Vyrex Security Team

Privileged Access Management: PAM-Lösungen für 10, 100 und 1000 Mitarbeiter

PAM für KMU: Welche Lösung passt zu Ihrer Unternehmensgröße? Von Passwort-Tresoren bis BeyondTrust-Alternativen – mit NIS-2- und Azure-Kontext.

PAM KMUPrivileged Access Management VergleichBeyondTrust AlternativeAzure PIMNIS-2 Zugangskontrolle

Privileged Access Management: PAM-Lösungen für 10, 100 und 1000 Mitarbeiter

Key Takeaways

  • PAM ist kein Enterprise-Only-Thema: Auch Unternehmen mit 10 Mitarbeitern haben privilegierte Konten, die aktiv gesichert werden müssen
  • Die richtige Lösung hängt von der Unternehmensgröße ab – von einfachen Passwort-Tresoren bis zu vollständigen PAM-Plattformen
  • NIS-2 und DSGVO fordern nachweisbare Kontrolle über privilegierte Zugänge – PAM ist kein optionales Add-on mehr
  • Microsoft 365 und Azure bieten mit PIM eine solide integrierte PAM-Grundlage für mittelgroße Umgebungen
  • Wazuh ermöglicht die Überwachung und Auditierung von PAM-Aktivitäten auch ohne teures SIEM

Was ist Privileged Access Management – und warum betrifft es auch Sie?

Privilegierte Konten sind Accounts mit erhöhten Rechten: Domänen-Administratoren, lokale Admin-Accounts, Service-Accounts für Backup-Software oder Monitoring, Root-Zugänge auf Servern, DevOps-Zugänge zu Cloud-Infrastrukturen. Diese Konten sind das Hauptziel bei Ransomware-Angriffen und Datendiebstahl – nicht weil Angreifer besonders kreativ wären, sondern weil diese Konten in fast jeder Umgebung existieren und häufig schlecht gesichert sind.

Laut dem Verizon Data Breach Investigations Report nutzen über 40 % aller Angriffe auf Unternehmensumgebungen gestohlene oder missbrauchte Credentials – und in den meisten Fällen handelt es sich um privilegierte Zugänge.

Privileged Access Management (PAM) beschreibt den strukturierten Ansatz, diese Zugänge zu kontrollieren, zu überwachen und lückenlos zu auditieren. Das bedeutet konkret:

  • Credential Vaulting: Passwörter für privilegierte Konten werden zentral verschlüsselt gespeichert und automatisch rotiert
  • Just-in-Time Access: Privilegierte Rechte werden nur für den Zeitraum vergeben, in dem sie tatsächlich benötigt werden
  • Session Recording: Administrative Sitzungen werden aufgezeichnet und sind forensisch auswertbar
  • Least Privilege: Jeder Account hat ausschließlich die Rechte, die er für seine Funktion benötigt

NIS-2 und DSGVO: Was fordert der Gesetzgeber konkret?

Die NIS-2-Richtlinie (seit Oktober 2024 in deutsches Recht umgesetzt) fordert von betroffenen Unternehmen unter anderem Zugriffskontrolle und Identitätsmanagement (Art. 21 Abs. 2 lit. i) sowie Maßnahmen zur Erkennung und Behandlung von Sicherheitsvorfällen. Die DSGVO verlangt bei personenbezogenen Daten das Prinzip der Zugriffsbeschränkung auf das notwendige Minimum (Art. 5 Abs. 1 lit. f, Art. 32). Wer Datenbanken mit Kundendaten, HR-Systeme oder CRM-Zugänge nicht kontrolliert, riskiert nicht nur Datenverluste, sondern auch Bußgelder und Nachweispflichten gegenüber Aufsichtsbehörden.

PAM ist damit keine optionale Maßnahme mehr – es ist ein nachweisbares Compliance-Requirement.


PAM für 10 Mitarbeiter: Pragmatischer Einstieg ohne Overhead

Viele kleine Unternehmen denken: "Wir haben doch keine IT-Abteilung, PAM ist nichts für uns." Dabei ist das Risiko hier besonders hoch: Es gibt kaum Prozesse, Passwörter werden geteilt, Admin-Accounts laufen dauerhaft mit vollen Rechten, und beim Ausscheiden von Mitarbeitern werden Zugänge selten zeitnah gesperrt.

