Anforderungskatalog
Anforderungskatalog sichere Fernwartung
101 konsolidierte Anforderungen für sichere Fernwartung, Herstellerzugriffe und Secure Remote Access – quellenbasiert, auditnah und branchenübergreifend bewertet.
Kennzahlen basieren auf der Anforderungsbibliothek v1.2.0 und den Business-Annotationen v0.6.0. Quellenbasierter Orientierungskatalog – kein Anspruch auf Vollständigkeit, keine rechtsverbindliche Compliance-Aussage.
Warum ein Anforderungskatalog für Fernwartung?
Fernwartung, Herstellerzugriffe und externe Administratorenzugriffe werden in Audits, KRITIS-Prüfungen, Datenschutzprüfungen und Lieferantenbewertungen zunehmend kritisch betrachtet. Die Anforderungen liegen jedoch über viele Regelwerke, Standards und Branchenstandards verteilt. Der Blackfort-Katalog konsolidiert diese Anforderungen zu einer nutzbaren Bewertungsgrundlage.
Die Bibliothek normalisiert Anforderungen aus BSI IT-Grundschutz, NIST Special Publications, §166 TKG und vier branchenspezifischen Sicherheitsstandards (B3S) in 29 Kategorien und ergänzt EU-Regulatorik (NIS2, DORA, DORA RTS, CRA) als zusätzliche Quellen-Belege. Pro Anforderung dokumentiert sie wortgenaue Quellen-Belege, eine Bewertung der regulatorischen Stärke und ergänzt branchenübergreifende Annotationen zur Audit-, Käufer- und Umsetzungs-Perspektive.
Diese Seite stellt den Katalog als interaktive Matrix mit Filtern für Kategorie, Branche, Audit-Relevanz und Umsetzungsansatz zur Verfügung. Sie eignet sich als Vorbereitungsbasis für Audits, Gap-Analysen und Anbieter-Vergleiche.
Quellenbasis
Der Katalog stützt sich auf fünf Quellen-Cluster mit 14 vollständig ausgewerteten Roh-Dokumenten, 982 aktiven Roh-Anforderungen und ergänzenden Quellen-Belegen aus EU-Regulatorik (NIS2, DORA, DORA RTS, CRA). Pro normalisierter Anforderung dokumentiert die Bibliothek wortgenaue Belege je Quelle.
BSI IT-Grundschutz Edition 2023
- OPS.1.2.5 Fernwartung
- OPS.1.1.2 IT-Administration
- OPS.2.3 Outsourcing
- OPS.1.1.5 Protokollierung
- NET.3.3 VPN
- IND.3.2 OT-Fernwartung
- OPS.1.2.4 Telearbeit
NIST Special Publications
- SP 800-53 Rev. 5 (AC/IA/AU/SR/SC)
- SP 800-207 Zero Trust
- SP 800-63B
B3S nach §8a BSIG
- B3S Krankenhaus v1.3.1 (DKG)
- B3S Fernwärme v1.2 (BDEW)
- B3S Aggregatoren v1.2 (BDEW)
- B3S GKV/PV v1.4
Gesetz
- §166 TKG (Sicherheitskonzept)
EU-Regulatorik
- NIS2 (Richtlinie (EU) 2022/2555)
- DORA (Verordnung (EU) 2022/2554)
- DORA RTS Subcontracting (JC 2024/53)
- DORA RTS ICT Risk Management (JC 2023/86)
- Cyber Resilience Act (Verordnung (EU) 2024/2847)
Noch nicht eingearbeitete Quellen
Folgende Quellen sind als zukünftige Mapping-Quellen markiert und werden in weiteren Versionen ergänzt. Bestehende Anforderungs-IDs werden dadurch nicht verändert; ergänzt werden ausschließlich zusätzliche Quellen-Belege.
Schwerpunkt-Bereich
17 Anforderungen mit besonders hoher Relevanz für sichere Fernwartung
Diese Anforderungen sind in der Bibliothek gleichzeitig mit Blackfort-Core, hoher Käufer-Auswirkung und hoher Audit-Relevanz bewertet. Sie bilden die typische Bewertungsgrundlage in Privileged-Remote-Access- und Vendor-Access-Management-Projekten.
Sichere Authentisierung für Fernzugriffe und administrative Zugänge
Fernzugriffe und administrative Zugriffe sind durch starke Authentisierungsverfahren abzusichern. Die Auswahl der Authentisierungsmethode richtet sich nach Schutzbedarf und Use-Case und ist zu dokumentieren; Fernzugänge sind im Identitäts- und Berechtigungsmanagement abzubilden.
Mehrfaktor-Authentisierung für privilegierte Fernzugriffe
Privilegierte Fernzugriffe (Administration, Fernwartung, externe Dienstleister, Zugriff auf Steuerungs- und Versorgungs-Netze) sind durch eine Mehrfaktor-Authentisierung abzusichern. Es sind mindestens zwei voneinander unabhängige Authentisierungs-Faktoren einzusetzen.
Privilegierte Konten — dedizierte und kontrollierte Vergabe
Administrative Tätigkeiten erfolgen über dedizierte privilegierte Konten, die getrennt von Standard-Konten geführt werden. Privilegierte Konten erhalten Zugriff erst nach Mehrfaktor-Authentisierung, Aktivität wird protokolliert, und Berechtigungen unterliegen verstärktem Review.
Privilegierte Befehle und Netzzugriffe
Über das Netz ausgeführte privilegierte Befehle (z.B. Remote-Administration) erfolgen nur über speziell abgesicherte Pfade mit Sitzungsverschlüsselung und expliziter Audit-Spur.
Beobachtung und Kontrolle externer Wartungsaktivitäten
Fernwartungs-Sitzungen durch externes Personal werden durch interne Mitarbeitende beobachtet bzw. technisch kontrolliert. Eingriffe können bei verdächtigem Verhalten unterbrochen werden.
Freigabe und Genehmigung jeder Fernwartungs-Sitzung
Jede einzelne Fernwartungs-Sitzung — insbesondere durch externe Dritte — wird vorab geprüft und explizit freigegeben. Sitzungen werden nach Abschluss aktiv beendet, Konten und Zugänge nach Bedarf deaktiviert.
Zentrale Verwaltung von Konten für externe Wartung
Konten für externe Wartung werden zentral verwaltet, sind eindeutig einer Person zugeordnet und werden nach Nutzung gesperrt oder gelöscht. Default-/Sammelkonten sind ausgeschlossen.
Nachweisbarkeit und Auditierbarkeit administrativer Tätigkeiten
Administrative Tätigkeiten sind so durchzuführen, dass eine Person-zu-Tätigkeit-Zuordnung möglich ist. Eindeutige Zugangskennungen, Login-Protokolle und Audit-Trails ermöglichen die Nachvollziehbarkeit; Manipulation der Protokolle ist auszuschließen.
Aufzeichnung externer Fernwartungs-Sessions
Fernwartungs-Sitzungen durch externe Dritte werden, wo verhältnismäßig, vollständig aufgezeichnet. Aufzeichnungen umfassen System-Aktivität und ermöglichen die Nachvollziehbarkeit jedes administrativen Schritts.
Multi-Tenant- und Outsourcing-Netz-Trennung
Wenn ein Dienstleister mehrere Mandanten betreut oder Fernwartungs-Dienstleistungen mit Zugriff auf unterschiedliche Kunden erbringt, ist eine wirksame logische bzw. physische Trennung der Netze und Daten verschiedener Kunden sicherzustellen.
Sichere Protokolle und Verschlüsselung für Fernzugriffe
Für Fernwartungs- und Fernzugriffs-Verbindungen werden ausschließlich kryptografisch abgesicherte Protokolle verwendet; veraltete oder unverschlüsselte Protokolle sind ausgeschlossen.
Jump-Host / Bastion für administrative Fernzugriffe
Administrative Fernzugriffe erfolgen über dedizierte Jump-Hosts (Bastion-Server), die einzige Eintrittspunkte in geschützte Verwaltungs-Zonen sind. Jump-Hosts werden gehärtet, eng überwacht und mit MFA abgesichert.
Transport-Verschlüsselung (Data-in-Motion)
Übertragungen über öffentliche oder unvertraute Netze werden kryptografisch geschützt; Vertraulichkeit, Integrität und Authentizität der Daten in Bewegung werden mit genehmigten Verfahren sichergestellt.
Monitoring von Fernzugriffs-Sessions und administrativen Tätigkeiten
Aktive Fernzugriffs-Sessions und administrative Tätigkeiten werden zeitnah überwacht; auffällige Aktivitäten werden alarmiert und können unterbrochen werden.
Notabschaltung und Disconnect von Remote-Access
Bei Sicherheits-Vorfällen oder verdächtigen Mustern müssen Remote-Access-Verbindungen schnell unterbrochen oder deaktiviert werden können. Verfahren, Verantwortlichkeit und Wiedereinschalt-Logik sind dokumentiert.
Notfall- und Break-Glass-Zugriff
Für Notfälle ist ein dokumentiertes Break-Glass-Verfahren mit erweiterten Berechtigungen vorgesehen, das verstärkt protokolliert wird, durch dedizierte Verantwortliche aktiviert und nachträglich auditiert wird.
Zweckbindung und Beschränkung von Fernzugriff-Funktionen
Fernzugriffe sind gemäß ihrer Zweckbindung so einzurichten, dass nur die für den Zweck erforderlichen IT-Systeme und Funktionen zugänglich sind. Eingangs-Schnittstellen und Kommunikations-Schnittstellen werden auf das notwendige Maß beschränkt; nach Abschluss werden die Verbindungen beendet.
Anforderungs-Matrix
Alle 101 Anforderungen filterbar
Filtern Sie nach Kategorie, Blackfort-Relevanz, Buyer-Impact, Audit-Relevanz, Branche oder Umsetzungs-Ansatz. Klick auf „Anzeigen“ liefert pro Anforderung Beschreibung, typische Auditfragen und Findings, Beispiel-Nachweise sowie allgemein anerkannte technische und organisatorische Maßnahmen.
| ID | Titel | Kategorie | Business | Buyer | Audit | Blackfort | Quellen | Details |
|---|---|---|---|---|---|---|---|---|
| AUTH-001 | Sichere Authentisierung für Fernzugriffe und administrative Zugänge | Authentisierung | Hoch | Hoch | Hoch | Core | 7 · 14 Roh | |
| AUTH-002 | Geräte- und Maschine-zu-Maschine-Authentisierung | Authentisierung | Hoch | Mittel | Mittel | Wichtig | 1 · 5 Roh | |
| AUTH-003 | Authentisierung von Remote-Befehlen und -Sessions | Authentisierung | Hoch | Mittel | Mittel | Core | 1 · 7 Roh | |
| MFA-001 | Mehrfaktor-Authentisierung für privilegierte Fernzugriffe | Multi-Faktor-Authentisierung | Hoch | Hoch | Hoch | Core | 7 · 12 Roh | |
| MFA-002 | Mehrfaktor-Authentisierung für nicht-privilegierte Zugriffe | Multi-Faktor-Authentisierung | Hoch | Hoch | Hoch | Wichtig | 2 · 2 Roh | |
| MFA-AAL2 | Authenticator Assurance Level 2 — MFA mit replay-resistentem Authenticator und genehmigter Kryptografie | Multi-Faktor-Authentisierung | Hoch | Mittel | Mittel | Wichtig | 1 · 13 Roh | |
| MFA-AAL1 | Authenticator Assurance Level 1 — Einfache Authentisierung mit genehmigter Kryptografie | Multi-Faktor-Authentisierung | Mittel | Niedrig | Niedrig | Begleitend | 1 · 8 Roh | |
| MFA-AAL3 | Authenticator Assurance Level 3 — Hardware-Authenticator mit Verifier-Impersonation-Resistance | Multi-Faktor-Authentisierung | Hoch | Mittel | Mittel | Wichtig | 1 · 10 Roh | |
| MFA-003 | Anforderungen an Memorized Secrets (Passwörter) | Multi-Faktor-Authentisierung | Hoch | Mittel | Hoch | Wichtig | 2 · 12 Roh | |
| MFA-004 | Look-up-Secret-Authenticator (Recovery-Codes) | Multi-Faktor-Authentisierung | Mittel | Niedrig | Niedrig | Begleitend | 1 · 3 Roh | |
| MFA-005 | Out-of-Band-Authenticator (OOB) | Multi-Faktor-Authentisierung | Mittel | Mittel | Mittel | Wichtig | 2 · 9 Roh | |
| MFA-006 | Single-Factor- und Multi-Factor-OTP-Authenticator | Multi-Faktor-Authentisierung | Mittel | Niedrig | Mittel | Wichtig | 1 · 6 Roh | |
| MFA-007 | Kryptografische Authenticator (Software und Hardware) | Multi-Faktor-Authentisierung | Hoch | Mittel | Mittel | Wichtig | 2 · 12 Roh | |
| MFA-008 | Verifier-Schutz, Rate-Limiting und Replay-Resistenz | Multi-Faktor-Authentisierung | Hoch | Niedrig | Mittel | Wichtig | 1 · 12 Roh | |
| MFA-009 | Biometrische Authentisierungs-Faktoren | Multi-Faktor-Authentisierung | Mittel | Mittel | Mittel | Begleitend | 2 · 10 Roh | |
| IDM-001 | Account-Lifecycle-Management | Identitäts-Management | Hoch | Hoch | Hoch | Wichtig | 6 · 18 Roh | |
| IDM-002 | Authenticator-Management und -Verteilung | Identitäts-Management | Hoch | Mittel | Mittel | Wichtig | 3 · 32 Roh | |
| IDM-003 | Account-Monitoring und atypische Nutzungs-Erkennung | Identitäts-Management | Hoch | Mittel | Mittel | Wichtig | 1 · 4 Roh | |
| AUTHZ-001 | Least-Privilege und Need-to-Know-Prinzip | Autorisierung | Hoch | Hoch | Hoch | Wichtig | 7 · 15 Roh | |
| AUTHZ-002 | Rollen- und Berechtigungskonzept (RBAC) | Autorisierung | Hoch | Hoch | Hoch | Wichtig | 4 · 21 Roh | |
| AUTHZ-003 | Funktionstrennung und Vier-Augen-Prinzip | Autorisierung | Hoch | Mittel | Hoch | Wichtig | 4 · 6 Roh | |
| AUTHZ-004 | Berechtigungs-Reviews und Privileg-Reduktion | Autorisierung | Hoch | Mittel | Hoch | Wichtig | 3 · 4 Roh | |
| AUTHZ-005 | Information-Flow-Enforcement zwischen Domänen | Autorisierung | Hoch | Mittel | Mittel | Wichtig | 1 · 31 Roh | |
| PAM-001 | Privilegierte Konten — dedizierte und kontrollierte Vergabe | Privileged Access | Hoch | Hoch | Hoch | Core | 7 · 15 Roh | |
| PAM-002 | Privilegierte Befehle und Netzzugriffe | Privileged Access | Hoch | Hoch | Hoch | Core | 1 · 5 Roh | |
| PAM-003 | Schutz und Härtung administrativer Werkzeuge | Privileged Access | Hoch | Mittel | Mittel | Wichtig | 2 · 9 Roh | |
| PAM-004 | Dokumentation und Zeitfenster privilegierter Tätigkeiten | Privileged Access | Mittel | Mittel | Mittel | Wichtig | 2 · 3 Roh | |
| VEN-001 | Vertragliche Sicherheitsregelung mit externem Wartungs- und Dienstleistungs-Personal | Vendor Access | Hoch | Hoch | Hoch | Wichtig | 8 · 32 Roh | |
| VEN-002 | Beobachtung und Kontrolle externer Wartungsaktivitäten | Vendor Access | Hoch | Hoch | Hoch | Core | 1 · 3 Roh | |
| VEN-003 | Freigabe und Genehmigung jeder Fernwartungs-Sitzung | Vendor Access | Hoch | Hoch | Hoch | Core | 2 · 4 Roh | |
| VEN-004 | Zentrale Verwaltung von Konten für externe Wartung | Vendor Access | Hoch | Hoch | Hoch | Core | 1 · 3 Roh | |
| TPA-001 | Drittparteien-Zugang generell (jenseits Wartungs-Vertrag) | Drittparteien-Zugriff | Hoch | Hoch | Hoch | Wichtig | 2 · 12 Roh | |
| TPA-002 | Externe System-Nutzung und BYOD-Restriktionen | Drittparteien-Zugriff | Mittel | Mittel | Mittel | Wichtig | 2 · 5 Roh | |
| GOV-001 | Verantwortlichkeit der Geschäftsleitung für Informationssicherheit | Governance | Mittel | Hoch | Hoch | Begleitend | 4 · 12 Roh | |
| GOV-002 | Informationssicherheits-Leitlinie und Richtlinien-System | Governance | Mittel | Hoch | Hoch | Begleitend | 7 · 15 Roh | |
| GOV-003 | Informationssicherheits-Beauftragte (ISB / CISO) | Governance | Mittel | Hoch | Hoch | Begleitend | 3 · 16 Roh | |
| GOV-004 | ISMS-Geltungsbereich und Anwendungsbereich | Governance | Mittel | Hoch | Hoch | Begleitend | 3 · 9 Roh | |
| GOV-005 | Strategie, Steuerung und Regelung von Auslagerung und Outsourcing | Governance | Hoch | Hoch | Hoch | Begleitend | 3 · 21 Roh | |
| GOV-006 | Planung und Richtlinie für Fernwartung | Governance | Hoch | Hoch | Hoch | Wichtig | 1 · 10 Roh | |
| GOV-007 | Verantwortlichkeit für Prozesse und Anwendungen | Governance | Mittel | Mittel | Mittel | Begleitend | 3 · 8 Roh | |
| GOV-008 | Risikomanagement-Prozess der Informationssicherheit | Governance | Hoch | Hoch | Hoch | Begleitend | 7 · 55 Roh | |
| GOV-009 | Kritikalitäts- und Schutzbedarfs-Analyse | Governance | Hoch | Mittel | Hoch | Außerhalb | 4 · 9 Roh | |
| GOV-010 | Geheimhaltung und Verpflichtung auf gesetzliche Grundlagen (Sozialgeheimnis, Datenschutz) | Governance | Mittel | Mittel | Mittel | Begleitend | 3 · 13 Roh | |
| AWAR-001 | Awareness und Schulung von Mitarbeitenden und Externen | Awareness / Schulung | Mittel | Hoch | Hoch | Begleitend | 7 · 13 Roh | |
| AWAR-002 | Sicherheitsüberprüfung für kritische Funktionen | Awareness / Schulung | Mittel | Mittel | Mittel | Begleitend | 2 · 2 Roh | |
| AUDIT-001 | Nachweisbarkeit und Auditierbarkeit administrativer Tätigkeiten | Audit & Nachweis | Hoch | Hoch | Hoch | Core | 3 · 6 Roh | |
| AUDIT-002 | Interne und externe Audits, Wirksamkeitsprüfungen | Audit & Nachweis | Hoch | Hoch | Hoch | Begleitend | 7 · 18 Roh | |
| AUDIT-003 | Nachweispflichten gegenüber Aufsichts- und Prüfbehörden | Audit & Nachweis | Mittel | Hoch | Hoch | Begleitend | 4 · 8 Roh | |
| LOG-001 | Sicherheits-Protokollierung — Konzept und Mindest-Ereignisse | Protokollierung | Hoch | Hoch | Hoch | Wichtig | 5 · 24 Roh | |
| LOG-002 | Zentrale Protokollierungs-Infrastruktur und Speicherung | Protokollierung | Hoch | Mittel | Hoch | Wichtig | 4 · 18 Roh | |
| LOG-003 | Zeit-Synchronisation und Audit-Trail-Konsistenz | Protokollierung | Hoch | Niedrig | Mittel | Wichtig | 3 · 4 Roh | |
| LOG-004 | Protokoll-Aufbewahrung, Datenschutz und Bereitstellung für Auswertung | Protokollierung | Mittel | Hoch | Hoch | Wichtig | 2 · 3 Roh | |
| LOG-005 | Audit-Record-Review, -Korrelation und -Reporting | Protokollierung | Hoch | Hoch | Hoch | Wichtig | 2 · 10 Roh | |
| REC-001 | Aufzeichnung externer Fernwartungs-Sessions | Session Recording | Hoch | Hoch | Hoch | Core | 3 · 6 Roh | |
| SEG-001 | Netzwerk-Segmentierung in Zonen und kontrollierte Übergänge | Netzsegmentierung | Hoch | Hoch | Hoch | Wichtig | 6 · 31 Roh | |
| SEG-002 | Multi-Tenant- und Outsourcing-Netz-Trennung | Netzsegmentierung | Hoch | Hoch | Hoch | Core | 2 · 3 Roh | |
| SEG-003 | Wireless- und Mobile-Network-Zugriffe | Netzsegmentierung | Mittel | Mittel | Mittel | Begleitend | 4 · 14 Roh | |
| NET-001 | Sicherheits-Gateways, Firewalls und Boundary-Protection | Netzwerksicherheit | Hoch | Hoch | Hoch | Wichtig | 4 · 17 Roh | |
| NET-002 | VPN-Planung, -Betrieb und -Lifecycle für Fernzugriffe | Netzwerksicherheit | Mittel | Mittel | Mittel | Wichtig | 2 · 11 Roh | |
| NET-003 | Inventar und kontrollierte Zulassung aller Netzzugänge | Netzwerksicherheit | Hoch | Mittel | Mittel | Wichtig | 2 · 8 Roh | |
| NET-004 | Schutz vor DDoS- und ausgehenden Angriffen | Netzwerksicherheit | Mittel | Mittel | Mittel | Begleitend | 2 · 9 Roh | |
| NET-005 | Sichere Protokolle und Verschlüsselung für Fernzugriffe | Netzwerksicherheit | Hoch | Hoch | Hoch | Core | 4 · 5 Roh | |
| NET-006 | Entkopplung der Fernwartungs-Kommunikation | Netzwerksicherheit | Hoch | Mittel | Mittel | Core | 2 · 4 Roh | |
| JMP-001 | Jump-Host / Bastion für administrative Fernzugriffe | Jump Host / Bastion | Hoch | Hoch | Hoch | Core | 2 · 4 Roh | |
| ZT-001 | Zero-Trust-Architektur-Prinzipien | Zero Trust | Hoch | Mittel | Mittel | Wichtig | 1 · 7 Roh | |
| ZT-002 | Dynamische Policy- und Trust-Evaluation | Zero Trust | Hoch | Mittel | Mittel | Wichtig | 1 · 14 Roh | |
| ZT-003 | Zero-Trust-Deployment-Annahmen und Bedrohungs-Modell | Zero Trust | Mittel | Niedrig | Niedrig | Begleitend | 1 · 25 Roh | |
| ENC-001 | Kryptographie-Konzept und Algorithmen-Vorgaben | Kryptographie | Hoch | Mittel | Hoch | Wichtig | 6 · 10 Roh | |
| ENC-002 | Transport-Verschlüsselung (Data-in-Motion) | Kryptographie | Hoch | Hoch | Hoch | Core | 5 · 15 Roh | |
| ENC-003 | Schlüsselmanagement und Schlüssel-Lebenszyklus | Kryptographie | Hoch | Mittel | Hoch | Wichtig | 3 · 7 Roh | |
| ENC-004 | Speicher- und Daten-Verschlüsselung (Data-at-Rest) | Kryptographie | Hoch | Mittel | Hoch | Begleitend | 4 · 8 Roh | |
| DATA-001 | Daten-Klassifikation und Schutz personenbezogener / sensibler Daten | Datenschutz | Hoch | Hoch | Hoch | Begleitend | 4 · 8 Roh | |
| DATA-002 | Sicheres Löschen und Entsorgung von Datenträgern | Datenschutz | Mittel | Mittel | Mittel | Außerhalb | 3 · 13 Roh | |
| DATA-003 | Sicherer Datentransport und Datenträger-Austausch | Datenschutz | Mittel | Mittel | Mittel | Außerhalb | 3 · 6 Roh | |
| COMP-001 | Compliance- und Meldepflichten gegenüber Aufsichtsbehörden | Compliance | Mittel | Hoch | Hoch | Begleitend | 4 · 15 Roh | |
| MON-001 | Sicherheits-Monitoring und SIEM | Monitoring | Hoch | Hoch | Hoch | Wichtig | 5 · 32 Roh | |
| MON-002 | Monitoring von Fernzugriffs-Sessions und administrativen Tätigkeiten | Monitoring | Hoch | Hoch | Hoch | Core | 2 · 5 Roh | |
| MON-003 | Schwachstellen- und Threat-Intelligence | Monitoring | Hoch | Mittel | Mittel | Begleitend | 4 · 8 Roh | |
| IR-001 | Vorfallserkennung, -Behandlung und Forensik | Incident Response | Hoch | Hoch | Hoch | Begleitend | 5 · 36 Roh | |
| IR-002 | Notabschaltung und Disconnect von Remote-Access | Incident Response | Hoch | Hoch | Hoch | Core | 2 · 2 Roh | |
| IR-003 | Meldepflichten und Kontaktstelle BSI/Behörden | Incident Response | Mittel | Hoch | Hoch | Begleitend | 5 · 7 Roh | |
| EMG-001 | Notfall- und Break-Glass-Zugriff | Emergency Access | Hoch | Hoch | Hoch | Core | 3 · 3 Roh | |
| AVAIL-001 | Business-Continuity-Management für kritische Dienstleistung | Verfügbarkeit / BCM | Hoch | Hoch | Hoch | Begleitend | 7 · 30 Roh | |
| AVAIL-002 | Notfallplan und Redundanz für Fernwartung | Verfügbarkeit / BCM | Hoch | Mittel | Mittel | Wichtig | 4 · 7 Roh | |
| AVAIL-003 | Datensicherung, Wiederherstellung und Archivierung | Verfügbarkeit / BCM | Hoch | Hoch | Hoch | Außerhalb | 3 · 9 Roh | |
| AVAIL-004 | Resiliente Architektur und Strom-/Notstromversorgung | Verfügbarkeit / BCM | Hoch | Mittel | Mittel | Außerhalb | 3 · 9 Roh | |
| SAFE-001 | Sicherheitseigenschaften der Anlage bei aktiver Fernwartung | Funktionale Sicherheit | Hoch | Hoch | Hoch | Wichtig | 2 · 5 Roh | |
| OT-001 | OT-spezifische Sicherheits-Anforderungen an Fernwartung | OT / ICS | Hoch | Hoch | Hoch | Wichtig | 3 · 11 Roh | |
| OT-002 | Asset-Management für OT- und kDL-Komponenten | OT / ICS | Hoch | Mittel | Hoch | Außerhalb | 5 · 8 Roh | |
| MED-001 | Medizingerät-Vernetzung und sichere Fernwartung von Medizingeräten | Medizingeräte | Hoch | Hoch | Hoch | Wichtig | 1 · 5 Roh | |
| MED-002 | Beschaffung netzwerkfähiger Medizingeräte und -produkte | Medizingeräte | Hoch | Mittel | Mittel | Begleitend | 1 · 5 Roh | |
| SCM-001 | Supply-Chain-Risk-Management-Plan | Supply Chain Risk | Hoch | Hoch | Hoch | Begleitend | 5 · 15 Roh | |
| SCM-002 | Komponenten-Echtheit und Anti-Counterfeit | Supply Chain Risk | Mittel | Mittel | Mittel | Außerhalb | 1 · 4 Roh | |
| SUP-001 | Steuerung und Überprüfung von Lieferanten und Dienstleistern | Lieferanten-Lifecycle | Hoch | Hoch | Hoch | Begleitend | 9 · 17 Roh | |
| CLD-001 | Cloud-Strategie, Exit-Plan und Auftragsverarbeitung | Cloud | Hoch | Hoch | Hoch | Begleitend | 4 · 6 Roh | |
| GOV-011 | Regelungen für Telearbeit | Governance | Mittel | Mittel | Mittel | Wichtig | 2 · 8 Roh | |
| AUTH-004 | Session-Management und Re-Authentisierung | Authentisierung | Hoch | Mittel | Mittel | Wichtig | 3 · 12 Roh | |
| GOV-012 | Patch-, Änderungs- und Konfigurations-Management | Governance | Hoch | Hoch | Hoch | Wichtig | 7 · 24 Roh | |
| AVAIL-005 | Physische Sicherheit zentraler IT-/OT-Standorte | Verfügbarkeit / BCM | Hoch | Mittel | Hoch | Außerhalb | 4 · 9 Roh | |
| AUTHZ-006 | Zweckbindung und Beschränkung von Fernzugriff-Funktionen | Autorisierung | Hoch | Hoch | Hoch | Core | 2 · 5 Roh | |
| GOV-013 | Sichere Softwareentwicklung und Test | Governance | Hoch | Mittel | Hoch | Außerhalb | 6 · 14 Roh |
AUTH-001
Sichere Authentisierung für Fernzugriffe und administrative Zugänge
Authentisierung
AUTH-002
Geräte- und Maschine-zu-Maschine-Authentisierung
Authentisierung
AUTH-003
Authentisierung von Remote-Befehlen und -Sessions
Authentisierung
MFA-001
Mehrfaktor-Authentisierung für privilegierte Fernzugriffe
Multi-Faktor-Authentisierung
MFA-002
Mehrfaktor-Authentisierung für nicht-privilegierte Zugriffe
Multi-Faktor-Authentisierung
MFA-AAL2
Authenticator Assurance Level 2 — MFA mit replay-resistentem Authenticator und genehmigter Kryptografie
Multi-Faktor-Authentisierung
MFA-AAL1
Authenticator Assurance Level 1 — Einfache Authentisierung mit genehmigter Kryptografie
Multi-Faktor-Authentisierung
MFA-AAL3
Authenticator Assurance Level 3 — Hardware-Authenticator mit Verifier-Impersonation-Resistance
Multi-Faktor-Authentisierung
MFA-003
Anforderungen an Memorized Secrets (Passwörter)
Multi-Faktor-Authentisierung
MFA-004
Look-up-Secret-Authenticator (Recovery-Codes)
Multi-Faktor-Authentisierung
MFA-005
Out-of-Band-Authenticator (OOB)
Multi-Faktor-Authentisierung
MFA-006
Single-Factor- und Multi-Factor-OTP-Authenticator
Multi-Faktor-Authentisierung
MFA-007
Kryptografische Authenticator (Software und Hardware)
Multi-Faktor-Authentisierung
MFA-008
Verifier-Schutz, Rate-Limiting und Replay-Resistenz
Multi-Faktor-Authentisierung
MFA-009
Biometrische Authentisierungs-Faktoren
Multi-Faktor-Authentisierung
IDM-001
Account-Lifecycle-Management
Identitäts-Management
IDM-002
Authenticator-Management und -Verteilung
Identitäts-Management
IDM-003
Account-Monitoring und atypische Nutzungs-Erkennung
Identitäts-Management
AUTHZ-001
Least-Privilege und Need-to-Know-Prinzip
Autorisierung
AUTHZ-002
Rollen- und Berechtigungskonzept (RBAC)
Autorisierung
AUTHZ-003
Funktionstrennung und Vier-Augen-Prinzip
Autorisierung
AUTHZ-004
Berechtigungs-Reviews und Privileg-Reduktion
Autorisierung
AUTHZ-005
Information-Flow-Enforcement zwischen Domänen
Autorisierung
PAM-001
Privilegierte Konten — dedizierte und kontrollierte Vergabe
Privileged Access
PAM-002
Privilegierte Befehle und Netzzugriffe
Privileged Access
PAM-003
Schutz und Härtung administrativer Werkzeuge
Privileged Access
PAM-004
Dokumentation und Zeitfenster privilegierter Tätigkeiten
Privileged Access
VEN-001
Vertragliche Sicherheitsregelung mit externem Wartungs- und Dienstleistungs-Personal
Vendor Access
VEN-002
Beobachtung und Kontrolle externer Wartungsaktivitäten
Vendor Access
VEN-003
Freigabe und Genehmigung jeder Fernwartungs-Sitzung
Vendor Access
VEN-004
Zentrale Verwaltung von Konten für externe Wartung
Vendor Access
TPA-001
Drittparteien-Zugang generell (jenseits Wartungs-Vertrag)
Drittparteien-Zugriff
TPA-002
Externe System-Nutzung und BYOD-Restriktionen
Drittparteien-Zugriff
GOV-001
Verantwortlichkeit der Geschäftsleitung für Informationssicherheit
Governance
GOV-002
Informationssicherheits-Leitlinie und Richtlinien-System
Governance
GOV-003
Informationssicherheits-Beauftragte (ISB / CISO)
Governance
GOV-004
ISMS-Geltungsbereich und Anwendungsbereich
Governance
GOV-005
Strategie, Steuerung und Regelung von Auslagerung und Outsourcing
Governance
GOV-006
Planung und Richtlinie für Fernwartung
Governance
GOV-007
Verantwortlichkeit für Prozesse und Anwendungen
Governance
GOV-008
Risikomanagement-Prozess der Informationssicherheit
Governance
GOV-009
Kritikalitäts- und Schutzbedarfs-Analyse
Governance
GOV-010
Geheimhaltung und Verpflichtung auf gesetzliche Grundlagen (Sozialgeheimnis, Datenschutz)
Governance
AWAR-001
Awareness und Schulung von Mitarbeitenden und Externen
Awareness / Schulung
AWAR-002
Sicherheitsüberprüfung für kritische Funktionen
Awareness / Schulung
AUDIT-001
Nachweisbarkeit und Auditierbarkeit administrativer Tätigkeiten
Audit & Nachweis
AUDIT-002
Interne und externe Audits, Wirksamkeitsprüfungen
Audit & Nachweis
AUDIT-003
Nachweispflichten gegenüber Aufsichts- und Prüfbehörden
Audit & Nachweis
LOG-001
Sicherheits-Protokollierung — Konzept und Mindest-Ereignisse
Protokollierung
LOG-002
Zentrale Protokollierungs-Infrastruktur und Speicherung
Protokollierung
LOG-003
Zeit-Synchronisation und Audit-Trail-Konsistenz
Protokollierung
LOG-004
Protokoll-Aufbewahrung, Datenschutz und Bereitstellung für Auswertung
Protokollierung
LOG-005
Audit-Record-Review, -Korrelation und -Reporting
Protokollierung
REC-001
Aufzeichnung externer Fernwartungs-Sessions
Session Recording
SEG-001
Netzwerk-Segmentierung in Zonen und kontrollierte Übergänge
Netzsegmentierung
SEG-002
Multi-Tenant- und Outsourcing-Netz-Trennung
Netzsegmentierung
SEG-003
Wireless- und Mobile-Network-Zugriffe
Netzsegmentierung
NET-001
Sicherheits-Gateways, Firewalls und Boundary-Protection
Netzwerksicherheit
NET-002
VPN-Planung, -Betrieb und -Lifecycle für Fernzugriffe
Netzwerksicherheit
NET-003
Inventar und kontrollierte Zulassung aller Netzzugänge
Netzwerksicherheit
NET-004
Schutz vor DDoS- und ausgehenden Angriffen
Netzwerksicherheit
NET-005
Sichere Protokolle und Verschlüsselung für Fernzugriffe
Netzwerksicherheit
NET-006
Entkopplung der Fernwartungs-Kommunikation
Netzwerksicherheit
JMP-001
Jump-Host / Bastion für administrative Fernzugriffe
Jump Host / Bastion
ZT-001
Zero-Trust-Architektur-Prinzipien
Zero Trust
ZT-002
Dynamische Policy- und Trust-Evaluation
Zero Trust
ZT-003
Zero-Trust-Deployment-Annahmen und Bedrohungs-Modell
Zero Trust
ENC-001
Kryptographie-Konzept und Algorithmen-Vorgaben
Kryptographie
ENC-002
Transport-Verschlüsselung (Data-in-Motion)
Kryptographie
ENC-003
Schlüsselmanagement und Schlüssel-Lebenszyklus
Kryptographie
ENC-004
Speicher- und Daten-Verschlüsselung (Data-at-Rest)
Kryptographie
DATA-001
Daten-Klassifikation und Schutz personenbezogener / sensibler Daten
Datenschutz
DATA-002
Sicheres Löschen und Entsorgung von Datenträgern
Datenschutz
DATA-003
Sicherer Datentransport und Datenträger-Austausch
Datenschutz
COMP-001
Compliance- und Meldepflichten gegenüber Aufsichtsbehörden
Compliance
MON-001
Sicherheits-Monitoring und SIEM
Monitoring
MON-002
Monitoring von Fernzugriffs-Sessions und administrativen Tätigkeiten
Monitoring
MON-003
Schwachstellen- und Threat-Intelligence
Monitoring
IR-001
Vorfallserkennung, -Behandlung und Forensik
Incident Response
IR-002
Notabschaltung und Disconnect von Remote-Access
Incident Response
IR-003
Meldepflichten und Kontaktstelle BSI/Behörden
Incident Response
EMG-001
Notfall- und Break-Glass-Zugriff
Emergency Access
AVAIL-001
Business-Continuity-Management für kritische Dienstleistung
Verfügbarkeit / BCM
AVAIL-002
Notfallplan und Redundanz für Fernwartung
Verfügbarkeit / BCM
AVAIL-003
Datensicherung, Wiederherstellung und Archivierung
Verfügbarkeit / BCM
AVAIL-004
Resiliente Architektur und Strom-/Notstromversorgung
Verfügbarkeit / BCM
SAFE-001
Sicherheitseigenschaften der Anlage bei aktiver Fernwartung
Funktionale Sicherheit
OT-001
OT-spezifische Sicherheits-Anforderungen an Fernwartung
OT / ICS
OT-002
Asset-Management für OT- und kDL-Komponenten
OT / ICS
MED-001
Medizingerät-Vernetzung und sichere Fernwartung von Medizingeräten
Medizingeräte
MED-002
Beschaffung netzwerkfähiger Medizingeräte und -produkte
Medizingeräte
SCM-001
Supply-Chain-Risk-Management-Plan
Supply Chain Risk
SCM-002
Komponenten-Echtheit und Anti-Counterfeit
Supply Chain Risk
SUP-001
Steuerung und Überprüfung von Lieferanten und Dienstleistern
Lieferanten-Lifecycle
CLD-001
Cloud-Strategie, Exit-Plan und Auftragsverarbeitung
Cloud
GOV-011
Regelungen für Telearbeit
Governance
AUTH-004
Session-Management und Re-Authentisierung
Authentisierung
GOV-012
Patch-, Änderungs- und Konfigurations-Management
Governance
AVAIL-005
Physische Sicherheit zentraler IT-/OT-Standorte
Verfügbarkeit / BCM
AUTHZ-006
Zweckbindung und Beschränkung von Fernzugriff-Funktionen
Autorisierung
GOV-013
Sichere Softwareentwicklung und Test
Governance
Branchenrelevanz
Pro Branche zählt diese Übersicht die Anforderungen aus der Bibliothek, die mit Branchen-Relevanz high bewertet sind. Filter in der Matrix-Komponente: Branche auswählen → nur Anforderungen mit hoher Relevanz für die jeweilige Branche werden angezeigt.
Branche
KRITIS
78
Anforderungen mit hoher Branchen-Relevanz
Konsolidierte Anforderungen aus B3S, BSI Grundschutz und §166 TKG; Fokus Vendor-Access, Audit-Nachweise, Protokollierung.
In der Matrix filternBranche
Energie
71
Anforderungen mit hoher Branchen-Relevanz
B3S Fernwärme und B3S Aggregatoren liefern OT-bezogene Anforderungen an Leitsysteme, Mehrfaktor und Lieferanten-Wartung.
In der Matrix filternBranche
Wasser
71
Anforderungen mit hoher Branchen-Relevanz
OT-Schwerpunkt; Generische Anforderungen aus B3S Fernwärme/Aggregatoren als Proxy bis B3S Wasser/Abwasser eingepflegt ist.
In der Matrix filternBranche
Krankenhaus
58
Anforderungen mit hoher Branchen-Relevanz
B3S Krankenhaus v1.3.1 dominant; Schwerpunkte Vendor-Access, Medizingerät-Fernwartung, Patientendaten-Schutz.
In der Matrix filternBranche
Finanzwesen
70
Anforderungen mit hoher Branchen-Relevanz
Zugriffskontrolle, Drittparteien-Management, Resilienz; DORA und DORA RTS als zusätzliche Quellen integriert.
In der Matrix filternBranche
Telekommunikation
54
Anforderungen mit hoher Branchen-Relevanz
§166 TKG plus generische Anforderungen; BNetzA IT-Sicherheitskatalog als zukünftige Quelle vorgemerkt.
In der Matrix filternBranche
Industrie
27
Anforderungen mit hoher Branchen-Relevanz
OT-Fernwartung im industriellen Umfeld (BSI IND.3.2), Safety-Aspekte separat in Kategorie SAFE.
In der Matrix filternBranche
Maschinenbau
27
Anforderungen mit hoher Branchen-Relevanz
Hersteller-Fernwartung als Lieferant: Vendor-Access, Multi-Tenant-Trennung, Session-Recording.
In der Matrix filternBranche
Öffentliche Verwaltung
24
Anforderungen mit hoher Branchen-Relevanz
BSI-Grundschutz-Schwerpunkt; B3S-Coverage nicht spezifisch, dafür generische KRITIS-Anforderungen anwendbar.
In der Matrix filternUmsetzung
Von der Anforderung zur kontrollierten Fernwartung
Der Katalog beschreibt Anforderungen. Die Blackfort Access Bridge ist der technische Ansatz, um zentrale Anforderungen an Herstellerzugriffe, Freigaben, Protokollierung, Segmentierung, Session Recording und Notfallzugriffe kontrolliert umzusetzen.
Die Bridge unterstützt bei der Umsetzung zentraler Anforderungen. Welcher Teil des Katalogs technisch durch die Bridge abgedeckt ist und welcher organisatorische Begleitung braucht, ist pro Anforderung in der Matrix gekennzeichnet (Blackfort-Relevanz: core / wichtig / begleitend / außerhalb).
Access-Bridge-Gespräch anfragenTypische Core-Bereiche
- Authentisierung und MFA für privilegierte Fernzugriffe
- Sprungserver / Jump-Host als Vermittlungspunkt
- Session-Recording externer Wartungsarbeiten
- Zentrale Verwaltung von Lieferanten-Konten
- Freigabe- und Genehmigungs-Workflows je Sitzung
- Multi-Tenant-/Outsourcing-Netz-Trennung
- Notfall- und Break-Glass-Zugriff
Auswahl aus den 17 Sweet-Spot-Anforderungen. Vollständige Liste in der Matrix oben mit Filter „Blackfort-Relevanz: Core“.
Häufige Fragen zum Anforderungskatalog
Was ist der Anforderungskatalog sichere Fernwartung?
Der Anforderungskatalog ist ein quellenbasierter Orientierungskatalog mit 101 konsolidierten Anforderungen aus BSI IT-Grundschutz, NIST SP 800-53/800-207/800-63B, §166 TKG, vier B3S (Krankenhaus, Fernwärme, Aggregatoren, GKV/PV) sowie EU-Regulatorik (NIS2, DORA, DORA Regulatory Technical Standards zu Subcontracting und ICT Risk Management Framework, Cyber Resilience Act). Er ordnet Anforderungen 29 Kategorien zu, dokumentiert Quellenbelege je Anforderung und ergänzt branchenübergreifende Bewertungen zur Audit- und Käufer-Perspektive.
Ist der Katalog ein rechtsverbindlicher Compliance-Nachweis?
Nein. Der Katalog ist eine Orientierungshilfe für Beratungs- und Audit-Vorbereitungen. Er erhebt keinen Anspruch auf Vollständigkeit und ersetzt keine rechtliche Prüfung. Konkrete regulatorische Anwendbarkeit hängt von Sektor, Geltungsbereich und Einzelfallprüfung ab.
Für welche Branchen ist der Katalog relevant?
Branchenübergreifend mit Schwerpunkt KRITIS, Energie, Wasser, Krankenhaus, Healthcare, Finanzwesen, Versicherung, Telekommunikation, Industrie, Maschinenbau, MSP, Cloud Provider und öffentliche Verwaltung. Jede Anforderung trägt eine Bewertung der Branchen-Relevanz mit den Stufen high/medium/low.
Welche Regelwerke wurden berücksichtigt?
BSI IT-Grundschutz-Kompendium Edition 2023 (sieben Bausteine), NIST SP 800-53 Rev. 5 (relevante Control-Families AC, IA, AU, SR, SC), NIST SP 800-207 (Zero Trust Architecture), NIST SP 800-63B (Authentication), §166 TKG, vier branchenspezifische Sicherheitsstandards (B3S) der DKG, BDEW und des GKV-Spitzenverbands sowie EU-Regulatorik: NIS2 (Richtlinie (EU) 2022/2555), DORA (Verordnung (EU) 2022/2554), DORA Regulatory Technical Standards zu Subcontracting (JC 2024/53) und ICT Risk Management Framework (JC 2023/86) und Cyber Resilience Act (Verordnung (EU) 2024/2847). Noch nicht eingearbeitete Regelwerke (z.B. DSGVO, IEC 62443, BNetzA IT-Sicherheitskatalog, weitere B3S) sind dokumentiert und werden bei Beschaffung der jeweiligen Volltexte zusätzlich als sourceMappings ergänzt.
Wie kann der Katalog für ein Audit genutzt werden?
Pro Anforderung listet die Bibliothek typische Auditfragen, häufige Findings, Beispiel-Nachweise und allgemein anerkannte technische und organisatorische Maßnahmen. Diese Inhalte stützen die Vorbereitung von ISO-27001-, KRITIS-§8a-, internen Revisions- und Lieferanten-Audits. Sie ersetzen keinen konkreten Prüfungsablauf, sondern strukturieren die Vorbereitung.
Wie unterstützt die Blackfort Access Bridge bei der Umsetzung?
Die Access Bridge unterstützt bei der Umsetzung zentraler Anforderungen an Herstellerzugriffe, Freigaben, Protokollierung, Segmentierung, Session Recording und Notfallzugriffe. Welcher Teil des Katalogs technisch durch eine Access-Bridge-Lösung abgedeckt ist und welcher organisatorische Begleitung braucht, ist pro Anforderung in der Matrix gekennzeichnet (Blackfort-Relevanz: core/wichtig/begleitend/außerhalb).
Können weitere Regelwerke ergänzt werden?
Ja. Die Bibliothek ist so aufgebaut, dass weitere Quellen wie DSGVO, IEC 62443, BNetzA IT-Sicherheitskatalog und weitere B3S ausschließlich über zusätzliche Quellen-Belege eingepflegt werden, ohne die bestehenden Anforderungs-IDs zu verändern. NIS2, DORA, DORA RTS (Subcontracting; ICT Risk Management Framework) und CRA sind über dieses Verfahren bereits als zusätzliche Quellen-Belege integriert. Pro Anforderung ist markiert, welche weiteren Regelwerke voraussichtlich zusätzliche Belege liefern.
Weiter im Themenfeld Fernwartung
Sichere Fernwartung
Übersicht zu sicheren Remote-Access-Architekturen
Fernwartung in der Industrie
OT/SCADA-spezifische Anforderungen
NIS2-Umsetzung
Konkrete Anforderungen aus der NIS2-Richtlinie
DORA-Beratung
Drittparteien-Risikomanagement im Finanzsektor
Cybersecurity Energie/KRITIS
Branchen-spezifische Sicht
Cybersecurity Healthcare/MedTech
Branchen-spezifische Sicht
Security Checks
Strukturierte Quick-Checks
Gap-Analyse anfragen
Direkter Kontakt mit vorbelegtem Anliegen