Siemens SIMATIC NET SCALANCE SC-600 Betriebsanleitung Seite 17

• SSH- und SSL-Schlüssel stehen Admin-Benutzern zur Verfügung. Stellen Sie sicher,
dass Sie geeignete Sicherheitsvorkehrungen ergreifen, wenn Sie das Gerät außerhalb
der vertrauten Umgebung versenden:
– Ersetzen Sie die SSH- und SSL-Schlüssel vor dem Versand durch
– Nehmen Sie die vorhandenen SSH- und SSL-Schlüssel außer Betrieb. Erstellen
• Verwenden Sie passwortgeschützte Zertifikate im Format "PKCS #12".
• Verwenden Sie Zertifikate mit einer Schlüssellänge von 4096 Bit.
• Verifizieren Sie Zertifikate anhand des Fingerprints auf Server- und Clientseite, um
"Man-in-the-middle"-Angriffe zu verhindern. Verwenden Sie hierzu einen zweiten,
sicheren Übertragungsweg.
• Bevor Sie das Gerät zur Reparatur an Siemens zurückschicken, ersetzen Sie die
aktuellen Zertifikate und Schlüssel durch temporäre Wegwerfzertifikate und -
schlüssel, die bei der Rückkehr des Geräts zerstört werden können.
Physischer- / Remote-Zugriff
• Beschränken Sie den physischen Zugang zu dem Gerät auf qualifiziertes Personal.
• Das Speichermedium (C-PLUG, KEY-PLUG) enthält sensible Daten, wie Zertifikate,
Schlüssel usw., die ausgelesen und verändert werden können.
• Über den Taster können Sie das Gerät auf die Werkseinstellungen zurücksetzen.
• Wenn das Gerät öffentlich zugänglich ist, deaktivieren Sie die Funktionen des Tasters
über die Software.
• Sperren Sie ungenutzte physische Ports auf dem Gerät. Ungenutzte Ports können
verwendet werden, um unerlaubt auf die Anlage zuzugreifen.
• Es wird dringend empfohlen, die Brute Force Prevention (BFP) zum Schutz des Geräts
gegen unberechtigten Zugriffaktiviert zu lassen. Für weitere Informationen siehe
Projektierungshandbücher, Kapitel "Brute Force Prevention".
• Nutzen Sie für die Datenübertragung über ein unsicheres Netzwerk einen
verschlüsselten VPN-Tunnel (IPsec, OpenVPN), um die Kommunikation zu
verschlüsseln und zu authentifizieren.
• Wenn Sie eine sichere Verbindung zu einem Server (beispielsweise für ein sicheres
Upgrade) herstellen, achten Sie darauf, dass serverseitig starke
Verschlüsselungsverfahren und Protokolle konfiguriert sind.
• Trennen Sie Management-Verbindungen ordnungsgemäß (WBM, SSH usw.).
• Sorgen Sie mit Hilfe des Remote-Logging dafür, dass die Systemprotokolle an einen
zentralen Logging-Server weitergeleitet werden. Achten Sie darauf, dass der Server
sich innerhalb des geschützten Netzwerks befindet, und schauen Sie regelmäßig in
den Protokollen nach, ob potenzielle Sicherheitsverletzungen oder Schwachstellen
vorliegen.
• Verwenden Sie bei der Kommunikation über unsichere Netzwerke die vom jeweiligen
Protokoll angebotenen Authentifizierungsmöglichkeiten.
SCALANCE SC-600
Betriebsanleitung, 10/2021, C79000-G8900-C453-06
Wegwerfschlüssel.
und Programmieren Sie bei Rückkehr des Geräts neue Schlüssel für das Gerät.
Security-Empfehlungen
17