Eine PAM-Lösung mit 2FA schützt den Zugriff auf zentrale Systeme – doch wie authentisiert sich die PAM selbst an den Zielsystemen? Reicht eine symmetrische Anmeldung mit Passwortrotation oder ist asymmetrische Authentisierung die bessere Wahl? In diesem Beitrag zeigen wir, welche Methode mehr Sicherheit, Nachvollziehbarkeit und Skalierbarkeit bietet – besonders im Hinblick auf moderne Bedrohungen und wachsende IT-Landschaften.
Disclaimer
Nicht alle Zielsysteme oder Webdienste unterstützen die gleichen Authentisierungsmethoden – das ist mir bewusst. Daher betrachten wir das Thema zunächst allgemein und gehen später gezielt auf die Besonderheiten einzelner Systeme ein.
Die Basis: Symmetrisch vs. Asymmetrisch
Symmetrische Authentisierung basiert auf einem gemeinsamen geheimen Passwort, das sowohl der Client als auch das Zielsystem kennen und zur gegenseitigen Identitätsprüfung verwenden.
Bei der asymmetrischen Authentisierung hat eine Partei den privaten und die andere den öffentlichen Schlüssel. Die Authentisierung funktioniert dann, indem man z. B. mit dem privaten Schlüssel etwas unterschreibt und der andere es mit dem öffentlichen prüft – ohne dass der geheime Schlüssel geteilt werden muss.
Wieso asymmetrisch
Wieso soll sich die PAM-Lösung am Zielsystem asymmetrisch anmelden, wenn sowieso nach jeder Remotesession das Passwort rotiert wird?
Darum
Die Rotation des Passworts nach jeder Session erhöht zweifellos die Sicherheit, da ein kompromittiertes Passwort nur sehr kurz gültig wäre. Doch asymmetrische Authentisierung bringt zusätzliche Vorteile, die über die reine Passwortverwaltung hinausgehen:
-
Kein Geheimnisteilen nötig
Bei asymmetrischer Authentisierung bleibt der private Schlüssel immer auf der PAM-Lösung – er muss nicht dem Zielsystem zur Verfügung gestellt werden. Dadurch kann das eigentliche Geheimnis – der Private Key – am Zielsystem weder eingesehen noch kompromittiert werden.
-
Schutz gegen MitM und Replay
Asymmetrische Authentisierung schützt vor Man-in-the-Middle-Angriffen, da nur der Besitzer des privaten Schlüssels gültige Signaturen erzeugen kann, die mit dem öffentlichen Schlüssel überprüfbar sind. Gegen Replay-Attacken hilft sie, weil der Nonce bei jeder Authentisierung neu gewürfelt wird und somit nicht wiederverwendet werden kann.
-
Verbindliche Identität (Nichtabstreitbarkeit)
Bei asymmetrischer Authentisierung ist eindeutig nachweisbar, welche Instanz sich angemeldet hat, da nur der Besitzer des privaten Schlüssels eine gültige Signatur erzeugen kann. Das ermöglicht eine klare Zuordnung und verhindert, dass eine Aktion im Nachhinein abgestritten werden kann. Die PAM-Lösung zeichnet zudem alle Remotesessions auf – was ein wichtiger Aspekt für Audit- und Compliance-Anforderungen ist.
Es geht noch weiter
Aber hier ist nicht das Ende der Fahnenstange. ⛳
Die PAM-Lösung kann nicht nur asymmetrisches Keymaterial besitzen, die PAM Lösung kann auch im Besitz eines CA-Zertifikates sein. In diesem Falle erstellt die PAM-Lösung für jede neue Authentisierung ein neues Zertifikat mit dazugehörigem Private- und Publickey. So haben wir nicht nur Asymmetrie, sondern es wird bei jeder Anmeldung das komplette Keymaterial mit Zertifikat neu erzeugt. 😉 Clever oder?
Die Tabelle zeigt Ihnen sehr einfach die Vor- und Nachteile der drei Methoden.
| Aspekt / Szenario | Symmetrisches Passwort + Rotation | Asymmetrische Authentisierung (konst. Keypair) | PAM mit CA-Zertifikat + pro Session neues Keypair & Zertifikat | ||||
| Passwort / Private Key nur in der PAM Lösung gespeichert? | Nein, Passwort muss auch auf dem Zielsystem vorhanden sein | Ja, privater Schlüssel ist nur bei der PAM Lösung vorhanden | Ja, privater Schlüssel wird nur temporär für die Session erzeugt und bleibt lokal | ||||
| Geheimer Schlüssel wird übertragen? | Ja – Das Passwort muss übertragen werden | Nein. Der Private Key wird NICHT übertragen | Nein. Der Private Key wird NICHT übertragen | ||||
| MitM-Angriffe möglich | Möglich | Stark reduziert – Schlüsselbasierte Authentisierung | Stark reduziert – Schlüsselbasierte Authentisierung + zeitlich begrenztes Keymaterial | ||||
| Risiko bei Schlüsselkompromittierung | Mittel – Angreifer kann sich bis zur nächsten Rotation anmelden | Hoch – Angreifer kann sich dauerhaft mit dem Key anmelden (bis Widerruf)* | Gering – Schlüssel gilt nur für kurze Zeit | ||||
| Forward Secrecy (Session-spezifische Trennung) | Ja, durch Rotation – aber mit Overhead | Nein – gleiches Schlüsselpaar wird wiederverwendet | Ja – jedes Session-Zertifikat hat ein eigenes Keypair | ||||
| Verbindliche Identität (Nichtabstreitbarkeit) | Eingeschränkt | Gut – jede Verbindung kann dem Key-Inhaber zugeordnet werden | Sehr gut – jede Session eindeutig identifizierbar durch einmaliges Zertifikat | ||||
| Auditierbarkeit / Session-Tracking | Eingeschränkt – oft nur über IP + Zeit | Gut – über den öffentlichen Schlüssel | Exzellent – jede Session bekommt ein eindeutiges Zertifikat | ||||
| Komplexität in der Umsetzung (KMU) | Niedrig – Rotation ist Standardfunktion | Mittel – Keyverteilung & Keymanagement nötig | Mittel – Keyverteilung & Keymanagement nötig | ||||
| Skalierbarkeit in großen Umgebungen | Eingeschränkt – viele Passwörter zu verwalten | Eingeschränkt bis Gut (je nach Umgebung) | Gut – PAM Lösung besitzt CA Zertifikat | ||||
| Unterstützung durch Zielsysteme (Realität) | Hoch – Passwort wird fast überall unterstützt | Mittel – erfordert Asymetrische Authentisierung | Mittel – erfordert Asymetrische Authentisierung |
* Der Private Key wird sicher auf der PAM-Lösung gespeichert. Bei einer Authentisierung wird der Private Key NIE übertragen. Daher ist eine Kompromittierung des Keymaterial viel schwieriger als die eines Passwortes.
