Privileged Access Management gilt im Cybersecurity-Umfeld als einer der wirkungsvollsten Schutzbausteine überhaupt. Trotzdem fehlt PAM in vielen DACH-Unternehmen vollständig – weil kommerzielle Platzhirsche wie CyberArk und BeyondTrust fünf- bis sechsstellige Jahreslizenzen aufrufen und KMU damit faktisch ausschließen. JumpServer, eine quelloffene PAM-Plattform mit über 25.000 GitHub-Stars, schließt diese Lücke jetzt auch für Mittelständler, die unter NIS2-Pflicht stehen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDas Wichtigste in Kürze
- JumpServer verwaltet SSH-, RDP-, Datenbank- und Kubernetes-Sessions zentral über eine Proxy-Schicht; Produktionspasswörter bleiben für Endnutzer unsichtbar.
- Sämtliche Sessions werden unveränderlich aufgezeichnet und auditierbar gespeichert – ein direkter Treffer auf BSI-Baustein ORP.4 unter NIS2.
- Die Community Edition ist kostenlos selbst gehostet und per Docker-Compose in unter einer Stunde betriebsbereit.
- Session-Recordings von Mitarbeitersessions erfordern eine DSGVO-Datenschutzfolgeabschätzung und eine Betriebsvereinbarung.
Warum klassische Bastion-Hosts das Problem nicht lösen

Das strukturelle Problem, das JumpServer angeht, ist älter als die Plattform selbst: Verteilte Credentials ohne zentralen Audit-Trail. Klassische Bastion-Hosts schaffen zwar einen einzigen Netzwerk-Eintrittspunkt, lösen aber nicht, wer welche Passwörter kennt, wie SSH-Keys rotiert werden und ob ein ausgeschiedener Administrator noch Zugriff hat. Genau an diesem Punkt setzt die Architektur von JumpServer an.
Die Plattform schiebt sich als Proxy-Schicht zwischen Nutzer und Zielsystem. Der technische Kern besteht aus dem KoKo-Connector für SSH und Kubernetes, dem Lion-Connector für RDP und RemoteApp sowie dem Chen-Connector für Datenbankzugriffe. Endnutzer authentifizieren sich ausschließlich gegen JumpServer; die eigentlichen Produktionspasswörter liegen verschlüsselt im integrierten Vault und verlassen diesen nie. Sämtliche Sessions werden unveränderlich aufgezeichnet. Bei einem Personalwechsel reicht ein einziger Entzug im zentralen Berechtigungsmodell – kein manuelles Einsammeln verstreuter SSH-Keys mehr.
Dieses Architekturmuster wird relevant, sobald man die Schadensfälle der letzten Jahre betrachtet. Beim SolarWinds-Angriff 2019 bis 2020 haben sich die Angreifer über kompromittierte privilegierte Credentials mehr als ein Jahr unentdeckt durch Zielnetzwerke bewegt. Beim Kaseya-VSA-Angriff 2021 haben die Angreifer die privilegierten Verwaltungskanäle von rund 60 Managed-Service-Providern genutzt, um Ransomware auf schätzungsweise 1.500 Downstream-Unternehmen auszurollen. Analysen von Forrester beziffern, dass rund 80 Prozent aller erfolgreichen Cyberangriffe kompromittierte privilegierte Zugangsdaten als Einstiegs- oder Lateralbewegungsvektor nutzen. Auch die CISO-Studie 2026 bestätigt: Der Mittelstand ist bei Angriffsvektor-Priorisierung nicht besser aufgestellt als Konzerne. PAM-Lücken sind keine Ausnahme, sondern die Regelangriffsklasse.
Weitere Beispiele für Authentifizierungsumgehungen an privilegierten Zugangspunkten liefern die Check-Point-VPN-Lücke CVE-2026-50751 sowie die Ivanti-Sentry-Schwachstelle mit CVSS 10.0 – beide zeigen, wie schnell fehlende Zugriffskontrollen zum Einfallstor werden.
JumpServer macht PAM für den Mittelstand erstmals kalkulierbar – aber wer Session-Recordings einführt, braucht vorher eine Betriebsvereinbarung, kein Pilot-Deployment.
— Michael Dobler, Herausgeber Dr. Web
Was NIS2 konkret von Ihnen verlangt

Das NIS-2-Umsetzungsgesetz gilt seit Dezember 2025 in Deutschland ohne Übergangsfrist für rund 29.500 Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Umsatz in 18 Sektoren. Artikel 21 der NIS-2-Richtlinie verlangt explizit Access-Control-Maßnahmen; im BSI-Mapping landet das auf Baustein ORP.4 (Identitäts- und Berechtigungsmanagement). Gefordert sind die dokumentierte Least-Privilege-Vergabe, der nachweisbare Entzug bei Personalwechsel und die Genehmigungspflicht für privilegierte Konten – alles Funktionen, die JumpServer ab Werk mitbringt. Die NIS2-Schwellenwerte für den Mittelstand und die erweiterten BSI-Befugnisse erhöhen den Compliance-Druck zusätzlich.
Drei konkrete To-dos für DACH-Entscheider:
- ORP.4-Abgleich: JumpServer-Funktionsumfang gegen die Pflichtmaßnahmen aus Baustein ORP.4 prüfen und dokumentierte Lücken schließen. Die Cybersecurity-Grundlagen für KMU liefern dafür den regulatorischen Rahmen.
- Proof-of-Concept: Community Edition per Docker-Compose in isolierter Testumgebung aufsetzen und LDAP/AD-Integration gegen das bestehende Verzeichnis testen. Die Inbetriebnahme dauert unter einer Stunde.
- DSGVO-Folgeabschätzung: Session-Recordings von Mitarbeitersessions gelten als sensible Verarbeitungstätigkeit nach DSGVO Art. 35. Eine Datenschutzfolgeabschätzung und eine Betriebsvereinbarung sind vor dem Produktiveinsatz Pflicht – nicht danach. Weiterführende Begriffe rund um PAM und IAM erklärt das Cybersecurity-Glossar.
Auch der Cyberangriff auf die Uniklinik Freiburg zeigt, was passiert, sobald Zugriffskontrollen bei KRITIS-Dienstleistern jahrelang nicht geprüft werden: Datenverlust, Reputationsschaden und nachträgliche Compliance-Fragen ohne gute Antworten.
JumpServer ist auf GitHub verfügbar. Die Community Edition unterliegt der GPLv3-Lizenz; eine Enterprise-Variante mit Support-SLA existiert für Unternehmen, die keine eigene Betriebskapazität aufbauen möchten.
Mehr Newshunger?

- Ivanti Sentry: Jetzt patchen? Dringend, CVSS 10.0.
- Check Point VPN-Lücke CVE-2026-50751: ohne Passwort rein
- Cyberabwehr-Gesetz: Darf der Staat jetzt zurückschlagen?
- Cyberangriff Uniklinik Freiburg: Kritik nach Datenklau
- CISO-Studie 2026: Wo greifen die Angreifer wirklich an?
- NIS2 für Mittelstand: Wer ist befreit? Unter 250.
- BSI NIS-2-Umfrage 2026: Was braucht der Mittelstand?
- Cybersecurity Grundlagen 2026: Was KMU jetzt umsetzen müssen
- Cybersecurity-Glossar: Welche 99 Begriffe sind 2026 Pflicht?