All Posts
7 min
min read
June 29, 2026
Souveräne PAM-Lösung gesucht? An diesen 7 Kriterien erkennen Sie, ob ein Privileged-Access-Management-Anbieter wirklich europäisch und frei vom CLOUD Act ist.
.jpg)
Jedes Unternehmen hat Kronjuwelen: Konstruktionsdaten, Produktionssteuerung, Kundendatenbanken, Finanzsysteme, geistiges Eigentum. Remote Privileged Access Management entscheidet, wer aus der Ferne als Administrator oder externer Dienstleister auf genau diese Systeme zugreift, und was dabei aufgezeichnet wird. Diese Lösung sieht damit mehr von Ihrer IT als fast jedes andere System. Bei der Auswahl geht es deshalb nicht nur um Funktionen und Preis, sondern um eine Frage, die selten auf der Anforderungsliste steht: Welchem Recht unterliegt der Anbieter, und wo liegt die Kontrolle über die Zugriffsdaten?
Dieser Leitfaden gibt Ihnen sieben konkrete Kriterien an die Hand, mit denen Sie eine souveräne, europäische RPAM-Lösung von einer Lösung mit Abhängigkeiten unterscheiden. Am Ende sehen Sie, wie sich diese Kriterien in der Praxis abprüfen lassen.
Wichtige Erkenntnisse
Privileged Access Management verwaltet die mächtigsten Konten im Netzwerk: Administrator-Zugänge, Service-Accounts und die Fernwartung durch externe Dienstleister. Über diese Konten lässt sich praktisch alles tun, von Konfigurationsänderungen bis zur Datenexfiltration. Die RPAM-Lösung selbst protokolliert dabei die sensibelsten Vorgänge Ihrer Organisation. Wie sich PAM von PIM und IAM abgrenzt, erklärt unser Grundlagen-Artikel im Detail.
Wer dieses System betreibt und welchem Recht der Anbieter unterliegt, ist deshalb keine rein technische Entscheidung. Die folgenden sieben Kriterien helfen Ihnen, diese Frage in einer Ausschreibung oder einem Auswahlprozess sauber zu prüfen, statt sie dem Zufall zu überlassen. Tiefer einsteigen können Sie mit unserem PAM-Einsteiger-Guide.
Die erste Frage ist die wichtigste: Welchem Recht unterliegt das Unternehmen? Ein Anbieter, der US-Recht unterliegt, fällt unter den US CLOUD Act von 2018. Dieser verpflichtet US-Unternehmen, Daten auf Anordnung von US-Behörden herauszugeben, unabhängig davon, wo auf der Welt diese Daten liegen. Ein Rechenzentrum in Frankfurt schützt also nicht, wenn der Anbieter selbst dem Zugriff einer fremden Jurisdiktion ausgesetzt ist.
Prüfen Sie deshalb zuerst, ob der Anbieter ausschließlich europäischem Recht unterliegt. Alles Weitere baut darauf auf.
Der Rechtsraum hängt nicht nur am Firmensitz, sondern auch an den Eigentümern. Ein europäisches Unternehmen, das mehrheitlich einem US-Konzern oder einer US-Beteiligungsgesellschaft gehört, kann mittelbar wieder unter US-Recht fallen. Fragen Sie konkret nach der Muttergesellschaft und der Eigentümerstruktur, nicht nur nach der Adresse auf dem Briefkopf.
Viele moderne RPAM-Produkte setzen eine Anbindung an die Hersteller-Cloud voraus. Das bündelt Kontrolle und Risiko an einer Stelle außerhalb Ihrer Reichweite. Eine souveräne Lösung lässt sich vollständig On-Premise und unter eigener Kontrolle betreiben, ohne dass Sitzungsdaten zwingend beim Hersteller landen. Prüfen Sie, ob ein reiner On-Premise-Betrieb möglich ist oder ob die Cloud-Anbindung Pflicht bleibt.
Eine RPAM-Lösung verarbeitet Zugangsschlüssel und Sitzungsaufzeichnungen Ihrer kritischsten Systeme. Diese Daten sollten Ihren Rechtsraum nie verlassen. Klären Sie, wo Protokolle, Aufzeichnungen und Anmeldedaten gespeichert werden und wer technisch darauf zugreifen kann. Der Konflikt zwischen US-Zugriffsrechten und der DSGVO ist seit dem Schrems-II-Urteil des EuGH (C-311/18) von 2020 ungelöst, und der seit September 2025 anwendbare EU Data Act (Verordnung 2023/2854) verpflichtet Cloud-Anbieter inzwischen ausdrücklich, unrechtmäßige Zugriffe durch Drittstaaten zu verhindern.
NIS-2 (§ 30 BSIG), ISO 27001 und Art. 32 DSGVO verlangen eine nachweisbare Kontrolle privilegierter Zugriffe. Eine gute Lösung liefert dafür eine revisionssichere Session-Aufzeichnung und lückenlose Protokolle, die im eigenen Haus prüfungssicher bleiben. Fragen Sie, ob sich jeder privilegierte Zugriff bis auf die einzelne Sitzung zurückverfolgen lässt und ob die Nachweise auch für externe Audits taugen. Das DSGVO-Whitepaper, das NIS-2-Whitepaper und unsere NIS-2-Checkliste für den Mittelstand gehen auf die einzelnen Anforderungen ein.
