S7-/SPS-Fernzugriff ohne offene Ports
Timo Wevelsiep•Aktualisiert: 30.06.2026Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.
Siemens-S7-Anlagen sicher fernwarten? WZ-IT baut souveräne Remote-Management-Plattformen - SPS und HMI im Browser erreichbar, ohne einen einzigen offenen Port an der Anlage.
S7-/SPS-Fernzugriff ohne offene Ports funktioniert, indem die Steuerung niemals selbst ins Internet exponiert wird. Statt am Anlagen-Router einen Port freizugeben, baut der Standort einen ausgehenden WireGuard-Tunnel zu einem zentralen Gateway auf - kein eingehender Port, keine Portweiterleitung. Der Servicetechniker erreicht HMI und Steuerung nur über dieses Gateway: das HMI clientlos im Browser (Apache Guacamole/VNC), den TIA-Portal-Zugriff über denselben verschlüsselten Tunnel. So ersetzen Sie Hardware-Router wie Ewon, IXON oder Secomea durch eine souveräne, self-hosted und herstellerunabhängige Plattform.
Das Problem: SPS und HMI gehören nicht ins Internet
Eine SPS ist kein gehärteter Webserver. Die Siemens-S7-Kommunikation (S7comm bzw. S7commPlus) läuft über ISO-on-TCP nach RFC 1006 auf TCP-Port 102; STEP 7, das TIA Portal und WinCC sprechen die Steuerung über genau diesen Port an (S7comm, Wireshark-Wiki). Wer diesen Port per Portweiterleitung ins Internet stellt, macht die Steuerung weltweit erreichbar - und automatisierte Scan-Dienste finden solche Hosts in Minuten.
Genau davor warnen Hersteller und Behörden konsequent. CISA empfiehlt in jeder ICS-Advisory, die Netzwerk-Exposition von Steuerungen zu minimieren, sie nicht aus dem Internet erreichbar zu machen und hinter Firewalls von den Büronetzen zu trennen (CISA-Advisory Siemens SIMATIC, 2026). Auch HMIs sind betroffen: Das eingebaute VNC (Remote Framebuffer, RFC 6143) ist im Auslieferungszustand unverschlüsselt und gehört nie direkt ins Netz. Ein offener Port 102 oder 5900 ist damit kein Komfort, sondern ein Einfallstor.
Die Lösung: ausgehender WireGuard-Tunnel statt Portfreigabe
Der Schlüssel ist die Richtung des Verbindungsaufbaus. Bei einem ausgehenden Tunnel initiiert der Standort die Verbindung - nicht das Internet die Verbindung zum Standort. WireGuard ist dafür ideal: ein schlankes, modernes VPN-Protokoll, seit Linux 5.6 (2020) fest im Mainline-Kernel, mit fester moderner Kryptografie (Curve25519, ChaCha20-Poly1305) und ausschließlich über UDP.
So bleibt am Anlagen-Router kein eingehender Port offen:
- Der Standort baut den Tunnel aktiv nach außen zu einem zentralen Konzentrator auf.
PersistentKeepalivehält die Verbindung durch NAT und Firewall hindurch offen.- Nur der zentrale Konzentrator braucht einen erreichbaren UDP-Endpunkt - die Anlage selbst nicht.
- Die Angriffsfläche aus dem Internet auf die Steuerung ist damit null.
Wie Sie eine Anlage Schritt für Schritt outbound-only anbinden, zeigt der Artikel zur WireGuard-Standortanbindung. Der Tunnel ist die Transportschicht; alles Weitere - HMI-Bild, Engineering-Zugriff - läuft darin verschlüsselt.
HMI im Browser: Guacamole und VNC ohne Client
Über den Tunnel erreicht der Techniker das HMI, ohne lokal Software zu installieren. Ein clientloses Gateway wie Apache Guacamole (Version 1.6.0, veröffentlicht am 22.06.2025, Apache License 2.0) baut die VNC-Sitzung serverseitig auf und rendert das Panel-Bild per HTML5 (Canvas und WebSockets) in einem normalen Browser-Tab. Siemens Comfort Panels stellen über den integrierten Sm@rtServer einen VNC-Server auf Port 5900 bereit; Bediengeräte von B&R und Beckhoff sowie SCADA-Software bringen VNC ebenfalls mit.
Der Ablauf: Techniker meldet sich am Guacamole-Portal an (TLS, MFA), wählt die Maschine, Guacamole baut die VNC-Sitzung über den WireGuard-Tunnel auf Port 5900 auf. Das Panel-Bild landet als Stream im Browser, Eingaben gehen denselben Weg zurück - und jede Sitzung lässt sich aufzeichnen und im Browser abspielen. Details dazu im Artikel VNC im Browser.
