Physischer Zugang
● Beschränken Sie den physischen Zugang zu dem Gerät auf qualifiziertes Personal, da
das steckbare Speichermedium sensible Daten enthalten kann.
● Sperren Sie ungenutzte physische Schnittstellen auf dem Gerät. Ungenutzte
Schnittstellen können verwendet werden, um unerlaubt auf die Anlage zuzugreifen.
Software (Security-Funktionen)
● Halten Sie die Firmware aktuell. Informieren Sie sich regelmäßig über Sicherheitsupdates
für das Gerät. Informationen hierzu finden Sie auf den Internetseiten Industrial Security
(https://www.siemens.com/industrialsecurity).
● Informieren Sie sich regelmäßig über Security-Empfehlungen, die vom Siemens
ProductCERT (https://www.siemens.com/cert/de/cert-security-advisories.htm)
veröffentlicht werden.
● Aktivieren Sie nur Protokolle, die Sie für den Einsatz des Geräts benötigen.
● Beschränken Sie den Zugriff auf das Management des Geräts durch Regeln in einer
Zugriffsliste (Management ACL - Access Control List).
● Die Möglichkeit der VLAN-Strukturierung bietet Schutz gegen DoS-Attacken und nicht
autorisierte Zugriffe. Prüfen Sie, ob dies in Ihrem Umfeld sinnvoll ist.
● Nutzen Sie einen zentralen Logging-Server, um Änderungen und Zugriffe zu
protokollieren. Betreiben Sie Ihren Logging-Server innerhalb des geschützten
Netzwerkbereichs und prüfen Sie regelmäßig die Logging-Informationen.
Passwörter
● Definieren Sie Regeln für die Vergabe von Passwörtern.
● Ändern Sie regelmäßig Ihre Passwörter, um die Sicherheit zu erhöhen.
● Verwenden Sie Passwörter mit hoher Passwortstärke.
● Stellen Sie sicher, dass alle Passwörter geschützt und unzugänglich für unbefugte
Personen sind.
● Verwenden Sie dasselbe Passwort nicht für verschiedene Benutzer und Systeme.
Zertifikate und Schlüssel
● Im Gerät ist ein voreingestelltes SSL-Zertifikat mit Schlüssel vorhanden. Ersetzen Sie
dieses Zertifikat durch ein selbst erstelltes Zertifikat mit Schlüssel. Es wird empfohlen, ein
Zertifikat zu verwenden, das entweder durch eine zuverlässige externe oder interne
Zertifizierungsstelle signiert ist.
● Nutzen Sie eine Zertifizierungsstelle inklusive Schlüsselwiderruf und -verwaltung, um
Zertifikate zu signieren.
● Stellen Sie sicher, dass benutzerdefinierte private Schlüssel geschützt und unzugänglich
für unbefugte Personen sind.
● Es wird empfohlen, passwortgeschützte Zertifikate im PKCS #12-Format zu verwenden.
SCALANCE XP-200
Betriebsanleitung, 12/2017, C79000-G8900-C428-04
Sicherheitshinweise
2.1 Empfehlungen zur Netzwerksicherheit
13