· Rexoma Team · IT-Sicherheit  · 6 min read

Privileged Access Management für KMU: Admin-Rechte richtig verwalten

Ein einziges kompromittiertes Admin-Konto kann ein ganzes Unternehmensnetz lahmlegen. Privileged Access Management (PAM) begrenzt dieses Risiko – auch ohne Enterprise-Budget.

Ein einziges kompromittiertes Admin-Konto kann ein ganzes Unternehmensnetz lahmlegen. Privileged Access Management (PAM) begrenzt dieses Risiko – auch ohne Enterprise-Budget.

In vielen kleinen und mittleren Unternehmen hat der IT-Verantwortliche ein zentrales Konto mit Adminrechten für alles: Server, Switches, Firewalls, Cloud-Portale und Datenbanken. Das ist praktisch – und eines der größten Sicherheitsrisiken überhaupt. Privilegierte Konten sind das häufigste Einfallstor bei gezielten Cyberangriffen. Privileged Access Management (PAM) ist der strukturierte Ansatz, das zu ändern, und lässt sich auch ohne Enterprise-Budget sinnvoll umsetzen.

Was ist Privileged Access Management?

PAM bezeichnet Verfahren, Richtlinien und Tools, mit denen Unternehmen den Zugang zu privilegierten Konten kontrollieren, überwachen und einschränken. Als privilegiert gilt jedes Konto, das mehr Rechte hat als ein normaler Benutzer:

  • Lokale Administrator-Konten auf Workstations und Laptops
  • Domain-Admins und Enterprise-Admins in Active Directory
  • Root-Konten auf Linux-Servern
  • Service Accounts für Backup-Software, Monitoring und Datenbanken
  • Cloud-Management-Konten (Azure, AWS, Microsoft 365 Global Admin)
  • Admin-Zugänge zu Netzwerkgeräten (Router, Switch, Firewall, NAS)

Der Kern von PAM ist das Prinzip der minimalen Rechtevergabe (Least Privilege): Jeder Benutzer und jeder Prozess bekommt nur die Rechte, die er für seine konkrete Aufgabe wirklich braucht – nicht mehr.

Warum PAM gerade für KMU unverzichtbar ist

Nach einem Ransomware-Angriff oder einer gezielten Kompromittierung können sich Angreifer oft wochenlang unbemerkt im Netz bewegen – weil sie ein einziges privilegiertes Konto übernommen haben. In Sachsen und ganz Ostdeutschland sind KMU zunehmend Ziel solcher Angriffe, nicht zuletzt weil viele Betriebe dezentral aufgestellt sind und kein dediziertes Security-Team haben.

Typische Probleme, die Rexoma IT bei der Betreuung von KMU in Dresden und Umgebung immer wieder sieht:

  • Shared Credentials: Drei IT-Mitarbeiter teilen sich einen einzigen Domain-Admin-Account. Wer hat wann was gemacht? Nicht nachvollziehbar.
  • Dauerhafte Adminrechte für alle: Mitarbeiter arbeiten täglich unter einem lokalen Administratorkonto, weil „sonst zu viele Anfragen kommen”.
  • Überprivilegierte Service Accounts: Backup-Software läuft unter einem Konto mit Domain-Admin-Rechten, obwohl nur Dateizugriff nötig wäre.
  • Keine Protokollierung: Wer hat sich wann auf welchem Server eingeloggt? Im Ernstfall fehlt jede Spur.

PAM umsetzen: Schritt für Schritt

Schritt 1: Inventar aller privilegierten Konten

Bevor Sie etwas ändern, dokumentieren Sie, was Sie haben:

  • Windows: net localgroup administrators auf jedem System ausführen; in Active Directory alle Mitglieder von Domain Admins, Enterprise Admins und Schema Admins auflisten
  • Linux: /etc/sudoers und /etc/passwd prüfen – alle Konten mit UID 0 oder uneingeschränkten sudo-Rechten erfassen
  • Netzwerkgeräte: Welche Admin-Accounts existieren auf Switches, Firewalls und Routern?
  • Cloud-Portale: Azure/M365 Global Admins, AWS root account und IAM-Admins identifizieren

Ziel: Eine vollständige Liste aller privilegierten Konten mit Besitzer, Zweck und letzter dokumentierter Nutzung.

