← Alle Beiträge

OT-Fernzugriff absichern: Warum VPN und MFA allein nicht genügen

Rund die Hälfte aller ICS-Vorfälle entsteht laut SANS über den Fernzugriff. VPN und MFA prüfen zwar die Identität – aber nicht, welche Aktionen erlaubt sind und wie sie den physischen Betrieb beeinflussen. Wir zeigen, welche ICS-spezifischen Kontrollen nötig sind und wie Xage Security sie umsetzt.

Xage Security – Zero Trust für sicheren OT-Fernzugriff in ICS- und SCADA-Umgebungen

Der Fernzugriff auf Operational Technology (OT) ist zur wichtigsten Einfallstür für Angriffe auf industrielle Umgebungen geworden. Wartung aus der Ferne, Hersteller-Support, verteilte Standorte – all das ist im Betrieb längst unverzichtbar. Doch genau hier entsteht das Risiko: Laut dem aktuellen SANS 2025 State of ICS Security Survey geht rund die Hälfte aller ICS-Sicherheitsvorfälle auf den Fernzugriff zurück. VPN und Multi-Faktor-Authentifizierung (MFA) sind dabei ein solides Fundament – aber allein reichen sie nicht.

Die Zahlen: Fernzugriff ist das Einfallstor Nummer eins

Der SANS-Report zeichnet ein deutliches Bild der Lage in industriellen Umgebungen:

  • 50 % der ICS-Vorfälle entstehen über den Fernzugriff.
  • 22 % der Unternehmen hatten binnen zwölf Monaten einen ICS-/OT-Sicherheitsvorfall – 38 % davon mit Ransomware-Bezug.
  • 31 % führen kein formelles Inventar ihrer Fernzugriffspfade – sie wissen also nicht genau, wer über welche Wege hereinkommt.
  • 83 % nutzen Cloud in IT und OT, aber nur 13 % beziehen diese Cloud-Aktivitäten in ihr Monitoring ein.

Besonders kritisch: Selbst wenn ein Vorfall schnell erkannt wird, dauert die Behebung oft lange. Ein nennenswerter Teil der Unternehmen braucht Tage bis Monate, um wieder in einen sicheren Zustand zu kommen – in einer Produktionsumgebung ist das teuer und gefährlich zugleich.

Warum VPN und MFA nicht ausreichen

VPN und MFA beantworten eine einzige Frage zuverlässig: Ist der Nutzer der, der er vorgibt zu sein? Sie authentifizieren die Identität und stellen eine sichere Verbindung her. Was sie nicht leisten: Sie sagen nichts darüber aus, welche Aktionen ein Nutzer ausführen darf, mit welchen Geräten er interagiert und wie sich sein Handeln auf den physischen Betrieb auswirkt.

In der IT ist das oft akzeptabel. In der OT kann eine falsche Aktion an einer Steuerung – gewollt oder versehentlich – reale Folgen haben: einen Produktionsstopp, beschädigte Anlagen oder ein Sicherheitsrisiko für Menschen. Hinzu kommt, dass moderne Fernzugriffspfade längst über das klassische VPN hinausgehen: Hersteller-Portale, Cloud-Dienste und installierte Agenten öffnen weitere Wege, die ein reines VPN gar nicht kontrolliert. Ein authentifizierter Tunnel ist eben noch keine kontrollierte, nachvollziehbare Handlung.

Was ICS-spezifische Kontrollen leisten müssen

SANS empfiehlt daher, den Fernzugriff auf OT nicht als reinen IT-Dienst, sondern als sicherheitskritische Funktion zu behandeln. Konkret bedeutet das eine Reihe ICS-spezifischer Kontrollen, die heute noch viel zu selten umgesetzt sind:

  • Least Privilege pro Aktion: Nicht nur „Zugang ja/nein", sondern welche konkreten Handlungen an welchem Gerät erlaubt sind.
  • Geräte- und konfigurationsbewusste Kontrollen: Zugriff nur von autorisierten, ordnungsgemäß gewarteten Engineering-Workstations.
  • Session Recording & Replay: lückenlose Aufzeichnung für Vorfallanalyse, Compliance und die Klärung von Hersteller-Streitfällen (nur rund 13 % setzen das um).
  • Echtzeit-Freigaben: kritische Zugriffe werden mit dem Personal vor Ort und den Wartungsfenstern abgestimmt (nur rund 8 %).
  • Jump-Host / Session Broker: ein erzwungener, kontrollierter Engpass für allen Fernzugriff, passend zur OT-DMZ nach dem Purdue-Modell (rund 23 %).
  • Protokoll-Vermittlung: Beschränkung auf erlaubte Anwendungen und Industrieprotokolle statt freier Netzwerkzugriff.

