BG Beter Geregeld ICT
Toegangsbeheer · 2 min leestijd · 13 Oktober 2025

Privileged Access Management für den Mittelstand

Global Admin, AWS root, Salesforce system admin — das sind die Rollen, aus denen die meisten Probleme entstehen. Was Sie tun können, ohne ein teures PAM-Tool kaufen zu müssen.

Privileged Access Management (PAM) klingt nach etwas für Banken und Behörden. Für den Mittelstand übersetze ich es einfach: Welche Accounts können, wenn sie kompromittiert werden, Ihr gesamtes Unternehmen lahmlegen? In der Praxis sind das 5 bis 15 Stück – und die verdienen eine besondere Behandlung.

Inventarisieren Sie Ihre privilegierten Accounts

Gehen Sie diese Liste durch:

  • M365 / Entra Global Administrator(s)
  • Google Workspace Super Admin
  • AWS root user
  • Buchhaltungssoftware-Admin (Exact, Moneybird usw.)
  • Salesforce System Admin
  • GitHub/GitLab Org Owner
  • Domain-Registrar (TransIP, Hover, Namecheap)
  • DNS-Anbieter (Cloudflare)
  • Password-Manager-Admin
  • Hosting-Panel (Plesk, cPanel)
  • Bankkonto („Berechtigung zum Ausführen von Zahlungen")

Halten Sie diese fest und notieren Sie pro Account: Wer kennt die Zugangsdaten, in welchem Vault sind sie gespeichert, wer ist die Vertretung. Siehe auch SaaS-Inventar erstellen.

Die drei Regeln für privilegierten Zugriff

  1. Nicht für die tägliche Arbeit. Mit dem Global-Admin-Account wird nicht gemailt oder an Meetings teilgenommen. Nur für Admin-Aufgaben wechseln Sie zum privilegierten Account. Das nennt sich Dedicated Admin Accounts.
  2. MFA ist Pflicht, keine Option. Für normale Benutzer ist MFA dringend empfohlen, für privilegierte Accounts ist es nicht verhandelbar. Verwenden Sie für diesen Bereich nach Möglichkeit einen Hardware-Token (YubiKey).
  3. Mindestens zwei Personen kennen die Root-Zugangsdaten. Eine Person = Single Point of Failure. Drei = zu viele. Zwei ist ideal.

Just-in-Time Access: das ausgereifte Muster

In Entra ID können Sie PIM (Privileged Identity Management) konfigurieren: Global-Admin-Rechte sind NICHT standardmäßig aktiv – jemand muss sie für eine Sitzung von maximal 8 Stunden aktivieren, mit Genehmigung eines Kollegen. Das reduziert die Angriffsfläche erheblich. Die Einrichtung finden Sie in der M365-Governance-Anleitung.

Überprüfung und Rotation

Einmal pro Quartal: Gehen Sie die Liste der privilegierten Accounts durch. Zwei Fragen pro Eintrag: „Braucht diese Person das noch?" und „Wann war die letzte Nutzung?" Zur Orientierung: Wenn sich ein Global Admin seit 95 Tagen nicht mehr angemeldet hat, ist das ein Risiko (siehe Access Review).

Von allen Kategorien in Ihrem Zugriffsmanagement ist dies die Kategorie mit den wenigsten Accounts – aber der größten Aufmerksamkeit. Genau so soll es sein.

Onderwerpen

#iam #pam #privileged-access #admin #security

Volledige gids: Control de accesos para pymes: la guía completa (2026)

Dit artikel is onderdeel van onze uitgebreide Toegangsbeheer-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Toegangsbeheer

Zugangsverwaltung für KMU: der vollständige Leitfaden (2026)

Von der ersten Zugriffsmatrix über regelmäßige Reviews bis hin zu Directory-Sync — alles, was du wissen musst, wenn dein Unternehmen über 10 Personen hinauswächst, aber noch keine IT-Abteilung hat.

3 min
Toegangsbeheer

SaaS-Inventar erstellen: Was läuft eigentlich in deinem Unternehmen?

Das durchschnittliche KMU hat 47 aktive SaaS-Abonnements. Die Hälfte kennt niemand. Ohne Inventar ist kein vernünftiges Zugriffsmanagement möglich – denn man weiß nicht, welche Türen man überhaupt prüfen muss.

2 min
Toegangsbeheer

IT-Onboarding-Checkliste: Was muss am ersten Tag bereitstehen?

Der beste erste Arbeitstag ist ein langweiliger. Laptop funktioniert, Accounts sind eingerichtet, Ordner freigegeben. Diese Checkliste deckt das typische KMU-Szenario mit 12 Systemen und 4 Rollen ab.

2 min
Toegangsbeheer

Temporärer Zugriff: wie du ihn vergibst – und wieder entziehst

Ein Consultant für 6 Wochen, ein Entwickler nur für die Migration, eine Vertretung während der Elternzeit. Temporären Zugriff zu vergeben ist einfach – ihn wieder zu entziehen ist die eigentliche Herausforderung.

2 min
Toegangsbeheer

Das Least-Privilege-Prinzip erklärt für Unternehmer

So wenig Zugriff wie möglich, so kurz wie nötig. Das klingt nach Produktivitätsverlust — in der Praxis bewahrt es dich vor einem Datenleck, das dich monatelang Erklärungen kostet.

2 min
Toegangsbeheer

Birthright Access: Was bekommt jeder automatisch?

Birthright Access ist die Sammlung von Systemen, die jeder Mitarbeiter ab Tag 1 haben sollte. Klein, klar, fast immer gleich — und eine enorme Zeitersparnis beim Onboarding.

2 min
← Alle artikelen in "Toegangsbeheer"