Rund die Hälfte der OT-Sicherheitsvorfälle gehen auf externe Zugriffe zurück. Techniker bewegen sich frei im Netz und ein Wildwuchs aus Tools erschwert die Absicherung. Was früher ein kalkuliertes Risiko war, ist heute ein Compliance-Thema.
Ein Wartungsarbeiter braucht keinen Zugang zum gesamten Netz. Moderne Zugriffskontrollen und Segmentierung sorgen für abgesicherte Zugriffe und kontrollierte Bewegungen.
(Bild: Canva / KI-generiert)
Montagmorgen, halb acht: Eine CNC-Fräse in der Produktion steht still. Der Maschinenhersteller in Italien braucht einen Fernzugriff für ein Firmware-Update. Der IT-Leiter öffnet die VPN-Verbindung und gibt damit auch die Kontrolle ab. Was genau der Techniker macht, ob er sich lateral durch das Netzwerk bewegt oder welche Daten er einsieht, das kann der Leiter nicht nachvollziehen.
Früher war das ein einkalkuliertes Risiko. Heute ist das mit NIS2 ein Compliance-Problem. Von NIS2 betroffene Unternehmen müssen verpflichtend externe Zugriffe sowohl absichern als auch dokumentieren.
Fernzugriffe stellen erhebliche Risiken dar
Thorsten Eckert, Regional Vice President Sales Central, Claroty
(Bild: Claroty)
Die Studie zum Stand der ICS/OT-Sicherheit 2025 des Sans Instituts zeigt: Fernzugriffe stellen weiterhin ein „erhebliches Risiko“ dar. Rund die Hälfte der gezählten Cybervorfälle sind auf unbefugten externen Zugriff zurückzuführen. Doch nur 13 Prozent der befragten Unternehmen setzen auf fortschrittliche Kontrollmechanismen wie Aufzeichnungen der Sitzung, zeitlich begrenzte Zugriffe für externe Dienstleister oder OT-spezifische Zugriffsbeschränkungen. Das Problem vieler Unternehmen ist, dass Maschinenlieferanten und Servicetechniker einen Zugang in das Netzwerk brauchen. „Klassische Lösungen sind aber entweder zu restriktiv für den Betrieb oder zu offen für die Security“, erklärt Thorsten Eckert, Regional Vice President Sales Central bei Claroty, einem Anbieter von OT-Sicherheitslösungen.
Externer Fernzugriff ist eine der gefährlichsten Angriffsflächen in OT-Umgebungen.
Thorsten Eckert, Regional Vice President Sales Central bei Claroty
Produktionsstillstand und Vertrauensverlust
Die Konsequenzen eines Sicherheitsvorfalls in einem produzierenden Unternehmen reichen weit über die IT hinaus. Navigiert ein externer Techniker unkontrolliert durch ein Produktionsnetzwerk, dann kann er bei falschen Konfigurationen kritische Prozesse stören, ob nun absichtlich oder versehentlich. Beispielsweise können in der chemischen Industrie falsche Änderungen im Ernstfall zu lebensgefährlichen Reaktionen führen. In der Fertigung bedeuten manipulierte oder ausgefallene Anlagen Produktionsstillstände, die schnell zu existenzbedrohenden Verlusten werden können. Hinzu kommt das verlorene Kundenvertrauen, wenn sensible Produktionsdaten oder Kundeninformationen durch ungesicherte Fernwartungsverbindungen abfließen. Das gefährdet mitunter langfristige Geschäftsbeziehungen.
Und spätestens seit NIS2 drohen für die betroffenen Unternehmen und vor allem für die Geschäftsführer auch rechtliche Folgen, wenn ein Unternehmen nicht nachweisen kann, dass die externen Zugriffe angemessen kontrolliert und dokumentiert werden. Viele Mittelständer wiegen sich hier noch in falscher Sicherheit, weil sie nicht glauben, von der Richtlinie betroffen zu sein. Doch bereits über die Lieferketten-Anforderungen von NIS2 werden Sicherheitsstandards nach Stand der Technik verpflichtend. Wer etwa Automobilzulieferer oder Energieversorger beliefert, muss sich also an das Sicherheitsniveau anpassen.
