Privileged Access Management (PAM) für Fernwartung

Privileged Access Management (PAM) bündelt privilegierte Zugriffe auf kritische Systeme an einer kontrollierten Stelle und erweitert klassische Zugriffskontrolle um vier Bausteine: Just-in-time-Zugriff, Credential-Vaulting mit automatischer Rotation, Genehmigungs- und Vier-Augen-Workflows sowie lückenlose Session-Aufzeichnung. Für die Fernwartung durch Hersteller, Dienstleister und Drittfirmen ist PAM der zentrale Hebel, um Dauerzugänge und geteilte Passwörter zu beseitigen und die Anforderungen aus NIS2 und der Normenreihe IEC 62443 nachweisbar zu erfüllen.

Was PAM über RBAC und Audit hinaus leistet

Rollenbasierte Zugriffskontrolle und revisionssichere Protokollierung sind die Basis jedes sicheren Fernzugriffs. Wie Sie Rollen, objektgebundene Rechte und manipulationssichere Audit-Trails aufbauen, beschreibt unser Beitrag zu RBAC & Audit für Fernzugriff. RBAC beantwortet die Frage, wer auf welches Objekt zugreifen darf.

PAM beantwortet die nächste Frage: wie ein privilegierter Zugriff konkret abläuft. Es setzt genau dort an, wo Fernwartung in der Praxis riskant wird:

• Ein Maschinenhersteller hat einen administrativen Dauerzugang zu Ihrer Anlage.
• Mehrere Techniker teilen sich ein gemeinsames Servicepasswort, das nie rotiert wird.
• Niemand kann im Nachhinein belegen, welcher Befehl an der Steuerung wirklich abgesetzt wurde.

PAM löst diese drei Probleme strukturell: keine stehenden Rechte, keine herausgegebenen Geheimnisse, keine unbeobachteten Sitzungen.

Credential-Vaulting: Passwörter und Schlüssel rotieren, nie an Techniker geben

Der gefährlichste Zustand bei der Fernwartung ist ein Servicepasswort, das in einer Excel-Liste, in E-Mails oder in den Köpfen mehrerer externer Techniker liegt. Beim Credential-Vaulting liegen Passwörter, SSH-Schlüssel und API-Tokens stattdessen in einem zentralen, verschlüsselten Tresor.

Der entscheidende Mechanismus ist die Credential Injection: Die PAM-Lösung baut die Verbindung im Auftrag des Technikers auf und setzt das Geheimnis selbst ein, ohne es jemals anzuzeigen. Der Techniker arbeitet auf der Zielmaschine, kennt das Passwort aber nicht. Nach der Sitzung oder nach Zeitplan wird das Geheimnis automatisch rotiert, sodass ein abgeflossenes Passwort wertlos ist.

Ein quelloffener, selbst gehosteter Secret-Tresor wie Vaultwarden ist hierfür ein solider Baustein, um Zugangsdaten verschlüsselt und mandantengetrennt vorzuhalten; Details auf unserer Seite zu Vaultwarden. Wichtig sind drei Eigenschaften: Zugangsdaten verlassen den Vault nie im Klartext Richtung Mensch, jedes Konto ist ein named account statt eines geteilten Sammelkontos, und jede Entnahme ist protokolliert.

Just-in-time-Zugriff, Genehmigung und Vier-Augen-Prinzip

Dauerhafte Berechtigungen (Standing Privileges) sind das größte Einfallstor: Wird ein Konto übernommen, steht der Zugriff sofort offen. Just-in-time-Zugriff (JIT) dreht das Prinzip um. Eine privilegierte Rolle wird nur für ein definiertes Zeitfenster und eine konkrete Anlage aktiviert und erlischt danach automatisch.

Drei Workflows machen privilegierte Fernwartung zusätzlich kontrollierbar:

• Zeitlich befristeter Zugriff: Die Berechtigung gilt für ein Wartungsfenster, nicht unbegrenzt.
• Genehmigung (Approval): Vor einem sensiblen Eingriff gibt eine berechtigte Stelle den Zugriff frei. Der Antrag, die Begründung und die Freigabe landen im Audit.
• Vier-Augen-Prinzip: Bei besonders kritischen Anlagen wird ein Eingriff von einer zweiten Person freigegeben oder live begleitet, die die Sitzung notfalls trennen kann.

So existieren keine versteckten Dauerzugänge externer Firmen, und jede Rechteerweiterung ist befristet, begründet und dokumentiert.

Session-Recording: Privilegierte Sitzungen aufzeichnen

Session-Recording zeichnet eine privilegierte Sitzung vollständig auf: Bildschirminhalte, abgesetzte Befehle und Tastatureingaben. Bei der Fernwartung durch externe Firmen ist das oft der einzige belastbare Nachweis, was an einer Maschine tatsächlich verändert wurde. Aufzeichnungen werden serverseitig erstellt und manipulationssicher abgelegt, getrennt vom Zugriff der aufgezeichneten Benutzer.

IEC 62443-3-3 führt Session-Recording ausdrücklich als kompensierende Maßnahme auf, wenn sich auf Altsystemen keine starke Authentifizierung direkt nachrüsten lässt. In Kombination mit durchsuchbaren Befehlsprotokollen wird aus einer langen Aufnahme ein gezielt auswertbarer Audit-Beleg. Die Metadaten jeder Sitzung gehören zusätzlich ins Audit und per Syslog oder CEF in ein SIEM; wie sich Ereignisse zentral korrelieren und auswerten lassen, zeigt unsere Seite zu Wazuh. Laufendes Schwachstellenmanagement der eingesetzten Komponenten ergänzt das, siehe CVE-Monitoring.

Open-Source-PAM: Teleport und JumpServer

Souveräne, selbst gehostete PAM lässt sich mit quelloffenen Bausteinen aufbauen. Zwei verbreitete Projekte:

• Teleport (AGPL-3.0) bietet einheitliches RBAC/ABAC, Just-in-time-Zugriffsanfragen und Session-Recording für SSH, Kubernetes, Datenbanken, RDP und Web-Apps; die Wiedergabe erfolgt über die Web-Oberfläche oder tsh play. Der Großteil der RBAC-Funktionen ist in der Open-Source-Variante enthalten; die Genehmigungs-Oberfläche mit Wartebereich ist der Enterprise-Edition vorbehalten (Teleport-Dokumentation).
• JumpServer (GPL-3.0) ist eine Bastion- und PAM-Plattform mit Credential-Vault, automatischer Passwortrotation und vollständiger Session-Aufzeichnung inklusive Befehlsverlauf und Video-Wiedergabe, für SSH, RDP, VNC, Datenbanken und Kubernetes über ein einziges auditiertes Gateway (JumpServer).

Beide eignen sich als Komponente einer Plattform. In der OT-Fernwartung kommt es darauf an, sie sauber in die Standort- und Netzarchitektur einzubetten, statt sie nur als Insellösung zu betreiben.

Warum PAM für Dritt- und Wartungszugriffe zentral ist

Gerade der externe Zugriff durch Hersteller und Dienstleister ist regulatorisch besonders im Blick, weil er die Angriffsfläche über die eigene Organisation hinaus erweitert.

NIS2: Artikel 21 der NIS-2-Richtlinie und der deutsche § 30 BSIG zählen Konzepte für die Zugriffskontrolle, Multi-Faktor-Authentifizierung und Lieferkettensicherheit zu den Mindestmaßnahmen. Für Lieferanten- und Wartungszugriffe heißt das praktisch: named accounts statt geteilter Konten, Just-in-time-Zugriff mit Genehmigung, das Vaulten und Rotieren geteilter Zugangsdaten sowie protokollierte und nachvollziehbare Lieferantensitzungen. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist seit dem 6. Dezember 2025 in Kraft. Wie Sie Fernzugriff insgesamt regelkonform aufstellen, ordnet unser Beitrag zum NIS2-konformen Fernzugriff ein.

IEC 62443: In IEC 62443-3-3 betreffen die Foundational Requirements FR1 (Identification and Authentication Control) und FR2 (Use Control) die Kernbausteine von PAM. SR 1.5 (Authenticator Management) adressiert Verwaltung, Speicherung und Wechsel von Zugangsdaten, SR 2.1 die durchgesetzte Autorisierung nach Least Privilege, und die Audit-Anforderungen SR 2.8 (auditierbare Ereignisse), SR 2.11 (Zeitstempel) und SR 2.12 (Nichtabstreitbarkeit ab Security Level 3) decken Session-Recording und Protokollierung ab. Die ergänzende IEC 62443-2-4 richtet sich speziell an Dienstleister von Automatisierungslösungen und damit genau an die Wartungsszenarien, in denen PAM greift.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Die konkrete Betroffenheit und Umsetzung sollten Sie fachlich prüfen lassen.

Wie WZ-IT PAM in Fernwartungsplattformen umsetzt

In unseren souveränen Plattformen ist privilegierter Zugriff kein nachträgliches Add-on, sondern in den Zugriffspfad eingebaut. Zugriffe laufen über einen Broker, der die Berechtigung serverseitig nach dem Prinzip Deny-by-default prüft, die Zugangsdaten aus dem Vault injiziert und kurzlebige Session-Tokens statt dauerhaft verteilter Schlüssel verwendet. Kein externer Techniker trägt damit ein permanentes Geheimnis zu Ihren Anlagen mit sich.

Sensible Eingriffe lassen sich an eine Genehmigung oder das Vier-Augen-Prinzip binden, kritische Sitzungen werden aufgezeichnet, und alle Ereignisse fließen manipulationssicher ins Audit und auf Wunsch ins SIEM. Den eigentlichen Zugriff brokern wir browserbasiert, sodass weder VPN-Client noch offene eingehende Ports nötig sind. Diesen Ansatz betreiben wir produktiv: bei ABCO Water Systems in Australien für den HMI- und Maschinenzugriff über verteilte Standorte und bei nextGYM in Deutschland für eine ausgerollte IoT-Geräteflotte.

Nächste Schritte

PAM ist die Schicht, die Fernwartung durch Dritte sicher, befristet und beweisbar macht. Wenn Sie eine solche Plattform nicht selbst aufbauen möchten, übernehmen wir das: von Credential-Vaulting und Just-in-time-Workflows über Session-Recording bis zum Audit- und SIEM-Anschluss. Mehr dazu auf unserer Seite zu Remote-Management-Plattformen. Den Status quo Ihrer privilegierten Zugriffe prüfen wir im Security-Audit. Sie möchten das konkret besprechen? Buchen Sie ein unverbindliches Kennenlernen.