In vielen Security-Assessments zeigt sich dasselbe Bild, Lieferanten haben ständigen Remote-Zugriff auf IT- oder OT-Systeme. Häufig wird dafür Teamviewer oder eine vergleichbare Lösung genutzt. Die Zugänge sind rund um die Uhr aktiv, die Accounts sind generisch, und die Aktivitäten werden weder überwacht noch protokolliert. Damit entsteht ein erhebliches Risiko. Denn so haben Angreifer die Möglichkeit, unbemerkt ins System einzudringen.

Meine Erfahrung zeigt, die Unternehmen unterschätzen dieses Risiko, weil der Fernzugriff im Alltag praktisch und bequem ist. Updates oder Störungen lassen sich so ohne Aufwand beheben. Doch dieser Komfort geht zulasten der Sicherheit. Wer den Fernzugriff einmal eingerichtet hat, beschäftigt sich oft nicht mehr damit und öffnet so unbewusst eine permanente Hintertür.

Warum unkontrollierte Fernzugriffe gefährlich sind

  • Generische Accounts: Niemand weiss im Nachhinein, wer sich tatsächlich eingeloggt hat. Verantwortlichkeiten verschwimmen.
  • Permanente Verfügbarkeit: Ein Account, der 7x24h erreichbar ist, kann auch 7x24h missbraucht werden.
  • Fehlende Protokollierung: Ohne Logs gibt es keine Möglichkeit, verdächtige Aktivitäten nachzuvollziehen.
  • Unklare Zuständigkeiten: Oft weiss niemand im Unternehmen genau, welche Lieferanten Zugriff haben und warum.

Diese Faktoren machen Remote-Zugänge zu einem bevorzugten Angriffsziel für Cyberkriminelle. Der Einstieg über Fernwartung ist oft einfacher als über Firewalls oder Phishing. Besonders in OT-Umgebungen kann ein unkontrollierter Zugriff gravierende Folgen haben, bis hin zum Stillstand von Produktionsanlagen.

Vorgaben aus dem IKT-Minimalstandard

Der IKT-Minimalstandard adressiert dieses Risiko ausdrücklich. Er fordert, dass Unternehmen einen Prozess für die Verwaltung und Freigabe von Fernzugriffen implementieren. Die zentralen Punkte dabei sind:

  • Genehmigung: Jeder Zugriff muss durch eine interne verantwortliche Person freigegeben werden.
  • Überwachung & Protokollierung: Alle Sitzungen sind zu begleiten oder zumindest technisch zu überwachen. Logs müssen nachvollziehbar dokumentiert sein.
  • Verbindliche Vereinbarungen: Mit Lieferanten sind klare, schriftliche Regeln festzulegen. Sie definieren, wann, wie und unter welchen Bedingungen ein Zugriff erlaubt ist.
  • Regelmässige Audits: Mindestens einmal jährlich müssen Fernzugriffe geprüft, dokumentiert und bestätigt werden.

Best Practices aus der Praxis

Neben den regulatorischen Vorgaben gibt es erprobte Massnahmen, die den Schutz zusätzlich erhöhen:

  • Jump-Hosts einsetzen: Externe Zugriffe laufen über einen definierten Zugangspunkt, der zentral überwacht wird.
  • Multi-Faktor-Authentisierung (MFA): Auch Lieferanten dürfen sich nicht nur mit Benutzername/Passwort anmelden.
  • Zeitlich begrenzte Zugriffe: Accounts werden nur für die Dauer der Wartung freigeschaltet und danach automatisch gesperrt.
  • Session-Recording: Besonders kritische Zugriffe werden aufgezeichnet, um später nachvollziehen zu können, was genau durchgeführt wurde.
  • Prinzip der minimalen Rechte: Lieferanten bekommen nur die Zugänge, die sie für die konkrete Aufgabe benötigen und nicht mehr.

Das Ergebnis

Unternehmen, die diese Massnahmen konsequent umsetzen, erreichen gleich mehrere Ziele:

  • Sie behalten die Hoheit über ihre Systeme.
  • Sie können im Auditfall klar dokumentieren, wer wann auf welche Systeme zugegriffen hat.
  • Sie reduzieren das Risiko, dass ein Angreifer unbemerkt über Lieferanten-Systeme einbricht.
  • Sie erhöhen gleichzeitig das Vertrauen in die Zusammenarbeit mit Partnern und Dienstleistern.

Zusammenfassend kann gesagt werden

  • Unkontrollierte Fernzugriffe sind ein kritisches Einfallstor für Angreifer.
  • Der IKT-Minimalstandard fordert klare Prozesse für Genehmigung, Überwachung und Dokumentation.
  • Mit Best Practices wie Jump-Hosts, MFA und zeitlich begrenzten Zugängen lässt sich das Risiko erheblich senken.
  • Transparenz und Kontrolle stärken nicht nur die Sicherheit, sondern auch die Compliance und die Zusammenarbeit mit Lieferanten.

Handlungsaufruf

Prüfen Sie Ihre bestehenden Remote-Zugänge:

  • Wer kann wann und wie auf Ihre Systeme zugreifen?
  • Werden diese Zugriffe protokolliert und regelmässig überprüft?
  • Existieren verbindliche Vereinbarungen mit Ihren Lieferanten?

Wenn Sie diese Fragen nicht klar beantworten können, ist jetzt der richtige Zeitpunkt, den Prozess für Fernzugriffe zu überarbeiten. Der Aufwand ist überschaubar, der Sicherheitsgewinn dagegen enorm.