Support Center
Blog Community Forum Knowledge Base Online help
HAUPTMENÜ
Lösungen

Packages

Remoteverbindungen &
IT Verwaltung

Steigern Sie die Produktivität, senken Sie Kosten und erhöhen Sie die Sicherheit mit einer zentralisierten Plattform zur Verwaltung verschiedenster Remote-Verbindungstools.
Workforce Passwortverwaltung

Verbessern Sie Ihre Sicherheitsstrategie, ohne die Produktivität zu beeinträchtigen, indem Sie eine Lösung zur Passwortverwaltung einsetzen.
Verwaltung
privilegierter Zugriffe

Reduzieren Sie das Risiko von Insider-Bedrohungen und Cyberangriffen und erfüllen Sie gleichzeitig die Audit- und Compliance-Anforderungen für Ihr Team.
Verwaltung von
Remote-Zugriffen

Erstellen Sie einen sicheren Zugangspunkt für interne oder externe segmentierte Netzwerke, die autorisierten Just-in-Time (JIT)-Zugriff benötigen.
IT-Automatisierung mit PowerShell Universal

Optimieren Sie routinemäßige IT-Aufgaben und steigern Sie die Produktivität mit integriertem Skripting, Orchestrierung und Reporting.
Devolutions
Remote Desktop Manager Free

Das beste All-in-One-Tool zur Verwaltung von Remote-Verbindungen und Anmeldeinformationen für einzelne IT-Nutzer

blue box
Starterpaket

Die volle Leistung von Devolutions zum halben Preis für Teams mit 5 Nutzern

Proof of Concept: 100+ Nutzer?

Schneller Überblick

Compliance

Your trusted partner in security and compliance.

Integrationszentrum

Einheitliche Lösungen: Nahtlose Integrationen mit Devolutions

Vergleichen Sie unsere Lösungspakete Store besuchen & Angebot anfordern
Produkte
Products
Devolutions
Remote Desktop Manager

Der branchenführende Remote-Verbindungsmanager
Devolutions
Workspace

Alle Ihre beruflichen Passwörter und Anmeldeinformationen, zentralisiert
UniGetUI
UniGetUIOpen source

Entdecken, installieren und aktualisieren Sie alle Ihre Windows-Pakete
Devolutions PowerShell Universal
Devolutions
PowerShell Universal

Einheitliche Plattform für PowerShell-Skripting und -Automatisierung

Privilegierter Zugriff
Devolutions PAM

Sichern, rotieren und überwachen Sie jedes privilegierte Konto in Ihrer Infrastruktur

Tresore
Devolutions ServerSelf-hosted
Selbst gehosteter Anmeldeinformationsmanager
Devolutions Hub BusinessCloud-hosted
Cloud-gehosteter Passwort-Manager
Begleitwerkzeuge
Devolutions Gateway
Devolutions GatewaySicherer Remote-Zugriff — kein VPN erforderlich
Devolutions Launcher
Devolutions LauncherTool zum Starten von Remote-Verbindungen
 Devolutions Agent
Devolutions AgentSystemdienst zur Steuerung privilegierter Vorgänge
Onlinedienst
Devolutions Send
Remote Desktop Manager Free entdecken Mehr kostenlose Tools für einzelne Benutzer ansehen
Ressourcen
Resources
Academy

Your FREE go-to hub for mastering Devolutions' suite of products and services.
Forum

The Devolutions Forum is the place to go to connect with your peers and the Devolutions team.
Documentation

Get answers to product specifications, settings and more on our documentation.
Blog

Stay up to date with our weekly articles on our blog, the toolbox for your IT success.

On-demand Lab
Erfolgsgeschichten
Berichte und Whitepapers
Devolutions Force
Schneller Tipp in 5 Minuten! Feature-Anfragen durchsuchen
Unternehmen
Über uns
Devolutions Zeitleiste Lebensstil
Medien
Devolutions-Logo Hintergrundbilder
Karriere
Willkommen Offene Stellen Initiativbewerbungen
Nachrichtenzentrale
Versionen Newsletter In den Nachrichten
Sicherheit & Compliance
Sicherheit Sicherheitshinweise Vertrauenszentrum Rechtliches & Datenschutz Sicherheitsproblem melden
Kontakt
Send message Nachricht senden Call me Rückruf anfordern
Technischer Support Vertrieb Kontaktinformationen

Whitepapers

logo devolutionsdevolutions
IT-gefuehrtes PAM: Schnelle, erschwingliche, konforme Verwaltung privilegierter Zugriffe fuer KMU

Devolutions Whitepaper Oktober 2025

Fuer Angreifer ist privilegierter Zugriff der Hauptgewinn: Wer Administratorrechte erlangt (oder einen Weg dorthin findet), kann alles Nachgelagerte schneller und kostenguenstiger kompromittieren. Aktuelle Daten zu Sicherheitsverletzungen bestaetigen dies:

  • Missbrauch von Anmeldedaten bleibt der haeufigste initiale Angriffsvektor;
  • Die Ausnutzung von Schwachstellen hat stark zugenommen;
  • Ransomware ist bei einem grossen Anteil der Sicherheitsverletzungen praesent und betrifft KMU ueberproportional stark (Verizon 2025, 6)

Diese Dynamik macht Privileged Access Management (PAM) zum kuerzesten Weg zur substanziellen Risikominderung – und zur Voraussetzung fuer Versicherbarkeit und Audit-Bereitschaft.

Branchenanalysen zeigen jedoch auch Verwirrung zwischen PAM und verwandten Praktiken: Einige Teams setzen beispielsweise einen Passwort-Manager als Ersatz fuer einen PAM-Tresor ein oder lenken Budgets in Full-Stack Identity and Access Management (IAM) um, das die unmittelbaren Beduerfnisse kleiner Unternehmen nicht adressiert (Mulholland 2019). Diese Verwirrung verzoegert Ergebnisse, die Auditoren und Versicherer zunehmend erwarten.

 

KMU benoetigen kein Full-Stack-PAM, um das Risiko substanziell zu senken, Auditoren/Versicherer zufriedenzustellen und die betriebliche Disziplin zu verbessern. Sie benoetigen IT-gefuehrtes PAM – eine massgeschneiderte Grundlage, die sich schnell und kostenguenstig bereitstellen, im Tagesgeschaeft betreiben und mit der Zeit skalieren laesst.

 

DIE BEDROHUNGSLANDSCHAFT FUER KMU

 

  • Anmeldedaten-zentrierte Bedrohungen: Studien zeigen den Missbrauch von Anmeldedaten als fuehrenden initialen Angriffsvektor: Infostealer-Protokolle enthielten in 46 % der untersuchten Faelle Unternehmens-Anmeldedaten von nicht verwalteten oder BYOD-Systemen – ein Beleg dafuer, dass grundlegende Hygiene (Vaulting, Rotation, Geraeterichtlinien) wichtig ist (Verizon 2025, 8).
  • Angebot gestohlener Anmeldedaten: Credential Dumps wuchsen auf 16 Milliarden kompromittierte Datensaetze an – Treibstoff fuer Passwort-Wiederverwendungsangriffe (Lapienytė 2025).
  • Ransomware-Verbreitung: Ransomware war bei 44 % aller Sicherheitsverletzungen praesent und trifft KMU ueberproportional – mehr als doppelt so haeufig wie groessere Organisationen (Verizon 2025, 6).
  • Explosionsradius bei Drittanbietern: Die Beteiligung Dritter an Sicherheitsverletzungen verdoppelte sich auf 30 % und erhoeht damit die Anforderungen an Zugangskontrollen fuer Auftragnehmer, Lieferanten und MSPs (Verizon 2025, 7).
  • Kosten von Datenschutzverletzungen: Der globale Durchschnitt 2024 erreichte 4,88 Mio. USD; obwohl die Gesamtsummen bei KMU niedriger sind, kann die proportionale Auswirkung existenzbedrohend sein (IBM 2024, 6).

 

WAS KMU ZU PAM TREIBT

 

Neben dem drohenden Schatten von Cyberbedrohungen gibt es einige haeufige Ausloeser, die KMU zur Suche nach PAM veranlassen: Insbesondere betreffen diese Ausloeser Compliance- und Cyberversicherungsanforderungen.

  • NIS2 (EU): Offizielle technische Leitlinien erhoehen die Erwartungen an die Zugangs-Governance und benennen Privileged Account Management als Kontrollrichtlinie (ENISA 2025, 135–136).
  • ISO/IEC 27001:2022 Anhang A 8.2: Dieser globale Standard fordert ausdruecklich die Verwaltung privilegierter Zugriffsrechte (Dange 2024).
  • Mindestanforderungen der Versicherer: Versicherer erwarten zunehmend gehaertete Zugangskontrollen – oft einzeln in Fragebogen aufgefuehrt, mit wesentlichem Einfluss auf Versicherbarkeit und Praemien (Marsh & McLennan Companies, Inc. 2022, 3).
  • US-Standards: Regierungsbehoerden wie CISA und die National Security Agency (NSA) verweisen auf Least Privilege, starke MFA und Kontrollen fuer privilegierte Konten als Methoden zur Abwehr von Identitaets- und Zugangsbedrohungen (NSA und CISA 2023, 6). Das Memorandum M-22-09 der Exekutivanordnung betont zudem die Notwendigkeit von PAM zur Verbesserung der Sicherheit hochprivilegierter Systeme, die kurzfristig schwer oder nicht modernisierbar sind, als Teil der ambitionierten Zero-Trust-Architektur (ZTA)-Cybersicherheitsstrategie des Landes (Office of Management and Budget 2022, 8). Obwohl diese Strategie Regierungsbehoerden betrifft, setzt der Standard dennoch ein Beispiel fuer den kommerziellen Sektor (also KMU).

In allen Rahmenwerken und bei Regulierungsbehoerden werden Teams in der Regel aufgefordert, den Nachweis zu erbringen, dass privilegierter Zugriff streng kontrolliert wird. Dies laeuft typischerweise auf Artefakte hinaus, die belegen:

  • Wer hatte Zugriff (Autorisierungen, Genehmigungen, Begruendungen und zeitlich begrenzte Zugriffsfenster).
  • Welche Geheimnisse geschuetzt sind (Passwoerter im Tresor; Anmeldedaten injiziert, sodass Benutzer sie nie sehen/wiederverwenden).
  • Was geschehen ist (Sitzungsaufzeichnungen und Protokolle mit angemessener Aufbewahrungsfrist).

Eine kompakte, IT-gefuehrte PAM-Grundlage adressiert genau diese Artefakte.

 

WARUM FULL-STACK-PAM NICHT DAS RICHTIGE FUER KMU IST

 

Full-Stack-PAM wird ueblicherweise als End-to-End-Strategie definiert, die Credential-/Secrets-Management, Session-Management/-Aufzeichnung, Endpoint Privilege Management (EPM/PEDM), Cloud-Entitlement-Management sowie Automatisierungs-/Maschinenidentitaets-Anwendungsfaelle umfasst, idealerweise auf einer einzigen Plattform vereint (Haber 2025).

Obwohl diese Breite fuer grosse Unternehmen attraktiv ist, bedeutet sie in der Regel Multi-Modul-Rollouts, umfangreichere Integrationen und laengere Implementierungszeitraeume – Faktoren, die fuer kleine IT-Teams, die schnell Mehrwert benoetigen, unverhaeltnismaessig sein koennen (Haber 2025).

Unabhaengige Branchenkommentare bestaetigen diese Realitaet: Kosten und Komplexitaet behindern haeufig die Einfuehrung von Sicherheitsloesungen in KMU, selbst wenn das Risikobewusstsein hoch ist (Germain 2025). Die KMU-Umfrage 2024–2025 von Devolutions ergab, dass viele kleine Unternehmen immer noch auf manuelle Methoden (Tabellenkalkulationen, gemeinsam genutzte Tresore) zur Verwaltung privilegierter Anmeldedaten setzen und dass die Nutzung dieser Methoden zugenommen hat: Die Teilnehmer nannten Kosten, mangelndes Bewusstsein und geringe wahrgenommene Notwendigkeit als Haupthindernisse fuer die Einfuehrung von formellem PAM (2025, 11).

Das Muster ist eindeutig: Schwergewichtige Implementierungen verfehlen oft das Zeitfenster fuer den Mehrwert bei kleineren Teams.

Das Ergebnis: Full-Stack-PAM verspricht zwar breite Abdeckung, scheitert aber oft am Zeitaufwand bis zum Mehrwert und an der operativen Eignung fuer KMU. Umgekehrt scheitert kein PAM (oder nur ein Passwort-Manager) bei Audits und laesst bestehende Privilegien angreifbar.

 

Die richtige Antwort fuer kleine Teams ist ein fokussierter Satz von PAM-Grundlagen, ausgerichtet an den Erwartungen von Auditoren, unterstuetzt durch moderne Leitlinien (NIS2, ISO 27001 A.8.2, NSA/CISA-Standards) und Checklisten der Versicherer.

