Sichere Fernzugriffe und VPN-Governance für NIS2 und DORA
Um 07:42 Uhr an einem Montagmorgen erhält Maria, CISO eines schnell wachsenden FinTech-SaaS-Anbieters, noch vor dem ersten Kaffee drei Nachrichten.
Die erste kommt vom SOC: Ein VPN-Konto eines Support-Mitarbeiters hat sich aus einem Land authentifiziert, in dem das Unternehmen keine Mitarbeitenden beschäftigt. Die zweite kommt vom Vertrieb: Ein Kunde aus dem Finanzsektor verlangt Nachweise, dass alle privilegierten Fernzugriffe durch MFA geschützt, protokolliert, segmentiert und im Rahmen DORA-konformer IKT-Risikokontrollen überprüft werden. Die dritte kommt aus der Rechtsabteilung: Dasselbe Ereignis könnte den Zugriff auf personenbezogene Daten betreffen; daher möchte der DPO wissen, ob die Nachweise zu GDPR Article 32 vollständig genug sind, um angemessene technische und organisatorische Maßnahmen zu belegen.
Noch ist nichts eskaliert. Keine Ransomware-Notiz. Keine bestätigte Datenexfiltration. Kein Kundenausfall.
Maria kennt jedoch die unbequeme Wahrheit. Wenn die Governance für Fernzugriffe schwach ist, wird jedes Compliance-Gespräch defensiv. Eine VPN-Anmeldung wird zu einer NIS2-Frage der Cyberhygiene. Ein Auftragnehmerkonto wird zu einer DORA-Frage des IKT-Drittparteienrisikos. Eine Remote-Desktop-Sitzung in einer Kundenumgebung wird zu einer GDPR-Frage der Sicherheit der Verarbeitung. Ein fehlendes Protokoll wird zu einer Audit-Feststellung.
Der externe Auditbericht, der bereits auf ihrem Schreibtisch liegt, verschärft die Lage. Die Auditoren haben keinen ausgefeilten Zero-Day-Angriff gefunden. Sie fanden gemeinsam genutzte Auftragnehmerkonten, uneinheitliche Multi-Faktor-Authentifizierung, veraltete VPN-Gruppen, ungesteuerte Ausnahmen und Gigabytes an Protokollen, die zu stark verrauscht waren, um Untersuchungen zu unterstützen. Technische Schulden wurden zu aufsichtsrechtlichem Risiko.
2026 sind sichere Fernzugriffe und VPN-Governance kein enges Thema der Netzwerksicherheit mehr. Sie sind ein Kontrollsystem mit Verantwortung auf Ebene des Leitungsorgans, das Identität, Endgerätesicherheit, Lieferantenzugriffe, Schwachstellenmanagement, Protokollierung, Reaktion auf Informationssicherheitsvorfälle, datenschutzrechtliche Rechenschaftspflicht und operative Resilienz verbindet.
Das Problem des Fernzugriffs hat sich verändert
Vor einigen Jahren bedeutete Governance für Fernzugriffe häufig eine einfache Antwort: „Wir haben ein VPN.“ Diese Antwort hält einer ernsthaften Prüfung nicht mehr stand.
Eine moderne Umgebung für Fernzugriffe kann Unternehmens-VPN-Konzentratoren, Zero-Trust-Network-Access-Gateways, Jump-Hosts für Privileged Access Management, Bastion-Hosts für Cloud-Administration, Remote-Desktop-Infrastruktur, Wartungstunnel von Lieferanten, Zugriffe durch Managed-Service-Provider, Notfallzugriffe über Break-Glass-Konten, SaaS-Administrationsportale, Entwicklerzugriffe auf Produktion, mobile Geräte, Heimnetzwerke, öffentliches Wi‑Fi und BYOD-Ausnahmen umfassen.
Jeder dieser Zugriffspfade kann zu einem regulatorischen Nachweispunkt werden.
NIS2 Article 21 erwartet angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen. Dazu gehören Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme, Umgang mit Informationssicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, sichere Beschaffung und Wartung, Umgang mit Schwachstellen, Richtlinien zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen, Cyberhygiene, Schulung zur Cybersicherheit, Kryptografie und Verschlüsselung, soweit relevant, HR-Sicherheit, Richtlinien zur Zugriffskontrolle, Asset-Management, Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, soweit angemessen, sichere Kommunikation und sichere Notfallkommunikation.
DORA verlangt von Finanzunternehmen dokumentierte Rahmenwerke für das Management von IKT-Risiken, IKT-Vorfallsprozesse, Tests der digitalen operativen Resilienz und Governance für IKT-Drittparteienrisiken. DORA Article 5 weist dem Leitungsorgan die Verantwortung zu, das Management von IKT-Risiken festzulegen, zu genehmigen, zu überwachen und dafür rechenschaftspflichtig zu bleiben. Article 28 verlangt, dass IKT-Drittparteienrisiken als integraler Bestandteil dieses Rahmenwerks gesteuert werden.
GDPR Article 32 verlangt angemessene technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung, einschließlich Vertraulichkeit, Integrität, Verfügbarkeit, Resilienz, Wiederherstellungsfähigkeit, Tests und der Fähigkeit nachzuweisen, dass personenbezogene Daten gegen unbefugten Zugriff, Verlust, Veränderung oder Offenlegung geschützt sind.
Das Problem des CISO ist nicht, ob das VPN funktioniert. Die eigentliche Frage lautet, ob die Organisation nachweisen kann, dass Fernzugriffe gesteuert, risikobewertet, genehmigt, gehärtet, überwacht, überprüft, getestet und in die Reaktion auf Informationssicherheitsvorfälle integriert sind.
