PAM 
In modernen Unternehmensumgebungen ist die Identität zum primären Angriffsvektor geworden, doch vielen Organisationen fehlt der Überblick darüber, wer über privilegierte Zugriffsrechte verfügt und ob diese missbraucht
Publiziert am April 13, 2026
Finanzinstitute sind für die Aufrechterhaltung ihrer betrieblichen Effizienz in hohem Maße auf Dritte wie Zahlungsabwickler, Anbieter von Bankplattformen und Fintech-Integrationen angewiesen. Laut dem Bericht zur Untersuchung von Datenschutzverletzungen 2025 von Verizon waren bei 30 % der Datenschutzverletzungen Dritte beteiligt, darunter Anbieter mit direktem Remote-Zugriff auf Finanzsysteme. Da Umgebungen zunehmend verteilt sind und Remote-Arbeit ermöglichen, ist die Verwaltung des Anbieterzugriffs zu einer modernen Sicherheitsherausforderung geworden. Herkömmliche Methoden wie virtuelle private Netzwerke (VPNs) und gemeinsam genutzte Zugangsdaten gewähren oft weitreichenden Zugriff auf kritische Systeme, wodurch sich die Angriffsoberfläche deutlich vergrößert. Anbieter benötigen in der Regel Zugriff auf diese Systeme, doch ohne angemessene Kontrollmaßnahmen setzt dieser Zugriff Unternehmen der Gefahr von Zugangsdatendiebstahl, Insider-Bedrohungen und Verstößen gegen Compliance-Vorschriften aus. Zur Sicherung des Remote-Zugriffs von Anbietern im Bereich der Finanzdienstleistungen ist die Durchsetzung des Least-Privilege-Zugriffs, die Abschaffung von dauerhaften Zugriffsrechten und die Anwendung eines Zero-Trust-Ansatzes für jede Sitzung erforderlich.
Lesen Sie weiter, um acht Möglichkeiten zu erfahren, wie Sie den Remote-Zugriff für Drittanbieter mit Keeper® sichern können.
1. Durchsetzung des Least-Privilege-Zugriffs
Anbieter sollten nur Zugriff auf die Systeme und Daten erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen. Die Gewährung umfassender Zugriffsrechte für Anbieter birgt unnötige Sicherheitsrisiken und erhöht die potenziellen Folgen einer Datenschutzverletzung. Beispielsweise benötigt ein Kernbankensystemanbieter, der Wartungsarbeiten an einem Kreditbearbeitungssystem durchführt, keinen Zugriff auf nicht damit in Zusammenhang stehende Kundendaten oder Handelsplattformen. Durch die Beschränkung des Drittanbieterzugriffs auf die erforderlichen Systeme wird sichergestellt, dass Cyberkriminelle sich im Falle einer Kompromittierung der Anbieterzugangsdaten nicht lateral im Netzwerk bewegen oder auf andere vertrauliche Daten zugreifen können.
Mit der Durchsetzung des Least-Privilege-Zugriffs können Finanzinstitute die Auswirkungen kompromittierter Zugangsdaten verringern und eine schleichende Ausweitung von Berechtigungen (Privilege Creep) in kritischen Systemen verhindern. In Finanzumgebungen, in denen bereits ein begrenzter Zugriff den Verlust großer Mengen sensibler Kundendaten oder Transaktionssysteme zur Folge haben kann, ist die Durchsetzung des Least-Privilege-Zugriffs von entscheidender Bedeutung.
2. Abschaffung dauerhafter Zugriffsberechtigungen durch JIT-Zugriff (Just-In-Time)
Sicherheitsteams sollten Anbietern niemals dauerhaften Zugriff auf kritische Systeme, sensible Daten oder die Handelsinfrastruktur gewähren. Dauerhafter Zugriff stellt ein fortlaufendes Risiko dar, da aktive Zugangsdaten noch lange nach Abschluss der Arbeit eines Anbieters ausgenutzt werden können. Wenn beispielsweise ein Anbieter Fehler an einer Handelsplattform beheben muss, sollte ihm nur vorübergehend und für die Dauer der Durchführung dieser Aufgabe ein JIT-Zugriff (Just-in-Time) gewährt werden. Sobald das Problem behoben ist, sollte der Zugriff des Anbieters automatisch widerrufen werden, um sicherzustellen, dass keine Berechtigungen bestehen bleiben.
