IEC 62443 für den Fernzugriff auf OT: die Norm erklärt

IEC 62443 ist die internationale Normenreihe für die Cybersicherheit industrieller Automatisierungs- und Leitsysteme (IACS). Für den Fernzugriff auf OT schreibt sie keinen einzelnen Paragrafen vor, sondern ein Architekturprinzip: Anlagen werden in Zonen und Conduits segmentiert, jeder Zugriff über ein untrusted network erzwingt starke Authentifizierung inklusive MFA, least privilege, Verschlüsselung, zeitliche Begrenzung der Sitzung und lückenloses Logging - abgestuft nach einem Security Level (SL 1 bis SL 4). Dieser Beitrag erklärt die relevanten Teile der Reihe (Stand 2026), was sie konkret für Secure Remote Access fordert, wie eine souveräne Plattform das abbildet und wie sich die Norm von NIS2 abgrenzt.

Was IEC 62443 ist - und was nicht

IEC 62443 ist ein freiwilliger technischer Standard, entwickelt vom IEC-Komitee TC65 gemeinsam mit dem ISA99-Gremium. Sie ist kein Gesetz und keine Behördenvorschrift, gilt aber branchenübergreifend als anerkannter Stand der Technik für die OT-Sicherheit. Genau das macht sie für regulierte Betreiber wertvoll: Wer nach IEC 62443 baut, kann gegenüber Auditoren und Behörden nachvollziehbar belegen, dass seine Schutzmaßnahmen dem aktuellen Stand entsprechen.

Die Reihe ist in vier Gruppen gegliedert:

Für den Fernzugriff sind drei Teile zentral: 62443-3-2 liefert das Zonenmodell, 62443-3-3 die System-Requirements und 62443-4-2 die Komponentenanforderungen.

Zones und Conduits: das Architekturmodell

Das Herzstück der Norm ist die Segmentierung. Eine Zone fasst Assets mit gleichem Schutzbedarf zusammen - etwa eine Maschinenzelle, ein SCADA-System oder die Office-IT. Ein Conduit ist der einzige kontrollierte Kommunikationsweg zwischen zwei Zonen und erzwingt dort definierte Sicherheitsmaßnahmen. Direkte Verbindungen über Zonengrenzen hinweg sind unzulässig.

Für Remote Access folgt daraus ein klares Bild: Eine externe Wartungssitzung läuft niemals direkt auf die Steuerung, sondern über einen Conduit, der typischerweise in einer DMZ am IT/OT-Übergang terminiert. Wie diese Trennung sauber aufgebaut wird, vertieft der Beitrag zur OT/IT-Segmentierung mit DMZ für die Fernwartung.

Security Level SL 1 bis 4 und die sieben Foundational Requirements

Jeder Zone und jedem Conduit wird ein Ziel-Security-Level (SL-T) zugewiesen. Die Stufen beschreiben den Angreifertyp, gegen den geschützt wird:

• SL 1: Schutz gegen zufällige oder versehentliche Verstöße.
• SL 2: Schutz gegen einfache absichtliche Angriffe mit geringen Ressourcen und generischem Wissen.
• SL 3: Schutz gegen ausgefeilte Angriffe mit moderaten Ressourcen und IACS-spezifischem Wissen.
• SL 4: Schutz gegen Angriffe mit umfangreichen Ressourcen und hoher Motivation (staatsnahe Akteure).

Die Anforderungen sind in sieben Foundational Requirements (FR) gruppiert: FR1 Identifikation und Authentifizierung (IAC), FR2 Nutzungskontrolle (UC), FR3 Systemintegrität (SI), FR4 Datenvertraulichkeit (DC), FR5 eingeschränkter Datenfluss (RDF), FR6 zeitnahe Reaktion auf Ereignisse (TRE) und FR7 Ressourcenverfügbarkeit (RA). Jeder FR erhält ein eigenes SL-Ziel, sodass eine Zone durch einen SL-Vektor aus sieben Werten beschrieben wird. Höhere Stufen werden durch Requirement Enhancements (RE) erreicht: Die Basis-Anforderung gilt ab SL 1, RE 1 kommt bei SL 2 hinzu, RE 2 bei SL 3 und RE 3 bei SL 4.

