DEEN
WZ-IT Logo

Remote Access & Fernwartung

Verteilte Standorte, Maschinen und IoT-Geräte sicher fernwarten - ohne VPN-Client-Chaos und ohne US-SaaS im Tunnel zur Anlage. Wir bauen souveräne Remote-Access- und Fern-Verwaltungs-Plattformen mit browserbasiertem Zugriff (Apache Guacamole), WireGuard-Standortanbindung, rollenbasiertem Zugriff und lückenlosem Audit - produktiv bewiesen bei ABCO Water Systems und nextGYM. Hier erklären wir die Grundlagen, die Sicherheits- und Compliance-Anforderungen (NIS2, IEC 62443) und die Architektur dahinter.

Grundlagen

Was ist Apache Guacamole?

Apache Guacamole ist ein clientless Remote-Desktop-Gateway: RDP, VNC, SSH und Telnet rein im Browser (HTML5), self-hosted und souverän. So funktioniert es.

VNC im Browser: HMI-Fernzugriff

VNC im Browser für HMI-Fernzugriff: per Apache Guacamole ohne Client auf Siemens-, B&R- und Beckhoff-Panels zugreifen - sicher über WireGuard getunnelt.

Fernwartung ohne VPN-Client

Fernwartung ohne VPN-Client: clientloser Browser-Zugriff per Apache Guacamole statt VPN pro Techniker oder TeamViewer pro Gerät. Sicher, zentral, NIS2-tauglich.

Self-hosted TeamViewer-Alternative (RustDesk)

RustDesk ist eine quelloffene, selbst hostbare TeamViewer-Alternative: eigener ID- und Relay-Server, Ende-zu-Ende-Verschlüsselung, volle Datenhoheit.

Sicherheit & Compliance

NIS2-konformer Fernzugriff

NIS2-konformer Fernzugriff: Welche Pflichten NIS2UmsuCG und IEC 62443 an RBAC, MFA, Audit und Just-in-time-Zugriff stellen - und wie Sie sie umsetzen.

RBAC & Audit für Fernzugriff

Rollenbasierte Zugriffskontrolle (RBAC) und manipulationssichere Audit-Trails für Fernzugriff: Least Privilege, Session-Recording, NIS2- und IEC-62443-konform.

Was ist ZTNA? (Zero Trust Network Access)

ZTNA gewährt Zugriff pro Anwendung statt aufs ganze Netz - auf Basis von Identität, Gerätezustand und Kontext. Zero Trust Network Access vs. VPN erklärt.

IEC 62443 für den Fernzugriff auf OT

IEC 62443 für den Fernzugriff auf OT: Zones & Conduits, Security Level SL1-4, Teile 62443-3-3 und 4-2 und was die Norm für sicheren Remote Access fordert.

SSO & MFA für das Fernzugriffs-Portal

SSO und MFA für das Fernzugriffs-Portal: zentrale Identität per SAML 2.0 und OIDC, MFA mit TOTP, WebAuthn und Passkeys, Conditional Access, SCIM-Provisioning.

Privileged Access Management & Session-Recording

PAM und Session-Recording für die Fernwartung: Just-in-time-Zugriff, Credential-Vaulting, Vier-Augen-Prinzip und Audit-Export, NIS2- und IEC-62443-konform.

Fernwartung & DSGVO (Auftragsverarbeitung, AV-Vertrag)

Fernwartung und DSGVO: Wann ein AV-Vertrag nach Art. 28 Pflicht ist, welche TOM nach Art. 32 gelten und wie Sie den Drittlandtransfer in die USA absichern.

Architektur & Anbindung

WireGuard zur Standortanbindung

WireGuard zur sicheren Standortanbindung verteilter Anlagen: Site-to-Site, Mesh mit NetBird und Headscale, ohne offenen Inbound-Port. Schritt für Schritt.

Was ist NetBird? (Zero-Trust Mesh-VPN)

NetBird ist ein quelloffenes, WireGuard-basiertes Zero-Trust-Mesh-VPN: verbindet Server, Geräte und Standorte verschlüsselt, ohne offene Inbound-Ports.

Was ist Headscale?

Headscale ist ein quelloffener, selbst gehosteter Tailscale-Control-Server: WireGuard-Mesh ohne Tailscale-Cloud, mit den offiziellen Tailscale-Clients.

Interne Dienste ohne VPN veröffentlichen

Interne Web-Apps, Dashboards und APIs sicher veröffentlichen - ohne offene Ports oder VPN für alle. Per self-hosted Reverse-Proxy mit Tunnel und SSO.

Multi-Tenant-Betreiberportal für Anlagen

Mandantenfähiges Betreiberportal für Anlagen: Trennung von Betreiber, Kunde und Endkunde, RBAC pro Mandant, White-Label und OEM-Service-Portale erklärt.

OT/IT-Segmentierung, DMZ & Purdue-Modell

OT/IT-Segmentierung mit DMZ und Purdue-Modell für die Fernwartung: Jump-Host und Browser-Gateway in der DMZ, Conduits nach IEC 62443, kein Durchgriff zur SPS.

SSH-Bastion / Jump-Host

SSH-Bastion und Jump-Host: Funktionsweise mit ProxyJump, Härtung mit Key-only, MFA und Logging - und wann ein Mesh-VPN (NetBird/ZTNA) den Sprungserver ablöst.

Siemens-S7-/SPS-Fernzugriff ohne offene Ports

S7-/SPS-Fernzugriff ohne offene Ports: SPS und HMI nie exponieren. Ausgehender WireGuard-Tunnel, HMI im Browser per Guacamole - souveräne Ewon-Alternative.

Entscheidung & Vergleich

NetBird vs Tailscale vs WireGuard

NetBird, Tailscale, Headscale und reines WireGuard im Vergleich: Open Source, Self-Hosting, Control Plane, IdP, ACLs und Lizenzen - der Entscheidungsguide.

OpenVPN vs WireGuard

OpenVPN vs WireGuard im Vergleich für Unternehmen und Standortanbindung: Protokoll, Performance, Codegröße, Sicherheit - und wann welches VPN passt.

Sichere Fernwartung von Maschinen & Anlagen

Sichere Fernwartung von Maschinen und Anlagen: WireGuard, Guacamole-Gateway, RBAC, lückenloses Audit und NIS2 - eigene Plattform statt Hersteller-Cloud.

WZ-IT baut und betreibt Remote Access & Fernwartung produktiv für Unternehmen - Konzeption, Umsetzung und Betrieb aus einer Hand.

Remote-Management-Plattform ansehen

Lassen Sie uns über Ihre Idee sprechen

Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.

E-Mail
[email protected]

Führende Unternehmen vertrauen WZ-IT

  • Rekorder
  • Keymate
  • Führerscheinmacher
  • SolidProof
  • ARGE
  • Boese VA
  • NextGym
  • Maho Management
  • Golem.de
  • Millenium
  • Paritel
  • Yonju
  • EVADXB
  • Mr. Clipart
  • Aphy
  • Negosh
  • ABCO Water Systems
Timo Wevelsiep & Robin Zins - CEOs of WZ-IT

Timo Wevelsiep & Robin Zins

Geschäftsführer

1/3 - Themenauswahl33%

Worum geht es bei Ihrer Anfrage?

Wählen Sie einen oder mehrere Bereiche, bei denen wir Sie unterstützen dürfen.