PAM-Systeme: Vergleich, Funktionen und Auswahlkriterien

Sicherheit im IT-Umfeld muss stets einen Kompromiss mit der Nutzbarkeit eingehen. Jeder Schutz, den man hinzufügt, erhöht den technischen Aufwand oder den Aufwand, den der Nutzer bei der Verwendung hat. Paradoxerweise können höhere Anforderungen auch das Risiko erhöhen:

So sind beispielsweise komplexe Passwörter sicherer als einfache, führen aber dazu, dass es aufwendiger für den Nutzer ist, sich diese Passwörter zu merken. Die Konsequenz daraus ist, dass manche Nutzer sich ihre Passwörter aufschreiben

In Privilegierten Systemen (Admin-Accounts, Kritische Infrastruktur) werden häufig keine individualisierten Accounts verwendet, was dazu führt, dass sich mehrere Personen die Accounts teilen und die Berechtigungen einander weitergeben. Daher wissen Unternehmen häufig gar nicht, wer alles auf ihre Systeme Zugriff hat und können auch nicht nachvollziehen, wer welche Änderung durchgeführt hat. Laut dem Verizon Data Breach Investigations Report (DBIR) von 2026 zählen kompromittierte Zugangsdaten weiterhin zu den häufigsten Ursachen erfolgreicher Sicherheitsvorfälle und unterstreichen die Bedeutung einer kontrollierten Verwaltung privilegierter Zugriffe.

Für beide Problemfelder gibt es technische Lösungen: IPG als langjähriger Integrator bietet PAM von der Konzeption, über die Implementierung bis zum Betrieb aus einer Hand an. 

Die Auswahl eines PAM Systems sollte sich an den individuellen Sicherheitsanforderungen, der bestehenden IT-Landschaft und den regulatorischen Vorgaben des Unternehmens orientieren. Wichtige Kriterien sind:

• Unterstützung privilegierter Konten, Funktionen wie Passwort-Tresore, Session-Aufzeichnungen
• Just-in-Time-Zugriffe
• Integration in bestehende Identity- und Access-Management-Systeme
• Skalierbarkeit, Cloud-Unterstützung, Benutzerfreundlichkeit
• Geringer Betriebsaufwand als Schlüssel für den langfristigen Erfolg

Unternehmen sollten zudem prüfen, wie gut sich das PAM System in Zero-Trust-Strategien und Compliance-Anforderungen wie NIS2 bei kritischen Infrastrukturen, DORA im Finanzwesen oder ISO 27001 einfügt. Gerade die ISO/IEC 27001:2022 fordert in Anhang A.8.2 (Privileged Access Rights) die kontrollierte Vergabe und Verwaltung privilegierter Zugriffsrechte. Ein strukturierter Auswahlprozess hilft dabei, eine Lösung zu finden, die sowohl aktuelle als auch zukünftige Sicherheits- und Governance-Anforderungen erfüllt.

PAM Systeme dienen grundsätzlich dazu Privilegierte Systeme zu verwalten und berechtigten Nutzern Zugriff zu gewähren. Dafür werden die Zugangsberechtigungen zu diesen Systemen im PAM System selbst vorgehalten und sind dem Benutzer in der Regel nicht bekannt. Wenn also beispielsweise ein Administrator nach den hinterlegten Regeln berechtigt ist ein bestimmtes System zu verwenden, wird ihm durch das PAM System entweder ein Passwort für einen Account auf dem System zur Verfügung gestellt (und geändert, wenn nicht mehr benötigt) oder eine Remote-Session auf das System vermittelt. Im Falle der Remote-Session kann das PAM-System dann als Proxy dienen und die Session überwachen. 

Um die Verwaltung zu vereinfachen werden außerdem Möglichkeiten der Automatisierung angeboten, beispielsweise indem neue Nutzer aus Directory-Systemen ausgelesen werden. Zudem können neue Systeme und neue Accounts auf diesen Systemen automatisiert erkannt und durch das PAM-System verwaltet werden.

Der Markt für Privileged Access Management (PAM) bietet eine Vielzahl spezialisierter Lösungen mit unterschiedlichen Schwerpunkten hinsichtlich Sicherheit, Bedienbarkeit und Integration. Die Wahl des passenden Systems hängt von Faktoren wie Unternehmensgröße, regulatorischen Anforderungen und der bestehenden IAM-Architektur ab. Im Folgenden werden drei etablierte PAM-Anbieter gegenübergestellt, die dem Autor bekannt sind und unterschiedliche Ansätze für den Schutz privilegierter Zugriffe verfolgen. Der Vergleich konzentriert sich auf zentrale Funktionen, typische Einsatzszenarien sowie die jeweiligen Stärken der Lösungen. Dadurch erhalten Unternehmen eine fundierte Grundlage für die Bewertung und Auswahl eines geeigneten PAM Systems.

Beyond Trust bietet sein Produkt, den Password Safe, als SaaS, als Hardware Appliance und als virtuelle Maschine an. Außerdem kann es auf einem regulären Windows-System installiert werden. Gründe auf Beyond Trust zu setzen sind der größere Umfang an Fremdsystemen, die angebunden werden und die vielfältigeren Möglichkeiten der Automatisierung. So ist Beyond Trust besonders für Unternehmen mit einer umfangreichen und vielfältigen Landschaft an unterschiedlichen Systemen interessant. Weiterhin wird es schon länger als SaaS angeboten und bietet die Möglichkeit, die angeschlossenen Systeme auf Sicherheitslücken zu überprüfen, wie beispielsweise vernachlässigte Sicherheitsupdates.

