Privileged Access Management (PAM) in einem Verteidigungsnetz ist nicht dasselbe Problem, das PAM in einem kommerziellen Unternehmen löst. Eine Bank, die PAM falsch macht, verliert Kundendaten; eine Verteidigungsorganisation, die PAM falsch macht, verliert das Netz — und die darauf laufenden Operationen. Die Akkreditierungsbehörde weiß das, und die Audit-Kette spiegelt das wider. Dieser Artikel geht die Engineering-Entscheidungen durch, die einen verteidigungstauglichen PAM-Rollout von einem kommerziellen unterscheiden, gestützt auf die Muster, die wir in klassifizierten Enklaven, SCIF-residenten Workflows und OT-Beständen erfolgreich (und gescheitert) gesehen haben. Für das breitere Bild siehe unseren vollständigen Leitfaden zur Verteidigungs-Cybersicherheit.
1. Warum PAM in der Verteidigung anders ist
Drei Eigenschaften machen Verteidigungs-PAM strukturell anders als kommerzielles PAM. Erstens sind Benutzer multi-klassifiziert: Derselbe menschliche Operator kann Konten auf einem unklassifizierten administrativen LAN, einem SECRET-Missionsnetz und einer TOP-SECRET-Geheimdienst-Enklave haben, und die PAM-Plattform darf nie eine Anmeldeinformation über diese Grenze vermitteln. Zweitens sind die wertvollsten Workflows SCIF-resident — der Benutzer, die Workstation, der Jump-Host und der Vault sind alle innerhalb desselben akkreditierten Raums, und jede Komponente, die außerhalb des SCIF lebt, ist per Definition die falsche Architektur. Drittens ist die Audit-Kettenerwartung weit strenger als kommerziell: Die Akkreditierungsbehörde akzeptiert kein „wir haben Logs" — sie erwartet eine manipulationssichere, abspielbare, aufbewahrungsbegrenzte Aufzeichnung jeder privilegierten Aktion, einer freigegebenen Einzelperson zugeordnet, die überleben kann, wenn das Netz wochenlang offline ist.
Die praktische Konsequenz ist, dass „CyberArk deployen und fertig" — die Antwort, die in den meisten kommerziellen Deployments funktioniert — nicht die Antwort in der Verteidigung ist. Die Plattformwahl ist weniger wichtig als die Enklaven-Topologie, das Brokering-Modell und die Audit-Pipeline. Wir haben Organisationen gesehen, die das richtige Produkt kaufen und trotzdem die Akkreditierung verfehlen, weil sie zwei Klassifizierungsstufen in einen Vault kollabieren.
2. CyberArk / HashiCorp Vault / BeyondTrust / Delinea
CyberArk bleibt der Platzhirsch für klassifizierte Deployments bei NATO-Mitgliedsverteidigungsorganisationen. Sein Privileged Session Manager (PSM) ist ausgereift, FIPS-140-2-validiert, und der Enterprise Password Vault hat eine Common-Criteria-EAL4+-Zertifizierung — beide Posten, die der Akkreditierer zuerst prüft. Die Kosten sind steil, und das Lizenzierungsmodell setzt Konnektivität zur Update-Infrastruktur von CyberArk voraus, was einen Offline-Update-Workflow innerhalb air-gapped Enklaven erzwingt.
HashiCorp Vault (Enterprise) ist die Wahl, wenn die Arbeitslast API-getrieben, ephemer und Kubernetes-nah ist. Seine Dynamic-Secrets- und PKI-Engines sind exzellent für kurzlebige X.509-Ausstellung, was zunehmend ist, wie moderne Verteidigungs-Workloads authentifizieren. Vault Enterprise unterstützt FIPS-140-2-Modus und HSM-Integration über PKCS#11. Seine Schwäche im Verteidigungskontext ist Session-Brokering — Vault ist eine Secrets-Engine, kein Session-Proxy, sodass ein interaktiver Admin-Workflow eine separate Komponente (Boundary oder einen Drittanbieter-Bastion) darüber gelegt braucht.
BeyondTrust (Password Safe + Privileged Remote Access) hat die stärkste OT/ICS-Geschichte der vier. Sein Jump-Host-Modell wurde für vendor-gemanagten Remote-Zugriff in industrielle Anlagen entworfen, was sauber auf die Depot-Wartungs- und OEM-Support-Workflows passt, die Verteidigungslogistik-Organisationen tatsächlich betreiben. FIPS-140-2-validiert; die Session-Aufzeichnungs-Pipeline ist die ausgereifteste aller Produkte in dieser Kategorie.
Delinea (ehemals Thycotic + Centrify) ist die leichtere Option, oft gewählt für Sub-Enklaven, wo der volle CyberArk-Footprint übertrieben ist. Secret Server ist FIPS-140-2-validiert; die Server Suite deckt AD-Bridging für Linux/Unix ab, von dem die älteren Verteidigungsbestände noch abhängen.
