Siemens SIMATIC NET SCALANCE SC-600 Projektierungshandbuch Seite 29

• Verwenden Sie passwortgeschützte Zertifikate im Format "PKCS #12".
• Verwenden Sie Zertifikate mit einer Schlüssellänge von 4096 Bit.
• Verifizieren Sie Zertifikate anhand des Fingerprints auf Server- und Clientseite, um "Man-in-
the-middle"-Angriffe zu verhindern. Verwenden Sie hierzu einen zweiten, sicheren
Übertragungsweg.
• Bevor Sie das Gerät zur Reparatur an Siemens zurückschicken, ersetzen Sie die aktuellen
Zertifikate und Schlüssel durch temporäre Wegwerfzertifikate und -schlüssel, die bei der
Rückkehr des Geräts zerstört werden können.
Physischer- / Remote-Zugriff
• Beschränken Sie den physischen Zugang zu dem Gerät auf qualifiziertes Personal.
• Das Speichermedium (C-PLUG, KEY-PLUG) enthält sensible Daten, wie Zertifikate, Schlüssel
usw., die ausgelesen und verändert werden können.
• Über den Taster können Sie das Gerät auf die Werkseinstellungen zurücksetzen.
• Wenn das Gerät öffentlich zugänglich ist, deaktivieren Sie die Funktionen des Tasters über die
Software.
• Sperren Sie ungenutzte physische Ports auf dem Gerät. Ungenutzte Ports können verwendet
werden, um unerlaubt auf die Anlage zuzugreifen.
• Es wird dringend empfohlen, die Brute Force Prevention (BFP) zum Schutz des Geräts gegen
unberechtigten Zugriffaktiviert zu lassen. Für weitere Informationen siehe
Projektierungshandbücher, Kapitel "Brute Force Prevention (Seite 676)".
• Nutzen Sie für die Datenübertragung über ein unsicheres Netzwerk einen verschlüsselten
VPN-Tunnel (IPsec, OpenVPN), um die Kommunikation zu verschlüsseln und zu
authentifizieren.
• Wenn Sie eine sichere Verbindung zu einem Server (beispielsweise für ein sicheres Upgrade)
herstellen, achten Sie darauf, dass serverseitig starke Verschlüsselungsverfahren und
Protokolle konfiguriert sind.
• Trennen Sie Management-Verbindungen ordnungsgemäß (WBM, SSH usw.).
• Sorgen Sie mit Hilfe des Remote-Logging dafür, dass die Systemprotokolle an einen zentralen
Logging-Server weitergeleitet werden. Achten Sie darauf, dass der Server sich innerhalb des
geschützten Netzwerks befindet, und schauen Sie regelmäßig in den Protokollen nach, ob
potenzielle Sicherheitsverletzungen oder Schwachstellen vorliegen.
• Verwenden Sie bei der Kommunikation über unsichere Netzwerke die vom jeweiligen
Protokoll angebotenen Authentifizierungsmöglichkeiten.
Hardware/Software
• Die Möglichkeit der VLAN-Strukturierung bietet Schutz gegen DoS-Attacken und nicht
autorisierte Zugriffe. Prüfen Sie, ob dies in Ihrem Umfeld sinnvoll ist.
• Beschränken Sie den Zugriff auf das Gerät durch Firewall-Regeln.
• Nutzen Sie einen zentralen Logging-Server, um Änderungen und Zugriffe zu protokollieren.
Betreiben Sie Ihren Logging-Server innerhalb des geschützten Netzwerkbereichs und prüfen
Sie regelmäßig die Logging-Informationen.
SCALANCE SC-600 Command Line Interface (CLI)
Projektierungshandbuch, 10/2021, C79000-G8900-C476-04
Security-Empfehlungen
29