OT/IT-Segmentierung, DMZ und Purdue-Modell für die Fernwartung
Timo Wevelsiep•Aktualisiert: 30.06.2026Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.
OT/IT-Segmentierung für die Fernwartung heißt: Das Steuerungsnetz (Operational Technology) wird konsequent vom Büro-IT-Netz und vom Internet getrennt, und der Fernzugriff läuft ausschließlich über einen eigenen Übergaberaum - eine Fernwartungs-DMZ. Dort sitzen der WireGuard-Endpunkt, ein Browser-Gateway und ein Jump-Host. Sie nehmen die Verbindung von außen entgegen, prüfen Identität und Rolle und öffnen nur einen klar definierten Pfad in die Anlage. Es gibt keinen durchgehenden Draht vom Internet bis zur SPS. Strukturiert wird das mit zwei etablierten Konzepten: dem Purdue-Modell als Ebenen-Landkarte und den Zonen und Conduits der Norm IEC 62443.
Das Purdue-Modell: OT in Ebenen denken
Das Purdue Enterprise Reference Architecture (PERA), kurz Purdue-Modell, wurde in den 1990er-Jahren an der Purdue University entwickelt und ist bis heute die Referenz für die Segmentierung von Industrienetzen. Es ordnet alle Systeme in Ebenen von der Prozessebene bis zum Konzernnetz. Die Ebenen 0 bis 3 sind die OT-Seite (die physische Anlage und ihre Steuerung), die Ebenen 4 und 5 sind die IT-Seite (Geschäftssysteme und Internet). Dazwischen liegt die entscheidende Pufferzone: Level 3.5, die industrielle DMZ.
| Ebene | Bezeichnung | Typische Systeme | Seite |
|---|---|---|---|
| 5 | Konzern-/Unternehmensnetz | ERP-Konzern, Internet | IT |
| 4 | Standort-IT / Business | ERP, E-Mail, Logistik | IT |
| 3.5 | Industrielle DMZ | Jump-Host, Broker, Patch-/AV-Server, Historian-Replikat | Grenze |
| 3 | Leit-/Betriebsebene | MES, Historian, Engineering-Workstation | OT |
| 2 | Bereichsleitebene | SCADA, HMI | OT |
| 1 | Steuerungsebene | SPS, RTU, IED | OT |
| 0 | Prozessebene | Sensoren, Aktoren, Feldgeräte | OT |
Die Fernwartung passt nicht von Natur aus in diese starre Hierarchie: Ein externer Techniker, der an eine SPS auf Level 1 soll, kommt von ganz außen. Genau deshalb ist die Fernwartung der häufigste Grund, warum Conduits zu durchlässig werden. Die saubere Antwort ist, den Fernzugriff nicht durchzuschleifen, sondern ihn in Level 3.5 zu terminieren.
Warum OT vom IT und Internet getrennt gehört
OT-Systeme haben andere Spielregeln als Büro-IT. SPSen laufen oft jahrelang ohne Patch, sprechen ungesicherte Feldprotokolle und sind auf Verfügbarkeit und Echtzeit optimiert, nicht auf Härtung. Ein Angreifer, der vom Office-Netz oder über einen gekaperten Fernwartungszugang direkt auf Level 1 durchgreift, kann Prozesse stören, Sicherheitsfunktionen aushebeln oder Anlagen beschädigen. Die Trennung begrenzt den Schaden: Fällt eine Zone, springt er nicht automatisch in die nächste über. Wie das in der Praxis für Maschinen und Anlagen zusammenspielt, vertieft unser Überblick zur sicheren Fernwartung von Maschinen und Anlagen.
Die Fernwartungs-DMZ: ein Pfad, kein Durchgriff
Die Fernwartungs-DMZ (Level 3.5) ist der einzige Ort, an dem externer Zugriff terminiert. Hier liegen drei Komponenten: der WireGuard-Endpunkt als verschlüsselter Eingang, das Browser-Gateway (Apache Guacamole) für RDP, VNC und SSH ohne Client und ein SSH-Jump-Host (Bastion) für administrative Zugriffe auf Server und Engineering-Systeme. Identität (SSO/MFA), Rollenmodell (RBAC) und das lückenlose Audit hängen ebenfalls hier.
Internet / Techniker
|
| (1) WireGuard-Conduit - ausgehend vom Standort initiiert
v
+--------------------------------------+
| Level 3.5 - Fernwartungs-DMZ |
| - WireGuard-Endpunkt (Conduit) |
| - Guacamole Browser-Gateway |
| - SSH-Bastion / Jump-Host |
| - SSO/MFA + RBAC + Audit |
+--------------------------------------+
| (2) genau ein Conduit - Deny-by-default, gefiltert
v
+--------------------------------------+
| Level 3 Leitebene (MES, EWS) |
+--------------------------------------+
| (3) gefilterter Conduit
v
+--------------------------------------+
| Level 2 SCADA / HMI |
| Level 1 SPS / PLC / RTU |
| Level 0 Sensorik / Aktorik |
+--------------------------------------+
Das deutsche BSI empfiehlt diese Bauform ausdrücklich. Im IT-Grundschutz-Baustein IND.3.2 "Fernwartung im industriellen Umfeld" (sowie OPS.1.2.5) steht, dass das Fernwartungssystem als Sprungserver bzw. Application Layer Gateway in einem eigenen Sicherheitssegment - einer DMZ - betrieben werden soll, durch Firewalls von allen anderen Netzen getrennt, jede Sitzung vorab durch einen Verantwortlichen freigegeben und zeitlich befristet. Genau dafür ist der Jump-Host gedacht; Aufbau und Härtung beschreibt unser Artikel zum SSH-Bastion- und Jump-Host.
