Privileged Access Management (PAM) - Definition & Erklärung

Privileged Access Management (PAM) bezeichnet Lösungen und Prozesse zur Verwaltung privilegierter Zugänge - also Accounts mit erhöhten Rechten: Systemadministratoren, Domain Admins, Root-Accounts, Service Accounts und Datenbankadministratoren. Diese Accounts sind das häufigste Ziel von Cyberangriffen, weil mit ihnen ganze Umgebungen kompromittiert werden können.

Das Problem mit privilegierten Accounts

Ein Domain Admin-Konto kann:

Alle Passwörter im Netzwerk auslesen (DCSync-Angriff)
Auf alle Dateisysteme zugreifen
Jeden Benutzer imitieren
Backdoors für dauerhaften Zugang anlegen
Alle Systeme verschlüsseln (Ransomware)

Typische Schwachstellen in Unternehmen:

Shared Credentials: Mehrere Admins nutzen dasselbe Passwort
Dauerhafte Privilegien: Admin-Accounts sind 24/7 aktiv, auch wenn nicht gebraucht
Keine Aufzeichnung: Was der Admin gemacht hat, ist nicht nachvollziehbar
Default Passwords: Service Accounts nie geändert (seit Jahren)
Überprivilegierung: Entwickler haben mehr Rechte als nötig

PAM-Kernfunktionen

Credential Vault (Passwort-Safe)

Alle privilegierten Passwörter werden zentral gespeichert, automatisch rotiert und nur bei Bedarf ausgecheckt. Kein Mensch kennt das permanente Passwort - nur den Vault.

Admin authentifiziert sich am PAM mit MFA
Fordert Datenbankzugang an (mit Begründung)
PAM checkt Passwort aus Vault aus (einmalig, zeitbegrenzt)
Nach X Stunden: Passwort wird automatisch rotiert
Session wird aufgezeichnet für Audit

Session Management

Videoaufzeichnung von RDP/SSH-Sessions (wer hat was getan?)
Keystroke Logging
Live-Überwachung durch SOC möglich
Sessions können im Notfall getrennt werden

Just-in-Time (JIT) Privilegien

Admin-Rechte werden nicht dauerhaft vergeben, sondern nur für den Zeitraum der tatsächlichen Nutzung:

Normal: Kein Admin-Recht (Standard-User-Konto)
Bei Bedarf: Admin beantragt erhöhte Rechte (Ticketnummer, Begründung)
Genehmigt: Rechte aktiv für 2 Stunden
Danach: Automatischer Entzug der Rechte

Privileged Elevation and Delegation Management (PEDM)

Granulare Freigabe spezifischer Befehle statt voller Root-Rechte:

# Statt: User "backup_admin" hat volle sudo-Rechte
# Besser: User "backup_admin" darf nur spezifische Befehle:
sudo /usr/bin/rsync --archive /data /backup
sudo systemctl start backup-service
# Alle anderen sudo-Befehle: verweigert

Marktführende PAM-Lösungen

Lösung	Hersteller	Besonderheit
CyberArk	CyberArk	Marktführer Enterprise, On-Prem + Cloud
BeyondTrust	BeyondTrust	PEDM-Fokus, Windows-Stärke
Delinea (Thycotic/Centrify)	Delinea	Mid-Market, gute SaaS-Option
HashiCorp Vault	HashiCorp	Developer-freundlich, Secrets Management
Azure AD PIM	Microsoft	Für Microsoft/Entra-ID-Umgebungen

Compliance-Anforderungen

NIS2 Art. 21: Privilegierte Zugangskontrollen als explizite Anforderung.

PCI DSS v4.0 Req. 7: Zugriff auf Karteninhaberdaten auf das Minimum beschränken.

ISO 27001 A.8.2: Privilegierte Zugangsrechte - Kontrolle und regelmäßige Überprüfung.

BSI IT-Grundschutz ORP.4.A14: Schutz privilegierter Konten - regelmäßige Rechtereduzierung.

PAM vs. IAM vs. IDM

Begriff	Fokus	Beispiel
IAM (Identity & Access Management)	Alle Benutzer, alle Zugänge	Mitarbeiter-Onboarding, SSO, RBAC
PAM (Privileged Access Management)	Nur privilegierte Accounts	Admin-Passwörter, Session Recording
IDM (Identity Management)	Lifecycle Management	Provision/Deprovision von Accounts

PAM ist eine Spezialisierung von IAM für den hochriskanten privilegierten Bereich.

Quick Wins ohne vollständige PAM-Lösung

Ohne Budget für Enterprise-PAM sofort umsetzbar:

LAPS (Local Admin Password Solution): Microsoft-kostenlos, rotiert lokale Admin-Passwörter
Azure AD PIM: Für Microsoft-Umgebungen, JIT für M365/Entra-Rollen
Separation of Duties: Admin hat zwei Accounts (normaler User + Admin-Account)
Passwort-Manager für Teams (KeePass, Bitwarden Teams): Credential Vault light
Audit Logging: Alle privilegierten Sessions in SIEM schicken