Das Minimalprinzip (Principle of Least Privilege) besagt, dass jede Person und jedes System nur die Zugriffsrechte erhalten soll, die für die jeweilige Aufgabe zwingend erforderlich sind. Zusätzliche Berechtigungen erhöhen die Angriffsfläche und das Schadensausmaß bei einer Kompromittierung. ISO 27001 Annex A.5.15 und A.8.2 fordern die Umsetzung dieses Prinzips. In der Praxis bedeutet das: rollenbasierte Zugriffssteuerung (RBAC), regelmäßige Access Reviews und die konsequente Entfernung nicht mehr benötigter Rechte. Achte besonders auf privilegierte Konten (Admin-Accounts), da dort ein Verstoß gegen das Minimalprinzip besonders schwerwiegende Folgen haben kann.