Multi-Tenant-Betreiberportal für Anlagen

Timo Wevelsiep•Aktualisiert: 30.06.2026

Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.

Ein mandantenfähiges (multi-tenant) Betreiberportal ist eine zentrale Plattform für Fernzugriff und Fernwartung, die mehrere strikt getrennte Mandanten unter einem Dach verwaltet: den Betreiber, dessen Kunden und deren Endkunden. Jeder Mandant sieht nur seine eigenen Anlagen, Nutzer, Rechte und Audit-Daten. Statt für jeden Endkunden ein Insel-Tool oder eine Per-Device-Lizenz zu kaufen, betreiben Sie eine eigene, kundeneigene Plattform mit eigenem Branding, eigenem Audit-Format und ohne Pro-Kopf-Gebühren. Genau dieses Muster setzen wir produktiv um, etwa bei ABCO Water Systems im Anlagenbau und bei nextGYM für verteilte IoT-Standorte.

Drei Rollen: Betreiber, Kunde, Endkunde

Das Kernmuster eines Betreiberportals ist eine klare Hierarchie aus drei Ebenen:

Betreiber (Plattform-Operator): Sieht alles, kann eingreifen, verwaltet Mandanten, globale Rollen und die Plattform selbst. Das sind Sie als Maschinenbauer, Integrator oder MSP.
Kunde (Mandant): Ein Werk, ein Standortverbund oder ein Geschäftskunde. Der Mandanten-Admin sieht alle eigenen Anlagen und Nutzer, aber nichts von anderen Mandanten.
Endkunde (Sub-Mandant): Eine einzelne Linie, ein Maschinenpark oder ein nachgelagerter Betrieb. Er sieht ausschließlich die Anlagen, für die er freigeschaltet ist.

Diese drei Ebenen sind nicht nur eine Oberflächen-Sortierung. Sie sind tief im Datenmodell verankert und bestimmen, welche Daten überhaupt geladen, welche Aktionen erlaubt und welche Audit-Einträge sichtbar werden.

Mandanten-Isolation: Trennung auf Datenbank-Ebene

Der häufigste Fehler in selbstgebauten Portalen ist, die Mandanten-Trennung nur im Frontend zu erzwingen. Das ist fragil: Vergisst ein einzelner Endpunkt eine Prüfung, fließen Daten über Mandantengrenzen.

Robuste Isolation wird auf Datenbank-Ebene durchgesetzt. Jeder Datensatz trägt eine Mandanten-Zuordnung, und jede Abfrage ist serverseitig auf den Mandanten des angemeldeten Nutzers eingeschränkt, idealerweise erzwungen über Row-Level-Security oder eine zentrale Query-Schicht, nicht über manuell verstreute Filter. Das ist Defense-in-Depth: Selbst wenn ein Endpunkt eine Prüfung vergisst, hält die Trennung. Mehr zu diesem Plattform-Ansatz auf unserer Seite zu Member- und Tenant-Plattformen.

RBAC pro Mandant

Rollenbasierte Zugriffskontrolle (RBAC) wirkt im Betreiberportal mehrstufig: globale Rollen für den Betreiber, Mandanten-Rollen für Kunden-Admins, Projekt- oder Anlagen-Rollen bis hinunter auf einzelne Geräte. Wichtig ist, dass Rollen pro Mandant vergeben werden: Ein Techniker kann bei Mandant A Vollzugriff und bei Mandant B nur Lesezugriff haben.

Zusammen mit lückenlosen Audit-Logs entsteht so ein nachvollziehbarer, prüfbarer Fernzugriff. Wie sich RBAC und Audit konkret gestalten lassen, behandeln wir vertieft im Artikel RBAC und Audit für Fernzugriff.

White-Label und OEM-Service-Portale

Ein White-Label-Portal trägt das Branding des Betreibers, nicht das eines Plattform-Anbieters. Für einen Maschinenbauer ist das kein kosmetisches Detail, sondern Teil des Serviceversprechens: Der Endkunde meldet sich in Ihrem Portal an, nicht in einem fremden Cloud-Tool.

Das OEM-Service-Portal ist der klassische Anwendungsfall: Ein Maschinenbauer liefert Anlagen an viele Endkunden und gibt jedem Endkunden kontrollierten, auditierten Fernzugriff auf genau seine Maschinen. Der Endkunde braucht keinen eigenen VPN-Client und keinen Vollzugriff auf das Werksnetz. Er sieht im Browser nur die freigegebenen HMIs und Web-Oberflächen. Der OEM behält gleichzeitig zentral den Überblick über die gesamte Flotte und kann remote warten, ohne pro Endkunde ein neues Tool zu lizenzieren.

