

Nur durch zugelassene Schaukästen; weiße Listen von Formaten; Signatur/Hash; Entladeprotokoll; PII - Standardmäßig anonymisiert.

9) Kontrolle der Lieferanten/Unterauftragsverarbeiter

Minimale API-Copes, separate Schlüssel per Integration, allow-list IP, Zeitfenster.
DPA/SLA: Rollen, Zugriffsprotokolle, Retention, Geografie, Vorfälle, Subprozessoren.
Offboarding: Schlüsselrückruf, Löschbestätigung, Schließungsakt.

10) Auditierung und Überwachung

Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: Zugangsalarme ohne' purpose', anomale Volumina, Zeitfenster/Geo-Ausgang, SoD-Verletzung.
WORM: unveränderliche Kopie der Protokolle + Hash-Ketten/Signaturen.

11) Reifegradkennzahlen (KPI/KRI)

Coverage:% der kritischen Systeme unter RBAC/ABAC ≥ 95%.
Masked Reads Ratio: ≥ 95% der PII-Zugriffe sind maskiert.
JIT Rate: ≥ 80% der Rechteerhöhungen gehen als JIT.
Offboarding TTR: Widerruf der Rechte ≤ 15 Min.
Exporte Signiert: 100% der Exporte sind signiert und eingespannt.
SoD Violations: = 0; Versuche - Auto-Block/Ticket.

Dormant Access Cleanup: ≥ 98% der „hängenden“ Rechte werden innerhalb von 24 Stunden gelöscht

12) Typische Szenarien

A) Einmalige KYC-Ansicht für VIP-Kunden

Basis: masked-read beim VIP-Manager.
Aktion: JIT-Zugang 'pii _ unmask' für 30 min per Ticket, Feldaufzeichnung/Screen-Log, Post-Revue.

B) Ingenieur benötigt Zugriff auf prod-DB

Nur durch PAM + JIT ≤ 60 min, aufgezeichnete Sitzung, „SELECT“ Verbot von PII, Post-Revue und CAPA bei Verstößen.

C) BI-Bericht mit länderspezifischer Aufteilung

Zugang zu Aggregaten ohne PII; ABAC-Filter: „Region in [EWR]“, Corp-VPN/MDM, Zeit 08: 00-21: 00.

13) Anti-Muster und wie man sie vermeidet

„Superrollen „/Vererbung ohne Grenzen → in Domänenrollen aufgeteilt werden, um ABAC zu aktivieren.
Ständige Privilegien „nur für den Fall“ → JIT + Auto-Feedback.
Kopieren von Prod-Daten in dev/stage → Pseudonymisierung/Synthetik.
PII-Export außerhalb von Schaufenstern → Whitelisting, Signatur, Magazin, Maskierung.
Das Fehlen von „purpose“ → ein harter Block und ein Auto-Ticket.

14) RACI (vergrößert)

AktivitätCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Richtlinie Least PrivilegeA/RCCCCCC
RBAC/ABAC/JIT-DesignCCA/RRRRC
re-BescheinigungCCARRRR
Exportieren/MaskierenCARRRCC
Anbieter/VerträgeA/RCCCIII

15) Checklisten

15. 1 Vor der Erteilung des Zugangs

  • „purpose“ und TTL angegeben
  • Überprüfung der SoD/Jurisdiktionen bestanden
  • Standard-Maskierung, minimale Skope
  • ABAC-Bedingungen: Netzwerk/Gerät/Zeit/Region
  • Protokollierung und Revisionsdatum konfiguriert

15. 2 Vierteljährlich

  • Rollen-/Gruppenrevision, automatische Rückmeldung von „hängenden“ Rechten
  • Überprüfung von anormalen Ausfuhren und Bruchglas
  • Bestätigte Datenschutz-/Sicherheitstrainings

16) Fahrplan für die Umsetzung

Wochen 1-2: Bestandsaufnahme der Daten/Systeme, Klassifizierung, Grundrollenmatrix, Aktivierung der Standardmaskierung.
Wochen 3-4: ABAC (Mittwoch/Geo/MDM/Zeit), JIT und PAM, weiße Listen der Exporte, Zeitschriften 'purpose'.
Monat 2: Offboarding Automation, SOAR-Alerts (ohne' Purpose '/Anomalie), vierteljährliche Re-Zertifizierung.
Monat 3 +: Attributerweiterung (CUS-Level/Geräterisiko), Datenschutz-Thresholds, regelmäßige Tabletop-Übungen.

TL; DR

Least Privilege = minimales Scope + PII-Masking + ABAC + JIT/PAM-Kontext + hartes Audit und schneller Rückruf. Macht den Zugang überschaubar, reduziert das Risiko von Lecks/Betrug und beschleunigt die Durchführung von Audits.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.