OT Security · Industrie-Fernwartung · IEC 62443
Sichere Industrie-Fernwartung ohne offene Zugänge
Fernwartungszugriffe in industriellen Umgebungen sind ein bevorzugter Angriffsvektor. Eine dedizierte Remote-Access-Architektur mit Privileged Access Bridge schließt unkontrollierte Zugänge – ohne laufende Produktion zu gefährden.
Risiken bei Fernwartung in der Industrie
Industrie-Fernwartung ist einer der am häufigsten genutzten Einstiegspunkte für Angriffe auf OT-Umgebungen. Maschinenhersteller, Systemintegratoren und Wartungsdienstleister benötigen regelmäßigen Fernzugriff auf Produktionsanlagen, SCADA-Systeme und Steuerungskomponenten. In der Praxis erfolgt dieser Zugriff häufig über dauerhaft offene VPN-Verbindungen, proprietäre Herstellertools oder unkontrollierte Modem-Zugänge – ohne Protokollierung, ohne Zeitbegrenzung, ohne granulare Zugangskontrolle.
Das Ergebnis: Ein kompromittierter Lieferanten-Account reicht aus, um direkten Zugang zur Produktionssteuerung zu erhalten. Ransomware-Gruppen wie EKANS und FIN12 nutzen diesen Weg systematisch – nicht weil OT-Systeme intern schlecht gesichert sind, sondern weil unkontrollierte Fernwartungszugänge die Perimeter-Sicherheit vollständig umgehen.
Hinzu kommt ein organisatorisches Problem: Zugänge werden bei der Inbetriebnahme vergeben und nie wieder deaktiviert. Maschinenhersteller, die das Unternehmen längst gewechselt haben, besitzen aktive VPN-Accounts. Wer wann auf welche Steuerung zugegriffen hat, ist nicht dokumentiert. In einem NIS2- oder KRITIS-Audit ist das nicht zu erklären.
Typische Schwachstellen in der Praxis: Dauerhaft aktive VPN-Zugänge für Maschinenhersteller ohne Monitoring, proprietäre Herstellertools mit Direktverbindung ins Internet auf Produktions-PCs, fehlende Protokollierung von SPS-Zugriffen, keine Trennung zwischen verschiedenen Lieferantenzugängen im selben OT-Segment.
Anforderungen an sichere OT-Fernwartung
Sichere industrielle Fernwartung ist keine optionale Maßnahme – sie ist eine technische und regulatorische Notwendigkeit. Die relevanten Anforderungen kommen aus mehreren Quellen:
IEC 62443: Sicherheitsanforderungen für Remote Access in OT
IEC 62443-3-3 definiert konkrete Anforderungen für Fernzugriffe auf industrielle Automatisierungssysteme: starke Authentifizierung (mindestens MFA), Verschlüsselung aller Verbindungen, Zugriffsbeschränkung auf autorisierte Geräte und Zonen, vollständige Protokollierung aller Remote-Sessions sowie sofortige Terminierungsmöglichkeit. Fernwartungszugriffe müssen über dedizierte, überwachte Kanäle erfolgen – kein allgemeiner VPN-Zugang auf das gesamte OT-Netzwerk.
NIS2: Zugangskontrolle für externe Dienstleister als Pflicht
NIS2 Art. 21 schreibt Unternehmen in betroffenen Sektoren – Energie, Wasser, Transport, Fertigung – konkrete Maßnahmen zur Zugangskontrolle für externe Dienstleister vor. Unkontrollierte Fernwartungszugänge sind ein direkter Verstoß. Supply Chain Security ist eine explizite NIS2-Anforderung: Kunden prüfen, ob die Fernwartungsprozesse ihrer Lieferanten und Maschinenhersteller gesichert sind.
KRITIS: BSI-Nachweispflicht für kritische Infrastrukturen
KRITIS-Betreiber in den Sektoren Energie, Wasser, Nahrung und Transport müssen Fernwartungszugriffe auf kritisch eingestufte Systeme nachweislich kontrollieren und dokumentieren. Unkontrollierte Modem-Verbindungen oder dauerhafte VPN-Zugänge für externe Dienstleister entsprechen nicht den Anforderungen nach BSI-KritisV und BSI ICS-Kompendium.
Lösung: Privileged Access Bridge als Architekturkomponente
Die Blackfort Privileged Access Bridge (PAB) ist kein Fernwartungs-Tool im klassischen Sinne. Sie ist eine Architekturkomponente: ein gehärtetes Gateway, das als einziger kontrollierter Eintrittspunkt für alle Fernwartungsverbindungen in einer OT-Umgebung fungiert. Kein direkter Netzwerkzugang von außen auf OT-Systeme, keine dauerhaften Verbindungen, keine unkontrollierten Seitenpfade.
