Privileged Access Workstation
Gehärteter Arbeitsplatz, der ausschließlich für die Verwaltung kritischer IT-Systeme genutzt wird und physisch von der normalen Arbeitsumgebung getrennt ist.
Eine Privileged Access Workstation (PAW) ist ein dedizierter, maximal gehärteter Computer, der ausschließlich für die Verwaltung kritischer IT-Systeme verwendet wird. Die Grundidee: Administrative Tätigkeiten an Active Directory, Domain Controllern oder anderen Tier-0-Systemen dürfen nur von einem Gerät erfolgen, das selbst keiner Gefährdung durch E-Mail, Webbrowsing oder andere alltägliche Nutzung ausgesetzt ist. PAWs sind ein zentraler Baustein des Tiering-Modells und der wichtigste Schutzmechanismus für privilegierte Credentials.
Warum normale Arbeitsplätze nicht ausreichen
Wenn ein Administrator seine Domain-Admin-Tätigkeiten vom selben Rechner ausführt, auf dem er auch E-Mails liest und im Internet surft, reicht eine einzige kompromittierte Website oder Phishing-Mail, um die eingegebenen Credentials oder laufenden Kerberos-Tickets abzugreifen. Keylogger, Token-Theft und Credential-Dumping-Tools wie Mimikatz funktionieren auf dem lokalen System — unabhängig davon, wie gut der Domain Controller selbst geschützt ist. Die Sicherheit der gesamten Domäne hängt damit von der Sicherheit des Endgeräts ab, auf dem sich der Administrator anmeldet.
Aufbau einer PAW
Eine PAW wird nach dem Clean-Source-Prinzip konfiguriert: Das Gerät darf nur aus vertrauenswürdigen Quellen Software und Konfiguration beziehen und wird durch Gruppenrichtlinien und lokale Härtungsmaßnahmen abgesichert.
| Maßnahme | Umsetzung |
|---|---|
| Betriebssystem | Frische Installation, nicht aus einem Standard-Image geklont |
| Internetzugang | Blockiert oder auf wenige administrative Ziele beschränkt (z. B. Azure Portal) |
| E-Mail und Browser | Nicht installiert oder nur in isolierter Umgebung |
| Softwareinstallation | Nur signierte Pakete aus kontrollierter Quelle, AppLocker/WDAC erzwungen |
| Anmeldeberechtigungen | Nur Tier-0-Konten dürfen sich anmelden, erzwungen per GPO |
| Netzwerkzugang | Eigenes VLAN oder Netzwerksegment, Zugriff nur auf Tier-0-Systeme |
| Geräteverwaltung | Separate OU im AD, eigene GPO-Baseline nach CIS Benchmarks |
| Physische Sicherheit | Festplattenverschlüsselung (BitLocker), TPM, Secure Boot |
PAW-Varianten
In der Praxis existieren verschiedene Abstufungen, abhängig von Sicherheitsanforderungen und Budget.
Die dedizierte physische PAW ist die sicherste Variante: ein separates Gerät, das ausschließlich für administrative Aufgaben genutzt wird. Sie bietet die stärkste Isolation, erfordert aber, dass Administratoren ein zweites Gerät am Arbeitsplatz haben.
Die PAW mit Virtualisierung nutzt ein gehärtetes Host-Betriebssystem für administrative Aufgaben und eine VM für alltägliche Nutzung (nicht umgekehrt). Der Host ist die vertrauenswürdige Umgebung — die Produktivitäts-VM darf kompromittiert werden, ohne die Admin-Sitzung zu gefährden. Diese Variante spart Hardware, erfordert aber sorgfältige Konfiguration der Hypervisor-Isolation.
Eine Jump-Server-Lösung (auch Bastion Host) ist kein vollwertiger PAW-Ersatz, kann aber als Zwischenschritt dienen. Administratoren verbinden sich per RDP auf einen gehärteten Server, von dem aus die Verwaltung erfolgt. Die Credentials verlassen dann zwar den lokalen Rechner, sind aber auf dem Jump Server exponiert — eine saubere PAW-Implementierung ist vorzuziehen.
PAW und PAM
PAWs und Privileged Access Management ergänzen sich: Die PAW sichert den Endpunkt ab, von dem aus administrative Zugriffe erfolgen, während PAM den Zugriff selbst kontrolliert — durch Just-in-Time-Rechtevergabe, Session Recording und automatische Credential-Rotation. Ohne PAW können PAM-Lösungen unterlaufen werden, wenn das Gerät des Administrators kompromittiert ist. Ohne PAM fehlen Nachvollziehbarkeit und zeitliche Begrenzung der Rechte.
Relevanz für KMUs
Eine vollständige PAW-Implementierung mit dedizierten Geräten ist für kleinere Unternehmen oft schwer zu rechtfertigen. Dennoch lässt sich das Grundprinzip pragmatisch umsetzen: Ein einzelner, gehärteter Laptop ohne E-Mail und Internetzugang, der ausschließlich für die Domain-Controller-Verwaltung genutzt wird, ist bereits eine massive Verbesserung gegenüber dem Status quo. In der Praxis administrieren viele KMUs ihre gesamte Infrastruktur vom selben Rechner, auf dem auch der Webbrowser mit zwanzig Tabs offen ist. Schon die konsequente Trennung — ein Gerät für Verwaltung, ein Gerät für den Alltag — reduziert das Risiko einer Domänenübernahme erheblich.