3. Gesenktes Risiko einer Offenlegung von Zugangsdaten
Mitarbeiter und Anbieter sollten niemals Zugangsdaten, API-Schlüssel oder andere Geheimnisse per E-Mail, Messaging-Plattformen oder Tabellenkalkulationen teilen. In Finanzumgebungen können offengelegte Zugangsdaten zu unbefugtem Zugriff, Betrug oder der Kompromittierung von Kundendaten führen. Zur Verringerung dieses Risikos müssen alle Zugangsdaten in einem verschlüsselten Tresor gespeichert werden, der rollenbasierten Zugriff durchsetzt, jede Nutzung protokolliert und den Zugriff vermittelt, ohne dem Benutzer die zugrunde liegenden Zugangsdaten offenzulegen. Ein Anbieter, der vorübergehend Zugriff auf eine Finanzdatenbank benötigt, sollte sich beispielsweise über den Tresor mit zeitlich begrenztem Zugriff verbinden, wobei die Zugangsdaten nach Beendigung der Sitzung automatisch geändert werden, um Missbrauch zu verhindern.
4. Durchsetzung der Multi-Faktor-Authentifizierung (MFA)
Multi-Faktor-Authentifizierung (MFA) sollte für alle Benutzer- und Anbieteranmeldungen, insbesondere für privilegierte Konten, durchgesetzt werden. In Finanzumgebungen sollten kompromittierte Zugangsdaten allein niemals ausreichen, um Zugriff auf Zahlungsplattformen oder Kundendatenbanken zu erhalten. Ohne MFA können sich Cyberkriminelle mit gestohlenen Zugangsdaten Zugriff auf kritische Systeme verschaffen, sodass das Risiko von Betrug und Datenschutzverletzungen steigt.
Finanzinstitute sollten die Multi-Faktor-Authentifizierung auch auf Systeme ausweiten, die diese Funktion nicht nativ unterstützen, darunter ältere Kernbankensysteme und veraltete Handelssysteme, die Finanzdaten verarbeiten. Die Anwendung von MFA sowohl in älteren als auch in modernen Infrastrukturen trägt zur Stärkung der Sicherheit in komplexen hybriden Umgebungen bei und schützt die Zugriffspunkte von Anbietern besser vor unberechtigtem Zugriff.
5. Überwachung und Aufzeichnung aller Sitzungen mit Anbietern
Sicherheitsteams müssen einen vollständigen Überblick über die Aktivitäten der Anbieter erhalten, indem sie nachverfolgen, auf welche Systeme zugegriffen wurde, wann der Zugriff erfolgte und welche Maßnahmen ergriffen wurden. Dieses Maß an Überwachung ist in Finanzumgebungen unerlässlich, in denen Anbieter mit kritischen Systemen wie Zahlungsabwicklungsplattformen und Handelsinfrastrukturen interagieren. Die Überwachung privilegierter Sitzungen in Echtzeit und die Aufzeichnung gewährleisten diese Transparenz, indem sie die Aktivitäten der Anbieter in Echtzeit erfassen. Auf diese Weise können Sicherheitsteams verdächtige Aktivitäten sofort erkennen, bei Bedarf eingreifen und die Verantwortlichkeit wahren. Beispielsweise kann die Sitzungsüberwachung Versuche aufdecken, Transaktionsprotokolle zu verändern oder vertrauliche Finanzdaten zu exportieren. Die Aufzeichnung von Anbietersitzungen unterstützt auch die Compliance- und Audit-Anforderungen.
6. Verhinderung lateraler Bewegungen innerhalb von Finanzsystemen
Wenn die Zugangsdaten eines Anbieters kompromittiert werden, können Cyberkriminelle diese nutzen, um auf andere Systeme zuzugreifen und sich lateral im Netzwerk zu bewegen. Diese Art der lateralen Bewegung kann sich rasch ausweiten und einen geringfügigen Sicherheitsverstoß zu einem schwerwiegenden Vorfall machen, der die Finanzdaten der Kunden im großen Maßstab betrifft. Eines der größten Risiken in Finanzumgebungen stellen Cyberkriminelle dar, die sich von einem für Anbieter zugänglichen System in die kritische Infrastruktur von Banken oder Zahlungsabwicklern bewegen. Zur Verringerung des Risikos von unbefugten Zugriffen sollten Finanzinstitute den Zugriff von Anbietern auf die spezifischen, von ihnen benötigten Systeme beschränken. Anstatt Anbietern Zugriff auf das gesamte Netzwerk zu gewähren, sollten Sicherheitsteams ihnen den Zugriff über sichere, sitzungsbasierte Methoden gewähren. Eine solche Zugriffsbeschränkung trägt zur Eindämmung von Bedrohungen bei und verringert die Möglichkeiten für laterale Bewegungen.