Über alle vier hinweg ist der FIPS-140-3-Übergang im Gange — 140-2-Validierungen bleiben unter Übergangsregeln durch den 2026-Akkreditierungszyklus in den meisten NATO-Kontexten akzeptiert, aber neue Deployments sollten 140-3 spezifizieren, wo der Anbieter es anbietet. Die Common-Criteria-Abdeckung ist uneinheitlich; CyberArk und BeyondTrust haben die tiefsten Pläne.
3. Klassifizierungsbewusstes Session-Brokering
Die folgenreichste einzelne architektonische Entscheidung in Verteidigungs-PAM ist, ob die Plattform Sessions über Klassifizierungsgrenzen hinweg vermittelt — und die richtige Antwort ist immer „nein". Jede Enklave bekommt ihren eigenen Vault, ihren eigenen Session-Manager und ihren eigenen Audit-Store. Die Anmeldeinformation für das SECRET-Admin-Konto existiert nie im unklassifizierten Vault, auch nicht verschlüsselt, auch nicht „für Break-Glass". Wenn die Akkreditierung einen einzigen Datensatz einer höher-klassifizierten Anmeldeinformation in einer niedriger-klassifizierten Komponente findet, ist das gesamte Deployment wieder am Anfang.
Cross-Enclave-Session-Eskalation — der Workflow, bei dem ein Operator auf der unklassifizierten Seite einen SECRET-Host erreichen muss — wird an der Cross-Domain-Solution (CDS)-Grenze gelöst, nicht innerhalb der PAM-Plattform. Der Operator authentifiziert sich innerhalb der höher-klassifizierten Enklave; die CDS leitet keine Anmeldeinformationen über. Die PAM-Plattform auf jeder Seite weiß nichts von der anderen. Dies passt sauber auf das Zero-Trust-militärische-Netze-Modell, in dem jede Enklave ihre eigene Vertrauensdomäne ist.
Für SCIF-residente Workflows leben der Vault, der Session-Manager und der Audit-Kollektor alle innerhalb des SCIF. Die Versuchung, die Management-Ebene außerhalb des SCIF „zur einfacheren Administration" zu hosten, ist der häufigste architektonische Fehler, den wir sehen, und er ist nicht wiederherstellbar — der Akkreditierer wird keinen Remote-Management-Kanal in einen SCIF-residenten Anmeldeinformations-Store genehmigen, egal wie er verschlüsselt ist.
4. Just-in-Time (JIT)-Elevation
JIT-Elevation ist die Disziplin, privilegierten Zugriff nur in dem Moment zu gewähren, in dem er benötigt wird, für die Dauer, die er benötigt wird, und ihn danach automatisch zu widerrufen. In Verteidigungsnetzen ersetzt es das langjährige Muster „das Wartungsteam hat permanent Domain Admin, weil es manchmal um 3 Uhr morgens gebraucht wird" — was genau das Muster ist, das ein Angreifer mit persistentem Zugriff ausnutzt.
Die Architektur hat drei Komponenten. Erstens ein Anfrage-Workflow — typischerweise mit dem Ticketsystem integriert — wo der Operator um Elevation bittet, mit angegebenem Grund und angegebener Dauer. Zweitens ein Genehmigungspfad: Für Routinewartung kann das policy-automatisiert sein; für Break-Glass in OT-Systeme oder kryptographisches Schlüsselmaterial benötigt es die Genehmigung eines zweiten freigegebenen Operators (Vier-Augen-Prinzip). Drittens ein Ausstellungsmechanismus: Die PAM-Plattform prägt eine zeitbegrenzte Anmeldeinformation — ein ephemeres SSH-Zertifikat (typischerweise 1–4 Stunden), ein kurzlebiges X.509-Client-Cert für API-Zugriff oder eine temporäre AD-Gruppenmitgliedschaft, die auf einem geplanten Timer abläuft.
Ephemere SSH-Zertifikate sind das sauberste Muster für die Linux/Unix-Administration: Die Anfrage des Operators löst Vault (oder CyberArks Äquivalent) aus, ein von der SSH-CA signiertes Zertifikat zu prägen, das auf bestimmte Hosts beschränkt ist, mit 4 Stunden Gültigkeit. Kein langlebiger öffentlicher Schlüssel sitzt jemals auf dem Zielhost, und der Widerruf erfolgt automatisch, wenn das Cert abläuft. Für Windows-Administration erreichen kurzlebige X.509-Client-Certs in Kombination mit Smartcard-Lesegeräten dieselbe Eigenschaft und nutzen die Hardware-Vertrauenswurzel, die auf den meisten Verteidigungs-Workstations bereits vorhanden ist.
