PAllgemein

Privileged Access Management (PAM)

Verwaltung besonders mächtiger Konten: Admin-Zugriffe, Vault, Freigaben, Logs.

Privileged Access Management (PAM) ist die kontrollierte Verwaltung von besonders mächtigen Benutzerkonten und Zugriffsrechten (z. B. Administrator-, Root- oder Service-Accounts). Ziel ist, Missbrauch und Datenpannen zu verhindern, indem privilegierte Zugriffe nur bei Bedarf, zeitlich begrenzt, nachvollziehbar und möglichst ohne dauerhaft bekannte Passwörter erfolgen.

Was bedeutet „privileged“ bei Zugängen?

„Privilegiert“ sind Konten, die mehr dürfen als normale Nutzer: Systeme konfigurieren, Benutzer anlegen, Logs löschen, Datenbanken auslesen oder Sicherheitsfunktionen deaktivieren. In kleinen Unternehmen sind das oft: Domänen-Admin, Server-/Firewall-Admin, Cloud-Admin (z. B. Microsoft 365), Datenbank-Admin sowie technische Service-Konten in Anwendungen und Automatisierungen.

Wie funktioniert PAM in der Praxis?

  • Inventarisieren: Alle privilegierten Konten und Zugriffswege erfassen (AD, Server, Netzwerkgeräte, SaaS, Datenbanken, Anwendungen).
  • Vault & Secrets: Admin-Passwörter/Keys in einem gesicherten Tresor (Vault) speichern, automatisiert rotieren und nicht mehr in Excel/Notizen verteilen.
  • Least Privilege: Rechte minimieren: Nutzer arbeiten standardmäßig ohne Admin-Rechte; Admin-Rechte nur für konkrete Aufgaben.
  • Just-in-Time (JIT) & Freigaben: Privilegierte Rechte werden nur temporär vergeben (z. B. 30–120 Minuten), idealerweise nach Genehmigung (Vier-Augen-Prinzip).
  • Sichere Sessions: Admin-Zugriffe laufen über einen PAM-Proxy/Jump Host; Passwörter werden nicht angezeigt, sondern „ausgeliehen“ oder der Login wird vermittelt.
  • Logging & Monitoring: Jede privilegierte Aktion wird protokolliert (wer, wann, was, auf welchem System) – oft inklusive Session-Aufzeichnung.
  • Notfallzugang („Break Glass“): Definierter Prozess für Ausfälle, inkl. dokumentierter Nutzung und nachträglicher Prüfung.

Warum ist PAM wichtig für IT-Sicherheit & Datenschutz (KMU)?

Angreifer zielen häufig auf Admin-Zugänge, weil sie damit „alles“ können: Ransomware ausrollen, Backups löschen, Daten exfiltrieren oder Spuren verwischen. PAM reduziert dieses Risiko, weil kompromittierte Nutzerkonten nicht automatisch zu vollständiger Kontrolle führen und weil privilegierte Tätigkeiten sichtbar und überprüfbar werden.

Aus DSGVO-Sicht unterstützt PAM zentrale Pflichten: Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) sowie geeignete technische und organisatorische Maßnahmen (Art. 32 DSGVO). Besonders wichtig ist die Nachvollziehbarkeit: Wenn personenbezogene Daten betroffen sind, helfen PAM-Logs bei der Ursachenanalyse, beim Nachweis von Kontrollen und bei der Bewertung einer möglichen Meldepflicht (Art. 33/34 DSGVO).

Beispiele aus dem KMU-Alltag

  • IT-Dienstleister-Zugriff: Externe Admin-Zugänge werden nur bei Ticket-Freigabe und zeitlich begrenzt aktiviert; die Session wird geloggt.
  • Microsoft 365 Admin: Global-Admin wird selten genutzt; stattdessen rollenbasierte Admin-Rechte und JIT-Aktivierung.
  • Service-Accounts: Passwörter/Keys werden automatisch rotiert und nicht in Skripten hart verdrahtet (Verknüpfung zu Secrets Management).

Was kostet PAM?

Die Kosten hängen stark von Nutzerzahl, Systemen und Funktionsumfang ab (Vault, JIT, Session-Recording, Integrationen). Für KMU gibt es oft gestaffelte Lizenzmodelle (pro privilegiertem Nutzer/Account oder pro System). Zusätzlich fallen Aufwand für Einführung (Inventar, Rollen, Prozesse) und Betrieb (Reviews, Rotation, Alarmierung) an.

Praktische Mindestmaßnahmen (wenn „voll PAM“ noch nicht geht)

  • Separate Admin-Konten (kein Admin mit dem normalen E-Mail-Account).
  • MFA für alle Admin-Zugänge, wo möglich.
  • Zentrale Passwortablage mit Rotation und Zugriffskontrolle (Vault).
  • Regelmäßige Rechte-Reviews und saubere Offboarding-Prozesse.
  • Aktiviertes Logging und sichere Aufbewahrung der Logs (Manipulationsschutz).