7. Zentralisierte Zugriffskontrolle
Ohne zentralisierte Zugriffskontrollen ist der Anbieterzugriff oft über mehrere unverbundene Tools und Systeme verteilt, was die Durchsetzung von Richtlinien und die Überwachung von Aktivitäten erschwert. Durch die Zentralisierung der Zugriffsverwaltung erhalten Sicherheitsteams einen besseren Überblick über privilegierte Aktivitäten, können den Least-Privilege-Zugriff besser durchsetzen und sicherstellen, dass der Zugriff von Anbietern einheitlich kontrolliert wird. Dieses Maß an Transparenz ist für die Einhaltung strenger Compliance-Standards wie SOX, PCI DSS und GLBA unerlässlich, da Wirtschaftsprüfer den Nachweis verlangen, dass Zugriffskontrollen durchgesetzt und kritische Systeme geschützt werden. Für in der EU tätige oder europäische Kunden bedienende Finanzinstitute ist gemäß dem Digital Operational Resilience Act (DORA) zudem eine zentralisierte Zugriffskontrolle vorgeschrieben, die eine dokumentierte Überwachung der Zugriffe durch externe IKT-Anbieter vorschreibt.
8. Einrichtung eines formellen Offboarding-Prozesses für Anbieter
Finanzinstitute müssen sicherstellen, dass der Zugriff von Anbietern sofort widerrufen wird, sobald diese für Projekte oder Systeme nicht mehr benötigt werden. Ohne einen formellen Offboarding-Prozess können inaktive Anbieterkonten und ungenutzte Zugangsdaten für Cyberkriminelle von Nutzen sein. Ein effektiver Offboarding-Prozess für Anbieter sollte die automatische Entziehung von Zugriffsrechten, die Deaktivierung oder Löschung von Anbieterkonten, die Rotation aller Zugangsdaten, auf die der Anbieter Zugriff hatte, und die Überprüfung von Audit-Trails umfassen, um sicherzustellen, dass keine unautorisierten Aktivitäten stattgefunden haben. Wenn beispielsweise ein Anbieter ein Projekt abschließt, das den Zugriff auf Kundendatenbanken oder Zahlungssysteme beinhaltet, sollte sein Zugriff sofort widerrufen und alle zugehörigen Zugangsdaten rotiert werden. Dadurch wird sichergestellt, dass die Zugangsdaten des Anbieters selbst bei einer Kompromittierung oder Offenlegung nicht für den Zugriff auf sensible Finanzdaten genutzt werden können.
So schützt Keeper den Remote-Zugriff von Anbietern
Keeper sichert den Remote-Zugriff von Anbietern durch die Anwendung von Zero-Trust-Sicherheitsprinzipien auf jede privilegierte Sitzung. Das bedeutet, dass jede Zugriffsanfrage überprüft wird, keinem Benutzer implizit vertraut wird und die Zugangsdaten zu keinem Zeitpunkt für Anbieter sichtbar sind. Mit Keeper werden die Zugangsdaten sicher in einem verschlüsselten Tresor gespeichert und nach jeder Sitzung automatisch rotiert, sodass sie niemals an Anbieter weitergegeben werden. Keeper hilft Finanzinstituten dabei, einen sicheren Zugriff von Anbietern auf kritische Systeme wie Zahlungsplattformen und Kundendatenbanken zu gewährleisten, ohne dabei unnötige Sicherheitsrisiken einzugehen.
Gewähren Sie zeitlich begrenzten Zugriff ohne Offenlegung von Zugangsdaten
Keeper erzwingt den JIT-Zugriff, sodass Anbieter nur bei Bedarf und für einen begrenzten Zeitraum auf kritische Systeme zugreifen können. Sitzungen werden direkt aus dem Keeper-Tresor gestartet, und da Anbieter die zugrunde liegenden Zugangsdaten weder sehen noch verarbeiten, trägt dies dazu bei, den Diebstahl von Zugangsdaten zu verhindern und dauerhafte Zugriffsrechte zu vermeiden.