Typische Situation

  • 1–2 Personen mit lokalen Administrator-Rechten auf allen Rechnern
  • Geteilte Passwörter für Router, NAS, Cloud-Portale und Firewall
  • Kein strukturierter Offboarding-Prozess: Ehemalige Mitarbeiter oder Dienstleister haben noch aktive Zugänge
  • Globale Admin-Rechte in Microsoft 365 werden dauerhaft genutzt, nicht nur bei Bedarf

Minimalansatz: Passwort-Tresor plus MFA-Pflicht

Für ein Unternehmen dieser Größe ist ein zentraler Passwort-Manager mit privilegierten Konten der erste und wichtigste Schritt:

  • Bitwarden Business: Open-Source-Basis, selbst hostbar, günstiger Einstiegspreis, gute MFA-Integration
  • 1Password Teams: Einfach zu bedienen, SaaS, gut für Teams ohne dedizierte IT
  • KeePass mit geteilten Datenbanken: Kostenlos, aber manueller Verwaltungsaufwand

Entscheidend ist: Passwörter für privilegierte Konten – Router-Admin, lokaler Windows-Administrator, Microsoft-365-Global-Admin – müssen aus dem Gedächtnis von Einzelpersonen in einen kontrollierten, geteilten Speicher verlagert werden. Damit fällt die häufigste Schwachstelle weg: das Mitarbeiter-Offboarding ohne vollständige Passwortänderung.

Sofortmaßnahme in Microsoft 365: Im Admin Center sollte die Anzahl der Global Admins auf das absolute Minimum reduziert werden. Niemand sollte dauerhaft als Global Admin im Alltag angemeldet sein.

Admin Center → Benutzer → Aktive Benutzer → Rollen prüfen
Ziel: Maximal 2 Global Admins, alle anderen mit spezifischen Rollen (Exchange Admin, User Admin etc.)
MFA erzwingen: Sicherheit → Authentifizierungsmethoden → MFA-Richtlinie aktivieren

Wazuh: Audit-Spur auch für kleine Teams

Auch ohne dediziertes Security-Team lassen sich mit Wazuh kritische privilegierte Anmeldungen erfassen. Wazuh-Agenten auf Windows-Systemen protokollieren Rechteeskalationen und Administrator-Anmeldungen automatisch über Windows Event Logs:

<!-- Wazuh: Lokale Regel für privilegierte Windows-Anmeldungen -->
<rule id="100001" level="10">
  <if_group>authentication_success</if_group>
  <match>Administrator|SYSTEM</match>
  <description>Privilegierte Anmeldung auf Windows-System erkannt</description>
  <group>authentication,pam,windows</group>
</rule>

Für ein 10-Personen-Unternehmen genügt eine einfache Wazuh-Instanz oder ein Managed-SIEM-Service, der diese Events gesammelt auswertet und bei Anomalien per E-Mail oder Ticket eskaliert.


PAM für 100 Mitarbeiter: Strukturierte Kontrolle über wachsende Komplexität

Bei 100 Mitarbeitern wächst die Angriffsfläche erheblich: Active Directory mit Gruppen und Rollen, Cloud-Workloads in Azure, externe IT-Dienstleister mit Remote-Zugängen, Service-Accounts für ERP, Backup und Monitoring, und ein DevOps-Team mit weitreichenden Cloud-Rechten.

Azure Privileged Identity Management (PIM)

Für Unternehmen, die auf Microsoft 365 und Azure setzen, ist Azure AD Privileged Identity Management der logische nächste Schritt. PIM ist in Azure AD P2 enthalten (Bestandteil von Microsoft 365 E3/E5 oder EMS E3/E5).

PIM ermöglicht:

  • Eligible Assignments: Admins sind für eine Rolle berechtigt, müssen sie aber aktiv aktivieren – mit Begründung und optional nach Genehmigung
  • Time-bound Access: Rollen werden automatisch nach einer definierten Dauer entzogen
  • Approval Workflows: Kritische Rollen wie Global Admin oder Subscription Owner erfordern eine Freigabe durch einen zweiten Administrator
  • Access Reviews: Regelmäßige, strukturierte Überprüfung, ob Rollenzuweisungen noch notwendig sind
// Beispiel: PIM Eligible Assignment über Microsoft Graph API
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
{
  "action": "AdminAssign",
  "justification": "Wartungsfenster monatliche Patchrunde",
  "roleDefinitionId": "62e90394-69f5-4237-9190-012177145e10",
  "directoryScopeId": "/",
  "principalId": "<User-Object-ID>",
  "scheduleInfo": {
    "expiration": {
      "type": "AfterDuration",
      "duration": "PT4H"
    }
  }
}

Externe Dienstleister: Das übersehene Risikopotenzial

Externe IT-Dienstleister erhalten oft dauerhaften RDP- oder VPN-Zugang, den niemand aktiv überwacht. Eine PAM-Lösung für 100 Mitarbeiter sollte externe Zugänge über ein kontrolliertes Gateway abwickeln.

