Siemens SIMATIC NET SCALANCE XCH-300 Gerätehandbuch Seite 16

Security-Empfehlungen
3.1 Security-Empfehlungen
• Ersetzen Sie die Standardpasswörter für alle Benutzerkonten, Zugriffsmodi und
Anwendungen (sofern zutreffend), bevor Sie das Gerät einsetzen.
• Verwenden Sie starke Passwörter. Vermeiden Sie schwache Passwörter (wie Passwort1,
123456789, abcdefgh) oder sich wiederholende Zeichen (wie abcabc).
Diese Empfehlung gilt auch für auf dem Gerät konfigurierte symmetrische Passwörter/
Schlüssel.
• Stellen Sie sicher, dass Passwörter geschützt werden und nur berechtigtem Personal
mitgeteilt werden.
• Verwenden Sie nicht für mehrere Benutzernamen und Systeme die gleichen Passwörter.
• Bewahren Sie Passwörter an einem sicheren Ort (nicht online) auf, damit Sie sie bei Verlust
zur Hand haben.
• Ändern Sie die Passwörter regelmäßig und häufig.
• Wenn die Benutzerauthentifizierung über RADIUS ausgeführt wird, stellen Sie sicher, dass
sämtliche Kommunikation innerhalb des Sicherheitsumfelds erfolgt oder durch einen
sicheren Kanal geschützt wird.
• Achten Sie auf Link-Layer-Protokolle, die keine eigene Authentifizierung zwischen den
Endpunkten bieten, wie ARP oder IPv4. Eine Einheit mit bösartigen Absichten könnte
Schwachstellen in diesen Protokollen ausnutzen, um mit Ihrem Layer-2-Netzwerk
verbundene Hosts, Switches und Router anzugreifen, zum Beispiel durch Vergiftung
(Poisoning) der ARP-Caches von Systemen im Subnetz und anschließendem Abfangen des
Datenverkehrs. Gegen nicht sichere Layer-2-Protokolle sind angemessene
Sicherheitsvorkehrungen zu ergreifen, um unbefugten Zugriff auf das Netzwerk zu
verhindern. Unter anderem kann der physische Zugriff auf das lokale Netzwerk gesichert
oder es können sichere höherschichtige Protokolle verwendet werden.
Zertifikate und Schlüssel
• Ändern Sie bei Verdacht auf eine Sicherheitsverletzung sofort alle Zertifikate und Schlüssel.
• SSH- und SSL-Schlüssel stehen Admin-Benutzern zur Verfügung. Stellen Sie sicher, dass Sie
geeignete Sicherheitsvorkehrungen ergreifen, wenn Sie das Gerät außerhalb der vertrauten
Umgebung versenden:
– Ersetzen Sie die SSH- und SSL-Schlüssel vor dem Versand durch Wegwerfschlüssel.
– Nehmen Sie die vorhandenen SSH- und SSL-Schlüssel außer Betrieb. Erstellen und
• Verwenden Sie passwortgeschützte Zertifikate im Format "PKCS #12".
• Verwenden Sie Zertifikate mit einer Schlüssellänge von 4096 Bit.
• Bevor Sie das Gerät zur Reparatur an Siemens zurückschicken, ersetzen Sie die aktuellen
Zertifikate und Schlüssel durch temporäre Wegwerfzertifikate und -schlüssel, die bei der
Rückkehr des Geräts zerstört werden können.
• Überprüfen Sie Zertifikate und Fingerprints auf dem Server, um auf diese Weise Man-in-the-
Middle(MitM)-Angriffe zu verhindern.
16
Programmieren Sie bei Rückkehr des Geräts neue Schlüssel für das Gerät.
SCALANCE XCH-300/XCM-300
Gerätehandbuch, 10/2022, C79000-G8900-C585-02