Blackfort Technology
Blackfort Privileged Access Bridge
Produkt · PAM-Software

PAM-Software · Genehmigungsworkflow · Session Recording · Agentenlos

Blackfort Privileged Access Bridge

Privilegierte Zugriffe auf IT-, OT- und Cloud-Systeme sicher verwalten – mit Genehmigungsworkflow, Session Recording und vollständiger Auditierbarkeit. Ohne dauerhaft offene Zugänge, ohne Agent-Installation auf den Zielsystemen.

Demo anfragenProdukt-Anfrage stellen

Was die Privileged Access Bridge ist

Die Blackfort Privileged Access Bridge ist eine Software-Plattform für Privileged Access Management (PAM). Sie sitzt als gehärtetes Gateway zwischen Nutzern und kritischen Zielsystemen – Servern, Datenbanken, Netzwerkgeräten, Cloud-Konsolen und industriellen Steuerungen. Jeder privilegierte Zugriff läuft ausschließlich über die Bridge, wird strukturiert genehmigt, vollständig aufgezeichnet und kann jederzeit sofort terminiert werden.

Das Produkt liefert die Kontrollen, die ISO 27001, NIS2, DORA, BSI IT-Grundschutz und IEC 62443 für privilegierte Zugriffe verlangen – nicht als nachgelagerte Dokumentation, sondern strukturell im Zugriffsprozess verankert. Auditoren erhalten Daten aus dem System, nicht aus Richtliniendokumenten.

Software-Plattform – mit oder ohne Hardware-Gateway: Die PAB ist primär eine Software-Lösung für IT-, Cloud- und Service-Provider-Szenarien. Für industrielle Fernwartung bündeln wir dieselbe Software mit einem industrietauglichen Gateway in der DMZ – die OT-Fernwartungs-Variante. Identische Software, unterschiedliche Lieferform.

Das Problem: unkontrollierte privilegierte Zugriffe

Privilegierte Zugänge sind die häufigste Ursache schwerer Sicherheitsvorfälle. In typischen Unternehmens­umgebungen finden sich Administratoren mit dauerhaften, kaum überwachten Domain-Admin-Rechten, Dienstleister mit aktiven VPN-Accounts aus längst beendeten Projekten, Service-Accounts mit Passwörtern, die seit Jahren nicht rotiert wurden, und Maschinenhersteller mit Direktverbindungen in Produktionsnetze.

Ein kompromittierter Admin- oder Lieferanten-Account reicht in diesen Umgebungen aus, um die gesamte Perimeter-Sicherheit zu umgehen. Ransomware-Angriffe der letzten Jahre – von Colonial Pipeline bis zahlreiche deutsche Mittelständler – sind über genau diesen Pfad gelaufen. Nicht weil interne Systeme schlecht gesichert wären, sondern weil unkontrollierte privilegierte Zugänge dauerhaft offen standen.

Typische Befunde in der Praxis: Domain-Admin-Accounts ohne MFA, geteilte Service-Accounts mit Wiki-dokumentierten Passwörtern, dauerhaft aktive RDP-Sprungbretter ohne Session Recording, externe Dienstleister mit Site-to-Site-VPN in Produktionsnetze, fehlende Nachweise, wer wann auf welches System zugegriffen hat – und damit keine belastbare Forensik im Vorfall.

Regulatorische Anforderungen an PAM

Privileged Access Management ist in nahezu allen relevanten Sicherheitsregelwerken eine explizite Pflicht – nicht eine Empfehlung. Die Privileged Access Bridge adressiert diese Anforderungen strukturell:

ISO/IEC 27001:2022 – Annex A.8.2 & A.8.18

Privilegierte Zugriffsrechte sind zu beschränken, zu protokollieren und regelmäßig zu prüfen. Die Nutzung privilegierter Hilfsprogramme ist zu kontrollieren. Die PAB liefert die strukturelle Umsetzung: Session Recording, Vier-Augen-Genehmigung, dokumentierter Freigabeprozess, manipulationssicherer Audit-Trail.

NIS2 – Art. 21 Abs. 2 (Zugangskontrolle & Asset-Management)

NIS2 verpflichtet betroffene Unternehmen zu konkreten Maßnahmen für Zugangskontrolle, MFA und Überwachung – inklusive externer Dienstleister (Supply Chain Security, Art. 21 Abs. 2 lit. d). Unkontrollierte Lieferantenzugänge sind ein unmittelbarer Verstoß. Leitungsorgane haften nach Art. 20 persönlich für die Umsetzung.

DORA – Art. 9 (IKT-Sicherheit) & Art. 28 (Drittparteienrisiken)

Für Finanzunternehmen verpflichtend: kontrollierter Zugriff auf IKT-Systeme, Überwachung externer IKT-Dienstleister, lückenlose Protokollierung. Die PAB liefert die geforderten Belege auch für BaFin- und Wirtschaftsprüfer-Anfragen.

IEC 62443-3-3 – Remote Access in OT

Für industrielle Automatisierungssysteme: starke Authentifizierung, dedizierte überwachte Remote-Access-Kanäle, vollständige Protokollierung, sofortige Terminierungsmöglichkeit. Kein allgemeiner VPN-Zugang auf das OT-Netz – sondern ein dedizierter, kontrollierter Eintrittspunkt.

BSI IT-Grundschutz – ORP.4 & OPS.1.1.5

Identitäts- und Berechtigungsmanagement sowie Protokollierung sind Basis-Anforderungen. Für KRITIS-Betreiber sind die Anforderungen nachweisbar umzusetzen – die PAB liefert die strukturierte Dokumentation für Prüfungen nach BSI-KritisV.

DSGVO – Art. 32 (technische und organisatorische Maßnahmen)

Verarbeitungstätigkeiten privilegierter Nutzer müssen kontrolliert und nachvollziehbar sein. Bei Datenschutzvorfällen verlangt die Aufsichtsbehörde Nachweise, wer wann auf welche personenbezogenen Daten zugegriffen hat – die PAB liefert diese Nachweise direkt.

Was die Privileged Access Bridge leistet

Die PAB ist mehr als ein Jumphost mit Session-Recording-Aufsatz. Sie ist eine vollständige PAM-Plattform mit acht Kernkapazitäten, die in regulierten Umgebungen verlangt werden:

Session Recording

Jede privilegierte Session wird vollständig und manipulationssicher aufgezeichnet – inklusive Befehlsverlauf, Bildschirminhalt und Dateitransfers. Audit-Reports auf Knopfdruck.

Agentenlos

Keine Software-Installation auf Zielsystemen. Die Bridge vermittelt über native Protokolle – RDP, SSH, HTTPS, VNC sowie industrielle Protokolle. Legacy-Systeme bleiben unangetastet.

Genehmigungsworkflow

Jeder Zugriff durchläuft einen definierten Freigabeprozess: Antrag, Vier-Augen-Prüfung, dokumentierte Freigabe. Optional integriert in Ihr ITSM.

Geräte-isolierter Zugriff

Externe Dienstleister sehen ausschließlich die für sie freigegebenen Systeme. Laterale Bewegungen in andere Netzwerksegmente sind strukturell ausgeschlossen.

MFA-Durchsetzung

Multi-Faktor-Authentifizierung wird auf Gateway-Ebene erzwungen – auch für externe Partner ohne eigene MFA-Infrastruktur. Integration mit TOTP, FIDO2, Push-Verfahren.

Mandantenfähigkeit

Strikte Trennung zwischen Kunden, Geschäftsbereichen oder Standorten. Für Managed Service Provider und konzernweite Roll-outs konzipiert.

Audit-Trail & Compliance-Reports

Strukturierte Reports für ISO 27001-, NIS2-, DORA- und IEC-62443-Audits direkt aus dem System. Lückenlose Nachweise, manipulationssicher archiviert.

Architekturprinzip: Zero Trust für privilegierte Zugriffe

Die PAB folgt konsequent dem Zero-Trust-Prinzip: kein implizites Vertrauen, minimale Berechtigungen, vollständige Protokollierung. In der Praxis bedeutet das vier strukturelle Eigenschaften, die klassische Jumphost- oder VPN-Lösungen so nicht liefern:

01

Strukturierter Genehmigungsprozess

Privilegierte Zugänge werden nicht erteilt, sondern beantragt und freigegeben. Jeder Zugriff durchläuft einen dokumentierten Freigabeprozess mit Vier-Augen-Prüfung – auch für langjährige Stamm-Dienstleister. Kein „eingewachsener" Daueraccount.

02

Identität vor Netzwerk

Authentifizierung und MFA stehen vor jeder Netzwerk-Verbindung. Der Nutzer erreicht das Zielsystem erst, nachdem seine Identität bewiesen, die Berechtigung geprüft und der Zugriff freigegeben ist. Kein Tunnel ins Netzwerk vor der Identitätsprüfung.

03

Granulare Zonen-Isolation

Jeder Nutzer sieht ausschließlich die für ihn freigegebenen Zielsysteme. Laterale Bewegung in benachbarte Segmente ist auf der Bridge strukturell ausgeschlossen – nicht durch Firewall-Regeln pro Mandant, sondern durch die Bridge-Architektur selbst.

04

Strukturierter Audit-Trail

Jede Aktion wird in maschinenlesbarer Form protokolliert und an Ihr SIEM sowie wahlweise an den Independent Log Vault exportiert. Audit-Reports werden aus den Rohdaten generiert – kein nachträgliches Zusammenstückeln, keine Excel-Listen, keine Auslegungsfragen.

Einsatzszenarien

Privileged Access Management für interne Admins

Systemadministratoren erhalten Zugriffe nur nach dokumentiertem Freigabeprozess, alle Aktionen werden aufgezeichnet. Das Vier-Augen-Prinzip wird strukturell durchgesetzt, statt informell erwartet. Auditoren und BaFin-Prüfer erhalten direkt nachweisbare Kontrollprozesse – nicht nur Richtliniendokumente.

Sichere Fernwartung durch externe Dienstleister

Software-Hersteller, IT-Dienstleister und Wartungspartner erhalten ausschließlich gerätegenaue Zugriffe nach expliziter Freigabe. Vollständige Session-Aufzeichnung, sofortige Terminierungsmöglichkeit, keine dauerhaft aktiven VPN-Zugänge.

Industrielle Fernwartung (OT)

Maschinenhersteller und Systemintegratoren benötigen Zugang zu Produktionsanlagen, SCADA-Systemen und SPS. Die PAB vermittelt über industrielle Protokolle, isoliert Anlagen voneinander und liefert IEC-62443-konforme Kontrollen – ohne Eingriff in laufende Produktionssysteme. Für diesen Einsatz bieten wir zusätzlich ein industrietaugliches Gateway an.

Managed Service Provider mit vielen Kundenmandanten

Ein MSP verwaltet Systeme für dutzende Kunden. Jeder Zugriff muss separat protokolliert, mandantengetrennt gespeichert und kundenspezifisch reportbar sein. Die PAB liefert genau diese Trennung – ohne dass für jeden Kunden eine eigene VPN-Konfiguration nötig wäre.

Cloud-Admin-Zugriffe auf hybride Infrastrukturen

Privilegierte Zugriffe auf Azure-, AWS- und GCP-Ressourcen sowie auf On-Premises-Systeme erfolgen über eine einheitliche Oberfläche. MFA, Genehmigungsworkflow und Session Recording gelten konsistent – unabhängig davon, in welchem Rechenzentrum oder welcher Cloud-Region das Zielsystem liegt.

KRITIS- und NIS2-Compliance-Nachweise

Betreiber kritischer Infrastrukturen müssen privilegierte Zugriffe nachweislich kontrollieren. Die PAB liefert die regulatorisch geforderten Belege – Zugriffsmatrix, Session-Protokolle, Genehmigungs-Historie – direkt aus dem System. Auditoren prüfen Daten, nicht Versprechen.

Privileged Access Bridge im Vergleich

In vielen Unternehmen sind VPN oder klassische Jumphosts der bestehende Stand. Beide haben ihre Daseinsberechtigung – aber sie liefern strukturell nicht die Kontrollen, die regulatorisch verlangt werden:

EigenschaftVPNJumphost (klassisch)Privileged Access Bridge
Granulare Zielsystem-Kontrollemanuell
Session Recordingoptional
Strukturierter Genehmigungsworkflow
Sofortige Session-Terminierungmanuell
MFA-Erzwingung pro Zielsystemeingeschränktmanuell
Mandantenfähige Trennungaufwändigmanuell
Audit-Trail in maschinenlesbarer Formlückenhaft
Keine Software auf Zielsystemen

Die PAB ersetzt VPN nicht in jedem Fall – häufig ist die saubere Kombination aus VPN als Netzwerkschicht plus PAB als Kontrollebene der pragmatische Weg. In Szenarien mit hoher Dienstleisterdichte oder strikten Nachweispflichten ersetzt die PAB klassische Jumphost-Lösungen vollständig.

Integration in Ihre bestehende Infrastruktur

Die PAB ist als Kontrollebene konzipiert – sie ergänzt Ihre bestehenden Identitäts-, SIEM- und ITSM-Systeme, ersetzt sie nicht. Standardintegrationen sind vorhanden, eine REST-API erlaubt darüber hinaus eigene Workflows:

Identity & MFA

Active Directory · Entra ID (Azure AD) · LDAP · SAML 2.0 · OIDC · TOTP · FIDO2 · Push-MFA

Protokolle

RDP · SSH · Telnet · HTTPS · VNC · X11 · serielle Konsolen (bei OT-Gateway) · industrielle Protokolle

SIEM & Logging

Splunk · Microsoft Sentinel · IBM QRadar · Elastic · Syslog · Blackfort Independent Log Vault

ITSM & Workflow

ServiceNow · Jira Service Management · Webhooks · REST API · E-Mail-Approvals

Cloud

Azure · AWS · GCP · OCI · Hybrid-Deployments mit gemischten On-Prem-Targets

Bereitstellungsoptionen

Die PAB wird so betrieben, wie es zu Ihrer Sicherheits- und Betriebsstrategie passt – nicht umgekehrt. Privilegierte Credentials verlassen Ihre Sicherheitszone in keinem der Modelle.

On-Premises

Vollständige Souveränität: PAB läuft auf eigener Hardware oder eigener Virtualisierungsplattform (VMware, Hyper-V, Proxmox, KVM). Kein externer Datenfluss, kein Cloud-Anteil – die richtige Wahl für KRITIS-Betreiber und stark regulierte Umgebungen.

Private Cloud

Deployment in Azure, AWS, GCP oder OCI als gehärtete VM-Instanzen mit IaC-Vorlagen (Terraform). Hochverfügbarkeit über mehrere Availability Zones, Kapselung in Ihrem Tenant.

Managed by Blackfort

Sie nutzen die Plattform, wir betreiben sie: 24/7-Monitoring, Patch-Management, regelmäßige Härtungs-Reviews. Inklusive SLA, ohne dass Ihr Team eigene Betriebskompetenz aufbauen muss.

OT-Bundle mit Hardware-Gateway

Für industrielle Fernwartung: identische Software, gebündelt mit einem lüfterlosen, DIN-Schienen-tauglichen Gateway, das direkt im Schaltschrank oder in der OT-DMZ installiert wird. Inklusive Unterstützung industrieller Protokolle und serieller Konsolen.

Wie eine Einführung typischerweise abläuft

Eine PAB-Einführung ist ein strukturierter, kein experimenteller Prozess. In typischen Projekten – vom mittelständischen Maschinenbauer bis zum KRITIS-Betreiber – arbeiten wir in vier Phasen:

  1. 01

    Bestandsaufnahme & Risikomatrix

    Welche privilegierten Zugänge existieren heute? Über welche Wege? Wer hat welche Berechtigungen? Das Ergebnis ist eine Risikomatrix, die die größten unkontrollierten Zugangspunkte sichtbar macht – häufig die Basis für Management-Entscheidungen.

  2. 02

    Architektur & Pilot

    Auswahl der Bereitstellungsoption, Auslegung der HA-Architektur, Pilot-Rollout für einen abgegrenzten Bereich (z. B. eine Anlage, ein Mandant, eine Admin-Gruppe). Validierung der Genehmigungs-Workflows mit echten Stakeholdern.

  3. 03

    Roll-out & Migration

    Schrittweise Ablösung bestehender Zugangswege: dauerhafte VPN-Zugänge werden geschlossen, Dienstleister werden auf die PAB migriert, Notfall-Zugänge dokumentiert und gehärtet. Begleitung durch unsere Spezialisten – ohne Produktionsunterbrechung.

  4. 04

    Betrieb & Audit-Readiness

    Quartalsweise Compliance-Reports, regelmäßige Härtungs-Reviews, Vorbereitung auf ISO-27001-, NIS2- oder IEC-62443-Audits. Bei Bedarf als Managed Service durch unser Team.

Warum Blackfort für privilegierte Zugriffe?

Blackfort Technology entwickelt und betreibt Sicherheitssoftware für regulierte Umgebungen – mit eigenem Produkt-Team in Deutschland, ohne abhängigkeit von Drittanbieter-Backends, und mit dem Selbstverständnis, dass Sicherheitsprodukte den Betriebsalltag nicht behindern dürfen. Die Privileged Access Bridge ist aus realen Anforderungen unserer Kunden in Industrie, Finanzwesen und KRITIS entstanden – nicht aus einem Marketing-Whitepaper.

Wir verstehen die Realität, dass ein Sicherheitswerkzeug, das den Admin am Wochenende ausbremst, irgendwann umgangen wird. Die PAB ist deshalb für Bedienkomfort optimiert: ein Klick zum Anfordern eines Zugangs, Single-Sign-On wo möglich, vollständige Tastatur-Workflows. Sicherheit wird nicht durch Friktion erzeugt, sondern durch Struktur.

Was uns von klassischen PAM-Anbietern unterscheidet: Wir liefern Hardware-Software-Bundles für OT-Umgebungen, betreiben die Plattform auf Wunsch als Managed Service und integrieren sie nahtlos in unsere weiteren Produkte – etwa den Independent Log Vault für manipulationssichere Langzeitarchivierung der Audit-Daten oder den Privileged Activity Review für automatisierte Anomalie-Erkennung in den aufgezeichneten Sessions.

Privilegierte Zugriffe jetzt strukturell absichern

In einer 30-minütigen Demo zeigen wir Ihnen die Privileged Access Bridge live: Antrags-Workflow, Genehmigung, Session Recording, Audit-Reports. Anschließend besprechen wir Ihre konkrete Architektur und nennen einen belastbaren Preisrahmen.

Live-Demo vereinbarenOT-Variante mit Hardware-Gateway

Kernfunktionen

  • Session Recording & Audit-Trail
  • Strukturierter Genehmigungsworkflow
  • MFA-Durchsetzung
  • Mandantenfähigkeit
  • Geräte-isolierter Zugriff
  • Sofortige Session-Terminierung
  • Agentenlos – keine Software auf Zielsystemen
  • Compliance-Reports auf Knopfdruck

Regulatorischer Rahmen

ManagementsystemISO/IEC 27001
EU-Regulierung (KRITIS)NIS2
FinanzsektorDORA
OT-SicherheitsnormIEC 62443
BSIIT-Grundschutz
DatenschutzDSGVO Art. 32

OT-Variante

Industrielle Fernwartung mit Hardware-Gateway

Identische Software, gebündelt mit einem industrietauglichen Gateway für die OT-DMZ – inklusive Unterstützung industrieller Protokolle.

Zur OT-Variante

Ergänzende Produkte

Demo anfragen

30-minütige Live-Demo mit Antragsworkflow, Genehmigung und Session Recording – an Ihrem Szenario.

Demo vereinbaren

Häufige Fragen zur Privileged Access Bridge

Was ist die Blackfort Privileged Access Bridge?

Die Blackfort Privileged Access Bridge (PAB) ist eine Privileged-Access-Management-Software (PAM), die als gehärtetes Gateway zwischen Nutzern und kritischen Zielsystemen vermittelt. Alle administrativen Zugriffe – durch interne Admins, externe Dienstleister oder Maschinenhersteller – laufen ausschließlich über die Bridge. Sie erzwingt Multi-Faktor-Authentifizierung, vergibt Zugänge nur nach explizit genehmigtem Antrag, zeichnet jede Session vollständig auf und liefert einen manipulationssicheren Audit-Trail. Zielsysteme bleiben unverändert; es ist keine Agent-Installation erforderlich.

Was ist der Unterschied zwischen der Software und der OT-Fernwartungs-Variante?

Die Software ist identisch. Für klassische IT-Umgebungen, Cloud und Service-Provider liefern wir die PAB als reine Software-Lösung – on-premises, in Ihrer Private Cloud oder als hybrides Deployment. Für industrielle Fernwartung bündeln wir dieselbe Software mit einem industrietauglichen, DIN-Schienen-Gateway, das in der DMZ zwischen IT- und OT-Netz positioniert wird (siehe industrie-fernwartung-sicherheit). Sie entscheiden ohne Software-Wechsel, ob Sie nur die Software-Plattform oder das vollständige Hardware-Software-Paket benötigen.

Muss Software auf den Zielsystemen installiert werden?

Nein. Die Privileged Access Bridge ist agentenlos konzipiert. Sie spricht mit den Zielsystemen über deren native Protokolle – RDP, SSH, HTTPS, VNC, sowie eine breite Palette industrieller Protokolle bei OT-Deployments. Legacy-Systeme und proprietäre Steuerungen bleiben unverändert, was Wartungsfenster, Hersteller-Supportverträge und Zertifizierungsstände schont.

Warum reicht ein VPN oder ein klassischer Jumphost nicht aus?

Ein VPN gewährt Netzwerkzugang, aber keine granulare Kontrolle über das, was nach dem Einwählen passiert. Klassische Jumphosts sind oft selbst dauerhaft erreichbar, ohne Session Recording, ohne strukturierten Genehmigungsworkflow, ohne mandantenfähige Trennung. Die Privileged Access Bridge ersetzt oder ergänzt diese Komponenten um genau diese Kontrollen – sie ist die Kontrollebene, die ISO 27001, NIS2 und DORA für privilegierte Zugriffe ausdrücklich verlangen.

Welche Authentifizierungs- und Identitätsquellen werden unterstützt?

Active Directory, Azure AD / Entra ID, LDAP und SAML/OIDC-Identity-Provider werden nativ unterstützt. MFA wird auf Gateway-Ebene erzwungen – auch für externe Dienstleister, die in ihrer eigenen Organisation keine MFA-Infrastruktur betreiben. Für Service-Accounts und automatisierte Prozesse stehen kurzlebige, rotierte Credentials und vault-basierte Secrets-Verwaltung bereit.

Wie integriert sich die PAB in unsere bestehende Tooling-Landschaft?

Session-Metadaten und Audit-Events werden per Syslog oder API an Ihr SIEM weitergegeben (Splunk, QRadar, Microsoft Sentinel, Elastic). Genehmigungs-Workflows können in bestehende ITSM-Systeme (ServiceNow, Jira Service Management) eingebunden werden, sodass Wartungs-Slots als reguläre Tickets bearbeitet werden. Für manipulationssichere Langzeitarchivierung der Logs empfehlen wir die Kombination mit dem Blackfort Independent Log Vault.

Wie wird die PAB betrieben – on-premises oder als Service?

Beides ist möglich. Für Unternehmen ohne eigene Betriebsteams bieten wir die PAB auch als Managed Service an, inklusive Hochverfügbarkeit, Patch-Management und 24/7-Monitoring.

Wie sicher ist der Audit-Trail?

Session-Aufzeichnungen und Audit-Logs werden kryptografisch versiegelt und können in den Blackfort Independent Log Vault als separate, von der PAB-Administration unabhängige Instanz exportiert werden. Damit ist sichergestellt, dass auch PAB-Administratoren ihre eigenen Aktivitäten nicht nachträglich verschleiern können – eine explizite Anforderung in NIS2 und ISO 27001.

Was passiert bei einem Ausfall der Bridge?

Die PAB ist hochverfügbar konfigurierbar (Active-Active oder Active-Passive). Für echte Notfälle existiert ein dokumentierter Break-Glass-Prozess mit separat gesicherten Notfall-Zugangsdaten, deren Nutzung selbst wiederum lückenlos protokolliert wird. Produktionsausfälle durch eine ausgefallene PAB sind in unseren Referenzimplementierungen nicht aufgetreten.

Kontakt aufnehmen

Privilegierte Zugriffe strukturell absichern

Sprechen Sie mit uns über Ihre konkrete Umgebung. Wir nennen einen belastbaren Architektur- und Preisrahmen – konkret, ohne Verpflichtung.

Produkt-Anfrage stellenLive-Demo vereinbaren