Zum Hauptinhalt springen
Informationssicherheit / NIS2

Privileged-Access-Management

Privileged-Access-Management (PAM) umfasst Prozesse und Technologien zur Absicherung, Kontrolle und Überwachung privilegierter administrativer Konten und erhöhter Zugriffsrechte auf kritische IT-Systeme und Daten.

Privileged-Access-Management (PAM) bezeichnet die Gesamtheit organisatorischer und technischer Maßnahmen, mit denen privilegierte Konten und erhöhte Zugriffsrechte abgesichert, kontrolliert und nachvollziehbar gemacht werden. Privilegierte Zugriffe betreffen Administrator-, Root-, Dienst- und Notfallkonten sowie technische Konten von Applikationen, die weitreichende Änderungen an Systemen, Konfigurationen, Identitäten oder Daten vornehmen können. Weil ein einziges kompromittiertes Admin-Konto den Schutz ganzer Infrastrukturen aushebeln kann, gelten privilegierte Zugänge als bevorzugtes Angriffsziel und als zentrales Risiko der Informationssicherheit.

Ein wirksames PAM stützt sich auf mehrere ineinandergreifende Bausteine: die Inventarisierung und zentrale Verwaltung aller privilegierten Konten, die Ablage von Zugangsdaten in einem gehärteten Passwort-Tresor (Credential Vaulting) mit automatischer Rotation, die Vergabe von Rechten nach den Prinzipien Least Privilege und Need-to-know, die zeitlich befristete Rechtevergabe (Just-in-Time-Access) statt dauerhafter Adminrechte sowie eine starke Authentisierung, in der Regel mit Multi-Faktor-Authentifizierung. Sitzungen privilegierter Nutzer werden über Session-Management isoliert, aufgezeichnet und in Echtzeit überwacht, sodass missbräuchliche Aktivitäten erkannt und unterbunden werden können.

In Deutschland und der EU ist die Absicherung privilegierter Zugriffe nicht nur Stand der Technik, sondern zunehmend rechtlich gefordert. Die NIS2-Richtlinie und das deutsche Umsetzungsgesetz verlangen von betroffenen Einrichtungen Maßnahmen zur Zugriffskontrolle, Authentisierung und Protokollierung; der BSI IT-Grundschutz adressiert privilegierte Zugänge in eigenen Bausteinen, und die ISO/IEC 27001 fordert in ihrem Anhang A die Kontrolle privilegierter Zugriffsrechte. Auch DORA verpflichtet Finanzunternehmen zu strengen Identitäts- und Zugriffskontrollen. PAM ist damit ein zentraler Baustein eines normkonformen Informationssicherheits-Managementsystems (ISMS) und ein wirksamer Hebel zur Begrenzung von Innentäter- und Lieferkettenrisiken.

Rechtliche Grundlage

Art. 21 NIS2-Richtlinie (EU) 2022/2555; ISO/IEC 27001 Anhang A (A.8.2 Privilegierte Zugriffsrechte); BSI IT-Grundschutz (Baustein ORP.4); Art. 9 DORA (Verordnung (EU) 2022/2554)

Praxisbeispiel

Ein mittelständischer Maschinenbauer fällt unter NIS2 und stellt im Rahmen einer Risikobewertung fest, dass mehrere Administratoren dauerhaft mit lokalen Adminrechten arbeiten und sich gemeinsame Passwörter für kritische Server teilen. Der Informationssicherheitsbeauftragte führt ein PAM-System ein: Alle privilegierten Zugangsdaten wandern in einen Tresor mit automatischer Rotation, dauerhafte Adminrechte werden durch zeitlich befristete Just-in-Time-Freigaben mit Vier-Augen-Genehmigung ersetzt, und alle Admin-Sitzungen werden aufgezeichnet. Bei einem späteren Audit kann das Unternehmen lückenlos belegen, wer wann mit welchen Rechten auf welche Systeme zugegriffen hat, und erfüllt damit die Nachweispflichten gegenüber der Aufsichtsbehörde.

Häufige Fragen

IAM (Identity- and Access-Management) verwaltet die Identitäten und Zugriffsrechte aller Nutzer einer Organisation. PAM ist eine spezialisierte Disziplin innerhalb dieses Rahmens, die sich ausschließlich auf privilegierte, besonders risikoreiche Konten und Zugriffe konzentriert. PAM ergänzt IAM durch zusätzliche Kontrollen wie Credential Vaulting, Sitzungsaufzeichnung und Just-in-Time-Access.
NIS2 nennt PAM nicht wörtlich, verlangt aber in Art. 21 Maßnahmen zur Zugriffskontrolle, zur sicheren Authentisierung und zur Protokollierung. Für privilegierte Konten lassen sich diese Anforderungen praktisch nur mit einem PAM-Ansatz wirksam und nachweisbar erfüllen. PAM gilt daher als anerkannter Stand der Technik zur Umsetzung der NIS2-Pflichten.
Kernbausteine sind die Inventarisierung aller privilegierten Konten, ein gehärteter Passwort-Tresor mit automatischer Rotation, die Rechtevergabe nach Least Privilege und Need-to-know sowie zeitlich befristeter Just-in-Time-Access. Hinzu kommen starke Multi-Faktor-Authentisierung und die Aufzeichnung sowie Überwachung privilegierter Sitzungen zur Erkennung von Missbrauch.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Identity- und Access-Management Least-Privilege-Prinzip Zugriffskontrolle Multi-Faktor-Authentifizierung Zero-Trust-Architektur
Zurück zum Glossar