 

Warum Passwort-Manager nicht ausreichen

Passwort-Manager sichern und teilen Geheimnisse, aber sie verwalten privilegierten Zugriff nicht so, wie es Auditoren und Versicherer erwarten. Da sie auf Zusammenarbeit ausgelegt sind und gemeinsam genutzte Passwoerter zugaenglich halten, bieten die meisten Passwort-Manager folgendes nicht:

  • Automatische Rotation von Passwoertern nach der Nutzung;
  • Genehmigungsworkflows mit Begruendungen und zeitlich begrenztem Checkout;
  • Integration mit Remote-Verbindungsmanagement-Plattformen (sodass Fernzugriff oft auf Kopieren/Einfuegen oder Auswendiglernen von Passwoertern hinauslaeuft, anstatt Anmeldedaten zu injizieren);
  • Erkennung privilegierter Konten oder Durchsetzung von Least-Privilege-Mustern fuer Administratoren, Lieferanten und Dienstkonten.

Bei Audits treten diese Luecken als Versagen beim Nachweis von Autorisierung, Aufsicht und Nachnutzungshygiene zutage – genau die Belege, die eine formelle PAM-Plattform liefern soll.

 

DAS IT-GEFUEHRTE PAM-MODELL

 

Ein IT-gefuehrtes Programm wird von IT-Administratoren verantwortet, laesst sich in Stunden oder Tagen bereitstellen (statt in Wochen, Monaten – oder sogar Jahren) und konzentriert sich auf einen kleinen Satz von Kontrollen, die echte Angriffe stoppen und Auditoren ab dem ersten Tag Antworten liefern.

Eine praxistaugliche KMU-Baseline umfasst typischerweise:

  • Erkennung privilegierter Konten
  • Credential Vaulting
  • Genehmigungsworkflows und privilegiertes Konto-Checkout
  • Automatische Passwortrotation und -propagation

Mit wachsender Reife koennen Teams Session-Brokering und -Aufzeichnung, Monitoring und Reporting, Just-in-Time (JIT)-Elevation und Zero Standing Privilege (ZSP) hinzufuegen, um die Angriffsflaeche des dauerhaft aktiven Administrators zu verkleinern.

 

IT-GEFUEHRTE BEST PRACTICES (KMU)

 

Grundlegend

Priorisieren Sie die Erkennung und Rotation fuer Admin-Konten. Katalogisieren Sie Konten und implementieren Sie Passwortrotation, um stille, dauerhaft aktive Administratoren zu unterbinden, die von Versicherern beanstandet werden (Devolutions o. J., Account Discovery, PAM Password Rotation Policies, Propagation Scripts).

Standardisieren Sie den Admin-Zugriff ueber genehmigte Workflows. Fordern Sie Begruendungen und zeitlich begrenzte Genehmigungen fuer jede privilegierte Aktion; automatische Rotation beim Check-in (Devolutions o. J., Check-out Approvals).

Injizieren (brokern) Sie Anmeldedaten. Starten Sie Sitzungen (RDP, SSH, VNC, SFTP, Telnet etc.) ueber das PAM-Tool mit Credential Injection, sodass Benutzer Geheimnisse nicht sehen oder wiederverwenden koennen (Devolutions o. J., Session Management).

Fortgeschritten, aber zugaenglich

Zeichnen Sie risikoreiche Sitzungen auf. Aktivieren Sie die Sitzungsaufzeichnung mit Pause-/Beendigungskontrollen und richtlinienkonformer Aufbewahrung; dies schafft entscheidende Belege fuer Untersuchungen und Auditoren (Devolutions o. J., Session Recording).

Entwickeln Sie eine Strategie fuer externen/Drittanbieter-Zugriff. Verwenden Sie anbieterspezifische Rollen, Genehmigungen, temporaeren Zugriff und Sitzungsueberwachung; der DBIR 2025 zeigt eine Verdoppelung der Drittanbieter-Beteiligung an Sicherheitsverletzungen auf 30 % – daher die Notwendigkeit, externe Zugangskontrolle nachzuweisen (Verizon 2025, 7; Devolutions o. J.).

Fuehren Sie JIT-Elevation und ZSP ein. Gewaehren Sie Administratorrechte nur fuer die Dauer der Aufgabe; entfernen Sie die Gruppenmitgliedschaft beim Check-in, um die Angriffsflaeche dauerhaft aktiver Konten zu reduzieren (Tenable 2023; Devolutions o. J., Zero Standing Privilege).

 

IT-GEFUEHRTE BEST PRACTICES (MSPS)

 

Partitionieren Sie Kunden. Pflegen Sie separate Tresore pro Kunde, um Datentrennung und vertragsbezogene Zugriffsrichtlinien sicherzustellen.