Schritt 2: Least Privilege sofort umsetzen

Reduzieren Sie Rechte dort, wo offensichtlich zu viel vergeben wurde:

  • Mitarbeiter ohne IT-Aufgaben erhalten keine lokalen Adminrechte – Windows-Standardbenutzer mit UAC genügt für den normalen Arbeitsalltag
  • Service Accounts bekommen nur Zugriff auf das, was sie benötigen: Ein Backup-Dienst braucht Lese-/Schreibzugriff auf Freigaben, aber keine Domain-Admin-Mitgliedschaft
  • Shared Admin-Accounts abschaffen: Jeder IT-Mitarbeiter erhält ein eigenes persönliches Admin-Konto – Nachvollziehbarkeit und Abrechenbarkeit von Handlungen im Netz wird dadurch erst möglich

Schritt 3: Just-in-Time-Adminrechte einführen

Statt dauerhafter Adminrechte vergeben Sie diese nur bei konkretem Bedarf und zeitlich begrenzt:

Windows / Active Directory:

  • Microsoft Entra ID bietet Privileged Identity Management (PIM) – Admins aktivieren ihre erhöhten Rechte auf Anfrage für eine definierte Zeitspanne
  • On-Premises ohne Azure: PowerShell-Skripte, die ein Konto temporär zur Admingruppe hinzufügen und nach zwei Stunden automatisch entfernen

Linux:

  • sudo mit granularen Regeln in /etc/sudoers.d/ statt pauschalen ALL-Rechten
  • Für sensible Systeme: SSH-Schlüsselbasierte Authentifizierung mit zeitlich begrenztem Zugang über Jump-Host

Schritt 4: Privilegierte Sitzungen protokollieren

Wer hat wann welchen Server administriert? Für DSGVO-Audits und Incident Response ist eine lückenlose Protokollierung unverzichtbar:

  • Windows: Event ID 4624 (Anmeldung), 4672 (Admin-Privileges), 4648 (explizite Credential-Nutzung) in den Event Logs überwachen
  • Linux: SSH-Logs zentral sammeln – mit Loki/Grafana oder einem einfachen Syslog-Server
  • Höherer Schutzbedarf: Dedizierte PAM-Lösungen wie Teleport (Open Source) oder CyberArk protokollieren vollständige Sitzungsaufzeichnungen

Schritt 5: Passwörter für privilegierte Konten sicher verwahren und rotieren

Admin-Passwörter gehören nicht in eine Excel-Tabelle, einen WhatsApp-Chat oder auf ein Post-it:

  • Passwort-Tresor: Vaultwarden (selbst gehostet) oder Bitwarden for Business eignen sich für KMU ideal – Zugänge werden geteilt, ohne das Passwort direkt weiterzugeben
  • Rotation: Service Accounts mindestens alle 90 Tage, Notfall-Accounts mindestens jährlich und nach jedem Personalwechsel
  • Lokale Adminpasswörter (Windows): Microsoft LAPS (Local Administrator Password Solution) setzt auf jedem Windows-System ein individuelles, automatisch rotiertes Admin-Passwort – kostenlos und in Active Directory integriert

Schritt 6: MFA für alle Admin-Zugänge erzwingen

Kein privilegierter Zugang ohne zweiten Faktor – ohne Ausnahme:

  • RDP: MFA über Microsoft Entra ID oder eine RADIUS-Lösung mit TOTP
  • SSH: Schlüsselbasierte Authentifizierung als Minimum; TOTP-Faktor zusätzlich für besonders exponierte Systeme
  • Firewalls und Switches: RADIUS-Anbindung mit MFA-Backend; OPNsense und FortiGate unterstützen beides nativ

Tools für KMU: Was wirklich passt

Kleines Team, überschaubare Infrastruktur:

  • Vaultwarden oder Bitwarden Teams für Passwort-Tresor
  • Microsoft LAPS für lokale Windows-Adminpasswörter
  • AD-Gruppen für rollenbasierte Rechtevergabe
  • SSH-Schlüssel statt Passwörter auf Linux-Servern