Warum so viele Zugriffe unkontrolliert bleiben
Wie kann es trotz zunehmender Regulierung und Sensibilisierung noch zu dieser Menge an Sicherheitsvorfällen kommen? Die Antwort liegt häufig in einem fehlenden Überblick über die Remote-Access-Landschaft. Fragen wie „Welcher Dienstleister hat gerade Zugriff und auf welche Systeme?“ oder „Wie lange hat dieser Dienstleister Zugriff?“ bleiben oft unbeantwortet.
Peter Machat, Senior Director EMEA Central bei Armis
(Bild: Armis)
„Externe Techniker verbinden sich häufig über nicht verwaltete Laptops oder Remote-Access-Tools, die außerhalb der unternehmenseigenen Sicherheitskontrollen liegen“, erklärt Peter Machat, Senior Director EMEA Central bei Armis. Laut der Studie des Sans Instituts haben rund ein Drittel der befragten Unternehmen (31 Prozent) kein formelles und zentrales Inventar, das einen Überblick über die aktiven Fernzugriffspunkte bietet. „Unternehmen müssen Transparenz und Segmentierung priorisieren, um diese Risiken wirksam zu minimieren", sagt Jason D. Christopher, Sans-zertifizierter Trainer und Autor der Studie.
Erst die Kombination aus granularen Zugriffsrichtlinien und Echtzeit-Verhaltensüberwachung stellt sicher, dass selbst legitime Drittanbieter-Zugriffe nicht als Einfallstor genutzt werden können.
Peter Machat, Senior Director EMEA Central bei Armis
Dazu gehört auch, dass Teams, die für die Verwaltung der Fernzugriffe zuständig sind, genügend Ressourcen erhalten. Erschwerend kommt hinzu, dass in industriellen Umgebungen oft klare Wartungsfenster fehlen. „Eine Produktionsanlage, die rund um die Uhr läuft, lässt sich nicht mal eben für ein Sicherheitsupdate anhalten“, erklärt Eckert. Dass Patch-Zyklen mehrere Monate Abstand haben, ist deshalb auch keine Fahrlässigkeit, sondern eine betriebliche Realität.
Zero Trust als Grundprinzip
Eine Antwort auf diese Probleme liegt oft in der Konsolidierung einzelner, zusammenhangsloser Tools und präzisen Zugriffskontrollen nach Zero-Trust-Prinzipien. „Jede externe Sitzung muss standardmäßig als nicht vertrauenswürdig behandelt werden“, so Machat von Armis. Der Zugriff wird ausschließlich auf die Assets und Zeitfenster beschränkt, die wirklich benötigt werden. Machat fährt fort: „Jede Verhaltensabweichung vom erwarteten Wartungsmuster sollte unverzüglich einen Alert auslösen.“ Der Zugriff sollte daher „temporär, mit minimalen Berechtigungen und eng begrenzt sein“, sagt Kay Ernst, Regional Manager DACH bei Zero Networks.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Zugriff für externe Parteien sollte temporär, mit minimalen Berechtigungen und eng begrenzt sein.
Kay Ernst, Regional Manager DACH bei Zero Networks
Segmentierung begrenzt die laterale Bewegung
Kay Ernst, Regional Manager DACH bei Zero Networks
(Bild: Zero Networks)
Dafür ist Segmentierung entscheidend. Moderne Segmentierung entkoppelt sich vom physischen Netzwerk, funktioniert logisch, also software-basiert und „begrenzt die laterale Bewegung“, betont Ernst. Selbst wenn ein Asset kompromittiert wird, besteht nicht die Möglichkeit, sich im Netzwerk auszubreiten, sei es nun ein Angreifer oder ein Wartungsarbeiter. Allerdings ist es laut Ernst wichtig, dass OT-Umgebung eine angepasste Segmentierung erhalten. Hier laute die Priorität Verfügbarkeit und Stabilität. Ernst erklärt, dass die Segmentierung im OT-Bereich daher „nicht-intrusiv, deterministisch und auf die Betriebsprozesse abgestimmt sein muss“.
Da allerdings nicht jede potentielle Schwachstelle gleichzeitig behoben werden kann, muss priorisiert werden. Lösungen wie Exposure Management helfen, Schwachstellen nach betrieblichem Kontext zu bewerten und die wirklich kritischen Lücken als erstes zu schließen. Das erfordert neben technischen Maßnahmen auch einen präzisen Austausch zwischen IT- und OT-Teams.
