Privileged Access Management ist ein Sicherheitskonzept, das Zugriffe privilegierter Konten mit erweiterten Berechtigungen kontrolliert, überwacht und absichert. PAM ist eine Disziplin des Identity und Access Managements und trägt dazu bei, Sicherheitsrisiken im Zusammenhang mit privilegierten Zugriffen einzudämmen.
Privileged Access Management (PAM) ist ein Sicherheitskonzept zur Absicherung privilegierter Konten mit erweiterten Berechtigungen.
Der Begriff Privileged Access Management, manchmal auch Privileged Account Management genannt und abgekürzt PAM, lässt sich mit Zugriffsmanagement für privilegierte Zugriffe ins Deutsche übersetzen. Bei PAM handelt es sich um ein Sicherheitskonzept beziehungsweise eine Sicherheitslösung, die darauf abzielt, Zugriffe mit erweiterten Berechtigungen zu kontrollieren, zu überwachen, zu verwalten und abzusichern. Dadurch sollen der Missbrauch von Privilegien und nicht autorisierte Zugriffe auf kritische Ressourcen oder Daten eines Unternehmens verhindert werden. Ziel des Privileged Access Managements ist es, die Risiken für IT-Systeme, Anwendungen, Daten oder Netzwerke eines Unternehmens, die von den privilegierten Konten und Zugriffen von Menschen, aber auch von Maschinen oder Anwendungen ausgehen, einzudämmen. Die Implementierung eines Zugriffsmanagements für privilegierte Zugriffe trägt dazu bei, Compliance-Richtlinien zu erfüllen und gesetzliche Vorgaben im Zusammenhang mit der Datensicherheit und dem Datenschutz zu erfüllen.
Das Privileged Access Management lässt sich als eine Disziplin beziehungsweise ein Unterbereich des Identity und Access Managements (IAM) und der Cybersicherheit einordnen. PAM umfasst sowohl technische als auch organisatorische Maßnahmen. Zur Implementierung eines effektiven Privileged Access Managements kommen in der Regel unterstützende Tools und Softwarelösungen zum Einsatz.
Abgrenzung der beiden Begriffe Privileged Access Management und Identity und Access Management
Zwischen dem Privileged Access Management und dem Identity und Access Management, abgekürzt IAM, besteht eine enge Beziehung. Das Privileged Access Management kann als ein Unterbereich oder eine Disziplin des Identity und Access Managements aufgefasst werden. IAM ist weiter gefasst als PAM und umfasst das Identititäts- und Zugriffsmanagement für sämtliche Identitäten und Zugriffe einer Organisation.
Der Fokus beim PAM hingegen liegt auf der Absicherung von privilegierten Benutzern und ihren Zugriffen. Sowohl IAM als auch PAM basieren auf der Bereitstellung und Verwaltung digitaler Identitäten, der Verwendung von Authentifizierungs- und Autorisierungssystemen und der Implementierung und Durchsetzung entsprechender Richtlinien für die Zugriffskontrolle. Das IAM sorgt für die Bereitstellung und Implementierung von technischen Konzepten und Lösungen, beispielsweise der Multi-Faktor-Authentifizierung (MFA) oder von Single Sign-on (SSO), die auch das Privileged Access Management nutzt. Die Sicherheits- und Kontrollmaßnahmen des Privileged Access Management sind aufgrund der größeren Bedrohungen, die von Zugriffen mit erweiterten Berechtigungen ausgehen, wesentlich stringenter.
Für die Arbeit mit IT-Systemen und Netzwerken und das Funktionieren von Anwendungen oder Services sind Zugriffe mit erweiterten Berechtigungen unerlässlich. Gleichzeitig stellen Benutzer oder Konten mit solchen privilegierten Berechtigungen ein erhebliches Sicherheitsrisiko für ein Unternehmen dar. Gerät ein privilegiertes Konto in die falschen Hände oder wird es kompromittiert oder missbraucht, kann damit deutlich mehr Schaden angerichtet werden als mit einem Standardkonto. Teilweise ist mit bestimmten Administratorkonten ein umfassender Zugriff auf zahlreiche Komponenten einer IT-Umgebung wie Server, Arbeitsplatzrechner, Netzwerkkomponenten, Betriebssysteme, Anwendungen oder sogar industrielle Steuerungssysteme möglich.
Aus diesem Grund zielen viele Angriffsversuche und Angriffstechniken von Cyberkriminellen auf die Kompromittierung oder die Übernahme der für sie wertvollen privilegierten Konten ab. Gelingt einem Angreifer ein solcher Angriff, kann er mit einem privilegierten Konto uneingeschränkt und oft unbemerkt Systeme manipulieren, Daten stehlen oder weiteren Schaden anrichten. Das Privileged Access Management nimmt sich konkret dieser Problematik an und sorgt zum einen für die Absicherung privilegierter Konten und Zugriffe und ermöglicht zum anderen den privilegierten Benutzern ein effektives Arbeiten.
Was ist ein privilegierter Zugriff?
