Privileged Access Management: Admin-Konten absichern - aber richtig
Privileged Access Management (PAM) schützt die mächtigsten Zugänge in Ihrer IT-Infrastruktur: Admin-Accounts, Root-Zugänge, Service-Accounts und Datenbankpasswörter. Dieser Guide erklärt PAM-Architektur, vergleicht CyberArk, BeyondTrust und HashiCorp Vault, erklärt Just-in-Time Access und zeigt eine realistische Implementierungs-Roadmap für den Mittelstand.
Vincent Heinen Abteilungsleiter Offensive Services TL;DR
Privileged Access Management (PAM
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (5 Abschnitte)
Privilegierte Zugänge sind das Kronjuwel jeder IT-Infrastruktur. Wer Admin-Zugang hat, kann alles: Logs löschen, Backups vernichten, Daten stehlen, Ransomware deployen. Kein Wunder, dass 80% aller schwerwiegenden Sicherheitsvorfälle privilegierte Konten involvieren (CyberArk Global Threat Report). PAM ist der systematische Schutz dieser Zugänge.
Was sind privilegierte Zugänge?
Menschliche Accounts
- Domain Admins (Active Directory)
- Lokale Administrator-Accounts auf Windows-Servern
- Root-User auf Linux-Servern
- Datenbankadministratoren (DBA)
- Cloud-Tenant-Admins (Azure Global Admin, AWS Root)
- Netzwerk-Admin-Zugänge (Firewall, Switch, Router)
- Security-Tool-Admins (SIEM, EDR, PAM selbst)
Nicht-menschliche Accounts (oft vergessen!)
- Service-Accounts: Anwendungen die im Hintergrund laufen
- Application Accounts: Verbindungen zwischen Systemen
- SSH-Keys: Automatisierte Skripte, CI/CD-Pipelines
- API-Keys: Cloud-APIs, externe Dienste
- Passwörter in Konfigurationsdateien (hardcoded → FATAL)
Typische Probleme ohne PAM
- Shared Admin Passwords: alle IT-Admins kennen dasselbe “Admin123”
- Never-expiring Service Accounts: Passwörter 5+ Jahre unverändert
- SSH-Keys ohne Rotation: einmal erstellt, vergessen
- Hardcoded Secrets in Git: API-Keys öffentlich auf GitHub
- Kein Audit Trail: wer hat was wann gemacht?
- Überprivilegierung: Developer haben Production-DB-Admin-Rechte
PAM-Architektur
Kernkomponenten einer PAM-Lösung
1. Credential Vault (Passwort-Tresor)
- Zentraler verschlüsselter Speicher für alle privilegierten Zugänge
- Automatische Passwort-Rotation (nach Session-Ende)
- FIPS 140-2 zertifizierte Verschlüsselung
- Backup: Hochverfügbarkeit, Air-Gapped Backup
- Break-Glass: Notfall-Zugang wenn PAM-System ausfällt
2. Session Management (Proxy/Bastion Host)
- Alle Admin-Verbindungen gehen durch PAM-Proxy
- User verbindet: User → PAM-Proxy → Zielsystem
- PAM injiziert Zugangsdaten (User kennt sie nie!)
- Protokolle: RDP, SSH, Telnet, Web-Browsing, Datenbankverbindungen
3. Session Recording
- Video-Aufzeichnung aller privilegierten Sessions
- Keystroke-Logging
- Compliance-Nachweis: wer hat wann was eingegeben?
- Forensik: vollständige Aktivitätsrekonstruktion
- Storage: 1h Video ≈ 50-100 MB (komprimiert)
4. Just-in-Time (JIT) Access
- Privilegierte Rechte nur für definierten Zeitraum
- Antrag → Genehmigung → temporärer Zugang → automatischer Entzug
- “Zero Standing Privileges”: keine dauerhaften Admin-Rechte
5. Threat Analytics
- Verhaltensanalyse: ungewöhnliche Admin-Aktivitäten erkennen
- Anomalie-Alerts: Admin-Login um 3 Uhr? Ungewöhnlicher Befehl?
