Die Einschätzung der Cyber Academy
PAM ist die Teilmenge von IAM, die sich auf privilegierte Konten konzentriert: Admins, Root, Service-Accounts, Break-Glass. PAM verwahrt Zugangsdaten in einem Vault, vermittelt Sessions und protokolliert Aktivitäten. Es ist das erste Ziel eines Angreifers nach dem initialen Foothold und die Kontrolle, die Auditoren unter NIS 2 und DORA am intensivsten prüfen.
Warum privilegierte Konten ein eigenständiges Problem darstellen
Jedes Identitätsprogramm beginnt mit gewöhnlichen Benutzern: wer sie sind, was sie öffnen können, wie sie sich ausweisen. Privileged Access Management befasst sich mit den Konten, die oberhalb dieser Ebene angesiedelt sind. Domänenadministratoren, Root- und lokale Administratorkonten, Datenbankeigentümer, Hypervisor-Konsolen, Cloud-Root-Identitäten, Dienstkonten, die unbeaufsichtigt laufen, und die Notfallkonten, die für Ausnahmesituationen vorgehalten werden.
Diese Identitäten können die Konfiguration ändern, Daten lesen oder zerstören, die Protokollierung deaktivieren und neue Konten anlegen. Der Wirkungsradius eines einzigen kompromittierten Administratorzugangs umfasst die gesamte Umgebung, weshalb PAM als eigenständige Disziplin behandelt wird und nicht als Funktion des allgemeinen IAM.
Der entscheidende Schritt von PAM besteht darin, privilegierte Zugangsdaten nicht länger als etwas zu behandeln, das eine Person einfach kennt. Stattdessen liegt das Geheimnis in einem Tresor, der Zugriff wird angefordert und genehmigt, die Sitzung wird über ein kontrolliertes Gateway vermittelt, und alles, was der privilegierte Benutzer tut, wird aufgezeichnet. Der Mensch sieht das Passwort oft überhaupt nicht. Diese Trennung zwischen dem Bediener und dem Geheimnis macht privilegierte Aktivität prüfbar und widerrufbar.
Was ein PAM-Programm tatsächlich steuert
In der Praxis kombiniert eine ausgereifte PAM-Implementierung mehrere Mechanismen, die direkt dem entsprechen, was Auditoren erwarten:
- Tresorisierung von Zugangsdaten: privilegierte Passwörter, SSH-Schlüssel und API-Geheimnisse werden zentral gespeichert, automatisch rotiert und niemals in Skripte oder Konfigurationsdateien eingebettet.
- Sitzungsvermittlung und -aufzeichnung: Administratoren verbinden sich über einen Proxy, der die Zugangsdaten einschleust, sodass die Sitzung überwacht, aufgezeichnet und beendet werden kann, ohne dass der Bediener das Geheimnis jemals besitzt.
- Just-in-time-Rechteerhöhung: Rechte werden für eine definierte Aufgabe und ein definiertes Zeitfenster gewährt und anschließend entzogen, statt dauerhaft am Konto bestehen zu bleiben.
- Break-Glass-Verfahren: Notfallkonten sind versiegelt, mit einer Alarmierung versehen und werden nach jeder Verwendung überprüft, sodass sie für echte Ausfälle existieren, ohne zu einer stillen Hintertür zu werden.
- Erkennung und Nachvollziehbarkeit: Das Werkzeug findet privilegierte Konten und Dienstkonten im gesamten Bestand und führt jede privilegierte Aktion auf einen namentlich benannten Menschen zurück.
| Dimension | Allgemeines IAM | PAM |
|---|---|---|
| Geltungsbereich | Alle Identitäten und Zugriffe | Nur privilegierte Konten (Admin, Root, Dienst, Break-Glass) |
| Kernfrage | Sollte diese Person Zugriff haben? | Wie wird dieser erhöhte Zugriff tresorisiert, vermittelt und protokolliert? |
| Umgang mit Zugangsdaten | Der Benutzer authentifiziert sich mit seinen eigenen Zugangsdaten | Das Geheimnis wird tresorisiert und eingeschleust; der Bediener sieht es möglicherweise nie |
| Standardhaltung | Dauerhafte Berechtigungen, die über die Zeit verwaltet werden | Just-in-time, zeitlich begrenzt, nach Gebrauch entzogen |
| Audit-Schwerpunkt | Zugriffsüberprüfungen und Eintritt-Wechsel-Austritt | Sitzungsaufzeichnung, Rotation, Überprüfung der Break-Glass-Konten |
Wo PAM im IAM und im regulatorischen Umfeld angesiedelt ist
PAM ist eine Teilmenge des Identitäts- und Zugriffsmanagements, eingegrenzt auf die Konten mit dem höchsten Risiko, und es ist die Speerspitze des Prinzips der geringsten Rechte. Das allgemeine IAM fragt, ob eine Person überhaupt Zugriff haben sollte. PAM geht davon aus, dass der Zugriff legitim ist, besteht aber darauf, dass er temporär, vermittelt, protokolliert und umkehrbar ist. Angreifer verstehen diese Hierarchie: nach einem ersten Standbein durch Phishing oder einen exponierten Dienst besteht das nächste Ziel darin, zu einem privilegierten Konto aufzusteigen, denn das verwandelt einen einzelnen Host in die Kontrolle über die Domäne.
