Fernwartung für Standard-IT ist heute etabliert: Server-Updates, Support-Sitzungen, Zugriff auf Cloud-Ressourcen. Doch was, wenn es um Produktionsanlagen mit proprietären Steuerungen, Kassensysteme in Hunderten Filialen oder Medizingeräte mit Patientendaten geht?

Hier reichen Standardlösungen oft nicht aus. Diese Umgebungen haben besondere Anforderungen: Regulatorische Vorgaben, geschlossene Netzwerke, Betriebsverantwortung und extrem hohe Sicherheitsanforderungen. Ein falscher Klick kann die Produktion stoppen, Kunden aussperren oder Patientendaten gefährden.

Dieser Artikel zeigt, wie Fernwartung in Industrie, Retail und Healthcare sicher umgesetzt werden kann – mit pragmatischen Lösungen, die Compliance und Betriebssicherheit vereinen.

---

Warum Standardlösungen nicht immer ausreichen

Fernwartung in Spezialszenarien unterscheidet sich fundamental von klassischer IT-Administration.

Geschlossene und isolierte Systeme

Industrie: Produktionsanlagen laufen oft in OT-Netzwerken (Operational Technology), die bewusst vom IT-Netzwerk getrennt sind. Manche Maschinen haben gar keinen Internetzugang aus Sicherheitsgründen.

Healthcare: Medizingeräte dürfen nicht einfach ans Internet angeschlossen werden. Viele laufen auf veralteten Betriebssystemen (Windows XP, Windows 7), weil Hersteller keine Updates mehr liefern oder Zulassungen neu beantragt werden müssten.

Retail: Kassensysteme müssen 24/7 verfügbar sein. Ein Ausfall bedeutet: Keine Verkäufe, keine Einnahmen, unzufriedene Kunden.

Regulatorische Anforderungen

DSGVO: Patientendaten, Kundendaten, Mitarbeiterdaten – alles hochsensibel. Fernzugriff muss protokolliert, verschlüsselt und nachvollziehbar sein.

BSI-Grundschutz: Für kritische Infrastrukturen (KRITIS) gelten strenge Vorgaben. Fernwartung darf keine Schwachstelle sein.

FDA, MDR: Medizingeräte unterliegen Zulassungsverfahren. Änderungen am System – auch Software-Updates – können die Zulassung gefährden.

Betriebsverantwortung: In der Industrie haftet der Betreiber für Unfälle. Wenn Fernwartung eine Maschine falsch konfiguriert und jemand verletzt wird, ist das ein juristisches Problem.

Verfügbarkeit vs. Sicherheit

Industrie: Produktionslinien dürfen nicht stoppen. Updates während der Produktion sind oft unmöglich.

Retail: Kassensysteme müssen während der Geschäftszeiten funktionieren. Wartung nur nachts oder in Ruhezeiten.

Healthcare: Notfall-Zugriff muss möglich sein, aber nicht jeder darf auf alles zugreifen.

Diese Spannungsfelder erfordern maßgeschneiderte Lösungen.

---

Industrie (OT-Umgebungen) – Fernwartung ohne Betriebsrisiko

Operational Technology (OT) umfasst alle Systeme, die physische Prozesse steuern: Produktionsanlagen, Roboter, SCADA-Systeme, Sensoren. Im Gegensatz zu IT, wo ein Server-Neustart meist unkritisch ist, kann ein Fehler in der OT Produktion stoppen, Maschinen beschädigen oder Menschen gefährden.

Herausforderungen in der Industrie

Proprietäre Steuerungen: Viele Industriesteuerungen (SPS/PLC) nutzen proprietäre Protokolle (Siemens S7, Modbus, Profinet). Standardtools funktionieren nicht.

Veraltete Systeme: Windows CE, Windows XP embedded – Betriebssysteme, die längst nicht mehr supported werden, aber in Millionen Maschinen laufen.

Kein Internetzugang: OT-Netzwerke sind oft Air-Gapped – bewusst vom Internet getrennt. Fernwartung erfordert kreative Lösungen.

Lange Lebenszyklen: Eine Produktionsanlage läuft 20–30 Jahre. Die IT-Sicherheit von heute existierte damals nicht.

Lösungsansätze: Isolierte Wartungs-Gateways

Konzept: Ein dediziertes Gateway (physisch oder virtuell) sitzt zwischen OT-Netzwerk und IT-Netzwerk. Nur dieses Gateway hat Zugriff auf beide Seiten.

