Was ist Privileged Account Management (PAM)? 

Privileged Account Management beschreibt die Verwaltung und Überwachung von Benutzerkonten und Datenzugriffen durch privilegierte Nutzer. 

Privileged Account Management beschreibt die Verwaltung und Überwachung von Benutzerkonten und Datenzugriffen durch privilegierte Nutzer. 

Ein privilegierter Nutzer ist jemand, der administrative Rechte auf kritische Systeme hat. Zum Beispiel gilt jeder, der Benutzerkonten oder Rollen in einer Oracle-Datenbank anlegen oder löschen kann, als privilegierter Nutzer. 

Wie bei allen Privilegien sollten auch privilegierte Konten nur vertrauenswürdigen Personen zugewiesen werden. Konten mit „Root“-Rechten – etwa zur Änderung von Systemkonfigurationen, Installation von Software, Verwaltung von Benutzerkonten oder Zugriff auf vertrauliche Daten – sollten nur Personen erhalten, denen Sie vertrauen. Aber wie es so schön heißt: Vertrauen ist gut, Kontrolle ist besser. 

Selbst vertrauenswürdige Zugriffe müssen kontrolliert und überwacht werden – genau dafür ist Privileged Account Management da. Unternehmen müssen jederzeit in der Lage sein, Zugriffsrechte zu entziehen. Idealerweise sollten die meisten Rechte entweder automatisch nach einer bestimmten Zeit entfallen oder regelmäßig überprüft werden. Die beste Praxis ist: Nur wer ein Privileg aktiv benötigt, sollte es auch erhalten.  

Je nach Größe und Komplexität einer Organisation ist es allerdings sehr zeitaufwendig – oder sogar unmöglich – all das manuell umzusetzen.  

Die unbequeme Wahrheit ist: In nahezu allen komplexen Cyberangriffen ist der Diebstahl und Missbrauch privilegierter Konten ein entscheidender Erfolgsfaktor – unabhängig davon, woher der Angriff stammt. Privilegierte Konten sind im wahrsten Sinne des Wortes die Schlüssel zu Ihrem digitalen Königreich. Vergessen Sie all die Phrasen à la „Unsere Mitarbeitenden sind unser wichtigstes Kapital“ – in Wirklichkeit sind es Ihre Daten. 

Je größer und komplexer die IT-Struktur eines Unternehmens ist, desto mehr privilegierte Nutzer gibt es. Diese Nutzer können interne Mitarbeitende sein, aber auch externe Dienstleister – vor Ort oder remote, menschlich oder automatisiert. Tatsächlich haben viele Unternehmen inzwischen mehr privilegierte Nutzer als Mitarbeitende! Kein Wunder also, dass der Markt für Privileged Account Management-Lösungen geradezu explodiert. 

Wie funktioniert Privileged Account Management? 

Privileged Account Management (PAM) schützt Ihre Systeme vor der unbeabsichtigten oder vorsätzlichen Fehlverwendung privilegierter Konten, denn die Lösung bietet eine skalierbare und sichere Möglichkeit, alle privilegierten Konten über sämtliche Systeme hinweg zu autorisieren und zu überwachen.

Es ermöglicht Ihnen: 

  • Privilegien nur für die Systeme zu vergeben, für die ein Nutzer autorisiert ist. 
  • Zugriff nur bei Bedarf zu gewähren und ihn sofort wieder zu entziehen, sobald dieser Bedarf entfällt. 
  • Lokale oder direkte Systempasswörter für privilegierte Nutzer vollständig zu eliminieren. 
  • Zugriffe zentral über eine Vielzahl heterogener Systeme zu steuern. 
  • Einen unveränderbaren Audit-Trail für alle privilegierten Aktionen zu erstellen. 

Bestandteile einer Privileged Account Management-Lösung 

PAM-Lösungen unterscheiden sich je nach Anbieter, aber die meisten enthalten folgende zentrale Komponenten: 

  • Access Manager – steuert den Zugriff auf privilegierte Konten. Er ist die zentrale Instanz zur Definition und Durchsetzung von Richtlinien für privilegierte Zugriffe. Ein privilegierter Nutzer beantragt den Zugriff auf ein System über den Access Manager, der wiederum weiß, auf welche Systeme der Nutzer zugreifen darf – und mit welchem Berechtigungsniveau. Ein Super-Admin kann über das zentrale System privilegierte Konten anlegen, bearbeiten oder löschen – das erhöht sowohl die Effizienz als auch die Compliance. 
  • Password Vault – PAM-Systeme speichern Passwörter in einem gesicherten Passwort-Tresor. Der gesamte Systemzugriff erfolgt über diesen Tresor. Das bedeutet: Endnutzer haben niemals direkten Zugriff auf Root-Passwörter. 
  • Session Manager – Session Manager zeichnen sämtliche Aktionen auf, die während einer privilegierten Sitzung erfolgen – für spätere Analysen und Audits. Manche Systeme erkennen zudem verdächtige oder nicht autorisierte Aktionen und können entweder Alarm schlagen oder diese Aktivitäten direkt blockieren. 

Was ist der Unterschied? 

Privileged Account Management? 

Privileged Access Management? 

Privileged User Management? 

Im Grunde ist es egal, welchen Begriff man verwendet – all diese Begriffe bezeichnen im Wesentlichen dasselbe Konzept. Oft hört man auch „Privileged Session Management“, „PSM“ oder „PxM“. Bei WALLIX halten wir es einfach und sprechen schlicht von PAM. 

Sie möchten mehr über Privileged Account Management erfahren? 

Dann laden Sie sich unser kostenloses Whitepaper Grundlagen der Zugriffssicherheit – ein Leitfaden für Einsteiger herunter – mit allen Grundlagen zu PAM und weiteren Tools fürs Access Management. 

.