- Integration in SIEM
PAM-Flow (JIT-Workflow)
- Admin → Request: “SSH-Zugang zu db-prod-01 für 2h, Begründung: Notfall-Maintenance”
- PAM → Genehmigung-Workflow: Manager/CISO genehmigt
- PAM → Temporäres Passwort generiert (nur für 2h gültig)
- Admin → Verbindet über PAM-Proxy → db-prod-01 (sieht Passwort NIE)
- PAM → Session wird aufgezeichnet (Video + Keystrokes)
- PAM → Nach 2h: Session beendet, Passwort rotiert
- PAM → Audit Log: vollständige Aktivität dokumentiert
PAM-Lösungen im Vergleich
CyberArk Privileged Access Security
Stärken:
- Marktführer (Gartner Magic Quadrant Leader)
- Umfangreichste Funktionen: Vault, Session Manager, Analytics
- Breite Integration: AD, LDAP, SIEM, Ticketsysteme
- On-Premises + Cloud (CyberArk Cloud)
Schwächen:
- Hohe Kosten: 200-400+ USD/User/Jahr
- Komplex zu implementieren (Spezialist erforderlich)
- Overhead für KMU oft zu groß
Geeignet für: Enterprise (1000+ MA), stark regulierte Branchen
BeyondTrust Privileged Access Management
Stärken:
- Starke Remote-Support-Integration (Fernzugriff)
- Gutes Privilege Elevation Management (Windows)
- Cloud-PAM stark gewachsen
- Einfachere Implementierung als CyberArk
Schwächen:
- Reporting könnte besser sein
- UNIX/Linux-Fokus schwächer als Windows
Geeignet für: Mittelstand + Enterprise, starker Windows-Fokus
HashiCorp Vault (Open Source + Enterprise)
Stärken:
- Open Source Core kostenlos
- Developer-freundlich: API-first Design
- Secrets Management + Dynamic Secrets (generiert Credentials on-demand)
- Cloud-native: perfekt für DevOps/Kubernetes
Schwächen:
- Kein Session Recording (braucht Ergänzung z.B. Teleport)
- Steilere Lernkurve für klassische IT
- Kein klassisches GUI für IT-Admins
Geeignet für: DevOps-Teams, Cloud-native Umgebungen
Teleport (Open Source + Enterprise)
Stärken:
- Certificates statt Passwörter für SSH/Kubernetes/DB
- Session Recording inklusive (auch kostenfrei!)
- Modern: Web-UI + CLI
- Kostenlose Community Edition für kleine Teams
Preise: Community kostenlos; Enterprise ab 5 USD/User/Monat
Geeignet für: Cloud-native, Linux-Umgebungen, DevOps
Delinea (ehem. Thycotic/Centrify)
Stärken:
- Secret Server: sehr gutes Credential-Management
- Einfacher zu implementieren als CyberArk
- SaaS-Option verfügbar
- Guter Preis/Leistung für Mittelstand
Preise: ab 7 USD/User/Monat
Geeignet für: Mittelstand 200-2000 MA
Einstieg für KMU ohne dediziertes PAM
Kurzfristig (kostenlos):
- Bitwarden Business: Passwörter sicher teilen (kein Session Recording)
- Separate Admin-Accounts: nie mit Admin-Account surfen!
- Local Administrator Password Solution (LAPS): Kostenloses Microsoft-Tool, rotiert lokale Admin-Passwörter automatisch
Mittelfristig (unter 5.000 EUR/Jahr):
- Teleport Community: SSH + RDP Session Management kostenlos
- Delinea Secret Server Express: kostenlos bis 10 User
- Starke MFA für alle Admin-Accounts: Microsoft Authenticator/YubiKey
Just-in-Time Access implementieren
JIT-Access mit Microsoft Entra ID Privileged Identity Management (PIM)
Verfügbar ab: Microsoft Entra ID P2 (M365 E5 oder Add-on) - Preis: ca. 8 EUR/Monat/User (nur für Admins nötig!)
