article

Was ist Privileged Access Management (PAM)?

Privileged Access Management (PAM) dient dem Schutz von Ressourcen vor Bedrohungen durch Praktiken, die die Nutzung von Systemen und Ressourcen kontrollieren. Durch eine Kombination von Menschen, Prozessen und Technologie bietet Privileged Access Management Einblick in die Aktivitäten von privilegierten Benutzern (z. B. von IT- und Sicherheitsadministratoren, Personalfachleuten und Führungskräften) beim Zugriff auf eingeschränkte Ressourcen. Privileged Access Management stellt zudem sicher, dass Benutzer mit erweiterten Privilegien auf die benötigten Ressourcen zugreifen können, während zugleich der Missbrauch von Zugriffsrechten verhindert und ein unbefugter Zugriff blockiert wird.

Darüber hinaus unterstützt Privileged Access Management IT-Teams dabei, erweiterte Berechtigungen durch die Durchsetzung des Prinzips der geringsten Privilegien richtig zu dimensionieren. Dies hilft Unternehmen, ihre Angriffsflächen zu reduzieren, indem die Anzahl der Benutzer, Konten, Anwendungen, Systeme, Geräte (z. B. Internet der Dinge oder IoT) und Computerprozesse, die auf vertrauliche Ressourcen zugreifen können, auf das für die Erfüllung ihrer zugewiesenen Aufgaben erforderliche Mindestmaß reduziert wird.

Was sind Privilegien und wie werden sie erstellt?

In der Unternehmens-IT bezeichnet der Begriff „Privileg“ die Rechte, die einer Identität, einem Konto oder einem Prozess innerhalb eines Computersystems oder Netzwerks gewährt werden und die über den normalen Zugriff hinausgehen. Durch Privileged Access Management (PRM) erhalten autorisierte Benutzer erweiterte Zugriffsrechte und die Möglichkeit, eine Reihe eingeschränkter Funktionen auszuführen, wie beispielsweise:

  • Zugriff auf vertrauliche Daten oder Ressourcen
  • Netzwerke oder Systeme konfigurieren
  • Gerätetreiber laden
  • Ports öffnen oder schließen
  • Bestimmte Sicherheitsbeschränkungen außer Kraft setzen oder umgehen
  • Konten und Cloud-Instanzen bereitstellen und konfigurieren
  • Systeme herunterfahren oder neu starten

Manchmal sind Privilegien für verschiedene Benutzerkonten und Prozesse in Anwendungen, Cloud-Management-Plattformen, Datenbanken, Dateisysteme, Hypervisoren und Betriebssysteme eingebettet. Privilegien können auch basierend auf der Rolle privilegierter Benutzer, wie z. B. System- und Netzwerkadministratoren oder Mitglieder des Finanzteams, vergeben werden. Schließlich können Privilegien auch basierend auf Geschäftseinheiten (z. B. IT, Finanzen, Personalwesen) oder anderen Kriterien wie Dienstalter, Tageszeit oder geografischem Standort vergeben werden.

Es ist wichtig, autorisierten Benutzern Privilegien für wichtige operative Aufgaben im Rahmen ihrer Arbeit zu erteilen. Privilegierter Zugriff birgt jedoch Risiken.

Privileged Access Management trägt dazu bei, das Risiko von Missbrauch durch Insider oder Angreifer, die privilegierte Zugriffsdaten stehlen, zu minimieren.

Was ist ein privilegiertes Konto?

Ein privilegiertes Konto, auch Administratorkonto genannt, ist ein Anmeldedatensatz (d. h. Benutzername und Passwort), der Zugriff auf einen Server, eine Firewall, einen Cloud-Dienst, einen Speicher oder ein anderes Administratorkonto gewährt. Privileged Access Management dient zur Verwaltung dieser Konten, um sicherzustellen, dass die Benutzer, die Zugriff benötigen, über die erforderlichen Privilegien verfügen.