Ihnen gefällt dieser Artikel? Aktuell und auf einen Blick lesen Sie hier die Top-News aus dem Channel, sowie fundiert recherchierte Fachbeiträge zu Trends und Themen der Branche!
:quality(80)/p7i.vogel.de/wcms/17/7d/177d30220ff049cef6886f93145fb9cf/0130502021v3.jpeg "IT-Berater müssen nicht nur strategische Entwicklungen ins Kalkül ziehen, sondern auch technologisch auf der Höhe sein. KI macht die Sache teils komplexer, teils einfacher. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/54/2f/542fa9acb82d3c328f073cc141aa056e/0130090354v1.jpeg "KI ist ein Gamechanger in der Software-Branche. Mit welchen Konsequenzen? (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/60/a1/60a166b3b7868d9b0d362ec359b8abb3/0130072512v2.jpeg "In Deutschland fehlen immer noch über 100.000 Fachkräfte in der IT, doch setzen nur wenige Unternehmen auf Maßnahmen, um mehr Frauen für IT-Jobs zu begeistern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/39/18395f3882e23a90a5df6aad288b8133/0129680689v2.jpeg "Die Aussicht auf kurzfristig wieder sinkende Speicherpreise ist nur eine Fata Morgana. Da sind sich alle unsere Ansprechpartner im IT-Channel einig. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7e/7f/7e7fcff915b9516be38674ce7c82f24d/0130965072v2.jpeg "Neuer Leiter für den Channel-Vertrieb: Seit 1. April 2026 ist Philipp Naujoks Leader Channel Sales bei Aagon. (Bild: Aagon GmbH, bearbeitet mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ac/ab/acab8ad5750e602b1fb17d1275bc36af/0130973355v2.jpeg "Sven Gösch wird neuer COO beim Nordhorner Distributor Eno. (Bild: Eno)")
:quality(80)/p7i.vogel.de/wcms/4e/d3/4ed318a14536ad7895020d5bda51cc51/0130858445v2.jpeg "Sophia Henter übernimmt die Leitung des Consulting-Bereichs bei Fsas Deutschland. (Bild: Fsas Technologies)")
:quality(80)/p7i.vogel.de/wcms/a6/9c/a69c97accaf8f4338ee53a895f4d7b6b/0130828335v1.jpeg "Moritz Mann ist der neue CEO bei Ontinue. (Bild: Ontinue, bearbeitet mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ab/f2/abf260a71d42571bbb09b2e5d81fafd7/0130676683v1.jpeg "99 Prozent der Deutschen fordern mehr digitale Unabhängigkeit, doch vielen gilt der Wechsel zu EU-Anbietern als zu aufwendig, findet eine Bitkom-Umfrage heraus. (Bild: © BonzEarthsnapper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/05/38/05383d6da5846d3890d6b5b34fb96dce/0130938509v1.jpeg "Ab 28. April müssen alle neuen Notebooks, die in der EU verkauft werden, USB-C-Anschlüsse haben. (Bild: © Shehnaz - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/8b/e48b0201bca6126b2bd29bf5995c44b3/0130920818v1.jpeg "Durch die steigenden Speicherpreise werden auch die Preise für PCs und Smartphones anziehen, prognostiziert Gartner. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/82/73/827331d03700579ddf257823ff779281/0130774888v2.jpeg "Ein Wartungsarbeiter braucht keinen Zugang zum gesamten Netz. Moderne Zugriffskontrollen und Segmentierung sorgen für abgesicherte Zugriffe und kontrollierte Bewegungen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/7a/9b7aa8cf6220dc2dc499d053dfe811c4/0130941580v2.jpeg "Die KI bekommt Arme und Beine: Auch Machen statt nur Denken. (Bild: Rainer Jensen/Deutsche Messe AG)")
