In den vergangenen Jahren hat sich die Sicherheitstechnik für Fernwartung erheblich weiterentwickelt. Inzwischen gibt es sicherere Verfahren – zum Beispiel Lösungen, die auf dem Einsatz von Rendezvous-Servern basieren. Ein neuer Ansatz, der in den kommenden Jahren noch einmal deutlich an Bedeutung gewinnen wird.
Fernwartungszugänge bieten Angreifern ein ideales Einfallstor, um sich unberechtigt Zugriff auf Anlagen der Industrie 4.0 zu verschaffen, sofern diese nicht ausreichend abgesichert sind.
(Bild: Gemeinfrei, Pixabay)
Auf dem Weg hin zu einer umfassenden Digitalisierung, Vernetzung und Cloudisierung stellt sich allen Unternehmen der Industrie 4.0 eine zentrale Herausforderung: Während ihre IT-Infrastruktur jahrzehntelang technische Neuerungen in sich aufgesogen hat, upgedated und erneuert wurde, stand ihre OT im Prozess der kontinuierlichen technologischen Erneuerung lange Zeit außen vor. Viele – wenn nicht die meisten – OT-Geräte sind Legacy-Geräte, haben schon vor Jahren oder Jahrzehnten ihr letztes Software-Update erhalten. Und OT-Infrastrukturen sind nur unzureichend auf die Erkennung und Behebung von Sicherheitslücken und die Abwehr von Cyberangriffen vorbereitet. Ein oftmals idealer OT-Ansatzpunkt für Cyberkriminelle: die digitalen Fernwartungszugänge.
Unzureichend abgesichert können sich Angreifer über sie relativ unkompliziert Zugriff auf Maschinen und Anlagen, im schlimmsten Fall auf die gesamte OT-Infrastruktur, verschaffen. Sie können dann Firm- und Software manipulieren, die Produktion stören, ganz zum Erliegen bringen oder auch die kompromittierte OT-Infrastruktur als Sprungbrett nutzen, um die IT-Infrastruktur zu attackieren. Für zwei Arbeitsbereiche der Fernwartung wird der Fernwartungszugang benötigt: für das Condition Monitoring, die vorausschauende Wartung (Predictive Maintenance), und die Wartung der Anlagen aus der Ferne selbst (Remote Maintenance).
Bildergalerie
Ohne ein kontinuierliches Monitoring der OT ist keine vorausschauende Wartung – bei der Indikatordaten für den Wartungsbedarf einer Anlage kontinuierlich erfasst und analysiert werden – möglich. Ein unidirektionaler Datenfluss, von der OT zum Fernwarter, ist hierfür absolut ausreichend. Damit die Daten auch wirklich nur in diese eine Richtung fliessen, muss lediglich eine Datendiode zwischengeschaltet werden. Diese ist absolut manipulationssicher. Von aussen lässt sich ihre Konfiguration nicht verändern. Einmal implementiert, kann mit ihrer Hilfe jeglicher Schreibzugriff auf die Firm- und Software der OT einer Anlage effektiv verhindert werden.
Sicheres Condition Monitoring dank Datendiode
Schwieriger gestaltet sich die Sache, wenn es um die Absicherung der konkreten Fernwartung einer Anlage, die Remote Maintenance, geht. In der Regel setzen Industrie-4.0-Unternehmen hier immer noch auf eine VPN-Verbindung. Im Rahmen einer Netzwerkkoppelung wird dabei über das Unternehmensnetzwerk eine direkte Verbindung zwischen dem Fernwarter und der jeweiligen Anlage hergestellt. Das Problem: die Zugriffsanfrage muss die gesamte Enterprise-Zone und die Industrial Zone des Unternehmens durchlaufen, bis sie bei einer Anlage oder einem Jumphost ankommt. Die Firewalls der einzelnen Netzwerkebenen schützen dann nur noch bedingt. Und: die Zugriffsrechte können bei diesem Ansatz nur schwer eingeschränkt werden. Hat ein Angreifer sich erfolgreich Zugriff verschafft, kann er sich anschließend auch relativ leicht im gesamten Unternehmensnetzwerk bewegen – und verheerende Schäden anrichten. Daher kann vom Einsatz der VPN-Netzwerkkoppelung als Fernwartungsarchitektur nur nachdrücklich abgeraten werden. Auch der Verband Deutscher Maschinen- und Anlagenbau (VDMA) empfahl bereits im vergangenen Jahr in seiner vergleichenden Studie Sichere Fernwartung von VPN-Verbindungen abzusehen.
