29. März 2026 | Artikel drucken |

Privileged Access Management: Warum Admin-Konten das größte Einfallstor für Angreifer sind

8 Min. Lesezeit

80 Prozent aller Datenschutzverletzungen beginnen mit gestohlenen oder kompromittierten Zugangsdaten. 40 Prozent davon betreffen privilegierte Konten: Domain-Admins, Service Accounts, Datenbank-Superuser. Ein einziges kompromittiertes Admin-Konto reicht, um von einer Workstation zur nächsten zu springen, weitere Credentials zu stehlen und sich lateral durch das gesamte Netzwerk zu bewegen. Privileged Access Management ist keine optionale Security-Maßnahme. Unter NIS2 ist es eine regulatorische Anforderung.

Das Wichtigste in Kürze

  • 80 Prozent aller Breaches starten mit kompromittierten Credentials (CrowdStrike). Admin- und Service-Konten sind bevorzugte Ziele, weil sie den breitesten Zugriff bieten.
  • 40 Prozent der Datenschutzverletzungen betreffen privilegierte Konten. Durchschnittliche Kosten: 4,50 Mio. US-Dollar pro Breach (Verizon DBIR / IBM).
  • 30 Prozent aller Sicherheitsvorfälle sind identitätsbasiert (IBM X-Force 2025). Angreifer übernehmen Konten und missbrauchen deren legitime Berechtigungen.
  • 40 Prozent der Breaches durch Insider: Nicht nur externe Angreifer. Mitarbeiter, Dienstleister und ehemalige Mitarbeiter mit verbleibenden Admin-Rechten sind ein massives Risiko (Verizon DBIR 2024).
  • NIS2 fordert Access Control: Die Richtlinie verlangt explizit Zugriffskontrollen und Identitätsmanagement für kritische und wichtige Einrichtungen in der EU.

Warum privilegierte Konten der heilige Gral für Angreifer sind

Ein Standard-Benutzerkonto hat Zugriff auf die eigene Mailbox, ein paar Netzlaufwerke und die Anwendungen für die tägliche Arbeit. Ein Domain-Admin-Konto hat Zugriff auf jeden Server, jedes System und jede Datenbank im Netzwerk. Für einen Angreifer ist der Unterschied zwischen einem Türschlüssel und einem Generalschlüssel.

Die Angriffssequenz ist fast immer gleich: Phishing-Mail an einen normalen Mitarbeiter. Credential Theft über den kompromittierten Arbeitsplatz. Lateral Movement zu einem System, auf dem ein Admin-Konto aktiv ist. Privilege Escalation. Von dort aus ist das gesamte Netzwerk offen. CrowdStrike dokumentiert: In durchschnittlich 62 Minuten bewegt sich ein Angreifer vom ersten kompromittierten Endpunkt zum nächsten. Wenn ein Admin-Konto dabei fällt, sind es Minuten statt Stunden bis zum vollständigen Netzwerkzugriff.

Das Problem verschärft sich durch technische Schulden. Viele Unternehmen haben Service Accounts, die vor Jahren eingerichtet wurden, mit statischen Passwörtern, die nie rotiert werden. Diese Konten haben oft überdimensionierte Berechtigungen, weil sie im Laufe der Zeit Zugriffe angesammelt haben, die nie bereinigt wurden. Sie sind das perfekte Ziel: breit berechtigt, selten überwacht und mit Passwörtern geschützt, die seit drei Jahren unverändert sind.

80 %
aller Datenschutzverletzungen beginnen mit kompromittierten Zugangsdaten
Quelle: CrowdStrike, 2025

Was Privileged Access Management konkret bedeutet

PAM ist ein Sicherheitskonzept und eine Technologiekategorie, die den Zugriff auf privilegierte Konten kontrolliert, überwacht und protokolliert. Im Kern geht es um vier Fähigkeiten:

1. Credential Vaulting: Privilegierte Passwörter werden in einem verschlüsselten Tresor gespeichert, nicht in Excel-Tabellen oder auf Post-its. Kein Administrator kennt das Passwort eines Service Accounts. Das PAM-System gibt es bei Bedarf automatisch aus und rotiert es nach Nutzung.

2. Just-in-Time Access: Admin-Rechte werden nicht dauerhaft vergeben, sondern nur für den Zeitraum, in dem sie gebraucht werden. Ein Datenbankadministrator bekommt Super-User-Zugriff für zwei Stunden, um ein Problem zu lösen. Danach wird der Zugriff automatisch entzogen. Zero-Standing-Privileges ist das Ziel: Niemand hat dauerhaft Admin-Rechte.

3. Session Recording: Jede Admin-Session wird aufgezeichnet: Befehle, Bildschirminhalt und Datenbankzugriffe. Nicht zur Überwachung der Mitarbeiter, sondern für Forensik. Wenn ein Breach passiert, zeigt das Recording exakt, welche Befehle mit welchem Konto ausgeführt wurden.