TIA-Portal- und Engineering-Zugriff über den Tunnel
Reine Sicht aufs HMI reicht für Bedienung und Diagnose. Für echtes Engineering - Bausteine laden, Online-Diagnose, Force-Tabellen - braucht das TIA Portal Zugriff auf Port 102 der SPS. Über den Tunnel gibt es zwei saubere Wege:
- Engineering-VM am Standort (empfohlen): Eine Windows-VM mit TIA Portal liegt nahe der Anlage im OT-Segment. Der Techniker bedient sie per RDP clientlos über Guacamole. Der S7-Verkehr (Port 102) verlässt das lokale OT-Netz nie - über den Tunnel reist nur das RDP-Bild. Das ist auditierbar, latenzarm und entkoppelt die Engineering-Version von der Hardware des Technikers.
- Geroutetes Workstation-Subnetz: Über
AllowedIPswird das OT-Subnetz in den Tunnel geroutet, sodass das TIA Portal auf dem Technik-Laptop die SPS direkt auf Port 102 erreicht. Flexibel, aber das Engineering-Werkzeug läuft dann außerhalb der kontrollierten Zone.
In beiden Fällen gilt: Port 102 bleibt im internen OT-Segment, der Zugriff ist authentifiziert, rollenbasiert und protokolliert. Das passt zum Zonen-und-Conduit-Modell der IEC 62443, das Fernzugriff als kontrollierten Conduit mit VPN und MFA vorsieht - nicht als offenen Durchgriff.
Ewon, IXON, Secomea - und die souveräne Alternative
Hardware-Router wie Ewon (mit der Talk2M-Cloud), IXON oder Secomea lösen dasselbe Grundproblem mit einem ausgehenden Tunnel - allerdings in die Cloud des Herstellers und gebunden an dessen Hardware. Für eine einzelne Maschine ist das schnell installiert. Über mehrere Standorte, mit eigenen Audit- und Souveränitätsanforderungen, wird die Abhängigkeit zum Problem.
| Kriterium | Self-hosted (WireGuard + Guacamole) | Hardware-Router (Ewon/Talk2M, IXON, Secomea) |
|---|---|---|
| Tunnel-Endpunkt | Eigene EU-Infrastruktur | Cloud des Herstellers |
| Vendor-Lock-in | Keiner (Open Source) | Hardware + Cloud des Herstellers |
| Offener Inbound-Port | Keiner (outbound-only) | Keiner (outbound-only) |
| HMI im Browser | Ja, clientlos (HTML5) | Teils App/Client nötig |
| TIA-Portal-Zugriff | Über Tunnel, Port 102 intern | Über Cloud-Tunnel |
| RBAC / Audit | Frei, feingranular, lückenlos | Vorgegeben, herstellerabhängig |
| Skalierung über Standorte | Mandantenfähig, zentral | Pro Gerät / pro Verbindung |
| Datenhoheit | Vollständig bei Ihnen | Beim Cloud-Anbieter |
Die souveräne Alternative dreht die Abhängigkeit um: WireGuard und Guacamole sind Open Source, der Tunnel zur Anlage endet auf Ihrer eigenen EU-Infrastruktur, und es gibt keinen Pfad, der zwingend über einen externen SaaS-Anbieter läuft. Die Bausteine und das Zusammenspiel zu einer Plattform beschreibt der Überblick Sichere Fernwartung von Maschinen und Anlagen.
Rechtlicher Rahmen: NIS2 und IEC 62443
Sicherer, protokollierter Fernzugriff ist für viele Betreiber inzwischen auch regulatorisch relevant. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist am 06.12.2025 in Kraft getreten und verlangt unter anderem Risikomanagement, Zugriffskontrolle, MFA und Protokollierung; die ursprüngliche BSI-Registrierungsfrist (06.03.2026) wurde wegen geringer Registrierungszahlen bis zum 31.07.2026 verlängert. Die IEC 62443 liefert den technischen Rahmen mit ihrem Zonen-und-Conduit-Modell und der Forderung, Remote-Zugriff über kontrollierte Conduits zu führen.
Der hier beschriebene Aufbau - kein offener Port, verschlüsselter Tunnel, Browser-Gateway mit RBAC und Audit - deckt diese Erwartungen technisch ab. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Wir sind Ingenieure, keine Juristen - die rechtliche Einordnung im Einzelfall gehört in fachkundige Hände.