:quality(80)/p7i.vogel.de/wcms/95/84/9584f37960c45ae97b257aef006393ea/0130957487v2.jpeg "Bei der Oracle AI Tour stellte das Unternehmen seine Strategie für das KI-Zeitalter vor. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e7/74/e774775977bac30aacab6e5befa9d4ab/0130736761v1.jpeg "Die Branchenriesen positionieren sich strategisch in den Zukunftsmärkten Software und KI. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a7/aa/a7aa89cc9793440b4ad2c1f46a8c048e/0130835300v2.jpeg "Claude Mythos wird von seinen Entwicklern als so gefährlich für weltweite IT-Systeme und Infrastrukturen eingeschätzt, dass das LLM nicht öffentlich verfügbar gemacht wird. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/e0/f9e0d31949817bf821e376906ca41327/0130888470v1.jpeg "Controlware und Sekoia.io bieten Unternehmen ein 24/7-SOC, ohne dass sie selbst in komplexe Infrastruktur, spezialisiertes Personal oder kontinuierliche Weiterentwicklung investieren müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/38/4d38331eabd053e6442370d943504b97/0130697723v2.jpeg "Cato Networks hat das Nutzungsmodell der SASE-Plattform angepasst und bietet nun KI-Sicherheit, SD-WAN, SSE und Zero Trust als Modul an. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/fe/96fe50c78dcd2687d64c05f989a17096/0130855277v2.jpeg "G Data, Ikarus und Securepoint gehen eine Partnerschaft ein. Geplant sind gemeinsame Managed Services und der Austausch von Threat Intelligence. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/91/eb9181205736edd8dbf0ce97003de026/0130669355v1.jpeg "Soft & Cloud: Lösungen für digitale Unabhängigkeit aus dem Remarketing (Bild: Soft & Cloud)")
:quality(80)/p7i.vogel.de/wcms/5c/fc/5cfc68dec5b6c081a02ff494c5860600/0130883220v3.jpeg "Bei afb arbeiten Menschen mit und ohne Behinderung in allen Bereichen gemeinsam am Ziel, möglichst vielen Geräten ein zweites Leben zu schenken. (Bild: Jannik Hammes)")
:quality(80)/p7i.vogel.de/wcms/92/01/9201f7977110c84c64525a6eb02e9299/0130861016v1.jpeg "Mit TD SYNNEX und Microsoft 365 Copilot Chat Kunden überzeugen (Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/d5/cd/d5cd98b177dc8cbbbf206256fcc4d306/0130678535v1.jpeg "TrendAI Vision One™: Die Plattform für intelligente Security Operations (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/da/e3/dae3462e1dcdda71a18768df96007777/0130845235v1.jpeg "Die Susecon 2026 fand in Prag statt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e9/bb/e9bbb548e4d405d29ac8627c477dc2e9/0130759963v1.jpeg "Auf der Hannover Messe, die vom 20. April bis zum 24. April 2026 stattfindet, stellt Schwarz Digits den European Sovereign Stack Standard, kurz ES³, vor und präsentiert exklusiv ein Exponat. (Bild: Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/18/c4/18c4199ad8f908b778ee17d9da27a43c/0130765450v2.jpeg "Tim Höttges, CEO Deutsche Telekom, forderte in seiner Keynote bei der Hannover Messe die Unternehmen auf, die Möglichkeiten von Künstlicher Intelligenz zu nutzen, auch um den Standort Deutschland zu stärken. (Bild: Deutsche Telekom)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/7000/7040/65.jpg "Logo_07_2009_1 cm hoch ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/bc/66bc4eca2666b5d37d95423dade92686/0130580032v2.jpeg "Durch Cloud-Plattformen entstehen KI-Use-Cases für Predictive Maintenance, resiliente Lieferketten und neue Service-Geschäftsmodelle in der industriellen Produktion. Die Grundlage dafür bildet präzises Asset-Management. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/bc/66bc4eca2666b5d37d95423dade92686/0130580032v2.jpeg "Durch Cloud-Plattformen entstehen KI-Use-Cases für Predictive Maintenance, resiliente Lieferketten und neue Service-Geschäftsmodelle in der industriellen Produktion. Die Grundlage dafür bildet präzises Asset-Management. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/36/c43621a0b3415bb5a54d179377206667/0125206370v2.jpeg "Der Optimalfall: Eine dauerhafte Überwachung der Security-Systeme und eine sofortige Reaktion auf potentielle Gefahren. (Bild: Midjourney / KI-generiert)")