Zonen und Conduits nach IEC 62443
Während das Purdue-Modell die Landkarte liefert, formalisiert die internationale Norm IEC 62443 die Umsetzung. Sie gruppiert Assets mit gleichen Sicherheitsanforderungen in Zonen; jede erlaubte Kommunikation zwischen zwei Zonen läuft über einen Conduit - einen definierten, kontrollierten Kanal mit eigenen Anforderungen. IEC 62443-3-2 beschreibt die Risikobewertung und die Aufteilung in Zonen und Conduits und legt je Zone ein Ziel-Sicherheitslevel fest (SL-T von 0 bis 4). IEC 62443-3-3 liefert die zugehörigen technischen Systemanforderungen, geordnet nach sieben Foundational Requirements - darunter Identifikations- und Authentisierungskontrolle (FR 1), Nutzungskontrolle (FR 2) und der eingeschränkte Datenfluss (FR 5), der die Zonen-und-Conduit-Logik trägt.
Auf die Fernwartung übertragen: Die OT-Anlage ist eine Zone mit hohem Ziel-Level. Der Weg dorthin ist genau ein Conduit, der in der DMZ terminiert, authentisiert, filtert und protokolliert. Der WireGuard-Tunnel ist dabei selbst ein Conduit von außen in die DMZ - nicht in die OT-Zone. Die normgerechte Vertiefung samt Mapping auf konkrete Maßnahmen liefert unser Artikel IEC 62443 für den OT-Fernzugriff.
Wo WireGuard und das Gateway genau sitzen
Der WireGuard-Tunnel wird ausgehend vom Standort zur DMZ aufgebaut. Das ist der wichtigste Punkt: An der Anlage müssen keine eingehenden Ports geöffnet und keine Geräte ins Internet gestellt werden. WireGuard nutzt moderne Kryptografie (Curve25519, ChaCha20-Poly1305) und steckt seit Linux 5.6 fest im Mainline-Kernel. Aufbau und Topologie beschreibt die WireGuard-Standortanbindung; Hintergrund und Betrieb auf unserer WireGuard-Expertise.
Hinter dem Tunnel, ebenfalls in der DMZ, sitzt das Browser-Gateway. Es nimmt die authentisierte Anfrage entgegen und öffnet erst dann - per RBAC begrenzt - die konkrete RDP-, VNC- oder SSH-Sitzung zum freigegebenen Gerät. Der Techniker arbeitet im Browser, ohne VPN-Client auf seinem Laptop. So bleibt der einzige Pfad in die OT-Zone unter vollständiger Kontrolle und Protokollierung.
Kein direkter Durchgriff: Deny-by-default
Das tragende Prinzip ist Deny-by-default: Standardmäßig ist keine Verbindung erlaubt. Freigeschaltet wird nur, was eine Rolle für einen Auftrag braucht - zeitlich befristbar, pro Standort, pro Gerät, pro Protokoll. Ein direkter Durchgriff vom Internet oder aus dem Office-Netz auf die SPS existiert nicht, weil die Architektur ihn gar nicht vorsieht. Bekannte Schwachstellen der eingesetzten Komponenten gehören dabei überwacht (unser CVE-Monitoring), und ein Security-Audit prüft die Segmentierung vor dem Produktivgang.
Normen, Recht und Praxis
IEC 62443 und der BSI-Baustein IND.3.2 sind die fachlichen Leitplanken; rechtlich kommt für viele Betreiber die NIS2-Pflicht hinzu, in Deutschland umgesetzt durch das seit 6. Dezember 2025 geltende NIS2-Umsetzungsgesetz. Es verlangt unter anderem Risikomanagement, Zugriffskontrolle, MFA und Protokollierung - eine segmentierte Fernwartungs-DMZ zahlt direkt darauf ein. Den Fernzugriff NIS2-konform aufzustellen, vertieft NIS2-konformer Fernzugriff. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Wir sind Ingenieure, keine Juristen.
So setzt WZ-IT das um
Wir bauen souveräne Fernwartungs-Plattformen genau nach diesem Muster: Segmentierung nach Purdue, Zonen und Conduits nach IEC 62443, eine Fernwartungs-DMZ mit WireGuard-Conduit, Guacamole-Gateway und Jump-Host, dazu SSO/MFA, RBAC und lückenloses Audit - betrieben auf eigener EU-Infrastruktur. Für ABCO Water Systems in Australien betreiben wir so den Fernzugriff auf verteilte Wasseraufbereitungsanlagen (Case Study ABCO Water).
