Datenhoheit beginnt nicht beim Speicherort, sondern beim privilegierten Zugriff. Privileged Access Management (PAM) ist die Software, die entscheidet, wer als Administrator oder externer Dienstleister auf Ihre kritischsten Systeme darf – und was dabei aufgezeichnet wird. Diese Schlüsselrolle einem Anbieter zu überlassen, der dem US-Recht unterliegt, ist für die öffentliche Hand eine strategische Abhängigkeit, kein bloßes Beschaffungsdetail.

Dieser Artikel ordnet ein, warum der Marktführer BeyondTrust als US-Unternehmen dem CLOUD Act unterliegt, was das für Behörden und KRITIS-Betreiber konkret bedeutet – und wie VISULOX als deutsche, On-Premise-Alternative die Kontrolle über privilegierte Zugriffe in Europa hält.

Warum PAM die sensibelste Schicht Ihrer IT ist

Privileged Access Management verwaltet die mächtigsten Konten im Netzwerk: Administrator-Zugänge, Service-Accounts, Fernwartung durch externe Dienstleister. Über diese Konten lässt sich praktisch alles tun – Konfigurationen ändern, Daten exfiltrieren, Spuren verwischen. Genau deshalb verlangen NIS-2 (§ 30 BSIG), ISO 27001 und die BSI-Mindeststandards eine strenge Kontrolle privilegierter Zugriffe.

Die unbequeme Konsequenz: Die PAM-Lösung selbst sieht und protokolliert die sensibelsten Vorgänge Ihrer Organisation. Wer dieses System betreibt und welchem Recht der Anbieter unterliegt, ist damit keine technische, sondern eine Souveränitätsfrage.

BeyondTrust: Marktführer mit US-Rechtsrahmen

BeyondTrust ist einer der etablierten globalen PAM-Anbieter mit ausgereiftem Produktportfolio – das steht außer Frage. Entscheidend für die Beschaffung in Europa ist aber der Rechtsrahmen: BeyondTrust hat seinen Hauptsitz in Johns Creek, Georgia, und gehört mehrheitlich der US-Private-Equity-Firma Francisco Partners, mit einer Minderheitsbeteiligung von Clearlake Capital. Es handelt sich also um ein US-Unternehmen unter US-Eigentümerschaft.

Damit unterliegt der Anbieter dem US-Recht – und das schließt den CLOUD Act ein. Diese Feststellung ist keine Wertung der Produktqualität, sondern eine Tatsache des Standorts und der Eigentümerstruktur.

Der CLOUD Act: Warum „Server in Europa“ nicht genügt

Der US CLOUD Act von 2018 verpflichtet US-Anbieter, Daten auf Anordnung von US-Behörden herauszugeben – unabhängig davon, wo auf der Welt diese Daten liegen. Ein Rechenzentrum in Frankfurt schützt also nicht, wenn der Anbieter oder sein Mutterkonzern US-Recht unterliegt.

Dass dies kein theoretisches Risiko ist, hat Microsoft im Juni 2025 vor der Untersuchungskommission des französischen Senats eingeräumt: Das Unternehmen könne nicht garantieren, dass in französischen Regionen gespeicherte Daten niemals ohne Zustimmung der französischen Regierung an US-Behörden übermittelt würden. Hinzu kommt der seit der Schrems-II-Entscheidung (2020) ungelöste Grundkonflikt zwischen US-Zugriffsrechten und der DSGVO. Der seit September 2025 anwendbare EU Data Act verpflichtet Cloud-Anbieter inzwischen ausdrücklich, unrechtmäßige Zugriffe durch Drittstaaten zu verhindern – ein Eingeständnis, wie real die Sorge ist.

Für eine PAM-Lösung wiegt das doppelt schwer: Hier geht es nicht um beliebige Dokumente, sondern um die Zugangsschlüssel und Sitzungsaufzeichnungen Ihrer kritischsten Systeme.

