
Verteilte Standorte, Maschinen und IoT-Geräte sicher fernwarten - ohne VPN-Client-Chaos und ohne US-SaaS im Tunnel zur Anlage. Wir bauen souveräne Remote-Access- und Fern-Verwaltungs-Plattformen mit browserbasiertem Zugriff (Apache Guacamole), WireGuard-Standortanbindung, rollenbasiertem Zugriff und lückenlosem Audit - produktiv bewiesen bei ABCO Water Systems und nextGYM. Hier erklären wir die Grundlagen, die Sicherheits- und Compliance-Anforderungen (NIS2, IEC 62443) und die Architektur dahinter.
Was ist Apache Guacamole?
Apache Guacamole ist ein clientless Remote-Desktop-Gateway: RDP, VNC, SSH und Telnet rein im Browser (HTML5), self-hosted und souverän. So funktioniert es.
VNC im Browser: HMI-Fernzugriff
VNC im Browser für HMI-Fernzugriff: per Apache Guacamole ohne Client auf Siemens-, B&R- und Beckhoff-Panels zugreifen - sicher über WireGuard getunnelt.
Fernwartung ohne VPN-Client
Fernwartung ohne VPN-Client: clientloser Browser-Zugriff per Apache Guacamole statt VPN pro Techniker oder TeamViewer pro Gerät. Sicher, zentral, NIS2-tauglich.
Self-hosted TeamViewer-Alternative (RustDesk)
RustDesk ist eine quelloffene, selbst hostbare TeamViewer-Alternative: eigener ID- und Relay-Server, Ende-zu-Ende-Verschlüsselung, volle Datenhoheit.
NIS2-konformer Fernzugriff
NIS2-konformer Fernzugriff: Welche Pflichten NIS2UmsuCG und IEC 62443 an RBAC, MFA, Audit und Just-in-time-Zugriff stellen - und wie Sie sie umsetzen.
RBAC & Audit für Fernzugriff
Rollenbasierte Zugriffskontrolle (RBAC) und manipulationssichere Audit-Trails für Fernzugriff: Least Privilege, Session-Recording, NIS2- und IEC-62443-konform.
Was ist ZTNA? (Zero Trust Network Access)
ZTNA gewährt Zugriff pro Anwendung statt aufs ganze Netz - auf Basis von Identität, Gerätezustand und Kontext. Zero Trust Network Access vs. VPN erklärt.
IEC 62443 für den Fernzugriff auf OT
IEC 62443 für den Fernzugriff auf OT: Zones & Conduits, Security Level SL1-4, Teile 62443-3-3 und 4-2 und was die Norm für sicheren Remote Access fordert.
SSO & MFA für das Fernzugriffs-Portal
SSO und MFA für das Fernzugriffs-Portal: zentrale Identität per SAML 2.0 und OIDC, MFA mit TOTP, WebAuthn und Passkeys, Conditional Access, SCIM-Provisioning.
Privileged Access Management & Session-Recording
PAM und Session-Recording für die Fernwartung: Just-in-time-Zugriff, Credential-Vaulting, Vier-Augen-Prinzip und Audit-Export, NIS2- und IEC-62443-konform.
Fernwartung & DSGVO (Auftragsverarbeitung, AV-Vertrag)
Fernwartung und DSGVO: Wann ein AV-Vertrag nach Art. 28 Pflicht ist, welche TOM nach Art. 32 gelten und wie Sie den Drittlandtransfer in die USA absichern.
WireGuard zur Standortanbindung
WireGuard zur sicheren Standortanbindung verteilter Anlagen: Site-to-Site, Mesh mit NetBird und Headscale, ohne offenen Inbound-Port. Schritt für Schritt.
Was ist NetBird? (Zero-Trust Mesh-VPN)
NetBird ist ein quelloffenes, WireGuard-basiertes Zero-Trust-Mesh-VPN: verbindet Server, Geräte und Standorte verschlüsselt, ohne offene Inbound-Ports.
Was ist Headscale?
Headscale ist ein quelloffener, selbst gehosteter Tailscale-Control-Server: WireGuard-Mesh ohne Tailscale-Cloud, mit den offiziellen Tailscale-Clients.
Interne Dienste ohne VPN veröffentlichen
Interne Web-Apps, Dashboards und APIs sicher veröffentlichen - ohne offene Ports oder VPN für alle. Per self-hosted Reverse-Proxy mit Tunnel und SSO.
Multi-Tenant-Betreiberportal für Anlagen
Mandantenfähiges Betreiberportal für Anlagen: Trennung von Betreiber, Kunde und Endkunde, RBAC pro Mandant, White-Label und OEM-Service-Portale erklärt.
OT/IT-Segmentierung, DMZ & Purdue-Modell
OT/IT-Segmentierung mit DMZ und Purdue-Modell für die Fernwartung: Jump-Host und Browser-Gateway in der DMZ, Conduits nach IEC 62443, kein Durchgriff zur SPS.
SSH-Bastion / Jump-Host
SSH-Bastion und Jump-Host: Funktionsweise mit ProxyJump, Härtung mit Key-only, MFA und Logging - und wann ein Mesh-VPN (NetBird/ZTNA) den Sprungserver ablöst.
Siemens-S7-/SPS-Fernzugriff ohne offene Ports
S7-/SPS-Fernzugriff ohne offene Ports: SPS und HMI nie exponieren. Ausgehender WireGuard-Tunnel, HMI im Browser per Guacamole - souveräne Ewon-Alternative.
NetBird vs Tailscale vs WireGuard
NetBird, Tailscale, Headscale und reines WireGuard im Vergleich: Open Source, Self-Hosting, Control Plane, IdP, ACLs und Lizenzen - der Entscheidungsguide.
OpenVPN vs WireGuard
OpenVPN vs WireGuard im Vergleich für Unternehmen und Standortanbindung: Protokoll, Performance, Codegröße, Sicherheit - und wann welches VPN passt.
Sichere Fernwartung von Maschinen & Anlagen
Sichere Fernwartung von Maschinen und Anlagen: WireGuard, Guacamole-Gateway, RBAC, lückenloses Audit und NIS2 - eigene Plattform statt Hersteller-Cloud.
WZ-IT baut und betreibt Remote Access & Fernwartung produktiv für Unternehmen - Konzeption, Umsetzung und Betrieb aus einer Hand.
Remote-Management-Plattform ansehen →Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Timo Wevelsiep & Robin Zins
Geschäftsführer