Fernwartung 2.0 – die OT über einen Rendezvous-Server sicher im Griff
Sicherer ist ein anderer Ansatz: die Fernwartung über einen Rendezvous-Server. Denn hier wird die Zugriffsanfrage nicht durch das gesamte Unternehmensnetzwerk – an dessen Firewalls vorbei – geleitet, bevor sie die gewünschte Anlage erreicht. Stattdessen findet das ‹Rendezvous› zwischen anfragendem Fernwarter und Maschine auf einem eigenen Server, der sich in einer demilitarisierten Zone (DMZ) – an einem Punkt, der sich zwischen öffentlichem Internet und privatem Intranet befindet – statt.
Auch der Rendezvous-Server – der als besonders stark gehärtetes IT-Security-System als Firewall agiert – ist dabei über Firewalls geschützt. Die Datenübertragung erfolgt verschlüsselt. Angreifer erhalten so keine Möglichkeit, Firewalls des Unternehmens zu überspringen und Schaden in der dahinter befindlichen OT-/IT-Infrastruktur anzurichten.
Zur Zukunft der Fernwartung – Cloudisierung und Zero Trust
Bereits heute zeichnen sich bei Rendezvous-Fernwartungslösungen zwei technologische Entwicklungstrends ab, die in nicht allzu ferner Zukunft zum Standard sicherer Fernwartungslösungen zählen dürften.
Erstens: die Cloudisierung – der Trend zur Migration in die Cloud – wird auch bei Lösungen für eine sichere Fernwartung Einzug halten.
Der Rendezvous-Server wird also in die Cloud wandern. Unternehmen der Industrie 4.0 wird das ganz neue Möglichkeiten eröffnen. Beispielsweise wird man cloud-basierte IAM-Lösungen andocken können. Das Rechtemanagement dürfte so wesentlich vereinfacht werden. Erste cloud-basierte Rendezvous-Fernwartungslösungen sind bereits auf dem Markt erhältlich und können problemlos an IAM-Lösungen wie Okta oder Azure AD angeschlossen werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Zweitens: Auch bei der Fernwartung wird sich umfassende und effektive Sicherheit nicht ohne Zero-Trust-Architektur verwirklichen lassen. Diese wird nur im Dreiklang dreier Ansätze zu erzielen sein. Zum einen wird man die OT-Zugriffsbereiche der einzelnen Anlagen und Maschinen immer weiter segmentieren. Diese Mikrosegmentierung wird das Schadenspotential eines erfolgreichen Angriffs reduzieren und die Kosten-Nutzen-Relation eines Angriffs für den Angreifer verschlechtern. Darüber hinaus wird man die Nutzerrechte der OT-Zugriffsberechtigten immer stärker segmentieren. Ganz im Sinne von Zero Trust werden Nutzer am Ende nur noch die Zugriffsberechtigung erhalten, die sie für die Erledigung ihrer Arbeit auch tatsächlich benötigen. Und schließlich werden die Zugangsberichtigungen nur noch auf Basis einer starken Authentifizierung, zum Beispiel einer Multi-Faktor-Authentifizierung, vergeben werden. Zumindest in der Industrie 4.0 werden Angreifer mit ihrer Strategie, Passwörter zu kompromittieren, dann nicht mehr weit kommen.
Wollen Unternehmen der Industrie 4.0 ihre Fernwartung auf sichere Füße stellen, werden sie um die Implementierung einer Rendezvous-Fernwartungslösung nicht herumkommen. Nicht nur gestattet der Ansatz diese beste Ausnutzung der eigenen Firewalls, für die kommenden Jahre dürften hier auch die interessantesten technologischen Erweiterungen zu erwarten sein.
