Wartungsfenster als Einfallstor: Externe Dienstleister-Zugriffe absichern – mit Illumio und Xage
Fernwartung ist laut SANS eine der häufigsten Ursachen für Sicherheitsvorfälle. Wie Illumio und Xage Security externe Zugriffe kontrollierbar machen.
Kaum ein Unternehmen kommt heute ohne externe Wartungszugriffe aus: Der Maschinenhersteller wartet seine Anlage per Fernzugriff, der Systemintegrator spielt Updates ein, der Dienstleister prüft nachts die Backups. Diese Zugriffe sind betrieblich unverzichtbar – und gleichzeitig eines der größten Einfallstore für Angriffe. Denn während interne Systeme meist gut überwacht sind, öffnet ein Wartungsfenster oft eine Tür, deren Nutzung niemand im Detail kontrolliert.
Mit NIS2 wird daraus zusätzlich ein Compliance-Thema: Die Richtlinie verlangt, dass auch Zugriffe Dritter dokumentiert, kontrolliert und auf das Notwendige beschränkt werden. Wer heute nicht sagen kann, welcher Dienstleister wann auf welches System zugegriffen hat, bekommt spätestens beim Audit ein Problem.
Die Lage in Zahlen
Wie groß die Lücke zwischen Anspruch und Realität ist, zeigt der aktuelle SANS-Report zur ICS-Sicherheit: Rund die Hälfte der erfassten Sicherheitsvorfälle geht auf unbefugten externen Zugriff zurück. Gleichzeitig setzen nur etwa 13 Prozent der Unternehmen fortgeschrittene Kontrollen wie Sitzungsaufzeichnung oder zeitlich begrenzte Zugriffe ein – und 31 Prozent führen nicht einmal ein zentrales Inventar ihrer Fernzugriffspunkte. Anders gesagt: Die am häufigsten ausgenutzte Tür ist zugleich die am schlechtesten bewachte.
Was beim Wartungszugriff schiefgehen kann
Das Grundproblem klassischer Fernwartung: Der externe Techniker bekommt einen VPN-Zugang – und landet damit in einem Netz, das ihm weit mehr erlaubt, als seine Aufgabe verlangt. Die Folgen reichen von unangenehm bis existenzbedrohend:
- Laterale Bewegung: Vom Wartungszugang aus sind weitere Systeme erreichbar – ein kompromittiertes Dienstleister-Konto wird zum Generalschlüssel.
- Produktionsstillstand: Eine falsche Konfiguration an der falschen Stelle legt kritische Prozesse lahm – gewollt oder versehentlich.
- Datenabfluss: Sensible Produktions- und Kundendaten verlassen unbemerkt das Unternehmen.
- Fehlende Nachvollziehbarkeit: Ohne Aufzeichnung lässt sich im Streitfall nicht klären, wer was getan hat – ein Problem für Forensik, Gewährleistung und NIS2-Dokumentation.
Das Prinzip: Zero Trust auch für Dienstleister
Die Antwort ist konzeptionell einfach: Externe Sitzungen werden als grundsätzlich nicht vertrauenswürdig behandelt. Zugriff gibt es nur auf das konkrete Zielsystem, nur für die benötigte Zeit, nur mit den minimal nötigen Rechten – und jede Sitzung wird überwacht und protokolliert. Damit das in der Praxis funktioniert, braucht es zwei Bausteine, die ineinandergreifen: eine Segmentierung, die den Bewegungsradius begrenzt, und eine Zugriffsschicht, die die Tür kontrolliert.
Baustein 1: Zero-Trust-Segmentierung mit Illumio
Illumio setzt genau dort an, wo der größte Schaden entsteht – bei der lateralen Bewegung. Die Plattform macht zunächst alle Datenflüsse zwischen Systemen sichtbar: Wer spricht mit wem, und ist das überhaupt nötig? Auf dieser Grundlage entstehen Least-Privilege-Regeln bis auf Workload-Ebene, rein softwarebasiert und ohne Umbau des Netzwerks.
Für den Wartungsfall heißt das: Selbst wenn ein Dienstleister-Zugang kompromittiert wird, endet der Angriff am Segment. Das Wartungsziel ist erreichbar, die Nachbarsysteme sind es nicht – aus dem potenziellen Generalschlüssel wird ein Schlüssel für genau eine Tür.
Baustein 2: Identitätsbasierter Zugriff mit Xage Security
Xage Security kontrolliert die Tür selbst – speziell auch in OT- und Industrieumgebungen, in denen klassische Remote-Access-Werkzeuge an ihre Grenzen stoßen. Statt eines pauschalen VPN-Tunnels vergibt Xage Zugriff identitätsbasiert: pro Person, pro Asset, pro Aktion und auf Wunsch nur für ein definiertes Zeitfenster – passend zum Wartungsauftrag.
Dazu kommen Fähigkeiten, die im Wartungskontext den Unterschied machen: Multi-Faktor-Authentifizierung auch für Altsysteme, die selbst keine MFA beherrschen, Session-Brokering über einen kontrollierten Zugangspunkt sowie lückenlose Aufzeichnung der Sitzungen. Damit ist im Nachhinein belegbar, wer wann was getan hat – genau die Nachvollziehbarkeit, die NIS2 verlangt und die im Gewährleistungsfall Gold wert ist.
Wie wir helfen können
Als Managed Service Provider und Partner von Illumio und Xage Security bringen wir beide Bausteine zusammen – von der Analyse bis zum Betrieb:
- Bestandsaufnahme: Wir inventarisieren alle Fernzugriffspfade – auch die vergessenen Hersteller-Portale und Agenten, die kein VPN durchläuft.
- Architektur & Umsetzung: Wir entwerfen die Segmentierungs- und Zugriffsarchitektur passend zur Umgebung und setzen sie um, ohne den laufenden Betrieb zu gefährden.
- Betrieb rund um die Uhr: Unser Network Operations Center überwacht Zugriffe und Regeln 24/7, erkennt Abweichungen und hält die Dokumentation revisionssicher aktuell.
Wie wir Netzwerke mit Zero-Trust-Segmentierung absichern, zeigt unsere Seite zur Mikrosegmentierung .
Wer tiefer in das Thema OT-Fernzugriff einsteigen möchte: In unserem Beitrag „OT-Fernzugriff absichern: Warum VPN und MFA allein nicht genügen" haben wir die ICS-spezifischen Kontrollen im Detail beleuchtet.
Fazit
Einen kompakten Überblick über die Illumio-Plattform – Segmentation und Insights – finden Sie auf unserer Illumio-Seite .
Externe Wartungszugriffe lassen sich nicht abschaffen – aber sie lassen sich beherrschen. Wer den Bewegungsradius per Segmentierung begrenzt und den Zugriff identitätsbasiert, zeitlich befristet und aufgezeichnet vergibt, verwandelt das größte Einfallstor in einen kontrollierten, dokumentierten Prozess. Der beste Zeitpunkt dafür ist vor dem nächsten Wartungsfenster – nicht nach dem ersten Vorfall.