VNC im Browser: HMI-Fernzugriff ohne Client

Sichere Fernwartung verteilter Maschinen und Anlagen? WZ-IT baut souveräne Remote-Management-Plattformen - zentraler, auditierbarer Browser-Zugriff statt VPN-Client auf jedem Laptop.

VNC im Browser heißt: Sie sehen und bedienen das Bild einer entfernten HMI oder eines Bediengeräts direkt in einem normalen Browser-Tab - ohne lokal installierten VNC-Viewer. Technisch überträgt VNC über das RFB-Protokoll nur Pixel-Rechtecke des Bildschirms; ein Gateway wie Apache Guacamole wandelt diesen Strom in HTML5 um. Weil VNC im Auslieferungszustand unverschlüsselt ist, gehört der Zugriff niemals direkt ins Internet, sondern hinter einen getunnelten, auditierbaren Zugang: WireGuard-Standortanbindung plus Guacamole über TLS.

Was ist VNC? RFB-Protokoll und Pixel-Übertragung

VNC (Virtual Network Computing) basiert auf dem RFB-Protokoll ("Remote Framebuffer"), standardisiert als RFC 6143. Das Anzeigemodell ist bewusst simpel: Die einzige Grafik-Primitive lautet "setze ein Rechteck aus Pixeldaten an Position x,y". Eine Folge solcher Rechtecke ergibt ein Framebuffer-Update. Der Server hält den Bildschirmzustand, der Client (Viewer) fordert Updates an und schickt Maus- und Tastatureingaben zurück.

Standardmäßig lauscht ein VNC-Server auf TCP-Port 5900; bei mehreren Displays auf 5900+N (Display :1 = 5901 usw.), analog zu X11 auf 6000+N. Weil RFB nur Pixel überträgt und nichts über die Anwendungen dahinter weiß, ist es protokollunabhängig vom Betriebssystem. Genau deshalb läuft VNC auf Windows-PCs, Linux-Servern und eingebetteten HMI-Panels gleichermaßen - ein wichtiger Grund für seine Verbreitung in der Industrie.

VNC im Browser: Apache Guacamole als clientloses Gateway

Apache Guacamole ist ein quelloffenes, clientloses Remote-Desktop-Gateway. Die aktuelle Version 1.6.0 (veröffentlicht am 22.06.2025) übersetzt VNC, RDP und SSH in das Guacamole-Protokoll, das der Browser per HTML5 Canvas und WebSockets rendert. Auf dem Endgerät läuft also nur der Browser - kein VNC-Viewer, kein Plug-in, kein Java.

Der Ablauf: Der Techniker meldet sich am Guacamole-Webportal an, wählt die Verbindung zur Maschine, und Guacamole baut serverseitig die VNC-Sitzung auf Port 5900 auf. Der Bildschirm landet als HTML5-Stream im Tab, Eingaben gehen denselben Weg zurück. Sitzungen lassen sich aufzeichnen und seit Version 1.5.0 direkt im Browser abspielen (vorher war dafür das Kommandozeilen-Tool guacenc nötig) - praktisch für Audit, Fehleranalyse und Schulung.

HMI- und SCADA-Fernzugriff per VNC (Siemens, B&R, Beckhoff, AVEVA)

VNC ist im Maschinen- und Anlagenbau de facto Standard für den Panel-Zugriff. Siemens Comfort Panels stellen über den integrierten Sm@rtServer einen VNC-Server auf Port 5900 bereit. Bediengeräte und Industrie-PCs von B&R und Beckhoff (CE- und TwinCAT-HMI-Panels) sowie HMI-/SCADA-Software wie AVEVA bringen ebenfalls VNC-Server mit oder unterstützen den Zugriff. Über Guacamole sieht der Servicetechniker das exakte Panel-Bild im Browser, als stünde er vor der Maschine - inklusive Bedienung, sofern dafür freigegeben.

Das ist besonders wertvoll für verteilte Standorte: Statt zu jeder Anlage zu reisen oder auf jedem Laptop einen VNC-Client samt VPN zu pflegen, genügt ein zentrales Portal. Mehrere Werke, Servicepartner und Schichten greifen über dieselbe, kontrollierte Oberfläche zu.

