2026-03-08
By Emre SalmanogluPrivileged Access Management (PAM): Der umfassende Leitfaden für Compliance- und Sicherheitsteams
Erfahren Sie, wie Sie Privileged Access Management implementieren, das ISO 27001, SOC 2, NIS2 und DORA erfüllt. Behandelt PAM-Architektur, Session-Management, Just-in-Time-Zugriff, Credential Vaulting und Compliance-Nachweise.
PAM
Privilegierter Zugriff
Identitätssicherheit
Least Privilege
Compliance
Was ist Privileged Access Management?
Privileged Access Management (PAM) ist die Sicherheitsdisziplin, die den gesamten Zugriff mit erhöhten Berechtigungen in der IT-Umgebung einer Organisation kontrolliert, überwacht und auditiert. Es schützt die mächtigsten Konten der Organisation — Administratorkonten, Dienstkonten und Notfallzugriffskonten — die bei Kompromittierung einem Angreifer uneingeschränkten Zugang zu kritischen Systemen und Daten geben würden.
Für Compliance-getriebene Organisationen liefert PAM die Kontrollen und Auditnachweise, die zum Nachweis einer ordnungsgemäßen Steuerung privilegierter Zugriffe gemäß ISO 27001, SOC 2, NIS2 und DORA erforderlich sind.
Typen privilegierter Konten
| Kontotyp | Beschreibung | Risikostufe |
|---|---|---|
| Domänenadmin | Vollständige Kontrolle über Active Directory und alle verbundenen Systeme | Kritisch |
| Root/Sudo | Uneingeschränkter Zugang auf Linux/Unix-Systemen | Kritisch |
| Cloud-Admin | AWS Root, Azure Global Admin, GCP Organisation Admin | Kritisch |
| Datenbankadmin | Vollzugriff auf Datenbankserver und Daten | Hoch |
| Dienstkonto | Anwendung-zu-Anwendung-Authentifizierung mit Systemberechtigungen | Hoch |
| Netzwerkadmin | Konfigurationszugriff auf Router, Switches, Firewalls | Hoch |
| Break-Glass-Konto | Notfallzugang unter Umgehung normaler Kontrollen | Kritisch |
| Anwendungsadmin | Administrativer Zugang innerhalb von Geschäftsanwendungen | Mittel-Hoch |
PAM-Architekturkomponenten
| Komponente | Funktion | Beispiele |
|---|---|---|
| Credential Vault | Sichere Speicherung und Rotation privilegierter Anmeldedaten | CyberArk, BeyondTrust, Delinea |
| Session-Manager | Aufzeichnung und Überwachung privilegierter Sitzungen | CyberArk PSM, BeyondTrust, Teleport |
| Zugangs-Gateway | Proxy für privilegierte Verbindungen ohne Credential-Offenlegung | CyberArk, Teleport, StrongDM |
| JIT-Zugriffsengine | Temporäre Berechtigungserweiterung mit Genehmigungsworkflows | Azure PIM, CyberArk, Britive |
| Privilege Analytics | Verhaltensanalyse privilegierter Aktivitäten | CyberArk, Securonix |
| Secrets-Manager | Anwendungs-Credential-Management und -Injection | HashiCorp Vault, AWS Secrets Manager |
PAM-Kontrollen
| Kontrolle | Beschreibung | Implementierung |
|---|---|---|
| Least Privilege | Minimale Berechtigungen für jede Rolle gewähren | Rollenbasierter Zugriff mit regelmäßiger Überprüfung |
| Credential Vaulting | Alle privilegierten Anmeldedaten im verschlüsselten Tresor speichern | Automatisierte Rotation, keine geteilten Passwörter |
| Just-in-Time-Zugriff | Zeitlich begrenzte Berechtigungserweiterung mit Genehmigung | Workflow-basierte Anfragen, automatischer Ablauf |
| Session-Aufzeichnung | Alle privilegierten Sitzungen für Audit aufzeichnen | Videoähnliche Wiedergabe, Tastaturprotokollierung |
| MFA-Durchsetzung | Multi-Faktor für alle privilegierten Zugriffe erfordern | FIDO2 oder Hardware-Token für Admins |
| Funktionstrennung | Verhindern, dass eine Person kritische Aufgaben allein ausführt | Doppelgenehmigung, Rollentrennung |
| Zugriffszertifizierung | Regelmäßige Überprüfung privilegierter Zugriffsrechte | Vierteljährliche Reviews mit Manager-Bestätigung |
Lebenszyklus privilegierter Zugriffe
| Phase | Aktivitäten | Kontrollen |
|---|---|---|
| Anfrage | Benutzer fordert privilegierten Zugriff mit geschäftlicher Begründung an | Genehmigungsworkflow, Risikobewertung |