Konfiguration:
-
Entra ID → Identity Governance → Privileged Identity Management
-
Azure AD Roles → Settings → Global Administrator:
- Activation maximum duration: 4 hours
- Require approval: YES (CISO genehmigt)
- Require MFA on activation: YES
- Require justification on activation: YES
-
Eligible Assignments: Admins werden “eligible” (nicht dauerhaft) für Global Admin und können Rechte aktivieren wenn benötigt
JIT-Aktivierung (Admin-Perspektive):
- myaccount.microsoft.com → Pending Activations
- “Activate Global Administrator”
- Begründung eingeben: “Kritische Entra ID Konfiguration für Incident”
- MFA bestätigen
- Manager-Genehmigung (E-Mail + App)
- 4 Stunden Admin-Rechte → automatischer Entzug
Ergebnis:
- Kein dauerhafter Global Admin außer Break-Glass-Account
- Vollständiger Audit Trail aller Aktivierungen
- Genehmigungsprozess verhindert unkontrollierten Zugriff
JIT für SSH mit Teleport
# Teleport Certificate Authority statt SSH-Keys:
tctl users add alice --roles=db-admin --logins=root
# Zeitlich begrenzte Zertifikate (10h, dann abgelaufen):
tsh login --proxy=teleport.firma.de --user=alice --ttl=10h
# DB-Zugang mit Session Recording:
tsh db connect --db-user=admin --db-name=prod-db postgres-prod
# Admin sieht: Session wird aufgezeichnet und ist auditierbar
# Kein dauerhafter SSH-Key, kein Passwort gespeichertImplementierungs-Roadmap
Phase 1: Quick Wins (Monat 1-2, low cost)
- LAPS aktivieren: lokale Admin-Passwörter automatisch rotieren
- Microsoft Entra PIM: für Global Admin, Exchange Admin, SharePoint Admin
- Separate Admin-Accounts einführen:
- admin.müller@firma.de (nur für Admin-Tasks)
- müller@firma.de (tägl. Arbeit, kein Admin)
- Break-Glass-Account einrichten:
- break-glass@firma.de (im Tresor, 2x YubiKey)
- Nur für PAM-Ausfall und echte Notfälle
Phase 2: Credential Vault (Monat 3-4)
- PAM-Lösung auswählen + deployen (Teleport Community oder Delinea Express)
- Server-Admin-Passwörter in Vault migrieren
- Automatische Passwort-Rotation aktivieren
- Alle Service-Account-Passwörter in Vault
- Audit Log: alle Passwort-Abrufe werden protokolliert
Phase 3: Session Management (Monat 5-6)
- Bastion Host / PAM-Proxy für Server-Zugriffe
- Session Recording aktivieren (30 Tage Aufbewahrung)
- Alle Admin-Sessions gehen über PAM-Proxy
- Direkter SSH/RDP-Zugang zu Produktionssystemen blockieren
Phase 4: JIT + Analytics (Monat 7-12)
- JIT-Workflow für alle kritischen Rollen
- Verhaltensanalyse: Anomalie-Alerts
- Integration in SIEM (Audit Logs → Sentinel/Splunk)
- Regelmäßige Access Reviews (quartalsweise)
Budget-Übersicht
| Phase | Kosten | Anmerkung |
|---|---|---|
| Phase 1 | 0 EUR | LAPS, PIM in M365 P2 |
| Phase 2-4 | 5.000-50.000 EUR | je nach Unternehmensgröße und Tool |
| ROI | 500k-5 Mio EUR | Ein verhinderter Admin-Kompromittierungsvorfall spart diese Summe |
PAM ist keine Optional-Maßnahme für Unternehmen mit schützenswerten Systemen - es ist die Grundsicherung für alle kritischen IT-Zugänge. AWARE7 unterstützt bei der PAM-Tool-Auswahl, Implementierungsplanung und Integration in bestehende IAM-Umgebungen.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
