PAM-Anbietervergleich 2026: USA vs EU — Architektur, Sicherheit und Preisgestaltung
Die Bewertung von Enterprise-PAM in Europa im Jahr 2026 ist nicht dieselbe Entscheidung wie 2022. Die EU-NIS2-Richtlinie gilt seit Januar 2023; das polnische Umsetzungsgesetz (UKSC) trat im April 2026 in Kraft, mit einer Compliance-Frist bis April 2027 für betroffene Einrichtungen. Die DSGVO-Durchsetzung beschleunigt sich. Die Frage lautet nicht mehr nur „Welches PAM hat die besten Funktionen" — sondern „Welchem PAM kann ich für EU-Regulatory-Compliance tatsächlich vertrauen und welches hält meine Daten in Europa." Dieser Artikel vergleicht fünf führende PAM-Plattformen in vier Dimensionen, die für europäische Unternehmenskäufer am wichtigsten sind: Architektur, EU-Sicherheitsposture, Preismodell und Eignung für RDP-basierte Infrastruktur.
Die fünf Anbieter
PAM-Anbieter im Jahr 2026 auszuwählen bedeutet, einen Markt zu navigieren, der Cloud-native US-Startups, europäische regulierte etablierte Anbieter und eine neue Welle von EU-Gründern umfasst, die speziell für das NIS2-Zeitalter entwickelt wurden. Hier ist, wo jeder der fünf Anbieter in diesem Vergleich steht.
Anbieter A (USA) ist eine Cloud-native PAM-Plattform mit Sitz in den USA, die ihre Reputation im SSH- und Kubernetes-Zugriffsmanagement aufgebaut hat und seitdem auf Windows Desktop (RDP) und Datenbankzugriff erweitert wurde. Sein Preismodell basiert auf Verbrauch — Monatlich Aktive Benutzer plus geschützte Ressourcen — was es für Organisationen mit intensiver Engineering-Umgebung und vorhersehbarer Infrastruktur attraktiv macht. Es veröffentlicht keine Garantien zur EU-Datenresidenz auf seiner öffentlichen Website.
Anbieter B (USA) ist eine Multi-Protokoll-PAM-Plattform mit Sitz in den USA mit breiter Abdeckung: Datenbanken (PostgreSQL, MySQL, MSSQL, MongoDB), Server (SSH, RDP), Kubernetes und Cloud-Dienste in einem Proxy-Modell. Es wurde Anfang 2026 von einem großen Legacy-PAM-Anbieter übernommen. Die Preisgestaltung erfordert für alle Stufen einen Vertriebskontakt. EU-Datenresidenz ist nicht öffentlich dokumentiert.
Anbieter C (EU) ist ein französisches börsennotiertes Unternehmen mit dualer BSI- und ANSSI-Zertifizierung — der einzige Anbieter in diesem Vergleich mit sowohl deutschen als auch französischen nationalen Sicherheitszertifizierungen. Fokus auf Multi-Protokoll-PAM mit lokalen und Cloud-Hybridbereitstellungsoptionen mit starker kommerzieller Präsenz in Frankreich und Deutschland, einschließlich Einkäufe über Rahmenverträge der französischen Regierung. Preisgestaltung erfordert Vertriebskontakt.
Anbieter D (EU) ist ein polnisches Unternehmen mit Sitz in Warschau, das 2025 in einer Serie-A-Finanzierungsrunde finanziert wurde. Fokus auf agentenlosem PAM mit RDP-Sitzungsaufzeichnung und expliziter Positionierung rund um NIS2-Compliance. Als in Warschau ansässiges Unternehmen teilt es die gleiche Gerichtsbarkeit wie VaultPAM. Preisgestaltung erfordert Vertriebskontakt.
Anbieter E (EU) ist ein finnisches börsennotiertes Unternehmen (Nordische Börse), das einen zertifikatsbasierten, safe-losen Ansatz für PAM verfolgt: Ephemere Zertifikate ersetzen gespeicherte Zugangsdaten vollständig, sodass kein privilegierter Zugangsdaten-Safe zu schützen ist. Es ist SSH-primär mit hinzugefügter RDP-Unterstützung. Es ist der einzige Anbieter in diesem Vergleich mit verfügbaren Online-Käufen zu veröffentlichten Stufenpreisen.
Wie jedes PAM Ihren Datenverkehr verarbeitet
Architektur ist kein Implementierungsdetail — sie bestimmt, wie Ihr Prüfprotokoll aussieht, ob ein Agent auf jedem Zielserver installiert werden muss und ob Sitzungsaufzeichnungen die Anforderungen eines Regulators erfüllen, der sie anfordert.
| Dimension | VaultPAM | Anbieter A (USA) | Anbieter B (USA) | Anbieter C (EU) | Anbieter D (EU) | Anbieter E (EU) |
|---|---|---|---|---|---|---|
| Bereitstellungsmodell | Cloud-native SaaS (GCP europe-central2) | Cloud-native SaaS (multiregional) | Cloud-native SaaS (multiregional) | Lokal + Cloud-Hybrid | Cloud-native SaaS | Cloud-native SaaS |
| Protokollunterstützung | Agentenlos — kein Agent auf Zielserver | Agent auf Windows-Zielen erforderlich (Windows Desktop Service); agentenlos für SSH/K8s | Agentenloser Proxy für alle Protokolle | Agentenbasiert (lokal) und agentenlos (Cloud) | Agentenlos | Agentenlos |
| RDP-Ansatz | Nativer RDP-Proxy — vollständige Protokoll-Level-Aufzeichnung, kein Zwischen-Host | RDP über Windows Desktop Service; Smart-Card-Authentifizierung; Aufzeichnung per Screenshot dokumentiert | RDP-Proxy über Agent; Sitzungsaufzeichnung inbegriffen | RDP-Proxy; lokales Gateway oder Cloud-Relay | Nativer RDP-Proxy; Sitzungsaufzeichnung inbegriffen | RDP über Proxy unterstützt; SSH-primäre Architektur |
| Zugangsdaten-Modell | Safe (AES-256-GCM, Vault Transit) + JIT-zeitlich begrenzte Sitzungen | Ephemer zertifikatsbasiert (keine gespeicherten Zugangsdaten für SSH/K8s); Safe für Windows-Passwörter verwendet | Safe — Geheimnisse gespeichert und rotiert; kein dauerhafter Zugriff | Safe — Geheimnisse gespeichert und rotiert | Safe + JIT | Zertifikatsbasiert (kein Safe) |
| Sitzungsaufzeichnung | Ja — gespeichert in GCP europe-central2; BLAKE3-Hash-Chain; WORM-Speicherung | Ja — Aufzeichnungen in Anbieter-Cloud gespeichert; Region nicht öffentlich dokumentiert | Ja — Aufzeichnungen in Anbieter-Cloud gespeichert; Region nicht öffentlich dokumentiert | Ja — lokale Speicheroption verfügbar; Cloud-Region nicht öffentlich dokumentiert | Ja — Region nicht öffentlich dokumentiert | Für RDP nicht öffentlich dokumentiert |
Was die Architekturunterschiede tatsächlich bedeuten
Die Wahl des Zugangsdaten-Modells hat Compliance-Konsequenzen, die in Funktionsvergleichen leicht übersehen werden.
Nur-Zertifikats-PAM (ohne Safe) eliminiert das Risiko der Kompromittierung gespeicherter Zugangsdaten — es gibt keine gespeicherten Zugangsdaten zu stehlen. Die Architektur von Anbieter E (EU) ist in dieser Hinsicht wirklich innovativ. Das bedeutet jedoch auch keinen Prüfpfad für Zugangsdatenzugriff für bestimmte regulatorische Rahmenwerke. Wenn ein Prüfer fragt „Wer hatte Zugriff auf das Windows-Administrator-Passwort auf diesem Server zwischen 1. und 31. März", ist die Antwort im Nur-Zertifikats-Modell das Zertifikatsausstellungsprotokoll — kein Zugangsdaten-Safe-Zugriffprotokoll. Einige Regulatoren und Prüfrahmen akzeptieren dies; andere erwarten ein traditionelles Safe-Zugriffsprotokoll. Wissen Sie, was Ihre Prüfer erwarten, bevor Sie dieses Modell wählen.
Screenshot-basierte vs. Protokoll-Level-RDP-Aufzeichnung ist eine für NIS2 Art. 21 bedeutsame Unterscheidung. Screenshot-basierte Aufzeichnung erfasst, was der Benutzer sah, aber nicht den zugrundeliegenden RDP-Steuer- und Kontrollstrom. Protokoll-Level-Aufzeichnung erfasst die gesamte Sitzung: Tastatureingaben, Zwischenablageübertragungen, Dateiübertragungen und Anzeigeausgabe auf der Protokollebene. Die Unterscheidung wird wichtig, wenn ein Incident-Response-Team genau rekonstruieren muss, was während einer privilegierten Sitzung passiert ist — eine Sequenz von Screenshots reicht möglicherweise nicht aus. VaultPAM, Anbieter C (EU) und Anbieter D (EU) dokumentieren Protokoll-Level-Aufzeichnung oder Äquivalent; Anbieter A (USA) dokumentiert Screenshot-basierte Aufzeichnung für Windows-Desktop-Sitzungen.
Agentenlos vs. agentenbasiert beeinflusst die Bereitstellungskosten in großem Maßstab. Für Organisationen mit Hunderten von Windows-Servern fügt die Bereitstellung und Wartung eines Agenten auf jedem Ziel operative Kosten hinzu. Agentenlose Modelle (VaultPAM, Anbieter D (EU), Anbieter B (USA)) verbinden sich über einen zentralen Proxy, ohne den Software-Stack des Zielservers zu berühren.
Datensouveränität, Zertifizierungen und NIS2-Compliance-Tiefe
EU-Sicherheitsposture ist zunehmend ein Beschaffungsgateway — kein nettes Extra. Für Organisationen, die NIS2, DSGVO oder sektoralen Vorschriften (DORA, UKSC, polnisches Cybersicherheitsgesetz) unterliegen, bestimmt die Gerichtsbarkeit und Zertifizierungsposture des Anbieters, ob das Tool überhaupt auf die engere Auswahl kommt.
| Dimension | VaultPAM | Anbieter A (USA) | Anbieter B (USA) | Anbieter C (EU) | Anbieter D (EU) | Anbieter E (EU) |
|---|---|---|---|---|---|---|
| Sitzgerichtsbarkeit | EU (Polen) | USA | USA | EU (Frankreich) | EU (Polen) | EU (Finnland) |
| Datenresidenz | GCP europe-central2 (Warschau, Polen) | Nicht öffentlich dokumentiert | Nicht öffentlich dokumentiert | Lokale Option; Cloud-Region nicht öffentlich dokumentiert | Nicht öffentlich dokumentiert | Nicht öffentlich dokumentiert |
| Drittlandübertragungsrisiko | Keines (EU-Unternehmen, EU-Daten) | US CLOUD Act gilt | US CLOUD Act gilt | Keines (EU-Unternehmen) | Keines (EU-Unternehmen) | Keines (EU-Unternehmen) |
| Sicherheitszertifizierungen | SOC 2 Type II-Bereitschaft; ISO 27001-Bereitschaft | SOC 2 Type II (öffentlich dokumentiert) | SOC 2 Type II (öffentlich dokumentiert) | Duale BSI + ANSSI-Zertifizierung | Nicht öffentlich dokumentiert | Nicht öffentlich dokumentiert |
| NIS2-Compliance-Dokumentation | Veröffentlichtes Art. 21-Kontrollmechanismus-Mapping | Nicht öffentlich dokumentiert | NIS2-Inhalte veröffentlicht (Blog-Beitragsebene) | Nicht öffentlich dokumentiert | Dokumentierter NIS2-Fokus; Art. 21-Mapping nicht öffentlich bestätigt | Nicht öffentlich dokumentiert |
Das CLOUD Act-Problem für EU-Käufer
In den USA ansässige Unternehmen — unabhängig davon, wo sie Daten speichern — unterliegen dem US Clarifying Lawful Overseas Use of Data (CLOUD) Act von 2018. Unter dem CLOUD Act kann ein US-Unternehmen durch eine US-Regierungsanordnung verpflichtet werden, Daten, die es besitzt oder kontrolliert, offenzulegen, selbst wenn diese Daten in einem EU-Rechenzentrum gespeichert sind.
Das ist kein theoretisches Risiko. Für NIS2-pflichtige Einrichtungen in Sektoren kritischer Infrastruktur (Energie, Transport, Gesundheitswesen, Finanzinfrastruktur) umfasst der Kauf von Cloud-Diensten von in den USA ansässigen Anbietern jetzt routinemäßig eine rechtliche Überprüfung des CLOUD Act-Risikos. Für Organisationen, die diese Überprüfung durchgeführt und das Risiko akzeptiert haben, bleiben US-Anbieter tragfähig. Für Organisationen, bei denen das Rechts- oder Compliance-Team den CLOUD Act als Beschaffungsgateway markiert hat, kommen nur in der EU ansässige Anbieter durch.
Anbieter C, D und E (EU) sind in EU-Mitgliedstaaten registriert und haben als Unternehmen keine direkte CLOUD Act-Exposition. VaultPAM ist ebenfalls in der EU (Polen) registriert, aber seine Cloud-Infrastruktur läuft auf GCP europe-central2 — einem Produkt von Google LLC, einem US-Unternehmen. Ob der CLOUD Act Kundendaten von VaultPAM durch eine an Google gerichtete Anfrage erreichen könnte, ist eine Rechtsfrage; Beschaffungsteams in Sektoren kritischer Infrastruktur sollten Rechtsberatung einholen. In der Praxis bieten Standard-Cloud-Datenverarbeitungsverträge und europäische Datenschutzrahmen erheblichen Verfahrensschutz gegen solche Anfragen, und Google veröffentlicht einen Transparenzbericht zu Regierungsanfragen, der Widerspruchsraten dokumentiert.