:quality(80)/p7i.vogel.de/wcms/98/f8/98f8dcd8c74eb855334ba07cb03f0183/0129236630v2.jpeg "Insgesamt haben 3121 Fachbesucher die empack und die Logistics & Automation in Bern besucht. (Bild: Easyfairs, Sara Barth)")
:quality(80)/p7i.vogel.de/wcms/92/d8/92d82ddab9aa745b734ccbd3944d086b/0129166681v2.jpeg "Nabtesco Precision Europe stellt seine Produkt- und Servicewelt neu auf. (Bild: Nabtesco)")
:quality(80)/p7i.vogel.de/wcms/2a/be/2abed2cd784e30aac0f8c975c3129d40/0129159556v1.jpeg "(Bild: Andreas Leu)")
:quality(80)/p7i.vogel.de/wcms/bb/f8/bbf869d8b25dfef64bb14dc3aeb877ea/0129102228v1.jpeg "(Bild: Rutronik)")
:quality(80)/p7i.vogel.de/wcms/c4/e4/c4e45bd3da8e40f219eaa3faa058b2f3/0129001307v2.jpeg "Schaeffler wird humanoide Roboter von Humanoid in sein globales Fertigungsnetzwerk integrieren. (Bild: Schaeffler)")
:quality(80)/p7i.vogel.de/wcms/f6/a3/f6a32ec078dbabca5f1d3ad97db040f6/0128991994v2.jpeg "Stöber bietet ein präzises und komplettes Antriebssystem aus Servoregler, Getriebe, Motor, Kabel und – bei Bedarf – Zahnstange. (Bild: Stöber)")
:quality(80)/p7i.vogel.de/wcms/a7/c3/a7c3b6cc64de67ac75d499c896205d29/0128970620v1.jpeg "Aufladen von Baumstämmen. (Bild: FTG - TU Graz )")
:quality(80)/p7i.vogel.de/wcms/2e/35/2e358796cd32a2da5b000bdef1965f46/0129229878v1.jpeg "(Bild: binder)")
:quality(80)/p7i.vogel.de/wcms/a4/13/a413df2fa25a35965698dd142844e9ee/0129188199v2.jpeg "Das LoRaWAN-Gerät IC200-MBUS-LW überträgt Verbrauchsdaten von Energie-, Gas- oder Wasserzählern, die das M-Bus-Protokoll nutzen, über eine Long-Range-Funkverbindung an ein Gateway (Variante für Modbus ebenfalls erhältlich). (Bild: Akytec)")
:quality(80)/p7i.vogel.de/wcms/91/a0/91a015c4cdf3a22f64f3cffb11d1a9dd/0129126212v2.jpeg "Die gigantischen Wellpappenanlagen von BHS Corrugated können bis zu 200 Meter lang sein. (Bild: BHS Corrugated)")
:quality(80)/p7i.vogel.de/wcms/03/5e/035eafd32a9cb6c42cb145db5c0aa36b/0129099883v2.jpeg "Bild 1: Die Technologie von Betterfrost nutzt Impulsstrom und Module mit hoher Leistungsdichte, um Eis auf Windschutzscheiben in weniger als 60 s zu schmelzen und dabei 20-mal weniger Energie zu verbrauchen. (Bild: Vicor)")
:quality(80)/p7i.vogel.de/wcms/d3/76/d3769222ca4533c6ba6ed7af8998f48f/0129124498v2.jpeg "Mögliches Design des CO2-Sensors SCD53. (Bild: Sensirion)")
:quality(80)/p7i.vogel.de/wcms/33/0d/330df2ff5201c6662cc0ea7febb0931c/0129113088v2.jpeg "Bild 5: Mit Künstlicher Intelligenz lässt sich die Präzision optischer Distanzsensoren auf ein neues Niveau heben. Beispielsweise beim Einsatz in der Intralogistik. (Bild: Leuze)")
:quality(80)/p7i.vogel.de/wcms/fb/06/fb06f05e651c1a219255f7e6d19ba8f6/0129101451v2.jpeg "Bildverarbeitungssysteme sind in der Lage, Fehler in Instantnudeln innerhalb von Millisekunden zu erkennen. (Bild: Teledyne Dalsa)")
:quality(80)/p7i.vogel.de/wcms/e5/3b/e53b5f116e1151c8584f996c6cca0299/0129073765v2.jpeg "Extrem zuverlässig: Die 3D-Smart-Kamera bietet eine Genauigkeit von ±5 mm in industriellen Umgebungen. (Bild: Contrinex)")