5. Dienstkonten und Geheimnisse
Die vom Anbieter empfohlenen Rotationskadenzen — 30 Tage für Dienstkonten, 90 Tage für Anwendungsgeheimnisse, jährlich für Root-CA-Schlüssel — sind der einfache Teil. Der schwierige Teil ist die Rotation unter Air Gap. Ein verbundenes Unternehmen rotiert ein Dienstkonto-Passwort, und die neue Anmeldeinformation propagiert in Sekunden durch Active Directory, den Secrets-Store, die konsumierende Anwendung und das Monitoring-System. Innerhalb einer air-gapped Enklave ist jeder dieser Schritte manuell, geplant und risikobehaftet — und das Wartungsfenster wird in einstelligen Stunden gemessen, oft nachts, oft mit einem Backup-Operator auf Standby.
Die realistische operative Antwort sind gestaffelte Kadenzen: Hochwertige Anmeldeinformationen (Domain Admin, Root-CAs, KMS-Entsperrschlüssel) rotieren auf beschleunigten Zeitplänen mit voller Änderungskontroll-Disziplin; mittelwertige Anmeldeinformationen (Datenbank-Dienstkonten, Anwendungs-Principals) rotieren über automatisierte PAM-Workflows während geplanter Wartungsfenster; niederwertige, aber langlebige Anmeldeinformationen (Legacy-App-Konten, eingebettete Geräte-Passwörter) werden inventarisiert, gevaultet und auf der langsamsten Kadenz rotiert, die das Risiko-Register akzeptiert.
Die Langlebige-Anmeldeinformations-Realität ist die, die das Audit immer fängt. Jeder Verteidigungsbestand jeder Größe hat einen langen Schwanz von 2014 erstellten Dienstkonten für ein System, das niemandem mehr gehört, mit dem Passwort in einer Wiki-Seite, die viermal migriert wurde. Der PAM-Rollout entdeckt diese, und die Entdeckung selbst ist der Wert — auch wenn die Rotation noch ein weiteres Jahr dauert.
6. PAM für OT / Industrieanlagen
Operational Technology — die industriellen Kontrollsysteme, die Depot-Maschinen, Basis-Stromversorgung, Treibstofflagerung und zunehmend die Fertigungslinien, die die Verteidigungs-Lieferkette versorgen, betreiben — ist die schwierigste PAM-Umgebung in jeder Verteidigungsorganisation. Drei Muster dominieren.
Erstens, Jump-Host-Architektur: Jede administrative Verbindung in das OT-Netz endet an einem gehärteten Bastion, der das Protokoll vermittelt (RDP, VNC, Serial-over-IP), Session-Aufzeichnung erzwingt und die Workstation des Operators vom Kontrollnetz isoliert. BeyondTrusts Privileged-Remote-Access-Produkt ist die Referenzimplementierung hier; CyberArks PSM für SSH und das Open-Source-Apache-Guacamole-Muster decken denselben Boden zu unterschiedlichen Kostenpunkten ab.
Zweitens, das Passwort-seit-15-Jahren-nicht-geändert-Problem. SPS, HMIs und Historian-Server, die vom OEM mit Standard- oder selten rotierten Anmeldeinformationen ausgeliefert wurden, und ihre Rotation riskiert, das Gerät zu bricken oder einen Anbieter-Support-Vertrag zu brechen. Die pragmatische Antwort ist, die Anmeldeinformation zu vaulten (sodass zumindest der Zugriffspfad geprüft wird und der Klartext aus dem Operator-Gedächtnis und den Post-it-Zetteln entfernt wird), die Rotation bis zum nächsten geplanten Ausfallfenster aufzuschieben und das Restrisiko im Akkreditierungspaket zu dokumentieren.
Drittens, vendor-gemanagter Remote-Zugriff. OEM-Techniker müssen die Geräte für Garantie-Support erreichen. Die PAM-Plattform vermittelt dies als voll aufgezeichnete, zeitbegrenzte Sitzung, die durch den Jump-Host vermittelt wird — niemals ein permanenter VPN-Tunnel in das OT-Netz. Das Konto des Anbieters wird JIT-ausgestellt, die Sitzung wird Ende-zu-Ende aufgezeichnet, und der freigegebene Operator auf der Verteidigungsseite genehmigt und beobachtet.
Kernaussage: Die PAM-Plattform ist nicht die Sicherheitskontrolle. Die akkreditierbare Audit-Kette ist es. Ein perfekter Vault mit einer kaputten Audit-Pipeline fällt durch die Akkreditierung; ein bescheidener Vault mit einer ungebrochenen, aufbewahrungs-disziplinierten Audit-Kette besteht. Entwerfen Sie zuerst für das Audit; die Anmeldeinformations-Workflows fallen daraus hervor.
