Hersteller von Abfüllanlagen ersetzt VPN-Chaos durch Zero-Trust-Remote-Zugriff

Hintergrund

Moderne, automatisierte Fertigungsumgebungen sind ohne Remote-Zugriffsfunktionen undenkbar. Für reibungslose Betriebsabläufe benötigen Servicepartner und externe Zulieferer, wie Maschinenbauunternehmen, jederzeit Zugriff. Besonders bei Anlagenstörungen ist dies entscheidend.

Für einen europäischen Hersteller von Abfüllanlagen wurde der Remote-Zugriff jedoch zunehmend zu einer Herausforderung in Bezug auf Sicherheit und Compliance.

Das Unternehmen betreibt komplexe OT-Umgebungen für interne Teams und externe Zulieferer. Gleichzeitig hat sich der Remote-Zugriff über Jahre hinweg zu einer unübersichtlichen, fragmentierten Struktur aus VPNs und Eigenlösungen entwickelt – Lösungen, die ursprünglich Stabilität sichern sollten, heute aber den Anforderungen moderner Sicherheitsstandards, wie NIS2, nicht mehr genügen.

Steigende regulatorische Anforderungen und Sicherheitsrisiken setzten das Unternehmen unter Druck: Es musste seinen Zulieferern einen sicheren Zugriff ermöglichen, ohne dabei die sensible OT-Umgebung zu gefährden.

Herausforderung

Das Unternehmen setzte auf VPN-basierte Lösungen, um externen Lieferanten Zugriff auf seine Produktionsumgebung zu ermöglichen. Dieser Ansatz war zwar funktional, brachte jedoch klare Einschränkungen mit sich:

• VPNs gewährten breitflächigen Netzwerkzugriff statt gezielter, rollenbasierter Berechtigungen
• Der Zugriff auf IT- und OT-Systeme ließ sich nur schwer standardisieren und zuverlässig überwachen
• Verbindungen zu externen Lieferanten vergrößerten die Angriffsfläche der Produktionsumgebung erheblich
• Bestehende Lösungen wurden den wachsenden NIS2-Compliance-Anforderungen nicht mehr gerecht

Aus Sicherheitsaspekten wurde die Lage zunehmend kritisch, aus Compliance-Sicht war sie schlicht unhaltbar.

Die Verantwortung für diese Risiken lag beim IT-Sicherheitsteam. Ziel war es, die Sicherheitslage zu stärken, ohne den Anlagenbetrieb zu beeinträchtigen oder den Support der Zulieferer zu verlangsamen.

Ziele

Anstatt eine weitere Insellösung zu etablieren, entschied sich das Unternehmen dazu, den externen Zugriff auf seine Produktionsumgebung grundlegend neu zu denken. Dabei verfolgte es eine klar definierte Zielsetzung:

• VPNs und nicht regelkonforme Zugriffslösungen durch moderne Methoden ersetzen
• Zero Trust für sicheren Remote-Zugriff implementieren
• Geschützten Zugriff auf IT- und OT-Systeme (inkl. SPS) sicherstellen
• Governance, Auditability und Möglichkeiten für die Wartung gezielt stärken
• Compliance mit aktuellen Cybersicherheitsstandards, wie NIS2, gewährleisten

Entscheidend war zudem, dass die Lösung skalierbar ist und hunderte Endpunkte in laufenden Produktionsumgebungen unterstützen kann. Gleichzeitig durfte sie weder für interne Teams noch für externe Partner zusätzliche Komplexität schaffen.

Lösung

Um diese Anforderungen zu erfüllen, setzte der Hersteller auf TeamViewer Tensor für Betriebstechnologie als zentrale Plattform für Zero-Trust-Remote-Zugriff.

Statt den Netzwerkzugriff über VPNs auszuweiten, ermöglicht TeamViewer Tensor gezielten, Session-basierten Zugriff auf spezifische Systeme und das nur bei Bedarf und ausschließlich für autorisierte User.

Zentral für den Ansatz waren folgende Elemente:

• Einheitlicher Zero-Trust-Zugriff auf IT-Ressourcen (wie Windows-XP-Systeme) und OT-Ressourcen (einschließlich speicherprogrammierbarer Steuerungen, kurz SPS)
• Zentralisierte Zugriffskontrolle durch das IT-Sicherheitsteam
• Konsequente Umsetzung des Least-Privilege-Prinzips zur Reduzierung der OT-Angriffsfläche
• Support für umfangreiche Umgebungen mit mehr als 500 Produktionsendpunkten
• Klare Trennung von Usern, Assets und Berechtigungen

Durch die Zusammenführung des Remote-Zugriffs auf einer zentralen Plattform wurde der Wildwuchs an Tools reduziert und die Abhängigkeit von individuellen sowie Eigenlösungen deutlich reduziert.

Ergebnisse

Mit TeamViewer Tensor kann der Hersteller den externen Zugriff auf seine Produktionsumgebung deutlich optimieren.