Privileged Access Management gilt im Cybersecurity-Umfeld als einer der wirkungsvollsten Schutzbausteine überhaupt. Trotzdem fehlt PAM in vielen DACH-Unternehmen vollständig – weil kommerzielle Platzhirsche wie CyberArk und BeyondTrust fünf- bis sechsstellige Jahreslizenzen aufrufen und KMU damit faktisch ausschließen. JumpServer, eine quelloffene PAM-Plattform mit über 25.000 GitHub-Stars, schließt diese Lücke jetzt auch für Mittelständler, die unter NIS2-Pflicht stehen.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • JumpServer verwaltet SSH-, RDP-, Datenbank- und Kubernetes-Sessions zentral über eine Proxy-Schicht; Produktionspasswörter bleiben für Endnutzer unsichtbar.
  • Sämtliche Sessions werden unveränderlich aufgezeichnet und auditierbar gespeichert – ein direkter Treffer auf BSI-Baustein ORP.4 unter NIS2.
  • Die Community Edition ist kostenlos selbst gehostet und per Docker-Compose in unter einer Stunde betriebsbereit.
  • Session-Recordings von Mitarbeitersessions erfordern eine DSGVO-Datenschutzfolgeabschätzung und eine Betriebsvereinbarung.

Warum klassische Bastion-Hosts das Problem nicht lösen

Offenes Metalltor mit Holz und Warnschild, freistehend auf Weiß
JumpServer zentralisiert verteilte Credentials und Zugriffe mit vollständigem Audit-Trail, löst aber klassische Bastion-Host-Probleme wie Passwort-Management und SSH-Key-Rotation

Das strukturelle Problem, das JumpServer angeht, ist älter als die Plattform selbst: Verteilte Credentials ohne zentralen Audit-Trail. Klassische Bastion-Hosts schaffen zwar einen einzigen Netzwerk-Eintrittspunkt, lösen aber nicht, wer welche Passwörter kennt, wie SSH-Keys rotiert werden und ob ein ausgeschiedener Administrator noch Zugriff hat. Genau an diesem Punkt setzt die Architektur von JumpServer an.

Die Plattform schiebt sich als Proxy-Schicht zwischen Nutzer und Zielsystem. Der technische Kern besteht aus dem KoKo-Connector für SSH und Kubernetes, dem Lion-Connector für RDP und RemoteApp sowie dem Chen-Connector für Datenbankzugriffe. Endnutzer authentifizieren sich ausschließlich gegen JumpServer; die eigentlichen Produktionspasswörter liegen verschlüsselt im integrierten Vault und verlassen diesen nie. Sämtliche Sessions werden unveränderlich aufgezeichnet. Bei einem Personalwechsel reicht ein einziger Entzug im zentralen Berechtigungsmodell – kein manuelles Einsammeln verstreuter SSH-Keys mehr.

Dieses Architekturmuster wird relevant, sobald man die Schadensfälle der letzten Jahre betrachtet. Beim SolarWinds-Angriff 2019 bis 2020 haben sich die Angreifer über kompromittierte privilegierte Credentials mehr als ein Jahr unentdeckt durch Zielnetzwerke bewegt. Beim Kaseya-VSA-Angriff 2021 haben die Angreifer die privilegierten Verwaltungskanäle von rund 60 Managed-Service-Providern genutzt, um Ransomware auf schätzungsweise 1.500 Downstream-Unternehmen auszurollen. Analysen von Forrester beziffern, dass rund 80 Prozent aller erfolgreichen Cyberangriffe kompromittierte privilegierte Zugangsdaten als Einstiegs- oder Lateralbewegungsvektor nutzen. Auch die CISO-Studie 2026 bestätigt: Der Mittelstand ist bei Angriffsvektor-Priorisierung nicht besser aufgestellt als Konzerne. PAM-Lücken sind keine Ausnahme, sondern die Regelangriffsklasse.

Weitere Beispiele für Authentifizierungsumgehungen an privilegierten Zugangspunkten liefern die Check-Point-VPN-Lücke CVE-2026-50751 sowie die Ivanti-Sentry-Schwachstelle mit CVSS 10.0 – beide zeigen, wie schnell fehlende Zugriffskontrollen zum Einfallstor werden.

JumpServer macht PAM für den Mittelstand erstmals kalkulierbar – aber wer Session-Recordings einführt, braucht vorher eine Betriebsvereinbarung, kein Pilot-Deployment.

— Michael Dobler, Herausgeber Dr. Web

Was NIS2 konkret von Ihnen verlangt

Ein Steintor mit Holzpforte, Schild „PRIVILEGED ACCESS“ und steckendem Haken-Schlüssel
NIS-2-Umsetzungsgesetz seit Dezember 2025 in Deutschland: 29.500 Unternehmen müssen Zugangskontrollen und dokumentiertes Least-Privilege-Berechtigungsmanagement umsetzen

Das NIS-2-Umsetzungsgesetz gilt seit Dezember 2025 in Deutschland ohne Übergangsfrist für rund 29.500 Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Umsatz in 18 Sektoren. Artikel 21 der NIS-2-Richtlinie verlangt explizit Access-Control-Maßnahmen; im BSI-Mapping landet das auf Baustein ORP.4 (Identitäts- und Berechtigungsmanagement). Gefordert sind die dokumentierte Least-Privilege-Vergabe, der nachweisbare Entzug bei Personalwechsel und die Genehmigungspflicht für privilegierte Konten – alles Funktionen, die JumpServer ab Werk mitbringt. Die NIS2-Schwellenwerte für den Mittelstand und die erweiterten BSI-Befugnisse erhöhen den Compliance-Druck zusätzlich.

Drei konkrete To-dos für DACH-Entscheider:

  • ORP.4-Abgleich: JumpServer-Funktionsumfang gegen die Pflichtmaßnahmen aus Baustein ORP.4 prüfen und dokumentierte Lücken schließen. Die Cybersecurity-Grundlagen für KMU liefern dafür den regulatorischen Rahmen.
  • Proof-of-Concept: Community Edition per Docker-Compose in isolierter Testumgebung aufsetzen und LDAP/AD-Integration gegen das bestehende Verzeichnis testen. Die Inbetriebnahme dauert unter einer Stunde.
  • DSGVO-Folgeabschätzung: Session-Recordings von Mitarbeitersessions gelten als sensible Verarbeitungstätigkeit nach DSGVO Art. 35. Eine Datenschutzfolgeabschätzung und eine Betriebsvereinbarung sind vor dem Produktiveinsatz Pflicht – nicht danach. Weiterführende Begriffe rund um PAM und IAM erklärt das Cybersecurity-Glossar.

Auch der Cyberangriff auf die Uniklinik Freiburg zeigt, was passiert, sobald Zugriffskontrollen bei KRITIS-Dienstleistern jahrelang nicht geprüft werden: Datenverlust, Reputationsschaden und nachträgliche Compliance-Fragen ohne gute Antworten.

JumpServer ist auf GitHub verfügbar. Die Community Edition unterliegt der GPLv3-Lizenz; eine Enterprise-Variante mit Support-SLA existiert für Unternehmen, die keine eigene Betriebskapazität aufbauen möchten.

Mehr Newshunger?

Ein einzelner, stehender Metallschlüssel mit orangefarbener Kunststoffreide auf weißem Grund
Kritische Sicherheitslücken in Ivanti Sentry und Check Point VPN erfordern sofortige Patches. CVSS-Score 10.0
4,2 23 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?