Teleport (Open Source, selbst hostbar) ermöglicht granulare SSH- und RDP-Zugänge mit vollständiger Session-Aufzeichnung:

# Temporären Zugang für externen Dienstleister ausstellen (8 Stunden)
tctl users add dienstleister-meier --roles=server-readonly --logins=ubuntu --ttl=8h

# Session-Aufzeichnungen für Audit abrufen
tsh recordings list --from=2026-07-01 --to=2026-07-02

Nach Ablauf der TTL ist der Zugang automatisch nicht mehr nutzbar – kein manuelles Sperren erforderlich.

Service-Accounts: Das vergessene Risiko im Active Directory

Service-Accounts für Backup-Software, Monitoring oder ERP-Systeme laufen häufig mit Passwörtern, die seit Jahren unverändert sind und weitreichende Rechte besitzen. Der pragmatische Weg: Group Managed Service Accounts (gMSA) in Active Directory nutzen. Diese rotieren ihr Passwort automatisch alle 30 Tage – ohne manuelle Intervention:

# Group Managed Service Account erstellen
New-ADServiceAccount -Name "svc-backup" `
  -DNSHostName "backup.intern.example.com" `
  -PrincipalsAllowedToRetrieveManagedPassword "BackupServer$"

# Kein manuelles Passwortmanagement mehr – AD übernimmt Rotation automatisch
# Passwort kann nicht von Menschen direkt ausgelesen werden

PAM für 1000 Mitarbeiter: Dedizierte Plattformen und Zero Standing Privileges

Ab etwa 500–1000 Mitarbeitern reichen native Cloud-Tools und einfache Vaulting-Lösungen nicht mehr aus. Die Heterogenität der Systeme – On-Premise, Azure, AWS, Hybrid – und die schiere Menge privilegierter Konten erfordern eine dedizierte PAM-Plattform.

Marktüberblick: Dedizierte PAM-Lösungen im Vergleich

BeyondTrust Password Safe ist einer der bekanntesten Namen im PAM-Markt: funktional sehr umfassend, DSGVO-konformes Hosting möglich, aber teuer in Lizenz und Implementierung. Für Unternehmen ohne dediziertes Security-Team oft überdimensioniert.

Lösung Stärken Schwächen Preisrahmen
CyberArk PAM Marktführer, sehr mächtig, breite Integrationen Hohe Lizenz- und Betriebskosten, lange Einführungszeit Ab 50.000 €/Jahr
Delinea Secret Server Gutes Preis-Leistungs-Verhältnis, cloud-nativ UI weniger modern Ab 15.000 €/Jahr
Teleport Enterprise Developer-freundlich, starkes Audit, Open-Source-Basis Kein klassisches Vault-UI für Windows-Admins Ab 12.000 €/Jahr
HashiCorp Vault Sehr flexibel, API-first, starke DevOps-Integration Hoher Betriebsaufwand, kein Out-of-the-Box-UI Open Source + Support
Senhasegura EU-Hosting, DSGVO-konform, breites Feature-Set Im DACH-Markt weniger etabliert Auf Anfrage

Wazuh als PAM-Monitoring-Layer

Dedizierte PAM-Plattformen erzeugen umfangreiche Audit-Logs – aber wer wertet diese aus? In Umgebungen mit 1000 Mitarbeitern müssen PAM-Logs zentral in einem SIEM landen, das Anomalien erkennt und eskaliert. Wazuh kann Logs aus Teleport, CyberArk und anderen Systemen über Syslog oder dateibasierte Collection verarbeiten:

<!-- wazuh/ossec.conf: Teleport Audit-Logs einlesen -->
<localfile>
  <log_format>json</log_format>
  <location>/var/log/teleport/audit.log</location>
</localfile>
<!-- Korrelationsregel: PAM-Session außerhalb Geschäftszeiten -->
<rule id="100010" level="12">
  <if_group>teleport_session_start</if_group>
  <time>18:00 - 08:00</time>
  <description>Privilegierte Session außerhalb Geschäftszeiten gestartet</description>
  <group>pam,anomaly,after_hours</group>
</rule>

Zero Standing Privileges als strategisches Ziel

Der Gold-Standard für Unternehmen dieser Größe: Zero Standing Privileges (ZSP). Kein Account besitzt dauerhaft erhöhte Rechte. Privilegien werden ausschließlich bei konkretem Bedarf, für einen definierten Zeitraum und nach einem definierten Genehmigungsprozess vergeben.

