Compliance-Lexikon · Technik
Privileged Access Management
[ˈprɪvɪlɪdʒd ˈækses ˈmænɪdʒmənt] · auch: PAM, privilegiertes Zugriffsmanagement
Privileged Access Management (PAM) bezeichnet die Kontrolle und Überwachung von privilegierten Zugriffen auf kritische Systeme – durch zentrale Passwortverwaltung, Session-Recording, Just-in-Time-Zugriff und regelmässige Zugriffsaudits, um Missbrauch und Insider-Threats zu minimieren.
Warum Privileged Access Management ein Kern-Technikbegriff der IT-Compliance ist
Privileged Access Management ist eine technische Sicherheitsmassnahme, die in allen wesentlichen Compliance-Frameworks als Anforderung oder Best Practice gelistet ist. ISO 27001, NIS-2 und DORA setzen Privileged Access Management voraus – nicht als optionales Extra, sondern als Grundbestandteil eines wirksamen Sicherheitsprogramms. Im Audit wird geprüft, ob die Massnahme implementiert ist, ob sie wirksam konfiguriert ist und ob die Wirksamkeit nachgewiesen werden kann.
Wo Privileged Access Management gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.2 | Privilegierter Zugriff: Restriktive Handhabung und explizite Kontrolle als Anforderung. |
| CIS Controls v8 | Control 5 | Account Management: PAM als Kernkontrolle fuer privilegierte Konten. |
| NIS-2 / BSIG | § 30 Abs. 2b | Zugangskontrolle: PAM als Best Practice fuer privilegierte Zugaenge. |
| DORA | Art. 9 | Identitäts- und Zugriffsmanagement: PAM als Anforderung fuer kritische IKT-Systeme. |
| BSI IT-Grundschutz | ORP.4 | Identitäts- und Berechtigungsmanagement: Privilegierte Konten als Sonderfall. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Massnahme implementiert, aber Konfiguration nicht dokumentiert
- Wirksamkeit nicht regelmässig geprueft – Drift von der Baseline unbemerkt
- Abdeckung unvollständig – nicht alle relevanten Systeme einbezogen
- Kein Nachweis der Massnahmenwirksamkeit für den Auditor
Policy as Code: Technische Massnahmen als pruefbare Artefakte
Der Leitgedanke dieser Kategorie ist Policy as Code: Sicherheitsanforderungen werden nicht nur als Richtlinien dokumentiert, sondern als technische Konfigurationen implementiert, die automatisch pruefbar sind. Für Privileged Access Management bedeutet das: Die Konfiguration ist versioniert, die Wirksamkeit wird kontinuierlich gemessen und die Ergebnisse werden als Evidence archiviert. Das macht den Abstand zwischen Richtlinie und Wirklichkeit sichtbar – und schliesst ihn systematisch.
Abdeckung und Ausnahmen
Vollständige Abdeckung aller relevanten Systeme ist der kritische Punkt: Eine Massnahme, die 95 Prozent der Systeme schutzt, hinterlasst fünf Prozent als Einstiegspunkte. Ausnahmen (Legacy-Systeme, OT, Testsysteme) muessen explizit dokumentiert und mit Kompensationsmassnahmen oder risikoakzeptierten Restrisiken versehen sein. Undokumentierte Ausnahmen sind im Audit stets ein Befund.
Nächste Ebene
Privileged Access Management in der Praxis: Konfiguration, Abdeckung und Evidence
Was Auditoren bei Privileged Access Management konkret pruefen und welche Evidence benoetigt wird.