So setzt WZ-IT das in der Praxis um
Wir bauen souveräne Remote-Management-Plattformen, bei denen SPS- und HMI-Zugriffe gebündelt über ein Browser-Portal laufen: WireGuard verbindet die Standorte ausgehend, Guacamole stellt VNC und RDP über TLS bereit, jede Sitzung ist rollenbasiert berechtigt und protokolliert. Für ABCO Water Systems in Australien betreiben wir genau so den Fernzugriff auf verteilte Wasseraufbereitungsanlagen samt HMI-Bedienung im Browser - ohne Einzel-VPN-Clients, ohne offene Ports an den Anlagen, mit zentralem Audit-Trail.
Möchten Sie Ihren S7-/SPS-Fernzugriff ohne offene Ports aufstellen oder einen Hardware-Router ablösen? Lernen Sie uns kennen.
Verwandte Artikel im Cluster
Sie möchten Remote Access & Fernwartung nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.
Häufig gestellte Fragen
Antworten auf die wichtigsten Fragen
Indem die SPS nie selbst ins Internet exponiert wird. Der Standort baut einen ausgehenden WireGuard-Tunnel zu einem zentralen Gateway auf - es ist keine Portweiterleitung und kein eingehender Port am Anlagen-Router nötig. Der Techniker erreicht Steuerung und HMI ausschließlich über dieses Gateway, per RBAC auf die freigegebenen Geräte beschränkt.
Die S7-Kommunikation (S7comm/S7commPlus) läuft über ISO-on-TCP (RFC 1006) auf TCP-Port 102. STEP 7, das TIA Portal und WinCC sprechen die SPS über genau diesen Port an. Port 102 darf niemals direkt aus dem Internet erreichbar sein - er gehört ins interne OT-Segment hinter den Tunnel.
Ja. Das TIA Portal erreicht die SPS über Port 102, als läge sie im lokalen Netz. In der Praxis läuft das TIA Portal auf einer Engineering-VM nahe der Anlage, die der Techniker per RDP im Browser (Guacamole) bedient - so verlässt der S7-Verkehr das OT-Segment nie. Alternativ wird das Workstation-Subnetz über AllowedIPs in den Tunnel geroutet.
Über ein clientloses Gateway wie Apache Guacamole. Es baut die VNC-Sitzung zum HMI (z. B. Siemens Comfort Panel über den Sm@rtServer auf Port 5900) serverseitig auf und rendert das Panel-Bild per HTML5 in einem normalen Browser-Tab. Auf dem Endgerät ist nur ein aktueller Browser nötig.
Eine self-hosted Plattform aus WireGuard und Apache Guacamole. Sie läuft auf eigener EU-Infrastruktur, kennt keinen Vendor-Lock-in und ist herstellerunabhängig - der Tunnel zur Anlage endet nicht in der Cloud eines Dritten. Hardware-Router von Ewon (Talk2M), IXON oder Secomea sind schnell installiert, binden Sie aber an deren Hardware und Cloud.
Ja. Eine Portfreigabe macht die SPS aus dem Internet erreichbar - automatisierte Scanner finden solche Hosts in Minuten. Ein ausgehender WireGuard-Tunnel öffnet keinen eingehenden Port am Standort; die Anlage initiiert die Verbindung selbst. Die Angriffsfläche aus dem Internet ist null, der Zugriff läuft nur über ein authentifiziertes, protokolliertes Gateway.
Er deckt zentrale Erwartungen ab: verschlüsselte Verbindung, kein direkter Internet-Durchgriff, RBAC mit MFA und lückenloses Audit. Das entspricht dem Zonen-und-Conduit-Modell der IEC 62443 und den Erwartungen des NIS2-Umsetzungsgesetzes. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.
Mehr zu Remote Access & Fernwartung
- Was ist Apache Guacamole?
- VNC im Browser: HMI-Fernzugriff
- Fernwartung ohne VPN-Client
- Self-hosted TeamViewer-Alternative (RustDesk)
- NIS2-konformer Fernzugriff
- RBAC & Audit für Fernzugriff
- Was ist ZTNA? (Zero Trust Network Access)
- IEC 62443 für den Fernzugriff auf OT
- SSO & MFA für das Fernzugriffs-Portal
- Privileged Access Management & Session-Recording
- Fernwartung & DSGVO (Auftragsverarbeitung, AV-Vertrag)
- WireGuard zur Standortanbindung
- Was ist NetBird? (Zero-Trust Mesh-VPN)
- Was ist Headscale?
- Interne Dienste ohne VPN veröffentlichen
- Multi-Tenant-Betreiberportal für Anlagen
- OT/IT-Segmentierung, DMZ & Purdue-Modell
- SSH-Bastion / Jump-Host
- Siemens-S7-/SPS-Fernzugriff ohne offene Ports
- NetBird vs Tailscale vs WireGuard
- OpenVPN vs WireGuard
- Sichere Fernwartung von Maschinen & Anlagen