BSI- und ANSSI-Zertifizierung
Anbieter C (EU) ist der einzige Anbieter in diesem Vergleich mit dualer BSI (Bundesamt für Sicherheit in der Informationstechnik, Deutschland) und ANSSI (Agence nationale de la sécurité des systèmes d'information, Frankreich) Zertifizierung. Für Beschaffungen für die deutsche Bundesinfrastruktur, nationale kritische Infrastruktur in Frankreich oder jede Organisation mit einer vertraglichen Anforderung an BSI- oder ANSSI-Zertifizierung ist Anbieter C (EU) die einzige Option in diesem Vergleich, die sich qualifiziert. Kein anderer hier geprüfter Anbieter hat diese Zertifizierungsstufe erreicht.
NIS2 Art. 21-Dokumentation
NIS2 Art. 21 verlangt von Organisationen die Implementierung „geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen", einschließlich Kontrolle privilegierten Zugriffs, Multi-Faktor-Authentifizierung und Sitzungsaufzeichnung. Prüfer verlangen zunehmend Kontrollmechanismus-Mappings von Anbietern, die zeigen, wie ihr Produkt jede Unteranforderung aus Art. 21 implementiert.
VaultPAM veröffentlicht das Art. 21-Kontrollmechanismus-Mapping als Teil der Produktdokumentation. Anbieter B (USA) hat NIS2-Inhalte auf Blog-/Marketing-Ebene veröffentlicht. Die übrigen Anbieter in diesem Vergleich dokumentieren das Art. 21-Kontrollmechanismus-Mapping laut Stand Mai 2026 nicht öffentlich.
Was Sie tatsächlich zahlen
Die Preisgestaltung für Enterprise-PAM ist fast universell intransparent. Die folgende Tabelle spiegelt wider, was jeder Anbieter öffentlich dokumentiert.
| Anbieter | Preismodell | Öffentliche Preise | Kostenloser Tarif |
|---|---|---|---|
| VaultPAM | Pro verwaltetes Ziel + Benutzer; monatlich oder jährlich | Ja — Starter 399 €/Monat, Business 699 €/Monat, Enterprise ab 2.500 €/Monat | 14-tägiger kostenloser Test (Starter-Stufe, keine Kreditkarte erforderlich) |
| Anbieter A (USA) | Verbrauchsbasiert (MAU + geschützte Ressourcen) | Vertriebsgespräch erforderlich; keine öffentlichen Beträge | Community Edition (Unternehmen unter 100 Mitarbeitern / 10 Mio. USD Umsatz) |
| Anbieter B (USA) | Vertriebskontakt; Essentials/Enterprise/GovCloud-Stufen | Keine öffentlichen Preise pro Platz oder Ressource | Nicht öffentlich dokumentiert |
| Anbieter C (EU) | Vertriebskontakt; Preise über französische Regierungsrahmenverträge verfügbar | Keine öffentlichen Beträge | Nicht öffentlich dokumentiert |
| Anbieter D (EU) | Vertriebskontakt | Keine öffentlichen Beträge | Nicht öffentlich dokumentiert |
| Anbieter E (EU) | Skalierbare Stufen mit Online-Käufen | Ja — öffentliche Stufenpreise auf Website verfügbar | Kostenloser Tarif verfügbar |
VaultPAM und Anbieter E (EU) sind die einzigen zwei Anbieter in diesem Vergleich, die Preise auf ihrer öffentlichen Website veröffentlichen und einen Einstieg ohne Vertriebsgespräch ermöglichen. Jeder andere Anbieter in diesem Vergleich erfordert ein Beschaffungsengagement, bevor Preisinformationen verfügbar werden.
Die wahren Kosten sind nicht die Lizenzgebühr
Der Listenpreis ist die am wenigsten informative Zahl bei einer PAM-Bewertung. Die Gesamtbetriebskosten hängen ab von:
- Agent-Bereitstellungs- und Wartungskosten — Bei agentenbasierten Architekturen sind die laufenden Kosten für Bereitstellung, Aktualisierung und Fehlerbehebung von Agents auf allen Zielservern reale operative Kosten. Für eine 500-Server-Umgebung können diese die Lizenzkosten in der Arbeitszeit über einen Dreijahresvertrag übersteigen.
- Sitzungsspeicherkosten — Hochqualitäts-Sitzungsaufzeichnungen erzeugen erheblichen Speicherplatz. Anbieter, die Speicher in die Lizenz einschließen (VaultPAM Starter schließt 50 GB ein), sind leichter zu budgetieren als solche, die Aufzeichnungsspeicher separat berechnen.
- AD/LDAP-Integrationsaufwand — Fast alle PAM-Plattformen erfordern Active Directory-Integration für Benutzeridentitäten. Die Integrationskomplexität variiert erheblich zwischen Anbietern, und ein schlechtes Integrationsdesign schafft eine dauerhafte Support-Last.
- Support-SLA-Kosten — Der Unterschied zwischen E-Mail-Support zu Geschäftszeiten und telefonischem 24/7-Support ist oft eine separate Leistung oder ein Stufenupgrade. Für PAM-Plattformen, die kritische Infrastruktur schützen, ist ein Support-SLA nicht optional.
Das richtige Werkzeug für Ihre Situation
Keine einzelne PAM-Plattform ist die richtige Antwort für jedes europäische Unternehmen. Architekturentscheidungen, Gerichtsbarkeit, Zertifizierungsposture und Preismodell schaffen natürliche Übereinstimmungen für spezifische Käuferprofile.
Polnische NIS2-pflichtige Einrichtung — insbesondere in kritischer Infrastruktur oder wesentlichen Diensten, die durch das polnische UKSC reguliert werden. Sie benötigen eine harte EU-Datenresidenzgarantie (keine vertragliche Option, die standardmäßig woanders liegt), ein veröffentlichtes Art. 21-Kontrollmechanismus-Mapping, RDP-Sitzungsaufzeichnung mit manipulationssicherer Beweiskette und Support in einer kompatiblen Zeitzone. VaultPAM (Sitz in Warschau, Datenresidenz GCP europe-central2, veröffentlichtes Art. 21-Mapping) und Anbieter D (EU) (ebenfalls Sitz in Warschau, NIS2-Fokus) sind die zwei Anbieter in diesem Vergleich, die dieses Profil erfüllen. VaultPAM veröffentlicht Preise und bietet einen kostenlosen Test; Anbieter D (EU) erfordert ein Vertriebsgespräch.
Französische oder deutsche kritische Infrastruktur mit vertraglicher BSI- oder ANSSI-Anforderung. Das schränkt das Feld auf eine Option ein: Anbieter C (EU). Es ist der einzige Anbieter in diesem Vergleich mit dualer BSI- und ANSSI-Zertifizierung. Wenn Ihr Beschaffungsvertrag oder Sektorregulator dieses Zertifizierungsniveau erfordert, qualifiziert sich kein anderer Anbieter in diesem Vergleich. Der Kompromiss sind Preise ausschließlich über Vertriebskontakt und ein komplexeres lokales Bereitstellungsmodell.
Cloud-native Tech-Unternehmen mit SSH und Kubernetes als primärer Zugriffsfläche. Wenn Ihre Infrastruktur Linux-basiert, Kubernetes-first und bei einem großen Cloud-Anbieter gehostet ist, ist das Kernangebot von Anbieter A (USA) wirklich stark. Sein SSH- und Kubernetes-Zugriffsmanagement ist ausgereifter als sein Windows/RDP-Stack. Akzeptieren Sie das CLOUD Act-Risiko, wenn Ihre Rechtsabteilung es geklärt hat, akzeptieren Sie das verbrauchsbasierte Preismodell und überprüfen Sie die EU-Datenresidenzposition schriftlich vor der Unterzeichnung.
Sicherheitsteam, das gespeicherte Zugangsdaten vollständig eliminieren möchte — Nur-Zertifikats-PAM. Wenn die Begründung Ihrer Sicherheitsarchitektur lautet „wir wollen keinen Zugangsdaten-Safe, weil Safes Ziele sind", ist das zertifikatsbasierte Modell von Anbieter E (EU) die einzige Option in diesem Vergleich, die zu dieser Philosophie passt. Es ist SSH-primär, also überprüfen Sie die RDP-Aufzeichnungsfähigkeit speziell vor der Bestellung. Es ist auch der einzige europäische Anbieter in diesem Vergleich mit sowohl öffentlichen Preisen als auch Online-Käufen — der schnellste Weg zu einem Proof of Concept.
CTA
VaultPAM ist für europäische Unternehmen mit RDP-basierter Infrastruktur und NIS2-Verpflichtungen entwickelt. Öffentlich dokumentierte Preise, 14-tägiger kostenloser Test und GCP europe-central2-Datenresidenz — ohne Standard-Vertragsklauseln für EU-Datenverarbeitung.