62443-3-3 und 62443-4-2: System- und Komponenten-Requirements (Stand 2026)

62443-3-3:2013 definiert 51 System-Requirements (SR) für ein vollständiges Leitsystem und die zugehörige Capability auf SL-C-Ebene. 62443-4-2:2019 übersetzt diese Logik auf einzelne Produkte und beschreibt Component-Requirements (CR) für vier Komponententypen: Softwareanwendung, Embedded Device, Host Device und Network Device. Beide Teile sind über dieselben sieben FR verknüpft - ein System erreicht sein SL nur, wenn die verbauten Komponenten die passende Capability mitbringen.

Wichtig für die Aktualität: Die Kerndokumente sind weiterhin gültig (3-3 von 2013, 4-2 von 2019). Parallel läuft eine Überarbeitung, allen voran EN IEC 62443-4-2:2019/prAA:2026, die sich Anfang 2026 im DIS-Ballot befand. Ziel ist die Harmonisierung mit dem EU Cyber Resilience Act, damit EN IEC 62443 als gelistete europäische Norm zur CRA-Konformität herangezogen werden kann. Wer heute baut, sollte die bestehenden Ausgaben umsetzen und die Entwürfe beobachten - inhaltlich verschärfen sie vor allem Secure Boot, Firmware-Signierung und die Evaluierungsmethodik.

Was die Norm konkret für Secure Remote Access fordert

Aus den System-Requirements der 62443-3-3 lässt sich für den Fernzugriff eine konkrete Checkliste ableiten:

Übersetzt heißt das: Kein direkter Durchgriff auf die OT, jeder Fernzugriff über einen kontrollierten Übergang, jede Sitzung authentifiziert, autorisiert, verschlüsselt, zeitlich begrenzt und protokolliert. Wie sich daraus eine praxistaugliche Fernwartung bauen lässt, beschreibt der Leitfaden Sichere Fernwartung von Maschinen und Anlagen.

Wie eine souveräne Plattform IEC 62443 abbildet

Ein nacktes VPN erfüllt diese Anforderungen nicht - es verbindet Netze, statt Zugriffe zu kontrollieren. Eine souveräne Remote-Management-Plattform führt stattdessen Identität, Autorisierung, Verschlüsselung und Audit an einem kontrollierten Übergang zusammen, in Deutschland betrieben und ohne Abhängigkeit von US-Cloud-Diensten:

• Identität und MFA zentral über einen Identity Provider wie Authentik, der SR 1.1 und SR 1.13 abdeckt.
• Verschlüsselte Conduits per WireGuard, die OT-Zonen sauber von der IT trennen (SR 3.1, SR 4.1, SR 5.1).
• Least privilege, Session-Begrenzung und Aufzeichnung über ein Browser-Gateway, sodass kein flächendeckender VPN-Client auf Drittgeräten nötig ist (SR 2.1, SR 2.6).
• Monitoring und Audit über ein SIEM wie Wazuh, ergänzt um laufendes CVE-Monitoring und ein regelmäßiges Security-Audit der Architektur (SR 6.1, SR 6.2).

In der Praxis bewährt sich dieser Ansatz bereits: Für ABCO Water Systems in Australien betreiben wir den abgesicherten Fernzugriff auf verteilte Wasseraufbereitungsanlagen mit HMI-Zugriff, rollenbasierten Rechten und vollständigem Audit-Trail - genau das Modell aus Zonen, Conduits und kontrollierten Sessions, das IEC 62443 beschreibt.

IEC 62443 vs. NIS2: Norm gegen Gesetz

Beide Rahmenwerke greifen ineinander, liegen aber auf verschiedenen Ebenen. NIS2 beziehungsweise das deutsche NIS2UmsuCG ist ein Gesetz: Es schreibt vor, dass betroffene Einrichtungen Risikomanagementmaßnahmen nach Paragraf 30 BSIG umsetzen müssen, und droht bei Verstößen Bußgelder an. IEC 62443 ist eine Norm: Sie beschreibt technisch detailliert, wie diese Maßnahmen für OT aussehen. Das Gesetz sagt also das "Ob" und "Dass", die Norm liefert das "Wie".

In der Praxis verwenden Betreiber IEC 62443 genau dafür: um den von NIS2 geforderten Stand der Technik strukturiert nachzuweisen. Welche NIS2-Pflichten den Fernzugriff konkret treffen, behandelt der Leitfaden zum NIS2-konformen Fernzugriff.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Für die verbindliche Bewertung Ihrer Pflichten und der passenden Security-Level-Ziele ziehen Sie bitte fachkundigen Rat hinzu; die technische Umsetzung begleiten wir gern. Vereinbaren Sie ein unverbindliches Kennenlernen.