DEEN
WZ-IT Logo
GrundlagenRemote Access & Fernwartung

Sichere Fernwartung von Maschinen & Anlagen

Timo WevelsiepTimo WevelsiepAktualisiert: 30.06.2026

Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.

Sichere Fernwartung von Maschinen und Anlagen bedeutet: Techniker greifen kontrolliert auf verteilte Steuerungen und HMIs zu, ohne dass die Anlage im Internet exponiert ist und ohne dass dauerhaft fremde Agenten auf der Steuerung mitlaufen. Der bewährte Aufbau besteht aus vier Bausteinen - einer verschlüsselten Standortanbindung per WireGuard, einem Browser-Gateway (Apache Guacamole) für RDP, VNC und SSH ohne Client, rollenbasierter Zugriffskontrolle (RBAC) und einem lückenlosen, manipulationssicheren Audit jeder Sitzung. Dazu kommt die saubere Trennung von OT und IT. So entsteht Fernwartung, die wartbar, prüfbar und NIS2-tauglich ist, betrieben auf eigener EU-Infrastruktur statt in einer Hersteller-Cloud.

Diese Seite ist der Einstieg in unseren Wissens-Cluster zum Fernzugriff. Sie verweist auf alle vertiefenden Artikel und zeigt, wie die Bausteine zu einer Plattform zusammenspielen.

Die vier Bausteine einer sicheren Fernwartung

1. Standortanbindung mit WireGuard. Jeder Standort baut eine ausgehende, verschlüsselte Verbindung zu einem zentralen Gateway auf. WireGuard ist ein schlankes, modernes VPN-Protokoll, das seit Linux 5.6 (2020) fest im Mainline-Kernel steckt und moderne Kryptografie (Curve25519, ChaCha20-Poly1305) nutzt. Eingehende Ports an der Anlage bleiben geschlossen, die Steuerung ist nie direkt aus dem Internet erreichbar. Details dazu im Artikel zur WireGuard-Standortanbindung sowie auf unserer WireGuard-Expertise.

2. Browser-Gateway mit Apache Guacamole. Das Gateway terminiert die Fernwartung und stellt RDP-, VNC- und SSH-Sitzungen direkt im Browser bereit - per HTML5, ohne Client, ohne Plugin, ohne installierte Software auf dem Endgerät des Technikers. Apache Guacamole ist ein quelloffenes Projekt der Apache Software Foundation (Apache License 2.0); aktuell ist Version 1.6.0 (veröffentlicht am 22. Juni 2025). Grundlagen erklären wir in Was ist Apache Guacamole und VNC im Browser. Warum das klassische VPN-Clients auf jedem Laptop ablöst, steht in Fernwartung ohne VPN-Client.

3. Rollenbasierte Zugriffskontrolle (RBAC). Nicht jeder darf alles. Über RBAC und Multifaktor-Authentifizierung wird jeder Techniker auf genau die Maschinen und Protokolle beschränkt, die er für seinen Auftrag braucht - zeitlich befristbar, pro Standort, pro Gerät. Wie das in der Praxis aussieht, beschreibt RBAC und Audit für Fernzugriff.

4. Lückenloses Audit. Jede Sitzung wird protokolliert: wer, wann, auf welche Maschine, wie lange - inklusive optionaler Session-Aufzeichnung. Das schafft Nachvollziehbarkeit gegenüber Auditoren, Versicherern und im Schadensfall. Manipulationssichere Logs sind zugleich eine zentrale NIS2-Anforderung.

OT und IT sauber trennen

Industrielle Fernwartung scheitert nicht an der Technik, sondern an fehlender Segmentierung. Die internationale Norm IEC 62443 beschreibt dafür das Zonen-und-Conduit-Modell: Maschinen und Steuerungen liegen in einer OT-Zone, die nur über klar definierte, überwachte Conduits erreichbar ist. Remote-Zugriff gilt dabei ausdrücklich als kontrollierter Pfad, nicht als Komfortfunktion - mit Deny-by-default und vollständiger Sitzungsprotokollierung.

Das Gateway sitzt genau an dieser Grenze. Es nimmt den Fernwartungs-Wunsch entgegen, prüft Identität und Rolle und lässt nur die freigegebene Verbindung in die OT-Zone zu. Ein direkter Durchgriff aus dem Office-Netz oder dem Internet auf die SPS wird dadurch ausgeschlossen. Bekannte Schwachstellen in den eingesetzten Komponenten gehören dabei systematisch überwacht - dafür sorgt unser CVE-Monitoring, und ein Security-Audit prüft die Architektur vor dem Produktivgang.