Praktische Architektur:

  1. Azure PIM für Cloud-Ressourcen (M365-Rollen, Azure Subscriptions, Entra ID)
  2. CyberArk oder Delinea für On-Premise-Systeme, Datenbanken und Service-Accounts
  3. Wazuh/SIEM für zentrales Monitoring aller PAM-Aktivitäten mit Echtzeit-Alerting
  4. Access Reviews vierteljährlich als dokumentierter Prozess – Nachweispflicht für NIS-2

Grundprinzipien, die für jede Unternehmensgröße gelten

Unabhängig davon, welche Lösung zum Einsatz kommt, gelten diese Prinzipien universell:

Admin-Accounts strikt trennen: Kein Administrator-Account sollte für E-Mail, Webbrowsing oder andere Alltagsaufgaben genutzt werden. Separate Accounts für privilegierte Tätigkeiten sind Pflicht.

MFA auf allen privilegierten Zugängen: Keine Ausnahmen, keine Übergangslösungen. Auch für lokale Administratoren, sofern technisch umsetzbar.

Offboarding als Prozess verankern: Privilegierte Zugänge werden beim Ausscheiden eines Mitarbeiters oder Dienstleisters sofort und vollständig entzogen – nicht erst, wenn es jemand meldet oder ein Incident passiert.

Regelmäßige Inventarisierung: Wer hat welche Zugänge? Braucht er sie noch? Ein jährliches Review ist das Minimum; bei NIS-2-Betroffenheit sind kürzere Zyklen sinnvoll.

Monitoring schließt den Kreis: PAM ohne Überwachung ist unvollständig. Privilegierte Aktivitäten müssen protokolliert, zentral ausgewertet und bei Anomalien eskaliert werden.


Fazit: Der erste Schritt ist das Inventar

PAM ist kein Projekt, das man einmal abschließt. Es ist ein laufender Prozess, der mit dem Unternehmen wächst. Der erste und wichtigste Schritt ist ein ehrliches Inventar: Welche privilegierten Konten existieren, wer kennt die Zugangsdaten, wann wurden sie zuletzt geändert, und wer kontrolliert die Zugriffe?

Für Unternehmen ohne dediziertes Security-Team ist PAM oft der Bereich, der am stärksten vernachlässigt wird – und gleichzeitig derjenige, der bei einem Angriff am schnellsten den Unterschied ausmacht zwischen einem kontrollierten Vorfall und einem vollständigen Datenverlust mit Betriebsunterbrechung.

Vyrex Security betreibt für KMU und mittelständische Unternehmen einen Managed SIEM/SOC-Service auf Basis von Wazuh, der PAM-Aktivitäten aus Azure PIM, Active Directory und gängigen PAM-Plattformen kontinuierlich überwacht und bei Anomalien in Echtzeit eskaliert – ohne dass Sie ein eigenes Security-Team aufbauen müssen. Wenn Sie wissen möchten, wie Ihr aktueller PAM-Stand aussieht und wo die größten Lücken liegen, sprechen Sie uns an.

FAQ

Häufige Fragen

Braucht ein Unternehmen mit 10 Mitarbeitern wirklich PAM?

Ja. Jedes Unternehmen hat privilegierte Konten: lokale Administratoren, Router-Zugänge, Cloud-Portale. Ohne strukturierte Kontrolle sind diese Konten das schwächste Glied – besonders weil in kleinen Teams Passwörter oft geteilt und selten geändert werden. Ein Passwort-Tresor mit MFA-Pflicht ist für 10 Mitarbeiter ein realistischer und ausreichender Einstieg.

Was ist der Unterschied zwischen Azure PIM und einer dedizierten PAM-Lösung wie CyberArk?

Azure Privileged Identity Management deckt Cloud-Ressourcen und Microsoft-365-Rollen ab: Just-in-Time-Aktivierung, zeitlich begrenzte Rechtevergabe, Genehmigungsworkflows. Dedizierte PAM-Plattformen wie CyberArk oder Delinea gehen darüber hinaus: Sie verwalten auch On-Premise-Systeme, Service-Accounts, SSH-Zugänge und bieten vollständiges Session Recording. Für reine Microsoft-Umgebungen bis etwa 500 Mitarbeiter reicht Azure PIM oft aus.

Was fordert NIS-2 konkret im Bereich privilegierter Zugänge?

NIS-2 (Art. 21 Abs. 2) verlangt technische und organisatorische Maßnahmen zur Zugriffskontrolle und zum Identitätsmanagement. Konkret bedeutet das: nachweisbare Kontrolle über privilegierte Konten, Dokumentation von Zugriffsrechten, Prozesse für die Rechtevergabe und -entzug sowie die Fähigkeit, bei einem Vorfall lückenlos nachvollziehen zu können, wer wann auf welches System zugegriffen hat. PAM-Logs und deren Auswertung sind ein zentrales Nachweismittel bei einer Prüfung.