SIPROTEC 5 Applikationsbeschreibung

Transkript

1 SIPROTEC 5 Applikationsbeschreibung SIP5-APN-009-de: Ausgabe Answers for infrastructure and cities.

2 SIPROTEC 5 - Applikation: SIP5-APN-009-de Kommunikationsarchitektur unter Aspekten der Cyber-Sicherheit Ausgabe SIP5-APN-009-de 2 Ausgabe:

3 Inhalt 1 Applikation Zusammenfassung Sicherheitsarchitektur des Systems Systemkommunikation Systemkonfigurationsbeispiele für SIPROTEC Empfohlene Komponenten Kommunikationsprotokolle Systemhärtung und Schutz gegen Schadprogramme SIPROTEC DIGSI 5 PC / Remote DIGSI 5 PC Weitere Netzwerkkomponenten des Stationsleitsystems SIPROTEC 5 Sicherheitsmechanismen Authentifizierungs- und Verschlüsselungsmechanismen Bestätigungs-ID Protokollierung Informationen zu Patches und Updates SIPROTEC DIGSI 5 PC / Remote DIGSI 5 PC Informationen zu Patches und Updates SIPROTEC DIGSI 5 PC / Remote DIGSI 5 PC Anhang IEC GOOSE DNP Protokoll IEC Synchrophasor SNTP SNMP IP Tunneling über PDI Abkürzungen Referenzdokumente / Verweise 27 Ausgabe SIP5-APN-009-de

4 1 Applikation Kommunikationsarchitektur unter Aspekten der Cyber-Sicherheit 1.1 Zusammenfassung Heute sind viele Computersysteme (Server, PCs und Automatisierungsgeräte) miteinander verbunden. Dadurch entstehen Sicherheitsrisiken für gesamte Netzwerke, wie z.b. Hackerangriffe, Schadprogrammen, Würmer und Viren. Zudem sind die Netzwerke durch die Verwendung gemeinsamer Software und Betriebssysteme, wie z.b. Windows und Linux sowie Standard-Kommunikationsprotokolle wie TCP und IP noch leichter angreifbar geworden. Um Angriffe abzuwehren und die Systemstabilität sicherzustellen, muss die Cyber-Sicherheit ein fester Bestandteil des Netzwerkplanungs- und Entwicklungsprozesses sein. Indem man die Sicherheit von Anfang an in die Planung mit einbezieht, erhält man ein umfassenderes und kosteneffizientes System. Die Vorausplanung stellt ebenfalls sicher, dass Sicherheitsfunktionen unterstützt werden. Das Nachrüsten bestehender Umgebungen mit Sicherheitsfunktionen ist häufig ineffizient und kostspielig. Die Sicherheit muss auf allen Ebenen des Entwicklungsprozesses berücksichtigt werden. Diese Applikationsbeschreibung gibt Richtlinien für die Entwicklung sicherer Automatisierungssysteme unter Verwendung von SIPROTEC 5 Schutzgeräten. Die Anleitung kann über den gesamten Produktlebenszyklus eingesetzt werden und wird bei größeren Änderungen an den Geräten aktualisiert. 1.2 Sicherheitsarchitektur des Systems SIPROTEC 5 ist ein eingebettetes Gerät mit einem sicheren Hochfahrmechanismus und verschlüsseltem Zugriff für Konfiguration und Softwareaktualisierung. Hauptsicherheitsfunktionen von SIPROTEC 5: sichere Softwareaktualisierung mit digitalen Signaturen sichere Konfiguration über digital signierte Konfigurationselemente Unterstützung verschlüsselter Protokolle wie HTTPS authentifizierter und autorisierter Zugriff mit dem Konfigurationstool über eine TLS/SSL-Verbindung rollenbasierter Zugriff auf Konfigurationsfunktionen und Gerätefunktionalität über Bestätigungs-IDs Beschränkung offener Schnittstellen über DIGSI 5 Serviceconfiguration Verwendung eines Verschlüsselungschips zur geschützten Speicherung öffentlicher Schlüssel zur Prüfung von Signaturen gerätespezifisches Schlüsselmaterial für TLS/SSL-Kommunikation Die Architektur des Sicherheitssystems ist in Abbildung 1 dargestellt. Sie umfasst die folgenden Programme und Geräte: SIPROTEC 5 mit Hauptplatine und Ethernet-Modul Konfigurationssoftware DIGSI 5 auf PC (für Kunden) über normierte Protokolle angeschlossenes Stationsleitsystem (z.b. SICAM PAS mit IEC Protokoll) SIP5-APN-009-de 4 Ausgabe:

5 Stationsleitgerät T103, DNP3.0i, 61850, SNMPv3 Echtzeit- Prozesse DIGSI DIGSI Client TLS HMI Web-Dienste Sicherheitsprotokoll Geräte-Loader Benutzerverwaltung Sitzungsmanager Sitzungsmanager Proxy TLS DIGSI DIGSI Client DIGSI Zertifikat openssl NFS DIGSI Zertifikat ConfigFile DIGSI Stammzertifizierung - Prüfung BM-Nummer gerätespezifisches Schlüsselpaar ConfigFile DIGSI Stammzertifizierung - Prüfung DCF DIGSI DIGSI Stammzertif. DAF Stammzertif. öffentlicher öffentlicher Schlüssel Schlüssel BM-Nummer BM-Nummer DIGSI Trusted Root DIGSI Trusted Root Certification Authority Certification Authority IP Tunneling über PDI, RSTP, GOOSE SIPROTEC 5 Abbildung 1: Architektur des Sicherheitssystem von SIPROTEC 5 mit DIGSI 5 Konfigurationsprogramm (siehe Kapitel 1.9 für eine Erläuterung der in dieser Abbildung und im Dokument verwendeten Abkürzungen) SIPROTEC 5 bietet die folgenden Protokolle: RSTP (Rapid Spanning Tree Protocol) und GOOSE als Kommunikationsprotokolle der 2. Schicht zu anderen SIPROTEC 5 Geräten; IEC als serielles Protokoll; über TLS/SSL gesicherter Zugriff von DIGSI 5 auf SIPROTEC 5 über Standard-TCP-Port 443 direkt auf die Hauptplatine und über das Kom.-Modul; DNP3 TCP-Port 20000; SNTP über UDP-Port 123; DCP; IP Tunneling über PDI; IEC61850 über TCP-Port 102; SNMPv3 über UDP-Port 161 zur Kommunikation mit der Netzleitstelle; DIGSI 5 baut auf das TIA Portal auf, das einen Lizenzserver an Port 4410 verwendet. Ausgabe SIP5-APN-009-de

6 1.3 Systemkommunikation Systemkonfigurationsbeispiele für SIPROTEC 5 Die folgenden Konfigurationsdiagramme zeigen einige Beispiele für sichere Netzwerkarchitekturen. Vom Aspekt der Cyber-Sicherheit her ist die Konfigurationsschnittstelle am kritischsten, daher wird das Konfigurationsnetzwerk vom Laufzeit-Prozessdatennetz getrennt. Die integrierte Ethernet-Schnittstelle (Port J) wird für die Verbindung mit dem DIGSI 5 PC eingesetzt. Die Kommunikation zwischen DIGSI 5 und dem SIPROTEC 5 Gerät ist mit einem 128 Bit langen RC4-Schlüssel nach gegenseitiger Authentifizierung verschlüsselt. Nach der Authentifizierung kann der Benutzer optional durch Eingabe eines Passworts nach NERC autorisiert werden. Es werden nur Verbindungen zu einer DIGSI 5 Applikation akzeptiert, die für den Zugriff auf die Konfigurationsdaten von SIPROTEC 5 benötigt werden. Der Zugriff auf das Stationsleitnetz ist über einen Gateway (mit Firewall) geschützt. Abbildung 2 zeigt ein allgemeines Stationsleitnetzwerk mit verschiedenen Netzwerkbereichen und Sicherheitsanforderungen. Abbildung 2: Beispiel eines allgemeinen Netzwerks Dieses Konzept implementiert verschiedene Prinzipien zum Schutz industrieller Netzwerke: getrennte Kommunikationsnetze für Konfiguration/Kommunikation, Laufzeitdaten Firewalls und Verschlüsselung zwischen den verschiedenen Zonen nur dedizierte Kommunikation erlaubt Verwendung von Virtual Private Network-Technologie zum Schutz der Kommunikation über die Netzwerkgrenzen hinaus SIP5-APN-009-de 6 Ausgabe:

7 Elektrische Ethernet-Stern-Topologie SIPROTEC 5 Applikation Abbildung 3 zeigt eine einfache Sterntopologie. Die Konfiguration von Fern und vor Ort geschieht über das integrierte Ethernet-Modul über HTTPS. Abbildung 3: Sterntopologie mit Ethernet-Modulen Elektrische / optische Ethernet-Ringkonfiguration Abbildung 4 zeigt eine typische Ringkonfiguration. Die SIPROTEC 5 Geräte sind über zwei Ethernet-Module (elektrisch/optisch) mit zwei Switches des optischen Rings verbunden. Das ist die sogenannte Dual Homing-Konfiguration. Die Konfiguration von Fern und vor Ort wird über das integrierte elektrische Ethernet-Modul über HTTPS durchgeführt. Ausgabe SIP5-APN-009-de

8 Abbildung 4: Ringtopologie von Switches mit Ethernet-Ports SIPROTEC 5 Anschluss über Dual Homing- Technologie SIP5-APN-009-de 8 Ausgabe:

9 Elektrische / optische Ethernet-Ringkonfiguration mit alternativem Ring Abbildung 5 zeigt eine Variante von Abbildung 4 ohne Dual Homing und erweiterter Schleife zwischen SIPROTEC 5 Geräten. Abbildung 5: Ringkonfiguration ohne Dual Homing und erweiterte lokale Schleife Technische Hinweise zu den Beispielen der Systemdiagramme Folgendes gilt für Abbildung 4: Es gibt optische und elektrische SIPROTEC 5 Schnittstellen. Die folgende Regel kann für die Berechnung der maximalen Anzahl von SIPROTEC 5 Geräten in jedem RSTP- Ring verwendet werden. Ein RSTP-Gerät sollte weniger als MaxAge Hops vom Root-Switch entfernt sein. Die Höchstzahl beträgt dann: maximale Anzahl = 40 (d.h. max. MaxAge) - Anzahl Switches im Hauptring Bei allen gezeigten Konfigurationsbeispielen sollte die empfohlene Anzahl von 500 Netzwerkgeräten nicht überschritten werden. Die Namen der Hosts und Geräte im Systemdiagramm werden in den folgenden Kapiteln zur Beschreibung der Dienste und Protokolle verwendet. Weitere Einzelheiten finden Sie in /12/. Ausgabe SIP5-APN-009-de

10 Beschreibung des Host Zone Hosts/Geräte Beschreibung Stationsleitnetzwerk SIPROTEC 5 SIPROTEC 5 Geräte Switches optische/elektrische Ethernet-Switches Stationsrouter mit optionaler Firewall-Funktion Der Router erlaubt die Netzwerkzugriffskontrolle zum/vom Stationsleitnetzwerk mit optionaler Firewall-Funktion. Stationsserver- Netzwerk Externe Netzwerke: Übertragungsnetze / Firmennetze Sicam PAS / 1703 DIGSI 5 PC NTP Server Entfernter DIGSI 5 PC Stationsleitserver Weitere Einzelheiten finden Sie in den Blueprints von SICAM PAS und Permanenter DIGSI 5 PC für Konfiguration / Wartung von SIPROTEC 5 Geräten Der NTP Server dient als Uhrzeitquelle für die Zeitsynchronisierung. Für die Fernbedienung mit DIGSI 5 zum Erfassen und Übertragen von Daten von den Feldgeräten zu einem Fernwirktechniker. Hinweis: Die Sicherheit für den Fernzugriff ist nicht Thema des SIPROTEC 5 Blueprint. Die Konnektivität für ein entferntes DIGSI 5 System muss separat geschützt werden (z.b. durch VPN-Abschluss an der Stationsfirewall oder einen Router für den Fernzugriff). Tabelle 1: Liste aller relevanten Hosts/Geräte Empfohlene Komponenten Nachfolgend werden Empfehlungen für Netzwerkkomponenten gegeben. Die empfohlenen Geräte wurden zertifiziert. Andere Geräte mit der entsprechenden elektromagnetischen Verträglichkeit können zwar verwendet werden, allerdings wurden diese nicht von Siemens geprüft und deren korrekter Betrieb kann nicht garantiert werden. SIP5-APN-009-de 10 Ausgabe:

11 Stationsrouter SIPROTEC 5 Applikation Siemens empfiehlt die Verwendung des Geräts Ruggedcom RuggedRouter RX1000 (siehe /4/). Zum Lieferumfang des Geräts gehört eine Firewall und erweiterte Sicherheitsfunktionen Switches Zur Sicherstellung der fehlerfreien Funktion verlangt Siemens Ethernet-Switches für Unterstationen von RuggedCom (siehe /3/), wie zum Beispiel die Geräte RS900, RS1600, RS8000 oder RSG2100 zur Verwendung mit optischen SIPROTEC-Ringen (wie z.b. in Abbildung 4). Alternativ können industrielle Ethernet-Switches der Firma Hirschmann (siehe /5/) wie die Komponenten RSR20, RSR30 und MACH1000 zusammen mit SIEMENS-Komponenten eingesetzt werden. Außerdem können SCALANCE Switches verwendet werden (siehe /8/), z.b. die Produktreihe X-300EEC (Enhanced Environmental Conditions), die die industriellen Ethernet-Switches mit IT-Funktionen für den Aufbau elektrischer und/oder optischer Leitungs-, Stern- und Ringtopologien beinhalten. Bei Verwendung des in Abbildung 4 beschriebenen Designs können auch Switches anderer Hersteller eingesetzt werden. In diesem Fall werden die SIPROTEC 5 Geräte (mit elektrischer und/oder optischer Ethernet-Schnittstelle) einzeln oder doppelt ausgerüstet an das Netz angeschlossen. Die Voraussetzung ist, dass nur die Switches einen oder mehrere Ringe aufbauen und dass alle Ringe der Norm IEC entsprechen NTP Server Es werden keine besonderen Anforderungen an die NTP Server gestellt, außer dass die Komponenten eine Genauigkeit von +/- 1 ms haben müssen. Aus Redundanzgründen können maximal 2 NTP Server eingesetzt werden. Hinweis: SIPROTEC 5 nutzt den weit verbreiteten NTP-Standard ohne Verschlüsselungserweiterungen Konfigurations-PC (DIGSI PC) Aus Sicht der Cyber-Sicherheit ist der Zugriff auf die Konfigurationsschnittstelle des Schutzgerätes äußerst kritisch. Daher ist der DIGSI PC zur Sicherung sehr wichtig und beinhaltet die folgenden Aktionen: eine Kombination von Sicherheitssoftware wie z.b. Antiviren- und Antispyware-Software, persönliche Firewalls, Spam- und Web Content-Filter, Popup-Blocker zur Abwehr der häufigsten Angriffen, insbesondere Schadprogramme Einschränkung der Benutzer des PCs durch getrennte Benutzerkonten für jede Person, Zuweisung eines Passworts für jedes Benutzerkonto, Verwendung von Standard-Benutzerkonten für den täglichen Gebrauch und Schutz von Benutzersitzungen gegenüber nicht autorisierten physikalischen Zugriffen Sicherstellen, dass das Betriebssystem und die Hauptanwendungen regelmäßig aktualisiert werden. Dies betrifft z.b. Internet-Browser, -Clients, Instant Messaging-Clients und Sicherheitssoftware. Deaktivieren nicht benötigter Netzwerkfunktionen auf dem PC und sichere Konfiguration des Drahtlosnetzes Konfiguration von Hauptanwendungen zum Filtern von Inhalten und Verhindern anderer als schadhaft angenommene Aktivitäten nur vertrauenswürdige Software installieren und verwenden Es wird nicht empfohlen, -Clients auf einem DIGSI PC zu installieren. Konfiguration von Fernzugriff-Software basierend auf den Anforderungen und Empfehlungen der Organisation kontinuierliche Aufrechterhaltung der Computersicherheit, wie z.b. regelmäßige Passwortänderungen und Statusprüfungen der Sicherheitssoftware Ausgabe SIP5-APN-009-de

