In fast jedem mittelständischen Unternehmen gibt es eine Handvoll Mitarbeitende und externe Dienstleister, die über privilegierte Zugänge verfügen: Administratoren, Entwickler mit Produktionszugriff, externe Supportpartner, IT-Dienstleister. Diese Zugänge sind betrieblich notwendig und gleichzeitig das grösste Einfallstor für Datenverluste, Sabotage und regulatorische Verstösse. Wer greift wann auf welche kritischen Systeme zu? Was genau tun diese Personen dort? Und wie beweisen Sie das einem Auditor? Syteca Privileged Access Management adressiert genau diese drei Fragen mit einer Kombination aus zentraler Zugriffskontrolle und lückenloser Benutzeraktivitätsaufzeichnung. In diesem Beitrag zeigen wir, was die Plattform im Alltag leistet, welche Compliance-Anforderungen sie technisch abdeckt und wo ihre Grenzen liegen.
📑 Inhaltsübersicht
Das unterschätzte Risiko privilegierter Zugänge · Was ist Syteca? Plattform und Philosophie · Praxisnutzen: Die drei Säulen der Plattform · Compliance: Was Syteca konkret abdeckt · Technik: Architektur, Integration, Deployment · Grenzen: Wo Syteca an andere Lösungen verweist · Für wen eignet sich Syteca? · Handlungsempfehlungen · Häufig gestellte Fragen
Das unterschätzte Risiko privilegierter Zugänge
In praktisch jeder Organisation existiert eine kleine Gruppe von Benutzerkonten, die technisch gesehen alles dürfen: Domain-Administratoren, Datenbank-Root-Konten, SSH-Zugänge zu produktiven Linux-Systemen, SAP-Basisadministration, Konten externer IT-Dienstleister mit Fernzugriff. Diese Konten sind nicht nur zahlreicher, als die meisten Geschäftsleitungen vermuten. Sie sind vor allem schwieriger zu kontrollieren, weil sie per Definition das umgehen, was normale Endbenutzerkonten einschränkt.
Drei Muster wiederholen sich in der Praxis. Erstens werden privilegierte Konten geteilt, weil Prozesse sonst nicht funktionieren: Das generische «admin»-Konto am Produktionsserver, das vier Personen kennen. Zweitens fehlen Nachweise, wer wann tatsächlich was getan hat, weil Standardprotokollierung meistens auf Anmeldeereignisse beschränkt ist und nicht auf die tatsächlichen Aktivitäten während einer Sitzung. Drittens öffnen externe Dienstleister per VPN oder RDP Sitzungen, in denen alles Mögliche passieren kann, und nichts davon wird strukturiert aufgezeichnet.
Die regulatorische Landschaft verschärft den Druck. Die NIS-2-Richtlinie verlangt nach Artikel 21 Absatz 2 Buchstaben (i) und (j) explizit Access-Control-Policies und Multi-Faktor-Authentisierung für privilegierte Zugriffe. Die DORA-Regulierung für den Finanzsektor fordert in den Regulatory Technical Standards (RTS) 2024/1774, Artikel 21, für kritische oder wichtige Funktionen sogar Just-in-Time-Zugriffe statt dauerhafter Admin-Rechte. Das revidierte Schweizer Datenschutzgesetz (revDSG) verlangt seit dem 1. September 2023 in Artikel 4 der Datenschutzverordnung die Protokollierung von Speichern, Verändern, Bekanntgeben, Löschen, Vernichten und – seit dem 1. Dezember 2025 ausdrücklich – Zugreifen auf besonders schützenswerte Personendaten, bei Retention von mindestens einem Jahr auf einem vom Produktionssystem getrennten Log-Speicher. Das FINMA-Rundschreiben 2023/01 schreibt Banken in Randziffer 72 Auswahl, Schulung, Monitoring und regelmässige Überprüfung privilegierter Zugriffe vor. All diese Anforderungen haben eine Gemeinsamkeit: Sie lassen sich ohne eine spezialisierte Lösung für Privileged Access Management und Sitzungsaufzeichnung in der Praxis nicht belastbar erfüllen.
Was ist Syteca Privileged Access Management?
Syteca Privileged Access Management ist eine spezialisierte Cybersecurity-Plattform, die Zugriffskontrolle mit User Activity Monitoring kombiniert. Das Unternehmen operiert seit 2013 und firmierte bis Mai 2024 unter dem Namen Ekran System. Die Umfirmierung war ein reines Rebranding ohne Eigentümer- oder Produktwechsel; bestehende Lizenzen blieben gültig. Der heutige Name setzt sich aus «System», «Technology» und «Access» zusammen.
Die Plattform basiert auf einer klaren These: Zugriffskontrolle und Aktivitätsaufzeichnung gehören zusammen. Andere Produkte im Markt decken oft nur einen der beiden Aspekte ab. Klassische PAM-Lösungen verwalten Passwörter und Sitzungen, zeichnen aber nicht immer die tatsächlichen Nutzeraktivitäten vollständig auf. Umgekehrt protokollieren reine Monitoring-Tools zwar Aktivitäten, kontrollieren aber nicht, wer überhaupt auf welche Systeme zugreift. Syteca verbindet beide Welten in einer einzigen Architektur mit gemeinsamer Datenbasis. Das Ergebnis ist ein System, das auf jede sicherheitsrelevante Frage eine auditfeste Antwort liefert: Wer hatte Zugriff? Wer hat zugegriffen? Was genau wurde gemacht? Wann ist das passiert? Und wie wird das manipulationssicher belegt?
Syteca verfügt über ein solides Zertifikate-Portfolio: ISO/IEC 27001 seit 2015 mit aktueller Rezertifizierung 2025, ISO 9001 seit 2019, die britische Cyber-Essentials-Zertifizierung seit 2023, und Syteca war Mitwirkender an der NIST Special Publication 1800-18 «Privileged Account Management for the Financial Services Sector» des National Cybersecurity Center of Excellence. Die Plattform wird in der Praxis von Kunden aus Banking, Gesundheitswesen, Energie, Industrie, öffentlichem Sektor und IT-Dienstleistung eingesetzt. Publizierte Referenzkunden umfassen unter anderem OTP Bank (Banking, über 40’000 Mitarbeitende), VakifBank (Banking mit SWIFT CSP und PCI DSS), Super-Pharm (Retail mit über 10’000 Mitarbeitenden) und mehrere anonymisierte Finanzdienstleister in den USA. Für den DACH-Raum hat Techway selbst einen dokumentierten Einsatz bei Raiffeisen-IT GmbH umgesetzt.
Praxisnutzen: Die drei Säulen der Plattform
Die Syteca-Plattform gliedert sich funktional in drei Säulen, die gemeinsam den operativen Mehrwert ausmachen: Privileged Access Management, User Activity Monitoring mit Session Recording und Identity Threat Detection and Response.
Säule 1: Syteca Privileged Access Management im Kern
Der PAM-Teil der Plattform ersetzt geteilte Administrator-Passwörter auf Klebezetteln oder in Excel-Tabellen durch einen zentralen, verschlüsselten Passwort-Tresor. Privilegierte Konten werden dort zentral verwaltet, automatisch rotiert und nur auf konkrete Anfrage temporär freigegeben. Das Konzept heisst Just-in-Time-Zugriff: Ein Administrator oder externer Dienstleister beantragt Zugang, der Antrag wird genehmigt, die Zugangsdaten werden für ein definiertes Zeitfenster bereitgestellt (standardmässig 30 Minuten), und nach Ablauf verliert das Credential seine Gültigkeit oder wird automatisch rotiert. Parallel dazu erlaubt die sekundäre Authentifizierung, individuelle Personen hinter geteilten Konten zu identifizieren: Wer sich über das technische «admin»-Konto anmeldet, muss sich zusätzlich mit seiner persönlichen Identität ausweisen. Das ermöglicht Nachverfolgbarkeit, ohne bestehende technische Betriebsabläufe umbauen zu müssen.
Seit November 2024 verfügt die Plattform über automatisches Privileged Account Discovery. Diese Funktion scannt Active Directory, lokale Windows-Systeme und Linux-Umgebungen nach bereits existierenden privilegierten Konten und liefert ein Inventar, das als Grundlage für systematisches Access Governance dient. In der Praxis finden Kunden dabei typischerweise zweistellige Prozentzahlen an vergessenen oder undokumentierten Konten.
Säule 2: User Activity Monitoring und Session Recording
Während PAM definiert, wer zugreifen darf, dokumentiert das User Activity Monitoring, was während einer Sitzung tatsächlich passiert. Syteca zeichnet Sitzungen als Video auf, ergänzt um indexierte Textmetadaten zu Fenstertiteln, besuchten URLs, Tastatureingaben, ausgeführten Kommandozeilen, genutzten USB-Geräten und IP-Verbindungen. Die Aufzeichnungen sind durch AES-256-Verschlüsselung und SHA-256-Hashing manipulationsgeschützt. Administratoren können ihre eigenen Sitzungen nicht im Nachhinein löschen oder modifizieren – ein Kernanforderung der Protokollierungspflichten nach BSI IT-Grundschutz OPS.1.1.5 und ISO 27001:2022 Control A.8.15.
Der praktische Nutzen der Textindexierung zeigt sich bei forensischen Untersuchungen. Statt stundenlange Videoaufnahmen sichten zu müssen, kann eine Revision gezielt nach Stichworten suchen und springt direkt zu den Sekunden, in denen eine bestimmte Datenbankabfrage ausgeführt oder ein sensibles Dokument geöffnet wurde. Für die Exportierbarkeit von Beweismaterial liefert Syteca ein proprietäres .EFE-Format: Sitzungsdaten werden digital signiert mit einem serverspezifischen Schlüssel exportiert. Das Format erlaubt die gerichtsfeste Weiterreichung an Staatsanwaltschaften, Wirtschaftsprüfer oder Regulatoren, ohne dass die Integrität der Daten in Frage gestellt werden kann.
Säule 3: Echtzeit-Alerts und automatisierte Reaktion
Die dritte Säule macht aus Aufzeichnung Reaktion. Syteca analysiert Benutzerverhalten kontinuierlich gegen definierte Regeln und Verhaltensbasislinien. Abweichungen lösen Echtzeit-Alerts aus, und die Plattform kann auf vordefinierte Regeln automatisch reagieren: Ein Prozess wird beendet, ein Benutzer wird aus der Sitzung geworfen, eine Warnmeldung wird dem Benutzer direkt auf dem Bildschirm angezeigt, bevor er eine kritische Aktion abschliesst. Typische Anwendungsfälle reichen von «ausgehende Datenübertragungen grösser als 500 MB ausserhalb der Geschäftszeiten blockieren» bis zu «warnen, wenn ein Administrator auf Produktivsysteme zugreift, für die er keinen offenen Change-Ticket hat».
Diese Funktion entspricht dem, was Analysten als Identity Threat Detection and Response (ITDR) bezeichnen. Sie ist der zentrale Mechanismus, über den Syteca die Detektionspflichten aus DORA Artikel 10, NIS-2 Artikel 21(2)(b) und FINMA-Rundschreiben 2023/01 Randziffer 65 operativ abdeckt.
💡 Praktisches Szenario: Externer Datenbank-Administrator
Ein externer Datenbank-Administrator benötigt einmalig Zugriff auf eine produktive SQL-Datenbank, um eine Migration durchzuführen. Ohne Syteca erhält er vermutlich dauerhaft das Admin-Passwort per Mail oder VPN-Verbindung mit unbeschränktem Zugriff. Mit Syteca beantragt er den Zugang über ein Ticket, ein interner Freigeber bestätigt, die Plattform stellt das Passwort automatisch rotiert für das genehmigte Zeitfenster bereit, die gesamte Sitzung wird als Video mit indexierten SQL-Kommandos aufgezeichnet, und nach Abschluss ist der Zugang wieder entzogen. Bei einer späteren Revision kann die interne Prüfung in Minuten nachweisen, welche Tabellen geöffnet, welche Abfragen ausgeführt und welche Daten verändert wurden.
Compliance: Was Syteca konkret abdeckt
Syteca Privileged Access Management wird in der Praxis fast immer im Kontext eines konkreten Compliance-Mandats beschafft. Die Plattform deckt Kontrollen aus praktisch allen für den DACH-Raum relevanten Rahmenwerken ab, allerdings mit unterschiedlicher Tiefe. Eine granulare Übersicht mit Artikel- und Randziffernzuordnung haben wir in einem separaten Beitrag aufbereitet. Die wichtigsten Bezüge im Überblick:
NIS-2-Richtlinie (EU 2022/2555)
Die NIS-2-Richtlinie richtet sich an wesentliche und wichtige Einrichtungen in der EU und verlangt in Artikel 21 einen umfangreichen Katalog technischer und organisatorischer Massnahmen. Syteca Privileged Access Management adressiert fünf der zehn geforderten Massnahmenbereiche direkt: Incident Handling (b), Lieferkettensicherheit für den Zugriff durch Dritte (d), Personalsicherheit und Zugriffskontrolle (i), Multi-Faktor-Authentisierung (j, mit der Einschränkung, dass Syteca zeitbasierte Einmalpasswörter unterstützt und für höchste Schutzniveaus mit phishing-resistenten Faktoren über vorgelagerte Identity Provider wie Microsoft Entra ID oder Okta ergänzt werden sollte), sowie die Aufzeichnung privilegierter Aktivitäten zur Wirksamkeitsprüfung (f). Für die ebenfalls geforderte Meldung von Vorfällen binnen 24 Stunden (Frühwarnung) und 72 Stunden (Vorfallsmeldung) liefert Syteca die forensische Nachweisebene über .EFE-Exporte.
Für Schweizer Unternehmen gilt NIS-2 nicht direkt, da die Schweiz kein EU-Mitglied ist. Sie trifft Schweizer Firmen jedoch indirekt: über Vertragskaskaden mit EU-Kunden, über Lieferantenanforderungen von EU-KRITIS-Organisationen und – für Schweizer Cloud-, MSP- und MSSP-Anbieter, die EU-Kunden bedienen – direkt über Artikel 26(3) mit der Pflicht, einen EU-Vertreter zu bestellen.
DORA (Verordnung EU 2022/2554) und RTS 2024/1774
DORA ist seit 17. Januar 2025 für EU-Finanzunternehmen direkt anwendbar. Die Verordnung und ihr technischer Regulatory Technical Standard 2024/1774 enthalten die derzeit detailliertesten Vorgaben zu Privileged Access in der europäischen Regulierung. Artikel 9(4)(c) verlangt Zugriffsbeschränkung nach Least-Privilege- und Need-to-Know-Prinzip; Artikel 9(4)(d) fordert starke Authentifizierungsmechanismen. Artikel 21 der RTS 2024/1774 geht noch weiter und schreibt für kritische oder wichtige Funktionen Just-in-Time- oder Ad-hoc-Zugriff statt permanenter Administrationsrechte vor, jährliche Rezertifizierung der Zugriffsrechte und halbjährliche Rezertifizierung für kritische Funktionen.
Syteca deckt den technischen Kern dieser Anforderungen vollständig ab: Vault, Just-in-Time-Workflow, sekundäre Authentifizierung, Session Recording, Privileged Account Discovery. Die Rezertifizierungskampagnen selbst sind eine Governance-Aufgabe, für die Syteca die notwendigen Reports liefert, aber nicht das Kampagnenmanagement ersetzt. Schweizer Finanzunternehmen sind von DORA indirekt betroffen: über Artikel 30 müssen sie als ICT-Dienstleister von EU-Kunden bestimmte Vertragsklauseln akzeptieren, und seit der ersten Liste der kritischen ICT-Drittdienstleister vom 18. November 2025 sind direkte Designationen durch die europäischen Aufsichtsbehörden möglich.
Revidiertes Schweizer Datenschutzgesetz (revDSG)
Artikel 8 des revDSG verlangt risikogerechte technische und organisatorische Massnahmen. Artikel 4 der Datenschutzverordnung (DSV) konkretisiert diese Pflicht zur Protokollierung und wurde am 1. Dezember 2025 explizit um das «Zugreifen» erweitert. Wer automatisiert besonders schützenswerte Personendaten in grossem Umfang bearbeitet oder Profiling mit hohem Risiko durchführt, muss Speichern, Verändern, Bekanntgeben, Löschen, Vernichten und Zugreifen protokollieren. Die Retention beträgt mindestens ein Jahr, die Logs müssen vom Produktionssystem getrennt sein, und der Zugriff ist auf Datenschutz- und Sicherheitsprüfer zu beschränken.
Diese Anforderung trifft genau den Syteca-Standardbetrieb: Vollständige Aktivitätsprotokollierung inklusive Leseaktivität, separater Log-Speicher über den Application Server oder eine integrierte SIEM-Plattform, administrative Zugriffstrennung auf die Logs. Für die Meldung von Datenschutzverletzungen an den EDÖB nach Artikel 24 revDSG liefert Syteca die Detektionsebene (UEBA-basierte Alerts) und die Nachweisebene (.EFE-Exporte mit digitaler Signatur).
FINMA-Rundschreiben 2023/01
Das seit dem 1. Januar 2024 in Kraft befindliche FINMA-Rundschreiben 2023/01 «Operationelle Risiken und Resilienz – Banken» enthält in Kapitel IV-D zum Schutz kritischer Daten in Randziffer 72 konkrete Anforderungen an privilegierte Zugriffe: Auswahl, Schulung, Monitoring und regelmässige Überprüfung der Zugriffsberechtigten sowie ein rollenbasiertes Berechtigungssystem. Randziffer 65 verlangt kontinuierliches Monitoring zur zeitnahen Erkennung von Cyber-Angriffen auf IKT und kritische Daten. Randziffer 51 fordert strikte Trennung zwischen Entwicklung, Test und Produktion inklusive der entsprechenden Zugangsberechtigungen.
Syteca adressiert diese drei Randziffern mit dem Kern seiner Plattform: Rollenbasiertes Vault-Zugriffskonzept, privilegierte Sitzungsaufzeichnung, kontinuierliches UAM, Privileged Account Discovery und Echtzeit-Alerts auf Anomalien. Für die BCM- und Operational-Resilience-Anforderungen der Randziffern 83 bis 104 ist die Plattform nicht zuständig – hier sind eigenständige Business-Continuity-Lösungen erforderlich.
ISO/IEC 27001:2022
Die aktuelle Fassung von ISO 27001:2022 hat mehrere Controls eingeführt oder überarbeitet, die direkt Syteca-Funktionen entsprechen. Control A.8.2 «Privileged access rights» enthält zwölf einzelne Anforderungspunkte, von denen Syteca fast alle abdeckt: Inventar privilegierter Konten, ereignisbasierte Zugriffe, Ablaufdatum, Break-glass-Prozesse, vollständige Aktivitätsprotokollierung, keine generischen Konten, separate Admin-Identitäten. Die 2022 neu eingeführte Control A.8.16 «Monitoring activities» verlangt explizit Anomaly-Detection mit Baselines, SIEM-Integration und Echtzeit-Alerts. Control A.8.15 «Logging» fordert manipulationsgeschützte Logs mit Uhr-Synchronisation und der Eigenschaft, dass Administratoren ihre eigenen Logs nicht modifizieren können.
Für die Identity-Management-Controls A.5.15 bis A.5.18 liefert Syteca die technische Ausführung, die Governance-Ebene (Access-Reviews, Rezertifizierungskampagnen, formale Policy-Dokumentation) bleibt organisatorisch und wird bei Bedarf durch ergänzende IGA-Tools oder GRC-Plattformen umgesetzt.
📘 Detaillierte Kontroll-Mappings für Auditoren
Wenn Sie Syteca im Rahmen eines konkreten Audits evaluieren oder einem Wirtschaftsprüfer gegenüber die Abdeckung einzelner Artikel, Randziffern oder Controls belegen müssen, haben wir die komplette Zuordnung in einem eigenen Beitrag aufbereitet: Syteca und DACH-Compliance: Detailliertes Kontroll-Mapping für NIS-2, DORA, revDSG, FINMA und ISO 27001:2022. Der Beitrag enthält tabellarische Übersichten mit Artikel- und Randziffern-Zuordnung, inklusive ehrlicher Markierung der Stellen, an denen Syteca allein nicht ausreicht und welche ergänzenden Massnahmen erforderlich sind.
Technik: Architektur, Integration, Deployment
Die technische Architektur von Syteca Privileged Access Management ist pragmatisch und an mittelständische Umgebungen angepasst. Das Kernsystem besteht aus einem Application Server, der Management-Oberfläche (wahlweise als Webkonsole), einer MS-SQL-Server- oder PostgreSQL-Datenbank ab Version 13 für die Aufzeichnungen, einem optionalen Connection Manager als Jump-Broker und den Syteca-Clients auf den überwachten Endpunkten.
Agent-basiert und seit Version 7.21 auch agentenlos
Syteca ist primär agent-basiert: Ein schlanker Client wird auf den überwachten Endpunkten installiert und protokolliert Aktivitäten direkt am Entstehungsort. Mit Version 7.21 wurde ein agentenloser Zugangspfad über den Web Connection Manager eingeführt: Administratoren und externe Dienstleister können RDP-Sitzungen auf Windows-Ziele und SSH-Sitzungen auf Linux- und UNIX-Ziele direkt im Browser öffnen, ohne dass auf dem Zielsystem ein Client installiert ist. Diese Variante eignet sich besonders für externe Dienstleister und Geräte, auf denen kein permanenter Agent erwünscht ist.
Plattformabdeckung
Die Plattform unterstützt Windows-Desktop und -Server (einschliesslich Server 2025, 2022, 2019 und älterer Versionen), macOS (Monterey, Ventura, Sonoma, sowohl Intel als auch Apple Silicon), Linux mit Kernel ab 2.6.32 (RPM-Pakete für RHEL/CentOS, x64/x86/SELinux), UNIX (Solaris SPARC, Solaris x86_64, IBM AIX), Citrix XenApp und Virtual Apps and Desktops, VMware Horizon, Microsoft Hyper-V, Windows Virtual Desktop/AVD in Azure und Amazon WorkSpaces. Die unterstützten Protokolle umfassen RDP, SSH, Telnet sowie dedizierte Unterstützung für X11-Forwarding und Wayland.
Integrationen
Für SIEM-Anbindung unterstützt Syteca Splunk, IBM QRadar und Micro Focus ArcSight über CEF- und LEEF-Format mit optionaler TLS-Verschlüsselung. Ticketing-Integration ist nativ für SysAid und ServiceNow verfügbar; für andere Systeme wie Jira steht eine REST-API-Brücke zur Verfügung. Authentifizierungsseitig unterstützt die Plattform Active Directory nativ, Microsoft Entra ID (ehemals Azure AD) und Okta über SAML 2.0, ForgeRock und generische SAML-Identity-Provider. Die Zwei-Faktor-Authentifizierung basiert auf TOTP über Google Authenticator oder Microsoft Authenticator; SMS-basierte 2FA wird explizit nicht unterstützt, was sicherheitstechnisch eine bewusste Entscheidung ist, da SMS als Zweitfaktor als kompromittierbar gilt.
Deployment-Modelle
Syteca lässt sich in allen gängigen Modellen betreiben: On-Premises mit voller Datensouveränität, als SaaS-Deployment durch Syteca selbst gehostet, als Self-Managed-Cloud auf AWS oder Azure (beide mit Marketplace-Listings), und in offline- beziehungsweise air-gapped-Umgebungen über die Offline-Lizenzaktivierung. Für MSPs und grosse Organisationen mit mehreren getrennten Mandanten existiert ein Master Panel, das die zentrale Überwachung aller Application Server-Deployments aggregiert. Für Hochverfügbarkeit wird der Betrieb auf einem MS-Failover-Cluster mit Storage-Replica empfohlen; für Disaster Recovery unterstützt die Plattform Warm-Standby-Konfigurationen.
Die Skalierungscharakteristik der Plattform ist transparent dokumentiert: Pro Workstation-Client mit achtstündigem Arbeitstag entstehen etwa 150 MB Datenvolumen täglich. Mittlere Deployments bewältigen bis zu 1’000 gleichzeitige Sitzungen mit einem Application Server; grosse Deployments bis zu 10’000 gleichzeitige Sitzungen bei entsprechender Datenbankdimensionierung.
Grenzen: Wo Syteca an andere Lösungen verweist
Eine ehrliche Produktbeurteilung benennt auch die Grenzen. Syteca ist ein fokussiertes PAM- und UAM-Produkt, kein vollständiges Identity-Management-System und kein Schwachstellen-Scanner. Wer die Plattform evaluiert, sollte drei Abgrenzungen kennen.
Erstens: Multi-Faktor-Authentifizierung. Syteca unterstützt TOTP als zweiten Faktor. Für Umgebungen mit besonders hohem Schutzbedarf oder expliziten regulatorischen Anforderungen an phishing-resistente Authentifizierung (etwa bestimmte Konstellationen unter DORA RTS 2024/1774 Artikel 21) empfiehlt sich die Vorschaltung eines Identity Providers wie Microsoft Entra ID mit FIDO2/WebAuthn oder Hardware-Token. Syteca übernimmt dann die PAM- und Aufzeichnungsebene, die Authentifizierung wird vom vorgelagerten IdP gehandelt.
Zweitens: Identity Governance und Access Reviews. Privileged Account Discovery inventarisiert privilegierte Konten, aber automatisierte Rezertifizierungskampagnen für Access Reviews sind keine Kernfunktion. Wer formale, dokumentierte Access-Review-Zyklen nach ISO 27001 A.5.18 oder DORA RTS Artikel 21 benötigt, kombiniert Syteca typischerweise mit einer IGA-Plattform wie One Identity, SailPoint oder Saviynt. Für mittelständische Organisationen reichen die Syteca-eigenen Reports und Ad-hoc-Reviews in der Regel aus.
Drittens: Adjacent Security Domains. Syteca ersetzt kein Data Loss Prevention Tool, keinen Schwachstellen-Scanner, kein Patch-Management-System und keine Netzwerk-Mikrosegmentierung. Die Plattform beobachtet privilegierte Aktivitäten; andere Werkzeuge kümmern sich um andere Bedrohungsvektoren. Eine vollständige Sicherheitsarchitektur kombiniert Syteca mit komplementären Komponenten, typischerweise inklusive Endpoint Detection and Response, Schwachstellen-Management, E-Mail-Security und Netzwerksegmentierung.
Für wen eignet sich Syteca Privileged Access Management?
Die Plattform zielt auf mittelständische und grosse Organisationen, die privilegierte Zugriffe, externe Dienstleister und regulatorische Nachweispflichten strukturiert managen müssen, ohne eine Enterprise-PAM-Lösung mit entsprechender Implementierungskomplexität einführen zu wollen. Drei Zielgruppen finden bei Syteca einen besonders guten Fit.
Regulierte Finanzdienstleister im KMU-Segment: Banken, Vermögensverwalter, Versicherungen und Zahlungsdienstleister, die FINMA-Rundschreiben 2023/01 und DORA-Vorgaben erfüllen müssen, aber kein vielköpfiges Sicherheitsteam unterhalten. Syteca liefert die kontrollseitige Grundlage für die Nachweise zu privilegierten Zugriffen und kritischen Daten.
Gesundheitswesen und kritische Infrastrukturen: Spitäler, Krankenkassen, Energieversorger und Wasserwerke, die unter den B3S-Standards oder dem revDSG besonders schützenswerte Personendaten in grossem Umfang verarbeiten. Die Protokollierungspflichten nach Artikel 4 DSV sind mit Syteca direkt abbildbar, ebenso die IT-Grundschutz-Bausteine ORP.4, OPS.1.1.5 und OPS.1.2.5.
IT-Dienstleister und Managed Service Provider: Unternehmen, die für mehrere Kundenmandanten IT-Leistungen erbringen und dabei selbst privilegierte Zugriffe auf Kundensysteme benötigen. Die Multi-Tenant-Architektur mit Master Panel erlaubt zentrale Überwachung aller Kundensysteme bei gleichzeitiger mandantenscharfer Datentrennung. Für die Kundenseite wird der MSP-Zugriff durch die Sitzungsaufzeichnung revisionssicher belegt.
Weniger geeignet ist Syteca für sehr kleine Organisationen mit 10 bis 12 Mitarbeitenden, bei denen die Anzahl privilegierter Konten einstellig bleibt und die regulatorische Exposition überschaubar ist. Auch hier lässt sich allerdings Mehrwert ziehen: Wer als Kleinunternehmen besonders schützenswerte Personendaten verarbeitet, externe IT-Dienstleister mit Fernzugriff einsetzt oder als Zulieferer eines grösseren regulierten Kunden dessen Lieferantenanforderungen erfüllen muss, findet bei Syteca bereits mit einem schlanken Deployment über wenige Endpunkte die passende Antwort. Ein Einstieg mit fünf bis zehn überwachten Systemen und einem zentralen Vault ist lizenztechnisch wie betrieblich schlank genug, um auch ohne dediziertes Security-Team tragbar zu bleiben.
Und das ist kein reines Nice-to-have mehr. Gerade kleinere Organisationen sind heute ein attraktives Ziel für Ransomware- und Supply-Chain-Angriffe, weil Angreifer von schwächeren Kontrollen und knapperen IT-Ressourcen ausgehen. Ein erfolgreicher Angriff trifft ein Kleinunternehmen doppelt: Die Produktionssysteme fallen aus, oft für Tage, und parallel greifen regulatorische Meldepflichten – Artikel 24 revDSG an den EDÖB «so rasch als möglich», bei kritischen Infrastrukturen zusätzlich 24 Stunden Erstmeldung an das BACS nach Artikel 74b ISG. Wer in diesem Moment nicht belegen kann, welche Daten betroffen sind, welche privilegierten Konten kompromittiert wurden und welche Aktivitäten auf den betroffenen Systemen stattgefunden haben, steht nicht nur vor einem operativen, sondern vor einem regulatorischen Problem. Genau diese Belege – lückenlose Sitzungsaufzeichnung, manipulationsgeschützte Logs, exportierbare Forensik – liefert Syteca auch in der kleinsten Deployment-Variante.
Handlungsempfehlungen für CISOs und IT-Verantwortliche
Wenn Sie als CISO oder IT-Verantwortlicher überlegen, ob Syteca zu Ihrer Organisation passt, hat sich in unserer Praxis folgender Evaluationspfad bewährt. Beginnen Sie mit einer ehrlichen Bestandsaufnahme Ihrer privilegierten Zugänge: Wie viele Administrator-Konten existieren in Ihrer Umgebung, welche sind aktiv, welche gehören ehemaligen Mitarbeitenden, welche externen Dienstleister haben dauerhaft welche Zugänge, und welche Sitzungen werden tatsächlich revisionssicher aufgezeichnet?
Identifizieren Sie parallel den konkreten regulatorischen Druck: Welche Rahmenwerke betreffen Sie direkt, welche indirekt über Kundenanforderungen, und welche Kontrollen sind bei der nächsten externen Prüfung kritisch? Viele Organisationen entdecken in diesem Schritt, dass sie bestimmte Protokollierungspflichten nach Artikel 4 DSV oder FINMA-RS 2023/01 Randziffer 72 nur unvollständig erfüllen, weil die technische Grundlage fehlt.
Evaluieren Sie Syteca in einem Proof of Concept mit realen Nutzungsszenarien. Die Plattform bietet einen kostenlosen Test, und ein typischer Proof of Concept mit fünf bis zehn privilegierten Konten und zwei bis drei überwachten Endpunkten ist innerhalb von zwei bis vier Wochen produktiv. Das gibt Ihnen belastbare Grundlage für die Entscheidung, ohne auf Marketingversprechen angewiesen zu sein.
TECHWAY begleitet Schweizer und DACH-Unternehmen bei dieser Evaluation von der Bestandsaufnahme über die Anforderungsanalyse bis zur Inbetriebnahme und zum laufenden Betrieb. Als autorisierter Syteca-Distributionspartner für die DACH-Region verfügen wir über die technische Expertise und die lokale Präsenz, um den Evaluationspfad schlank und ergebnisorientiert zu halten.
🔎 Privilegierte Zugriffe auf den Prüfstand stellen?
TECHWAY analysiert Ihre bestehende PAM-Landschaft, identifiziert die kritischen Lücken gemessen an Ihren regulatorischen Anforderungen und begleitet Sie bei der Evaluation und Einführung von Syteca. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
⚡ Key Takeaways
- Privilegierte Zugänge sind in fast jeder Organisation das grösste operative und regulatorische Restrisiko: zu viele Konten, zu wenig Nachweise, zu schwache Kontrollen externer Dienstleister.
- Syteca Privileged Access Management verbindet Zugriffskontrolle mit lückenloser Benutzeraktivitätsaufzeichnung in einer einzigen Plattform mit gemeinsamer Datenbasis.
- Die drei Säulen der Plattform sind: PAM mit Vault und Just-in-Time-Zugriff, UAM mit manipulationsgeschützter Sitzungsaufzeichnung, und Echtzeit-Alerts mit automatisierter Reaktion.
- Syteca adressiert die Kernanforderungen von NIS-2, DORA, revDSG, FINMA-RS 2023/01, ISO 27001:2022 und BSI IT-Grundschutz auf der technischen Kontrollebene; Governance und ergänzende Kontrollen bleiben organisatorisch.
- Für höchste Schutzniveaus empfiehlt sich die Kombination mit einem vorgelagerten Identity Provider für phishing-resistente Multi-Faktor-Authentifizierung.
- Die Zielgruppe umfasst regulierte Finanzdienstleister, Gesundheitswesen, kritische Infrastrukturen und Managed Service Provider – überall dort, wo privilegierte Zugriffe strukturiert, kontrolliert und auditfest nachgewiesen werden müssen.
Häufig gestellte Fragen zu Syteca Privileged Access Management
Was unterscheidet Syteca von klassischen PAM-Lösungen wie CyberArk oder BeyondTrust?
Klassische Enterprise-PAM-Produkte bieten grössere Governance-Tiefe, umfassendes Cloud Infrastructure Entitlement Management und tiefe DevOps-Integrationen. Syteca kombiniert dagegen PAM und User Activity Monitoring mit lückenloser Sitzungsaufzeichnung in einer einzigen Plattform und richtet sich an mittelständische Organisationen, die ohne grosses Sicherheitsteam professionelle Kontrollen einführen wollen.
Welche regulatorischen Anforderungen deckt Syteca ab?
Syteca adressiert auf technischer Kontrollebene Anforderungen aus NIS-2 Artikel 21, DORA und RTS 2024/1774 Artikel 21, revDSG Artikel 8 und Artikel 4 DSV, FINMA-Rundschreiben 2023/01, ISO 27001:2022 Controls A.5.15 bis A.8.18 sowie BSI IT-Grundschutz-Bausteine ORP.4, OPS.1.1.2, OPS.1.1.5 und OPS.1.2.5. Governance-Ebenen wie formale Policy-Dokumentation und Access-Review-Kampagnen bleiben organisatorisch.
Wie lange dauert die Einführung von Syteca?
Ein typischer Proof of Concept mit fünf bis zehn privilegierten Konten und zwei bis drei überwachten Endpunkten ist innerhalb von zwei bis vier Wochen produktiv. Produktive Deployments in mittelständischen Umgebungen dauern je nach Komplexität wenige Wochen bis einige Monate, abhängig vor allem von den Integrationen in bestehende Active Directory-, SIEM- und Ticketing-Systeme.
Welche Plattformen und Betriebssysteme unterstützt Syteca?
Syteca unterstützt Windows-Desktop- und -Server-Versionen, macOS inklusive Apple Silicon, Linux ab Kernel 2.6.32, UNIX-Derivate wie Solaris und IBM AIX, Citrix XenApp und Virtual Apps and Desktops, VMware Horizon, Microsoft Hyper-V, Windows Virtual Desktop und Amazon WorkSpaces. Die unterstützten Protokolle umfassen RDP, SSH und Telnet.
Kann Syteca on-premises und in der Cloud betrieben werden?
Ja, Syteca unterstützt alle gängigen Deployment-Modelle: On-Premises mit voller Datensouveränität, SaaS durch Syteca gehostet, Self-Managed auf AWS oder Azure mit Marketplace-Listings, und offline beziehungsweise air-gapped über Offline-Lizenzaktivierung. Die Wahl hängt von regulatorischen Anforderungen, Datensouveränitätspräferenzen und bestehender Infrastruktur ab.
Ist Syteca auch für externe Dienstleister und Lieferanten geeignet?
Ja, das ist einer der Kernanwendungsfälle. Externe Dienstleister können über den Web Connection Manager agentenlos RDP- und SSH-Sitzungen starten, die vollständig aufgezeichnet werden. Just-in-Time-Zugriff mit temporären Passwörtern, zeitbeschränkte Sitzungen und ticketbasierte Freigaben machen Vendor-Zugriffe revisionssicher. Das adressiert direkt die Lieferkettensicherheitsanforderungen aus NIS-2 Artikel 21(2)(d) und DORA Artikel 28.