Auch die Aufsichtsbehörden wissen das. Nach der NIS-2-Richtlinie fallen die Zugriffskontrolle und der Umgang mit privilegierten Konten eindeutig unter die Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die wesentliche und wichtige Einrichtungen umsetzen müssen. Der Digital Operational Resilience Act (DORA) stellt vergleichbare Anforderungen an den Finanzsektor, in dem eine starke Authentifizierung und eine strenge Kontrolle des privilegierten Zugriffs Teil des Rahmens für das IKT-Risikomanagement sind.
Anhang A der ISO/IEC 27001 behandelt privilegierte Zugriffsrechte und die Verwaltung geheimer Authentifizierungsinformationen als benannte Kontrollen. In einem Audit gehört der privilegierte Zugriff durchgängig zu den am härtesten geprüften Bereichen, weil eine schwache Kontrolle an dieser Stelle jede andere Schutzmaßnahme untergräbt.
Häufige Fehlerbilder
PAM-Programme scheitern auf vorhersehbare Weise. Dienstkonten mit nicht ablaufenden Passwörtern, fest in die Automatisierung einkodiert. Gemeinsam genutzte Administratorkonten, bei denen niemand sagen kann, wer gehandelt hat. Dauerhafte lokale Administratorrechte auf jedem Arbeitsplatz. Eine Tresor-Einführung, die die interaktiven Administratoren abdeckt, die Maschinenidentitäten aber unangetastet lässt. Die Disziplin ist nur so gut wie ihre Abdeckung, daher besteht die praktische Arbeit aus kontinuierlicher Erkennung und der stetigen Beseitigung dauerhafter Privilegien statt aus einem einzelnen Rollout.
Frequently asked questions
01Ist PAM dasselbe wie IAM?
Nein. PAM ist eine Teilmenge des IAM, die sich ausschließlich auf privilegierte Konten konzentriert, etwa Administratoren, Root, Dienstkonten und Notfallidentitäten. IAM regelt jeden Zugriff; PAM wendet strengere Tresorisierung, Vermittlung und Aufzeichnung auf die Konten mit dem größten Wirkungsradius an.
02Was ist ein Break-Glass-Konto?
Es ist ein privilegiertes Notfallkonto, das für Situationen versiegelt vorgehalten wird, in denen die normalen Zugriffswege versagen, etwa bei einem Ausfall des Identitätsanbieters. Seine Zugangsdaten sind tresorisiert und mit einer Alarmierung versehen, und jede Verwendung löst eine Überprüfung aus, damit das Konto nicht zu einer stillen Hintertür wird.
03Warum nehmen Angreifer zuerst den privilegierten Zugriff ins Visier?
Nach einem ersten Standbein kann eine einzige privilegierte Zugangsdaten die Kontrolle über die gesamte Umgebung verleihen: die Konfiguration ändern, die Protokollierung deaktivieren und neue Konten anlegen. Der Aufstieg zu Privilegien verwandelt einen kompromittierten Host in einen domänenweiten Einbruch.
04Verlangen NIS 2 oder DORA PAM?
Keines von beiden nennt ein Produkt, aber beide verlangen die Kontrolle des privilegierten Zugriffs. NIS 2 zählt die Zugriffskontrolle zu seinen Risikomanagementmaßnahmen, und DORA erwartet eine starke Authentifizierung und eine strenge Verwaltung des privilegierten Zugriffs im Rahmen des IKT-Risikomanagements. PAM ist die Art und Weise, wie Organisationen diese Pflichten nachweisen.
05Was ist Just-in-time-Zugriff mit erhöhten Rechten?
Es bedeutet, erhöhte Rechte für eine bestimmte Aufgabe und ein begrenztes Zeitfenster zu gewähren und sie anschließend automatisch zu entziehen, statt die Privilegien dauerhaft am Konto bestehen zu lassen. Das verkleinert das Zeitfenster, in dem eine kompromittierte Zugangsdaten nützlich ist.