:quality(80)/p7i.vogel.de/wcms/8b/c6/8bc6c5aa1ca82ae6f6e480f3dd274e28/0129010426v1.jpeg "Schweizer Finanzinstitute müssen Drittparteien und deren Mitarbeitende stärker prüfen. Validato unterstützt Banken und Versicherer bei datenschutzkonformen Screening-Prozessen. (Bild: Validato AG)")
:quality(80)/p7i.vogel.de/wcms/92/01/9201ac8ec0cbbb685c12f3a8f25e6081/0128894608v2.jpeg "KI-Agenten können auf Dateisysteme und Datenbanken zugreifen, um Aufgaben mithilfe geeigneter Tools entsprechend von Anforderungen des Nutzers zu automatisieren. (Bild: Mathworks)")
:quality(80)/p7i.vogel.de/wcms/da/3f/da3fcce1f5621eac563e5d0206372436/0128828339v1.jpeg "In den 'Company Talks' sprachen Nicole H. Romano von Moonlight AI und Peter Nestorov von Scailyte. (Bild: ZHAW, Tevy )")
:quality(80)/p7i.vogel.de/wcms/5d/01/5d018614ead91f50dfcb54b62f37674e/0128713462v1.jpeg "PepsiCo digitalisiert ausgewählte Produktionsstätten und Lagerhäuser in den USA mithilfe von Digital Twin Composer (Bild: PepsiCo)")
:quality(80)/p7i.vogel.de/wcms/c0/3c/c03ca7d5ab8a0133102c8b5d6ddf81e0/0129233946v2.jpeg "ESA-Astronaut Alexander Gerst installiert den «Electromagnetic Levitator» (EML) an Bord der ISS. An diesem Instrument führte Gerst später auch die Versuche der Empa mit metallischen Gläsern durch. (Bild: Nasa)")
:quality(80)/p7i.vogel.de/wcms/e0/58/e058633e2f73a7e4d9b5a2250e35b634/0129217371v1.jpeg "Mit einem Laserpuls (blau) konnten die Forschenden einen ferromagnetischen Zustand in einem speziellen Material aus verdrehten atomaren Lagen (rot) umpolen. (Bild: Enrique Sahagún, Scixel / ETH Zürich, Universität Basel)")
:quality(80)/p7i.vogel.de/wcms/2b/0b/2b0b5aca76582ff320fbd15659104569/0128908468v1.jpeg "Explosionszeichnung des Messadapters mit Position des AX1580 Chips. Die roten Buchsen kontaktieren das Gate, die SMA-Buchsen kontaktieren je ein Source-Drain-Paar. (Bild: Fraunhofer IPMS)")
:quality(80)/p7i.vogel.de/wcms/59/ba/59ba351d6ec50128292f0153ab7bce38/0124040720v4.jpeg "(Bild: Gribi Hydraulics)")
:quality(80)/p7i.vogel.de/wcms/aa/76/aa76ed03b7a0018cc51bef73a529269c/0124205347v2.jpeg "Die Dialysefilter werden im Dreischicht-Betrieb rund um die Uhr in einem automatischen Prüfstand unter Reinraumbedingungen getestet. (Bild: Bürkert)")
:quality(80)/p7i.vogel.de/wcms/1a/a0/1aa01f35aaecf1d5fc635c4ab1d93a61/0120564266v2.jpeg "Die kompakte Baugruppe besteht aus drei Ventilen, einem Drucksensor, einer Kondensatfalle und einer Membranpumpe, die in einer Kammer Überdruck und in der zweiten Kammer Unterdruck erzeugt. Zwischen den beiden Kammern schaltet dann ein Ventil dynamisch um, was eine Schlauchrollen-Pumpe überflüssig macht. (Bild: Fresenius Medical Care)")
:quality(80)/p7i.vogel.de/wcms/52/85/528512fe3a56c6f8d450199fc4bfbf0b/0119296574v2.jpeg "Ultraschall-Clamp-on-Durchflussmessgeräte Proline Prosonic Flow W 400 und P 500 – eingriffsfrei und einfach zu installieren – keine Prozessunterbrechung – wartungsfrei. (Bild: Endress+Hauser)")