Genau hier ist ISO/IEC 27001:2022 nützlich. Die Norm behandelt VPN nicht als eigenständige Appliance. Sie verortet Fernzugriff innerhalb des ISMS: Geltungsbereich, interessierte Parteien, Risikobeurteilung, Auswahl von Kontrollen, operative Planung, Lieferantenmanagement, internes Audit, Managementbewertung und kontinuierliche Verbesserung.
Beginnen Sie mit dem ISMS-Geltungsbereich, nicht mit der Firewall-Regel
Wenn Clarysec die Governance für Fernzugriffe überprüft, beginnen wir nicht mit der Frage nach einem Screenshot der VPN-Konfiguration. Wir beginnen mit der ISMS-Grenze.
ISO/IEC 27001:2022 verlangt von der Organisation, ihren Kontext, interessierte Parteien, Anforderungen und den ISMS-Geltungsbereich festzulegen, einschließlich Schnittstellen und Abhängigkeiten zu anderen Organisationen. Für Fernzugriffe muss der Geltungsbereich die Personen, Systeme, Lieferanten und Netzwerkdienste ausdrücklich umfassen, die Remote-Arbeit ermöglichen.
Eine SaaS- oder Finanztechnologie-Organisation sollte Folgendes identifizieren:
- Mitarbeitende, die aus der Ferne auf Produktivsysteme zugreifen
- Auftragnehmer und Entwickler mit Rechten zur Remote-Administration
- MSPs, MSSPs und andere Lieferanten mit operativem Zugriff
- Kundensupport-Mitarbeitende, die auf Mandantendaten zugreifen
- Finanz-, HR- und Rechtsnutzer, die aus der Ferne auf personenbezogene Daten zugreifen
- Cloud-Konsolen und APIs zur Remote-Verwaltung
- VPN-, ZTNA-, Identitätsanbieter- und Endpoint-Management-Plattformen
- Protokolle, SIEM-Integrationen und Speicherorte für die Aufbewahrung
- Ausnahmen für Fernzugriffe und Verfahren für Notfallzugriffe
- Von Lieferanten verwaltete Edge-Geräte und Fernzugriffswerkzeuge
Das ist mehr als Dokumentationshygiene. Der NIS2-Geltungsbereich kann je nach Größe, Sektor und Einstufung Cloud-Anbieter, Rechenzentren, MSPs, MSSPs, Anbieter elektronischer Kommunikationsdienste, Anbieter digitaler Infrastruktur und Anbieter verwalteter IKT-Dienste umfassen. DORA gilt für Finanzunternehmen und bildet für diese Unternehmen das sektorspezifische IKT-Risikoregime. GDPR kann für Organisationen innerhalb und außerhalb der EU gelten, wenn die Verarbeitung EU-Bürger, EU-Niederlassungen, in der Union angebotene Dienste oder die Beobachtung von Verhalten betrifft.
Wenn Ihr ISMS-Geltungsbereich den Fernzugriff Dritter, Remote-Administration, VPN-Infrastruktur oder lieferantenseitig verwaltete Konnektivität ignoriert, kann Ihr Kontrollset unvollständig sein, bevor der Auditor überhaupt mit Stichproben beginnt.
Bauen Sie einen Kontroll-Stack für Fernzugriffe auf
Ein belastbares Programm für Fernzugriffe sollte als Kontroll-Stack aufgebaut werden, nicht als einzelne Richtlinie. In der Clarysec-Umsetzungspraxis gehören zu den zentralen ISO/IEC 27002:2022-Kontrollen typischerweise:
- 6.7 Remote-Arbeit
- 5.15 Zugriffskontrolle
- 5.16 Identitätsmanagement
- 5.17 Authentifizierungsinformationen
- 5.18 Zugriffsrechte
- 8.5 sichere Authentifizierung
- 8.1 Benutzer-Endgeräte
- 8.8 Management technischer Schwachstellen
- 8.9 Konfigurationsmanagement
- 8.15 Protokollierung
- 8.16 Überwachungsaktivitäten
- 8.20 Netzwerksicherheit
- 8.22 Netzwerksegmentierung
- 5.19 Informationssicherheit in Lieferantenbeziehungen
- 5.20 Behandlung der Informationssicherheit in Lieferantenvereinbarungen
- 5.21 Management der Informationssicherheit in der IKT-Lieferkette
- 5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten
- 5.23 Informationssicherheit bei der Nutzung von Cloud-Services
- 5.24 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
- 5.26 Reaktion auf Informationssicherheitsvorfälle
- 5.28 Sammlung von Nachweisen
- 5.30 IKT-Bereitschaft für die Aufrechterhaltung des Geschäftsbetriebs
Zenith Controls: Der Leitfaden für Cross-Compliance ordnet Remote-Arbeit 6.7 als präventive Kontrolle ein, die Vertraulichkeit, Integrität und Verfügbarkeit unterstützt, mit operativen Verbindungen zu Asset-Management, Informationsschutz, physischer Sicherheit sowie System- und Netzwerksicherheit. Der Leitfaden verknüpft Remote-Arbeit außerdem mit Sicherheit von Assets außerhalb von Räumlichkeiten 7.9, Benutzer-Endgeräte 8.1, Sensibilisierung, Ausbildung und Schulung zur Informationssicherheit 6.3, Informationsübertragung 5.14, Netzwerksicherheit 8.20, Netzwerksegmentierung 8.22, Clear Desk und Clear Screen 7.7 sowie IKT-Bereitschaft für die Aufrechterhaltung des Geschäftsbetriebs 5.30.