Wenn die Schutzschicht zum Einfallstor wird

Die Abhängigkeit ist nicht nur rechtlicher Natur. Ende 2024 wurde das US-Finanzministerium kompromittiert – über die cloudbasierte Remote-Support-Lösung von BeyondTrust. Angreifer erbeuteten einen API-Schlüssel des Dienstes und nutzten zwei Zero-Day-Schwachstellen (CVE-2024-12356 und CVE-2024-12686), um auf Arbeitsplätze und Dokumente der Behörde zuzugreifen. Zugeschrieben wurde der Angriff einer staatlich gesteuerten Gruppe.

Die Lehre daraus ist nicht „BeyondTrust ist unsicher“ – jede Software hat Schwachstellen. Die Lehre ist: Eine zentrale, cloudbasierte PAM-Schicht eines Drittstaaten-Anbieters bündelt Risiko und Kontrolle an einer Stelle, die außerhalb Ihrer Reichweite liegt. Eine On-Premise-Architektur unter eigener Kontrolle verkleinert diese Angriffsfläche und hält die Schlüssel im Haus.

VISULOX: die deutsche, souveräne Alternative

Hier setzt VISULOX von amitego an. Die Remote-Privileged-Access-Management-Lösung wird seit über 20 Jahren in Deutschland entwickelt, betrieben und gehostet und unterliegt ausschließlich deutschem Datenschutzrecht. Es gibt keinen US-Mutterkonzern, keinen CLOUD-Act-Hebel, keine außereuropäische Eigentümerstruktur.

Technisch bündelt VISULOX privilegierte interne und externe Zugriffe über einen zentralen Zugangspunkt – mit Multi-Faktor-Authentifizierung, Just-in-Time-Freigaben und revisionssicherer Session-Aufzeichnung. Die Lösung läuft On-Premise und wird agentenlos implementiert, häufig in unter zwei Tagen. Damit erfüllt sie zentrale Anforderungen aus NIS-2 (§ 30 BSIG), ISO 27001, Art. 32 DSGVO und den BSI-Vorgaben – ohne dass Zugriffsdaten je den deutschen Rechtsraum verlassen.

Was das für die öffentliche Hand bedeutet

Für Behörden, KRITIS-Betreiber und die öffentliche Beschaffung ist digitale Souveränität ein erklärtes Ziel – und zunehmend ein Vergabekriterium. Die Frage „Welchem Recht unterliegt der Anbieter unserer PAM-Lösung?“ gehört damit an den Anfang jeder Ausschreibung, nicht ans Ende.

Drei Prüfpunkte für die Beschaffung:

1. Rechtsraum des Anbieters: Unterliegt das Unternehmen – inklusive Mutterkonzern und Eigentümern – ausschließlich europäischem Recht? Server-Standort allein genügt nicht.
2. Betriebsmodell: Lässt sich die Lösung vollständig On-Premise und unter eigener Kontrolle betreiben, ohne zwingende Cloud-Anbindung beim Hersteller?
3. Nachweisfähigkeit: Bleiben Zugriffsprotokolle und Session-Aufzeichnungen lückenlos im eigenen Haus und damit prüfungs- und revisionssicher unter eigener Hoheit?

VISULOX ist auf alle drei Punkte ausgelegt. Der Wechsel zu einer deutschen Lösung ist dabei kein Verzicht auf Funktionalität, sondern die Rückgewinnung der Kontrolle über die sensibelste Schicht Ihrer IT. Wie sich der Umstieg konkret rechnet, können Sie mit unserem Preis- und Lizenzkalkulator auf der Preisseite in wenigen Minuten durchspielen – wahlweise als Perpetual-Lizenz oder On-Prem-Subscription.

Privileged Access Management ist der Generalschlüssel zu Ihren kritischsten Systemen - und damit zu sensibel, um ihn an einen Rechtsrahmen außerhalb Europas zu binden. BeyondTrust ist ein starker Marktführer, unterliegt als US-Unternehmen aber dem CLOUD Act, und der Treasury-Vorfall 2024 zeigt, wie real das gebündelte Risiko ist. VISULOX bietet die souveräne Gegenposition: in Deutschland entwickelt, On-Premise betrieben, ausschließlich deutschem Recht unterworfen. Wer Datenhoheit in Europa ernst meint, beginnt beim privilegierten Zugriff. (Dieser Beitrag ersetzt keine Rechtsberatung.)