Wie kommt die Lösung ins Netz, und wer muss dafür Zugriff bekommen? Agentenlose Verfahren reduzieren die Angriffsfläche, weil keine zusätzliche Software auf den Zielsystemen läuft. Achten Sie außerdem darauf, wie lange die Einführung dauert und ob sie ohne dauerhaften Fernzugriff des Herstellers auskommt. Gerade bei der sicheren Fernwartung von OT-Systemen entscheidet dieser Punkt darüber, ob externe Dienstleister kontrolliert oder unkontrolliert auf Ihre Anlagen zugreifen.
Souveränität endet nicht beim Kauf. Auch Wartung, Support und Weiterentwicklung sollten in Europa stattfinden, damit Sie nicht über Umwege wieder in eine Abhängigkeit geraten. Prüfen Sie, wo das Entwicklungsteam sitzt und wer im Supportfall tatsächlich auf Ihre Systeme schaut.
VISULOX von amitego wird seit über 20 Jahren in Deutschland entwickelt, betrieben und gehostet und unterliegt ausschließlich deutschem Datenschutzrecht. Es gibt keinen US-Mutterkonzern und keinen CLOUD-Act-Hebel. Die Lösung läuft On-Premise und wird agentenlos implementiert, häufig in unter zwei Tagen. Privilegierte interne und externe Zugriffe laufen über einen zentralen Zugangspunkt mit Multi-Faktor-Authentifizierung, Just-in-Time-Freigaben und revisionssicherer Aufzeichnung. Damit deckt VISULOX alle sieben Kriterien ab, ohne dass Zugriffsdaten den deutschen Rechtsraum verlassen.
Wer den Vergleich mit einem konkreten Marktführer sucht, findet ihn im Artikel VISULOX als deutsche Alternative zu BeyondTrust.
Privilegierte Zugriffe zu kontrollieren ist keine Frage der Branche oder der Größe. Wer aus der Ferne auf Ihre kritischsten Systeme zugreifen kann, hält faktisch den Generalschlüssel zu Ihren Kronjuwelen, ob im Mittelstand, im Familienunternehmen oder im Konzern. Die sieben Punkte oben lassen sich direkt in Ihren Auswahl- oder Beschaffungsprozess übernehmen. Die erste Frage gehört an den Anfang, nicht ans Ende: Welchem Recht unterliegt der Anbieter unserer RPAM-Lösung, inklusive Mutterkonzern und Eigentümern? Wie sich ein Umstieg rechnet, können Sie mit unserem Preis- und Lizenzkalkulator in wenigen Minuten durchspielen.
Was ist eine souveräne PAM-Lösung?
Eine souveräne PAM-Lösung ist ein Privileged-Access-Management-System, dessen Anbieter ausschließlich europäischem Recht unterliegt und das sich ohne Zugriff durch Drittstaaten betreiben lässt. Entscheidend sind Rechtsraum, Eigentümerstruktur und ein On-Premise-Betriebsmodell, bei dem Zugriffsdaten im eigenen Haus bleiben.
Schützt ein Serverstandort in Deutschland vor dem CLOUD Act?
Nein. Der US CLOUD Act greift auf US-Anbieter und deren Tochtergesellschaften zu, unabhängig vom Speicherort der Daten. Ein Rechenzentrum in Deutschland schützt nicht, wenn der Anbieter oder sein Mutterkonzern US-Recht unterliegt.
Welche Vorgaben verlangen die Kontrolle privilegierter Zugriffe?
NIS-2 (§ 30 BSIG), ISO 27001 und Art. 32 DSGVO verlangen, privilegierte Zugriffe nachweisbar zu kontrollieren und lückenlos zu protokollieren. Die Nachweise müssen prüfungssicher und für Audits verfügbar bleiben.
Kontakt
Sprechen Sie direkt mit einem Cybersecurity Experten.
Bei Remote Privileged Access Management kaufen Sie nicht nur Software, sondern entscheiden, wer Kontrolle über die sensibelste Schicht Ihrer IT hat. Die sieben Kriterien, Rechtsraum, Eigentümer, Betriebsmodell, Datenhaltung, Nachweisbarkeit, Implementierung und Weiterentwicklung, machen aus einem Bauchgefühl eine prüfbare Entscheidung. VISULOX ist auf alle sieben ausgelegt: in Deutschland entwickelt, On-Premise betrieben und ausschließlich deutschem Recht unterworfen. Sprechen Sie mit uns über eine souveräne Migration oder laden Sie den PAM-Einsteiger-Guide herunter. (Dieser Beitrag ersetzt keine Rechtsberatung.)
Table Of Content:
Sprechen Sie mit unseren Experten
Wir freuen uns Ihre individuellen Anforderungen unverbindlich zu besprechen.
Share:
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Expertenwissen, Praxistipps und aktuelle Trends rund um PAM, Compliance und sichere Remote-Arbeit – direkt vom amitego-Team.