Privilegierte Konten werden in den meisten Fällen von IT-Teams und -Ressourcen verwendet, die den Zugriff zur Verwaltung der Systeme, Infrastruktur und Software des Unternehmens nutzen. Privilegierte Konten können auch anderen Benutzern für den Zugriff auf Daten oder Systeme zur Verfügung gestellt werden. Mithilfe von Privileged Access Management können privilegierte Konten verschiedenen Einheiten zugewiesen werden, wie z. B.:

  • Anwendungseigentümer
  • Datenbankadministratoren
  • Helpdesk-Mitarbeiter
  • IT-Administratoren
  • Betriebssysteme
  • Sicherheitsteams
  • Servicekonten
  • Drittanbietern

Privileged Access Management steuert die Zugriffsrechte von Benutzern mit erweiterten Zugriffsrechten. Im IT-Bereich umfasst dies in der Regel administrative Aufgaben wie:

  • Zugriff auf sensible Daten und Systeme (z. B. Krankenakten, Kreditkartendaten, Sozialversicherungsnummern und Behördenakten)
  • Datensicherung
  • Erstellung und Änderung von Benutzerkonten
  • Installieren von Software
  • Aktualisieren von Sicherheitseinstellungen und Patches

Privileged Access Management wird auch zur Steuerung von Infrastruktur, Diensten und Systemkonten vor Ort und in der Cloud eingesetzt, wie z. B.:

  • Cloud-Umgebungen
  • Datenbanken
  • Endgeräte
  • Betriebssysteme
  • SaaS-Anwendungen
  • Server
  • Dienstkonten

Auch spezielle Arten von privilegierten Konten, so genannte Superuser-Konten, können mit Privileged Access Management gesteuert werden. Superuser-Konten werden unter Unix/Linux als „Root“ und unter Windows als „Administrator“ bezeichnet.

Spezialisierte IT-Mitarbeiter verwenden diese Superuser-Konten, um Befehle auszuführen und Systemänderungen vorzunehmen. Privileged Access Management ermöglicht das Monitoring von Superuser-Konten, um Aktivitäten zu überwachen und zu protokollieren. Diese Konten verfügen über weitreichende Privilegien, die Folgendes ermöglichen:

  • Die Möglichkeit, systemische Änderungen im gesamten Netzwerk vorzunehmen (z. B. Dateien oder Software erstellen oder installieren, Dateien und Einstellungen ändern und Benutzer und Daten löschen).
  • Die Möglichkeit, anderen Benutzern Berechtigungen zu erteilen und zu entziehen.
  • Uneingeschränkten Zugriff auf Dateien, Verzeichnisse und Ressourcen mit umfassenden Lese-, Schreib- und Ausführungsprivilegien.

Privileged Access Management hilft, die Auswirkungen menschlicher Fehler (z. B. versehentliches Löschen einer wichtigen Datei oder Tippfehler bei einem wichtigen Befehl) und böswilliger Insider-Aktivitäten zu verhindern und abzumildern.

Arten privilegierter Konten

Im Folgenden finden Sie Beispiele für die Arten privilegierter Konten in Organisationen, die typischerweise mit Privileged Access Management verwaltet werden.

Anwendungsadministratorkonten

Anwendungsadministratorkonten haben vollen administrativen Zugriff auf bestimmte Anwendungen und die darin gespeicherten Daten. Sie stellen sicher, dass Anwendungen auf die erforderlichen Ressourcen zugreifen können, um automatisierte Updates sowie Datenbank- und Netzwerkupdates durchzuführen. Anwendungsadministratorkonten gewährleisten ferner, dass Konfigurationsänderungen vorgenommen werden können.

Domänenadministratorkonten

Domänenadministratorkonten erhalten die höchste Zugriffsebene in einem System. Diese Konten können auf alle Workstations und Server zugreifen und Systemkonfigurationen, Administratorkonten und Gruppenmitgliedschaften steuern.

Domänendienstkonten

Diese Konten sind leistungsstark und sehr komplex. Da sie zur Verbindung mehrerer Systeme und Anwendungen verwendet werden, um zu kommunizieren und Zugriff auf Ressourcen zu gewähren (z. B. für den Zugriff auf Datenbanken, den Aufruf von APIs und die Ausführung von Berichten), unterbricht eine Änderung der Anmeldedaten eines Domänendienstkontos Verbindungen und kann zu erheblichen Problemen führen. Dadurch sind diese Anmeldedaten anfällig für Manipulationen, da sie selten oder nie geändert werden.

Notfallkonten

Notfallkonten, auch als „Break-the-Glass“-Konten bezeichnet, verfügen über privilegierten Zugriff und sind für nicht privilegierte Benutzer gedacht, wenn nach einem kritischen Vorfall erhöhte Zugriffsrechte zur Wiederherstellung von Systemen und Diensten erforderlich sind.

