Kritische Infrastrukturen KRITIS-konform aus der Ferne managen? Das geht: mit einer cloudbasierten Zugriffsplattform, die für NIS2-betroffene Unternehmen ebenso interessant sein dürfte wie für alle, die ihre kritischen Systeme besser gegen Cyberattacken schützen wollen.
KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen.
Für den Betrieb kritischer Infrastruktur gelten besonders hohe Sicherheitsanforderungen, die im KRITIS-Dachgesetz festgehalten sind. Dies hat zur Folge, dass zum Beispiel Remote Monitoring oder Fernwartung für Leitwarten von Energieversorgern nicht so leicht umgesetzt werden können wie der Zugriff auf klassische Office-Anwendungen aus dem Homeoffice.
Die gute Nachricht: Ein KRITIS-konformer Fernzugriff für das Monitoring und Management kritischer Infrastrukturen und Applikationen ist mithilfe einer speziell aufgebauten Cloud-Architektur gut machbar und sogar BSI-auditfähig. So können auch hier Unternehmen und Mitarbeitende von den Remote-Work-Vorteilen profitieren, ohne Kompromisse bei der Sicherheit machen zu müssen.
Eine solche Lösung dürfte auch für Unternehmen interessant sein, die bisher nicht KRITIS-konform aufgestellt waren, aber aufgrund von NIS2 bald neu als Betreiber kritischer Infrastruktur gezählt werden. So gelten beispielsweise Anlagen und Services als kritisch, wenn sie mindestens 500.000 Personen versorgen – egal, ob es sich dabei um Logistik-Unternehmen, Krankenhäuser, Pharmaunternehmen, Labore, Wasserwirtschaftsunternehmen, Lebensmittelproduktion, -verarbeitung und -handel, Abfallwirtschaft und Recycling oder andere handelt.
Auch Unternehmen, die unabhängig von dieser Gesetzeslage, aber aufgrund der steigenden Anzahl von Cyberangriffen eigene kritische Systeme besser schützen wollen, ohne auf den Komfort von Remote Work zu verzichten, können von einer KRITIS-konformen Zugriffsarchitektur in der Cloud profitieren.
Remote Monitoring und Management nach dem Zero-Trust-Prinzip
Um bestehende Management- und Monitoring-Systeme für kritische Infrastruktur und Applikationen KRITIS-konform zu machen, müssen sie nicht ausgetauscht werden. Die Grundidee ist, für ihre Bedienung aus der Ferne eine cloudbasierte Zugriffumgebung vorzuschalten, die dem Zero-Trust-Prinzip folgt und so für höchste Sicherheit sorgt, denn es gilt:
Niemand, kein Gerät, kein Benutzer, keine Applikation, genießt Vertrauen. Jeder wird als potenzielles Sicherheitsrisiko behandelt.
Das Zero-Trust-Netzwerk wird in kleine, jeweils streng kontrollierte Bereiche segmentiert, um die Risiken für einen Angriff zu reduzieren.
Benutzer und Geräte erhalten immer nur die Zugriffsrechte, die für ihre Aufgaben minimal notwendig sind.
Für den Zugriff auf kritische Applikationen gelten strenge Regeln zur Authentifizierung und Autorisierung.
Identität und Status von Benutzern und Geräten werden auch während laufender Sitzungen kontinuierlich überwacht, um Missbrauch zu vermeiden oder zumindest frühzeitig aufzudecken.
Damit eine KRITIS-konforme Zugriffsumgebung technisch umgesetzt werden kann, braucht es einige organisatorische Vorbereitungen. Dazu gehört zum Beispiel die Definition von Rollenkonzepten für die Zugriffsrechte sowie die Festlegung von Compliance-Regeln. Wichtig ist außerdem die Klärung der Frage, wer dann für die cloudbasierte Zugriffsumgebung nach der Inbetriebnahme als Betreiber fungiert und sich um die kontinuierlichen Aufgaben wie das Release Management kümmert, wer als Security Operations Center (SOC) die Cybersicherheitsrisiken von innen und außen im Auge behält, und wie das Security Information und Event Management (SIEM) umgesetzt werden soll, das relevante Sicherheitsmeldungen und -alarme aus Anwendungen und Netzwerkkomponenten überwacht.
KRITIS-konformer Zugriff via Microsoft Azure Cloud
Da viele Unternehmen in einer Microsoft-basierten Umgebung arbeiten, wird hier gezeigt, wie eine KRITIS-konforme Zugriffsarchitektur für kritische Applikationen und Infrastrukturen mit verschiedenen Komponenten in einer Microsoft Azure Cloud umgesetzt werden kann. So entsteht zwar ein isolierter, aber nicht völlig neuartiger Teil einer IT-Architektur. Eine sichere cloudbasierte Zugriffsplattform lässt sich nach dem Zero-Trust-Prinzip in diesen vier logische Ebenen aufbauen:
1. Schutzebene Identität: Das Rollenkonzept legt granular die Nutzungsberechtigungen der Mitarbeitenden im Unternehmen fest, separat für Nutzer und Administratoren. Hier gewährleistet die passwortlose Multi-Faktor-Authentifizierung (MFA) – beispielsweise per FIDO2 Security Sticks (Fast Identity Online) – ein Höchstmaß an Sicherheit. Unternehmen, die von Beginn an auf eine passwortlose Authentifizierung setzen, können so die Angriffsflächen persönlicher Passwörter vollständig vermeiden. Ergänzend können weitere Bedingungen für einen Zugriff umgesetzt werden – zum Beispiel, dass nur vom Unternehmens-Laptop oder nur aus Deutschland ein Zugriff erfolgen kann. Wer für den Zugriff außerdem Plausibilitätsprüfungen durchführen und Bedrohungen analysieren möchte, kann hier Entra ID von Microsoft als Plattform für die Identitätsverwaltung nutzen. Sie wertet pro Tag weltweit ca. 6,5 Billionen Signale automatisch aus und kann entsprechende Maßnahmen einleiten. Schließlich wir auf dieser Ebene jeder Login und Zugriff der Identitäten überwacht, protokolliert und bei Erkennung von Risiken gesperrt.
KRITIS-konforme Zugriffsarchitektur für kritische Infrastrukturen aus der Microsoft Azure Cloud.
(Bild: BTC AG)
2. Schutzebene Client: Kritische Applikationen und Infrastrukturen können über virtuelle Zugriffs-Clients wie Azure Virtual Desktop mit entsprechenden Konfigurationen sicherer und KRITIS-konform gemacht werden. Sie lassen sich außerdem durch spezifische Einstellungen und Sicherheitsfunktionen wie Bitlocker, Smart-Screen und Device Guard absichern, die mit Microsoft Intune verwaltet werden können. Um auf dieser Ebene ungewollte Veränderungen nachvollziehbar zu machen, ist hier ein aktives Threat and Vulnerability Mangement (TVM) sowie ein Patch- und Release Management wichtig. Verdächtige Vorgänge in einem Zugriffs-Client sollten dabei automatisch die Isolierung des betroffenen Clients zur Folge haben. SOLL-IST Abgleiche und die Erkennung bestimmter Zustände erlauben die Alarmierung betriebsführender Einheiten, so dass die operative Sicherheit und Verfügbarkeit wieder hergestellt werden können.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3. Schutzebene Netzwerk: Der Zugriffs-Client kommuniziert nur über Firewalls und erhält gemäß dem Zero-Trust-Prinzip nur auf das nötigste eingeschränkte Zugänge. Erlaubt werden nur einzeln definierte benötigte Zugriffe auf spezifische Applikation, Funktionen und Webservices. Außer den Firewalls sorgen auch Web-Security Gateways für die Einhaltung dieses Prinzips, so dass der Zugriff auf kritische Applikationen und Infrastrukturen nur in diesem engen erlaubten Korridor möglich ist.
4. Schutzebene Applikationszugriff: Sollten VPN-Verbindungen notwendig sein, werden sie dem Zero-Trust-Prinzip entsprechend zentral verwaltet und nur benutzerspezifisch erlaubt. Die Berechtigung für jeden Nutzer wird über die Mitgliedschaft in Berechtigungsgruppen festgehalten und schaltet nur notwendigen Verbindungen für den jeweiligen Arbeitsbereich frei. So kann ein Benutzer nur im Rahmen seiner definierten Rolle Netzwerkzugriffe tätigen.
Kritische Infrastruktur sicher remote managen
Eine solche Architektur ist KRITIS-konform und BSI-auditfähig. Ihr Beispiel zeigt, wie Unternehmen bestehende kritische Applikationen und Infrastrukturen durch eine cloudbasierte Zugriffsplattform ergänzen und die Sicherheit im Rahmen von NIS2 oder zum eigenständigen Schutz gegen Cyberattacken auf kritische Systeme deutlich erhöhen können. Den Betrieb einer solchen cloudbasierten Zugriffsplattform können die Unternehmen selbst übernehmen oder ihrem Cloudanbieter bzw. einem separaten Dienstleister übergeben. Ihre Umsetzung lässt sich meist gut in die eigene IT- und Cloud-Strategie einbetten. So können Unternehmen auch kritische Infrastrukturen flexibel mit verteilten Teams auch ortsunabhängig sicher managen.
* Die Autoren: Florian Bobe (l.) ist Senior Consultant, Rene Sokoll Solution Architect, beide bei der BTC AG.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/d3/40d35d2911c6efc9fe034de15cdbf406/0128776073v1.jpeg "52 Prozent der Befragten gehen davon aus, dass jährlich mindestens zehn bis 20 Prozent ihres IT-Budgets vermeidbar sind. (Bild: SAP LeanIX)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/6c/976cff4c82dd3a99f7fdd0fe4704feea/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/37/b0370ece0abae67ce95463b8cb22503e/0128775212v1.jpeg "Angesichts der aktuellen geopolitischen Lage und regulatorischen Anforderungen müssen Banken und Versicherer Strategien entwickeln, um ihre Abhängigkeit von globalen Cloud-Anbietern zu reduzieren und gleichzeitig Effizienz und Innovation zu sichern. (Bild: © Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/0d/ff0d69bf7d5c6f7dd3def3e53e738e1d/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/07/76076a7142f28c8bbacb5f16e8f642d4/0129101398v1.jpeg "European Sovereign Cloud 2026 & darüber hinaus: AWS + Storm Reply, ein Interview von Oliver Schonschek, Insider Research, mit Dr. Kolja Henckel von Storm Reply. (Bild: Vogel IT-Medien / Storm Reply / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/71/9a/719a32df65fbac8fc430024649aea5f1/0122329933v2.jpeg "Man kann nur schützen, was man kennt: CISOs müssen einen umfassenden Überblick über die Cloud-Nutzung ihres Unternehmens herstellen, ihnen fehlen aber oft die spezialisierten Fähigkeiten eines Cloud-Architekten. (Bild: Who is Danny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/85/fb853eccd233ad34db52b43dc65e5336/0125538048v2.jpeg "Ressourcenschonung und Effizienz, Skalierbarkeit und Anpassungsfähigkeit, erhöhte Sicherheit, hybride Migrationsstrategien – Identity and Access Management (IAM) hat einige Vorteile. (Bild: © wlad074 - stock.adobe.com)")