Dauerrechte sind bequem – und gefährlich. Dieser Use Case macht privilegierten Zugriff (Admins, Engineers, Ops) Just-in-Time: nur wenn nötig, zeitlich begrenzt, mit Freigabe und sauberer Nachvollziehbarkeit. Ziel: in 60 Tagen deutlich weniger Dauerrechte und weniger “stille” Privilegien, die niemand mehr hinterfragt.
Wenn du willst, zeigen wir dir ein typisches JIT-Setup in einer kurzen Demo, zusammen mit unserem Technologiepartner.
Privilegien wachsen über Jahre: Projekte, Notfälle, Legacy. Am Ende gibt es viele dauerhafte Adminrechte, lokale Ausnahmen oder Shared Accounts. Das ist ein Einfallstor und erschwert Incident Response massiv (“Wer hatte Zugriff?” “Ist der Account noch aktiv?”). Gleichzeitig darf Betrieb nicht blockiert werden – Admins müssen arbeiten können.
Wir machen Privilegien zeitlich begrenzt und nachvollziehbar: Zugriff wird angefragt, freigegeben, genutzt und läuft automatisch aus. Wo sinnvoll setzen wir Bedingungen (z. B. nur aus bestimmten Zonen/Netzwerken). Danach bauen wir Dauerrechte schrittweise ab – ohne Big Bang, aber mit sichtbarer Reduktion von “always-on” Privilegien.
Typischer Rahmen: 2–4 Wochen bis Pilot, danach Rollout in Wellen.
Kritische Rollen/Systeme auswählen (Pilot)
JIT-Regeln definieren (Laufzeit, Freigabe, Bedingungen)
Pilot live nehmen (1–2 Teams / 1–2 Systeme)
Dauerrechte priorisiert abbauen
Review & Nachprüfung (monatlich/quarterly)
Bremst das Admins nicht aus?
Nicht, wenn es gut gebaut ist: klare Flows, kurze Freigabewege, sinnvolle Laufzeiten. Ziel ist schnell UND kontrolliert.
Was ist der schnellste Quick Win?
Dauerrechte befristen und Shared Accounts ersetzen. Das reduziert Risiko sofort.
Wie funktioniert “Break-glass”?
Als Ausnahme mit sehr kurzen Laufzeiten, klarer Freigabe/Protokollierung und anschliessender Nachprüfung.
Wie zeigt man Wirkung?
Weniger Dauerrechte, weniger lokale Admins/Shared Accounts, schnellere Entziehung im Incident – und bessere Audit-Antworten.
Lass uns JIT als Standard etablieren – damit Dauerrechte verschwinden, ohne dass Betrieb leidet.