Skip to content

Was ist Privileged Access Management (PAM) und welches Problem löst es?

Kurzantwort

PAM kontrolliert und überwacht die Konten, die den größten Schaden anrichten können — Domänenadministratoren, root, Dienstkonten. Es tresoriert und rotiert ihre Anmeldedaten, damit keine Geheimnisse geteilt oder hartkodiert werden, vermittelt Sitzungen, sodass Administratoren das rohe Passwort nie sehen, zeichnet auf, was privilegierte Benutzer tun, und gewährt die Erhöhung idealerweise just-in-time statt als dauerhaften Zugriff. Ziel ist es, den Schadensradius der Konten zu verkleinern, die Angreifer am meisten begehren.

Privilegierte Konten — Domänenadministratoren, root, Cloud-Organisationsadministratoren, Dienstkonten — sind die Schlüssel zum Königreich. Kompromittiert man eines, besitzt ein Angreifer oft die Umgebung. Privileged Access Management (PAM) ist die Disziplin und das Werkzeug, um diese Konten unter strenger Kontrolle zu halten.

Was PAM tatsächlich tut

  • Credential-Tresorierung und -Rotation. Privilegierte Passwörter und Schlüssel leben in einem Tresor, nicht in Skripten, Tabellen oder Administratorenköpfen. Sie werden automatisch und nach jeder Nutzung rotiert, sodass ein geleaktes Geheimnis ein kurzes Leben hat.
  • Sitzungsvermittlung. Wenn ein Administrator Zugriff braucht, schleust das PAM-Werkzeug die Anmeldeinformation in die Sitzung ein, ohne sie preiszugeben. Der Mensch kennt das tatsächliche Passwort nie, sodass es nicht wiederverwendet oder ihm per Phishing entlockt werden kann.
  • Sitzungsaufzeichnung und -überwachung. Privilegierte Sitzungen werden protokolliert und oft per Video aufgezeichnet, was einen prüfbaren Verlauf liefert, wer was getan hat — unschätzbar bei der Reaktion auf Vorfälle und für die Compliance.
  • Just-in-Time-Erhöhung. Statt dauerhafter Administratorrechte fordern Benutzer die Erhöhung für ein Zeitfenster mit Genehmigung an, und das Privileg läuft automatisch ab.

Warum dauerhaftes Privileg das Kernproblem ist

Das größte Risiko sind nicht böswillige Administratoren — sondern dass jedes Konto mit dauerhaft hohem Privileg ein dauerhaftes Ziel ist. Phishing, Token-Diebstahl oder ein kompromittierter Endpunkt machen aus einem vertrauenswürdigen Administrator einen Brückenkopf für einen Angreifer. PAM geht das an, indem es minimiert, wie viele Privilegien existieren, wie lange, und wie wiederherstellbar die zugrunde liegenden Geheimnisse sind.

PAM vs. Secrets-Management

Ein Secrets-Manager speichert Maschine-zu-Maschine-Geheimnisse (API-Schlüssel, DB-Passwörter) für Anwendungen. PAM überschneidet sich damit, konzentriert sich aber auf menschlichen privilegierten Zugriff — interaktive Sitzungen, Genehmigungen und Aufzeichnung — auch wenn moderne Plattformen die Grenze verwischen.

Worauf Interviewer achten: Sie verbinden PAM mit der Verringerung von Schadensradius und dauerhaftem Privileg, und erwähnen Tresorierung, Sitzungsvermittlung/-aufzeichnung und JIT — nicht bloß „es ist ein Passworttresor für Administratoren".

Wahrscheinliche Anschlussfragen

  • Warum sind dauerhafte Administratorrechte selbst für vertrauenswürdiges Personal gefährlich?
  • Wie hilft die Sitzungsaufzeichnung bei der Reaktion auf Vorfälle?
  • Was ist der Unterschied zwischen PAM und einem Secrets-Manager?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.