Wenn Sie OT und IT für die Fernwartung sauber trennen oder eine bestehende Lösung ablösen wollen, ist unsere Remote-Management-Plattform der direkte Einstieg. Gern besprechen wir Ihren Fall in einem unverbindlichen Kennenlernen.
Verwandte Artikel im Cluster
Sie möchten Remote Access & Fernwartung nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.
Häufig gestellte Fragen
Antworten auf die wichtigsten Fragen
OT/IT-Segmentierung trennt das Steuerungsnetz (Operational Technology - SPS, SCADA, HMI) vom Büro-IT-Netz und vom Internet. Bei der Fernwartung heißt das: Der Techniker landet nie direkt im OT-Netz, sondern an einem Übergabepunkt in einer eigenen Fernwartungs-DMZ. Von dort führt nur ein klar definierter, überwachter Pfad weiter in die Anlage - alles andere ist per Voreinstellung blockiert.
Das Purdue-Modell (PERA) gliedert Industrienetze in Ebenen 0 bis 5 - von Sensorik und SPS (0-1) über SCADA/HMI (2) und die Leitebene (3) bis zur Standort-IT (4) und dem Konzernnetz (5). Level 3.5 ist die industrielle DMZ zwischen OT (0-3) und IT (4-5). Sie ist der Pufferraum, in dem Datenbroker, Historian-Replikate und eben der Fernwartungs-Zugang liegen, ohne dass IT und OT direkt miteinander sprechen.
Ein Jump-Host (Sprungserver) in der Fernwartungs-DMZ bricht die Verbindung bewusst auf: extern terminiert er die Fernwartung, intern öffnet er nur die freigegebene Sitzung zur Anlage. So gibt es keinen durchgehenden Pfad vom Internet bis zur SPS. Das deutsche BSI empfiehlt im IT-Grundschutz-Baustein IND.3.2 genau dies - Fernwartungs-Gateway bzw. Sprungserver in einem eigenen DMZ-Segment, durch Firewalls von allen anderen Netzen getrennt.
Die Norm IEC 62443 gruppiert Anlagen mit gleichen Sicherheitsanforderungen in Zonen. Jede erlaubte Kommunikation zwischen zwei Zonen läuft über einen Conduit - einen definierten, kontrollierten Kanal mit eigenen Sicherheitsanforderungen. IEC 62443-3-2 beschreibt die Risikobewertung und Aufteilung in Zonen und Conduits (Ziel-Sicherheitslevel SL-T 0 bis 4); IEC 62443-3-3 liefert die technischen Systemanforderungen dazu.
Beide sitzen in der Fernwartungs-DMZ (Level 3.5). WireGuard bildet den verschlüsselten Conduit von außen: Der Tunnel wird vom Standort ausgehend aufgebaut, eingehende Ports an der Anlage bleiben zu. Das Browser-Gateway (Apache Guacamole) terminiert RDP, VNC und SSH und liefert die Sitzung clientlos im Browser. Erst dahinter, über einen gefilterten Conduit, geht es kontrolliert in die OT-Zone.
Nein. Deny-by-default ist das Leitprinzip: Standardmäßig ist nichts erlaubt. Der Techniker authentifiziert sich am Gateway (SSO/MFA), wird per RBAC auf genau die freigegebenen Geräte und Protokolle beschränkt, und die Sitzung wird vollständig protokolliert. Ein direkter Durchgriff aus dem Office-Netz oder dem Internet auf die SPS ist architektonisch ausgeschlossen.
Mehr zu Remote Access & Fernwartung
- Was ist Apache Guacamole?
- VNC im Browser: HMI-Fernzugriff
- Fernwartung ohne VPN-Client
- Self-hosted TeamViewer-Alternative (RustDesk)
- NIS2-konformer Fernzugriff
- RBAC & Audit für Fernzugriff
- Was ist ZTNA? (Zero Trust Network Access)
- IEC 62443 für den Fernzugriff auf OT
- SSO & MFA für das Fernzugriffs-Portal
- Privileged Access Management & Session-Recording
- Fernwartung & DSGVO (Auftragsverarbeitung, AV-Vertrag)
- WireGuard zur Standortanbindung
- Was ist NetBird? (Zero-Trust Mesh-VPN)
- Was ist Headscale?
- Interne Dienste ohne VPN veröffentlichen
- Multi-Tenant-Betreiberportal für Anlagen
- OT/IT-Segmentierung, DMZ & Purdue-Modell
- SSH-Bastion / Jump-Host
- Siemens-S7-/SPS-Fernzugriff ohne offene Ports
- NetBird vs Tailscale vs WireGuard
- OpenVPN vs WireGuard
- Sichere Fernwartung von Maschinen & Anlagen