Eigene Plattform statt Per-Device-Lizenz

Werkzeuge wie TeamViewer, IXON Cloud oder Talk2M (Ewon, HMS Networks) lösen den Einzelzugriff schnell, rechnen aber pro Gerät, Gateway, Techniker oder Session ab und laufen in der Anbieter-Cloud. Mit wachsender Flotte und steigender Zahl an Endkunden wachsen die Abo-Kosten linear mit, und das Branding sowie das Audit-Format gehören dem Anbieter.

Kriterium	Eigenes Betreiberportal	Per-Device-/Per-Session-Tools (TeamViewer, IXON, Talk2M)
Lizenzmodell	Einmalige Entwicklung + Betrieb, keine Pro-Kopf-Gebühr	Abo pro Gerät, Gateway, Techniker oder Session
Skalierung Endkunden	Beliebig viele ohne Zusatzkosten	Jeder Endkunde/jedes Gerät kostenpflichtig
Branding	Eigenes (White-Label)	Anbieter-Branding, begrenzt anpassbar
Audit-Format	Frei definierbar, direkt ins eigene SIEM	Anbieter-Format, Export eingeschränkt
Datenhoheit	Eigene Infrastruktur, EU	Anbieter-Cloud
Vendor-Lock-in	Keiner	Hoch

Für ein, zwei Geräte ist ein Fertig-Tool oft die pragmatische Wahl. Sobald aber zweistellige Endkunden-Zahlen, eigenes Branding oder ein prüffähiges, anbieterunabhängiges Audit-Format ins Spiel kommen, rechnet sich die eigene Plattform schnell, technisch wie wirtschaftlich.

Das ABCO/nextGYM-Muster in der Praxis

Beide Referenzen folgen demselben Grundmuster, nur in unterschiedlichen Domänen:

ABCO Water Systems (Anlagenbau, Australien): Webbasierter Zugriff auf VNC-HMIs, Web-HMIs und Anlagennetze über ein zentrales Portal. Apache Guacamole liefert den clientlosen Browser-Zugriff, WireGuard bindet die Standorte verschlüsselt an, ein zentrales Audit-Log protokolliert jeden Zugriff. Klassisches industrielles HMI-Szenario.
nextGYM (verteilte IoT-Standorte, Deutschland): Zentrales Provisioning, RBAC, integrierter Dateibrowser und ein WireGuard-Mesh-VPN über viele Smart-Gym-Standorte. Aus 3 bis 4 Stunden Einrichtung pro Standort wurden 5 Minuten, bei feingranularen Firewall-Richtlinien und SSO.

Die Domäne unterscheidet sich, das Muster ist identisch: eine mandantenfähige Plattform, in der Identität, Rechte, Zugriff und Audit zusammenlaufen.

Architektur-Bausteine

Ein produktives Betreiberportal besteht aus wenigen, klar abgegrenzten Bausteinen:

Clientloses Browser-Gateway: Apache Guacamole (aktuell Version 1.6.0, Stand 2026) bringt RDP, VNC und SSH ohne Client direkt in den Browser, ideal für HMI- und Maschinenzugriff. Details im Artikel Was ist Apache Guacamole.
Verschlüsselte Standortanbindung: WireGuard als schlanker, performanter VPN-Layer zwischen Portal und Standort, oft als Mesh. Mehr dazu unter WireGuard-Standortanbindung und auf unserer WireGuard-Expertise.
Identity-Provider: SSO und MFA als zentraler Einstieg, mit Anbindung an bestehende Verzeichnisse.
Mandantenfähiges Datenmodell mit RBAC: Trennung auf Datenbank-Ebene plus mehrstufige Rollen, wie oben beschrieben.
Zentrales Audit-Log: Wer hat wann auf welche Anlage zugegriffen, in einem Format, das Sie selbst definieren und in Ihr SIEM oder Monitoring einspeisen.

Normen und Recht: NIS2 und IEC 62443

Ein zentrales Portal mit Identität, RBAC und Audit zahlt direkt auf zwei Rahmenwerke ein.

Die IEC 62443-3-3:2013 definiert Systemanforderungen für industrielle Automatisierungs- und Steuerungssysteme über Security Level SL1 bis SL4, darunter Identifikation und Authentifizierung, Zugriffssteuerung (Use Control) und Audit-/Event-Logging. Ein Betreiberportal setzt genau diese Anforderungen an einer Stelle um (ISA/IEC 62443: https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards).