Diese Beziehung ist entscheidend. Eine VPN-Anforderung ohne Endpoint-Management schützt nicht vor einem gestohlenen Laptop. MFA ohne Protokollierung unterstützt keine Untersuchung. Lieferantenzugriff ohne Segmentierung erhöht den Blast Radius. Remote-Arbeit ohne Vorfallmeldung verzögert die Eindämmung.
| Risiko beim Fernzugriff | Kontrollschwerpunkt nach ISO/IEC 27002:2022 | Von Auditoren erwartete Nachweise |
|---|---|---|
| Gestohlene Zugangsdaten werden über VPN genutzt | 8.5 sichere Authentifizierung, 5.15 Zugriffskontrolle, 5.17 Authentifizierungsinformationen | MFA-Konfiguration, Regeln für bedingten Zugriff, Warnmeldungen bei fehlgeschlagenen Anmeldungen, Authentifizierungsprotokolle |
| Ehemaliger Auftragnehmer behält Zugriff | 5.18 Zugriffsrechte, 5.16 Identitätsmanagement, 5.19 bis 5.23 Lieferantenkontrollen | Aufzeichnungen zu Eintritts-, Wechsel- und Austrittsprozessen, Offboarding-Tickets für Lieferanten, Nachweise zur Berechtigungsüberprüfung |
| Kompromittierter Laptop stellt Remote-Verbindung her | 8.1 Benutzer-Endgeräte, 6.7 Remote-Arbeit, 8.8 Management technischer Schwachstellen | Nachweise zur MDM-Compliance, EDR-Status, Verschlüsselungsnachweise, Patch-Berichte |
| VPN-Edge-Gerät ist ungepatcht | 8.8 Management technischer Schwachstellen, 8.9 Konfigurationsmanagement, 8.20 Netzwerksicherheit | Asset-Aufzeichnung, Scan-Ergebnisse, Patch-SLA, Ausnahmegenehmigung |
| Lieferant nutzt ein gemeinsames Remote-Konto | 5.15 Zugriffskontrolle, 5.16 Identitätsmanagement, 8.5 sichere Authentifizierung | Eindeutige Benutzerkennungen, personenbezogene Lieferantenkonten, MFA-Protokolle, vertragliche Anforderungen |
| Verdächtige Remote-Sitzung kann nicht rekonstruiert werden | 8.15 Protokollierung, 8.16 Überwachungsaktivitäten, 5.24 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen | VPN-Protokolle, Quell-IP-Adressen, Sitzungsdauer, SIEM-Warnmeldungen, Zeitachse des Vorfalls |
Der Kontroll-Stack verändert das Gespräch. Statt zu diskutieren, ob „VPN compliant ist“, schafft die Organisation ein nachvollziehbares Modell: Risiko des Fernzugriffs, ISO-Kontrolle, Richtlinienanforderung, technische Umsetzung, Nachweisverantwortlicher und Überprüfungsrhythmus.
Richtlinienabsicht in Auditnachweise überführen
Auditoren akzeptieren „wir nutzen normalerweise MFA“ selten als Nachweis. Sie erwarten formal genehmigte Anforderungen, umgesetzte Kontrollen und Aufzeichnungen, die den Betrieb belegen.
Das Richtlinien-Toolkit von Clarysec gibt Teams präzise Formulierungen, die sie übernehmen und anpassen können. Die Network Security Policy - SME legt in Clause 5.5.1 fest:
„VPN-Zugriff muss Multi-Faktor-Authentifizierung (MFA) erfordern und auf benanntes Personal beschränkt sein.“
Dieselbe SME-Richtlinie überführt Protokollierung in Clause 6.3.3 in eine Aufbewahrungsanforderung:
„Zugriff über VPN muss protokolliert werden; Sitzungsdauern und Quell-IP-Adressen sind mindestens 6 Monate aufzubewahren.“
Für Verhalten bei Remote-Arbeit legt die Remote Work Policy - SME in Clause 5.2.3 fest:
„Öffentliches Wi‑Fi darf nur genutzt werden, wenn ein sicherer Tunnel (VPN) aktiv ist.“
Für Unternehmensumgebungen ist die Remote Work Policy noch direkter. Clause 5.2.1.1 verpflichtet Personal dazu:
„Vom Unternehmen genehmigte VPN- oder Remote-Desktop-Infrastruktur zu nutzen.“
Clause 5.2.1.2 verpflichtet Organisationen dazu:
„Multi-Faktor-Authentifizierung (MFA) für alle Anmeldeversuche zu verlangen.“
Die Network Security Policy richtet die technische Basislinie in Clause 6.3.1 wie folgt aus:
„Alle Fernzugriffe müssen verschlüsselt sein, beispielsweise über IPsec oder SSL VPN, und Multi-Faktor-Authentifizierung (MFA) erfordern.“
Die Access Control Policy legt in Clause 5.6.1 fest:
„Zugriffsereignisse müssen protokolliert und gemäß der Logging and Monitoring Policy aufbewahrt werden.“
Für Lieferanten verlangt die Third party and supplier security policy in Clause 6.3.2:
„Jeder Zugang Dritter muss protokolliert und überwacht und, soweit praktikabel, über Bastion-Hosts, VPNs oder Zero-Trust-Gateways segmentiert werden.“
Die Vulnerability and Patch Management Policy - SME legt in Clause 6.5.1 fest:
„Systeme, die personenbezogene Daten verarbeiten, Fernzugriff bereitstellen oder extern erreichbar sind, müssen für Scans und Aktualisierungen priorisiert werden.“
Diese Klauseln werden wirksam, wenn sie mit operativen Nachweisen verbunden werden. Die Richtlinie sagt, dass MFA erforderlich ist. Der Identitätsanbieter belegt die Durchsetzung. Das VPN-Protokoll belegt die Nutzung. Die SIEM-Warnmeldung belegt die Überwachung. Die Berechtigungsüberprüfung belegt den fortbestehenden geschäftlichen Bedarf. Der Schwachstellenbericht belegt, dass der Fernzugriffsdienst priorisiert wird. Das Incident-Playbook belegt die Reaktionsbereitschaft.
