Least Privilege (Prinzip der minimalen Rechte) bedeutet, dass jeder Benutzer, jeder Prozess und jedes System nur die Zugriffsrechte erhält, die für die jeweilige Aufgabe tatsächlich erforderlich sind. Überschüssige Rechte werden entzogen. Das Prinzip reduziert die Angriffsfläche erheblich: Wird ein Konto kompromittiert, kann der Angreifer nur auf die Ressourcen zugreifen, die diesem Konto zugewiesen sind. Für dein ISMS ist Least Privilege eine Grundanforderung, die sich durch die gesamte Zugriffskontrolle zieht — von Benutzerkonten über Dienstkonten bis hin zu API-Schlüsseln. Regelmäßige Rezertifizierungen stellen sicher, dass einmal vergebene Rechte nicht über die tatsächliche Notwendigkeit hinaus bestehen bleiben.