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft und ändert das BSI-Gesetz (BSIG); rund 29.500 Unternehmen fallen in den erweiterten Anwendungsbereich. Es setzt die EU-Richtlinie (EU) 2022/2555 um (https://eur-lex.europa.eu/eli/dir/2022/2555). Zentral sind Risikomanagement, Zugriffskontrolle und Nachweisbarkeit, genau die Eigenschaften, die ein mandantenfähiges Portal bündelt. Wie sich Fernzugriff NIS2-konform aufstellen lässt, behandeln wir gesondert unter NIS2-konformer Fernzugriff.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Wir sind Ingenieure, keine Juristen; für die rechtliche Bewertung Ihres konkreten Falls ziehen Sie bitte fachkundigen Rat hinzu.

Wann sich ein eigenes Betreiberportal lohnt

Eine eigene, mandantenfähige Plattform ist die richtige Wahl, wenn Sie:

vielen Endkunden kontrollierten Zugriff auf ihre eigenen Anlagen geben wollen,
eigenes Branding und ein anbieterunabhängiges Audit-Format brauchen,
Per-Techniker- und Per-Endkunden-Gebühren vermeiden möchten,
Datenhoheit in der EU und Unabhängigkeit von einer Anbieter-Cloud benötigen,
oder Anforderungen aus IEC 62443 und NIS2 sauber und nachweisbar abbilden wollen.

Wir bauen und betreiben genau solche Plattformen: von der Architektur über die Mandanten-Isolation bis zum Betrieb. Mehr dazu auf unserer Seite zu Remote-Management-Plattformen. Wenn Sie Ihr Szenario durchsprechen möchten, buchen Sie ein unverbindliches Kennenlernen.

Sie möchten Remote Access & Fernwartung nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.

Managed Remote Access & Fernwartung →

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen

Ein mandantenfähiges (multi-tenant) Betreiberportal ist eine zentrale Plattform für Fernzugriff und Fernwartung, in der mehrere voneinander getrennte Mandanten verwaltet werden: typischerweise der Betreiber, dessen Kunden und deren Endkunden. Jeder Mandant sieht ausschließlich seine eigenen Anlagen, Nutzer und Audit-Daten. Die Trennung wird technisch erzwungen, nicht nur in der Oberfläche ausgeblendet.

Werkzeuge wie TeamViewer, IXON Cloud oder Talk2M rechnen pro Gerät, Gateway, Techniker oder Session ab und laufen in der Anbieter-Cloud mit Anbieter-Branding. Ein eigenes Betreiberportal verursacht keine Pro-Kopf- oder Pro-Endkunden-Gebühren, läuft auf eigener Infrastruktur in der EU, trägt Ihr Branding und nutzt Ihr eigenes Audit-Format. Sie skalieren neue Endkunden ohne zusätzliche Lizenzkosten.

Saubere Mandanten-Isolation wird auf Datenbank-Ebene durchgesetzt, nicht erst in der Anwendung. Jeder Datensatz trägt eine Mandanten-Zuordnung, und Abfragen sind serverseitig auf den Mandanten des angemeldeten Nutzers eingeschränkt (Defense-in-Depth). So bleibt die Trennung bestehen, selbst wenn ein einzelner Endpunkt eine Prüfung vergisst.

Ein White-Label-Portal trägt das Branding des Betreibers statt des Plattform-Herstellers. Ein OEM-Service-Portal ist der typische Anwendungsfall im Maschinen- und Anlagenbau: Der Hersteller gibt seinen Endkunden kontrollierten, auditierten Fernzugriff auf genau die Anlagen, die sie betreiben, ohne Vollzugriff auf das gesamte Netz und ohne eigene VPN-Clients beim Endkunden.

Ein eigenes Portal bündelt Identität, rollenbasierte Rechte (RBAC) und lückenlose Audit-Logs an einer Stelle. Das adressiert zentrale Forderungen der IEC 62443-3-3 (Identifikation, Zugriffssteuerung, Audit) und unterstützt die Nachweis- und Risikomanagementpflichten unter dem deutschen NIS2-Umsetzungsgesetz. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.

Nein. Genau das ist der wirtschaftliche Vorteil einer eigenen Plattform gegenüber Per-Device- oder Per-Session-Tools. Sie legen beliebig viele Mandanten, Nutzer und Anlagen an, ohne dass pro Kopf oder pro Gerät Lizenzkosten entstehen. Die Kosten liegen in Entwicklung und Betrieb, nicht in einer mit jedem Endkunden mitwachsenden Abo-Gebühr.

Bewährte Bausteine sind ein clientloses Browser-Gateway wie Apache Guacamole für HMI- und Maschinenzugriff (RDP, VNC, SSH), WireGuard für die verschlüsselte Standortanbindung, ein Identity-Provider mit SSO und MFA, ein mandantenfähiges Datenmodell mit RBAC sowie ein zentrales Audit-Log. Genau dieses Muster betreiben wir produktiv bei ABCO Water Systems und nextGYM.