Sichere Fernwartung

Das Problem mit unsicherer Fernwartung

VPN-Zugänge für externe Dienstleister, unkontrollierte Fernzugriffstools wie TeamViewer oder AnyDesk und fehlende Protokollierung von Admin-Tätigkeiten sind Sicherheitsrisiken, die in vielen Unternehmen noch anzutreffen sind. Angreifer nutzen kompromittierte Fernwartungszugänge systematisch als Einstiegspunkt.

Sichere Fernwartungsarchitektur

Eine moderne Fernwartungsarchitektur basiert auf Zero Trust-Prinzipien: Kein implizites Vertrauen, minimale Berechtigungen, vollständige Protokollierung. Wir implementieren und konfigurieren Lösungen, die Fernwartung sicher, kontrolliert und auditierbar machen – ohne Abstriche bei der Benutzerfreundlichkeit.

Fernwartung und VPN-Kompatibilität: Zusammenspiel, Grenzen und Architekturentscheidungen

VPN ist in vielen Unternehmen die erste Antwort auf die Frage nach sicherem Fernzugang – und für viele Anwendungsfälle eine solide Grundlage. Für Fernwartungsszenarien stoßen rein VPN-basierte Architekturen jedoch schnell an Grenzen. Der entscheidende Unterschied: Ein VPN gewährt Netzwerkzugang, aber keine granulare Kontrolle darüber, was ein externer Dienstleister nach dem Einwählen tatsächlich tut. Kein Session Recording, kein Just-in-Time Access, keine automatische Deaktivierung nach Ende des Wartungsfensters. Für Compliance-Prüfungen nach ISO 27001, NIS2 oder DORA reicht das nicht.

Dazu kommt ein häufig unterschätztes Kompatibilitätsproblem: Viele gängige Fernwartungstools arbeiten mit Cloud-Relay-Architekturen, die VPN-Verbindungen teilweise umgehen oder Konflikte mit Full-Tunnel-VPN erzeugen. Split-Tunnel-Konfigurationen können Sicherheitslücken öffnen, wenn Fernwartungs-Traffic über das Internet geroutet wird, während Unternehmensdaten durch den VPN-Tunnel laufen. Diese Wechselwirkungen sind ein häufiger Grund für unerklärliche Verbindungsabbrüche und inkonsistentes Verhalten bei Remote-Maintenance-Sessions.

Die optimale Architektur hängt vom Anforderungsprofil ab. In vielen Fällen ist VPN als Netzwerkschicht sinnvoll – ergänzt um eine dedizierte Privileged Remote Access Lösung, die auf dem VPN-Tunnel aufsetzt und die fehlenden Kontrollen (Session Recording, Access Governance, Approval-Workflows) ergänzt. In anderen Szenarien – insbesondere bei hoher Dienstleisterdichte oder dominanten Compliance-Nachweispflichten – ist eine VPN-Ablösung durch Zero Trust Network Access (ZTNA) mit integrierter PAM-Schicht die überlegene Lösung. Blackfort analysiert Ihre bestehende VPN-Infrastruktur und entwickelt eine kompatible oder ersetzende Fernwartungsarchitektur.

Dienstleister-Management

Externe Dienstleister brauchen Zugang zu Ihren Systemen – aber nur zeitlich begrenzt, mit minimalen Rechten und vollständiger Überwachung. Wir implementieren Prozesse und Technologien für sicheres Vendor Access Management.

Fernwartung Compliance: Anforderungen aus ISO 27001, NIS2 und DORA

ISO 27001 behandelt Fernwartungszugriffe als privilegierte Zugänge mit erhöhten Anforderungen. Maßgeblich sind Kontrollbereich A.8.18 (Verwendung privilegierter Dienstprogramme), A.8.15 (Protokollierung) und A.8.3 (Beschränkung des Informationszugriffs). Das Statement of Applicability muss Kontrollen für externe Remote-Zugriffe explizit adressieren. Auditoren prüfen, ob Zugriffe genehmigt, protokolliert und regelmäßig überprüft werden – fehlende oder lückenhafte Session-Logs sind ein klassisches Non-Conformity-Finding.

NIS2 (Art. 21) adressiert Zugriffskontrolle und Identitätsmanagement als Mindestanforderung. Für wesentliche und wichtige Einrichtungen gilt: Fernwartungszugriffe externer Dienstleister müssen nachweislich kontrolliert und protokolliert sein. Unkontrollierte Fernzugriffstools wie ungesicherte VPN-Accounts oder Consumer-Fernwartungssoftware ohne Zugriffsprotokoll sind ein direkter NIS2-Verstoß. Dasselbe gilt für BSI-KRITIS-Betreiber, wo ungenehmigter Fernzugriff auf Steuerungskomponenten besonders kritisch bewertet wird.

DORA verankert Privileged Access Management explizit im IKT-Risikomanagementrahmen für Finanzunternehmen. Session Recording und Access Logging für kritische Systeme sind Pflicht, nicht Option. Das DORA-Drittanbieter-Management verlangt zusätzlich, dass externe IKT-Dienstleister nur kontrollierten, zeitlich begrenzten Zugang erhalten und Zugriffsrechte regelmäßig überprüft werden. Für IKT-Drittanbieter selbst, die Finanzinstitute bedienen, gelten die gleichen Nachweispflichten auf Dienstleisterseite.

Compliance-Nachweise: Was Auditoren bei Fernwartung prüfen

Session Recording ist die zentrale Compliance-Anforderung für privilegierte Fernwartungszugriffe. Auditoren erwarten vollständige, manipulationssichere Aufzeichnungen aller Remote-Sessions: Wer hat sich wann eingewählt, auf welche Systeme wurde zugegriffen, welche Aktionen wurden ausgeführt? Diese Aufzeichnungen müssen gegen nachträgliche Änderungen geschützt sein – idealerweise auf einer vom Zielsystem getrennten, schreibgeschützten Infrastruktur. Fehlen diese Nachweise, ist eine Zertifizierung oder Konformitätserklärung praktisch nicht möglich.

Access Governance umfasst drei Kernelemente: Just-in-Time-Zugang (Zugriffsrechte werden erst nach Genehmigung und nur für die Dauer einer Wartungsmaßnahme erteilt), zeitlich begrenzte Credentials (kein Dauerzugang für externe Dienstleister), und regelmäßige Access Reviews (vierteljährliche Überprüfung aller aktiven Zugriffsrechte externer Parteien). Für besonders kritische Systeme wird das 4-Augen-Prinzip gefordert: Ein zweiter autorisierter Mitarbeiter muss die Session überwachen oder freigeben.

Blackfort liefert die vollständige Compliance-Dokumentation: Sicherheitskonzept für Fernwartung, Prozessdokumentation für Vendor Access Management, technische Nachweise über implementierte Kontrollen und Auditberichte, die bei ISO 27001-, NIS2- und DORA-Prüfungen standhalten. Wir kennen die konkreten Prüffragen aus zahlreichen Audits und bauen Fernwartungsarchitekturen so auf, dass die Nachweise strukturell im Prozess verankert sind – nicht als nachträgliches Papier-Dokument.