Herunterladen Inhalt Inhalt Diese Seite drucken
Siemens SIPROTEC 5 Handbuch
Vorschau ausblenden Andere Handbücher für SIPROTEC 5:
Inhaltsverzeichnis
SIPROTEC 5
Sicherheit
V10.00
Handbuch
C53000-H5040-C081-G
Vorwort
Inhaltsverzeichnis
Einführung
Maßnahmen zur Systemhärtung
Zugriffskontrolle
Malware-Schutz
Schutz gegen DoS-Angriffe
Kommunikationssicherheit
Zertifikatsverwaltung
Sicherung und Wiederherstellung
Sicherheitsprotokollierung
Zurücksetzen der Konfiguration
Sicheres Patch-Management
Datenschutzbestimmungen
Anhang
Literaturverzeichnis
Glossar
Stichwortverzeichnis
1
2
3
4
5
6
7
8
9
10
11
12
A
Inhaltsverzeichnis
loading

Inhaltszusammenfassung für Siemens SIPROTEC 5

  • Seite 1 Vorwort Inhaltsverzeichnis Einführung SIPROTEC 5 Maßnahmen zur Systemhärtung Sicherheit Zugriffskontrolle Malware-Schutz V10.00 Schutz gegen DoS-Angriffe Handbuch Kommunikationssicherheit Zertifikatsverwaltung Sicherung und Wiederherstellung Sicherheitsprotokollierung Zurücksetzen der Konfiguration Sicheres Patch-Management Datenschutzbestimmungen Anhang Literaturverzeichnis Glossar Stichwortverzeichnis C53000-H5040-C081-G...
  • Seite 2: Haftungsausschluss

    Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart werden. Marken Dokumentversion: C53000-H5040-C081-G.01 SIPROTEC, DIGSI, SIGRA, SIGUARD, SIMEAS, SICAM, Insights Ausgabestand: 06.2025 Hub und OT Companion sind Marken der Siemens AG. Jede Version des beschriebenen Produkts: V10.00 nicht autorisierte Verwendung ist unzulässig.
  • Seite 3: Vorwort

    Schutzingenieure, Inbetriebsetzer, Personen, die mit der Einstellung, Prüfung und Wartung von Automatik-, Selektivschutz- und Steuerungseinrichtungen betraut sind sowie Betriebspersonal in elektrischen Anlagen und Kraftwerken. Gültigkeitsbereich Dieses Handbuch ist gültig für Produkte von SIPROTEC 5 und DIGSI 5 mit Hardware- und Firmware-Version V10.00. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 4: Weiterführende Dokumentation

    Engineering Guide Der Engineering Guide beschreibt die wesentlichen Schritte beim Engineering mit DIGSI 5. Zusätzlich erfahren Sie im Engineering Guide, wie Sie eine projektierte Konfiguration in ein SIPROTEC 5-Gerät laden und die Gerätefunktionalität des SIPROTEC 5-Gerätes aktualisieren. SIPROTEC 5, Sicherheit, Handbuch...
  • Seite 5 Informationen zu den einzelnen Fachgebieten sowie Betriebssequenzen mit praxisorientierten Aufgaben und einer kurzen Erläuterung. • SIPROTEC 5 Katalog Der SIPROTEC 5-Katalog beschreibt die SIPROTEC 5-Geräte und Systemeigenschaften. Normen IEEE Std C 37.90 Das Produkt ist im Rahmen der Technischen Daten UL-zugelassen.
  • Seite 6 This product includes software developed by the OpenSSL Project for use in OpenSSL Toolkit (http:// www.openssl.org/). This product includes software written by Tim Hudson (tjh@cryptsoft.com). This product includes cryptographic software written by Eric Young (eay@cryptsoft.com). SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 7: Inhaltsverzeichnis

    Zugriffskontrolle mit Verbindungspasswort............... 24 3.1.1 Einleitung........................24 3.1.2 Einstellung des Verbindungspasswortes............... 24 3.1.3 Authentifizierung und Verbindungspasswort während des Betriebs......25 3.1.4 Verbindungspasswort zurücksetzen und deaktivieren...........25 Role-Based Access Control (RBAC) in SIPROTEC 5..............26 3.2.1 Übersicht........................26 3.2.2 Authentifizierungsserver....................26 3.2.2.1 Allgemein......................26 3.2.2.2 Authentifizierungsserver aktivieren................ 27 3.2.2.3...
  • Seite 8 Unbefugter Zugriff mit DIGSI 5 auf SIPROTEC 5-Geräte..........81 6.6.2.5 Wiederherstellung nach einer Sperrung über sicheres Zurücksetzen der Anmeldedaten....................... 83 Zertifikatauthentifizierung nach IEEE 802.1X..............84 Routing Manager......................86 6.8.1 Allgemeines........................ 86 6.8.1.1 Übersicht....................... 86 6.8.1.2 Konzept......................... 86 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 9 Einschränkungen der Zertifikatstiefe................119 7.4.1 Einleitung........................119 7.4.2 Zertifikatstiefe......................120 [UnresolvedTxtref]Txt990_2918 does not exist for de_DE[/UnresolvedTxtref]....121 7.5.1 Übersicht........................121 7.5.2 Funktionsbeschreibung..................... 122 Sicherung und Wiederherstellung......................125 Allgemein........................126 Archivieren und Dearchivieren eines Projekts..............127 Sicherheitsprotokollierung........................129 Übersicht........................130 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 10 Übersicht........................154 10.2.2 Herunterladen der SFRF..................... 154 10.2.3 Zurücksetzen auf Werkseinstellungen................ 155 Sicheres Patch-Management........................157 11.1 Allgemein........................158 11.2 SIPROTEC 5 Patch-Management..................159 11.3 DIGSI 5 Patch-Management.....................160 Datenschutzbestimmungen........................161 Anhang..............................163 Signale für die Sicherheit....................164 Literaturverzeichnis..........................167 Glossar..............................169 Stichwortverzeichnis..........................171 SIPROTEC 5, Sicherheit, Handbuch...
  • Seite 11: Einführung

    Einführung Ziel Beachtung von Normen Sicherheitsanforderungen Sicherheitsdienste SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 12: Ziel

    Verbindung von in der Vergangenheit isolierten Netzwerken, z.B. abgesetzte Stationen • Standard-Software-Komponenten, z.B. OEM-Betriebssysteme (Original Equipment Manufacture - Original- hersteller) wie Windows Das Handbuch bietet Empfehlungen für die sichere Inbetriebnahme und den sicheren Betrieb der SIPROTEC 5- Geräte in vernetzten Umgebungen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 13: Beachtung Von Normen

    1.2 Beachtung von Normen Beachtung von Normen Die von Siemens angebotenen Produkte und Technologien berücksichtigen die führenden Normen für die Cybersecurity. Die wesentlichen Grundlagen für sichere Infrastrukturen sind Normen und Richtlinien wie IEC 62443, IEC 62351, BDEW Whitepaper, IEEE 1686 und NERC CIP (Critical Infrastructure Protection).
  • Seite 14: Sicherheitsanforderungen

    Sichern der Datei zum Zurücksetzen der Sicherheitsanmeldedaten (SCRF) und der Datei zum sicheren Zurücksetzen auf Werkseinstellungen (SFRF) vor Inbetriebnahme des SIPROTEC 5-Geräts Weitere Informationen zur SCRF und zur SFRF finden Sie unter 10 Zurücksetzen der Konfiguration. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 15: Sicherheitsdienste

    Die Modultypen ETH-YA-2EL und ETH-YC-2FO sind für SIPROTEC 5-Kompaktgeräte. Die anderen Modultypen sind für SIPROTEC 5-Geräte. Das Symbol ■ zeigt an, dass der Dienst unterstützt wird. Das Symbol – zeigt an, dass der Dienst nicht unterstützt wird. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 16 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 17: Maßnahmen Zur Systemhärtung

    Maßnahmen zur Systemhärtung Übersicht Vorgesehene Betriebsumgebung Unterstützte LAN-Services Maßnahmen zur Härtung SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 18: Übersicht

    Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs Eine Reduzierung der Komplexität und der Wartungsarbeiten am System ist in diesem Sinne ein sekundäres Ziel der Härtung, das die Handhabbarkeit verbessert und somit Verwaltungsfehler minimiert. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 19: Vorgesehene Betriebsumgebung

    Als generelle Sicherheitsmaßnahme empfiehlt Siemens, den Netzwerkzugriff mit angemessenen Maßnahmen zu schützen (z.B. mit Firewalls, Segmentierung, VPN). Siemens empfiehlt, die Umgebung gemäß den Betriebsrichtlinien zu konfigurieren, damit die Geräte in einer geschützten IT-Umgebung betrieben werden. Die empfohlenen Sicherheitsrichtlinien für sichere Unterstati- onen finden Sie unter https://www.siemens.com/gridsecurity.
  • Seite 20: Unterstützte Lan-Services