Das ist der Unterschied zwischen dem Vorhandensein einer Richtlinie und dem Betrieb einer Kontrolle.
Die fünf Fragen, die jeder CISO beantworten sollte
Das Clarysec-Governance-Modell für Fernzugriffe ist um fünf Fragen aufgebaut, die für ISO 27001-Audits, NIS2-Bereitschaft, DORA-Überprüfungen von IKT-Risiken und Nachweispakete zu GDPR Article 32 funktionieren.
1. Wer darf sich aus der Ferne verbinden?
Fernzugriff muss auf autorisierte Benutzer, Rollen und Lieferanten beschränkt sein. ISO/IEC 27002:2022 Zugriffskontrolle 5.15, Identitätsmanagement 5.16 und Zugriffsrechte 5.18 bilden die Governance-Grundlage.
Zenith Controls ordnet Zugriffskontrolle 5.15 als präventive Kontrolle mit Fokus auf Identitäts- und Zugriffsmanagement ein. Die Kontrolle wird mit Identitätsmanagement, Zugriffsrechten, Authentifizierungsinformationen, Benutzer-Endgeräten, sicherer Authentifizierung und Richtlinieneinhaltung verknüpft. In der Praxis ist eine Zugriffsrichtlinie nur glaubwürdig, wenn Identitäten eindeutig, lebenszyklusgesteuert, authentifiziert und überprüft sind.
Eine gute Aufzeichnung zum Fernzugriff sollte beantworten:
- Welche Person oder welcher Lieferant hat Zugriff?
- Welche Systeme kann diese Person oder dieser Lieferant erreichen?
- Welche Rolle oder welcher Vertrag rechtfertigt den Zugriff?
- Wer hat den Zugriff genehmigt?
- Wird MFA durchgesetzt?
- Wann wurde der Zugriff zuletzt überprüft?
- Wann läuft der temporäre Zugriff ab?
- Welche Protokollquelle belegt die Nutzung?
Dies unterstützt außerdem die PR.AA-Ergebnisse des NIST Cybersecurity Framework 2.0 für Identitätsmanagement, Authentifizierung, Autorisierung, Prinzip der minimalen Berechtigung und Funktionstrennung.
2. Welcher Geräte- und Netzwerkzustand ist erforderlich?
Fernzugriff sollte vom Vertrauen in das Gerät abhängen, nicht nur von Benutzerzugangsdaten. Ein gültiges Passwort und eine MFA-Freigabe von einem nicht verwalteten, infizierten oder ungepatchten Gerät bleiben ein hohes Risiko.
Zenith Blueprint: Die 30-Schritte-Roadmap für Auditoren erläutert dies in der Phase „Controls in Action“, Step 16, People Controls II:
„Remote-Mitarbeitende sollten verpflichtet werden, ausschließlich vom Unternehmen genehmigte Geräte zu verwenden, die von der IT mit Festplattenvollverschlüsselung, aktivem Endpunktschutz, automatischem Patchen und durchgesetzten Zeitüberschreitungen für die Bildschirmsperre konfiguriert wurden.“
Derselbe Schritt betont, dass Fernzugriff über das Unternehmens-VPN erfolgen sollte, idealerweise geschützt durch MFA, und dass BYOD verboten oder nur unter strengen Bedingungen erlaubt sein sollte, etwa bei MDM-Registrierung, Containerisierung und Fernlöschung.
Hier laufen Benutzer-Endgeräte 8.1, Remote-Arbeit 6.7, Management technischer Schwachstellen 8.8, Konfigurationsmanagement 8.9 und Netzwerksicherheit 8.20 zusammen.
Für GDPR Article 32 ist der Gerätezustand relevant, weil Remote-Endpunkte Teil der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind. Für DORA unterstützt der Gerätezustand das Management von IKT-Risiken und die operative Resilienz. Für NIS2 unterstützt er Cyberhygiene, Zugriffskontrolle, Asset-Management und den Umgang mit Schwachstellen.
3. Wie wird die Sitzung geschützt?
Eine sichere Fernzugriffssitzung sollte verschlüsselte Übertragung, starke Authentifizierung, Segmentierung und kontrollierte administrative Zugriffspfade nutzen.
Zenith Blueprint, Phase Risikomanagement, Step 14, Risk Treatment Policies and Regulatory Cross-References, formuliert die Erwartung an Fernzugriffe:
„Jeder Fernzugriff auf interne Systeme muss ein sicheres VPN oder eine gleichwertige verschlüsselte Verbindung nutzen. Multi-Faktor-Authentifizierung (MFA) ist für die Remote-Anmeldung an Unternehmensnetzwerken erforderlich.“
Step 20, Controls 8.18 to 8.26, weist Organisationen an, die Sicherheit von Netzwerkdiensten zu validieren, indem alle internen und externen Netzwerkdienste wie DNS, VPN, SMTP, DHCP und API-Gateways aufgelistet, sichere Protokolle bestätigt, Zugriffskontrollen überprüft und Sicherheitsklauseln für Dritte geprüft werden, wenn Dienste extern verwaltet werden.
Ein VPN ist nicht nur ein Gerät. Es ist ein Netzwerkdienst mit Protokollentscheidungen, Zugriffsbeschränkungen, Zertifikaten, Firewall-Pfaden, Drittparteienabhängigkeiten, Patch-Pflichten und Protokollen.
