Sicherer Remote-Zugriff für Hersteller

Sicherer Remote-Zugriff ist für die moderne Fertigung zu einer operativen Notwendigkeit geworden. Anbieter müssen SPSen (PLCs) diagnostizieren, ohne quer durchs Land reisen zu müssen. Integratoren aktualisieren SCADA-Systeme aus der Ferne. Interne Ingenieurteams überwachen Produktionslinien von zentralen IT-Hubs aus. Multi-Standort-Betriebe benötigen Transparenz und Reaktionsfähigkeit.

Initiativen zur digitalen Transformation, Programme zur vorausschauenden Wartung (Predictive Maintenance), zentralisiertes Monitoring, Multi-Standort-Optimierung und cloud-verbundene Systeme sind allesamt auf Remote-Konnektivität angewiesen. Das hält die Produktion am Laufen und steigert die Effizienz. In vielen ICS/OT-Umgebungen ist die Konnektivität jedoch schneller gewachsen als die Sicherheitskontrollen, die sie regeln. So können Hersteller den Remote-Zugriff besser absichern.

Warum die Absicherung von Remote-Zugriff in OT grundsätzlich anders ist als in IT

Remote-Zugriff in einer IT-Umgebung wird in der Regel durch etablierte Identitätskontrollen, zentralisiertes Monitoring und klar definierte Zuständigkeiten gesteuert. In OT-Umgebungen ist die Realität oft deutlich komplexer.

Industrielle Systeme werden häufig von einem breiten Ökosystem aus Drittanbietern und OEMs unterstützt. Es ist nicht ungewöhnlich, dass ein mittelständischer Hersteller mit Dutzenden (manchmal Hunderten) externer Dienstleister zusammenarbeitet, die für SPS-Programmierung, Wartung von Robotik, SCADA-Konfiguration oder Updates spezialisierter Maschinen verantwortlich sind.

Jede dieser Beziehungen kann Remote-Konnektivität erfordern.

Mit der Zeit entsteht dadurch eine Landschaft an anbieterspezifischen Zugangswegen – darunter VPN-Tunnel, Remote-Desktop-Tools, Firewall-Ausnahmen und Service-Accounts, die an bestimmte Maschinen oder Produktionslinien gebunden sind. Diese Verbindungen sind oft legitim und operativ notwendig. Die Herausforderung liegt in Transparenz und Governance.

Remote-Sitzungen werden möglicherweise nicht zentral protokolliert. Zugänge bleiben teils dauerhaft bestehen, lange nachdem ein Wartungsfenster geschlossen wurde. Zugangsdaten werden aus Bequemlichkeit teamübergreifend geteilt. Allein der Umfang macht ein wirksames Management schwierig.

Der menschliche Faktor bringt eine weitere Komplexitätsebene hinzu. OT-Umgebungen werden typischerweise von Ingenieurinnen/Ingenieuren und Technikerinnen/Technikern betrieben, deren primärer Fokus auf Sicherheit (Safety), Verfügbarkeit (Uptime) und Prozessoptimierung liegt – nicht auf der Härtung gegen Cyberangriffe. Gleichzeitig gibt es einen gut dokumentierten Mangel an Fachkräften mit spezialisierter OT-Sicherheitsexpertise. Dadurch entsteht eine strukturelle Lücke zwischen Konnektivität und Kontrolle.

Akteure auf der Angreiferseite verstehen diese Dynamik. Ein aktueller Branchenreport stellte fest, dass nahezu die Hälfte der dokumentierten ICS/OT-Vorfälle mit unautorisiertem externem Zugriff begann – häufig im Zusammenhang mit Remote-Wartungsverbindungen durch Drittanbieter. Anders gesagt: Der Einstiegspunkt war Remote-Zugriff, der nicht ausreichend abgesichert war.

Warum bestehende Remote-Access-Ansätze oft nicht ausreichen

Viele Industrieunternehmen glauben, sie hätten Remote-Zugriff „abgesichert“, weil sie VPNs oder Jump-Server eingeführt haben. In der Praxis bringen diese Ansätze jedoch häufig neue Risiken und operative Ineffizienzen mit sich.

VPNs, die in OT-Umgebungen weit verbreitet sind, wurden ursprünglich dafür entwickelt, vertrauenswürdige Netzwerke zu erweitern. In komplexen Industriearchitekturen setzen sie meist keine granularen, risikobewussten Zugriffskontrollen durch. Aus Sicherheitsperspektive erzeugen VPNs mehrere Herausforderungen.