Architekturprinzip: Keine dauerhafte Exposition
Zugänge werden ausschließlich für den Zeitraum eines genehmigten Wartungsfensters geöffnet und danach automatisch geschlossen. Der externe Dienstleister beantragt einen Zugriff, das eigene Team genehmigt diesen explizit, die PAB vermittelt die Verbindung und terminiert sie nach Ablauf. Kein Account bleibt aktiv, wenn er nicht benötigt wird. Das Prinzip minimaler dauerhafter Exposition schließt den häufigsten Einstiegspfad für OT-Angriffe strukturell.
Was die Privileged Access Bridge für OT-Umgebungen leistet
Just-in-Time Access
Zugänge werden nur für das genehmigte Zeitfenster geöffnet. Kein Dauerzugang für externe Dienstleister – auch nicht für Maschinenhersteller mit langjähriger Lieferantenbeziehung.
Session Recording
Vollständige, manipulationssichere Aufzeichnung aller Remote-Sessions. Wer hat wann was auf welchem System getan? – Die Antwort ist in jedem Audit direkt verfügbar.
Geräte-isolierter Zugriff
Der Dienstleister sieht und erreicht ausschließlich das freigegebene Gerät. Keine lateralen Bewegungen in andere OT-Segmente oder benachbarte Anlagen sind möglich.
Protokoll-Proxy
Vermittlung industrieller Protokolle ohne Installation von Software auf Zielsystemen. Legacy-OT-Geräte bleiben unverändert – die Sicherheitsarchitektur wird auf dem Gateway implementiert.
MFA-Durchsetzung
Multi-Faktor-Authentifizierung für jeden Fernzugriff wird auf Gateway-Ebene erzwungen – auch für externe Dienstleister ohne eigene MFA-Infrastruktur.
Sofortige Terminierung
Das eigene Team kann eine laufende Session jederzeit sofort beenden – unabhängig vom externen Dienstleister und ohne Produktionsbeeinträchtigung.
Architekturansatz: Zero Trust für industrielle Fernwartung
Eine sichere Industrie-Fernwartungsarchitektur basiert auf dem Zero-Trust-Prinzip: kein implizites Vertrauen, minimale Berechtigungen, vollständige Protokollierung. Die Umsetzung in OT-Umgebungen folgt dem IEC-62443-Zonenkonzept:
DMZ als dedizierter Eintrittspunkt
Die Privileged Access Bridge wird in einer dedizierten DMZ zwischen IT- und OT-Netzwerk positioniert. Externer Zugriff erreicht ausschließlich die DMZ – nie direkt das OT-Netzwerk.
Ausgehende Verbindungen statt offener Ports
Die Verbindung zum OT-Zielsystem wird von der PAB initiiert, nicht vom externen Dienstleister. Das OT-Netzwerk öffnet keine eingehenden Verbindungen nach außen.
Zonen-Isolation nach IEC 62443
Jeder Dienstleister erhält Zugriff nur auf die für ihn freigegebene Schutzzone. Anlage A und Anlage B bleiben isoliert – auch wenn beide im selben physischen Produktionsraum stehen.
Genehmigungsworkflow vor jedem Zugriff
Jeder Fernwartungszugriff durchläuft einen definierten Genehmigungsprozess: Antrag des Dienstleisters, Freigabe durch das eigene Team, zeitlich begrenzter Zugang, automatische Schließung nach Ablauf.
Strukturierter Audit-Trail
Vollständige, manipulationssichere Protokollierung aller Zugriffe und Sessions. Bei KRITIS-Audits, NIS2-Nachweisen oder IEC-62443-Zertifizierungen sind die Belege direkt abrufbar.
Vorteile sicherer Industrie-Fernwartung
Kein dauerhaft offener Zugang
Maschinenlieferanten und Dienstleister haben ausschließlich zeitlich begrenzte, explizit freigegebene Zugänge.
Vollständige Auditierbarkeit
Jeder Fernzugriff ist protokolliert, jede Session aufgezeichnet. Compliance-Nachweise sind strukturell im Prozess verankert.
Keine Eingriffe in Zielsysteme
Legacy-OT-Geräte bleiben unverändert. Die Sicherheitsarchitektur wird auf dem Gateway implementiert.
Laterale Bewegungen ausgeschlossen
Dienstleister sehen ausschließlich ihr freigegebenes Gerät. Keine Querverbindungen in andere OT-Segmente.
Sofortige Reaktionsmöglichkeit
Laufende Sessions können jederzeit sofort terminiert werden – unabhängig vom externen Dienstleister.
Regulatorische Compliance
IEC 62443, NIS2, KRITIS und ISO 27001 – OT-Fernzugriffsanforderungen werden strukturell adressiert.
Einsatzszenarien
Maschinenhersteller-Fernwartung
Maschinenhersteller erhalten zeitlich begrenzte, auf ihre Anlage beschränkte Fernzugänge nach expliziter Freigabe durch das eigene Team. Kein Dauerzugang, vollständige Session-Aufzeichnung, sofortige Terminierungsmöglichkeit. Die Produktion läuft durch – der Hersteller kann seine Arbeit erledigen, ohne unkontrollierten Netzwerkzugang zu erhalten.
Systemintegratoren und externe Instandhaltungsdienstleister
Externe Wartungsdienstleister mit Zugriff auf mehrere Anlagen oder Standorte erhalten granulare, anlagenspezifische Zugänge. Jeder Dienstleister sieht ausschließlich seine freigegebenen Systeme – keine Querverbindungen zwischen Kunden oder Anlagen. Zugriffshistorie und Session Recordings sind mandantensicher gespeichert.
Interne Instandhaltung und Engineering (Remote-Zugriff)
Instandhalter und Prozessingenieure, die außerhalb der regulären Schicht oder aus dem Homeoffice auf Produktionssysteme zugreifen müssen, erhalten kontrollierten Fernzugriff mit denselben Sicherheitsgarantien wie externe Dienstleister. Die Sicherheitsarchitektur unterscheidet strukturell nicht zwischen internem und externem Zugriff.
KRITIS-Betreiber mit Nachweispflicht gegenüber dem BSI
Kritische Infrastrukturen mit BSI-Audit- und Nachweispflicht profitieren von strukturell verankerten Compliance-Belegen: Zugriffsmatrix, Session-Protokolle und Genehmigungsworkflows sind direkt in der PAB-Infrastruktur dokumentiert – keine manuelle Nachbereitung, kein papierbasiertes Audit-Trail.
Industrie-Fernwartung und VPN: eine ehrliche Einordnung
VPN ist in vielen Unternehmen die erste Antwort auf sichere Fernwartung – und für viele IT-Anwendungsfälle eine solide Grundlage. In OT-Umgebungen reicht VPN allein strukturell nicht aus:
| Eigenschaft | VPN (Standard) | Privileged Access Bridge |
|---|---|---|
| Granulare Geräte-Zugriffskontrolle | ✗ | ✓ |
| Session Recording | ✗ | ✓ |
| Just-in-Time Access | ✗ | ✓ |
| Genehmigungsworkflow | ✗ | ✓ |
| Automatische Terminierung | ✗ | ✓ |
| OT-Protokoll-Unterstützung | eingeschränkt | ✓ |
| IEC-62443-konformes Remote Access | teilweise | ✓ |
| Keine Software auf Zielsystemen | ✓ | ✓ |
In vielen Fällen ist VPN als Netzwerkschicht sinnvoll – ergänzt um eine dedizierte Privileged Access Bridge, die die fehlenden Kontrollen hinzufügt (PAM on top of VPN). In anderen Szenarien – insbesondere bei hoher Dienstleisterdichte oder strikten Nachweispflichten – ist ein vollständiger Ersatz durch eine Zero-Trust-Architektur der überlegene Ansatz. Blackfort analysiert Ihre bestehende Infrastruktur und empfiehlt den passenden Weg.
Warum Blackfort für sichere Fernwartung in der Industrie?
Blackfort Technology verbindet OT-Security-Expertise mit praktischer Implementierungserfahrung in regulierten Industrieumgebungen. Wir verstehen die Betriebsrealität von Produktionsumgebungen: dass ein Produktionsstillstand durch eine Sicherheitsmaßnahme inakzeptabel ist, dass Legacy-OT-Geräte keine Software-Installation erlauben und dass Compliance-Nachweise strukturell im Prozess verankert sein müssen – nicht als papierbasiertes Nachbearbeitungsprojekt.
Unser Ansatz beginnt mit einer Bestandsaufnahme: Welche Fernwartungsverbindungen existieren? Über welche Tools und Protokolle? Sind diese Zugänge dokumentiert, zeitlich begrenzt, überwacht? Das Ergebnis ist eine Risikomatrix, die zeigt, wo die größten unkontrollierten Zugangspunkte in Ihrer OT-Infrastruktur liegen.
Auf dieser Basis implementieren wir die Privileged Access Bridge als Architekturkomponente: DMZ-Positionierung, Zonenkonzept nach IEC 62443, Integration bestehender OT-Protokolle ohne Eingriff in laufende Produktionssysteme. Das Ergebnis: Maschinenlieferanten erhalten sichere, zeitlich begrenzte Zugänge, interne Teams behalten volle Kontrolle, und bei NIS2-, KRITIS- oder IEC-62443-Audits liegen die Nachweise strukturell vor.
Industrie-Fernwartung jetzt absichern
Wir analysieren Ihre bestehenden OT-Fernwartungszugänge und implementieren eine IEC-62443-konforme Architektur mit Privileged Access Bridge – ohne Produktionsunterbrechung.
Kernfunktionen PAB
- Just-in-Time Access
- Session Recording & Audit-Trail
- Geräte-isolierter Zugriff
- MFA-Durchsetzung
- Automatische Terminierung
- Genehmigungsworkflow
- OT-Protokoll-Proxy
- Keine Software auf Zielsystemen
Regulatorischer Rahmen
Passende Lösung
Blackfort Privileged Access Bridge
Compliance-konforme Fernwartungsarchitektur mit Session Recording, Just-in-Time Access und vollständiger Auditierbarkeit – auch für OT-Umgebungen mit Legacy-Systemen.
Zur ProduktseiteVerwandte Themen
Jetzt absichern
Wir analysieren Ihre OT-Fernwartungszugänge und implementieren eine sichere, auditierbare Architektur.
Beratung anfragenHäufige Fragen zur sicheren Industrie-Fernwartung
Was bedeutet sichere Industrie-Fernwartung?
Sichere Industrie-Fernwartung bedeutet: kein dauerhaft offener Zugang auf OT-Systeme, kein direkter Netzwerkzugang von außen, vollständige Protokollierung aller Fernzugriffe und die Möglichkeit, Verbindungen sofort zu terminieren. Zugriffe von Maschinenlieferanten, Systemintegratoren oder internen Instandhaltern erfolgen ausschließlich über einen kontrollierten, gehärteten Eintrittspunkt nach expliziter Freigabe durch das eigene Team.
Warum reicht ein VPN für OT-Fernwartung nicht aus?
Ein VPN gewährt Netzwerkzugang, aber keine granulare Kontrolle über das, was ein externer Dienstleister nach dem Einwählen tut. Kein Session Recording, keine Just-in-Time-Zugangsvergabe, keine automatische Deaktivierung nach Ende eines Wartungsfensters. OT-Umgebungen benötigen Zugriffskontrolle auf Gerät-Ebene, Protokoll-Proxies für industrielle Protokolle und vollständige Auditierbarkeit. IEC 62443-3-3 fordert explizit dedizierte, überwachte Remote-Access-Kanäle – kein allgemeiner VPN-Zugang auf das OT-Netzwerk.
Was ist eine Privileged Access Bridge und wie funktioniert sie in OT-Umgebungen?
Die Blackfort Privileged Access Bridge ist ein gehärtetes Gateway in der DMZ zwischen IT- und OT-Netzwerk. Alle Fernwartungsverbindungen laufen ausschließlich über diesen Eintrittspunkt. Die PAB vermittelt die Verbindung zum Zielsystem, zeichnet die Session vollständig auf und terminiert sie nach Ablauf des genehmigten Zeitfensters automatisch. Der externe Dienstleister sieht und erreicht ausschließlich das freigegebene Gerät – keine lateralen Bewegungen in andere OT-Segmente sind möglich.
Welche regulatorischen Anforderungen gelten für industrielle Fernwartungszugänge?
IEC 62443-3-3 fordert starke Authentifizierung (MFA), Verschlüsselung, Zugriffsbeschränkung auf autorisierte Geräte und Zonen sowie vollständige Protokollierung. NIS2 schreibt Unternehmen in betroffenen Sektoren (Energie, Wasser, Produktion, Transport) konkrete Zugangskontrollmaßnahmen für externe Dienstleister vor. KRITIS-Betreiber nach BSI-KritisV müssen Fernwartungszugriffe nachweislich kontrollieren und dokumentieren.
Wie wird der Fernzugriff von Maschinenlieferanten sicher gestaltet?
Der Maschinenlieferant erhält keinen Dauerzugang. Er beantragt einen Fernwartungs-Slot, das eigene Team genehmigt diesen für ein definiertes Zeitfenster, die PAB stellt die Verbindung zum freigegebenen Gerät her und zeichnet die gesamte Session auf. Nach Ende des Fensters wird der Zugang automatisch deaktiviert. Der Lieferant hat ausschließlich Sicht auf sein Gerät – nicht auf andere Anlagen im selben Produktionsnetzwerk.
Ist eine Privileged Access Bridge auch in Legacy-OT-Umgebungen einsetzbar?
Ja. Die Privileged Access Bridge fungiert als Protokoll-Proxy und erfordert keine Installation von Software auf den Zielsystemen. Sie ist kompatibel mit industriellen Protokollen und älteren Steuerungssystemen ohne eingebaute Netzwerkfähigkeiten. Das Zielsystem bleibt unverändert – die Sicherheitsarchitektur wird auf dem Gateway implementiert, nicht auf jedem OT-Gerät einzeln.
Kontakt aufnehmen
Sichere Fernwartung in der Industrie
Wir analysieren Ihre bestehenden OT-Fernwartungszugänge, schließen unkontrollierte Verbindungen und implementieren eine IEC-62443-konforme Architektur – ohne Produktionsunterbrechung.