Entscheidungs-Guide: eigene Plattform, Hersteller-Router oder Consumer-Tool

Für die Fernwartung verteilter Anlagen gibt es drei grundsätzliche Wege:

Kriterium Eigene Plattform (WireGuard + Guacamole) Hersteller-Router (Ewon/Talk2M, IXON, Secomea) Consumer-Tool (TeamViewer, AnyDesk)
Hosting / Tunnel Eigene EU-Infrastruktur, selbst gehostet Cloud des Herstellers Cloud des Anbieters
Vendor-Lock-in Keiner (Open Source) Hardware + Cloud des Herstellers Anbieter-Abo
RBAC / MFA Frei und feingranular Vorgegeben, oft ausreichend Begrenzt
Audit pro Sitzung Lückenlos, manipulationssicher Herstellerabhängig Eingeschränkt
OT/IT-Trennung Frei nach IEC 62443 Geräteorientiert Kaum vorgesehen
Agent auf der Steuerung Keiner nötig Hardware-Router am Schaltschrank Dauerhafter Software-Agent
Skalierung über Standorte Mandantenfähig, zentral Pro Gerät / pro Verbindung Pro Lizenz

Hersteller-Router (Ewon mit der Talk2M-Cloud, IXON, Secomea) sind schnell installiert und für einzelne Maschinen praktisch. Sie binden Sie aber an die Hardware und die Cloud-Plattform des Herstellers. Consumer-Tools wie TeamViewer oder AnyDesk sind für Büro-Support gedacht: Sie installieren einen dauerhaften Agenten auf der Steuerung, leiten Sitzungen über die Cloud des Anbieters und bieten weder die feingranulare RBAC noch das manipulationssichere Audit, das OT-Umgebungen brauchen.

Eine eigene Plattform kostet anfangs mehr Planung, zahlt sich aber bei mehreren Standorten, bei NIS2-Pflichten und überall dort aus, wo Souveränität und Nachweisbarkeit zählen. Wer ein mandantenfähiges Betreiberportal für viele Kunden oder Standorte braucht, findet die Details unter Multi-Tenant-Betreiberportal.

Souveränität: kein fremder Cloud-Tunnel zur Anlage

Bei vendor-gebundenen Lösungen läuft der Fernwartungs-Tunnel über die Cloud eines Dritten - mit dessen Verfügbarkeit, dessen Sicherheitslage und dessen Geschäftsmodell als Abhängigkeit. Eine souveräne Plattform dreht das um: Der Tunnel zur Anlage endet auf eigener EU-Infrastruktur, der Stack ist Open Source (WireGuard unter GPLv2, Guacamole unter Apache 2.0), und es gibt keinen Pfad, der zwingend über einen externen SaaS-Anbieter läuft. Wer die Anbindung selbst orchestrieren will, kann statt klassischem WireGuard auch auf Overlay-Lösungen wie NetBird oder Headscale setzen - beide Open Source, beide selbst hostbar.

NIS2 und die rechtliche Seite

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist in Deutschland am 6. Dezember 2025 in Kraft getreten und setzt die EU-Richtlinie (EU) 2022/2555 um. Es betrifft rund 29.500 Unternehmen in 18 Sektoren und verlangt unter anderem Risikomanagement, Zugriffskontrolle, Multifaktor-Authentifizierung, Protokollierung und Meldewege für erhebliche Sicherheitsvorfälle (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat). Verstöße können mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden; die Geschäftsleitung kann persönlich haften.

Für die Fernwartung sind die vier Bausteine oben damit nicht nur Best Practice, sondern decken zentrale NIS2-Erwartungen ab: verschlüsselte Verbindungen, RBAC mit MFA und lückenloses Audit. Wie Sie den Fernzugriff konkret NIS2-konform aufstellen, vertieft der Artikel NIS2-konformer Fernzugriff. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Wir sind Ingenieure, keine Juristen - die rechtliche Einordnung im Einzelfall gehört in fachkundige Hände.

So setzt WZ-IT das in der Praxis um

Wir bauen souveräne Fernwartungs- und Remote-Management-Plattformen, die genau diese Bausteine kombinieren - im Produktivbetrieb erprobt. Für ABCO Water Systems in Australien betreiben wir den sicheren Fernzugriff auf verteilte Wasseraufbereitungsanlagen samt HMI-Bedienung im Browser (Case Study ABCO Water Systems). Für die nextGYM GmbH haben wir das Remote-Management einer verteilten IoT-Flotte umgesetzt (Case Study nextGYM). Den durchgängigen Betrieb solcher Plattformen beschreibt unser Bereich Managed Operations.