Warum kein Client-Setup nötig ist

Bei klassischem VNC muss auf jedem Servicegerät ein Viewer installiert, konfiguriert und aktuell gehalten werden - plus ein VPN-Client für den Netzzugang. Das skaliert schlecht über viele Techniker, Subunternehmer und Standorte und erzeugt eine unübersichtliche Schatten-IT. Der browserbasierte Ansatz verlagert die Protokoll-Logik auf den Server: Der Browser braucht nur HTTPS. Das Onboarding eines neuen Technikers heißt dann: Benutzer anlegen, Rolle zuweisen, fertig - und der Entzug eines Zugangs ist ein einziger Klick statt einer Geräte-Tour. Mehr dazu in Fernwartung ohne VPN-Client.

Sicherheit: VNC ist unverschlüsselt - niemals direkt ins Internet

Der wichtigste Punkt: Das Basis-RFB-Protokoll verschlüsselt nichts. Bildschirminhalte, Tastatureingaben und die bei klassischer VNC-Authentifizierung nur schwach geschützten Anmeldedaten gehen im Klartext über die Leitung. Ein offener Port 5900 im Internet ist ein Einfallstor - automatisierte Scan-Dienste finden solche Hosts in Minuten.

Richtig abgesichert wird VNC ausschließlich über einen getunnelten Zugang:

• Transport tunneln: Die WireGuard-Standortanbindung verbindet den Anlagenstandort verschlüsselt mit der Plattform. VNC verlässt das lokale OT-Netz nie im Klartext.
• Zugriff über TLS-Portal: Guacamole wird nur über HTTPS/TLS erreichbar gemacht, idealerweise mit Mehr-Faktor-Authentifizierung. Port 5900 bleibt im internen Segment.
• Nie direkt exponieren: Kein VNC-Port am Internet, keine Portweiterleitung im Anlagen-Router.

Das entspricht der Logik von IEC 62443 (Zonen und Conduits): Fernzugriff terminiert auf einem kontrollierten Jump-Host bzw. Access-Broker in einer OT-DMZ, nicht direkt auf der Anlage. Für viele Betreiber ist sicherer, protokollierter Fernzugriff inzwischen auch regulatorisch relevant: Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist am 06.12.2025 in Kraft getreten; die ursprüngliche BSI-Registrierungsfrist lief am 06.03.2026 aus, wegen geringer Registrierungszahlen gewährte das BSI eine Nachfrist bis zum 31.07.2026. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.

Latenz und Performance: VNC über WAN

Weil VNC nur geänderte Pixel-Rechtecke überträgt und verschiedene Encodings (z. B. Tight oder ZRLE) zur Kompression nutzt, ist es bei statischen HMI-Bildern sehr bandbreitenschonend - ideal für Mobilfunk- oder DSL-angebundene Standorte. Bewegtbild, scrollende Listen oder Live-Trendkurven erhöhen die Datenmenge spürbar. In der Praxis dominiert die Round-Trip-Latenz das Bediengefühl: Ein gut platziertes Gateway nahe der Anlage und die direkte WireGuard-Strecke halten die Reaktionszeit niedrig, sodass sich die Bedienung flüssig anfühlt. Für reine Diagnose und Quittierung reicht oft schon eine niedrige Bildrate; für aktive Engineering-Eingriffe lohnt es sich, das Encoding bewusst auf geringe Latenz statt maximale Kompression einzustellen.

VNC oder RDP? Wann was

Faustregel: Für den Blick auf ein HMI-Panel oder ein eingebettetes Bediengerät ist VNC die natürliche Wahl. Für eine vollwertige Windows-Engineering-Station ist RDP meist komfortabler. Beide laufen über dasselbe Guacamole-Portal - die Wahl trifft man pro Verbindung, nicht pro Plattform.

Praxis bei WZ-IT: zentraler, auditierbarer Browser-Zugriff

Wir bauen Remote-Management-Plattformen, bei denen VNC- und RDP-Zugriffe gebündelt über ein Browser-Portal laufen: WireGuard verbindet die Standorte, Guacamole stellt den Zugriff über TLS bereit, jede Sitzung ist rollenbasiert berechtigt und protokolliert. Für ABCO Water Systems in Australien betreiben wir genau so den Fernzugriff auf verteilte Anlagen - ohne Einzel-VPN-Clients, mit zentralem Audit-Trail. So sehen Sie jederzeit, wer wann auf welche Maschine zugegriffen hat, und können Service-Partnern zeitlich und rollenbasiert genau die Panels freigeben, die sie brauchen.

Möchten Sie HMI-Fernzugriff sauber zentralisieren und absichern? Lernen Sie uns kennen.