Just-in-Time Access
Sicherheitsprinzip, bei dem privilegierte Zugriffsrechte nur bei Bedarf und zeitlich begrenzt vergeben werden — statt dauerhafter Admin-Berechtigungen.
Just-in-Time Access (JIT Access) ist ein Sicherheitskonzept, bei dem privilegierte Berechtigungen nicht dauerhaft vergeben, sondern erst auf Anfrage und für einen definierten Zeitraum aktiviert werden. Nach Ablauf der Frist werden die Rechte automatisch entzogen. Ziel ist es, die Angriffsfläche zu minimieren, die durch permanent vorhandene Admin-Konten entsteht — das sogenannte Standing Privilege Problem.
Das Standing Privilege Problem
In vielen Unternehmen besitzen Administratoren dauerhaft erhöhte Rechte, auch wenn sie diese nur selten benötigen. Ein Domain Admin, der seine Rechte rund um die Uhr hält, bietet Angreifern ein permanentes Ziel. Wird das Konto kompromittiert — etwa durch Phishing oder Kerberoasting — erhält der Angreifer sofort vollen Zugriff auf die gesamte Infrastruktur.
Das Risiko wird durch die Realität im Tagesgeschäft verschärft: Viele Administratoren nutzen ihre privilegierten Konten auch für alltägliche Aufgaben wie E-Mail und Recherche im Web. Jede dieser Aktivitäten wird damit zur potenziellen Angriffsfläche. Standing Privileges sind einer der kritischsten Faktoren für erfolgreiche Lateral Movement-Angriffe und ein zentraler Grund, warum Angreifer in der Praxis oft innerhalb weniger Stunden vom initialen Zugriff bis zum Domain Admin vordringen.
Funktionsweise
Ein JIT-Access-Workflow folgt einem klaren Ablauf: Ein Administrator fordert erhöhte Rechte über ein Self-Service-Portal oder ein Ticket-System an. Die Anfrage wird geprüft — je nach Implementierung automatisch anhand vordefinierter Richtlinien oder manuell durch einen Genehmiger. Nach Freigabe werden die Berechtigungen für einen begrenzten Zeitraum aktiviert, typischerweise zwischen 30 Minuten und 8 Stunden. Sämtliche Aktionen während der privilegierten Sitzung werden protokolliert. Nach Ablauf der Zeit werden die Rechte automatisch entzogen, ohne dass ein manueller Eingriff nötig ist.
JIT Access im Microsoft-Ökosystem
Microsoft bietet mehrere native Mechanismen für JIT Access. Entra ID Privileged Identity Management (PIM) ermöglicht die zeitlich begrenzte Aktivierung von Entra-ID-Rollen und Azure-Ressourcenrollen mit optionalem Genehmigungsworkflow und MFA-Erzwingung. Im On-Premises-Bereich lässt sich JIT über temporäre Gruppenmitgliedschaften in Active Directory realisieren — ein Feature, das mit dem Tiering-Modell kombiniert besonders wirksam ist. LAPS ergänzt JIT, indem es lokale Admin-Passwörter automatisch rotiert und den Abruf an Berechtigungen knüpft.
Abgrenzung zu PAM
JIT Access ist eine Kernkomponente von Privileged Access Management, aber nicht mit PAM gleichzusetzen. PAM umfasst das gesamte Spektrum der Verwaltung privilegierter Zugänge: Password Vaulting, Session Recording, Credential Rotation und Threat Analytics. JIT Access konzentriert sich auf den Aspekt der zeitlichen Begrenzung. In der Praxis ist JIT Access am wirksamsten, wenn es in eine umfassende PAM-Strategie eingebettet ist — kombiniert mit Session-Überwachung und automatischer Credential-Rotation.
Verbindung zu Zero Trust
JIT Access ist ein natürlicher Baustein einer Zero-Trust-Architektur. Das Zero-Trust-Prinzip fordert, dass jeder Zugriff explizit verifiziert wird — und zwar nicht nur zum Zeitpunkt der Anmeldung, sondern kontinuierlich. JIT Access setzt dieses Prinzip für privilegierte Rechte um: Statt einmal vergebener Dauerrechte wird bei jeder Anfrage erneut geprüft, ob der Zugriff gerechtfertigt ist. In Kombination mit Conditional Access und MFA entsteht eine mehrstufige Absicherung, die kompromittierte Konten deutlich weniger gefährlich macht.
Relevanz für KMUs
JIT Access ist keine reine Enterprise-Lösung. KMUs, die Microsoft 365 E5 oder eine Entra ID P2-Lizenz einsetzen, haben mit Entra ID PIM bereits ein JIT-fähiges Werkzeug zur Verfügung. Auch ohne dedizierte PAM-Lösung lässt sich das Prinzip umsetzen: Administratoren arbeiten im Tagesgeschäft mit unprivilegierten Konten und aktivieren erhöhte Rechte nur bei Bedarf über PIM.
Der häufigste Fehler in der Praxis ist, dass IT-Verantwortliche dauerhaft mit Domain-Admin-Konten arbeiten, weil der Wechsel zwischen Konten als umständlich empfunden wird. Schon die konsequente Trennung von Alltagskonto und Admin-Konto — kombiniert mit zeitlich begrenzter Rechteaktivierung — eliminiert Standing Privileges und reduziert das Risiko erheblich, dass ein kompromittiertes Konto zur vollständigen Übernahme der Umgebung führt.