Theorie
Von allen führenden PAM-Lösungen bietet BeyondTrust Privileged Remote Access (PRA) die grösste Vielfalt an Authentifizierungsmethoden in Kombination mit den meistunterstützten System Arten. Daher zeigt diese Übersicht, was mit der PRA-Lösung von BeyondTrust möglich ist. (Stand August 2025)
| Systemart / Protokoll | Symmetrisch + Rotation | Aufwand | Asymmetrisch (statisches Keypair) | Aufwand |
| Linux (SSH) | ✅ Möglich mittels AD Integration | Gering | ✅ Gut Möglich (per SSH-Key) | Mittel |
| Windows (RDP) | ✅ Möglich | Gering | ❌ Nicht möglich | - |
| Windows (Jump Client) | ✅ Möglich | Gering | ✅ Möglich via Smartcard | Gering |
| Webseiten(HTTPS) | ✅ Möglich (via Basic/Auth) | Gering | ❌ Nicht möglich | - |
Praxis
Nun zur Praxis:
-
-
Webseiten
PAM-Lösungen unterstützen meist nur Basic Authentication (mittels Benutzername & Passwort). Daher ist die Diskussion über die Art der Authentisierung meist sehr kurz.
Tipp: Beim Azure-Portal lohnt es sich hingegen, über eine zusätzliche Absicherung per Microsoft Authenticator nachzudenken. 😉
-
-
-
Windows
Wenn keine Certificate Based Authentication per Smart Card schon vorgängig implementiert wurde, wird oft auf symmetrische Authentication mit anschliessender Credential Rotation gesetzt.
-
-
-
Linux
Wie in der Tabelle herauszulesen ist, sollte die symmetrische Authentisierung bevorzugt werden. In der Praxis erlebe ich oft folgende Szenarien:
- Nicht immer werden Linux-Spezialisten für die Verwaltung von Linux-Systemen eingesetzt. Diese Administratoren sind dann mit der asymmetrischen Authentisierung ohne Passwörter oft herausgefordert.
All denen möchte ich sagen, dass wir unsere Kunden auch in diesem Bereich sehr gerne begleiten. Ziel soll es sein, dass alle Kunden ihre eigene optimale PAM-Konfiguration besitzen und den vollen Komfort erleben dürfen. - Linux-Systeme werden vernachlässigt
Da keine Linux-Spezialisten (mehr) im Unternehmen vorhanden sind, werden diese Systeme nur bei Bedarf angefasst. Hier möchte ich sagen, dass der Aufwand asymmetrische Authentisierung mit der PAM-Lösung zu implementieren geringer ist, als die Linux-Systeme ins Active Directory aufzunehmen. Lasst uns gemeinsam den Schritt angehen. - Linux-Systeme in der Hand von Linux-Spezialisten
Diese Systeme werden aus Liebe oft bis ins letzte Detail betreut. Hier ist oft die asymmetrische Authentisierung längst implementiert und wird gelebt. ❤️
- Nicht immer werden Linux-Spezialisten für die Verwaltung von Linux-Systemen eingesetzt. Diese Administratoren sind dann mit der asymmetrischen Authentisierung ohne Passwörter oft herausgefordert.
-
Wichtig
Nur weil wir etwas empfehlen, heisst es nicht, dass unsere Kunden nicht ihren eigenen Weg gehen können. Im Gegenteil. Unser PAM & Access Security Team liebt es mit den Kunden ihre eigenen Wege und Arten zu designen und anschliessend zu implementieren. Schliesslich soll die PAM-Lösung für den Kunden da sein und nicht umgekehrt.
Wenn Ihre PAM-Lösung nicht optimal konfiguriert ist, sprechen Sie uns gerne an. Wir beraten Sie individuell oder führen auf Wunsch eine umfassende Config- und Security-Review Ihrer PAM-Umgebung durch.
Unsere Fachspezialisten helfen Ihnen gerne weiter
Team PAM & Access Security
Telefon: +41 44 457 13 13
E-Mail: pam-security@avantec.ch
Weiterführende Links & Quellen