4. Privilege Elevation: Statt einem Benutzer dauerhaft Admin-Rechte zu geben, werden nur die spezifischen Berechtigungen erhöht, die für eine bestimmte Aufgabe nötig sind. Ein Entwickler kann eine Anwendung installieren, ohne den gesamten Server administrieren zu können.

„Nahezu 40 Prozent der Datenschutzverletzungen betreffen privilegierte Konten. Die durchschnittlichen Kosten dieser Breaches liegen bei 4,50 Mio. US-Dollar. PAM ist keine Komfortfunktion, sondern eine existenzielle Schutzmaßnahme.“
Anomalix, The Role of PAM in Preventing Data Breaches, 2025

NIS2 und PAM: Warum es jetzt regulatorische Pflicht wird

Die NIS2-Richtlinie verlangt in Artikel 21 explizit Maßnahmen zum Zugriffsmanagement. Für kritische und wichtige Einrichtungen in der EU (und das betrifft Tausende von Unternehmen in DACH) ist die Kontrolle privilegierter Zugänge keine Best Practice mehr, sondern eine regulatorische Anforderung.

Konkret fordert NIS2: Zugangskontrollen und Identitätsmanagement, Sicherheitsmaßnahmen bei der Nutzung von IT-Systemen und Netzwerken sowie die Meldung von Sicherheitsvorfällen innerhalb von 72 Stunden. Ein kompromittiertes Admin-Konto, das nicht überwacht wurde, weil kein PAM implementiert war, ist ein NIS2-Compliance-Verstoß.

Für Geschäftsführer in Deutschland wird es persönlich: NIS2 sieht eine persönliche Haftung der Geschäftsleitung vor, wenn Cybersicherheitsmaßnahmen nicht ausreichend umgesetzt wurden. Ein fehlender PAM-Schutz bei einem Ransomware-Angriff, der über ein Admin-Konto eskaliert wurde, kann zur persönlichen Haftung des Geschäftsführers führen. Die NIS2-Auditierung fragt explizit nach PAM-Maßnahmen.

PAM im DACH-Mittelstand: Praxischeck

Die Realität in vielen DACH-Unternehmen: Admin-Passwörter werden in KeePass-Datenbanken geteilt, die auf einem Netzlaufwerk liegen. Service Accounts haben Passwörter, die seit der Ersteinrichtung unverändert sind. Und jeder zweite IT-Administrator hat dauerhaft Domain-Admin-Rechte, weil es bequemer ist.

Die Hürden für PAM-Einführung im Mittelstand sind real: Kosten (Enterprise-PAM-Lösungen kosten 30.000 bis 200.000 Euro jährlich), Komplexität (die Integration in bestehende IT-Landschaften dauert Monate) und kultureller Widerstand (Admins empfinden PAM als Misstrauensvotum gegen ihre Arbeit).

Aber es gibt pragmatische Einstiegspunkte. Microsoft bietet mit LAPS (Local Administrator Password Solution) eine kostenlose Lösung für lokale Admin-Passwort-Rotation. Azure AD Privileged Identity Management (PIM) ist in vielen M365-E5-Lizenzen enthalten. CyberArk, BeyondTrust und Delinea bieten skalierbare PAM-Lösungen für den Mittelstand.

Fünf Sofortmaßnahmen für IT-Security-Teams

1. Inventar aller privilegierten Konten erstellen. Wie viele Domain-Admin-Konten gibt es? Wie viele Service Accounts? Welche haben Zugriff worauf? Die meisten Unternehmen wissen die Antwort nicht. Ein Audit der privilegierten Konten ist der erste Schritt. Tools wie Bloodhound (Open Source) visualisieren Active-Directory-Angriffspfade und decken überprivilegierte Konten auf.

2. Passwort-Rotation für Service Accounts einführen. Jedes Service-Account-Passwort, das älter als 90 Tage ist, muss rotiert werden. Microsoft LAPS für lokale Admins, Azure PIM für Cloud-Privilegien. Statische Passwörter für Service Accounts sind das niedrig hängende Obst für Angreifer.

3. Just-in-Time Access implementieren. Kein IT-Administrator braucht 24/7 Domain-Admin-Rechte. Azure PIM oder CyberArk Endpoint Privilege Manager ermöglichen zeitlich begrenzte Rechteerhöhung. Standardmäßig arbeitet jeder Admin mit einem normalen Benutzerkonto. Admin-Rechte werden nur bei Bedarf aktiviert.