Lokale Administratorkonten

Ein lokales Administratorkonto ermöglicht die administrative Kontrolle über bestimmte Server oder Workstations. Diese Art von privilegiertem Zugriffskonto wird üblicherweise erstellt, um der IT-Abteilung Wartungsaufgaben zu ermöglichen.

Lokale Administratorkonten sind leistungsstark; sie ermöglichen die Erstellung lokaler Benutzer, die Zuweisung von Benutzerrechten und Zugriffsberechtigungen sowie die Kontrolle über lokale Ressourcen durch Änderung der Benutzerrechte und -berechtigungen.

Dienstkonten

Dienstkonten dienen der sicheren Interaktion zwischen Anwendungen und Betriebssystemen. Das Sicherheitsproblem bei Dienstkonten besteht darin, dass sie in Betriebssystemen zwar zum Ausführen von Anwendungen oder Programmen verwendet werden können, der Zugriff darauf aber in der Regel entweder über Systemkonten (Konten mit hohen Privilegien und ohne Passwort) oder ein spezielles Benutzerkonto (normalerweise manuell oder während der Softwareinstallation erstellt) erfolgt. Obgleich Dienstkonten in der Regel nicht zum Anmelden bei Systemen berechtigt sind, verfügen sie oft über Passwörter, die sich nie ändern, und die Konten laufen nicht ab.

Superuser-Konten

Superuser-Konten werden Administratoren zugewiesen. Mit diesem Kontotyp erhalten Benutzer uneingeschränkten Zugriff auf die Dateien, Verzeichnisse und Ressourcen, die sie für ihre Arbeit benötigen. Privileged Access Management überwacht ihre Aktivitäten, darunter die Installation von Software, das Ändern von Konfigurationen und Einstellungen sowie das Hinzufügen und Löschen von Benutzern und Daten.

Weitere Arten von privilegierten Konten

Dies sind nur einige der privilegierten Konten, die Unternehmen priorisieren und sichern sollten, um das Risiko einer Kompromittierung und eines Missbrauchs zu verringern. Zu den weiteren Arten privilegierter Konten gehören:

  • Für den Zugriff auf Sicherheitslösungen verwendete Konten
  • Firewall-Konten
  • Hardwarekonten (z. B. BIOS und vPro)
  • Netzwerkausrüstung
  • Root-Konten
  • WLAN-Konten

Was sind privilegierte Passwörter?

Privilegierte Passwörter sind privilegierte Konten, die einer begrenzten Anzahl von Benutzern Folgendes ermöglichen:

  • Zugriff auf kritische Systeme, Konten und Anwendungen zu (z. B. Customer-Relationship-Management-Plattformen, Betriebssysteme, Verzeichnisdienste, Social-Media-Konten, IoT-Geräte und Verzeichnisdienste).
  • Ausführen eingeschränkter Funktionen (z. B. Erstellen von Konten und Zuweisen von Zugriffsprivilegien für Konten)
  • Anzeigen, Bearbeiten oder Herunterladen von sensiblen Informationen (z. B. Kundeninformationen, Finanzdaten und geistiges Eigentum)

Das Management privilegierter Zugriffe hilft beim Schutz riskanter privilegierter Passwörter, die im Falle einer Kompromittierung für potenziell verheerende laterale Bewegungen verwendet werden können.

Besonders gefährdet sind privilegierte Passwörter für Benutzer-, Anwendungs- und Dienstkonten. Priviledged Access Management ermöglicht Überwachung und Warnmeldungen, um sicherzustellen, dass diese und andere Benutzerkonten nicht zu Angriffspunkten werden.

Warum Priviledged Access Management wichtig ist

Privileged Access Management spielt eine entscheidende Rolle bei der Reduzierung der mit privilegierten Zugriffskonten verbundenen Risiken. Im Folgenden werden verschiedene Möglichkeiten beschrieben, wie Priviledged Access Management verhindern kann, dass privilegierte Konten für böswillige Aktivitäten missbraucht werden, und wie es Unternehmen hilft.

Die 5 wichtigsten Gründe, warum Privileged Access Management wichtig ist

  1. Es befähigt Sicherheitsteams, böswillige Aktivitäten zu erkennen, die auf Privilegienmissbrauch zurückzuführen sind.
  2. Es gewährleistet, dass Mitarbeiter nur über die Zugriffsrechte verfügen, die sie für ihre Arbeit benötigen.
  3. Es identifiziert böswillige Aktivitäten im Zusammenhang mit dem Missbrauch von Privilegien.
  4. Es bietet sichere Zugriffskontrollen für den gegenseitigen Zugriff und die Kommunikation von Systemen.
  5. Es erkennt anomale privilegierte Zugriffsaktivitäten, sobald sie auftreten.

