Ohne Privileged Access Management riskieren Unternehmen Datenabfluss, Manipulation und Compliance-Verstöße. Wer Zugriffe mit PAM und PRA kontrolliert, Prozesse klar regelt und Projekte strukturiert umsetzt, schafft Transparenz, stärkt Resilienz und erfüllt gesetzliche Anforderungen.
Mit Privileged Access Management (PAM) und Privileged Remote Access (PRA) schützen Unternehmen den Zugang zu besonders sensiblen Bereichen der IT, etwa zu Servern, Datenbanken, Cloud-Umgebungen oder Domain Controllern.
Ob NIS2, DORA, ISO/IEC 27001 oder DSGVO, sie alle sind sich im Kern einig: Maßnahmen zur Rechtevergabe, Zugriffskontrolle und Protokollierung sind in Zeiten steigender Cyber-Attacken ein Muss für den öffentlichen Sektor ebenso wie Unternehmen aus der Finanz-, Energie- und Gesundheitsbranche – aber nicht nur für diese. Denn wer privilegierte Konten ohne Konzept und Kontrolle betreibt, geht stets ein hohes Risiko ein.
Privilegierte Konten gewähren Mitarbeitern wie auch externen Dienstleistern, Partnern und Co. Zugang zu besonders sensiblen Bereichen der IT – etwa zu Servern, Datenbanken, Cloud-Umgebungen oder dem Microsoft Active Directory (Domain Controller). Aus diesem Grund sind sie ein zentrales Ziel für Cyber-Kriminelle. Verschaffen sich Angreifer Zugang zu einem administrativen Konto, können sie nicht nur Daten auslesen, sondern Systeme gezielt kompromittieren und manipulieren, ihre Spuren verwischen oder kritische Geschäftsprozesse nachhaltig stören. Viele Unternehmen unterschätzen dieses Risiko oder verlassen sich auf einfache technische Hürden wie vermeintlich starke Passwörter oder eine Zwei-Faktor-Authentifizierung. Doch die Realität zeigt: Ohne durchdachtes Privileged Access Management (PAM) fehlt die Grundlage für nachhaltige IT-Sicherheit.
Deshalb fordern viele Verordnungen und Gesetze zunehmend verbindliche Schutzmaßnahmen. Die Bankaufsichtlichen Anforderungen an die IT (BAIT) der BaFin verlangen explizit eine klare Steuerung und Protokollierung privilegierter Zugriffe. Der Europäische Digital Operational Resilience Act (DORA), der seit 2025 gilt, geht noch weiter: Er macht ein funktionsfähiges Access Management für nahezu alle Finanzunternehmen zur Pflicht – inklusive Identitätsprüfung, Rollenzuordnung und Rezertifizierung. Ähnliche Anforderungen stellen auch die ISO/IEC 27001, die neue NIS2-Richtlinie oder der BSI-IT-Grundschutz für Unternehmen der Kritischen Infrastruktur.
PAM und PRA – Zweigespann gegen unbefugte privilegierte Zugriffe
Doch auch Organisationen, die nicht an regulatorische Vorgaben wie DORA, NIS2 oder BAIT gebunden sind, sollten Privileged Access Management (PAM) ernst nehmen. Denn privilegierte Zugriffe existieren überall – nicht nur in kritischen Infrastrukturen. Interne Administratoren arbeiten mit weitreichenden Rechten, externe IT-Dienstleister benötigen Zugriff auf produktive Systeme, und täglich werden Konfigurationen geändert, die sich direkt auf Sicherheit, Verfügbarkeit oder Datenschutz auswirken können.
An dieser Stelle greifen PAM-Teilbereiche wie Privileged Remote Access (PRA) und Password Vaulting – Passworttresore, die Passwörter zentral speichern und verschlüsseln. Sie ermöglichen es, auch temporäre (externe) Zugriffe granular zu steuern, mit klar definierten Rollen, zeitlich begrenzten Rechten, vollständiger Protokollierung und ohne Einblick in die Credentials. Damit sind sie VPN-Verbindungen weit voraus. Ob für Wartung, Support oder Projektarbeit: Dienstleister erhalten nur so viel Zugriff wie nötig ist, und Unternehmen behalten jederzeit die Kontrolle über ihre kritischen Credentials. Das senkt Risiken, schafft Transparenz und gewährleistet ein Sicherheitsniveau, das sich nicht nur an gesetzlichen Mindeststandards orientiert, sondern an der Realität moderner IT.
Technik trifft auf Konzeption
Doch genau hier beginnt die Herausforderung: Viele Unternehmen starten mit der Vorstellung, man könne eine PAM-Lösung einfach installieren und schon sei das Thema erledigt. In der Realität fehlen jedoch häufig grundlegende Voraussetzungen: Wer soll welche Rechte genehmigen? Welche Systeme sind relevant? Welche Netzwerksegmente müssen geschützt werden? Gibt es eine Liste privilegierter Konten? All diese Fragen sind organisatorischer Natur – die Technik spielt noch eine Nebenrolle. Daher erfordern sie eine enge Abstimmung zwischen IT, Fachbereichen und Management.
Doch in gewachsenen Umgebungen sind privilegierte Zugriffe teils diffus geregelt: Administratoren nutzen ihre persönlichen Konten für alltägliche Aufgaben und kritische Konfigurationen gleichermaßen, Genehmigungen laufen informell über Mails oder Zurufe. Solche Strukturen lassen sich nicht von heute auf morgen in ein sauberes Rollenmodell überführen. Wer PAM erfolgreich einführen will, muss Software bereitstellen, aber auch Prozesse klären und Bereitschaft zur Veränderung schaffen.
Der erste Schritt eines erfolgreichen PAM-Projekts beginnt nicht mit der Software – sondern mit der Bestandsaufnahme: Welche privilegierten Konten gibt es? Auf welche Systeme greifen sie zu? Welche Assets und Netzwerke sind betroffen? Oft zeigt sich an dieser Stelle bereits ein unklares Bild: Konten sind historisch gewachsen, nicht dokumentiert oder mehrfach verwendet. Um Sicherheit herzustellen, braucht es zunächst ein Zielbild: Welche Prozesse sollen künftig wie abgesichert werden? Wer soll, worauf zugreifen dürfen und mit welcher Freigabelogik? Diese Fragen gehören zur fachlichen Vorarbeit, ohne die jede technische Lösung ins Leere läuft.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der sogenannte „Pool“ in PRA-Systemen erlaubt zwar die Abbildung von Regeln und Workflows, ersetzt jedoch keinesfalls die strategische Entscheidung, wer Verantwortung trägt und welche Freigaben nicht über bloße Postfächer laufen sollten: Welche Genehmigungsprozesse können organisatorisch abgebildet werden? Wer gibt welche Zugriffe frei – und auf welcher Grundlage? Mit diesen Antworten im Gepäck, ist ein strukturierter Projektplan mit realistischem Zeitrahmen, klaren Verantwortlichkeiten und vorausschauenden Meilensteinen aufzustellen. Gerade in heterogenen Umgebungen mit mehreren Ansprechpartnern, Subsystemen und hybriden Infrastrukturen ist präzise Vorarbeit gefragt.
2. Phase: Technische Vorarbeit
Nach der Konzeptionsphase folgt die technische Vorbereitung. Dazu gehört neben dem Aufsetzen von virtuellen Maschinen oder der Netzwerksegmentierung vor allem auch das Zusammenspiel der beteiligten Systeme, zum Beispiel Active Directory, Exchange, Ticket-Systeme oder Asset-Verwaltung. Entscheidend ist, dass die richtigen Stakeholder frühzeitig eingebunden werden: Netzwerkadministratoren, Sicherheitsverantwortliche, interne IT, externe Dienstleister – und im Idealfall ein Projektverantwortlicher mit Entscheidungskompetenz.