| Genehmigung | Manager und Sicherheitsteam prüfen und genehmigen | Doppelgenehmigung für kritische Systeme |
| Bereitstellung | Zeitlich begrenzten Zugriff gewähren, Credentials injizieren | JIT-Erweiterung, Credential Vault |
| Überwachung | Sitzung aufzeichnen, auf anomale Aktivitäten überwachen | Session-Aufzeichnung, Verhaltensanalyse |
| Überprüfung | Privilegierte Aktivität gegen erwartetes Verhalten prüfen | Post-Session-Review, Compliance-Checks |
| Entzug | Zugriff automatisch entziehen bei Zeitablauf | Automatischer Ablauf, Credential-Rotation |
| Zertifizierung | Periodische Überprüfung aller privilegierten Zugriffsrechte | Vierteljährliche Zugriffszertifizierung |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Privilegierte Zugriffskontrolle | A.8.2 | CC6.3 | Art. 21(2)(i) | Art. 9(4) |
| Least Privilege | A.8.3 | CC6.1 | Art. 21(2)(i) | Art. 9(2) |
| Zugriffsüberprüfung | A.5.18 | CC6.2 | Art. 21(2)(i) | Art. 9(2) |
| Sitzungsüberwachung | A.8.15 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Credential-Management | A.8.5 | CC6.1 | Art. 21(2)(j) | Art. 9(4)(b) |
| Funktionstrennung | A.5.3 | CC6.1 | Art. 21(2)(i) | Art. 9(2) |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| PAM-Richtlinie | Dokumentierte Privileged-Access-Management-Richtlinie | Alle Frameworks |
| Privilegiertes Kontoinventar | Vollständige Liste aller privilegierten Konten mit Eigentümern | Alle Frameworks |
| Credential-Rotationsprotokolle | Nachweis automatisierter Passwort- und Schlüsselrotation | Alle Frameworks |
| Sitzungsaufzeichnungen | Aufzeichnungen privilegierter Sitzungen für Audit-Überprüfung | ISO 27001, SOC 2, DORA |
| JIT-Zugriffsprotokolle | Aufzeichnungen über Berechtigungserweiterungsanfragen und -genehmigungen | Alle Frameworks |
| Zugriffszertifizierungsberichte | Vierteljährliche Überprüfungsergebnisse mit Bestätigungen | Alle Frameworks |
| Anomalieerkennungsalarme | Aufzeichnungen gekennzeichneter verdächtiger privilegierter Aktivitäten | NIS2, DORA |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Geteilte Admin-Konten | Keine individuelle Verantwortlichkeit für privilegierte Aktionen | Individuelle benannte Konten mit PAM-Vault |
| Statische Dienstkonto-Passwörter | Credential-Diebstahl und laterale Bewegung | Automatisierte Rotation, Managed Identities |
| Keine Sitzungsüberwachung | Missbrauch privilegierter Zugriffe nicht erkennbar | Session-Aufzeichnung und -Review implementieren |
| Stehende Berechtigungen | Übermäßige Angriffsfläche durch permanenten Admin-Zugang | Just-in-Time-Zugriff mit automatischem Ablauf |
| Cloud von PAM ausschließen | Cloud-Admin-Konten unverwaltet und unüberwacht | PAM auf alle Cloud-Plattformen ausweiten |
| Keine Break-Glass-Verfahren | Aussperrung bei Notfällen oder unkontrollierter Notfallzugriff | Dokumentierter, getesteter und auditierter Break-Glass-Prozess |
Wie Orbiq PAM-Compliance unterstützt
Orbiq hilft Ihnen, privilegierte Zugriffskontrollen nachzuweisen:
- Evidenzsammlung — PAM-Richtlinien, Zugriffsüberprüfungen und Sitzungsprotokolle zentralisieren
- Kontinuierliche Überwachung — PAM-Abdeckung und Compliance-Lage verfolgen
- Trust Center — Ihre privilegierten Zugriffskontrollen über Ihr Trust Center teilen
- Compliance-Mapping — PAM-Kontrollen auf ISO 27001, SOC 2, NIS2 und DORA abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für die Auditorenprüfung
Weiterführende Artikel
- Identity and Access Management — Umfassende IAM-Strategie
- Multi-Faktor-Authentifizierung — Absicherung privilegierter Authentifizierung
- Zero Trust — Privilegierter Zugriff in der Zero-Trust-Architektur
- Security Operations Center — Überwachung privilegierter Aktivitäten
- Datenklassifizierung — Datenklassifizierung für Zugriffskontrollen