    ■ RADIUS -Client OPC UA MQTT SIPROTEC 5 – Broker 8883 – ■ Web-Dienst HTTPS Web Browser – SIPROTEC 5 4443 ■ ■ UDP: User Datagram Protocol RADIUS: Remote Authentication Dial-In User Service SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 21: Deaktivierung Unnötiger System- Und Kommunikationsdienste

    Nicht erforderliche Dienste können Sie im Gerät jederzeit über DIGSI 5 deaktivieren. 2.3.3 Diagnose-Homepage Siemens empfiehlt, die Dienste der Diagnose-Homepage für Handlungen auf dem Mainboard und den Kommunikationsmodulen nach der Inbetriebnahme zu deaktivieren, da die Diagnose-Dienste weder HTTPS noch die Zugriffskontrolle unterstützen. Weitere Informationen zur Homepage siehe DIGSI 5 Online-Hilfe.
  • Seite 22: Maßnahmen Zur Härtung

    Aktivierung von Einstellungen zur Verbesserung der Sicherheit • Beschränkung der Rechte von Benutzern und Programmen HINWEIS Eine Sammlung der Härtungsanleitungen für verschiedene Betriebssysteme, Server-Dienste und Standard- applikationen finden Sie z.B. beim Center for Internet Security unter http://www.cisecurity.org. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 23: Zugriffskontrolle

    Zugriffskontrolle Zugriffskontrolle mit Verbindungspasswort Role-Based Access Control (RBAC) in SIPROTEC 5 Rollenbasierte Ansichten in DIGSI 5 Notfallzugang Bannereinstellungen Firmware-Betriebssicherheit SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 24: Zugriffskontrolle Mit Verbindungspasswort

    Zugriffskontrolle mit Verbindungspasswort Einleitung 3.1.1 SIPROTEC 5-Geräte unterstützen die Benutzerauthentifizierung und Funktionen für den Zugriffsschutz auf sicherheitsrelevante Handlungen und Funktionen. Sie können zwischen der zentralen Role-Based Access Control (RBAC) und dem gerätespezifischen DIGSI 5-Verbindungspasswort wählen. Wenn Sie die RBAC-Funktion nicht nutzen möchten, dann richten Sie die Geräte so ein, dass eine Benutzerau- thentifizierung mit Abfrage des Passworts erfolgt.
  • Seite 25: Authentifizierung Und Verbindungspasswort Während Des Betriebs

    Verbindungspasswort mit der SCRF zurücksetzen. Verbindungspasswort zurücksetzen Sie können das Verbindungspasswort nur mit der SCRF zurücksetzen. Die SCRF entfernt alle Sicherheitskonfi- gurationen aus dem Gerät. Weitere Informationen zur SCRF finden Sie unter 10 Zurücksetzen der Konfigura- tion. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 26: Role-Based Access Control (Rbac) In Siprotec 5

    Zentrale Verwaltung von Benutzerkonten, Rollen und Verantwortungsbereichen (Area of Responsibility, AoR) auf einem Authentifizierungsserver • Offline-/Notfallzugang zu Benutzerkonto bei Unerreichbarkeit des Authentifizierungsservers Sie können RBAC für ein SIPROTEC 5-Gerät mit DIGSI 5 aktivieren oder deaktivieren. Weitere Informationen finden Sie in 3.2.2.2 Authentifizierungsserver aktivieren.
  • Seite 27: Authentifizierungsserver Aktivieren

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Außerdem werden die folgenden Informationen der Zugriffsversuche für spätere Analysen aufgezeichnet (Audit-Trail): • Verbindungsversuche • Benutzername und Rolleninformationen • Zeitpunkt der Anmeldung Weitere Informationen zu den aufgezeichneten Sicherheitsereignissen siehe 9.4.3 Syslog-Ereignisse SIPROTEC...
  • Seite 28: Konfiguration Der Radius-Server-Verbindung

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 [sc_rbac_select, 4, de_DE] Bild 3-5 Einschalten von RADIUS [sc_LDAP_RADIUS_enabled, 1, de_DE] Bild 3-6 Einschalten von LDAP HINWEIS Bei der Aktivierung von RBAC wird der Notfallzugang nicht standardmäßig eingeschaltet. Zur Benutzung des Notfallkontos zuerst das Notfallpasswort konfigurieren.
  • Seite 29: Konfigurationen Für Die Ldap-Server-Verbindung

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Parametername Beschreibung Modulsteckplatz Port des Gerätes, über den das SIPROTEC 5-Gerät mit dem RADIUS-Server kommuniziert PSK Schlüssel Schlüssel zur Authentifizierung und zum Schutz der Kommunikation zwischen RADIUS-Server und Gerät Beim Laden der Konfiguration prüft das Gerät, ob der PSK Schlüssel mit dem im RADIUS-Server angegebenen Schlüssel übereinstimmt.
  • Seite 30: Grundlegende Eigenschaften

    Kontrollkästchen zum Aktivieren bzw. Deaktivieren des Backup-Servers HINWEIS Siemens hat Attributzertifikate nur im PULL-Mode des Microsoft-Produkts Active Directory getestet. Bei Verwendung eines neuen LDAP-Servers müssen das Konto SECADM des alten und neuen LDAP-Servers übereinstimmen. Weitere Informationen zum Konto SECADM finden Sie in 3.2.6 Grundlegende Eigenschaften...
  • Seite 31: Anmeldeversuche

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Anmeldeversuche 3.2.3 Um eine sichere Anmeldung mit Notfallkonto oder mit zwischengespeicherten Benutzerdaten sicherzustellen, bietet DIGSI 5 die folgenden Parameter. Für die Behandlung von dezentralen Anmeldeversuchen können Sie die entsprechenden Parameter in den Authentifizierungsservern konfigurieren.
  • Seite 32: Sicherheitseinstellungen Laden

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 HINWEIS Wenn die SIPROTEC 5-Kommunikationsmodule zur RBAC-Authentifizierung verwendet werden, dann setzen Sie die Puffergröße auf mindestens 1. [sc_rbac_user_cache, 3, de_DE] Bild 3-10 Benutzerpuffereinstellungen Sicherheitseinstellungen laden 3.2.5 Laden Sie die Sicherheitseinstellungen nach der erfolgten Konfiguration der RBAC in das SIPROTEC 5-Gerät.
  • Seite 33: Grundlegende Eigenschaften Der Zuweisung Von Rechten Und Unterstützten Rollen

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 [sc_logondev, 2, de_DE] Bild 3-12 Am Gerät anmelden Geben Sie den Benutzernamen ein. ² Geben Sie das Passwort ein. ² Klicken Sie auf die Schaltfläche Anmelden. ² Die Übertragung der Sicherheitseinstellungen in das Gerät beginnt. Wenn das Gerät die Sicherheitseinstel- lungen empfangen hat, prüft dieses die Einstellungen des Authentifizierungsservers durch einen Authentifi-...
  • Seite 34 Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 HINWEIS Sie können die Sicherheitseinstellungen unabhängig von Ihren Zugriffsrechten nicht über die Bedieneinheit des Gerätes ändern. Rollen in DIGSI 5 Tabelle 3-2 Generelle Zuweisung von Rechten und unterstützten Rollen in DIGSI 5...
  • Seite 35 Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Rechte Funktion der Rechte Zuweisung von unterstützten Rollen • Force values Werte ändern • Istwerte überschreiben – ■ – – – – ■ • Einen Prozess auslösen Change CFG Konfiguration ändern/herunterladen/ –...
  • Seite 36: Zuweisung Von Zusätzlichen Unterstützten Rollen

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Tabelle 3-5 Zusätzliche unterstützte Rollen Rollen Hexadezimale IDs Dezimale IDs OPERATOR_SWITCHING FFFFFF9A -102 SWITCHING_AUTHORITY FFFFFF99 -103 INTERLOCKING_MODE FFFFFF98 -104 Benutzernamen, die mit den zusätzlichen unterstützten Rollen zugewiesen wurden, können nur auf den Vor-Ort-Geräten arbeiten.
  • Seite 37: Benutzernamen An Den Vor-Ort-Geräten

    An den Vor-Ort-Geräten gibt es 2 Arten von Benutzernamen: • Standard-Benutzernamen SIPROTEC 5-Geräte werden mit den folgenden vordefinierten Benutzernamen für die Anmeldung ausschließlich an der Bedieneinheit des Gerätes ausgeliefert. Diese Benutzernamen werden mit den von den SIPROTEC 5-Geräten unterstützten Rollen verknüpft: –...
  • Seite 38: Anmeldung Am Gerät Über Die Bedieneinheit Des Gerätes

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Anmeldung am Gerät über die Bedieneinheit des Gerätes 3.2.8 Benutzerauthentifizierung und -autorisierung beginnen mit dem SIPROTEC 5-Gerät. In diesem Fall ist das Gerät der Authentifizierungs-Client und sendet eine Zugriffsanfrage an den Authentifizierungsserver.
  • Seite 39: Anmelden Ohne Authentifizierung

