2.2
Vorgesehene Betriebsumgebung
Siemens empfiehlt das Einspielen der zur Verfügung gestellten Sicherheitsupdates über die entsprechenden
Werkzeuge und dokumentierten Vorgehensweisen, die mit dem Produkt verfügbar sind. Das Einspielen der
Sicherheitsupdates über mehrere Produktinstanzen hinweg kann auch automatisch erfolgen, wenn dies im
Funktionsumfang des Produkts enthalten ist.
Siemens empfiehlt die Validierung aller Sicherheitsupdates vor dem Einspielen und die Überwachung des
Aktualisierungsvorgangs in der Zielumgebung durch geschultes Personal.
Als generelle Sicherheitsmaßnahme empfiehlt Siemens, den Netzwerkzugriff mit angemessenen Maßnahmen
zu schützen (z.B. mit Firewalls, Segmentierung, VPN).
Siemens empfiehlt, die Umgebung gemäß den Betriebsrichtlinien zu konfigurieren, damit die Geräte in einer
geschützten IT-Umgebung betrieben werden. Die empfohlenen Sicherheitsrichtlinien für sichere Unterstati-
onen finden Sie unter https://www.siemens.com/gridsecurity.
Die folgenden Annahmen oder Randbedingungen gelten für die vorgesehene Betriebsumgebung, in denen die
SIPROTEC 5-Geräte gemäß Empfehlungen in diesem Handbuch eingesetzt werden.
Tabelle 2-1
Annahmen und Randbedingungen
Die Kommunikation der Leitstelle mit dem SIPROTEC 5-Gerät erfolgt nicht direkt.
Remote-Ethernet-Verbindungen zu Unterstationen sind über VPN oder TLS gesichert.
Die Unterstation ist physikalisch gesichert (Sicherheitszone).
In den SIPROTEC 5-Geräten ist Role-Based Access Control (RBAC) aktiviert.
Der Zeit-Server ist konfiguriert und die Gerätezeit wurde synchronisiert.
Die DIGSI 5-Instanzen verwenden für den Aufbau der TLS-Verbindung zu SIPROTEC 5-Geräten von Ihrer CA
zugelassene Client-Zertifikate. Weitere Informationen hierzu siehe Kapitel
rung.
Das Protokoll OPC UA PubSub für die IoT-Konnektivität wird auf einem Kommunikationsmodul aktiviert, das
keine andere prozesskritische Kommunikation unterstützt, z.B., GOOSE/SV.
SIPROTEC 5, Sicherheit, Handbuch
C53000-H5000-C081-2, Ausgabe 12.2019
Annahmen oder Randbedingungen hinsichtlich Sicherheit
Measures for System Hardening
2.2 Vorgesehene Betriebsumgebung
5.2 DIGSI 5 Client-Authentifizie-
19