Setzen Sie Least Privilege fuer Techniker durch. Gewaehren Sie nur die minimal erforderlichen Rechte pro Kunde und priorisieren Sie die Verwaltung der wichtigsten privilegierten Tier-0-Konten.

Injizieren (brokern) Sie immer Anmeldedaten. Stellen Sie sicher, dass Techniker sich verbinden, ohne jemals Geheimnisse einzusehen; integrieren Sie Brokering in Ihre Remote-Verbindungsworkflows.

Verwenden Sie Genehmigungsworkflows fuer privilegierte Nutzung. Fordern Sie Begruendungen und zeitlich begrenzte Genehmigungen fuer privilegierte Aktionen und fuehren Sie auditierbare Aufzeichnungen.

Integrieren Sie Ihr Remote-Verbindungstool mit Ihrer PAM-Plattform. Konfigurieren Sie es so, dass es privilegierte Anmeldedaten aus dem Tresor bezieht, um eine konsistente Richtliniendurchsetzung und Protokollierung zu gewaehrleisten.

 

FAZIT

 

Was die Forschung sagt

  • Missbrauch von Anmeldedaten und Ausnutzung von Schwachstellen dominieren den initialen Zugang, Ransomware ist bei fast der Haelfte der Sicherheitsverletzungen praesent, und die Exponierung gegenueber Drittanbietern nimmt stark zu (Verizon 2025, 6–7).
  • Auditoren und Versicherer erwarten zunehmend MFA- und PAM-Kontrollen, waehrend Cybersicherheitsstandards weltweit eine nachweisbare Einschraenkung und Verwaltung privilegierter Rechte fordern (ENISA 2025; Dange 2024).
  • KMU erkennen das Problem, scheitern aber an der Umsetzung aufgrund von Kosten, Komplexitaet und Verwirrung darueber, was PAM eigentlich umfasst (Devolutions 2025; Mulholland 2019).

Die IT-gefuehrte Loesung

Beginnen Sie mit PAM-Grundlagen, die kleine Teams bereitstellen und betreiben koennen: Erkennung, Credential Vaulting, Credential Injection (Brokering) und Genehmigungen. Sobald diese Grundlagen vorhanden sind, koennen KMU ihre Strategie mit Sitzungsaufzeichnung, Rotation und Propagation sowie JIT/ZSP verstaerken.

Diese Grundlage reduziert die Angriffsflaeche durch Anmeldedaten und bestehende Privilegien sofort drastisch, erzeugt die Belege, die Audits erfordern, und schafft eine skalierbare Basis fuer eine breitere Privilegien- und Secrets-Governance mit wachsender Reife.

 

Das IT-gefuehrte PAM-Loesungspaket von Devolutions buendelt die wesentliche Sicherheitsgrundlage, die KMU benoetigen – zu einem Bruchteil der Full-Stack-Kosten:

  • Fokus auf das Wesentliche: Erkennung privilegierter Konten, Vaulting mit Brokered Access, Passwortrotation/-propagation, Genehmigungsworkflows und integrierte MFA.
  • Erschwinglich: Transparente Preise, die zum KMU-Budget passen.
  • Leichtgewichtig: Schnelle Bereitstellung und einfache Einfuehrung – Deployment in Stunden oder Tagen statt Wochen oder Monaten (oder sogar Jahren).
  • Flexible Datenspeicheroptionen: Sowohl Cloud-gehostete (Devolutions Hub Business) als auch selbst gehostete (Devolutions Server) Optionen fuer die Datenresidenz werden angeboten.
  • Weg zur Reife: Native JIT-Elevation und ZSP helfen Teams, von PAM-Grundlagen zu staerkeren Least-Privilege-Kontrollen ueberzugehen, ohne die Plattform wechseln zu muessen. Das PAM-Loesungspaket deckt auch Remote-Verbindungsmanagement ab (z. B. Sitzungsueberwachung/-aufzeichnung) durch Einbeziehung des branchenfuehrenden IT-Favoriten: Remote Desktop Manager.

 

Das Fazit

Wenn Sie ein KMU, ein mittelstaendisches IT-Team oder ein MSP sind, der viele kleine Unternehmen betreut, bietet Ihnen IT-gefuehrtes PAM die richtigen Kontrollen – sofort – um das Risiko von Sicherheitsverletzungen zu reduzieren, Audits zu bestehen und Versicherer zufriedenzustellen, ohne die Komplexitaet und Kosten von Full-Stack-Enterprise-Implementierungen.