Privileged Access Management (PAM) ist die Software, die entscheidet, wer mit erhöhten Rechten auf Ihre kritischsten Systeme zugreift und was dabei aufgezeichnet wird. Rund um diesen Begriff tauchen zwei weitere auf, die oft verwechselt werden: PIM (Privileged Identity Management) und IAM (Identity and Access Management). Die drei lösen verschiedene Probleme, gehören aber zusammen.

Dieser Artikel beantwortet die drei häufigsten Fragen dazu: Was bedeutet Privileged Access Management, was ist der Unterschied zwischen PIM und PAM, und worin unterscheidet sich IAM von PAM. Jede Antwort steht für sich, eine Vergleichstabelle ordnet die Begriffe ein.

Was bedeutet Privileged Access Management (PAM)?

Privileged Access Management (PAM) ist eine Disziplin der Identitätssicherheit, die den Zugriff privilegierter Konten auf kritische Systeme kontrolliert, überwacht und absichert. Privilegierte Konten sind Zugänge mit erhöhten Rechten: Administrator-Accounts, Service-Konten und der Fernzugriff externer Dienstleister.

Solche Konten können fast alles: Konfigurationen ändern, auf sensible Daten zugreifen, Protokolle löschen. Genau das macht sie für Angreifer wertvoll. PAM begrenzt dieses Risiko über drei Mechanismen: Es vergibt privilegierte Rechte nur bei Bedarf und zeitlich befristet (Just-in-Time), es erzwingt eine starke Authentifizierung, und es zeichnet jede privilegierte Sitzung nachvollziehbar auf.

Warum das zählt, zeigen die Zahlen: Laut dem Verizon Data Breach Investigations Report 2025 dienten gestohlene Zugangsdaten in 22 Prozent der Vorfälle als Einstiegspunkt und waren an 32 Prozent aller Vorfälle beteiligt. Wer ein privilegiertes Konto übernimmt, übernimmt die Kontrolle. PAM ist die Schicht, die das verhindern soll.

Was ist PIM und PAM? Der Unterschied

PIM (Privileged Identity Management) verwaltet, welche Identitäten privilegierte Rechte besitzen. PAM (Privileged Access Management) kontrolliert und überwacht, was diese Identitäten mit ihren Rechten tatsächlich tun. PIM beantwortet die Frage „Wer darf erhöhte Rechte haben?", PAM die Frage „Wie wird der Zugriff mit diesen Rechten kontrolliert und protokolliert?".

In der Praxis arbeiten beide zusammen. PIM legt fest, dass eine bestimmte Person die Rolle „Datenbank-Administrator" übernehmen darf, und entzieht diese Rolle wieder, wenn sie nicht mehr gebraucht wird. PAM sorgt dafür, dass die Person sich bei der Nutzung stark authentifiziert, nur auf die freigegebenen Systeme zugreift und dass jede Sitzung aufgezeichnet wird.

Hinweis zur Begriffsverwirrung: Microsoft verwendet „PIM" in Entra ID für eine Funktion, die zeitlich begrenzte Rollenaktivierung steuert. In der breiteren Branche steht PIM für die Verwaltung privilegierter Identitäten. Beide Lesarten meinen dasselbe Grundprinzip: die Identität und Berechtigung verwalten, bevor der Zugriff stattfindet.

Was ist der Unterschied zwischen IAM und PAM?

IAM (Identity and Access Management) steuert den Zugriff aller Nutzer einer Organisation. PAM (Privileged Access Management) ist die spezialisierte Teildisziplin, die sich auf privilegierte Konten mit erhöhten Rechten konzentriert. IAM ist die Grundlage für jeden Mitarbeitenden, PAM die zusätzliche Schutzebene für die wenigen besonders mächtigen Zugänge.

Ein Bild dazu: IAM ist das Schließsystem für das gesamte Gebäude und gibt jedem Mitarbeitenden Zugang zu den richtigen Räumen. PAM ist der gesicherte Tresorraum mit Vier-Augen-Prinzip, Protokoll und Kamera, in dem die Generalschlüssel liegen. Beide gehören zusammen, beide haben eine andere Aufgabe.

Konkret bedeutet das: IAM verwaltet Anmeldung, Single Sign-on und Berechtigungen für alle. PAM kommt dort dazu, wo Konten weitreichende Rechte haben, und ergänzt strengere Kontrollen wie befristete Freigaben, einen Passwort-Tresor für geteilte Konten und die lückenlose Aufzeichnung privilegierter Sitzungen.

IAM, PIM und PAM im Überblick

KriteriumIAMPIMPAMSteht fürIdentity and Access ManagementPrivileged Identity ManagementPrivileged Access ManagementBetrifftalle Nutzer einer Organisationnur privilegierte Identitätennur privilegierte ZugriffeKernfrageWer darf sich anmelden und worauf zugreifen?Wer darf erhöhte Rechte besitzen?Wie wird der privilegierte Zugriff kontrolliert und protokolliert?Typische FunktionenSingle Sign-on, Benutzerverwaltung, BerechtigungenRollenvergabe, befristete Rechte, ZugriffsanträgeJust-in-Time-Freigabe, Passwort-Tresor, Session-AufzeichnungRolle im SicherheitsmodellGrundlageVerwaltungsebene darüberKontroll- und Schutzebene

Die Begriffe überschneiden sich, weil sie aufeinander aufbauen. IAM ist die Basis. PIM und PAM setzen darauf auf und sichern den Teil ab, der am meisten Schaden anrichten kann: die privilegierten Konten.

Wer PAM braucht und warum

Jede Organisation mit Administrator-Konten, Service-Accounts oder externem Dienstleisterzugriff hat privilegierte Zugänge, die abgesichert werden müssen. Für Betreiber kritischer Infrastruktur und Unternehmen im Anwendungsbereich von NIS-2 ist die Kontrolle privilegierter Zugriffe zudem eine regulatorische Pflicht. NIS-2 (umgesetzt über das BSIG), ISO 27001 und die BSI-Mindeststandards verlangen, dass privilegierte Zugriffe beschränkt, überwacht und nachweisbar protokolliert werden.

PAM liefert genau diese Nachweise: wer wann mit welchen Rechten auf welches System zugegriffen hat, belegbar bis auf die einzelne Sitzung. Damit wird aus einer Compliance-Anforderung ein prüfbarer Zustand. Tieferen Einstieg bietet unser PAM-Einsteiger-Guide.

Häufige Fragen

Was bedeutet Privileged Access Management?

Privileged Access Management (PAM) ist eine Lösung der Identitätssicherheit, die den Zugriff privilegierter Konten auf kritische Systeme kontrolliert, überwacht und absichert. Sie erkennt und verhindert unbefugte Zugriffe über Konten mit erhöhten Rechten.

Was ist PIM und PAM?

PIM (Privileged Identity Management) verwaltet und sichert die Identitäten privilegierter Konten. PAM (Privileged Access Management) verwaltet und sichert deren Zugriff auf sensible Ressourcen. Beide arbeiten zusammen, wobei IAM die Grundlage bildet und PIM und PAM zusätzliche Sicherheitsebenen ergänzen.

Was ist der Unterschied zwischen IAM und PAM?

IAM sorgt für eine umfassende Zugriffskontrolle für alle Nutzer einer Organisation. PAM konzentriert sich auf privilegierte Konten mit erhöhten Rechten. IAM ist die Basis, PAM die spezialisierte Schutzebene darüber.

Ist PAM Teil von IAM?

Ja. PAM ist eine spezialisierte Teildisziplin von IAM. Während IAM den Zugriff aller Nutzer verwaltet, sichert PAM gezielt die privilegierten Konten ab.

Wer braucht eine PAM-Lösung?

Jede Organisation mit Administrator-Konten, Service-Accounts oder externem Dienstleisterzugriff. Für KRITIS-Betreiber und Unternehmen im Geltungsbereich von NIS-2 ist die Kontrolle privilegierter Zugriffe verpflichtend.

PAM, PIM und IAM gehören zusammen, lösen aber verschiedene Probleme. IAM regelt den Zugriff aller Nutzer, PIM verwaltet die privilegierten Identitäten, und PAM kontrolliert und protokolliert, was mit privilegierten Rechten tatsächlich passiert. Wer seine kritischsten Systeme schützen will, braucht alle drei Ebenen, mit besonderem Augenmerk auf die privilegierten Zugänge. Sie sind das Ziel der meisten erfolgreichen Angriffe. Wie eine PAM-Lösung in der Praxis aussieht, zeigt VISULOX: in Deutschland entwickelt, On-Premise betrieben, mit revisionssicherer Aufzeichnung jeder privilegierten Sitzung.