4. Multi-Faktor-Authentifizierung für alle Admin-Zugänge. MFA für privilegierte Konten ist nicht optional. Jeder RDP-Zugang, jede SSH-Session und jede Datenbank-Verbindung mit Admin-Rechten muss durch einen zweiten Faktor geschützt sein. Adaptive MFA prüft zusätzlich Standort, Gerät und Risikolevel.

5. Monitoring und Alerting für Admin-Aktivitäten. Jede Admin-Anmeldung außerhalb der Geschäftszeiten, jeder Zugriff von einem unbekannten Gerät und jede Massenoperation (z.B. Bulk-Datenbankexport) muss ein Alert auslösen. SIEM-Regeln für privilegierte Aktivitäten sind in den meisten Tools in einer Stunde konfiguriert.

Fazit

Privilegierte Konten sind der Generalschlüssel zum Unternehmensnetzwerk. 80 Prozent der Breaches starten mit kompromittierten Credentials, 40 Prozent betreffen Admin-Konten direkt. Unter NIS2 wird PAM zur regulatorischen Pflicht mit persönlicher Geschäftsführerhaftung. Die gute Nachricht: Der Einstieg muss nicht teuer sein. LAPS, Azure PIM und Bloodhound-Audits sind kostenlos oder in bestehenden Lizenzen enthalten. Fünf Sofortmaßnahmen, die kein großes Budget erfordern, schließen die größten Lücken. Die Frage ist nicht ob ein Admin-Konto kompromittiert wird. Die Frage ist, ob das Security-Team es rechtzeitig bemerkt und der Schaden begrenzt bleibt.

Häufige Fragen

Was ist der Unterschied zwischen IAM und PAM?

IAM (Identity and Access Management) verwaltet den Zugriff aller Benutzer auf Systeme und Anwendungen. PAM (Privileged Access Management) ist ein Teilbereich von IAM, der sich spezifisch auf privilegierte Konten konzentriert: Admin-Konten, Service Accounts und Root-Zugänge. PAM bietet zusätzliche Kontrollen wie Credential Vaulting, Session Recording und Just-in-Time Access, die für normale Benutzerkonten nicht erforderlich sind.

Wie viel kostet eine PAM-Lösung für den Mittelstand?

Enterprise-PAM-Lösungen (CyberArk, BeyondTrust, Delinea) kosten 30.000 bis 200.000 Euro jährlich je nach Anzahl der verwalteten Konten und gewünschten Features. Für den Einstieg: Microsoft LAPS (kostenlos für lokale Admin-Passwörter), Azure PIM (in M365 E5 enthalten) und Bloodhound (Open Source für AD-Audits) bieten substanziellen Schutz ohne zusätzliche Lizenzkosten.

Können Service Accounts nicht einfach abgeschafft werden?

Nicht vollständig. Viele Anwendungen und Automatisierungen benötigen Service Accounts für die Kommunikation zwischen Systemen. Aber die Anzahl kann drastisch reduziert werden: Group Managed Service Accounts (gMSA) in Active Directory rotieren Passwörter automatisch. API-basierte Authentifizierung ersetzt passwortbasierte Service Accounts. Und jeder Service Account, der nicht aktiv genutzt wird, sollte deaktiviert werden.

Reicht MFA für Admin-Konten nicht aus?

MFA ist notwendig, aber nicht ausreichend. MFA schützt den Login-Moment. Es schützt nicht vor Session Hijacking (ein Angreifer übernimmt eine bereits authentifizierte Session), nicht vor kompromittierten Service Accounts (die kein MFA nutzen können) und nicht vor Insider-Bedrohungen (ein Admin mit legitimem MFA-Login missbraucht seine Rechte). PAM ergänzt MFA um Credential Rotation, Session Monitoring und zeitlich begrenzte Rechte.

Wie lange dauert die Implementierung von PAM?

Die Basis-Implementierung (LAPS + Azure PIM + Monitoring-Regeln) ist in 2 bis 4 Wochen umsetzbar. Eine vollständige Enterprise-PAM-Lösung (CyberArk oder BeyondTrust) mit Integration in alle Systeme, Service Accounts und Legacy-Anwendungen braucht 3 bis 6 Monate. Der pragmatische Ansatz: Quick Wins zuerst (LAPS, MFA, Monitoring), dann schrittweise Ausbau.

Weiterlesen

Identitätsangriffe 2026: Warum Hacker nicht mehr einbrechen

NIS2 in Deutschland: Was Unternehmen jetzt wissen müssen

Shadow AI: Wenn Mitarbeiter ChatGPT nutzen und die IT nichts weiß

Mehr aus dem MBF Media Netzwerk

Digital Chiefs: Datenkultur im Vorstand

MyBusinessFuture: AI Act ab August 2026

cloudmagazin: Container Supply Chain Security

Quelle Titelbild: Pexels / Pixabay (px:279810)

Artikel drucken
Benedikt Langer

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH