Was ist ein PAM-Leistungsverzeichnis?
Privileged Access Management (PAM) ist die gezielte Absicherung privilegierter Konten und administrativer Zugänge in IT-Systemen. Systemadministratoren, Datenbankadmins und externe Dienstleister besitzen mit ihren Berechtigungen die Schlüssel zur gesamten IT-Infrastruktur einer Behörde. Kompromittierte privilegierte Konten sind laut BSI und ENISA der häufigste Einstiegspunkt bei schwerwiegenden Cyberangriffen auf öffentliche Einrichtungen. NIS2 und BSI IT-Grundschutz ORP.4 fordern die konsequente Kontrolle und Protokollierung aller privilegierten Zugriffe.
Unser Muster-LV für PAM wurde aus realen Vergabeverfahren im öffentlichen Sektor entwickelt und deckt alle wesentlichen Leistungsbereiche ab: zentrales Credential Vaulting, Just-in-Time-Zugriffsgewährung, Session-Recording für forensische Nachvollziehbarkeit, Audit-Logging sowie die Integration in bestehende IAM- und SIEM-Systeme. Es schließt die in der Praxis häufigsten Lücken, die wir in öffentlichen Ausschreibungen zu PAM beobachten.
Für wen geeignet?
Leistungsumfang des Muster-LV PAM
Credential Vault & Passwortverwaltung
Der zentrale Credential Vault ist das Herzstück jeder PAM-Lösung. In öffentlichen Ausschreibungen beobachten wir, dass Behörden häufig keine konkreten Anforderungen an die Verschlüsselung gespeicherter Zugangsdaten, die Hochverfügbarkeit des Vaults oder die Zugriffssteuerung auf Vault-Inhalte stellen. Unser Abschnitt A verankert verbindliche Anforderungen an die AES-256-Verschlüsselung aller gespeicherten Credentials, ein Master-Secret-Konzept mit Hardware Security Module (HSM) sowie automatische Passwortrotation nach konfigurierbaren Intervallen und nach jeder Nutzung. Führende Lösungen wie CyberArk Privileged Access Manager, BeyondTrust Password Safe, One Identity Safeguard und HashiCorp Vault sind in deutschen Behördenausschreibungen regelmäßig vertreten.
Neben Benutzerkonto-Credentials müssen auch Service-Account-Passwörter, API-Keys, SSH-Keys und Zertifikate im Vault verwaltet werden. Anforderungen an Disaster Recovery des Vaults selbst, Backup-Verschlüsselung sowie ein Konzept für den Vault-Zugriff im Notfall (Break-Glass-Verfahren) sind als Pflichtanforderungen hinterlegt. Die Anbindung an Active Directory und LDAP für die automatische Synchronisation privilegierter Konten ist ebenso Bestandteil dieses Abschnitts.
Just-in-Time-Zugriff & Least Privilege
Das Prinzip der minimalen Rechtevergabe (Least Privilege) und der zeitlich begrenzten Zugriffsgewährung (Just-in-Time, JIT) sind die wirkungsvollsten Maßnahmen zur Reduzierung der Angriffsfläche durch privilegierte Konten. In der Vergabepraxis sehen wir, dass Behörden häufig dauerhaft aktive Admin-Konten ausschreiben, anstatt JIT-Konzepte zu fordern, bei denen erhöhte Rechte nur für die Dauer einer genehmigten Sitzung gewährt werden. Wer aktuelle Ausschreibungen zu PAM und Berechtigungsmanagement im öffentlichen Sektor recherchieren möchte, findet entsprechende Unterlagen im Vergabe-Archiv.
Unser Abschnitt B enthält verbindliche Anforderungen an einen integrierten Genehmigungsworkflow für privilegierte Sitzungen, die automatische Deaktivierung von Berechtigungen nach Ablauf der genehmigten Zeit sowie eine vollständige Inventarisierung aller privilegierten Konten im Active Directory und in Linux-Systemen. Anforderungen an die Erkennung und automatische Behandlung von Schatten-Admin-Konten (sogenannte Shadow Admins) sind als Sollanforderungen hinterlegt, da diese in gewachsenen Infrastrukturen öffentlicher Einrichtungen regelmäßig auftreten.