    Zugriffskontrolle 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 [sc_enter_passcode, 2, de_DE] Bild 3-15 Seite zur Eingabe des Passwortes Geben Sie das numerische Passwort ein. ² Schließen Sie Ihre Eingabe mit dem Softkey Enter ab. ² HINWEIS Wenn die Nachricht Blocked by another client (Blockiert durch anderen Client) angezeigt wird, warten Sie eine Minute lang und melden sich dann noch einmal an.
  • Seite 40: Rollenbasierte Ansichten In Digsi 5

    Rolle für die aktuelle DIGSI 5-Sitzung auswählen. Klicken Sie dazu auf den Benutzernamen oder die unterstützte Rolle, um den Dialog Rolle(n) auswählen zu öffnen und die erforderliche Rolle auszu- wählen. Die mit jeder Rolle verbundenen Berechtigungen sind im Dialog Rolle(n) auswählen aufgeführt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 41 Benutzer hat keinen Zugriff auf Sicherheitseinstellungen und kann auch die Firmware oder Gerätetreiber nicht verwalten. [sc_digsi_admin_engineer_view, 2, de_DE] Unterstützte Rollen und Rechte Aktion ADMIN ENGINEER INSTALLER VIEWER SECADM Gerätetreiber importieren Gerätetreiber deinstallieren Drucken und Druckvorschau SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 42 Geräte zuordnen und Zuordnung aufheben Firmware und Konfiguration laden Auf Werkseinstellungen zurücksetzen, Anmeldedaten sicher zurücksetzen und SCF in Gerät laden SCRF, SFRF herunterladen und gespeicherte Anmeldedaten entfernen Prozessdaten abrufen Schutzfunktionen Prozessdatenzugriff Online – SLE SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 43 Rolle(n) aktualisiert und alle geöffneten Editoren werden geschlossen. Außerdem wird die unterstützte Online-Rolle oben rechts auf der Benutzeroberfläche von DIGSI angezeigt. • Wenn der Benutzer die gespeicherten Online-Anmeldedaten in DIGSI 5 löscht oder die Online-Sitzung abläuft, werden die Online-Rollen des Benutzers beibehalten. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 44: Notfallzugang

    VIEWER Lokal Der Notfallzugriff ist standardmäßig deaktiviert. Der Notfallzugriff kann nur mit der Rolle Sicherheitsadmi- nistrator konfiguriert werden. Siemens empfiehlt die Konfiguration des Notfallzugriffs für DIGSI 5 bei der Inbetriebnahme des Gerätes oder bei der Konfiguration der Cybersecurity-Parameter. HINWEIS Für Geräte in den Versionen 8.83 und höher ist es notwendig, die neueste DIGSI 5 für die Konfiguration des Notzugangs zu nehmen.
  • Seite 45: Einschränkung

    Für das Downgrade der Sicherheitseinstellungen Bevor Sie die Sicherheitseinstellungen auf eine niedrigere Version als V9.80 herunterstufen, müssen Sie die HMI-Passwörter und die Remote-Passwörter in DIGSI 5 neu konfigurieren. Andernfalls schlägt das Downgrade fehl. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 46: Bannereinstellungen

    Die unbefugte Nutzung des Systems ist verboten und kann straf- oder zivilrechtlich geahndet werden. • Die Nutzung des Systems bedeutet Zustimmung zu Überwachung und Aufzeichnung. [sc_banner-pop, 2, de_DE] Bild 3-19 Bannermeldung in DIGSI 5 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 47 Bannermeldung auf der Web-Benutzeroberfläche Wenn Sie in DIGSI 5 auf Ja klicken, Ok auf der Bedieneinheit des Geräts drücken oder das Symbol der Web-Benutzeroberfläche anklicken, wird der Anmeldevorgang fortgesetzt. Andernfalls wird der Anmelde- vorgang abgelehnt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 48: Firmware-Betriebssicherheit

    Upgrades sind nur für Firmware-Dateien in der Version ab V9.70 zulässig. HINWEIS Diese Funktion ist für Firmware-Dateien und DIGSI 5 in der Version ab V9.70 verfügbar. Die Funktion muss in Verbindung mit der Funktion Integritätsschutz verwendet werden. Weitere Informationen siehe 4.4 Integritätsschutz. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 49: Malware-Schutz

    Malware-Schutz Übersicht Malware-Schutz für Engineering-Software Integritätsprüfung der heruntergeladenen Datei Integritätsschutz SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 50: Übersicht

    4.1 Übersicht Übersicht SIPROTEC 5-Geräte basieren auf dem Betriebssystem VxWorks, für das kein spezielles Antivirenprogramm erhältlich ist. Außerdem verfügen SIPROTEC 5-Geräte über eine interne Firewall zum Schutz vor Angriffen über das Netzwerk. Zur Verbesserung des Schutzes ist die Firewall standardmäßig aktiviert.
  • Seite 51: Malware-Schutz Für Engineering-Software

    Die PC-basierte Engineering-Software für SIPROTEC-Geräte – DIGSI 5 – wird zum Schutz ihrer Integrität mit einem signierten Installationsprogramm installiert. Siemens prüft regelmäßig die Kompatibilität neuer Anti- virus-Muster mit der neuesten Version von DIGSI und erstattet Bericht. Diese Berichte können jeden Monat im Internet abgerufen werden und beinhalten auch die Ergebnisse der Prüfung der Kompatibilität von Microsoft...
  • Seite 52: Integritätsprüfung Der Heruntergeladenen Datei

    Integritätsprüfung der heruntergeladenen Datei Sie können auch die Integrität der SIPROTEC Firmware- und Software-Dateien prüfen, die auf dem von Siemens unterstützten Portal heruntergeladen werden können. Für jede herunterladbare Firmware- und Soft- ware-Datei wird der entsprechende SHA‑256-Fingerprint im Internet veröffentlicht Tools wie Certutil in Microsoft Windows können für folgende Zwecke verwendet werden: •...
  • Seite 53: Integritätsschutz

    4.4.1 Um SIPROTEC 5-Geräte vor der Ausführung manipulierter oder fehlerhafter Firmware-Dateien zu schützen, konzipiert Siemens die Geräte so, dass sie nur signierte Firmware-Dateien akzeptieren und signiert alle Firm- ware-Dateien, die Sie von dem von Siemens unterstützten Portal herunterladen können. Der Mechanismus zur Verifizierung von Signaturen ist in den SIPROTEC 5-Geräten und im Engineering-Werk- zeug DIGSI 5 integriert.
  • Seite 54: Kundensignaturen Und Betriebsrichtlinien

    'CustomerCert.pfx' In dieser OpenSSL-Kommandozeile ist *.pfx ein Zertifikat im Format PCKS12. Ein Satz von Betriebsattributen (von Siemens vordefiniert) kann als signierte Attribute in der Benutzersignatur integriert werden. Das hilft dabei, das Nutzungsrecht und den Lebenszyklus der DDDs einzuschränken. Die Aussage dieser Richtlinien kann mit folgenden Betriebsattributen beschrieben werden: Attributname: manifestInformation.version...
  • Seite 55 Betriebsattribut konfiguriert werden. Andernfalls lehnt das Gerät die Firmware ab. Beispiel für das Betriebsmanifest Attribut Kennung manifestInformation.version 1.3.6.1.4.1.222111.8191.1.1 manifestInformation.owner 1.3.6.1.4.1.222111.8191.1.2 manifestInformation.copyright 1.3.6.1.4.1.222111.8191.1.3 operationalManifest.validFrom 1.3.6.1.4.1.222111.8191.3.1 operationalManifest.validTo 1.3.6.1.4.1.222111.8191.3.2 operationalManifest.authorizedFromVersions 1.3.6.1.4.1.222111.8191.3.3 operationalManifest.authorizedModels 1.3.6.1.4.1.222111.8191.3.5 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 56: Signatur-Prüfungsmechanismus

    Malware-Schutz 4.4 Integritätsschutz 4.4.3.3 Signatur-Prüfungsmechanismus Nehmen Sie z.B. eine DDD, die die Siemens-Signatur und Ihre Unterschrift trägt. Wenn Sie die DDD in DIGSI 5 laden, prüft DIGSI 5 die DDD mit folgenden Schritten: • Prüfung der Siemens-Signatur. • Prüfung Ihrer Signatur bei Ihrer Zertifizierungsstelle.
  • Seite 57 Navigieren Sie zu Extras > Einstellungen > DIGSI 5 Benutzerpräferenzen > Import nicht verifizierter, benutzersignierter DDDs zulassen und wählen Sie den Parameter Annehmen. In der Voreinstellung ist dieser Parameter ausgewählt. [sc_accept_unverified, 1, de_DE] Bild 4-1 Einschränkung nicht verifizierter DDDs SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 58: Ddds In Digsi 5 Importieren

    Wenn Sie beim DIGSI 5-Import von benutzersignierten DDDs DIGSI 5 so konfigurieren, dass die Benutzersig- natur gemäß 4.4.4.1 Konfigurationen vor dem Import von DDDs verifiziert wird, prüft DIGSI 5 die Siemens- Signatur und die Benutzersignatur. Um detaillierte Prüfergebnisse anzuzeigen, können Sie die Option Firm- ware-Validierungsdetails anzeigen wählen.
  • Seite 59 DIGSI 5 prüft die Benutzersignaturen nicht und die nicht verifizierten DDDs können importiert werden. In der Zeile der nicht verifizierten DDD wird ein rotes Kreuz angezeigt. [sc_without CA, 1, de_DE] Bild 4-3 Nicht verifizierte DDDs – können importiert werden SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 60: Konfigurationen Für Das Hochladen Der Firmware

    Manifest Info. Tree Eintr. Stellen Sie den Parameter und den ENTRY der Betriebsattribute auf denselben Wert ein. ENTRY ist die Wurzel des Satzes der von Siemens unterstützten Betriebsattribute. Die Betriebsattribute sind unter dem Management-Informationsbaum der Wurzel ENTRY installiert. SIPROTEC 5, Sicherheit, Handbuch...
  • Seite 61: Firmware In Das Gerät Hochladen

    Wenn die folgenden Bedingungen erfüllt sind, kann die Firmware auf das Gerät hochgeladen werden: • Die Signaturen sind gültig. • Die DDDs sind integriert. • Die Metadaten des Geräts und die Einschränkungen der Firmware stimmen gut überein. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 62 Andernfalls schlägt der Ladevorgang fehl und DIGSI 5 meldet Ihnen den Fehler. Das Gerät setzt die geladenen Dateien auf die Version zurück, in der diese vor dem Laden der Firmware waren. [sc_import_failure, 1, de_DE] Bild 4-7 DIGSI 5-Benachrichtigung – fehlgeschlagener Firmware-Upload SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 63: Schutz Gegen Dos-Angriffe

    Schutz gegen DoS-Angriffe Traffic-Begrenzer Überlastschutz SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 64: 5.1 Traffic-Begrenzer

    4000 8000 CP300 (Port J) 2400 4000 8000 ETH-BB-2FO (Rev. 1) 2400 4000 8000 ETH-BA-2EL (Rev. 1) 1000 HINWEIS Derzeit kann ein SIPROTEC 5-Gerät 32 Verbindungen gleichzeitig nachverfolgen. Die Einheit ist Frames pro Sekunde SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 65: Überlastschutz

    Wenn die Anzahl der Frames den Schwellwert übersteigt, analysiert die Schicht, ob die Überlast in PRP LAN A oder PRP LAN B vorliegt, und stoppt die Verarbeitung der Frames, die durch den überlasteten Ethernet-Kanal eintreffen. Der andere Ethernet-Kanal arbeitet weiter normal. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 66 CP100 (Port J) 11000 CP150 (Port J) 5632 CP300 (Port J) ETH-YA-2EL ETH-YC-2FO ETH-BA-2EL (Rev. 2) ETH-BB-2FO (Rev. 2) ETH-BD-2FO ETH-BA-2EL (Rev. 1) 2500 ETH-BB-2FO (Rev. 1) Die Einheit ist Frames pro Sekunde. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 67: Kommunikationssicherheit

    Kommunikationssicherheit Netzwerkisolierung Zugriffsbeschränkungen für Ethernet anwenden Konfigurationen für IEC 61850 Secure MMS Sicherheit von Interaktionen zwischen Web-Browser und Gerät DIGSI 5-Server-Authentifizierung DIGSI 5 Client-Authentifizierung Zertifikatauthentifizierung nach IEEE 802.1X Routing Manager SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 68: Netzwerkisolierung

    über seine eigene Hardware. Die Netzwerke der Kommunikationsmodule sind standardmäßig isoliert. Die einzige Ausnahme der Netzwerkisolierung tritt auf, wenn ein Benutzer mit der Rolle SECADM oder Admi- nistrator die Funktion Routing Manager aktiviert. Weitere Informationen finden Sie in 6.8 Routing Manager. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 69: Zugriffsbeschränkungen Für Ethernet Anwenden

    • Kein Zugriff Keine DIGSI-Kommunikation über diese Schnittstelle möglich. • Lesezugriff Über diese Schnittstelle haben Sie nur Lesezugriff auf das Gerät. • Lese- und Schreibzugriff Über diese Schnittstelle sind Lese- und Schreibzugriffe möglich. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 70: Konfigurationen Für Iec 61850 Secure Mms

    Kommunikation über Port 3782. Um sicherzustellen, dass die gegenseitige Authentifizierung des zugrunde liegenden TLS-Kanals konfiguriert und ordnungsgemäß durchgeführt werden kann, gehen Sie nach dem Abschluss der Sicherheitseinstellungen wie folgt vor: SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 71 Sie können alternativ EST verwenden, um automatisch die von der Zertifizierungsstelle signierten MMS-Server- Zertifikate abzurufen, ohne die CSR-Datei herunterzuladen und manuell zu signieren. Weitere Informationen zu EST siehe 7.3 Automatisches Enrollment over Secure Transport. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 72: Sicherheit Von Interaktionen Zwischen Web-Browser Und Gerät

    Starten Sie den Web-Browser auf Ihrem PC. • Geben Sie die IP-Adresse des Gerätes in die Adresszeile des Web-Browsers ein, gefolgt von der Port- Nummer 4443, zum Beispiel https://172.16.60.60:4443, und bestätigen Sie den Eintrag mit der Enter- Taste. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 73 Bei aktiver RBAC ist der Zugriff nur nach erfolgreicher Authentifizierung des Benutzernamens und Passworts möglich. Weitere Informationen siehe 3.2 Role-Based Access Control (RBAC) in SIPROTEC • Klicken Sie auf die Schaltfläche mit dem Häkchen. [scwebmonitor_enter, 1, --_--] Bild 6-3 Schaltfläche zur Bestätigung SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 74: Zeitüberschreitung

    Verbindung vom Web-Browser zum Gerät getrennt. Die folgende Meldung wird angezeigt: [sc_web_monitor_session_timeout, 1, de_DE] Bild 6-5 Zeitüberschreitung Nach Ablauf einer bestimmten Zeit müssen Sie sich erneut über den Web-Browser am Gerät anmelden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 75: Digsi 5-Server-Authentifizierung

    System CA-Speicher aufgeführt ist. Wenn Sie möchten, dass Ihr SIPROTEC 5-Gerät Ihre eigenen Server-Zertifikate anstelle der voreingestellten Zertifikate von Siemens verwendet, benötigen Sie eine Public Key Infrastructure (PKI) mit einer betriebsbe- reiten Zertifizierungsstelle für die Erstellung oder digitale Signierung solcher Client-Zertifikate. Weitere Infor- mationen zur Installation einer PKI für Ihre betrieblichen Anforderungen siehe SICAM GridPass-Handbuch...
  • Seite 76: Erklärung

    Liste aus und klicken Sie die Schaltfläche Wenn die Zertifizierungsstelle im geöffneten Projekt bereits mit einem Gerät oder mehreren Geräten verknüpft ist, wird eine Warnung angezeigt, wenn Sie sie entfernen möchten. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 77: Digsi 5 Client-Authentifizierung

    Kommunikation zwischen DIGSI 5 und dem SIPROTEC 5-Gerät verwenden. Sobald diese Funktion eingerichtet wurde, ist eine Verbindung zu einem Gerät mit der Standardversion von DIGSI 5 über das eingebettete voreingestellte Client-Zertifikat von Siemens nicht mehr möglich. Dies verhin- dert den Zugriff von unberechtigten Windows-Benutzer mit DIGSI 5-Installation auf einsatzfähige SIPROTEC 5- Geräte.
  • Seite 78: Konfiguration

    SIPROTEC 5-Gerät Beim Aufbau der Verbindung mit einem SIPROTEC 5-Gerät übergibt DIGSI 5 sein digitales Client-Zertifikat an das Gerät zur Authentifizierung. Wenn Sie für Ihre DIGSI 5-Installation statt der Siemens-Standardzertifikate ein eigenes Client-Zertifikat verwenden möchten, benötigen Sie eine PKI mit einer betriebsbereiten CA für die Erstellung oder digitale Signierung solcher Client-Zertifikate.
  • Seite 79 Gerätekonfigurationen über den USB-Anschluss zurücksetzen und die Bedienung neu starten. Zusätzliche Maßnahmen bei Produkten mit alten Firmware-Versionen Zur Steigerung der Sicherheit von TLS-Verbindungen führt Siemens ab Firmware-Version 7.30 TLS 1.2 in SIPROTEC 5-Produkten ein und lässt auf TLS  1.0 basierende Verbindungen nicht mehr zu. Um potenzielle Protokoll-Downgrade-Angriffe über TLS 1.0 zu verhindern und andere Schwachstellen auszumerzen, deakti-...
  • Seite 80 Beim Datentyp DWORD bedeutet der Wert 0 = aus und der Wert 1 = ein. [sc_DWORD_Disable, 1, de_DE] Bild 6-9 Wertdaten für TLS 1.0 – 1 [sc_DWORD_Enable, 1, de_DE] Bild 6-10 Wertdaten für TLS 1.0 – 2 Starten Sie den Rechner neu, um die Änderungen zu übernehmen. ² SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 81: Verifizierung Der Konfigurierten Ca Über Einen Web-Browser

    Unbefugter Zugriff mit DIGSI 5 auf SIPROTEC 5-Geräte Bei der Konfiguration einer vertrauenswürdigen Zertifizierungsstelle muss ein gültiges, von der Zertifizierungs- stelle signiertes Client-Zertifikat im Windows System CA-Store vorliegen, damit eine sichere Verbindung zum SIPROTEC 5-Gerät aufgebaut werden kann. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 82 Wenn die konfigurierte vertrauenswürdige Zertifizierungsstelle vor der Erneuerung abgelaufen ist, wird bei einem Verbindungsversuch zum SIPROTEC 5-Gerät die folgende Fehlermeldung angezeigt: [sc_unauthorized_DIGSI_access_message, 1, de_DE] Hinweise zur Wiederherstellung nach einer unbeabsichtigten Sperrung finden Sie in Kapitel 6.6.2.5 Wiederher- stellung nach einer Sperrung über sicheres Zurücksetzen der Anmeldedaten. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 83: Wiederherstellung Nach Einer Sperrung Über Sicheres Zurücksetzen Der Anmeldedaten

    Wählen Sie in der Projektnavigation das Gerät aus und wählen Sie Online → Sicherheit → Anmelde- ² daten zurücksetzen..Dadurch werden die Validierungseinstellungen für das Client-Zertifikat im Gerät auf die Werkseinstellungen zurückgesetzt und DIGSI 5-Installationen mit eingebauten Siemens Client-Zertifikaten können mit dem Gerät kommunizieren. HINWEIS Folglich werden alle sicherheitsrelevanten Einstellungen auf die Standardwerte gesetzt! SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 84: Zertifikatauthentifizierung Nach Ieee 802.1X

    IEEE 802.1X konfigurieren. HINWEIS Wenn sowohl die Zertifikatauthentifizierung nach IEEE 802.1X als auch RBAC aktiviert sind, empfiehlt Siemens die Aktivierung des Notfallkontos, um sicherzustellen, dass unter bestimmten Bedingungen SCRF und SFRF heruntergeladen werden können. Konfiguration in DIGSI 5 So konfigurieren Sie die Zertifikatauthentifizierung nach IEEE 802.1X für ein Gerät: Wählen Sie in der Projektnavigation das Zielgerät aus, navigieren Sie zu Sicherheit und wählen Sie...
  • Seite 85 Navigieren Sie im Gerät zu Hauptmenü > Parameter > Security > IEEE 802.1X. ² [sc_HMI_802.1X, 2, de_DE] HINWEIS Um die Funktion des IEEE 802.1X-Zertifikats im Gerät zu deaktivieren, deaktivieren Sie diese Funktion zuerst im Router oder Switch. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 86: Routing Manager

    In der Kommunikationstopologie muss genau ein Gerät als Gateway-Gerät konfiguriert sein. • Lokales Endgerät Gerät, das Daten (über das Gateway-Gerät) vom Bedien-PC empfängt oder zum Bedien-PC überträgt • Bedien-PC Rechner, mit dem Sie über DIGSI 5 oder die Browser-basierte Benutzeroberfläche auf Geräte zugreifen SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 87: Beschreibung

    Die zulässige Anzahl der jeweils in den Routing-Manager-Topologien bereitgestellten Geräte ist begrenzt: • Gateway-Gerät Der Routing-Manager unterstützt nur ein Gateway-Gerät. Das Gateway-Gerät ist über Port J und/oder den USB-Port mit dem Bedien-PC verbunden. • Lokales Endgerät Der Routing-Manager unterstützt bis zu 60 lokale Endgeräte. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 88 Die nachstehende schematische Darstellung zeigt beispielhaft den Zugriff auf ein lokales Gerät mit IP-Adresse (Port J) über Port J des Gateway-Geräts und über das Schutzgeräte-Netzwerk. [dw_RM_sample1, 1, de_DE] Bild 6-11 Kommunikationsprinzip der Verbindung über Gateway-Gerät per Port J Gateway-Gerät Lokales Endgerät SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 89 Datenverkehr getrennt ist, kann der SMV-Verkehr verlagert werden. Dies erzeugt den Zustand Schutzblockierung. In diesem Fall müssen Sie die MTU-Größe des Kommunikationsmoduls auf 750 Byte reduzieren. Weitere Informationen zur maximalen Netzwerklast finden Sie im Abschnitt Netzwerknutzung im SIPROTEC 5 Prozess Bus-Handbuch. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 90: Parametrieren In Digsi 5

    Sie sind nicht im Download der Gerätekonfiguration enthalten. HINWEIS Um Kommunikationsunterbrechungen der DIGSI 5-Kommunikation bei der Übertragung der Parameter zu vermeiden, empfiehlt Siemens, zur Deaktivierung des Routing-Managers die lokale USB-Verbindung zu verwenden. Bei aktiviertem Routing-Manager ist die Verwendung der Einstellung für Voreing. Gateway-IP-Adr. auf den teilnehmenden Geräten wie folgt begrenzt: In lokalen Endgeräten können die vom Routing-Manager...
  • Seite 91 Stellen Sie den Parameter Integrierter Port J auf Lokales Endgerät ein. ² Stellen Sie den mit dem Schutzgeräte-Netzwerk verbundenen Kommunikationsmodul-Port auf Lokales ² Netzwerk ein. Stellen Sie für jedes lokale Endgerät einen Kommunikationsmodul-Port auf Lokales Netzwerk ein. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 92: Einstellung Des Bedien-Pcs

    Adresse des Bedien-PCs nicht auf das Subnetz der lokalen Endgeräte ein. Weitere Informationen zu Beispiel- konfigurationen siehe Kapitel 6.8.7 Netzwerk-Konfigurationsbeispiel 1 6.8.10 Netzwerk-Konfigurationsbei- spiel Einstellhinweise 6.8.5 Parameter: Integrierter Port J, Integrierter USB-Port • Voreinstellwert (_:26941:101)Integrierter Port J = Lokales Endgerät • Voreinstellwert (_:26941:102)Integrierter USB-Port = kein Routing SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 93: Anwendungsbeispiele

    Andernfalls funktioniert das Routing vom lokalen Endgerät zurück zum Bedien-PC nicht. Weitere Informationen zu Beispielkonfigurationen siehe Kapitel 6.8.7 Netzwerk-Konfigurationsbeispiel 1 6.8.10 Netzwerk-Konfigurationsbeispiel • Die IP-Adressbereiche für das Schutzgeräte-Netzwerk und das Unterstationsnetzwerk müssen sich unter- scheiden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 94: Betriebsmittelverbindung

    Es gibt 60 Geräte. Die Geräte sind aufsteigend von 1 bis 60 nummeriert und wie folgt zugewiesen: • Gerät 1 ist das Gateway-Gerät. • Gerät 2 bis Gerät 60 sind lokale Endgeräte. In diesem Beispiel ist das Gateway-Gerät über Port J mit dem Bedien-PC verbunden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 95 Das folgende Bild zeigt die Netzwerkverbindung. [dw_RM_example1, 1, de_DE] Bild 6-17 Routing-Manager-Konfiguration – Beispiel 1 Gateway-Gerät Lokales Endgerät Aus der Perspektive des Bedien-PCs Aus der Perspektive jedes lokalen Endgerätes Für Informationen zu IP-Einstellungen siehe die folgenden Kapitel. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 96: Routing-Manager-Konfiguration

    (172.16.60.xxx), d.h., IP-Pakete vom Bedien-PC können von Port J aller Geräte empfangen werden. Obwohl die Ports J der lokalen Endgeräte nicht direkt mit dem Bedien-PC verbunden sind, können IP-Pakete vom Bedien-PC an die IP-Adresse von Port J der lokalen Endgeräte gesendet werden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 97: Eigenschaft

    Dieses Beispiel unterscheidet sich von Beispiel 1 darin, dass die IP-Adressenkonfiguration von Port J der lokalen Endgeräte stark eingeschränkt ist, sodass sich jedes lokale Endgerät in einem Inselnetz befindet. Es zeigt eine mögliche alternative Konfiguration. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 98 Routing-Manager-Konfiguration – Beispiel 2 Gateway-Gerät Lokales Endgerät Aus der Perspektive des Bedien-PCs Aus der Perspektive von Gerät 2 Aus der Perspektive von Gerät 3 Aus der Perspektive von Gerät 4 Aus der Perspektive von Gerät 60 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 99: Routing-Manager-Konfiguration

    (172.16.60.xxx), d.h., IP-Pakete vom Bedien-PC können von Port J aller Geräte empfangen werden. Obwohl die Ports J der lokalen Endgeräte nicht direkt mit dem Bedien-PC verbunden sind, können IP-Pakete vom Bedien-PC an die IP-Adresse von Port J der lokalen Endgeräte gesendet werden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 100: Wert Von Netzwerk

    Es gibt 60 Geräte. Die Geräte sind aufsteigend von 1 bis 60 nummeriert und wie folgt zugewiesen: • Gerät 1 ist das Gateway-Gerät. • Gerät 2 bis Gerät 60 sind lokale Endgeräte. In diesem Beispiel ist das Gateway-Gerät über den USB-Port mit dem Bedien-PC verbunden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 101 Routing-Manager-Konfiguration – Beispiel 3 Gateway-Gerät Lokales Endgerät Aus der Perspektive des Bedien-PCs Aus der Perspektive von Gerät 2 Aus der Perspektive von Gerät 3 Aus der Perspektive von Gerät 4 Aus der Perspektive von Gerät 60 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 102: Routing-Manager-Konfiguration

    Die IP-Adressen von Port J aller lokalen Endgeräte (172.16.60.1, 172.16.60.4, 172.16.60.7 bis 172.16.60.177) befinden sich (aus der Perspektive von Port J des Gateway-Gerätes) im selben Subnetz auf Grundlage der konfigurierten IP-Adresse von Port J des Gateway-Gerätes (172.16.60.200) und der 24-Bit-Subnetzmaske (255.255.255.0) von Port J des Gateway-Gerätes. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 103: Netzwerk-Konfigurationsbeispiel 4

    Endgerät (Gerät 3) und vom Routing-Manager im Gateway-Gerät an die IP-Adresse des USB-Ports des Bedien- PCs geleitet. 6.8.10 Netzwerk-Konfigurationsbeispiel 4 6.8.10.1 Betriebsmittelverbindung Beispiel 4 unterscheidet sich von Beispiel 2 darin, dass das Schutzgeräte-Netzwerk aus 4 Subnetzen besteht und die einzelnen Geräte mit verschiedenen Subnetzen verbunden sind. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 104: Gerätezuordnung

    In diesem Beispiel ist das Gateway-Gerät über Port J mit dem Bedien-PC verbunden. Es gibt 53 Geräte. Die Geräte sind aufsteigend von 1 bis 53 nummeriert und wie folgt zugewiesen: • Gerät 1 ist das Gateway-Gerät. • Gerät 2 bis Gerät 53 sind lokale Endgeräte. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 105 Routing-Manager-Konfiguration – Beispiel 4 Gateway-Gerät Lokales Endgerät Aus der Perspektive des Bedien-PCs Aus der Perspektive von Gerät 14 Aus der Perspektive von Gerät 15 Aus der Perspektive von Gerät 27 Aus der Perspektive von Gerät 28 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 106: Routing-Manager-Konfiguration

    IP-Adressen der Module (10.16.60.17 bis 10.16.60.30) im selben Subnetz 2, d.h., jedes Modul kann IP-Pakete von allen anderen Modulen in diesem Subnetz empfangen und an alle anderen Module in diesem Subnetz senden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 107 Die IP-Adressen von Port J aller lokalen Endgeräte (172.16.60.1, 172.16.60.4, 172.16.60.7 bis 172.16.60.157) befinden sich (aus der Perspektive von Port J des Gateway-Gerätes) im selben Subnetz auf Grundlage der konfigurierten IP-Adresse von Port J des Gateway-Gerätes (172.16.60.200) und der 24-Bit- Subnetzmaske (255.255.255.0) von Port J des Gateway-Gerätes. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 108: Diagnose Des Rangierungsstatus

    6.8.11 Sie können die folgenden Einstellungen eines Geräts in der Browser-basierten Benutzeroberfläche über- prüfen. Weitere Informationen über die Browser-basierte Benutzeroberfläche finden Sie unter Bedienung über eine Browser-basierte Benutzeroberfläche im SIPROTEC 5 Benutzerhandbuch. • Rolle (Gateway-Gerät / lokales Endgerät) • IP-Adresse für Port J •...
  • Seite 109: Gateway-Gerät In Ein Lokales Endgerät Geän

    Entfernen Sie kurz das USB-Kabel und stecken Sie es dung zu diesem SIPROTEC 5-Gerät von einem erneut ein. Gateway-Gerät in ein Lokales Endgerät geän- dert wird, können das ehemalige Gateway-Gerät und andere als Lokales Endgerät konfigurierte SIPROTEC 5-Geräte möglicherweise nicht mehr erreicht/angepingt werden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 110 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 111: Zertifikatsverwaltung

    Zertifikatsverwaltung Einleitung Manuelles Management Automatisches Enrollment over Secure Transport Einschränkungen der Zertifikatstiefe [UnresolvedTxtref]Txt990_2918 does not exist for de_DE[/UnresolvedTxtref] SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 112: Einleitung

    Nach Deaktivierung der RBAC haben alle Benutzer über das Passwort 111111 Lese- und Schreibzugriff auf die Zertifikate. [sc_certificates_button, 2, de_DE] Wenn Sie die Schaltfläche Zertifikate anklicken, sind folgende Abschnitte verfügbar: • Zertifikate im Einsatz • Zertifizierungsstellen • Angeforderte Zertifikate [sc_CM, 3, de_DE] SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 113 Zertifikatsverwaltung 7.1 Einleitung HINWEIS Siemens empfiehlt für höhere Sicherheit, das Standardzertifikat mit Ihrem eigenen Zertifikat zu ersetzen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 114: Manuelles Management

    Wenn Sie in DIGSI 5 Ihre Zertifizierungsstellen in den DIGSI 5 CA-Store importiert haben und die Zertifizie- rungsstellen in das Gerät geladen haben, werden die Zertifizierungsstellen bei der browserbasierten Benut- zeroberfläche im Bereich Zertifizierungsstellen angezeigt. [sc_CerAuth., 1, de_DE] SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 115: Angeforderte Zertifikate

    Weitere Informationen zum Signieren von CSR-Dateien mit SICAM GridPass finden Sie im Handbuch SICAM GridPass (www.siemens.com/sicam-gridpass). Speichern Sie die signierte Datei als .pem-Datei. ² Klicken Sie im Bereich Zertifikate im Einsatz auf die Schaltfläche zum Hochladen. ² SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 116 Wählen Sie das signierte IEEE 802.1X-Zertifikat aus und klicken Sie auf die Schaltfläche zum Hochladen. ² [sc_upload_suc, 2, de_DE] Nachdem das IEEE 802.1X-Zertifikat erfolgreich in das Gerät geladen ist, wird das Zertifikat im Bereich Zertifi- kate im Einsatz aufgeführt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 117: Automatisches Enrollment Over Secure Transport

    Sicherheitsadministratoren zur echten Herausforderung, die Gültigkeit jedes Zertifikats für jeden Dienst zu pflegen, wenn eine PKI verwendet wird. Zur Lösung dieser Probleme stellt Siemens die Funktion Automatische Registrierung über sicheren Trans- port (Automatic enrollment over secure transport – EST) zur Verfügung, die basierend auf den Normen RFC 7030 und IEC 62351‑9 entwickelt wurde.
  • Seite 118: Voreinstellwert

    Secure MMS Die Zertifikate zur Kommunikation zwischen Gerät und MMS-Client werden automatisch verwaltet. HINWEIS Unabhängig davon, ob die Zertifikate manuell oder automatisch verwaltet werden, können sie nur über die Browser-basierte Benutzeroberfläche angezeigt werden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 119: Einschränkungen Der Zertifikatstiefe

    OSI-Sicherungsschicht arbeitet, vervollständigt die Port-Authentifizierung mit der Authenticator-PAE. Um die Fragmentierung zu verhindern und die Größe der TLS-Zertifikatsnachricht zu reduzieren, sendet das Gerät lediglich das End‑Entity-Zertifikat des Ports an die externe Entität. Sie müssen die Zwischenzertifikate (falls Port Access Entity SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 120: Zertifikatstiefe

    Nach der Norm IEC 62351:2023 muss das Gerät mindestens 2 Zwischenzertifikate unterstützen. Um Geräte- speicher zu sparen, begrenzt Siemens die Tiefe der TLS-Zertifikatskette auf maximal 2. Wenn Sie beispielsweise eine Zertifikatskette über die Web-UI ins Gerät importieren, ist die zulässige maximale Tiefe gleich 2.
  • Seite 121: Unresolvedtxtref]Txt990_2918 Does Not Exist For De_De[/Unresolvedtxtref]

    Um die Funktion CLR/OCSP zu aktivieren, gehen Sie wie folgt vor: • Navigieren Sie in DIGSI 5 zu Projekt > Gerät > Sicherheit > Automatisches Zertifikate-Management. • Weisen Sie unter CRL/OCSP dem Parameter Geräte-Port einen Port zu. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 122: Funktionsbeschreibung

    Die Funktion CRL/OCSP unterstützt folgende Verifizierungsverfahren: • Zertifikatssperrliste (CRL) Eine CRL ist eine Liste der Zertifikate, die durch die ausgebende Zertifizierungsstelle widerrufen wurden (siehe Bild 7-2). [sc_CRL, 1, de_DE] Bild 7-2 Beispiel für eine Zertifikatssperrliste SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 123 Zertifikatsverwaltung [UnresolvedTxtref]Txt990_2918 does not exist for de_DE[/UnresolvedTxtref] Das CDP beschreibt in einem Zertifikat, wo die CRL zu finden ist. [sc_CDP, 1, de_DE] Bild 7-3 Beispiel für ein CDP SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 124 Beim Überprüfen des Widerrufsstatus eines Zertifikats prüft das Gerät zuerst die CRL und dann den OCSP. Die Funktion CRL/OCSP prüft bei jedem Zertifikat die ersten 6 CDP und die ersten 2 AIA. HINWEIS Um die Überprüfung zu beschleunigen, empfiehlt Siemens eine maximale Anzahl von 10 CDP pro Untersta- tion. SIPROTEC 5, Sicherheit, Handbuch...
  • Seite 125: Sicherung Und Wiederherstellung

    Sicherung und Wiederherstellung Allgemein Archivieren und Dearchivieren eines Projekts SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 126: Allgemein

    Microsoft Windows als Ordner strukturiert. Wenn die Voreinstellung nicht geändert wurde, finden Sie die Projektordner unter Eigene Dateien > Automatisierung. Für jedes Projekt wird ein Ordner mit dem Namen des Projekts erzeugt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 127: Archivieren Und Dearchivieren Eines Projekts

    Klicken Sie im Menü Projekt auf Archivieren..² [sc_project_menu, 2, de_DE] Bild 8-1 Archivierungsmenü Der Dialog Archivieren wird geöffnet. Standardmäßig wird der Dateiname angezeigt. Stellen Sie die Parameter gemäß Ihren Anforderungen ein. ² SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 128 Klicken Sie im Dialog Projekt öffnen auf die Schaltfläche Durchsuchen und wählen Sie das archivierte ² Projekt aus dem jeweiligen Ordner aus. Wählen Sie den Zielordner, in dem Sie das dearchivierte Projekt speichern möchten. ² Das dearchivierte Projekt wird in DIGSI 5 geöffnet. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 129: Sicherheitsprotokollierung

    Sicherheitsprotokollierung Übersicht Umwelt Konfiguration Protokollierte Sicherheitsereignisse Anzeigen der Protokolle SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 130: Übersicht

    Security-Meldepuffer gespeichert. Sie können diese Einträge nicht verändern oder löschen. Eine Liste der aufgezeichneten Sicherheitsereignisse finden Sie unter 9.3.1 Sicherheitsprotokollierung konfi- gurieren. HINWEIS Siemens empfiehlt, die empfangenen Sicherheitsereignisse auf den syslog-Servern vor unbefugtem Lese- und Schreibzugriff durch die Rolle Auditor zu schützen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 131: Umwelt

    Alle Alarme und Warnmeldungen liegen als temporäre Meldungen vor. Bei aktivierter Funktion Sicherheits- protokollierung werden Sicherheitsalarm- und -warnmeldungen in den folgenden unterstützten Betriebs- arten über unterstützte Kommunikationsprotokolle an Überwachungssysteme (z. B. Leitstellen) übertragen: • Simulationsmodus • Prozessmodus • Inbetriebsetzungsmodus • Fallback-Modus (Rückfallmodus) SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 132: Konfiguration

    Derzeit werden die Protokolle UDP und TLS unterstützt. Wenn Sie das Protokoll TLS wählen, müssen Sie außerdem die Stammzertifizierungsstelle auswählen, der Sie bei der Übertragung vertrauen. [sc_syslog_TLS, 1, de_DE] Bild 9-1 Übertragungsprotokoll TLS ausgewählt SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 133: Prüfen Der Verwendeten Syslog-Server

    Um die Signale anzuzeigen, navigieren Sie in DIGSI 5 zu Projekt > Zielgerät > Informationsrangie- rung > Security > Sicherheitsprotok. > Sicherh. Prot.. Um Signale umzubenennen, können Sie auf den Signalnamen doppelklicken. Weitere Informationen zu den Signalen finden Sie unter A.1 Signale für die Sicherheit. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 134 Sicherheitsprotokollierung 9.3 Konfiguration [sc_user-defined events, 1, de_DE] Bild 9-2 Frei definierbare protokollierte Ereignisse SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 135: Protokollierte Sicherheitsereignisse

    UDP übertragen. Der Inhalt der Meldungen hängt davon ab, ob RBAC aktiv ist oder nicht. Zeitlich bestimmte Abmel- Der Inhalt der Meldungen hängt davon ab, ob RBAC aktiv ist oder nicht. dung SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 136 Gerätes durch Entfernen der Stromversorgung oder durch Verwendung eines gerätein- ternen Mechanismus zum Neustart, zum Beispiel durch Reset-Taste, Einschaltfolge oder Zugriff auf Software. Ungültige Konfiguration Ereignisse aufgrund der Erkennung einer ungültigen Konfiguration oder Firmware, zum und Firmware Beispiel eine Signaturprüfung eines SIPROTEC 5-Gerätes SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 137: Aufbau Eines Eintrags Des Sicherheitsmeldepuffers

    User %A1% initiated a remote session from %A1% Konto-ID %A2% in the role(s) of %A3%. %A2% IP-Adresse des Fernbedienplatzes %A3% Rolle(n), die dem Benutzer zugewiesen sind und in der Liste durch Kommas getrennt werden SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 138: Zusätzliche Angaben

    %A2%. %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi- neering-Werkzeug), von dem aus die Änderungen durchge- führt werden sollen. Wird eine PC-Software verwendet, handelt es sich um die IP- Adresse des Rechners. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 139 Configuration settings were uploaded from %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi- %A1%. neering-Werkzeug), von dem aus die Änderungen durchge- führt werden sollen. Wird eine PC-Software verwendet, handelt es sich um die IP- Adresse des Rechners. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 140 %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi- %A1%. neering-Werkzeug), von dem aus die Änderungen durchge- führt werden sollen. Wird eine PC-Software verwendet, handelt es sich um die IP- Adresse des Rechners. User %A1% changed the time/date. %A1% Konto-ID SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 141 %A1% Eigenname %A1% CRL missing %A1% Eigenname %A1% CRL expired %A1% Eigenname %A1% CRLDP not accessible %A1% Eigenname %A1% OCSP resp. URL missing %A1% Eigenname %A1% OCSP resp. timeout or not accessible %A1% Eigenname SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 142 Bei LDAP-Benutzern ist der Kontotyp LDAP. %A3% Dies kann Folgendes sein: • Der benutzerbezogene Name des Produkts, bei dem Anmeldeversuche erkannt wurden • Wenn ein Fernbedienplatz verwendet wird, ist %A3% die IP-Adresse des Fernbedienplatzes. • Bedieneinheit des Gerätes SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 143 %A1% IP-Adresse des PC Attempted download of invalid configuration %A1% Quelle der nicht ungültigen Konfigurationen, zum Beispiel IP- settings from %A1% Adresse des PC Attempted download of invalid configuration – – settings SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 144 %A1% Komponentenname from %A2% %A2% IP-Adresse Insufficient rights to access file %A1% in %A2% %A1% Dateiname from %A3% %A2% Komponentenname %A3% IP-Adresse %A1% Cert revoked %A1% Eigenname %A1% OCSP response revoked %A1% Eigenname SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 145: Anzeigen Der Protokolle

    Klicken Sie auf Start > Systemsteuerung > Administrative Tools > Ereignisanzeige. ² – oder – Wählen Sie Start > Ausführen ... und geben Sie eventvwr in den Dialog ein. ² Klicken Sie auf OK. ² Der Dialog Ereignisanzeige wird angezeigt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 146 Klicken Sie im Fenster Ereignisanzeige unter dem Ordner Anwendungs- und Dienstprotokolle mit der ² rechten Maustaste auf den Knoten DIGSI 5 und wählen Sie im Kontextmenü Eigenschaften. Der Dialog Protokolleigenschaften - DIGSI 5 wird angezeigt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 147: Auditberichte Anzeigen

    Um in DIGSI 5 auf die Security-Meldepuffer Ihres SIPROTEC 5-Geräts zuzugreifen, muss sich das Gerät im Modus Online-Zugänge befinden. Gehen Sie wie folgt vor: • Navigieren Sie im Fenster Projektnavigation zu Projekt > Online-Zugänge > Gerät > Geräteinformation > Meldepuffer > Sicherheitsmeldungen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 148 Navigieren Sie auf der Bedieneinheit des Geräts zu Hauptmenü > Test & Diagnose > Meldepuffer > Sicherheitsmeldungen. • Sie können auf der Bedieneinheit des Geräts mit den Navigationstasten (<Aufwärts> oder <Abwärts>) durch die angezeigte Meldungsliste navigieren. [sc_seclog, 1, de_DE] Bild 9-6 Anzeigen des Security-Meldepuffers an der Geräte-Bedieneinheit SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 149: Zurücksetzen Der Konfiguration

    Zurücksetzen der Konfiguration 10.1 Zurücksetzen von Sicherheitsanmeldeinformationen 10.2 Zurücksetzen des Geräts auf die Werkseinstellungen SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 150: Zurücksetzen Von Sicherheitsanmeldeinformationen

    Wenn RBAC nicht aktiviert ist, können Sie die SCRF lokal auf Ihrem PC speichern. ² Die Dateierweiterung lautet *.scrf_norbac. Wenn RBAC aktiviert ist, müssen Sie zunächst Benutzername und Passwort für die Rolle SECADM oder ² Administrator eingeben. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 151: Sicherheitskonfiguration Zurücksetzen

    Beachten Sie vor dem Zurücksetzen der Sicherheitseinstellungen folgende Hinweise: • Jedes Gerät hat eine eindeutige SCRF-Datei. Eine SCRF kann nur zum Zurücksetzen der Sicherheitseinstellungen des Geräts verwendet werden, vom dem sie heruntergeladen wurde. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 152 Laden Sie die Sicherheitskonfigurationen in das Gerät. ² Nach erfolgreichem Abschluss werden alle Sicherheitskonfigurationen im SIPROTEC 5-Gerät deaktiviert. Um die Sicherheitskonfigurationen auf der Bedieneinheit des Geräts und der Web-Benutzeroberfläche zu aktualisieren, müssen Sie das Gerät neu starten. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 153 Zurücksetzen der Konfiguration 10.1 Zurücksetzen von Sicherheitsanmeldeinformationen HINWEIS Das Gerät startet nicht automatisch neu, um eine Beeinträchtigung der Schutzfunktionen zu vermeiden. Sie müssen entsprechend der gegebenen Situation entscheiden, ob Sie das Gerät neu starten wollen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 154: Zurücksetzen Des Geräts Auf Die Werkseinstellungen

    Wählen Sie Sicherheit > Datei zum Zurücksetzen auf Werkseinstellungen herunterladen..² [sc_download_sfrf, 3, de_DE] Bild 10-6 Herunterladen der SFRF Geben Sie Benutzername und Passwort für die Rolle SECADM oder Administrator ein und klicken Sie auf ² SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 155: Zurücksetzen Auf Werkseinstellungen

    Zurücksetzen effektiv vom PC entfernt werden. • Mithilfe der SFRF kann das SIPROTEC 5-Gerät stets auf die Werkseinstellungen zurückgesetzt werden. RBAC ist im Gerät aktiviert und die SFRF des Geräts ist auf einem PC gespeichert. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 156 Wählen Sie Sicherheit > Zurücksetzen auf Werkseinstellungen..² [sc_SFRF, 2, de_DE] Bild 10-9 Option zum Zurücksetzen der SFRF Laden Sie nach Abschluss des Hochladevorgangs die Sicherheitseinstellungen in das Gerät. ² Nach dem Geräteneustart sind die Werkseinstellungen wiederhergestellt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 157: Sicheres Patch-Management

    Sicheres Patch-Management 11.1 Allgemein 11.2 SIPROTEC 5 Patch-Management 11.3 DIGSI 5 Patch-Management SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 158: Allgemein

    Betriebspersonal, das das System verwaltet, auch die Patches und Updates installiert. Installation und Deinstallation von Patches und Updates sollten durch den Systembetreiber autori- siert werden und nicht automatisch durchgeführt werden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 159: Siprotec 5 Patch-Management

    11.2 SIPROTEC 5 Patch-Management Um sicherzustellen, dass die SIPROTEC 5-Geräte die neueste Firmware verwenden, können Sie alle Firmware- Dateien für diese Geräte einzeln herunterladen und aktualisieren. Während der Aktualisierung der Firmware ist das betreffende Gerät nicht betriebsbereit. Wenn eine Unterbre- chung des Normalbetriebs nicht akzeptabel ist und Sie einen kontinuierlichen Betrieb sicherstellen möchten,...
  • Seite 160: Digsi 5 Patch-Management

    Verbesserungen und Bereinigungen von Software-Fehlern werden zur Nachverfolgung dokumentiert. Sicher- heitsupdates für Komponenten von Fremdherstellern, die von DIGSI 5 verwendet werden (z.B. Windows- Betriebssystem), werden in diesem Rahmen ebenfalls getestet und für DIGSI 5 freigegeben. Siemens bietet die Updates kostenfrei an. Ab V3.00 kann DIGSI 5 melden, ob ein deaktivierter Gerätetreiber installiert wurde. Normalerweise führt der für die Systempflege verantwortliche Systembediener oder Servicetechniker die entsprechende Instal-...
  • Seite 161: Datenschutzbestimmungen

    Datenschutzbestimmungen Siemens berücksichtigt bei der Konzeption und Entwicklung der SIPROTEC 5-Produkte auch Datenschutza- spekte in Bezug auf den Netzbetrieb. Dieser Ansatz findet sich in den folgenden technischen Maßnahmen wieder, die in den SIPROTEC 5-Produkten umgesetzt wurden. Tabelle 12-1 Datenschutzaspekte Anforderungen Bemerkungen Zugriffskontrolle auf persönliche Der Sicherheitsmeldepuffer enthält Informationen zu sicherheitsrelevanten Akti-...
  • Seite 162 Datenschutzbestimmungen HINWEIS Siemens empfiehlt, die Verantwortung Ihrer Organisation in Bezug auf die Einhaltung der Vorgaben der DSGVO zu beachten. Weitere Informationen siehe Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen der DSGVO (https://edpb.europa.eu/sites/edpb/files/ consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf). SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 163: Anhang

    Anhang Signale für die Sicherheit SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 164: A.1 Signale Für Die Sicherheit

    _:2761:19021:319 Neustart des Gerätes Das Gerät wurde neu gestartet. _:2761:19021:320 ung. Firmw/Konfig. upl. Die hochgeladenen Konfigurationen oder Firmware-Einstel- lungen sind ungültig, z.B. ist die Signatur des SIPROTEC 5-Gerätes ungültig. _:2761:19021:321 Fehler Zeitsynchronis. Zeitsynchronisation fehlgeschlagen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 165: Pw-Änderung Nicht Ok

    Anmeldung nicht OK Anmeldung fehlgeschlagen • PW-Aktivierung OK Aktivierung des Passwortes erfolgreich • PW-Aktivierung n. OK Aktivierung des Passwortes fehlgeschlagen • PW-Deaktivierung OK Deaktivierung des Passwortes erfolgreich • PW-Deaktivierg. n.OK Deaktivierung des Passwortes fehlgeschlagen SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 166 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 167: Literaturverzeichnis

    Literaturverzeichnis Online-Hilfe DIGSI 5 C53000-D5000-C001 Systemhärtung für Stationsautomatisierung und Schutz E50417-H8900-C619 SIPROTEC 5, Betrieb C53000-D5000-C003 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 168 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 169: Glossar

    DIGSI Konfigurationssoftware für SIPROTEC GOOSE Generic Object-Oriented Substation Event SIPROTEC Die eingetragene Marke SIPROTEC bezeichnet die Produktfamilie der Siemens-Schutzgeräte und -Stör- schreiber. SIPROTEC 5-Gerät Dieser Objekttyp repräsentiert ein reales SIPROTEC-Gerät mit allen darin enthaltenen Einstellwerten und Prozessdaten. SIPROTEC 5, Sicherheit, Handbuch...
  • Seite 170 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 171: Stichwortverzeichnis

    Rollenbasierte Ansichten   40 Diagnose   21 Security-Meldepuffer   147 Sicherheit   72 Sicherheitseinstellungen in Gerät laden   32 Syslog-Server   132 Systemhärtung Annahmen und Randbedingungen 19 LDAP-Server Ziele 18 Konfiguration in DIGSI 5 29 Technologien   12 Maßnahmen zur Härtung   22 Verbindungspasswort   25 Normen   13 Einleitung 24 Konfiguration 24 Zeichenbeschränkung 24 Offene Ports   20 Wichtige Sicherheitsanforderungen   14 Patch-Management-Prozess   158 Zeitüberschreitung   74 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...
  • Seite 172 Stichwortverzeichnis Zertifikatsverwaltung Beispiel zum Hochladen eines Zertifikats 115 CSR exportieren 115 Signierte Zertifikate 114 Vorbedingungen 112 Zugriffskontrolle   23 Zuweisung von Rechten und unterstützten Rollen   33 SIPROTEC 5, Sicherheit, Handbuch C53000-H5040-C081-G, Ausgabe 06.2025...

Inhaltsverzeichnis