Technische Umsetzung:

• Ein Raspberry Pi oder Industrial PC mit zwei Netzwerkkarten
• Eine Karte verbindet sich mit dem OT-Netzwerk (keine Weiterleitung nach außen)
• Die andere Karte verbindet sich via Tailscale oder VPN mit der IT

Wartungstechniker greifen auf das Gateway zu, von dort aus auf die Maschinen – aber nur mit expliziter Freigabe und Logging.

Vorteil: Das OT-Netzwerk bleibt isoliert. Das Gateway kann jederzeit getrennt werden.

Temporäre VPN-Tunnel

Szenario: Ein Hersteller muss eine Maschine fernwarten, aber es darf keine permanente Verbindung existieren.

Lösung: On-Demand-VPN, das nur für die Wartungssitzung aktiviert wird.

Technisch:

• Gateway mit WireGuard oder OpenVPN
• VPN-Verbindung wird vom Betreiber aktiviert (z. B. über Button im Web-Interface)
• Nach der Wartung automatische Trennung oder Timeout (z. B. 2 Stunden)
• Alle Zugriffe werden protokolliert

Tools: ewon (industrielle Remote-Access-Lösung), Secomea (spezialisiert auf OT), Tailscale mit ACLs (flexibel, modern).

Tailscale als Subnet-Connector

Tailscale kann ganze Netzwerke verbinden, ohne direkten Internet-Zugang jeder Maschine.

Setup:

1. Ein Linux-Server oder Raspberry Pi im OT-Netzwerk wird Subnet-Router.
2. Dieser Router verbindet sich via Tailscale mit der IT.
3. IT-Mitarbeitende greifen über Tailscale auf den Router zu, von dort auf Maschinen im OT-Netz.

ACL-Beispiel:

{
  "acls": [
    {
      "action": "accept",
      "src": ["group:maintenance"],
      "dst": ["tag:ot-gateway:*"]
    }
  ]
}

Nur die Gruppe “maintenance” darf auf das OT-Gateway zugreifen. Alle anderen sind blockiert.

Absicherung über Firewalls und Whitelisting

Defense in Depth: Mehrere Sicherheitsebenen.

• Firewall zwischen IT und OT: Nur definierte Protokolle und Ports erlaubt
• Whitelisting: Nur bekannte IP-Adressen oder Tailscale-IDs dürfen zugreifen
• Protokollfilter: Nur notwendige Industrieprotokolle (z. B. Modbus TCP auf Port 502)
• Zeitbasierte Regeln: Zugriff nur zu definierten Wartungsfenstern

Dokumentationspflicht und Audit-Logs

Regulatorische Anforderungen (z. B. ISO 27001, IEC 62443) fordern Nachvollziehbarkeit.

Was muss protokolliert werden?

• Wer hat wann auf welche Maschine zugegriffen?
• Welche Änderungen wurden vorgenommen?
• Wie lange dauerte die Sitzung?

Tools:

• Syslog-Server für zentrale Log-Aggregation
• SIEM (Security Information and Event Management) für Analyse
• Tailscale Admin Console zeigt alle Verbindungen
• Session Recording bei kritischen Systemen (z. B. Aufzeichnung jeder Remote-Sitzung)

---

Retail (Filialnetzwerke, POS-Systeme) – Zentrale Verwaltung ohne Chaos

Einzelhändler mit vielen Filialen stehen vor einer Herausforderung: Wie verwaltet man Dutzende oder Hunderte Kassensysteme zentral, ohne vor Ort sein zu müssen?

Szenario: Zentrale IT für verteilte Standorte

Typisches Setup:

• Hauptsitz mit zentraler IT
• 50–500 Filialen mit jeweils 2–10 Kassen
• Unterschiedliche Internetprovider pro Standort
• Manchmal nur Kunden-WLAN verfügbar

Herausforderungen:

• Kein einheitliches Netzwerk
• Fernwartung darf Betrieb nicht stören
• Kassensysteme oft Windows-basiert, manchmal Linux
• Sicherheit: Kassen verarbeiten Zahlungsdaten (PCI-DSS)

Fernwartung ohne Eingriff ins Kunden-WLAN

Problem: Kassensysteme sollten nicht im öffentlichen Kunden-WLAN hängen.

Lösung: Dedizierter Router oder Mobilfunk.