Session-Recording & Remote-Zugriff
Privilegierte Sitzungen müssen vollständig aufgezeichnet und für forensische Analysen durchsuchbar sein. Dies ist keine optionale Funktion, sondern eine Pflichtanforderung nach BSI IT-Grundschutz ORP.4 und den NIS2-Umsetzungsanforderungen für KRITIS-Betreiber. Unser Abschnitt C verankert verbindliche Anforderungen an die Video- und Textaufzeichnung aller privilegierten SSH-, RDP- und Web-Sitzungen, die manipulationssichere Speicherung der Aufzeichnungen mit konfigurierbaren Aufbewahrungsfristen sowie eine volltext-durchsuchbare Session-Datenbank für die forensische Auswertung.
Für externe Dienstleister und Wartungszugriffe auf kritische Systeme enthält unser Leistungsverzeichnis spezifische Anforderungen: zeitlich begrenzte Zugriffslinks ohne dauerhafte VPN-Accounts, Echtzeit-Monitoring aktiver Fremddienstzugriffe und die Möglichkeit zur sofortigen Unterbrechung laufender Sitzungen durch den Administrator. Die Anbindung über einen PAM-Proxy (kein direkter Systemzugang) ist als Pflichtarchitektur spezifiziert, da direkter Remote-Zugriff die Umgehung der Aufzeichnung ermöglicht.
Monitoring, Audit-Logging & SIEM-Integration
PAM-Systeme erzeugen hochwertige Sicherheitsereignisse, die für die Erkennung von Insider-Bedrohungen und kompromittierten Admin-Konten unverzichtbar sind. In öffentlichen Ausschreibungen fehlen Anforderungen an die SIEM-Integration und die Anomalieerkennung bei privilegierten Zugriffen häufig vollständig. Unser Abschnitt D verankert die Weiterleitung aller privilegierten Zugriffsereignisse an das zentrale SIEM über Syslog/CEF als Pflichtanforderung sowie vordefinierten Alarmierungsregeln für kritische Ereignisse wie Zugriffe außerhalb der Geschäftszeiten, fehlgeschlagene Authentifizierungsversuche und Massenabfragen aus dem Credential Vault.
Compliance-Berichte für interne Revisionen und externe Prüfer müssen automatisiert generierbar sein: Wer hat wann auf welches System zugegriffen, welche Befehle wurden ausgeführt und welche Genehmigungen lagen vor. Aufbewahrungsfristen nach DSGVO, GoBD und sektorspezifischen Vorgaben (Krankenhäuser, KRITIS) sind nach Datenklasse differenziert und als Mindestanforderungen in das Leistungsverzeichnis aufgenommen.
Quellen
- BSI: „IT-Grundschutz-Kompendium: Baustein ORP.4 – Identitäts- und Berechtigungsmanagement", Edition 2023, bsi.bund.de.
- ENISA: „ENISA Threat Landscape 2023 – Privileged Account Abuse", 2023, enisa.europa.eu.
- Gartner: „Market Guide for Privileged Access Management", 2024, gartner.com.
Technische Details
| Format | Microsoft Excel (.xlsx) |
| Umfang | mehr als 50 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Normen | BSI IT-Grundschutz ORP.4, ISO 27001, NIS2, DSGVO |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Innerhalb von 5 Werktagen nach Zahlung |
| Nutzungsrecht | Einfach, für eigene Organisation |
Muster-LV: PAM
- aus vergangenen Projekten entwickelt
- Öffentlicher Sektor & KRITIS
- GWB / VgV / UVgO konform
- BSI IT-Grundschutz ORP.4 konform
- Stand 2026 (regelmäßige Revision)
- E-Mail Support inklusive
