Zum Inhalt springen Zur Navigation springen
KRITIS: Sichere Fernwartung auf OT- und IT-Systemen

KRITIS: Sichere Fernwartung auf OT- und IT-Systemen

Artikel von Dr. Datenschutz·20. März 2026

Bei kritischen Anlagen und den dort integrierten Systemen ist es vielen Fällen erforderlich, dass Hersteller oder Dienstleister von der Ferne aus die erforderlichen Arbeiten durchführen. Dieser Artikel zeigt auf, welche Anforderungen dabei zu beachten und einzuhalten sind.

Bewertung des Dienstleisters

KRITIS-Betreiber erkennen die Relevanz der Dienstleister für die Aufrechterhaltung der kritischen Dienstleistung in jedem Fall während der Erstellung der BIA bei der Identifizierung der unternehmensrelevanten Geschäftsprozesse.

Ebenso ergibt sich bei der Betrachtung der Unternehmensrisiken, etwa bei Erstellung eines Risikoverzeichnisses und dem dazugehörenden Risikobehandlungsplan, die Relevanz dieser Dienstleister für den KRITIS-Betreiber.

Ermitteln der Wirkung des Dienstleisters in den kritischen Infrastrukturen

Aus der für jeden Dienstleister des KRITIS-Betreibers erfolgten Bewertung ergibt sich eindeutig die Wirkung auf die kritischen Infrastrukturen, die zu klassifizieren ist in einen der beiden Bereiche:

  • In der kritischen Infrastruktur wirkend
  • Die kritische Intrastruktur direkt oder indirekt unterstützend

Erstellen der erforderlichen vertraglichen Regelungen

Bei einem in der kritischen Infrastruktur wirkenden Dienstleister ergeben sich folgende zu definierenden vertragliche Regelungen zu den erforderlichen organisatorischen Abläufen:

  • Integration des Dienstleisters in die Änderungssteuerung
  • Verfahren bei Schwachstellen, Schwachstellenmanagement (IT-Security Bulletin des Systemlieferenten, Mails oder Telefonanrufe)
  • Verfahren bei Sicherheitsvorfällen
  • Personalsicherheit beim Dienstleister (Sicherheitsüberprüfungsgesetz)
  • Dienstleisteraudits

Anforderungen an den Dienstleister und Betreiber

Einzuhaltende normative Vorgaben

Die für KRITIS-Betreiber schon länger gültigen Anforderungen zur sicheren Fernwartung für die relevanten Systeme und Einrichtungen wirken sich auch auf die Dienstleister aus. In nationales Recht umgesetzte EU-Direktiven (NIS2 oder CRA) bestätigen dies, und die Norm IEC 62443 konkretisiert die Anforderungen zum Schutz industrieller Automatisierungs- und Steuerungssysteme. Diese Systeme werden vielfach im Bereich der operativen Technik bei KRITIS-Betreibern verwendet.

Für die Hersteller ist somit definiert was für einer sicheren Produktentwicklung erforderlich ist, und der Betreiber der Anlagen erhält weitere Hilfestellungen für den sicheren Betrieb der Anlagen.

Ziel ist auch eine weitere Minimierung der IT-Risiken durch das unverzügliche Behandeln von Schwachstellen, um das Sicherheitsniveau der kritischen Infrastruktur aufrechtzuerhalten und weiter zu verbessern. OT-Patchmanagement ist somit für Hersteller und Betreiber verpflichtend und ein diesbezüglicher Workflow ist nachzuweisen.

Voraussetzungen für sichere Fernwartung

Die Netzwerkstruktur ist segmentiert aufzubauen, so dass für den Dienstleister ein fest definierter Einwahlpunkt geschaffen wird und bei entsprechender Kritikalität der Anlage oder des Systems dies gegebenenfalls auch redundant erfolgt.

Der Zugriff muss über eine sichere Verbindung erfolgen, die gemäß den technischen Richtlinien des BSI in Bezug auf die zugelassenen kryptografischen Verfahren und Algorithmen aufgebaut ist und betrieben wird. Üblicherweise wird dies eine VPN-Verbindung sein, deren Schlüssel- und Zertifikatsverwaltung beim KRITIS-Betreiber selbst liegt.