:quality(80)/p7i.vogel.de/wcms/ee/4c/ee4c2b3bc9fa1c659e2a7aaeeddec3b1/0127162296v2.jpeg "Laser-Distanzsensoren ermöglichen die wiederholgenaue und präzise Positionierung von Werkzeugen auf einer Vielzahl von Oberflächen, wie z.B. glänzenden PCB-Substraten oder metallischen Oberflächen. (Bild: Baumer)")
:quality(80)/p7i.vogel.de/wcms/1b/6a/1b6a40cdc738b0022bd76204f8b0c992/0127622405v2.jpeg "Das Gehäuse NovaKit One von Elema Electronic bietet relevante, technische Features wie EMV-Schutz – exzellente Voraussetzungen für die raffinierte Integration der Elektronik. (Bild: Elma Electronic)")
:quality(80)/p7i.vogel.de/wcms/11/18/1118e0100b4863bf918fd2d8b425a0b1/0127469311v2.jpeg "Überwachung des Rückraums eines Radladers zur Kollisionsvermeidung mit dem Visionary AI-Assist von Sick. (Bild: Sick)")
:quality(80)/p7i.vogel.de/wcms/89/b4/89b48f0c7c753e25d790e999a27ddb30/0126965273v2.jpeg "Die Edelstahl-Schaltschränke von Elcase sind in Standardgrössen als kundenspezifische Sonderlösungen verfügbar. (Bild: Elcase)")
:quality(80)/p7i.vogel.de/wcms/29/e6/29e63f039b34b6fd7b92c1c21386e2ff/0125638147v3.jpeg "Der Autor: Ruedi Kubli, Business Development Manager für OT/IoT, BOLL Engineering, Wettingen (Bild: BOLL Engineering)")
:quality(80)/p7i.vogel.de/wcms/ef/88/ef88b79af122298d36840455f25997b6/0125076147v2.jpeg "Partnerschaftlich entwickelt: Automatisierung am Beispiel einer Schraubmontageanwendung – digital und physisch Hand in Hand. (Bild: Schunk)")
:quality(80)/p7i.vogel.de/wcms/fd/d1/fdd177dceb575d548836edb7cffc48aa/0125581077v3.jpeg "(Bild: Steinel)")
:quality(80)/p7i.vogel.de/wcms/bd/b9/bdb97a05e1a4c5666178430e04f213b5/0125389780v3.jpeg "(Bild: Iftest)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/67000/67003/65.jpg "Logo.jpg ()")
:quality(80)/p7i.vogel.de/wcms/bc/ac/bcac74a73cbd72dcab708bf84845dd48/0110338996.jpeg "Daniel Herzinger, Presales Consultant der Genua GmbH(Bild: Jonas Nefzger)")
:quality(80)/p7i.vogel.de/wcms/65/b5/65b5c1a59245405cc414c6a18efa2dca/0110338773.jpeg "Fernwartungslösung auf Basis einer DMZ-basierten Rendezvous-Architektur.(Bild: Genua)")
:quality(80)/p7i.vogel.de/wcms/0c/ed/0ced136a88e8549ea1466c72b2bb3a2f/0110338783.jpeg "Fernwartungslösung auf Basis einer cloud-basierten Rendezvous-Architektur.(Bild: Genua)")
:quality(80)/p7i.vogel.de/wcms/a1/80/a1807cf13ecf07dccf30c0d75433abb8/0110536290.jpeg "Fernwartungszugänge bieten Angreifern ein ideales Einfallstor, sich unberechtigt Zugriff auf Anlagen der Industrie 4.0 zu verschaffen, sofern diese nicht ausreichend abgesichert sind. (Bild: Gemeinfrei, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/4c/a0/4ca0412f21f1f65f9e04864e2778d0dc/0125242100v2.jpeg "Raphael Vallazza, CEO von Endian: «Vernetzte Maschinen und Anlagen sind mittlerweile ein mögliches Ziel von Cyberattacken. Mit der MVO gibt es erstmals einheitliche Vorgaben auf EU-Ebene, um Maschinen und Anlagen besser zu schützen.» (Bild: Armin Huber)")
:quality(80)/p7i.vogel.de/wcms/74/de/74de1a2ca2978f6ed55004f43784e65c/0128546891v1.jpeg "0128546891v1 (Bild: KI-generiert)")