Privileged Access Management ist auch aus folgenden Gründen wichtig.

Es verdichtet die Angriffsflächen

Privileged Access Management kann vor internen und externen Bedrohungen schützen, indem es die Privilegien für Personen, Systeme und Anwendungen beschränkt und so die Ausnutzungsmöglichkeiten reduziert.

Es verbessert die Sichtbarkeit

Mit Privileged Access Management erhalten Sicherheitsteams Echtzeit-Übersicht über die Benutzerzugriffe auf alle Anwendungen, Geräte, Netzwerke und Server, einschließlich der Sitzungszeiten. So lassen sich Versuche, auf nicht autorisierte Bereiche zuzugreifen, schnell erkennen. Privileged Access Management kann auch verwendet werden, um Warnungen einzurichten, wenn Benutzer nicht ihrem üblichen Verhalten folgen, und möglicherweise kompromittierte Anmeldedaten zu kennzeichnen.

Es erhöht die Produktivität

Mit Privileged Access Management lassen sich manuelle Aufgaben wie die Passworterstellung und die Passwortspeicherung automatisieren. Privileged Access Management reduziert menschliche Fehler, spart Teams Zeit bei der Problembehebung und hilft, Zugriffsprobleme zu vermeiden, die auftreten, wenn sich Benutzer von mehreren Standorten und Geräten aus anmelden.

Es integriert den Zugriff

Privileged Access Management bietet ein zentrales Dashboard für das Management des Zugriffs auf Unternehmenssysteme, einschließlich Anwendungen, Datenbanken, Geräten, Servern und Workstations. Mit diesem Dashboard können Sie zudem einen Bericht erstellen, der Zugriffsdaten aus mehreren Quellen zusammenfasst.

Es minimiert die Auswirkungen eines Cyberangriffs

Kommt es zu einem Datenleck oder kann sich Schadsoftware (Malware) festsetzen, hilft Priviledged Access Management dabei, die Verbreitung einzuschränken und so die Reichweite auf ein Minimum zu reduzieren.

Es schützt vor Angriffen durch entlassene Mitarbeiter

Indem es die automatische Zugriffssperre für entlassene Mitarbeiter vereinfacht, trägt Priviledged Access Management dazu bei, Sicherheitslücken zu schließen, die entstehen, wenn entlassene Mitarbeiter weiterhin Zugriff auf Systeme haben.

Es erfüllt die Anforderungen einer Cyberversicherung

Angesichts des Ausmaßes und der Kosten von Ransomware-Angriffen schreiben viele Cyberversicherungspolicen den Einsatz von Privileged Access Management vor. Denn Privileged Access Management-Kontrollen haben sich als wirksam erwiesen, um Risiken zu reduzieren und Cyberbedrohungen zu neutralisieren.

Es entschärft das schwächste Glied in der Sicherheitskette – den Menschen

Experten sind sich einig, dass der Mensch das schwächste Glied in der Sicherheitskette darstellt, insbesondere im Hinblick auf den Zugriff. Privileged Access Management kann verhindern, dass privilegierte Benutzer ihre Zugriffsrechte missbrauchen.

Durch Privileged Access Management werden die potenziellen Risiken, die von privilegierten Benutzern ausgehen, verringert, indem sichergestellt wird, dass diese nur über die für ihre Arbeit erforderlichen Mindestzugriffsrechte verfügen. Darüber hinaus trägt das Management dazu bei, böswillige Aktivitäten zu identifizieren und mit dem Missbrauch von Privilegien in Verbindung zu bringen.

Es unterstützt Compliance-Programme

Privileged Access Management kann dabei helfen, Compliance zu erreichen und zu überprüfen. Es erleichtert die Implementierung und Durchsetzung des Prinzips der geringsten Privilegien, das eine Compliance-Anforderung für eine Reihe von Vorschriften ist, darunter der Federal Information Security Management Act (FISMA), der Health Insurance Portability and Accountability Act von 1996 (HIPAA), der Payment Card Industry Data Security Standard (PCI DSS) und der Sarbanes-Oxley Act (SOX).