7. Audit-Kette und Session-Aufzeichnung
Die Audit-Kette ist das Artefakt, um das sich die Akkreditierungsbehörde am meisten kümmert, und es ist das, das Verteidigungs-PAM-Rollouts am häufigsten unterbauen. Drei Schichten zählen. Tastenanschlag-Logging erfasst die wörtlichen Befehle, die ein Operator in einer privilegierten Sitzung tippte — unschätzbar für Forensik, teuer im Speicher und der Aufbewahrungsdisziplin unterworfen. Video-Sitzungsaufzeichnung erfasst die gerenderten RDP/VNC-Frames — nicht verhandelbar für SCADA-/HMI-Sitzungen, wo die Operator-Interaktion grafisch und nicht textlich ist. Befehlsebenen-Audit erfasst das strukturierte Ereignis („Benutzer X eskalierte zu Rolle Y auf Host Z um Zeit T für Ticket #N") — die Schicht, die der SOC tatsächlich in der SIEM-Korrelation und Zero-Trust-Verifikation konsumiert.
Lang-Aufbewahrungs-Disziplin ist, wo kommerzielle PAM-Playbooks zu kurz greifen. Verteidigungs-Aufbewahrungshorizonte erreichen routinemäßig 7–10 Jahre, manchmal länger für nuklearnahe oder strategische Systeme. Die Speicherschicht muss unveränderlich sein (WORM-Klasse oder Write-Once-Object-Storage mit Aufbewahrungs-Locks), die Integrität muss kryptographisch verankert sein (signierte Manifeste, Hash-verkettete Logs), und der Abrufpfad muss 2034 funktionieren, mit den dann verfügbaren Menschen und Werkzeugen — nicht den heute verfügbaren Menschen.
DSGVO- und NIS2-Ausrichtung zählt in EU-Verteidigungskontexten. Session-Aufzeichnung erfasst personenbezogene Daten (die Tastenanschläge des Operators, manchmal sein Gesicht auf einer Webcam-fähigen Sitzung). Die Rechtsgrundlage unter DSGVO ist typischerweise „rechtliche Verpflichtung" plus „berechtigtes Interesse", mit dokumentierten Aufbewahrungsfristen und Zugriffskontrollen. NIS2 verstärkt dies mit expliziten Incident-Response- und Audit-Verfügbarkeits-Anforderungen, denen PAM-Logging direkt dient.
8. Migration und Koexistenz
Die realistische Zeitlinie, um einen AD-Only-Verteidigungsbestand in modernes PAM zu bringen, beträgt zwei bis vier Jahre. Das erste Jahr ist Entdeckung und Vaulting: Jede privilegierte Anmeldeinformation wird inventarisiert, gevaultet und unter Check-out-/Check-in-Workflow gebracht, ohne dass sich noch ändert, wie Operatoren arbeiten. Das zweite Jahr ist Session-Brokering: Interaktive Admin-Sitzungen ziehen hinter den PAM-Proxy, die Aufzeichnung beginnt, und die Audit-Kette geht live. Das dritte Jahr ist JIT-Elevation und Rotation: Permanente Privilegien werden in zeitbegrenzte umgewandelt, und Rotationskadenzen werden erzwungen. Das vierte Jahr ist, falls nötig, die Bereinigung der Langtail-Dienstkonten und OT-Anmeldeinformationen.
Koexistenz mit Legacy-AD-Only-Mustern ist die Norm, nicht die Ausnahme, für den größten Teil dieser Zeitlinie. Die PAM-Plattform vermittelt Zugriff auf AD-verbundene Hosts, vaultet AD-Anmeldeinformationen und ersetzt allmählich die stehende Domain-Admin-Mitgliedschaft durch JIT-Elevation über Shadow-Gruppen. Den gesamten Bestand an einem einzigen Wochenende umzustellen, ist jedes Mal gescheitert, wenn wir es versucht gesehen haben.
Die hart erkämpfte Lektion: PAM-Rollback ist schlimmer als langsamer Rollout. Sobald eine Operator-Population auf vault-vermittelte, JIT-eskalierte, voll geprüfte Workflows umgezogen wurde, ist das Zurückrollen zum alten „Domain Admin permanent"-Muster operativ und kulturell nahezu unmöglich — die Audit-Lücke ist sichtbar, der SOC ist von der Telemetrie abhängig geworden, und das Akkreditierungspaket wurde aktualisiert. Ein partieller Rollout, der hält, ist besser als ein vollständiger Rollout, der rückgängig gemacht werden muss. Planen Sie die Phasen so, dass jede Phase unabhängig stabil ist, und behandeln Sie die Mehrjahres-Kadenz als Feature, nicht als Bug.