4. Wie wird Zugriff überwacht und untersucht?
Governance für Fernzugriffe muss Protokollierung und Überwachung umfassen. NIS2 Article 23 setzt gestufte Meldeerwartungen für erhebliche Vorfälle, darunter eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. DORA verlangt von Finanzunternehmen, größere IKT-bezogene Vorfälle zu erkennen, zu steuern, zu klassifizieren, zu eskalieren und zu melden, einschließlich Ursachenanalyse und Kommunikation, wenn finanzielle Interessen von Kunden betroffen sind. Die Analyse von GDPR-Verstößen hängt davon ab, ob nachvollzogen werden kann, ob auf personenbezogene Daten zugegriffen wurde, ob sie verändert, offengelegt, verloren oder anderweitig kompromittiert wurden.
Ohne Fernzugriffsprotokolle kann die Organisation die erste Frage der Aufsichtsbehörde nicht belastbar beantworten: Was ist passiert?
Eine belastbare Protokollierung sollte Benutzeridentität, Authentifizierungsergebnis, Quell-IP, Geolokation, soweit angemessen, Geräteidentität, Zielservice, privilegierte Aktion, Sitzungsdauer, fehlgeschlagene Versuche, administrative Änderungen und Korrelationen mit Endpoint- und Identitätsereignissen erfassen.
5. Wie werden Ausnahmen und Schwachstellen behandelt?
Fernzugriffsinfrastruktur ist hochsensibel. VPN-Gateways, ZTNA-Appliances, Identitätsanbieter, Bastion-Hosts und Remote-Desktop-Dienste sollten zu den am höchsten priorisierten Assets im Schwachstellenprogramm gehören.
Ein reifer Ausnahmeprozess sollte Asset-Verantwortlichen, betroffenen Fernzugriffsdienst, Schweregrad der Schwachstelle, Ausnutzbarkeit, Datenexposition, temporäre kompensierende Kontrollen, Genehmigung durch den Risikoverantwortlichen, Ablaufdatum, Nachweise für erneute Tests sowie eine Verknüpfung mit Risikoregister und Risikobehandlungsplan enthalten.
Für ISO/IEC 27001:2022 unterstützt dies Risikobehandlung, operative Steuerung und kontinuierliche Verbesserung. Für DORA unterstützt es IKT-Risikomanagement, Tests und Mängelbehebung. Für NIS2 unterstützt es den Umgang mit Schwachstellen und Korrekturmaßnahmen ohne unangemessene Verzögerung. Für GDPR hilft es nachzuweisen, dass die Sicherheit der Verarbeitung risikobasiert und nicht ad hoc umgesetzt wurde.
Fernzugriff durch Lieferanten ist die versteckte Auditfalle
Viele Fehler bei Fernzugriffen sind keine Fehler von Mitarbeitenden. Es sind Fehler in der Lieferanten-Governance.
Ein MSP besitzt ein altes VPN-Konto. Ein Softwareanbieter nutzt gemeinsam genutzte Zugangsdaten. Ein Support-Partner verbindet sich per Remote-Desktop, um ein kundenrelevantes Problem zu beheben. Ein Cloud-Anbieter verwaltet das Remote-Access-Gateway. Ein Auftragnehmer behält nach Projektabschluss Zugriff.
DORA ist hier besonders streng. Article 28 verlangt von Finanzunternehmen, IKT-Drittparteienrisiken als Teil des Rahmenwerks für das Management von IKT-Risiken zu steuern und auch dann vollständig verantwortlich zu bleiben, wenn IKT-Dienste ausgelagert werden. Erwartet werden Register der vertraglichen IKT-Vereinbarungen, Sorgfaltsprüfungen, Informationssicherheitsstandards, Audit- und Inspektionsrechte, Kündigungsrechte, Analyse von Konzentrationsrisiken und Exit-Strategien für kritische oder wichtige Funktionen. Article 30 konkretisiert vertragliche Regelungen wie Datenschutz, Service Levels, Orte der Verarbeitung, Zugriff auf und Wiederherstellung von Daten, Unterstützung bei Vorfällen, Zusammenarbeit mit Behörden, Sicherheitsmaßnahmen, Auditrechte und Exit-Unterstützung.
NIS2 Article 21 umfasst außerdem Sicherheit der Lieferkette sowie Beziehungen zu Lieferanten und Dienstleistern, mit Fokus auf lieferantenspezifische Schwachstellen und Cybersicherheitspraktiken von Lieferanten.
NIST CSF 2.0 GV.SC bietet ein praktikables Betriebsmodell: Strategie für Lieferkettenrisiken, Rollen, Kritikalität von Lieferanten, vertragliche Anforderungen, Sorgfaltsprüfung, Überwachung, Beteiligung an Vorfällen und Aktivitäten nach Beendigung der Geschäftsbeziehung.
Für Clarysec-Kunden ist die praktische Regel einfach: Fernzugriff Dritter muss als privilegierter Zugriff behandelt werden, sofern nicht das Gegenteil nachgewiesen ist. Er sollte personenbezogen, genehmigt, zeitlich begrenzt, durch MFA geschützt, protokolliert, überwacht und segmentiert sein.