Safeguard aus dem Hause One Identity besteht aus drei Produkten, die zusammen oder einzeln erworben werden können. SPP (Safeguard for Privileged Passwords) dem Passwortsafe, SPS (Safeguard for Privileged Sessions) der Sessionverwaltung, und SPA (Safeguard for Privileged Analytics). SPA ist in SPS enthalten, sofern es lizensiert wurde. Safeguard Alleinstellungsmerkmal sind die auf Wunsch noch angebotenen Hardware-Appliances, die ausschließlich für den Betrieb von Safeguard entwickelt und entsprechend gehärtet wurden. Das bietet Vorteile bezüglich der Sicherheit. Außerdem lassen sich die Daten durch den Betreiber nicht verändern, was interessant sein kann, wenn sie als Beweise vor Gericht verwendet werden. SPA bietet Funktionalität, um die Nutzer per KI-Systeme und Mustervergleich anhand diverser Verhaltensmuster zu erkennen und eventuelle Verbindungen zu unterbrechen, falls der Nutzer sich verdächtig verhält. Safeguard besticht auf mit der Integration in den One Identity Manager. 

Wallix bietet sein Kernprodukt Bastion nur als virtuelle Maschine an, demnächst auch als SaaS Lösung. Besondere Stärke ist das Zusatzprodukt Access Manager, der exklusiven Zugang auf die Bastion für Nutzer außerhalb des Intranets ermöglicht und diesen Nutzern beispielsweise RDP und SSH Sessions ermöglicht. Diese werden über eine HTML5 Schnittstelle aufgebaut, ohne dass dafür ein eigenes Tool verwendet werden muss. Das ist vor allem für Fernwartungszugriffe sehr vorteilhaft. Außerdem bietet Wallix ein Lizenzmodell an, das sich ausschließlich nach der Anzahl von Nutzern oder den angebundenen Zielsystemen richten kann. Das ist besonders in Grenzsituationen interessant, wenn einer der Werte sehr gering ist und damit zu einem sehr attraktiven Gesamtpreis führt.

Die Anforderungen an Privileged Access Management unterscheiden sich in IT- und OT-Umgebungen teilweise erheblich. Während in klassischen IT-Systemen die Integration in bestehende Identity- und Access-Management-Lösungen, die Automatisierung von Berechtigungen sowie die Absicherung von Cloud- und Hybrid-Infrastrukturen im Vordergrund stehen, liegt der Fokus in OT-Umgebungen auf der Verfügbarkeit und dem Schutz kritischer Produktionsanlagen. 

PAM Systeme für Operational Technology müssen häufig ältere Systeme ohne moderne Authentifizierungsverfahren unterstützen und gleichzeitig den Zugriff von internen Mitarbeitenden, Dienstleistern und Herstellern sicher kontrollieren. Zudem spielen die lückenlose Nachvollziehbarkeit privilegierter Aktivitäten sowie die Einhaltung branchenspezifischer Sicherheitsanforderungen eine zentrale Rolle. Die Auswahl einer geeigneten PAM-Lösung sollte daher stets die unterschiedlichen technischen, betrieblichen und regulatorischen Anforderungen beider Bereiche berücksichtigen.

Privileged Access Management (PAM) und Privileged Remote Access (PRA) verfolgen unterschiedliche Schwerpunkte bei der Absicherung privilegierter Zugriffe. 

• PAM konzentriert sich primär auf die Verwaltung, Kontrolle und Überwachung privilegierter Konten, einschließlich Passwort-Tresoren, Session-Aufzeichnungen und der Durchsetzung von Least-Privilege-Prinzipien. 
• PRA hingegen ermöglicht einen sicheren Fernzugriff auf kritische Systeme, ohne dass externe Nutzer direkte Netzwerkzugänge oder lokale Konten benötigen. Damit gibt man Dienstleistern oder Herstellern kontrollierten Zugriff auf Anlagen und Systeme, teilweise auch aus dem Ausland, siehe auch Fachbericht Fernzugriff aud dem Ausland.

Beide Ansätze ergänzen sich in modernen Sicherheitsarchitekturen und tragen gemeinsam dazu bei, privilegierte Zugriffe transparent und nachvollziehbar abzusichern.

Welches PAM System die beste Wahl ist, hängt von den individuellen Anforderungen, der vorhandenen IT- und OT-Landschaft sowie den strategischen Sicherheitszielen eines Unternehmens ab. Während einige Lösungen besonders durch ihre Integrationsfähigkeit und Skalierbarkeit überzeugen, bieten andere Vorteile bei der Absicherung von Produktionsumgebungen oder der einfachen Verwaltung privilegierter Zugriffe. Entscheidend ist, dass das gewählte PAM System die bestehenden Prozesse unterstützt und sich nahtlos in die übergeordnete Identity-Security-Strategie einfügt. Unternehmen sollten daher nicht nur den Funktionsumfang, sondern auch Faktoren wie Compliance, Betriebsmodell und zukünftige Anforderungen berücksichtigen. Ein strukturierter Vergleich der verfügbaren Lösungen schafft die Grundlage für eine nachhaltige und sichere Investitionsentscheidung.

Ivo Burkatzki ist Consultant für IAM und PAM Systeme. Nach der Erlangung des Bachelor of Science in Wirtschaftsinformatik begann er seine Karriere in der IT als Softwareingenieur und ABAP Entwickler. Seit Anfang 2019 ist er in der IAM-Branche unterwegs. Dort setzt er nun Kundenanforderungen im OneIdentity Manager, OneIdentity Safeguard und Wallix um. Im OneIdentity Manager ist er besonders spezialisiert auf Webdesign und Frontend Entwicklung also die optische und funktionale Anpassung des in das Produkt integrierten Web-Shop.