Zweifaktor-Authentifikationen mit sicheren und zyklisch wechselnden Passworten sind auch hier anzuwenden. Zusätzlich kann es erforderlich sein, auch den zeitlichen Zugriff des Dienstleisters zu kontrollieren. In diesem Fall verfügt nur der KRITIS-Betreiber selbst über den zweiten Faktor und teilt diesen dem Dienstleister erst bei der Einwahl auf einem sicheren Übertragungsweg mit.

In jedem Fall sind für die Fernwartung sichere Protokolle zu nutzen und Firewalls mit entsprechenden Regeln und Filterfunktionen beschränken die Ports und Protokolle auf die tatsächlich benötigten. Die Protokollierung des Fernzugriffs muss regelmäßig auf Plausibilität geprüft und diese Prüfung dokumentiert werden.

Die für den Fernzugriff vorbereitete OT wird sofern möglich gehärtet betrieben. Vernetzte Automatisierungs- oder Fernwirkstrukturen bieten meist die Möglichkeit, dass innerhalb dieser Strukturen ein Routing für Fernwartungszwecke möglich ist. Beispielsweise bei Systemen die mit dem Kommunikationsprotokoll IEC 60870-5-104 arbeiten bedingt dies eine weitere genaue Planung und Steuerung der Fernwartung.

Selbstverständlich ermöglicht die Nutzung von sicheren Fernwartungslösungen auch eine effizientere Durchführung der erforderlichen Arbeiten für das Servicepersonals des Betreibers. Namhafte Hersteller aus dem Automatisierungsbereich bieten auch den Einsatz von sicheren Fernwartungsroutern an.

Grundsätzlich ist vom Betreiber im Rahmen der Risikobetrachtung vorab zu definieren, für welche Systeme oder Anlagen eine Fernwartung zugelassen werden kann, und für welche nicht.

Durchführen der sicheren Fernwartung

Die Mitarbeiter des Dienstleisters müssen durch das Fachpersonal des KRITIS-Betreibers gesteuert werden. Sie müssen in die durchzuführenden Arbeiten eingewiesen werden, die Arbeit wiederum überwacht und bei Abschluss überprüft und dokumentiert werden. Dabei ist gemäß dem bestehenden Benutzer bzw. Rollenkonzept vorzugehen.

Ein Zeitplan für die durchzuführenden Arbeiten ist zu erstellen und der Betreiber hat zu entscheiden, ob die Art und Weise oder der Umfang der durchzuführenden Arbeiten vorherige außerplanmäßige Systemsicherungen erforderlich macht. Auf die Besonderheiten von 24/7 Systemen ist dabei besonders zu achten.

Der Fernzugriff auf die kritischen Anlagen bzw. deren technische Einrichtung ist durch autorisiertes Personal des Betreibers freizugeben.

Der Dienstleister führt seine Remote-Arbeiten in den Systemen eines KRITIS-Betreibers selbst von einem sicheren System aus. Durch die Verwendung eines eigenen virtuellen Systems für den KRITIS-Betreiber, das regelmäßig gepatcht wird und mit den passenden Softwareversionen für die kritischen Anlagen versehen ist, sind die Voraussetzungen dafür gegeben. Es ist die Aufgabe des KRITIS-Betreibers, die korrekte Umsetzung dieser Vorgabe beim Dienstleister zu überprüfen. Dies kann der KRITIS-Betreiber zum Beispiel in einem Dienstleisteraudit machen.

Optimalerweise führen diese Arbeiten nur namentlich benannte Mitarbeiter des Dienstleistes aus, die beim Betreiber der kritischen Anlage persönlich bekannt und vertrauenswürdig sind. Gegebenenfalls unterliegen Mitarbeiter den Regelungen im Sicherheitsüberprüfungsgesetz.

Nach Abschluss der Arbeiten werden bei den veränderten Anlagen oder Systemen selbstverständlich Firmware- oder Datensicherungen erzeugt und beim Betreiber sicher abgelegt.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.