Wenn Sie die sichere Fernwartung Ihrer Maschinen und Anlagen aufbauen oder ablösen wollen, ist unsere Remote-Management-Plattform der direkte Einstieg. Gern besprechen wir Ihren Fall in einem unverbindlichen Kennenlernen.

Verwandte Artikel im Cluster

Sie möchten Remote Access & Fernwartung nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.

Managed Remote Access & Fernwartung

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen

Die Maschine wird nicht ins Internet gestellt. Stattdessen baut ein WireGuard-Tunnel vom Standort eine ausgehende, verschlüsselte Verbindung zu einem zentralen Gateway auf. Der Techniker erreicht Steuerung oder HMI nur über dieses Gateway, meldet sich dort an und wird per RBAC auf genau die freigegebenen Geräte beschränkt. Eingehende Ports an der Anlage bleiben geschlossen.

Vier Kernbausteine: eine verschlüsselte Standortanbindung (WireGuard), ein Browser-Gateway wie Apache Guacamole für RDP/VNC/SSH ohne Client, rollenbasierte Zugriffskontrolle (RBAC) mit Multifaktor-Authentifizierung und ein lückenloses, manipulationssicheres Audit jeder Sitzung. Dazu kommt die Trennung von OT und IT in Zonen und Conduits.

Hardware-Router von Ewon (Talk2M), IXON oder Secomea sind schnell installiert, binden Sie aber an die Hardware und die Cloud des Herstellers. Eine eigene Plattform auf Open-Source-Basis (WireGuard, Guacamole) läuft auf Ihrer EU-Infrastruktur, kennt keinen Vendor-Lock-in und lässt RBAC, Audit und OT/IT-Trennung frei gestalten. Für mehrere Standorte und NIS2-Anforderungen ist das meist die nachhaltigere Wahl.

Für Büro-Support ja, für industrielle Anlagen nur eingeschränkt. Diese Tools installieren einen dauerhaften Agenten auf der Steuerung, leiten Sitzungen über die Cloud des Anbieters und bieten kaum feingranulare RBAC oder manipulationssicheres Audit pro Sitzung. Für OT-Umgebungen, Souveränität und NIS2 fehlt die nötige Kontroll- und Nachweistiefe.

Das deutsche NIS2-Umsetzungsgesetz (in Kraft seit 6. Dezember 2025) verlangt von betroffenen Unternehmen Risikomanagement, Zugriffskontrolle, Multifaktor-Authentifizierung und Protokollierung. Für die Fernwartung heißt das: verschlüsselte Verbindungen, RBAC, lückenloses Audit und Meldewege für Sicherheitsvorfälle. Dies ist allgemeine Information und keine Rechtsberatung.

Nach dem Zonen-und-Conduit-Modell der IEC 62443: Maschinen liegen in einer OT-Zone, die nur über klar definierte, überwachte Conduits erreichbar ist. Das Gateway terminiert die Fernwartung an dieser Grenze, setzt Deny-by-default durch und protokolliert die gesamte Sitzung. Direkter Durchgriff aus dem Office-Netz oder dem Internet auf die Steuerung wird so verhindert.

Die Software-Bausteine (WireGuard, Apache Guacamole) sind Open Source und lizenzkostenfrei. Kosten entstehen für EU-Hosting, Einrichtung, Standort-Hardware (z. B. kleine Industrie-Gateways) und Betrieb. Gegenüber pro-Gerät- oder pro-Verbindung-Abos der Hersteller-Clouds rechnet sich eine eigene Plattform meist ab wenigen Standorten.

Mehr zu Remote Access & Fernwartung

Alle Remote Access & Fernwartung-Artikel

Lassen Sie uns über Ihre Idee sprechen

Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.

E-Mail
[email protected]

Führende Unternehmen vertrauen WZ-IT

  • Rekorder
  • Keymate
  • Führerscheinmacher
  • SolidProof
  • ARGE
  • Boese VA
  • NextGym
  • Maho Management
  • Golem.de
  • Millenium
  • Paritel
  • Yonju
  • EVADXB
  • Mr. Clipart
  • Aphy
  • Negosh
  • ABCO Water Systems
Timo Wevelsiep & Robin Zins - CEOs of WZ-IT

Timo Wevelsiep & Robin Zins

Geschäftsführer

1/3 - Themenauswahl33%

Worum geht es bei Ihrer Anfrage?

Wählen Sie einen oder mehrere Bereiche, bei denen wir Sie unterstützen dürfen.