Darüber hinaus zeichnet das Privileged Access Management alle Aktivitäten im Zusammenhang mit kritischer IT-Infrastruktur und vertraulichen Informationen auf und protokolliert sie. Dadurch werden die für Compliance-Audits erforderlichen Daten bereitgestellt.

Bedrohungsvektoren für privilegierte Konten und Passwörter

Privileged Access Management ist ein wirksames Tool zur Neutralisierung von Bedrohungen, die privilegierte Konten und Passwörter ausnutzen. Die häufigsten Bedrohungen bestehen darin, sich lateral durch Netzwerke zu bewegen, um ein inaktives oder verwaistes Konto zu finden, mit dem sich Privilegien erweitern lassen.

Zu den Agenten, die Bedrohungsvektoren nutzen, um auf privilegierte Konten und Passwörter zuzugreifen, gehören die folgenden (einige von ihnen handeln nicht in böser Absicht, sondern machen einfach Fehler, die zu einer Eskalation der privilegierten Konten führen).

  • Zufällige Insider (d. h. Benutzerfehler)
  • Hacker
  • Böswillige Insider
  • Partner

Privileged Access Management bietet einen wirksamen Schutz gegen Schwachstellen bei der Zuweisung privilegierter Zugriffe, darunter:

  • Fest codierte und eingebettete Anmeldedaten für Anwendungen, Systeme, Netzwerkgeräte und IoT-Geräte
  • Mangelndes Bewusstsein für privilegierte Konten
  • Übermäßige Bereitstellung von Privilegien
  • Schlechte Passwortmanagement-Praktiken
  • Fernzugriff
  • Gemeinsam genutzte Administratorkonten
  • Zugriff von Drittanbietern

Best Practices für das Management privilegierter Zugriffe

Nachfolgend finden Sie eine Übersicht über die am häufigsten genannten bewährten Praktiken für das Management privilegierter Zugriffe.

  • Vermeiden Sie einen dauerhaften privilegierten Zugriff
  • Erstellen Sie ein vollständiges Inventar aller privilegierten Konten und Anmeldedaten
  • Bestimmen Sie Baselines für privilegiertes Benutzerverhalten (PUBA) und überwachen Sie Abweichungen
  • Dokumentieren Sie, wo und wie privilegierte Konten verwendet werden und von wem
  • Erzwingen Sie das Prinzip der geringsten Privilegien für alle Endbenutzer, Endgeräte, Konten, Anwendungen, Dienste und Systeme, einschließlich aller lokalen, Cloud- und Hybridbereitstellungen, und beseitigen Sie alle Standard- und Dauerprivilegien
  • Erstellen Sie eine umfassende Richtlinie zum Privilegienmanagement und setzen Sie sie durch
  • Setzen Sie starke Passwortrichtlinien durch:
    • Zentralisieren Sie die Sicherheit und das Management aller Anmeldedaten (wie z. B. Anwendungspasswörter, Passwörter für privilegierte Konten und SSH-Schlüssel)
    • Erzwingen Sie die Verwendung sicherer Passwörter
    • Aktualisieren Sie privilegierte Passwörter regelmäßig
    • Untersagen Sie die Weitergabe von Passwörtern
  • Überwachen und prüfen Sie alle privilegierten Aktivitäten
  • Stellen Sie einen Just-in-Time-Zugriff bereit
  • Fordern Sie die Trennung von Privilegien und Pflichten
  • Entfernen Sie die Standardadministratorrechte
  • Segmentieren Sie Systeme und Netzwerke
  • Profitieren Sie von der Automatisierung des Privileged Access Management
  • Verwenden Sie eine aktivitätsbasierte Zugriffskontrolle
  • Verwenden Sie dynamischen, kontextbasierten Zugriff
  • Verwenden Sie Privileged Access Management, um entsprechende Sicherheitsrichtlinien zu implementieren und aufrechtzuerhalten

Privileged Access Management erhöht Ihre Sicherheit

Die Nutzung privilegierter Zugriffe ist grundsätzlich riskant. Mit Privileged Access Management können Unternehmen Benutzern erweiterte Zugriffsrechte gewähren, ohne die Sicherheit zu gefährden oder Angriffsflächen zu vergrößern. Es erhöht die Sicherheit und hilft Sicherheitsteams, die Produktivität zu steigern und Abläufe zu optimieren.

Datum: 23. Juni 2025Lesezeit: 15 Minuten
ZugriffsmanagementPrivilegierte Konten

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt