Effektives Privileged Identity Management (PIM) für moderne IT-Sicherheitsstrategien

Derzeit werden wir von unseren Kund:innen häufig gefragt, worin sich Privileged Identity Management (PIM), Privileged Access Management (PAM) und Privileged User Management (PUM) unterscheiden und wie sie zusammenhängen. In dieser strukturierten Darstellung möchten wir ein gemeinsames Verständnis über die jeweiligen Funktionen, Einsatzbereiche und strategischen Unterschiede der drei Systeme schaffen.

Was ist Privileged Identity Management (PIM)?

Privileged Identity Management (PIM) ist ein sicherheitsorientiertes Verfahren zur kontrollierten Verwaltung privilegierter Benutzeridentitäten. Diese Identitäten haben besondere Berechtigungen, um kritische Systeme, Daten und Infrastrukturkomponenten zu konfigurieren oder zu verwalten. In der Regel handelt es sich dabei um Administratoren, DevOps, Security Engineers oder Drittanbieter mit erhöhtem Zugriff. Die Definition dessen, was erhöht bzw. privilegiert ist, ist nicht festgelegt und muss in einer Policy pro Unternehmen geschärft werden.

PIM ermöglicht eine zeitlich begrenzte Zuweisung von Rollen und Rechten, häufig in Kombination mit mehrstufigen Genehmigungsprozessen sowie Multifaktor-Authentifizierung und damit verbunden Single Sign-On. Der Begriff wurde durch Microsoft geprägt: PIM ist auch in der Cloud wie bei Microsoft Entra ID im Einsatz, um den Grundsatz „least privilege“ (so wenig Rechte wie nötig) dynamisch umzusetzen.

Ziel ist es, dauerhafte Superuser-Rechte zu vermeiden und stattdessen den Zugriff bei Bedarf temporär, nachvollziehbar und sicher zu gewähren.

PIM vs. PAM: Unterschiede und Gemeinsamkeiten

Privileged Access Management (PAM) verfolgt ein ähnliches Ziel wie PIM - den Schutz privilegierter Zugänge. Die Verwendung des Begriffs „Identity“ bei PIM ist etwas verwirrend: PIM geht davon aus, dass bestehende Benutzer für eine gewisse Zeit Berechtigungen erhalten, die sie temporär zu privilegierten Benutzern machen. So werden sie z.B. mit der administrativen Entra-Rolle „Security Administrator“ ausgestattet, die es erlaubt, Sicherheitsrichtlinien zu verwalten, Alerts zu konfigurieren oder Sicherheitsberichte einzusehen. Somit wird in dem Sinne nicht die Identität gemanaged, sondern nur deren zugewiesenen Berechtigungen.

Bei PAM werden üblicherweise bestehende privilegierte und unpersönliche Benutzer für eine gewisse Zeit einer Person übergeben, damit diese sich damit einloggen und administrieren kann. Dies können auch hochprivilegierte Benutzer wie der SYS auf einer Oracle-Datenbank sein. Das „Access“ steht bei PAM stellvertretend für den Zugriff auf Credentials oder eine Session, die teilweise auch aufgezeichnet wird (je nach Lösung und nach Konfiguration). Bekannte Vertreter solcher Lösungen sind die Hersteller Arcon, Beyondtrust, One Identity oder Wallix.

Während PIM also auf die temporäre Rechtevergabe an reale Benutzer abzielt, stellt PAM den Zugang selbst in den Mittelpunkt. Es gibt jedoch noch eine dritte Variante, bei der Benutzer nur bei Bedarf angelegt und mit hohen Berechtigungen ausgestattet werden. Dies hat insbesondere den Vorteil, dass man nicht ständig eine Anzahl hochprivilegierter Benutzer vorhalten muss. Daher werden diese auch „Ephemeral Accounts“ genannt. Die Tatsache, dass weniger Lizenzen notwendig sind, kann auch als Vorteil gewertet werden. Ein Nachteil ist sicherlich, dass bei Störungen o.ä. nicht auf bestehende Accounts zurückgegriffen werden kann. Die Produkte von Saviynt oder Imprivata bieten Lösungen für Ephemeral Accounts an.

Was ist Privileged User Management (PUM)?

Privileged User Management (PUM) ist ein älterer Begriff, der sich auf die Verwaltung und Kontrolle von privilegierten Benutzern als Ganzes bezieht – unabhängig von der zeitlichen Beschränkung oder der Art des Zugriffs. 

Typische PUM-Funktionen waren: 

  • Verwaltung von Administrator-Konten
  • Monitoring privilegierter Aktivitäten
  • Compliance-Reporting 

Moderne Architekturen ersetzen PUM häufig durch integrierte Lösungen aus PIM und PAM. Dennoch taucht der Begriff vereinzelt noch auf, vor allem in Legacy-Umgebungen oder bei Compliance-Audits.

Fazit: PIM als Schlüsselelement moderner Zugriffskontrolle

In einer hybriden IT-Welt mit Cloud-, SaaS- und On-Prem-Komponenten ist eine feingranulare Steuerung privilegierter Zugriffe unerlässlich. Während PAM eher klassische Systeme absichert, bietet PIM die nötige Agilität für dynamische Cloud-Umgebungen.

Unternehmen, die auf Zero Trust und Identity-First Security setzen, kommen an PIM nicht vorbei. Wer PIM und PAM sinnvoll kombiniert, stellt sicher, dass privilegierte Zugriffe nicht nur sicher, sondern auch nachvollziehbar und effizient gemanagt werden.

IPG hilft konkret bei Herausforderungen im Bereich PIM, PAM und temporäre Zugriffskontrolle. Der Fokus liegt dabei auf praxisorientierter Unterstützung, die sich gut in Beratung, Projektumsetzung und Betrieb einfügt. IPG bringt als Multi-Vendor zudem Produktexpertise für jede der obengenannten Variante ein.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.
 

Sven Spiess
Senior IAM Cloud Engineer / Architect IPG Information Process Group AG
Kontakt
Foto von Claudio Fuchs - IPG - Experts in IAM
Claudio Fuchs
CEO IPG Information Process Group AG
Kontakt

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!