Mittelgroße KMU, Hybrid-Umgebung:

  • Microsoft Entra ID PIM (bei M365 Business Premium oft bereits enthalten)
  • Teleport (Open Source) für SSH- und RDP-Protokollierung
  • Passbolt Self-Hosted für Team-Passwörter mit Audit-Log

Erhöhter Schutzbedarf / NIS2-pflichtige Unternehmen:

  • CyberArk, BeyondTrust oder HashiCorp Vault
  • SIEM-Integration für vollständige Protokollierung und Alerting

Was viele KMU unterschätzen: Service Accounts

Der am häufigsten übersehene Angriffsvektor sind nicht die menschlichen Admin-Konten, sondern Service Accounts – Konten, die automatisierte Dienste, Skripte oder Monitoring-Agenten nutzen. Diese Konten haben oft seit Jahren unveränderte Passwörter, keine MFA und weitreichende Rechte.

Praktische Sofortmaßnahme: PowerShell-Abfrage in Active Directory, welche Service Accounts Mitglied der Domain Admins sind:

Get-ADGroupMember "Domain Admins" | Where-Object { $_.objectClass -eq "user" } | Get-ADUser -Properties Description | Select Name, Description

Jeder Service Account in dieser Liste ist ein sofortiges Handlungsfeld.

Unterstützung in Dresden gesucht?

Rexoma IT analysiert für KMU in Dresden und Sachsen die Active Directory-Konfiguration, identifiziert überprivilegierte Konten und begleitet Sie bei der Einführung eines Privileged Access Management-Systems, das zu Ihrer Unternehmensgröße und Ihrem Budget passt. Vom ersten Inventar bis zur laufenden Sitzungsprotokollierung – wir setzen PAM pragmatisch und ohne unnötigen Overhead um. Nehmen Sie Kontakt auf.


FAQ

Was ist der Unterschied zwischen PAM und IAM? IAM (Identity and Access Management) verwaltet alle Benutzer und deren Berechtigungen. PAM ist ein Teilbereich von IAM und fokussiert sich speziell auf privilegierte Zugänge – Konten mit erhöhten Rechten wie Domain Admin oder Root. IAM regelt, wer Zugang hat; PAM regelt, wie sicher dieser Zugang ausgeübt wird.

Brauchen KMU mit 15 Mitarbeitern wirklich PAM? Ja – gerade dann. Kleine Teams haben oft wenige IT-Verantwortliche mit umfassenden Rechten. Wenn ein einziges Konto kompromittiert wird, ist der Schaden entsprechend groß. Einfache PAM-Maßnahmen wie individuelle Admin-Konten, ein Passwort-Tresor und Microsoft LAPS sind auch ohne Enterprise-Budget sofort umsetzbar.

Ist Privileged Access Management für NIS2 relevant? Ja. Die NIS2-Richtlinie verlangt explizit die “Kontrolle des privilegierten Zugriffs” als technische Schutzmaßnahme. Unternehmen, die unter NIS2 fallen, sind zur Umsetzung verpflichtet – und PAM ist eine der konkret prüfbaren Anforderungen.

Was ist Microsoft LAPS und lohnt sich das für uns? LAPS (Local Administrator Password Solution) ist ein kostenloses Microsoft-Tool, das auf jedem Windows-PC automatisch ein einzigartiges lokales Adminpasswort setzt und rotiert. Es verhindert, dass Angreifer mit einem erbeuteten lokalen Adminpasswort auf alle Maschinen im Netz zugreifen (sogenannte Pass-the-Hash-Angriffe). Für jedes KMU mit Active Directory ein absolutes Muss.

Wie erkenne ich überprivilegierte Service Accounts? Prüfen Sie in Active Directory alle Mitglieder der Gruppen Domain Admins, Backup Operators und Account Operators. Jeder dort enthaltene Service Account sollte hinterfragt werden: Braucht dieser Dienst wirklich diese Rechte? In den meisten Fällen reichen deutlich niedrigere Berechtigungen vollständig aus.

Back to Blog

Related Posts

View All Posts »