Überwachung und Aufzeichnung jeder Sitzung in Echtzeit
Alle Aktivitäten der Anbieter werden durch Überwachung und Aufzeichnung der Sitzungen in Echtzeit erfasst, einschließlich der Protokollierung von Tastatureingaben und Bildschirmaufzeichnungen. Finanzinstitute sollten vor der Bereitstellung überprüfen, ob die Verfahren zur Sitzungsaufzeichnung den geltenden Beschäftigungs- und Datenschutzbestimmungen in ihren jeweiligen Ländern entsprechen. Diese Funktion bietet vollständige Transparenz über die während einer Anbietersitzung durchgeführten Aktionen und lässt sich zur zentralen Überwachung in SIEM-Tools (Security Information and Event Management) integrieren. Mit KeeperAI können Sicherheitsteams die Aktivitäten während einer Sitzung automatisch in Echtzeit analysieren und verdächtiges Verhalten erkennen. Sitzungsaufzeichnungen bieten auch eine vollständige Beweisgrundlage für die forensische Überprüfung nach dem Vorfall.
Verhindern Sie laterale Bewegungen mit Zero-Trust-Sicherheit
Keeper nutzt ausschließlich ausgehende Gateway-Verbindungen, um einen sicheren Remote-Zugriff zu ermöglichen, ohne dass eingehende Firewall-Regeln oder eine direkte Netzwerk-Exposition erforderlich sind. Durch die Einschränkung des Anbieterzugriffs auf bestimmte Ressourcen und die Unterbindung des direkten Netzwerkzugriffs verhindert Keeper, dass sich unbefugte Benutzer lateral durch die Finanzsysteme bewegen können. Mit KeeperDB wird der Datenbankzugriff weiter gesichert, indem Anbieter Datenbanken direkt aus ihrem Keeper-Tresor in einer isolierten Umgebung verwalten können. Dadurch wird sichergestellt, dass Zugangsdaten verborgen bleiben, Aktivitäten vollständig aufgezeichnet werden und Anbieter keine zusätzlichen Pfade für laterale Bewegungen erstellen können.
Unterstützung der Compliance mit detaillierten Audit-Protokollen
Keeper erstellt detaillierte Audit-Protokolle und Sitzungsaufzeichnungen, die Unternehmen als Nachweis zur Einhaltung regulatorischer Standards wie SOX, PCI DSS, GLBA und DORA nutzen können. Mit automatisierten Berichten und vollständiger Transparenz beim Anbieterzugriff können Finanzinstitute die Einhaltung von Vorschriften nachweisen, Audits vereinfachen und sicherstellen, dass granulare Zugriffskontrollen konsequent durchgesetzt werden.
Verwalten Sie den Remote-Zugriff von Anbietern mit Keeper
Die Sicherung des Remote-Zugriffs externer Anbieter ist für moderne Finanzinstitute unerlässlich, um ihre kritischen Systeme zu schützen, das Vertrauen ihrer Kunden zu erhalten und regulatorische Anforderungen zu erfüllen. Der Zugriff von Anbietern muss sorgfältig und kontinuierlich überwacht und geprüft werden, um den Missbrauch von Zugangsdaten zu verhindern und die Einhaltung strenger Frameworks wie SOX, PCI DSS und GLBA zu gewährleisten.
Ein einziges kompromittiertes Anbieterkonto kann zu Bußgeldern, Benachrichtigungspflichten gegenüber Kunden und einem dauerhaften Reputationsschaden führen. Keeper bietet Banken und Finanzunternehmen eine Zero-Trust-Lösung für die Verwaltung privilegierter Zugriffe (Privileged Access Management, PAM), die zur Bewältigung moderner Sicherheitsherausforderungen entwickelt wurde. Durch die Kombination von Zero-Trust-Sicherheit mit einer Zero-Knowledge-Architektur stellt Keeper sicher, dass Anbieter niemals Zugangsdaten einsehen oder verarbeiten, jede Sitzung überprüft wird und alle Aktivitäten lückenlos nachverfolgt werden können.
Fordern Sie noch heute eine Demo von KeeperPAM an, um zu erfahren, wie Sie den Zugriff von Anbietern sicher verwalten können, ohne die Sicherheit oder Compliance zu gefährden.
