Fernwartung Industrie

OT-Fernwartung: Andere Anforderungen als in der IT

Fernwartung in der Industrie ist kein IT-Fernwartungsproblem, das man mit denselben Werkzeugen lösen kann. Steuerungssysteme – SPS, SCADA, DCS, Feldgeräte – haben Lebenszyklen von 15 bis 30 Jahren, sprechen proprietäre Protokolle wie Modbus, Profibus oder OPC UA und laufen in Umgebungen, in denen Verfügbarkeit über allem steht. Ein Produktionsstillstand durch eine Sicherheitsmaßnahme ist oft teurer als der Schaden, den sie verhindert hätte.

Standard-IT-Fernwartungstools sind mit dieser Realität strukturell inkompatibel: Sie setzen moderne Betriebssysteme voraus, erfordern Softwareinstallationen auf den Zielsystemen und ignorieren OT-spezifische Protokolle. Gleichzeitig sind sie für OT-Umgebungen gefährlich: Eine unkontrollierte Verbindung aus dem Internet in die Produktionssteuerung ist ein direkter Angriffspfad – nicht nur ein Compliance-Problem.

OT-Fernwartungsarchitekturen müssen deshalb von Grund auf anders gedacht werden: kein direkter Netzwerkzugang von außen auf OT-Systeme, Zugriff nur über ein kontrolliertes Gateway, vollständige Protokollierung aller Verbindungen und die Möglichkeit, Zugänge sofort zu terminieren – ohne die laufende Produktion zu gefährden.

Typische Anwendungsfälle: Wer auf Produktionsanlagen remote zugreift

Maschinenlieferanten und Hersteller-Fernwartung: Maschinenhersteller und Systemintegratoren benötigen regelmäßigen Fernzugriff für Wartung, Diagnose und Software-Updates. In der Praxis laufen diese Zugriffe häufig über schlecht dokumentierte Modem-Verbindungen, proprietäre Remote-Tools des Herstellers oder unkontrollierte VPN-Zugänge mit Dauerlogins. Der Maschinenhersteller hat dabei oft mehr Zugriffsrechte als nötig – und das Unternehmen hat keine Sicht auf das, was während einer Wartungssession tatsächlich passiert.

Interne Instandhaltung und Engineering: Instandhalter und Prozessingenieure brauchen Fernzugriff auf SPS-Programme, SCADA-Oberflächen und Feldgeräte – für Diagnose, Parameteränderungen und Störungsbeseitigung außerhalb der regulären Schicht. Ohne kontrollierte Fernwartungsarchitektur geschieht das oft über ad-hoc-Lösungen, die weder protokolliert noch genehmigt sind.

Predictive Maintenance und Remote Monitoring: Datengetriebene Wartung setzt kontinuierliche Datenerfassung von Maschinen und Anlagen voraus – häufig über Cloud-Anbindungen oder externe Monitoring-Plattformen. Diese Verbindungen sind permanente Zugangspunkte in die OT-Umgebung und müssen entsprechend gesichert sein.

Sicherheitsrisiken bei unsicherer OT-Fernwartung

Die häufigsten Schwachstellen in der industriellen Fernwartung sind nicht technischer Natur – sie sind organisatorischer Natur. Maschinenhersteller erhalten bei der Inbetriebnahme VPN-Zugänge, die nie wieder deaktiviert werden. Remote-Tools des Herstellers laufen dauerhaft auf Produktions-PCs und öffnen unkontrollierte Verbindungen nach außen. SPS-Zugänge über Standard-Ethernet sind netzwerktechnisch nicht vom Office-Netzwerk getrennt.

Das ist kein theoretisches Risiko. Angreifer nutzen kompromittierte Lieferantenaccounts gezielt als Einstiegspunkt in OT-Netzwerke – mit direktem Zugriff auf Produktionssteuerungen. Der Angriff auf den amerikanischen Wasserversorger Oldsmar 2021 erfolgte über einen unsicheren Fernwartungszugang. Ransomware-Gruppen wie EKANS sind explizit darauf ausgelegt, über IT-Fernwartungskanäle in OT-Umgebungen vorzudringen und Produktionssteuerungen zu kompromittieren.

Die Kombination aus langen OT-Lebenszyklen, eingeschränkten Patch-Möglichkeiten und unkontrollierten Fernwartungszugängen macht industrielle Umgebungen zu einem besonders attraktiven Ziel. Das Zeitfenster zwischen Erstverbindung und vollständiger Kompromittierung ist in OT-Netzwerken oft erheblich kürzer als in klassischen IT-Umgebungen.

IEC 62443 und sichere Fernwartungsarchitektur für OT

IEC 62443-3-3 definiert spezifische Anforderungen für Remote Access in industriellen Automatisierungssystemen. Kern des Konzepts ist der Secure Remote Access Gateway: ein dedizierter, gehärteter Eintrittspunkt in der DMZ zwischen IT- und OT-Netzwerk. Alle externen Fernwartungsverbindungen – von Maschinenlieferanten, Systemintegratoren oder internen Mitarbeitern – laufen ausnahmslos über diesen Gateway. Keine Direktverbindung aus dem Internet auf OT-Systeme.

Das Zonenkonzept nach IEC 62443 unterteilt die OT-Umgebung in Schutzzonen mit definierten Conduits – überwachten Übergangspunkten. Fernwartungszugriffe auf eine bestimmte Zone berechtigten nicht automatisch zum Zugriff auf andere Zonen. Ein Maschinenhersteller, der Zugriff auf Anlage A hat, kann Anlage B nicht erreichen – selbst wenn beide im selben physischen Produktionsraum stehen.

Für den praktischen Betrieb bedeutet das: starke Authentifizierung (MFA) für jeden Fernzugriff, Just-in-Time-Zugangsvergabe nach expliziter Freigabe durch das eigene Team, zeitlich begrenzte Sessions, vollständige Aufzeichnung aller Remote-Aktivitäten und die Möglichkeit zur sofortigen Verbindungstrennung. Session Recordings für OT-Fernwartung sind dabei anders zu bewerten als in der IT: Sie dokumentieren nicht nur Compliance, sondern sind auch technischer Nachweis bei Anlagenausfällen und Produktionsstörungen.

KRITIS und NIS2: Regulatorische Anforderungen für industrielle Fernwartung

Industrieunternehmen in kritischen Sektoren – Energie, Wasser, Abwasser, Lebensmittelproduktion, Transport – unterliegen als KRITIS-Betreiber nach BSI-Gesetz spezifischen Anforderungen für OT-Fernwartungszugriffe. Das BSI verlangt nachweisliche Kontrolle aller Fernzugriffe auf KRITIS-relevante Systeme, einschließlich Lieferantenzugänge. Unkontrollierte Modem-Verbindungen oder dauerhafte VPN-Zugänge für externe Dienstleister sind ein direkter Verstoß.

NIS2 trifft Industrieunternehmen als direkt betroffene Einrichtungen (Fertigung kritischer Produkte, Maschinenbau, Transport) und als Lieferanten von NIS2-pflichtigen Unternehmen. Supply Chain Security ist eine explizite NIS2-Anforderung: Kunden prüfen zunehmend, ob die Fernwartungsprozesse ihrer Lieferanten und Maschinenlieferanten gesichert sind. Ein Maschinenhersteller, der seinen Kunden keinen Nachweis über kontrollierte Fernwartungszugriffe geben kann, verliert Aufträge – unabhängig von der technischen Qualität seiner Maschinen.

Blackfort OT-Fernwartungsarchitektur: Vom Assessment zur laufenden Lösung

Wir beginnen mit einer Bestandsaufnahme aller bestehenden Fernwartungsverbindungen: Welche Maschinenlieferanten haben Zugang? Über welche Tools und Protokolle? Sind diese Zugänge zeitlich begrenzt, überwacht, dokumentiert? Das Ergebnis ist eine Risikomatrix, die zeigt, wo die größten unkontrollierten Zugangspunkte in Ihrer OT-Infrastruktur liegen.

Auf dieser Basis implementieren wir eine OT-kompatible Fernwartungsarchitektur: Secure Remote Access Gateway in der DMZ, Zonenkonzept nach IEC 62443, Integration bestehender OT-Protokolle ohne Eingriff in laufende Produktionssysteme. Wo nötig, ergänzen wir einen Jump Server für OT-spezifische Protokolle, der als Protokoll-Proxy zwischen externem Zugriff und OT-Systemen fungiert.

Das Ergebnis: Maschinenlieferanten erhalten zeitlich begrenzte, auf ihr spezifisches Gerät beschränkte Zugänge – nach expliziter Freigabe durch Ihr Team, mit vollständiger Aufzeichnung und sofortiger Terminierungsmöglichkeit. Interne Instandhalter haben kontrollierten Fernzugriff auf ihre Anlagen, ohne Umwege über ungesicherte Verbindungen. Und bei einem NIS2- oder KRITIS-Audit haben Sie die Nachweise strukturell im Prozess verankert.