Ein privilegierter Zugriff ist ein Zugriff auf IT-Ressourcen, Daten oder Anwendungen mit erweiterten Berechtigungen. Die dem privilegierten Benutzer erteilten Zugriffsberechtigungen unterscheiden sich von denen eines Standardbenutzers oder Standardkontos. Während beispielsweise ein Standardbenutzer nur bestimmte Daten anzeigen kann, hat ein privilegierter Nutzer das Recht, Daten zu verändern oder zu löschen beziehungsweise zugrundeliegende Systeme wie Datenbanken oder Server zu konfigurieren oder zu verändern. Privilegierte Zugriffe können sowohl von menschlichen Nutzern als auch von Maschinenidentitäten, Anwendungen, Prozessen oder Services ausgehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Typische Beispiele für privilegierte Konten mit erweiterten Berechtigungen sind:
lokale Administratorkonten oder Root-Benutzer in den verschiedenen Betriebssystemumgebungen
Domänenadministratorkonten
Administratorkonten für Datenbanken, Anwendungen oder Services
Geschäftsbenutzerkonten für nicht IT-spezifische Zwecke mit Zugriffsrechten beispielsweise für die Ausführung oder das Bearbeiten von Finanztransaktionen
Geht es um die Absicherung privilegierter Zugriffe von Lieferanten oder Drittanbietern, spricht man vom sogenannten Vendor Privileged Access Management (VPAM). VPAM ist ein Unterbereich oder eine Disziplin des Privileged Access Management und kümmert sich konkret um die Verwaltung, Kontrolle, Überwachung und Absicherung von externen privilegierten Zugriffen auf innerbetriebliche Ressourcen. Für Lieferantenkonten werden vergleichbar strenge oder noch strengere Zugriffskontroll- und Überwachungsmaßnahmen eingerichtet wie für interne Konten. Das VPAM hat auch dafür zu sorgen, dass sichere Fernzugriffe auf die betrieblichen Ressourcen möglich sind. Es kommen hierfür Konzepte wie Zero Trust Network Access (ZTNA) zum Einsatz.
Prinzipielle Funktionsweise des Privileged Access Managements und bereitgestellte Funktionen
Die prinzipielle Funktionsweise des Privileged Access Managements lässt sich in wenigen Worten folgendermaßen zusammenfassen: PAM identifiziert privilegierte Benutzerkonten oder Zugriffe, grenzt diese von Standardkonten oder -zugriffen ab, implementiert Authentifizierungsmechanismen und legt entsprechende Richtlinien für privilegierte Zugriffe fest und setze diese auch durch. Die Richtlinien sorgen dafür, dass autorisierte Benutzer beziehungsweise Konten privilegierten Zugriff auf die angeforderten Ressourcen erhalten, und verhindern gleichzeitig den Missbrauch privilegierter Zugriffe. Für die konkrete Umsetzung ist ein rollenbasiertes, zentrales Account- und Berechtigungsmanagement notwendig.
Zu den elementaren Funktionen des PAM gehört die kontinuierliche Überwachung und Nachverfolgung privilegierter Sitzungen. Darüber lassen sich Anomalien erkennen und Richtlinienverletzungen oder eventueller Missbrauch von privilegiertem Zugriff aufdecken.
Eines der Grundprinzipien für die Umsetzung des Privileged Access Managements ist die Einhaltung beziehungsweise das Erzwingen des Least-Privilege-Prinzips (Prinzips der geringsten Privilegien). Es stellt sicher, dass Benutzer, Maschinenidentitäten, Anwendungen, Services oder Prozesse nur das jeweilige Mindestmaß an Berechtigungen erhalten, das zur Erfüllung ihrer Aufgaben erforderlich ist.
Um potenziellen Missbrauch zu verhindern, setzt PAM auf starke Authentifizierungsmechanismen wie die Multi-Faktor-Authentifizierung. Zusätzlich lassen sich Mechanismen nutzen, die die Ausweitung von Berechtigungen für privilegierte Zugriffe zeitlich beschränken und nach Ablauf einer bestimmten Zeit die erteilten Berechtigungen automatisch wieder entziehen. Im Fall von externen privilegierten Zugriffen, beispielsweise von Lieferanten oder Drittanbietern, ist ein sicherer Fernzugriff beispielsweise per Zero-Trust Network Access (ZTNA) zu realisieren.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/73/10/73101b4f19f05814e8ae9f0bfec8d126/87054826.jpeg "Mit den traditionellen Passwort-Management-Tools von früher haben moderne PAM-Lösungen nur noch wenig gemeinsam. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/bc/f6/bcf62e564cca19cb682a0471175b8be5/0104987236.jpeg "In der Sicherheits-Community ist es schon seit einigen Jahren ein Thema: das Risiko der Shadow-IT. Aber was ist eigentlich ein Shadow-Administrator? (Bild: jariyawat - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904510/original.jpg "Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. (NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/6311f5dd526d11863ef7779c5a1b9801/0108199409.jpeg "In diesem Video-Tipp zeigen wir, wie man mit der PowerShell für mehr Sicherheit im Netzwerk sorgt und gleichzeitig verhindert, dass Hacker die PowerShell für ihre Zwecke missbrauchen. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/d1/15d1d5dc4945066bd0de1d9a3a439b33/0121532644v2.jpeg "Vendor Privileged Access Management (VPAM) dient der Überwachung und Absicherung externer Zugriffe von Lieferanten und Auftragnehmern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8f/ba/8fba0f61e5f44c2f6c2912d64031c0cc/0127091191v1.jpeg "Identitäten – ob menschlich oder maschinell – stehen im Zentrum moderner Sicherheitsarchitekturen. (Bild: © Harsha – stock.adobe.com)")