nexalign

Decision guide · Privileged Access Management

PAM-Tool auswählen: Vault, Session-Recording, Just-in-Time unter NIS2 und DORA

PAM ist eine der härter regulierten Disziplinen: BAIT BTO 6, VAIT, NIS2 Art. 21 Buchstabe i, DORA Art. 9 und ISO 27001 A.5.16-A.8.2 verlangen alle eine prüfungsfähige Steuerung privilegierter Zugriffe. Die Tool-Entscheidung haengt an On-prem-vs-Cloud-Strategie, vorhandenem IAM-Stack, Skill-Profil und Sub-Disziplinen (PASM, PEDM, AAPM, RPAM, CIEM).

TL;DR

PAM-Markt ist dreigeteilt: Enterprise on-prem/hybrid (CyberArk, BeyondTrust, Delinea), Cloud-native (HashiCorp, AWS, Azure PIM), DevOps-Vaulting (HashiCorp, Doppler, Akeyless). Eine PAM-Suite passt selten über alle drei Welten.

Who owns this decision

CISO mit IT-Operations gemeinsam. Compliance- und Audit-Funktion im Lenkungskreis. Bei Banken zusätzlich BAIT-Verantwortlicher.

Key criteria to weight

  • Just-in-Time und Zero Standing Privilege

    Moderne Audit-Erwartung: keine dauerhaften Admin-Rechte.

  • Session-Recording und Replay

    Prüfungs-Standard für privilegierte Aktionen, vor allem in Banken/Versicherungen.

  • Coverage Windows, Unix, Cloud, K8s, DBs, Netzwerk

    Heterogene Stacks brauchen breite Connector-Bibliothek.

  • Integration in IAM und IGA

    PAM ohne IGA-Integration produziert Identity-Drift.

  • Ausrollbarkeit ohne 12-Monat-Beratung

    PAM-Implementierungen scheitern häufig an Komplexität. Reifegrad der Methodik des Anbieters ist Auswahl-Kriterium.

  • EU-Hosting und Schlüssel-Hoheit

    Cloud-PAM-Vaults müssen EU-residiert sein, bei kritischen Funktionen Schlüssel-Hoheit prüfen.

Step-by-step decision flow

  1. 1

    Privilege-Inventar

    Welche Accounts, welche Systeme, welche Skills. Joiner-Mover-Leaver-Disziplin aktuell?

  2. 2

    Sub-Disziplinen-Abgrenzung

    PASM (Vault), PEDM (Endpoint-Privileg-Mgmt), AAPM (App-zu-App), CIEM (Cloud-IAM).

  3. 3

    Anbieter-Longlist

    Enterprise: CyberArk, BeyondTrust, Delinea, One Identity Safeguard. Cloud: HashiCorp Vault, Azure PIM, AWS IAM Identity Center. DevOps: Doppler, Akeyless. EU: ARCON, Wallix.

  4. 4

    Shortlist und PoC

    2-3 Anbieter, PoC mit drei realen Use-Cases (z.B. SSH-Bastion, Cloud-Admin, DB-Admin).

  5. 5

    Memo und Rollout-Plan

    Decision Memo plus Stufenplan: Quick-Wins zuerst (Domain-Admins), Tier-2 nach 6 Monaten, Cloud-PAM und CIEM in Welle 3.

Compliance note

BAIT BTO 6 verlangt Trennung von Standard- und Admin-Account, dokumentierte Vergabe, regelmäßige Rezertifizierung. VAIT entsprechend. NIS2 Art. 21 Buchst. i verlangt Personalsicherheit und Zugriffskontrolle. DORA Art. 9 verlangt strikte Trennung. ISO 27002:2022 A.8.2 Privileged Access Rights.

Common pitfalls

  • !PAM-Tool wird gekauft, aber kein Identity-Lifecycle (IGA) gemacht. Result: Vault voller Leichen.
  • !Vendor-Wahl basiert auf Demo-WOW, nicht auf Connector-Tiefe für eigenen Stack.
  • !Migrationspfad fehlt. Komplexer als gedacht, Projekt zieht sich 18-24 Monate.
  • !Cloud-PAM und On-Prem-PAM werden parallel betrieben. Doppel-Kosten und Doppel-Audit.

FAQ

Brauche ich CyberArk oder reicht Azure PIM?

Azure PIM deckt Microsoft Entra ID und Azure-Ressourcen ab. Wer reinen Cloud-Stack führt und keine On-Prem-Privilegien hat, kommt damit weit. Bei Mischwelten mit Linux, Datenbanken, Netzwerk-Hardware und SaaS-Apps reicht PIM nicht; dann führt der Weg über CyberArk, BeyondTrust oder Delinea.

Was kostet ein PAM-Projekt realistisch?

Lizenz typischerweise 80-250 EUR pro privilegiertem User und Jahr. Implementierungs-Beratung und interner Aufwand oft das 1-2-fache der Lizenz im ersten Jahr. Mid-Cap-Bank rechnet mit 800 TEUR bis 2 Mio EUR im ersten Jahr, abhängig von Scope.

Wie passen PAM und Passkeys zusammen?

PAM verwaltet Identitäten und Sessions. Passkeys/FIDO2 ist der Authentifizierungs-Faktor. Moderne PAM-Lösungen unterstützen FIDO2 als zweiten Faktor für Vault-Entsperrung. Strategie 2026: phishing-resistente MFA als Vault-Schlüssel.

Run this decision in DecisionOS →What is DecisionOS?