Xage Security als Lösung

Genau diese Lücke zwischen „authentifiziert" und „kontrolliert" schließt Xage Security. Der Ansatz von Xage ist ein identitätsbasiertes Zero-Trust-Zugriffsmodell speziell für OT- und ICS-Umgebungen – nicht als weiteres VPN, sondern als durchgängige Kontrollschicht über alle Zugriffspfade hinweg. Die Fähigkeiten der Plattform decken die von SANS geforderten Kontrollen sehr genau ab:

  • Granularer Zugriff pro Nutzer, Gerät und Aktion – statt eines pauschalen Tunnels ins Netz. Damit wird Least Privilege bis auf Asset-Ebene durchsetzbar.
  • MFA auch für Alt-Systeme: Xage legt starke Authentifizierung über OT-Anlagen, die von sich aus keine moderne MFA unterstützen – ohne die Geräte selbst anzufassen.
  • Privilegierter Fernzugriff mit Session-Brokering, Aufzeichnung und Replay – die kontrollierte Sitzung ersetzt den offenen Tunnel.
  • Einheitliche Richtlinien über IT, OT, Cloud und Hersteller-Portale hinweg – auch die Zugriffswege, die ein klassisches VPN übersieht.
  • Verteilte, ausfallsichere Architektur: Zugriffsentscheidungen funktionieren über mehrere Standorte hinweg und ohne zentralen Single Point of Failure – gut vereinbar mit segmentierten OT-Netzen nach dem Purdue-Modell.

Der entscheidende Unterschied: Xage prüft nicht nur, wer zugreift, sondern setzt durch, was dabei erlaubt ist – und zeichnet lückenlos auf, was tatsächlich passiert ist. Aus einem authentifizierten Zugang wird so eine kontrollierte, nachvollziehbare Handlung.

OT-Sicherheit mit KAEMI

Technologie ist die eine Hälfte, der sichere Betrieb die andere. Als Managed Service Provider mit Schwerpunkt auf Zero Trust und Segmentierung begleiten wir Unternehmen dabei, ihren OT-Fernzugriff auf ein belastbares Fundament zu stellen: von der Inventarisierung aller Zugriffspfade über die Einführung eines kontrollierten Zugriffsmodells bis zum laufenden Monitoring – technologieoffen und aus einer Hand.

Der OT-Fernzugriff ist dabei eng mit der Netzsegmentierung verzahnt: Wer Zugriffe granular kontrolliert und Netze konsequent segmentiert, verhindert, dass ein kompromittierter Zugang zur unternehmensweiten Gefahr wird.

Wie wir Netzwerke nach dem Zero-Trust-Prinzip absichern, zeigen wir auf unserer Seite zur Zero-Trust-Mikrosegmentierung .

Fazit: Fernzugriff ist kein IT-Thema, sondern sicherheitskritisch

Der Kern der SANS-Empfehlung ist klar: OT-Fernzugriff sollte nicht wie ein gewöhnlicher IT-Dienst behandelt werden, sondern als sicherheitskritische Funktion, die technische Genauigkeit verlangt. VPN und MFA bleiben das Fundament – doch erst ICS-bewusste Zugriffskontrolle macht die Verteidigung wirksam. Der Einstieg muss keine große Transformation sein: ein vollständiges Inventar der Zugriffspfade, ein kontrollierter Engpass per Jump-Host und ein identitätsbasiertes Zugriffsmodell sind konkrete erste Schritte, die den Unterschied machen.

Fragen zu diesem Thema?

Sprechen wir über Netzwerk- und Sicherheitsziele – unverbindlich.

Kontakt aufnehmen