Erstens stellen sie häufig direkte Konnektivität zu unteren Ebenen der OT-Umgebung her. Das kann der Intention des verbreiteten Purdue-Modells zuwiderlaufen, das die Trennung zwischen Enterprise-IT-Systemen und kritischen Steuerungsebenen durchsetzen soll. Indem Nutzer per Tunnel direkt in Produktionszonen gelangen, können VPN-Konfigurationen Segmentierungsgrenzen umgehen, die eigentlich eine gestaffelte Verteidigung ermöglichen sollten.

Zweitens vergrößern VPNs die Angriffsfläche. Nach erfolgreicher Authentifizierung erhalten Nutzer oft breiten Zugriff auf Netzwerkebene statt eng begrenztem, asset-spezifischem Zugriff. Wenn ein Endgerät eines Dienstleisters kompromittiert ist (oder Zugangsdaten etwa durch Social Engineering entwendet werden), „erbt“ der Angreifer diese Konnektivität.

Drittens wird Skalierbarkeit zum Problem. Wenn mehr Anbieter, Integratoren und Remote-Ingenieurteams Zugriff benötigen, erweitern Organisationen häufig die Infrastruktur, um die wachsende VPN-Nachfrage zu bedienen. Das erhöht den operativen Aufwand, ohne zwingend Kontrolle oder Transparenz zu verbessern.

Jump-Server werden manchmal eingeführt, um diese Risiken zu reduzieren. Zwar können sie eine Zwischenschicht bieten, sind jedoch häufig umständlich zu verwalten, schwer über mehrere Standorte hinweg zu skalieren und stark von manuellen Prozessen abhängig. In vielen Umgebungen ist Session-Logging inkonsistent, Zugriff nicht zeitlich begrenzt, und gemeinsam genutzte Accounts sind weiterhin verbreitet.

Also: Was ist die Lösung?

Wie sich die Remote-Access-Sicherheit in ICS/OT-Umgebungen stärken lässt

Der wichtigste Punkt ist vermutlich: Es gibt keine einzelne „Wunderwaffe“ für dieses Problem (auch wenn Marketingunterlagen mancher Anbieter das nahelegen!). Wirksamer Schutz erfordert gestaffelte Verbesserungen in unterschiedlichen Bereichen dieses komplexen Themas.

1. Starke Identitäts- und Privileged-Access-Kontrollen durchsetzen

Mindestens sollte jeder Remote-Zugriff – einschließlich Anbieter-Verbindungen – durch Multi-Faktor-Authentifizierung (MFA) geschützt sein. Das gilt nicht nur für VPN-Zugriff, sondern auch für Remote-Desktop, Cloud-Gateways oder Remote-Wartungstools.

MFA allein reicht jedoch nicht aus, wenn der Zugriff weiterhin zu breit bleibt.

Privileged-Access-Management-(PAM)-Lösungen können die Kontrolle deutlich verbessern, indem sie:

• gemeinsam genutzte Zugangsdaten eliminieren
• rollenbasierten Zugriff erzwingen
• Sitzungen protokollieren und aufzeichnen
• zeitlich begrenzten bzw. Just-in-Time-Zugriff ermöglichen
• privilegierte Accounts zentral steuern

In Umgebungen mit mehreren OEM-Anbietern reduziert PAM das Risiko persistenter, nicht nachverfolgter Zugangswege.

Die Kombination aus PAM und MFA mit einem kontrollierten Jump-Host oder einem sicheren Access-Gateway kann die direkte Konnektivität in Produktionszonen weiter begrenzen. Entscheidend ist jedoch, dass Zugriffe strikt auf konkrete Assets zugeschnitten sind – nicht auf ganze Netzsegmente.

2. Segmentierung an Purdue- und Zero-Trust-Prinzipien ausrichten

Das Purdue-Modell bleibt eine Grundlage industrieller Sicherheit. Es soll eine strukturierte Trennung zwischen Enterprise-Systemen und kritischen Steuerungsebenen durchsetzen. Segmentierung allein reicht jedoch nicht mehr aus.

Zero-Trust-Prinzipien ergänzen Purdue, statt es zu ersetzen. Während Purdue hierarchische Trennung definiert, erzwingt Zero Trust identitätsbasierte Verifikation und Least Privilege innerhalb und zwischen diesen Ebenen. Grundidee: Im Netzwerk wird niemals standardmäßig vertraut.

In der Praxis bedeutet das:

• kein implizites Vertrauen zwischen Zonen
• kontinuierliche Verifikation von Nutzern und Geräten
• Zugriff nur auf spezifische Assets, nicht auf ganze Netzwerke
• strikte Kontrolle lateraler Bewegungen (East-West) innerhalb von OT-Umgebungen

Gemeinsam eingesetzt reduzieren Segmentierung und Zero Trust den „Blast Radius“, selbst wenn Zugangsdaten kompromittiert wurden.

