Ob Wartungstechniker, IT-Dienstleister oder Softwareanbieter: Fast jedes Unternehmen gewährt externen Dritten Zugriff auf seine IT-Infrastruktur. Das Problem: In den meisten Fällen geschieht das unkontrolliert, undokumentiert und weit über das notwendige Maß hinaus.

Laut einer Studie des Ponemon Institute sind externe Dritte an mehr als 51 Prozent aller Datenschutzverletzungen beteiligt. Gleichzeitig schreibt die NIS-2-Richtlinie (§ 30 BSIG) erstmals explizit vor, dass Unternehmen die Cybersicherheit ihrer gesamten Lieferkette – einschließlich externer Dienstleister – aktiv steuern und nachweisen müssen.

Dieser Artikel zeigt, warum klassische Lösungen wie VPNs das Problem nicht lösen, welche Anforderungen NIS-2 konkret stellt und wie ein sicheres Modell für externen Zugriff in der Praxis aussieht.

Warum Drittanbieter-Zugriffe so gefährlich sind

Externe Dienstleister brauchen Zugriff – das ist Realität in jedem Unternehmen. Wartungstechniker müssen auf Produktionssysteme, IT-Dienstleister auf Server, Softwareanbieter auf Testumgebungen. Das Risiko liegt nicht im Zugriff selbst, sondern in der Art, wie er gewährt wird.

In der Praxis sieht das häufig so aus: Ein Dienstleister erhält dauerhafte VPN-Zugangsdaten, die selten rotiert und nie entzogen werden – auch nicht nach Abschluss des Projekts. Einen vollständigen Überblick darüber, wer gerade auf welches System zugreift, hat die interne IT nicht.

Laut dem Ponemon Institute Third-Party Risk Report 2025 sind externe Dritte an mehr als 51 Prozent aller Datenpannen beteiligt. Der SolarWinds-Angriff – bei dem Angreifer über einen kompromittierten Softwareanbieter in Dutzende kritische Infrastrukturen eindrangen – ist das prominenteste Beispiel einer ganzen Kategorie von Angriffen, bei der privilegierter Drittanbieterzugriff der Einstiegspunkt war.

„Der gefährlichste Zugriff ist der, den Sie vergessen haben. Dauerhafte Credentials für externe Dienstleister sind stille Risiken, die wachsen, je länger sie existieren.“ — CISA Supply Chain Risk Management Guidance

Der VPN-Irrtum: Warum klassische Lösungen versagen

Das erste Verteidigungsmittel, das die meisten Unternehmen einsetzen, ist ein VPN. Der Gedanke dahinter ist nachvollziehbar: Wenn der externe Dienstleister nur über einen gesicherten Tunnel ins Netz kommt, ist die Verbindung doch sicher – oder?

Das Problem ist nicht die Verschlüsselung des Tunnels. Das Problem ist, was nach der Authentifizierung passiert. Ein VPN gibt dem externen Nutzer typischerweise Zugang zum gesamten Netzwerksegment, nicht zu einem spezifischen System oder einer spezifischen Aufgabe. Granulare Kontrolle – wer darf auf welches System, für welche Zeitspanne, für welche Aktion – bietet ein klassisches VPN nicht.

Drei strukturelle Schwächen machen VPNs für diesen Anwendungsfall ungeeignet:

• Keine Sichtbarkeit: VPNs protokollieren Verbindungsaufbau und -abbau, aber nicht, was der Nutzer während der Sitzung tut. Session-Aufzeichnung gibt es nicht.
• Shared Credentials: VPN-Zugangsdaten für externe Dienstleister werden in der Praxis häufig geteilt – zwischen verschiedenen Mitarbeitern beim gleichen Dienstleister. Individuelle Zurechenbarkeit ist damit nicht möglich.
• Kein Entzug bei Bedarf: Zugänge werden selten nach Projektabschluss deaktiviert. Das Ergebnis: ein wachsendes Netz dauerhafter Zugänge, von denen niemand mehr weiß, ob sie noch gebraucht werden.

NIS-2 und die Pflicht zur Lieferkettensicherheit

Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland geltendes Recht. § 30 BSIG schreibt zehn Mindestmaßnahmen vor – darunter explizit die Sicherheit der Lieferkette (Maßnahme 4) und Zugriffskontrolle (Maßnahme 9).

Was das konkret für externe Dienstleister bedeutet:

• Unternehmen müssen die Cybersicherheitspraktiken ihrer direkten Zulieferer und Dienstleister aktiv überprüfen und in ihre Risikoanalyse einbeziehen.
• Privilegierte Zugriffe externer Dritter müssen kontrolliert, protokolliert und auf das notwendige Minimum beschränkt sein.
• Im Falle eines Sicherheitsvorfalls müssen Unternehmen nachweisen können, welcher externe Akteur wann auf welches System zugegriffen hat – Frühwarnung binnen 24 Stunden (§ 32 BSIG).

Wer externe Zugriffe nicht dokumentiert, kann diese Nachweispflichten nicht erfüllen. Mehr zu den NIS-2-Gesamtanforderungen: NIS-2: Was die neue EU-Richtlinie für Ihr Unternehmen bedeutet

Das sichere Modell: Zentralisierter Zugang mit vollständiger Kontrolle

Das Gegenteil eines unkontrollierten VPN-Zugangs ist ein zentralisierter Zugangspunkt, über den alle externen privilegierten Zugriffe laufen – mit vollständiger Kontrolle über jede Dimension des Zugriffs.

Ein sicheres Modell für Drittanbieter-Zugriffe hat vier Kernmerkmale:

• Individuelle Identitäten: Jeder externe Nutzer hat eine eigene Identität im System. Shared Credentials sind ausgeschlossen. Wer hat wann zugegriffen – diese Frage ist jederzeit beantwortbar.
• Granulare Berechtigungen: Zugriff wird nicht auf Netzwerkebene gewährt, sondern auf Systemebene – spezifisches System, spezifische Funktion, spezifischer Zeitraum.
• Session-Recording: Jede Sitzung wird vollständig aufgezeichnet. Video-artige Aufzeichnung aller Aktionen ermöglicht forensische Nachvollziehbarkeit im Falle eines Vorfalls.
• Granulares Auditing: Alle Zugriffe werden in einem revisionssicheren Audit-Log dokumentiert – maschinell auswertbar, für Compliance-Nachweise exportierbar.

Just-in-Time-Zugriff: Minimale Exposition, maximale Kontrolle

Just-in-Time (JIT) Access ist der Gold-Standard für privilegierte externe Zugriffe. Das Prinzip: Ein externer Dienstleister erhält Zugang nicht dauerhaft, sondern nur für den spezifischen Zeitraum, in dem er tatsächlich benötigt wird – und verliert diesen Zugang automatisch danach.

Ein typischer JIT-Workflow läuft so ab:

1. Externer Dienstleister stellt Zugangsanfrage für Wartungsarbeiten an System X.
2. Zuständiger interner Mitarbeiter genehmigt die Anfrage mit definiertem Zeitfenster und Scope.
3. Externer erhält temporären, auf das spezifische System beschränkten Zugang.
4. Nach Ablauf des Zeitfensters wird der Zugang automatisch entzogen.
5. Die vollständige Session wird aufgezeichnet und im Audit-Log dokumentiert.

Das Ergebnis: keine dauerhaften Credentials, keine schlummernden Zugänge, vollständige Nachvollziehbarkeit. Mehr zum Prinzip der minimalen Rechte: Das Prinzip der minimalen Rechte: Grundlage moderner Sicherheit

VISULOX in der Praxis: Externe Anbindung in unter zwei Tagen

VISULOX ist als dezentrale Remote-PAM-Plattform für diesen Anwendungsfall gebaut: die sichere, kontrollierte Anbindung externer Dienstleister und interner Administratoren an kritische IT-Infrastrukturen – ohne Agenten, ohne Eingriff in den laufenden Betrieb.

• Agentenlos: Keine Software-Installation auf den Zielsystemen erforderlich.
• Implementierung in unter zwei Tagen: Produktiv innerhalb von zwei Werktagen – anders als traditionelle PAM-Lösungen mit monatelangen Rollout-Projekten.
• Vollständige Session-Aufzeichnung: Jede externe Sitzung wird video-artig aufgezeichnet und revisionssicher gespeichert.
• JIT-Zugriff: Temporäre Zugänge mit automatischem Ablauf – kein manuelles Entziehen von Credentials notwendig.
• MFA für alle externen Nutzer: Multi-Faktor-Authentifizierung ist für alle externen Zugänge erzwingbar, unabhängig vom Gerät des Dienstleisters.

Checkliste: Drittanbieter-Zugriff in 5 Schritten absichern

1. Inventarisierung: Verschaffen Sie sich einen vollständigen Überblick über alle bestehenden externen Zugänge. Welche Dienstleister haben Zugang? Auf welche Systeme? Seit wann?
2. Shared Credentials eliminieren: Identifizieren und ersetzen Sie alle geteilten Zugangsdaten durch individuelle Identitäten pro externem Nutzer.
3. Dauerhafte Zugänge deaktivieren: Prüfen Sie alle bestehenden Zugänge und deaktivieren Sie nicht mehr aktiv genutzte. Führen Sie einen regelmäßigen Review-Prozess ein.
4. Zentralen Zugangspunkt einführen: Leiten Sie alle externen Zugriffe über einen zentralen PAM-Gateway. Kein direkter Systemzugriff ohne Logging und Session-Recording.
5. Just-in-Time-Workflow etablieren: Ersetzen Sie dauerhafte Zugangsdaten durch JIT-Workflows mit Genehmigungsprozess und automatischem Ablauf.

Für einen umfassenden PAM-Einstieg: Privileged Access Management: Der vollständige Unternehmens-Guide

Drittanbieter-Zugriffe sind eine der am häufigsten unterschätzten Angriffsflächen in der IT-Sicherheit. VPNs lösen das Problem nicht – sie verschleiern es. Die Kombination aus NIS-2-Anforderungen, wachsenden Lieferketten-Risiken und der Professionalisierung von Cyberangriffen macht einen strukturierten Ansatz zur Pflicht.

Mit einem zentralisierten PAM-Ansatz, JIT-Zugriffen und vollständiger Session-Aufzeichnung schließen Unternehmen nicht nur eine regulatorische Lücke – sie reduzieren aktiv ihre Angriffsfläche. VISULOX macht diese Kontrolle in unter zwei Tagen einsatzbereit, agentenlos und ohne Betriebsunterbrechung.