Cross-Compliance-Mapping: ein Kontrollsystem, viele Verpflichtungen
Governance für Fernzugriffe ist eines der stärksten Beispiele für Cross-Compliance. Dieselben Nachweise können mehrere Verpflichtungen erfüllen, wenn sie richtig gestaltet sind.
| Compliance-Treiber | Erwartung an Fernzugriffe | Vorzuhaltende Nachweise |
|---|---|---|
| ISO/IEC 27001:2022 | Risikobasierte Kontrollauswahl, Zugriffsgovernance, Lieferantenkontrolle, operative Nachweise und kontinuierliche Verbesserung | Risikobeurteilung, Anwendbarkeitserklärung, Richtlinien, Berechtigungsüberprüfung, Protokolle, Feststellungen aus internen Audits |
| NIS2 | Cyberhygiene, Zugriffskontrolle, Asset-Management, MFA soweit angemessen, Umgang mit Informationssicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs und Sicherheit der Lieferkette | MFA-Aufzeichnungen, Schulung zu Cyberhygiene, Kontrollen für Lieferantenzugriffe, Vorfallsberichte, Korrekturmaßnahmen |
| DORA | Governance für IKT-Risiken, starke Authentifizierung, Vorfallslebenszyklus, Resilienztests, IKT-Drittparteienrisiken und Rechenschaftspflicht des Leitungsorgans | IKT-Risikoregister, Tests von Fernzugriffen, Vorfallsklassifizierungen, Lieferantenregister, Exit-Pläne, Auditrechte |
| GDPR Article 32 | Angemessene Sicherheit der Verarbeitung, Vertraulichkeit, Integrität, Verfügbarkeit, Resilienz, Tests und Rechenschaftspflicht | Zugriffsprotokolle, Verschlüsselungsnachweise, MFA-Durchsetzung, Aufzeichnungen zur Bewertung von Verstößen, Testergebnisse |
| NIST CSF 2.0 | Ergebnisse in Govern, Identify, Protect, Detect, Respond und Recover | Ist- und Zielprofile, Asset-Inventar, PR.AA-Identitätskontrollen, DE.CM-Überwachung, RS.AN-Analyse |
| COBIT 2019 und ISACA-Assurance | Governance-Ziele, Managementpraktiken, Kontrolldesign und operative Wirksamkeit | RACI, Prozesseigentümerschaft, Kennzahlen zur Kontrollleistung, Prüfpfad, Nachverfolgung der Mängelbehebung |
Eine detailliertere ISO-Kontrollzuordnung zeigt, warum Governance für Fernzugriffe so hohen Compliance-Wert hat.
| ISO/IEC 27002:2022-Kontrolle | NIS2-Ausrichtung | DORA-Ausrichtung | Nachweis zu GDPR Article 32 |
|---|---|---|---|
| 6.7 Remote-Arbeit | Unterstützt Cyberhygiene nach Article 21, Zugriffskontrolle und sichere Arbeitspraktiken | Unterstützt IKT-Richtlinien und Verfahren für Remote-Arbeit und operative Resilienz | Belegt organisatorische Maßnahmen für Personal, das personenbezogene Daten außerhalb des Büros verarbeitet |
| 8.5 sichere Authentifizierung | Unterstützt Article 21(2)(j) zu Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung, soweit angemessen | Unterstützt Erwartungen an starke Authentifizierung im Rahmen von IKT-Schutz- und Präventionsmaßnahmen | Belegt eine technische Maßnahme zur Reduzierung unbefugter Zugriffe auf personenbezogene Daten |
| 8.20 Netzwerksicherheit | Unterstützt sichere Kommunikation, Verschlüsselung und Schutz von Netzwerkdiensten | Unterstützt den Schutz vor Eindringen, Missbrauch und unbefugtem IKT-Zugriff | Zeigt den Schutz von Daten während der Übertragung und kontrollierte Netzwerkpfade |
| 8.22 Netzwerksegmentierung | Unterstützt die Begrenzung von Auswirkungen und die Durchsetzung von Zugriffskontrollgrenzen | Unterstützt Resilienz und Eindämmung für kritische oder wichtige Funktionen | Reduziert die Exponierung personenbezogener Daten durch Begrenzung erreichbarer Systeme |
| 5.19 bis 5.23 Lieferantenkontrollen | Unterstützt Sicherheit der Lieferkette nach Article 21(2)(d) | Unterstützt Articles 28 und 30 zu IKT-Drittparteienrisiken und vertraglicher Governance | Unterstützt Rechenschaftspflicht von Auftragsverarbeitern und Lieferanten für sicheren Zugriff |
| 8.15 Protokollierung und 8.16 Überwachungsaktivitäten | Unterstützt den Umgang mit Informationssicherheitsvorfällen und die Bewertung der Wirksamkeit | Unterstützt Erkennung, Klassifizierung, Eskalation und Meldung von IKT-Vorfällen | Unterstützt die Bewertung von Verstößen und forensische Nachweise |
| 8.8 Management technischer Schwachstellen | Unterstützt sichere Wartung und den Umgang mit Schwachstellen | Unterstützt Reduzierung von IKT-Risiken, Tests und Mängelbehebung | Zeigt risikobasierten Schutz von Systemen, die personenbezogene Daten verarbeiten |
NIS2 führt außerdem eine ausdrückliche Rechenschaftspflicht des Managements ein. Article 20 verlangt von Leitungsorganen wesentlicher und wichtiger Einrichtungen, Cybersicherheits-Risikomanagementmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und Schulungen zu absolvieren. DORA Article 5 verlangt in ähnlicher Weise vom Leitungsorgan von Finanzunternehmen, Regelungen für das Management von IKT-Risiken festzulegen, zu genehmigen, zu überwachen und dafür verantwortlich zu bleiben.
Das Leitungsorgan muss nicht jede Firewall-Regel genehmigen. Es sollte aber das Risikoprofil für Fernzugriffe genehmigen: MFA verpflichtend, Lieferantenzugriffe protokolliert, privilegierte Zugriffe segmentiert, Fernzugriffsinfrastruktur innerhalb definierter Fristen gepatcht, Ausnahmen zeitlich begrenzt und Cybervorfälle über vereinbarte Kanäle eskaliert.
Ein 90-minütiger Nachweis-Sprint für Fernzugriffe
Eine praktische Möglichkeit, Lücken sichtbar zu machen, ist der Aufbau eines Mini-Nachweispakets zu einem Zugriffspfad. Wählen Sie ein Beispiel, etwa „VPN-Zugriff für Support-Ingenieure in der Produktion“, und führen Sie dann den folgenden Sprint durch.
| Minute | Aktivität | Ergebnis |
|---|---|---|
| 0 bis 10 | Zugriffspfad definieren | Ein Satz, der beschreibt, wer sich von wo, worauf und warum verbindet |
| 10 bis 25 | Anwendbare Richtlinien zuordnen | Klauseln aus Remote Work Policy, Network Security Policy, Access Control Policy und Supplier Security Policy, soweit relevant |
| 25 bis 40 | Technische Durchsetzung erfassen | Screenshots oder Exporte als Nachweis für MFA, Verschlüsselung, Gruppenmitgliedschaft und bedingten Zugriff |
| 40 bis 55 | Protokolle erfassen | Aktuelle erfolgreiche Anmeldung, fehlgeschlagene Anmeldung, Quell-IP, Sitzungsdauer und Beispiel für eine SIEM-Warnmeldung |
| 55 bis 70 | Schwachstellen und Gerätezustand prüfen | Patch-Status des VPN-Assets, Bericht zur Endpoint-Compliance und offene Ausnahmen |
| 70 bis 80 | Nachweise zur Berechtigungsüberprüfung prüfen | Letzte Berechtigungsüberprüfung, entfernte Benutzer, genehmigte Ausnahmen und Freigabe durch den Verantwortlichen |
| 80 bis 90 | Audit-Narrativ erstellen | Einseitige Erläuterung, die Risiko, Kontrolle, Richtlinie, Umsetzung und Nachweise zuordnet |
Das Ziel ist nicht Papierarbeit. Ziel ist es, Richtlinie und Nachweis zu verbinden. Wenn das Nachweispaket für einen Zugriffspfad nicht fertiggestellt werden kann, hat die Organisation eine echte Governance-Lücke gefunden, bevor der Auditor oder die Aufsichtsbehörde sie findet.
Diese Übung passt auch zur Profil-Methode des NIST CSF 2.0: Profil abgrenzen, Richtlinien und Anforderungen zusammentragen, aktuelle und angestrebte Ergebnisse dokumentieren, Lücken analysieren, priorisierten Maßnahmenplan erstellen und Verbesserungen umsetzen.
Wie Auditoren Fernzugriffe prüfen werden
Ein Audit von Fernzugriffen kann sich je nach Hintergrund des Auditors unterschiedlich anfühlen. Zenith Controls hilft Organisationen bei der Vorbereitung, weil es Beziehungen zwischen ISO/IEC 27002:2022-Kontrollen in eine Cross-Compliance-Sicht überführt, statt nur eine einzelne Checkliste bereitzustellen.
| Prüfperspektive | Wahrscheinliche Frage | Belastbare Antwort |
|---|---|---|
| ISO 27001 | Warum haben Sie diese Kontrollen für Fernzugriffe ausgewählt? | Risikobeurteilung, Begründung in der SoA, Behandlungsplan und Richtlinienzuordnung |
| NIST CSF 2.0 | Was ist Ihr aktueller Zustand und Ihr Zielzustand? | Profil, Lückenanalyse, priorisierter Maßnahmenplan und umgesetzte Verbesserungen |
| COBIT 2019 | Wer ist für die Governance von Fernzugriffen rechenschaftspflichtig? | RACI, Prozessverantwortlicher, Managementbewertung und Kontrollkennzahlen |
| DORA | Wie steuern Sie IKT-Drittparteien-Fernzugriffe? | Lieferantenregister, Sorgfaltsprüfung, Vertragsklauseln, Auditrechte und Exit-Plan |
| GDPR | Können Sie nachweisen, dass der Zugriff auf personenbezogene Daten kontrolliert war? | MFA, Prinzip der minimalen Berechtigung, Protokolle, Berechtigungsüberprüfung und Aufzeichnungen zur Bewertung von Verstößen |
Eine auditfähige Organisation sucht nicht hektisch nach Screenshots. Sie unterhält ein lebendes Nachweissystem.
Häufige Feststellungen 2026
In Assessments sieht Clarysec wiederholt dieselben Probleme bei Fernzugriffen:
- MFA ist für Mitarbeitende aktiviert, jedoch nicht für Lieferanten, Notfallkonten oder Legacy-VPN-Profile
- Protokolle zu Fernzugriffen existieren, werden aber nicht lange genug aufbewahrt, nicht zentralisiert oder nicht mit Identitäten verknüpft
- Endpoint-Compliance wird getrennt vom VPN-Zugriff gesteuert, sodass nicht verwaltete Geräte weiterhin eine Verbindung herstellen können
- Berechtigungsüberprüfung konzentriert sich auf Geschäftsanwendungen, ignoriert aber VPN-Gruppen, Bastion-Berechtigungen und Cloud-Admin-Rollen
- Fernzugriffsinfrastruktur fehlt in der Prioritätenliste des Schwachstellenmanagements
- Lieferantenzugriff wird informell genehmigt und ist nicht in Verträgen abgebildet
- Ausnahmen haben kein Ablaufdatum, keine kompensierende Kontrolle oder keine Genehmigung durch den Risikoverantwortlichen
- Break-Glass-Konten werden nicht getestet, überwacht oder überprüft
- Privilegierte Sitzungen sind nicht vom allgemeinen Fernzugriffsverkehr segmentiert
- Incident-Response-Playbooks enthalten keine Sammlung von Nachweisen zu Fernzugriffen
Diese Feststellungen sind vermeidbar. Sie entstehen meist durch fragmentierte Verantwortlichkeiten. Netzwerkteams verantworten VPN. IAM verantwortet MFA. IT verantwortet Geräte. Beschaffung verantwortet Lieferantenverträge. Recht verantwortet Bedingungen zur Datenverarbeitung. Das SOC verantwortet Warnmeldungen. Compliance verantwortet Auditnachweise.