Die Implementierungsphase startet, sobald die organisatorischen Anforderungen klar festgelegt und intern abgestimmt sind und somit erste technische Fragezeichen geklärt wurden. Nun wird die Lösung konfiguriert, Schnittstellen eingerichtet, Rollen und Policies definiert – basierend auf dem zuvor abgestimmten Zielbild. Parallel sollten Teams ein regelmäßiges Projektcontrolling etablieren: Wöchentliche Statusberichte, Fortschrittsmessung für den Abgleich mit definierten Meilensteinen und transparente Kommunikation zwischen internen Verantwortlichen, Beratern und Herstellern verhindern unnötige Verzögerungen.
4. Phase: Inbetriebnahme und Wartung
Sind alle technischen Komponenten integriert, folgt die Inbetriebnahme – idealerweise zunächst in einer kontrollierten Pilotphase. Danach geht es in den Regelbetrieb, der kontinuierliche Wartung, Updates und Überprüfungen umfasst. Auch die Themen Password-Vaulting, Rotation und Rezertifizierung gehören nun zum Alltag. Wer das Projekt mit ausreichend Planung und Realismus startet, hat am Ende nicht nur ein funktionierendes Sicherheitssystem, sondern eine nachhaltige Infrastruktur zur Absicherung der kritischsten IT-Zugriffe im Unternehmen.
Fazit
PAM und seine Unterkategorie PRA sind das Nadelöhr der IT-Sicherheit. Sie sorgen dafür, dass sensible Systeme nicht nur technisch geschützt erreichbar, sondern auch organisatorisch abgesichert sind. Informationen, wer wann worauf zugreift, welche Aktionen vorgenommen wurden und ob alle Schritte genehmigt und dokumentiert sind, sind jederzeit verfügbar. So agieren Unternehmen mit Blick auf ihre privilegierten Zugriffe verantwortungsvoll – und halten den Schlüssel zur digitalen Resilienz fest in ihren Händen.
Über die Autoren
Valdet Camaj ist CEO der Umbrella Security Operations GmbH hat sich seit 2017 dem Thema Cyber Security verschrieben und zahlreiche Kundenprojekte zum Erfolg geführt. Schnell rückten dabei Identity Security und Access Management in den Fokus, um besonders sensible digitale Identitäten, Zugänge und Zugriffe optimal zu schützen.
Sebastian Rohr ist CTO bei der USO. Er hat sich digitalen Identitätsschutz rund um IAM, CIAM, PAM oder Supply Chain Securtiy zum Beruf gemacht.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1e/ef/1eef2ef988a2ad840302dd9674830aaf/0125964339v2.jpeg "Ein neuer Bericht von Keeper Security analysiert die Beweggründe von Unternehmen für die Einführung von Privileged Access Management (PAM), die Herausforderungen bei der Implementierung und identifiziert zentrale Funktionen zum Schutz privilegierter Zugriffe. (Bild: © Song_about_summer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/2b/ed2b4da99471d60843aabacf642f6ed6/0122209847v1.jpeg "Dynamische Gruppen erweitern regelbasiert die Flexibilität und Automatisierung bei der Verwaltung von Sicherheits- und Microsoft 365-Gruppen. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/1c/531ca4e7248c6b0ca27bc0841e01b04e/0123928600v1.jpeg "Andreas Müller, VP Enterprise Sales Central and Eastern Europe bei Delinea. (Bild: Jochen Bueckers Anzing)")
:quality(80)/p7i.vogel.de/wcms/da/66/da66c5386809fe44e00415bf1ea7da66/0125368697v2.jpeg "Access Management muss sich heutigen Herausforderungen wie KI-Identitäten, hybriden Umgebungen und passwortloser Authentifizierung stellen. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/d1/15d1d5dc4945066bd0de1d9a3a439b33/0121532644v2.jpeg "Vendor Privileged Access Management (VPAM) dient der Überwachung und Absicherung externer Zugriffe von Lieferanten und Auftragnehmern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8f/ba/8fba0f61e5f44c2f6c2912d64031c0cc/0127091191v1.jpeg "Identitäten – ob menschlich oder maschinell – stehen im Zentrum moderner Sicherheitsarchitekturen. (Bild: © Harsha – stock.adobe.com)")