Privileged Access Management (PAM)

Privilegierte Konten – Administrator, root, Domain Admin, Service Accounts – sind das attraktivste Angriffsziel in jedem Netzwerk. Wer einen Domain-Admin-Account kompromittiert, hat im schlimmsten Fall die gesamte Active-Directory-Infrastruktur unter Kontrolle. Laut Untersuchungen von Sicherheitsdienstleistern sind privilegierte Zugänge an mehr als 80 % aller schwerwiegenden Datenpannen beteiligt.

Privileged Access Management (PAM) ist das Konzept und die Technologie, die privilegierte Zugänge kontrolliert, überwacht und auf das notwendige Minimum beschränkt. Der Kerngedanke: Kein Mensch soll dauerhaft Admin-Rechte haben – diese werden nur für den konkreten Bedarf, für eine begrenzte Zeit, mit vollständiger Protokollierung erteilt. Das nennt sich JIT – Just-in-Time Access.

1) Das Risiko dauerhafter Admin-Rechte

Dauerhaft vergebene Admin-Rechte sind ein systemisches Risiko. Ein einziger erfolgreicher Phishing-Angriff auf einen Administrator reicht aus, um weitreichenden Schaden anzurichten. Die folgende Risikokette zeigt, wie ein einfacher Angriff eskalieren kann, wenn privilegierte Zugänge nicht kontrolliert werden.

Angriffskette bei unkontrollierten Admin-Rechten

1Phishing-E-Mail mit täuschend echtem Link – Admin-Mitarbeiter Sven klickt

↓

2Credentials werden auf Fake-Seite eingegeben – Angreifer erhält Svens Benutzername + Passwort

↓

3Sven hat dauerhaften Domain-Admin-Account → Angreifer hat sofort Domain-Admin-Rechte

↓

4Angreifer erstellt weitere Admin-Konten, deaktiviert Logging, lädt Passwort-Hashes aller Nutzer

↓

5Ransomware wird auf alle Domain-Mitglieder ausgerollt – gesamte Infrastruktur verschlüsselt

Mit PAM wäre Schritt 3 entschärft: Sven hat nur einen Standard-User-Account für den Alltag. Für Admin-Aufgaben muss er im PAM-System einen Antrag stellen, der genehmigt wird und nach 2 Stunden abläuft. Sein kompromittierter Alltags-Account gibt dem Angreifer keine Admin-Rechte.

2) JIT-Zugriff: Just-in-Time Access

Just-in-Time Access ist das Herzstück von PAM: Admin-Rechte werden nicht dauerhaft vergeben, sondern auf Anfrage für einen definierten Zeitraum (z.B. 2 Stunden) erteilt, nach Ablauf automatisch entzogen und vollständig protokolliert. Die Animation zeigt den typischen JIT-Ablauf.

JIT-Zugriffsanfrage – Schritt für Schritt

👤Admin Sven beantragt temporären Zugriff: „Server-Neustart DB-Prod, Dauer: 1h, Begründung: geplante Wartung"wartend

✅Vorgesetzter genehmigt Antrag im PAM-System (4-Augen-Prinzip)wartend

🔑PAM-System erteilt temporäre Admin-Rechte (Ablauf: 60 Minuten, Logging aktiv)wartend

🖥️Sven führt Wartungsaufgabe durch – alle Kommandos werden in Session-Recording aufgezeichnetwartend

⏱️Nach 60 Minuten: Rechte automatisch entzogen, Session abgemeldetwartend

📋Vollständiges Audit-Log: Wer, was, wann, welche Befehle – für Compliance und Forensikwartend

Drücke „JIT-Ablauf zeigen" um die Animation zu starten.

Session Recording ist ein wichtiges Feature moderner PAM-Lösungen: Alle Tastatureingaben und Bildschirmaktivitäten während einer privilegierten Sitzung werden aufgezeichnet. Das schreckt Insider-Angreifer ab und ermöglicht eine vollständige forensische Nachverfolgung bei Vorfällen.

3) PAM-Komponenten

Ein vollständiges PAM-System besteht aus mehreren integrierten Komponenten. Klicke auf eine Komponente für Details.

PAM-Komponenten – Klicke für Details

Password Vault

Passwörter zentral speichern und rotieren

Just-in-Time Access

Temporäre Rechte auf Antrag

Session Recording

Aufzeichnung privilegierter Sitzungen

Threat Analytics

Anomalie-Erkennung bei Admin-Aktivität

Klicke auf eine Komponente für Details.

4) PAM-Produkte und Implementierung

Produkt	Hersteller	Besonderheit
CyberArk	CyberArk Software	Marktführer Enterprise-PAM, umfangreichstes Feature-Set
BeyondTrust	BeyondTrust	Stärken: Endpoint-Privilege-Management, Remote-Support
Delinea (Thycotic)	Delinea	Secret Server, cloud-nativ, einfachere Einführung
Entra PIM	Microsoft	Azure AD-integriert, JIT für Cloud-Rollen
HashiCorp Vault	HashiCorp	Open-Source-nah, ideal für DevOps und Cloud-Secrets

Zusammenfassung

PAM schützt privilegierte Zugänge durch drei Kernmaßnahmen: Password Vault (kein Mensch kennt Admin-Passwörter dauerhaft), JIT Access (Admin-Rechte nur zeitlich begrenzt auf Antrag), Session Recording (vollständige Protokollierung). Kerngrundsatz: Kein dauerhafter Admin-Account für den Alltag. Eng verbunden mit RBAC (Rollen definieren Basis-Rechte), MFA (Pflicht für privilegierte Zugänge) und Zero Trust.

Privileged Access Management (PAM)

1) Das Risiko dauerhafter Admin-Rechte

2) JIT-Zugriff: Just-in-Time Access

3) PAM-Komponenten

4) PAM-Produkte und Implementierung

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title