Das ISMS muss sie verbinden.
Das Zielbetriebsmodell für sichere Fernzugriffe
Ein reifes Governance-Modell für sichere Fernzugriffe und VPN sollte die folgenden operativen Praktiken umfassen:
- Inventar aller Methoden für Fernzugriffe pflegen, einschließlich VPN, ZTNA, RDP, Bastion-Hosts, SaaS-Administrationsportale und Lieferantentunnel
- MFA für alle Fernzugriffe verlangen, einschließlich Lieferanten, Administratoren und Notfallkonten
- Gerätekonformität vor Zugriff durchsetzen, soweit technisch möglich
- Segmentierung, Bastion-Hosts oder Zero-Trust-Gateways für privilegierte Zugriffe und Zugang Dritter nutzen
- Quell-IP, Benutzeridentität, Authentifizierungsergebnis, Zielsystem und Sitzungsdauer protokollieren
- Protokolle entsprechend Richtlinie, regulatorischen Anforderungen und Untersuchungsbedarf aufbewahren
- Fernzugriffssysteme für Schwachstellenscans und Patching priorisieren
- Zugriffsrechte regelmäßig sowie bei Rollenänderung, Austritt oder Änderung eines Lieferantenvertrags überprüfen
- Notfall-, temporäre und Lieferantenzugriffe zeitlich begrenzen
- Fernzugriffe in Reaktion auf Informationssicherheitsvorfälle, Bewertung von Verstößen und Krisenübungen einbeziehen
- Resilienz von Fernzugriffen und Backup-Zugriffspfade testen, soweit für die Aufrechterhaltung des Geschäftsbetriebs erforderlich
- Fernzugriff durch Lieferanten in Verträge, Sorgfaltsprüfung, Überwachung und Exit-Planung integrieren
- Risikokennzahlen zu Fernzugriffen an das Management berichten
Für Maria wird daraus ein praktikabler Maßnahmenplan. In den ersten zwei Wochen nutzt sie Zenith Blueprint, um Governance-Dokumente zu aktualisieren, Richtlinien an NIS2- und DORA-Verpflichtungen auszurichten und die Genehmigung des Managements einzuholen. Im folgenden Monat setzen ihre IT- und Sicherheitsteams MFA für alle Fernzugriffsprofile durch, segmentieren Auftragnehmerzugriffe, optimieren die Protokollierung und priorisieren VPN- und ZTNA-Systeme für die Schwachstellenbehebung. Fortlaufend führt sie vierteljährliche Berechtigungsüberprüfungen durch, testet die Sammlung von Vorfallsnachweisen und berichtet Risikokennzahlen an das Leitungsorgan.
Das Ergebnis ist nicht nur eine sauberere VPN-Konfiguration. Es ist ein Kontrollsystem für Fernzugriffe, das Audits standhält, die Reaktion auf Informationssicherheitsvorfälle unterstützt und reale operative Risiken reduziert.
Bauen Sie Ihr Nachweispaket für Fernzugriffe vor dem nächsten Vorfall auf
Die VPN-Warnmeldung am Montagmorgen muss nicht zur Krise werden. Sie sollte jedoch zu einem Governance-Test werden.
Können Sie den Benutzer identifizieren? Können Sie MFA nachweisen? Können Sie den Gerätezustand bestätigen? Können Sie die Sitzung rekonstruieren? Können Sie feststellen, ob personenbezogene Daten zugänglich waren? Können Sie zeigen, dass das Konto genehmigt und überprüft wurde? Können Sie nachweisen, dass das VPN-Gerät gepatcht war? Können Sie belegen, dass Lieferantenzugriffe protokolliert und segmentiert sind? Kann das Management das Risiko erkennen?
Wenn die Antwort „noch nicht“ lautet, kann Clarysec unterstützen.
Beginnen Sie mit Zenith Blueprint: Die 30-Schritte-Roadmap für Auditoren, um Ihre Umsetzungs-Roadmap für ISO/IEC 27001:2022 zu strukturieren, insbesondere Step 14 für Richtlinien zur Risikobehandlung, Step 16 für Kontrollen zur Remote-Arbeit, Step 19 für sichere Authentifizierung und Step 20 für Sicherheit von Netzwerkdiensten. Nutzen Sie Zenith Controls: Der Leitfaden für Cross-Compliance, um Remote-Arbeit, Zugriffskontrolle, sichere Authentifizierung, Lieferantenkontrollen, Protokollierung und Netzwerksicherheit den zugehörigen ISO/IEC 27002:2022-Kontrollen und Cross-Compliance-Nachweisen zuzuordnen.
Operationalisieren Sie die Anforderungen anschließend mit Clarysec-Richtlinien wie der Remote Work Policy, Network Security Policy, Access Control Policy, Third party and supplier security policy sowie SME-fähigen Entsprechungen.
Ihr nächstes Audit sollte nicht der erste Zeitpunkt sein, an dem Ihre Nachweise zu Fernzugriffen zusammengestellt werden. Bauen Sie sie jetzt auf, testen Sie sie jetzt, und machen Sie Governance für sichere Fernzugriffe zu einem der stärksten Bestandteile Ihres Compliance-Programms. Kontaktieren Sie Clarysec für eine Bewertung der Governance von Fernzugriffen, laden Sie die Richtlinienvorlagen herunter oder buchen Sie eine Demo, um zu sehen, wie Ihre aktuellen Kontrollen ISO 27001, NIS2, DORA und GDPR Article 32 zugeordnet werden.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