3. Abstimmung und Transparenz

Remote-Sitzungen dürfen niemals unsichtbar sein.

Organisationen sollten sicherstellen:

• zentrale Protokollierung sämtlicher Remote-Access-Aktivitäten
• Monitoring von anomalem Verhalten über IT- und OT-Grenzen hinweg
• Alarmierung bei ungewöhnlichen Zugriffsmustern von Dienstleistern
• Asset-Level-Transparenz innerhalb von OT-Segmenten

Da viele ICS/OT-Vorfälle mit unautorisiertem externem Zugriff beginnen, ist Transparenz häufig der Unterschied zwischen Eindämmung und Eskalation. Für geografisch verteilte Fertigungsumgebungen erfordert das eine Abstimmung zwischen IT-Security-Teams und OT-Betrieb.

IT-Teams verwalten oft VPN-Infrastruktur, Identitätssysteme und Logging-Plattformen. OT-Teams betreuen Produktionsnetze, SPSen und Anbieterbeziehungen. Remote-Zugriff liegt häufig dazwischen – und gehört keinem Bereich vollständig.

Praktische Schritte sind unter anderem:

• gemeinsame Ownership für Remote-Access-Governance etablieren: klar definieren, wer Anbieterzugriff freigibt, wer Logs prüft und wer für Entzug (Revocation) verantwortlich ist
• ein einheitliches Remote-Access-Inventar erstellen: ein gemeinsames, regelmäßig überprüftes Register aller Remote-Verbindungen, Anbieter-Accounts und Wartungspfade
• Standardzugriffsmuster definieren: keine ad-hoc Firewall-Regeln oder informellen Anbieterarrangements; jede Verbindung folgt einem dokumentierten Modell
• quartalsweise gemeinsame Risiko-Reviews durchführen: IT- und OT-Verantwortliche bewerten Remote-Access-Exponierung gemeinsam, nicht isoliert

4. Den Remote-Endpunkt absichern

Unterschätze nicht die Bedeutung der Sicherheit auf den Endgeräten, von denen aus remote auf OT-Netze zugegriffen wird. Drittanbieter-Techniker verbinden sich häufig von Geräten außerhalb deiner Kontrolle. Diese Endpunkte können anderen Patch-Zyklen folgen, unterschiedliche Security-Tools nutzen oder aus Netzwerken kommen, die du nicht validieren kannst. Ist eines dieser Geräte kompromittiert, kann Malware über legitime Zugangsdaten und Remote-Sitzungen „mitfahren“.

Hersteller sollten Endpunktsicherheit daher als Zugangsbedingung behandeln.

Praktische Maßnahmen umfassen:

• Anbieter müssen definierte Sicherheitsstandards erfüllen, bevor Remote-Zugriff gewährt wird (z. B. aktuelles OS, Endpoint Protection, Festplattenverschlüsselung)
• sichere Access-Gateways oder Proxy-Architekturen einsetzen, die direkte Konnektivität auf Netzwerkebene verhindern
• Applikations-/Service-Level-Zugriff statt vollständigem Netzwerkzugriff erzwingen
• Zwischenablage-Transfer, Dateiübertragungen und lokales Laufwerks-Mapping blockieren, sofern nicht notwendig
• Remote-Sitzungen aufzeichnen und auf anomales Verhalten überwachen

OT-Remote-Access-Sicherheit ist eine Strategiefrage

Es ist verlockend, nach einer einzelnen „Secure-Remote-Access-Lösung“ zu suchen, die alles behebt. Denke stattdessen in bewussten Architektur- und Governance-Entscheidungen. Stelle Fragen wie:

Welche Verbindungen sind wirklich notwendig?

Welche Anbieter benötigen Zugriff auf welche Assets?

Wie wird dieser Zugriff authentifiziert, segmentiert, überwacht und entzogen?

Wer besitzt den Prozess?

Hersteller, die Remote-Zugriff strategisch angehen – indem sie Identitätskontrollen, Segmentierung, Endpunktbedingungen und Monitoring aufeinander abstimmen – sind deutlich besser aufgestellt als jene, die nur inkrementelle Fixes auf Legacy-Konnektivitätsmodelle aufsetzen.

Das Ziel ist nicht, Remote-Zugriff „irgendwie“ zu strukturieren, sondern so, dass er die heutige Bedrohungslage, regulatorische Erwartungen und operative Realitäten widerspiegelt.

Bei DIESEC unterstützen wir deutsche Hersteller dabei, bestehende Remote-Access-Exponierung zu bewerten, belastbare Konnektivitätsarchitekturen zu entwerfen und Kontrollen zu implementieren, die sowohl Produktionskontinuität als auch Compliance-Anforderungen erfüllen.
Kontaktiere uns, um mehr zu erfahren.