Option 1: LTE-Router pro Filiale

• Jede Filiale bekommt einen LTE-Router (z. B. GL.iNet, Teltonika)
• Router verbindet sich via Tailscale mit zentralem Netzwerk
• Kassen hängen am Router, nicht im Kunden-WLAN
• IT greift über Tailscale auf Router zu, von dort auf Kassen

Option 2: VLAN-Segmentierung

• Kassen-Netzwerk ist vom Kunden-WLAN getrennt (VLAN)
• Ubiquiti- oder MikroTik-Router mit Tailscale-Support
• Zentrale IT greift über Tailscale auf Router-Subnetz zu

Kombination aus Tailscale und Remote-Desktop

Workflow für Support:

1. IT-Mitarbeitender verbindet sich via Tailscale zum Filial-Netzwerk
2. Von dort RDP (Windows Remote Desktop) oder AnyDesk zur Kasse
3. Problem wird gelöst, Software aktualisiert, Logs geprüft
4. Verbindung getrennt, alles protokolliert

Vorteil: Keine offenen Ports, keine VPN-Konfiguration pro Filiale, granulare Zugriffskontrolle.

Rollenbasierte Authentifizierung

Nicht jeder IT-Mitarbeitende braucht Zugriff auf alle Filialen.

Beispiel-Struktur:

• Admin: Zugriff auf alle Filialen
• Regional-Support: Nur Filialen der eigenen Region
• Externe Dienstleister: Nur spezifische Systeme, zeitlich begrenzt

Technische Umsetzung mit Tailscale ACLs:

{
  "groups": {
    "group:support-nord": ["user:[email protected]", "user:[email protected]"],
    "group:support-sued": ["user:[email protected]"]
  },
  "acls": [
    {
      "action": "accept",
      "src": ["group:support-nord"],
      "dst": ["tag:filiale-nord:*"]
    },
    {
      "action": "accept",
      "src": ["group:support-sued"],
      "dst": ["tag:filiale-sued:*"]
    }
  ]
}

Anna und Ben können nur auf Filialen im Norden zugreifen, Clara nur auf Süden.

PCI-DSS-Compliance

Payment Card Industry Data Security Standard fordert:

• Verschlüsselte Verbindungen: ✅ Tailscale nutzt WireGuard
• Zugriffsprotokolle: ✅ Admin-Konsole zeigt alle Verbindungen
• Minimale Rechtevergabe: ✅ ACLs sichern das ab
• Regelmäßige Security-Audits: ✅ Logs können exportiert werden

Wichtig: Zahlungsdaten selbst sollten nie auf Kassen-PCs gespeichert werden. Moderne POS-Systeme senden Zahlungen direkt an Payment-Gateways.

---

Healthcare (Praxis- und Klinik-IT) – Patientendaten schützen

Im Gesundheitswesen ist Fernwartung besonders heikel: Patientendaten sind hochsensibel, Medizingeräte sind lebenswichtig, und Compliance-Anforderungen sind streng.

Besonderheiten im Healthcare-Bereich

DSGVO und Schweigepflicht: Patientendaten dürfen nur von autorisierten Personen eingesehen werden. Jeder Zugriff muss nachvollziehbar sein.

BSI-Grundschutz: Empfehlungen für Krankenhäuser und Praxen. Fernwartung muss dokumentiert sein.

Medizinprodukte-Zulassung: Änderungen an Medizingeräten können die Zulassung gefährden. Updates müssen vom Hersteller freigegeben sein.

Verfügbarkeit: In Notaufnahmen dürfen Systeme nicht ausfallen. Fernwartung muss ohne Betriebsunterbrechung möglich sein.

Trennung von Verwaltungs- und Patientennetz

Best Practice: Physische oder logische Trennung.

Verwaltungsnetz:

• Büro-PCs, Buchhaltung, Personalverwaltung
• Normaler Internet-Zugang, Standard-IT

Patientennetz:

• Praxisverwaltungssysteme (PVS), Krankenhausinformationssysteme (KIS)
• Medizingeräte mit Netzwerkanschluss
• Kein direkter Internet-Zugang

Fernwartung: Erfolgt über Gateways oder Jump-Hosts im Verwaltungsnetz, die kontrolliert auf Patientennetz zugreifen.

Zertifizierte Systeme und Hersteller-Support

Problem: Viele Medizingeräte laufen auf veralteten Systemen (Windows XP, 7). Updates würden Zulassung gefährden.

Lösung: Netzwerk-Segmentierung statt System-Updates.

• Medizingeräte in isolierten VLANs
• Kein direkter Zugriff aus dem Internet
• Firewall-Regeln: Nur notwendige Protokolle erlaubt

Hersteller-Fernwartung: Viele Medizingerätehersteller (Siemens Healthineers, GE Healthcare) bieten eigene Fernwartungslösungen. Diese müssen in die IT-Sicherheitsarchitektur integriert werden.

VPN und Zero Trust in Healthcare

Klassisches VPN: Viele Krankenhäuser nutzen Cisco AnyConnect oder FortiClient für Fernzugriff.

Modern: Zero Trust mit Tools wie Cloudflare Zero Trust oder Tailscale.

Vorteil Zero Trust:

• Identitätsbasiert: Nur autorisierte Ärzte/IT-Mitarbeitende
• Gerätesicherheit: Nur verwaltete, verschlüsselte Geräte
• Granulare ACLs: Arzt A darf auf System X, aber nicht auf Y

Praxis-Beispiel:

• IT-Dienstleister greift via Tailscale auf Praxis-Server zu
• Tailscale ACLs erlauben nur Zugriff auf Admin-Systeme, nicht auf Patientendaten-Server
• Alle Zugriffe werden protokolliert und am Monatsende dem Praxisinhaber gemeldet

Auditing und Nachvollziehbarkeit

Wer hat auf Patientendaten zugegriffen?

Praxisverwaltungssysteme haben eigene Audit-Logs. Aber auch Netzwerkzugriffe müssen protokolliert werden.

Tools:

• SIEM: Graylog, Splunk, Elastic SIEM
• Tailscale Logs: Zeigen, wer wann auf welche Systeme zugegriffen hat
• Session Recording: Kritisch bei externen Dienstleistern

Recht auf Auskunft: Patienten können anfragen, wer ihre Daten eingesehen hat. IT muss das nachweisen können.

---

Sicherheitsanforderungen über alle Branchen

Trotz unterschiedlicher Anforderungen gibt es gemeinsame Prinzipien.

Authentifizierung und Autorisierung

Authentifizierung: Wer bist du?

• MFA (Multi-Faktor-Authentifizierung) ist Pflicht
• Keine schwachen Passwörter
• Hardware-Tokens (YubiKey) für kritische Zugriffe

Autorisierung: Was darfst du?

• Least Privilege: Nur die minimal nötigen Rechte
• Rollenbasiert: Gruppen statt Einzelpersonen
• Zeitlich begrenzt: Externe Dienstleister nur für die Dauer der Wartung

Protokollierung jeder Verbindung

Was muss geloggt werden?

• Wer hat sich wann verbunden?
• Auf welche Systeme wurde zugegriffen?
• Welche Aktionen wurden durchgeführt?
• Wann wurde die Verbindung getrennt?

Aufbewahrungspflicht: Je nach Branche 6 Monate bis 10 Jahre.

Zugriff nur temporär und nachvollziehbar

Permanente Zugänge sind Risiken.

Best Practice:

• Just-in-Time Access: Zugriff wird nur für die Wartung aktiviert
• Zeitlimits: Nach 2 Stunden automatische Trennung
• Approval-Workflows: Wartungszugriff muss von Vorgesetztem genehmigt werden

Physische Zugangssicherung

Fernwartung ist nur eine Ebene. Physischer Zugang muss auch geschützt sein.

• Serverräume abgeschlossen
• Kassensysteme vor Manipulation geschützt
• Medizingeräte gegen unbefugten Zugriff gesichert

---

Empfohlene Architekturmodelle

Gateway-basierte Lösungen

Konzept: Ein dediziertes Gateway (Hardware oder VM) sitzt zwischen sensiblem Netzwerk und IT.

Vorteile:

• Zentrale Kontrolle
• Sensibles Netzwerk bleibt isoliert
• Gateway kann jederzeit getrennt werden

Technische Umsetzung:

• Linux-Server mit zwei Netzwerkkarten (physisch oder virtuell)
• Eine Karte im sensiblen Netz (OT, Patientennetz)
• Andere Karte verbindet sich via Tailscale oder VPN
• Firewall-Regeln auf dem Gateway

Tools: pfSense, OPNsense, Raspberry Pi mit iptables, Tailscale Subnet-Router.

Hub-and-Spoke-Modelle

Konzept: Zentrale Hub (z. B. Hauptsitz) mit Spokes (Filialen, Produktionsstandorte).

Alle Spokes verbinden sich zum Hub, nicht untereinander.

Vorteile:

• Zentrale Überwachung
• Einfaches Management
• Klare Netzwerkstruktur

Nachteil: Hub ist Single Point of Failure (aber: Redundanz möglich).

Technische Umsetzung:

• Site-to-Site-VPN zwischen Hub und jedem Spoke
• Tailscale mit Subnet-Routern an jedem Standort
• Zentrale Firewall am Hub kontrolliert Zugriffe

Kombination von Netzwerksegmentierung und RBAC

Defense in Depth: Mehrere Sicherheitsebenen.

