Kurz vorweg: PAM ist 2026 kein Enterprise-Luxus mehr. Cyber-Versicherer verlangen es im Fragebogen, ISO 27001 (Annex A 5.15, 5.18, 8.2) verpflichtet zu privilegiertem Zugriffsmanagement, und Ransomware-Gangs setzen primär auf Admin-Account-Übernahme. Die gute Nachricht: 80% der Wirkung erreicht ein KMU bereits mit drei Bausteinen: (1) Entra ID PIM für Just-in-Time-Aktivierung, (2) Passwort-Tresor mit Rotation für Service-Accounts und Hersteller-Zugänge, (3) dedizierte Admin-Workstations für die 2–3 wichtigsten IT-Verantwortlichen. Erst grössere KMU mit vielen Service-Accounts brauchen eine echte PAM-Suite.
Die wichtigsten PAM-Konzepte
Just-in-Time (JIT)
Admin-Rolle ist standardmässig deaktiviert. Aktivierung nur on demand (z. B. 4h, mit Begründung, MFA, optional Approval). Entra PIM ist die Microsoft-Standardumsetzung.
Just-Enough-Administration (JEA)
Statt „Global Admin“ exakt definierte Rolle (z. B. „Exchange Recipient Admin“, „Helpdesk Operator“). Minimales Berechtigungs-Profil pro Tätigkeit.
Privileged Access Workstation (PAW)
Dediziertes Gerät nur für Admin-Tätigkeit. Kein Mail, kein Browsen, keine Office-Dokumente. Schützt vor Phishing und Browser-Exploits.
Tiered-Admin-Modell
Tier 0 = Domain/Cloud-Identitäts-Admins, Tier 1 = Server-Admins, Tier 2 = Client-Admins. Keine Cross-Tier-Anmeldung – verhindert Lateral Movement.
Passwort-Tresor mit Rotation
Service-Account-Passwörter im Vault, automatische Rotation, Check-out-Workflow, kein Klartext im Skript oder Notepad.
Session-Recording & Audit
Privilegierte Sessions aufzeichnen (Bildschirm + Befehle). Forensik-Pflicht ab ISO 27001 / hohe Cyber-Versicherungs-Klasse.
Break-Glass-Accounts
2–3 hochpriviligierte Notfall-Accounts mit Hardware-Schlüssel, dokumentiert, regelmässig getestet, in 2 versiegelten Umschlägen verteilt.
Vendor / Third-Party Access
Hersteller-Zugriffe (Bexio-Support, Abacus, Drucker-Wartung) zeitlich begrenzt, MFA-gesichert, mit Session-Recording, niemals geteilt.
PAM-Tools im Vergleich
Microsoft Entra ID PIM
Just-in-Time-Aktivierung für Entra- und Azure-Rollen. Approval-Workflow, MFA-Pflicht bei Aktivierung, Zeitlimit, Audit-Log. Im Entra ID P2 inkludiert.
Preis-Indikation
Entra ID P2 ab CHF 9.50/User/Mo, oder als Teil von M365 E5. Lizenzpflicht nur für aktivierende Admins.
Empfehlung
Pflicht-Basis für jedes M365-KMU. Erste PAM-Massnahme überhaupt.
Microsoft Entra Privileged Identity Workflows + Conditional Access
Conditional Access mit Geräte-Compliance, Sign-in-Risk, Standort, Workload-Identity. Phishing-resistente MFA (FIDO2) für Admins.
Preis-Indikation
Conditional Access in Entra ID P1 (CHF 5.40/User), Workload Identity Premium ab USD 3/Workload.
Empfehlung
Pflicht-Kombination zu PIM für Admin-Konten.
Bitwarden Business / 1Password Business / Keeper Business
Passwort-Tresor mit Teilen, MFA, Audit-Log, SSO. Bitwarden Self-Hosting möglich, 1Password mit Watchtower-Reports, Keeper mit BreachWatch.
Preis-Indikation
Bitwarden Business CHF 5/User/Mo, 1Password Business USD 7.99, Keeper Business CHF 3.75–6.
Empfehlung
Pflicht-Tool für jedes KMU – auch ausserhalb klassischer PAM.
Delinea Secret Server / Privilege Manager
PAM-Suite mit Tresor, Session-Recording, Privilege-Removal für Endpoints, JIT-Workflow. Cloud oder On-Prem. KMU-tauglicher als CyberArk.
Preis-Indikation
ab USD 30–60/User/Mo je nach Modul, modulare Lizenzierung.
Empfehlung
Top für KMU 100–500 MA, die echte PAM-Suite brauchen.
CyberArk Privileged Access Suite
Marktführer, sehr umfangreich. Vault, Session Manager, Endpoint Privilege Manager. Eher Enterprise-Setup-Aufwand.
Preis-Indikation
ab USD 150–350/User/Jahr je nach Modul – Verhandlungs-Sache.
Empfehlung
Für mittlere KMU mit hohem Compliance-Druck (FINMA, Pharma).
BeyondTrust Privileged Remote Access / Password Safe
Sehr stark bei Vendor-Access und Session-Recording. Privilege Management für Windows/Mac/Unix.
Preis-Indikation
ab USD 80–200/User/Jahr, Vendor-Access-Module separat.
Empfehlung
Top wenn viele Hersteller-/Third-Party-Zugriffe verwaltet werden müssen.
Keeper PAM / Bravura Security
Schlankere PAM-Suiten mit Vault, Session, Connection-Brokering. Schnelleres Setup als Enterprise-Tools.
Preis-Indikation
Keeper PAM ab USD 9–15/User/Mo, Bravura modular.
Empfehlung
Mittelständische KMU mit moderatem PAM-Bedarf.
Open-Source-Alternativen (Teleport, HashiCorp Boundary)
Teleport für Linux-/Cloud-Infrastruktur-Zugriff mit Audit. HashiCorp Boundary für sichere Verbindungen ohne klassische VPNs.
Preis-Indikation
Community-Edition kostenlos, Enterprise ab USD 15/User/Mo.
Empfehlung
Top für Dev-/SRE-zentrische KMU mit grosser Cloud-Infrastruktur.
8-Wochen-Roadmap PAM-Light für KMU
Woche 1 – Inventar privilegierter Konten
Alle Konten mit erhöhten Rechten erfassen: Domain Admins, Entra Global Admins, Exchange-Admins, M365-Admins, Service-Accounts, Hersteller-Zugriffe, Cloud-Root-Accounts (Azure, AWS, Google).
Woche 2 – Tiering & Cleanup
Konten klassifizieren (Tier 0/1/2), unnötige Berechtigungen entfernen, Daueradmin-Konten auf reguläre User reduzieren. „Privilege Creep“ aufräumen.
Woche 3 – Entra PIM aktivieren
P2-Lizenzen für aktivierende Admins, PIM-Rollen konfigurieren: JIT-Aktivierung max. 4h, MFA-Pflicht, Approval für Global Admin, Audit-Log.
Woche 4 – Conditional Access für Admins
Phishing-resistente MFA (FIDO2 Hardware Key) für alle Admin-Konten. Geräte-Compliance-Anforderung. IP-Beschränkung wo sinnvoll. Sign-in-Risk-Policies.
Woche 5 – Tresor & Service-Account-Rotation
Bitwarden/1Password/Keeper Business einführen. Service-Account-Passwörter inventarisieren, ins Vault, automatische Rotation aktivieren wo möglich (gMSA, Skripte).
Woche 6 – Privileged Access Workstations
Für 2–4 IT-Admins dedizierte Notebooks mit gehärteter Konfiguration, ohne Office/Browser. Hyper-V oder physisch. Per Intune verwaltet.
Woche 7 – Break-Glass & Vendor-Access
2 Break-Glass-Accounts mit Hardware-Schlüssel, dokumentiert, Test-Login durchgeführt. Hersteller-Zugriffe via Just-in-Time + Session-Recording (z. B. Teams-Screensharing oder Tool-basiert).
Woche 8 – Monitoring & Audit
Sign-in-Logs nach Defender for Cloud Apps / Sentinel exportieren, Alerts für privilegierte Aktionen, Quartalsreview der Berechtigungen.
Typische Stolpersteine
- Global Admin als Dauer-Rolle: Standard-Setup vieler KMU – jede Übernahme = volle Tenant-Kompromittierung. Pflicht: JIT mit PIM.
- Service-Accounts mit Klartext-Passwort in Skripten / Notepad: Lateral-Movement-Goldgrube. Pflicht: Vault + Rotation.
- Mitarbeiter nutzt Admin-Account auch für Mail/Browsen: Phishing-Anfälligkeit drastisch erhöht. Pflicht: getrenntes Admin-Konto + PAW.
- Break-Glass-Konto schlecht dokumentiert: bei Ausfall Entra ID kein Zugriff mehr. Pflicht: 2 Break-Glass mit Hardware-Schlüssel im Tresor.
- Vendor-Zugriffe per geteiltem Passwort: Lieferant gibt Login weiter, kein Audit-Trail. Pflicht: individueller Account, JIT, Recording.
- PIM-Approval-Workflow zu komplex: Admins umgehen ihn. Pflicht: Approver-Pool, schnelle SLAs, gegenseitige Stellvertretung.
- Conditional Access ohne FIDO2: SMS-MFA reicht heute nicht mehr (SS7/SIM-Swap). Pflicht: YubiKey/Token2/Hardware-Key für Admins.
- Quartalsreview vergessen: Mitarbeiter verlassen Firma, Rollen bleiben aktiv. Pflicht: Access-Review in PIM aktiv, automatischer Workflow.
- PAM-Tool ohne Adoption: Suite gekauft, niemand pflegt sie. Pflicht: dedizierter PAM-Owner, Schulung, KPIs.
- M365 GDAP-Kanäle ignoriert: MSPs haben Daueradmin-Zugriff (Delegated Admin alt). Pflicht: GDAP-Migration mit JIT-Rollen.
Fazit: PAM-Light schlägt PAM-Burnout
PAM ist 2026 keine Frage des Tools, sondern der Disziplin. Wer mit Entra PIM + Conditional Access + FIDO2-Keys + Passwort-Tresor + dedizierten Admin-Workstations startet, schliesst die mit Abstand grösste Angriffsfläche – mit Lizenzkosten, die im M365-Tenant grösstenteils ohnehin schon enthalten sind. Cyber-Versicherer akzeptieren dieses Setup, ISO-27001-Auditoren auch. Mehr braucht ein 50-MA-KMU 2026 in der Regel nicht.
Wer wächst, regulierte Workloads betreibt oder viele Hersteller-Zugriffe managt, ergänzt mit einer dedizierten PAM-Suite (Delinea, BeyondTrust, CyberArk, Keeper PAM). Wichtig: einen PAM-Owner benennen, Quartalsreviews fest im Kalender, Service-Accounts laufend ins Vault überführen. Dann verlieren Ransomware-Gruppen ihren wichtigsten Hebel – die kompromittierten Admin-Konten.
PAM für Ihr KMU aufsetzen
Wir inventarisieren privilegierte Konten, konfigurieren Entra PIM, FIDO2-MFA, Vault und PAWs – und übergeben Audit-Doku für Versicherer und ISO 27001.
Beratung anfragen