Ebene 1: Netzwerksegmentierung

• Verwaltung, Produktion, Patienten – alles getrennt
• VLANs oder physische Trennung
• Firewall zwischen den Segmenten

Ebene 2: Rollenbasierter Zugriff (RBAC)

• IT-Admin darf auf alle Segmente
• Support-Mitarbeitender nur auf Verwaltungsnetz
• Externe Dienstleister nur auf spezifische Systeme

Ebene 3: Zero Trust

• Jeder Zugriff wird kontextbasiert geprüft
• Gerät, Identität, Standort, Zeit

---

Rechtliche und organisatorische Anforderungen

Nachvollziehbarkeit und Datenschutz

DSGVO Art. 32: Technische und organisatorische Maßnahmen.

Was fordert die DSGVO?

• Verschlüsselung: Alle Verbindungen verschlüsselt (TLS, WireGuard)
• Zugriffskontrolle: Nur autorisierte Personen
• Protokollierung: Wer, wann, worauf
• Regelmäßige Tests: Penetrationstests, Security-Audits

Datenschutzfolgenabschätzung (DSFA): Bei Fernwartung von Systemen mit Patientendaten oder sensiblen Geschäftsdaten oft erforderlich.

Vertragsgestaltung bei externem Support

Wenn externe Dienstleister fernwarten:

Auftragsverarbeitungsvertrag (AVV): Pflicht, wenn Dienstleister Zugriff auf personenbezogene Daten hat.

Geheimhaltungsvereinbarung (NDA): Schutz von Geschäftsgeheimnissen.

Service Level Agreement (SLA): Reaktionszeiten, Verfügbarkeit.

Haftungsklauseln: Wer haftet bei Fehlern oder Ausfällen?

Zugriffsrechte: Explizit definieren, worauf Dienstleister zugreifen darf.

Verantwortung und Haftungsfragen

Wer haftet, wenn Fernwartung schiefgeht?

Industrie: Betreiber haftet für Unfälle. Wenn Dienstleister falsch konfiguriert, kann Regressforderung folgen.

Healthcare: Bei Patientenschäden durch fehlerhafte Fernwartung haftet potenziell der Betreiber (Praxis, Krankenhaus).

Retail: Kassensystem-Ausfall bedeutet Umsatzverlust. SLAs müssen Kompensation regeln.

Versicherungen: Cyber-Versicherungen decken oft Schäden durch Fernwartungs-Fehler ab – aber nur, wenn Sicherheitsstandards eingehalten wurden.

---

Fernwartung ist unverzichtbar, aber sicherheitskritisch

Fernwartung in Spezialszenarien ist kein Luxus, sondern Notwendigkeit. Produktionsanlagen müssen gewartet werden. Kassensysteme brauchen Updates. Medizingeräte müssen konfiguriert werden.

Aber: Jede Fernverbindung ist eine potenzielle Schwachstelle. Die Lösungen aus dieser Serie – AnyDesk, Tailscale, WireGuard, Zero Trust – sind die Bausteine für sichere Fernwartung.

Technisch lösbar, wenn organisatorische Maßnahmen mitgedacht werden

Die Technik ist da:

• WireGuard für schnelle, sichere Verbindungen
• Tailscale für einfaches Management
• Gateway-Lösungen für isolierte Netze
• ACLs für granulare Rechtevergabe

Aber Technik allein reicht nicht:

• Schulungen für Mitarbeitende
• Richtlinien für Fernwartung
• Verträge mit Dienstleistern
• Regelmäßige Audits

Die Zukunft ist Zero Trust und föderiert

Die Zukunft der Fernwartung ist nicht “ein großes VPN für alles”, sondern intelligente, kontextbasierte Zugriffskontrolle.

• Identitätsbasiert: Nur autorisierte Personen
• Gerätebasiert: Nur sichere Geräte
• Kontextbasiert: Nur zu definierten Zeiten, von definierten Standorten
• Zeitlich begrenzt: Just-in-Time Access

Die Technologien dafür existieren. Die Aufgabe ist, sie richtig einzusetzen – und das organisatorische Drumherum nicht zu vergessen.

Diese Serie hat gezeigt, wie Remote-Access heute funktioniert: Von praktischen Tools über technische Grundlagen bis zu Sicherheitskonzepten und Spezialanwendungen. Die Prinzipien gelten universell – ob Homeoffice, Industrie, Retail oder Healthcare.

Fernwartung ist sicher möglich. Man muss nur wissen, wie.

---

Weiterführende Links:

• IEC 62443 – Industrial Cybersecurity
• PCI-DSS Standard
• BSI-Grundschutz für Krankenhäuser
• DSGVO Art. 32 – Sicherheit der Verarbeitung
• Tailscale Subnet Routers
• Zero Trust Architecture
• ewon – Industrial Remote Access
• Secomea – OT Security