12 1.3.3 Kommunikationsprotokolle IP/TCP/UDP/Ethernet Kommunikationsmatrix Die unten dargestellte Übersicht der Schnittstellen und Diensten unterstützt den Administrator bei der Anpassung der Einstellungen für Firewalls und Angriffserkennungssysteme (Intrusion Detection Systems). Es wird weiterhin dringend empfohlen, nur die Dienste zu aktivieren, die im Betrieb tatsächlich verwendet werden. Alle anderen Dienste müssen deaktiviert werden. Service Protokoll der 4. Schicht Protokoll der 7. Schicht Typischer Client Client Port Typischer Server Server Port DIGSI 5 Protokoll zum Automation License Manager TCP DIGSI 5 Protokoll zum Automation License Manager DIGSI 5 PC 4410 (Standardw ert) Automation License Manager auf einem möglichen separaten Server, 4410 (Standard wert) d.h. lokaler Host DIGSI 5 Kommunikations protokoll zu SIPROTEC 5 TCP HTTPS DIGSI 5 PC >1024 SIPROTEC Reporting / IEC / MMS TCP IEC61850 IEC Client (z.b. SICAM PAS, SICAM 1703) >1024 SIPROTEC Zeitsynchronisation / SNTP UDP SNTP SIPROTEC SNTP Server 123 Überwachung über Simple Network Management Protocol (SNMPv3) UDP SNMPv3 PC mit SNMP Client (e.g. SICAM PAS / 1703 / DIGSI 5 PC / Remote DIGSI 5 PC) >1024 SIPROTEC DNP TCPi TCP DNP3 TCP SICAM PAS oder nächster freier Port SIPROTEC Synchrophasor TCP UDP Phasor Data Concentrator >1024 SIPROTEC MODBUS auf TCP (noch nicht verfügbar) TCP MODBUS Stationsleitge rät >1024 SIPROTEC SIP5-APN-009-de 12 Ausgabe:

13 Service Protokoll der 4. Schicht Protokoll der 7. Schicht Typischer Client Client Port Typischer Server Server Port RTD-Box (noch nicht verfügbar) UDP RTD RTD-Box >1024 SIPROTEC 5 konfigurier bar Tabelle 2: Liste der Kommunikationsmatrix Kommunikationsschnittstellen Die folgenden Protokolle stehen in Abhängigkeit von der Konfiguration und dem Betriebszustand des SIPROTEC 5 Gerätes zur Verfügung. Nicht benötigte Dienste wie das Redundanzprotokoll RSTP können in DIGSI 5 deaktiviert werden. In diesem Fall werden die deaktivierten Schnittstellen dem Netzwerk nicht angeboten. Protokoll Ethernetmodul (optisch und elektrisch) Integrierte Ethernet- Schnittstelle (Port J) auf der Hauptplatine USB-Schnittstelle auf der Gerätefront DCP x X DHCP x X DNP 3 TCP IEC GOOSE x x IEC Reporting / MMS x X RSTP SNMPv3 x x SNTP x X SSL/TLS x X x IP Tunneling über PDI x Synchrophasor x X MODBUS x X RTD-Box x X Abbildung 6 zeigt, wie Dienste des SIPROTEC 5 Geräts mithilfe von DIGSI 5 aktiviert oder deaktiviert werden können. Weitere Informationen entnehmen Sie bitte dem SIPROTEC 5 Handbuch. Ausgabe SIP5-APN-009-de

14 Abbildung 6: Dienstdialog von DIGSI SIP5-APN-009-de 14 Ausgabe:

15 1.4 Systemhärtung und Schutz gegen Schadprogramme Beim Schutz vor Schadprogrammen muss zwischen dem SIPROTEC 5 Gerät, dem DIGSI 5 Konfigurationscomputer und den dazugehörigen Komponenten unterschieden werden. Da die beteiligten Komponenten über verschiedene Betriebssysteme und Netzwerkschutzmechanismen verfügen, muss der Schutz vor Schadprogrammen anders gehandhabt werden SIPROTEC 5 Das SIPROTEC 5 Gerät basiert auf dem Betriebssystem VxWorks. Bisher war VxWorks kein besonderes Ziel von Schadprogrammen. Daher gibt es keine Antivirenprogramme dafür. Zudem ist das SIPROTEC 5 Gerät mit einer internen Firewall zum Schutz vor Angriffen auf das Netzwerk ausgestattet. Die Firewall ist standardmäßig eingeschaltet, um den Standardschutz zu erhöhen. Alle Dateien, die in das SIPROTEC 5 Gerät geladen werden können haben eine digital Signatur zum Schutz vor Änderungen durch Schadprogramme. Die Authentifizierung/Autorisierung zwischen DIGSI 5 und dem Gerät verhindert, dass andere Anwendungen als DIGSI 5 Konfigurationszugriff erlangen. Zudem werden Viren normalerweise über s oder Surfen im Netz übertragen. SIPROTEC 5 hat keine E- Mail oder Browser-Anwendungen und ist daher über diese Infektionswege nicht anfällig DIGSI 5 PC / Remote DIGSI 5 PC Schutz vor Schadprogrammen Allgemeines Der DIGSI 5 PC und der entfernte DIGSI 5 PC basieren auf Windows-Betriebssystemen. Daher wird empfohlen, zum Schutz gegen Schadprogramme ein Antivirenprogramm mit dauerhaft aktualisierten Virensignaturen zu installieren. Wir empfehlen das Antivirenprogramm Trend Micro OfficeScan Um die Infizierung über USB-Geräte, wie USB Sticks oder USB Festplatten, zu verhindern, sollte die Funktion Autostart deaktiviert werden. Das verhindert die automatische Ausführung von Schadprogrammen. Zudem wird empfohlen, alle USB-Geräte bevor sie mit dem DIGSI 5 PC verbunden werden, mit einem aktualisierten Antivirenprogramm auf Schadprogramme zu überprüfen. Das Antivirenprogramm muss in der Betriebsart beim Zugriff (On Access) konfiguriert sein. Das gleiche gilt für CDs oder DVDs. Neben der Verbreitung über USB-Geräte können Schadprogramme auch über s oder Internetseiten verbreitet werden. Daher wird empfohlen, ein -Antivirenprogramm und einen Filter für bestimmte Inhalte zu installieren, um zu verhindern, dass man nicht sichere Internetseiten besucht. Der DIGSI 5 PC muss sicher konfiguriert werden, um eine Infizierung mit Schadprogrammen zu verhindern (siehe Kapitel ). Eine sichere Konfiguration umfasst auch die regelmäßige Installation von Patches für alle installierten Komponenten von anderen Herstellern. Systemadministratoren müssen geschult werden, ihre Administrationssysteme (DC, Dateiserver usw.) nur für administrative Zwecke einzusetzen. Insbesondere dürfen zur Administration eingesetzte DIGSI 5 System nicht dazu verwendet werden: im Internet zu surfen oder Multimediainhalte abzuspielen. nicht vertrauenswürdige Software aus zweifelhaften Quellen (Internet / Shareware CD-ROM) zu testen oder installieren. mit dem DIGSI 5 PC zu experimentieren. Ausgabe SIP5-APN-009-de

16 Ist der DIGSI PC ein vollständiger isolierter PC ohne Netzwerkanschluss, ist eine Aktualisierung des Virenscanners unter Umständen nicht möglich. In diesem Fall muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass keine Schadprogramme auf den PC gespielt werden können, indem z.b. die Verwendung von USB Sticks verboten wird. Virenscanner Virenscanner sind in verschiedenen Ausführungen erhältlich, als Einzelanwendung oder als Client-/Server- Anwendungen für industrielle Umgebungen. Unten ist ein Beispiel einer Konfigurationsumgebung dargestellt. Über einen Virenscanserver werden die Installationspakete, Konfiguration und aktualisierten Signaturen verteilt. Die Mechanismen Push oder Pull werden dazu verwendet, die Informationen oder Software auf die Systeme zu bringen. Internet Intranet Proxy Virenscanner- Server Router mit Firewall x Installation+Konfiguration_1 Push oder Pull Installation+Konfiguration_2 Push oder Pull Installation+Konfiguration_n Push oder Pull Router mit Firewall Router mit Firewall x x n.x Sicherheitszone 01 Sicherheitszone 02 Sicherheitszone n Maßnahmen zur Härtung Ihres Systems Eine Beschreibung der auf dem System verwendeten Dienste (Schnittstellen und Protokolle, siehe Kapitel ) muss vorhanden sein und die Firewall muss entsprechend konfiguriert sein. Deaktivieren Sie alle nicht benötigten Dienste. Ein typischerweise verwendeter Dienst ist die Datei- und Druckerfreigabe für Microsoft-Netzwerke. Deaktivieren Sie diesen Dienst, wenn Sie keine freigegebenen Ordner auf Ihrem System verwenden. Erstellen Sie für die installierte Applikation eine spezielle Windows-Benutzergruppe. Nur diese Gruppe darf die angegebene Applikation starten und diese Ordner durchsuchen. Erstellen Sie Benutzer, die Mitglieder der Windows-Benutzergruppe und Ihrer festgelegten Programmgruppe sind. Verwenden Sie NIEMALS ein Administratorkonto für den normalen Gebrauch. Nur diese festgelegten Benutzer dürfen die installierten Anwendungen verwenden. Diese Maßnahme garantiert ein hohes Maß an Sicherheit und verhindert die Infiltration von schädlichen DLL- oder EXE- Dateien. SIP5-APN-009-de 16 Ausgabe:

17 Installieren Sie manuell Sicherheitspatches der installierten Produkte, nachdem Sie diese getestet haben oder der Windows-Patch von Siemens freigegeben wurde. Installieren Sie den empfohlenen Virenscanner auf Ihrem System mit der Option On Access, um zu verhindern, dass Schadprogramme über Speichergeräte (CD, USB Stick...) oder Dateifreigabe verbreitet werden. Hinweis: Nur täglich aktualisierte Virenmuster/-signaturen garantieren ein hohes Maß an Sicherheit. Wenn Sie Klartextprotokolle zur Kommunikation mit anderen Partnern einsetzen, verwenden Sie die integrierte IPSec Lösung (auch in zahlreichen Unix-Systemen integriert, z.b. strongswan), um die Verbindung zu sichern und authentifizieren. Hinweis: Eine Mischung aus einem Windows- und Unix- System funktioniert ebenfalls hervorragend. Wenn Sie Firewalls verwenden, öffnen Sie die IPSec-Ports in Ihrer Firewall (ESP / UDP Port 500 oder UDP Port 4500 / UDP Port 500). Es wird empfohlen, ein Domänencontroller-Konzept mit passenden Passwortregeln als Benutzergruppensatz auf der Grundlage einer lokalen Richtlinie einzurichten. Die 10 häufigsten Konfigurationsfehler Verwenden Sie niemals das Gästekonto von Windows. Deaktivieren Sie dieses Konto! Stellen Sie nie Jeder als Freigabeeinstellung für Ordner ein. Löschen Sie diese Zugriffsgruppe und fügen Sie die richtige Benutzergruppe hinzu. Vergeben Sie die Lese-/Schreibrechte im Register Sicherheit. Verwenden sie niemals ein Benutzerkonto als Mitglied einer Administratorgruppe zur regelmäßigen Verwendung. Verwenden Sie nie einfache Passwörter für Ihre Konten mindestens 8 alphanumerische Zeichen und Sonderzeichen. Ändern Sie wenn möglich regelmäßig Ihre Passwörter. Führen Sie Windows niemals ohne aktivierte Windows-Firewall aus, es sei denn, Sie betreiben Ihr System ausschließlich in einer vertrauenswürdigen Sicherheitszone. Führen Sie Windows niemals ohne Patches aus, es sei denn, Sie betreiben Ihr System ausschließlich in einer vertrauenswürdigen Sicherheitszone. Führen Sie Windows niemals ohne aktualisierten Virenscanner aus, es sei denn, Sie betreiben Ihr System ausschließlich in einer vertrauenswürdigen Sicherheitszone. Verwenden Sie wenn möglich keine Software von Fremdherstellern mit bekannten Schwächen. Erstellen Sie falls nötig eine vertrauenswürdige Sicherheitszone. Installieren Sie niemals nicht vertrauenswürdige Software auf Ihrem System. Desktop Firewall Es wird empfohlen soweit möglich die Windows-Firewall zu aktivieren. Dieser Abschnitt beschreibt die Einstellungen der Desktop-Firewall Schritt für Schritt. Öffnen Sie Ihre Firewallkonfiguration, ändern Sie die Einstellungen und aktivieren Sie die Firewall. Ausgabe SIP5-APN-009-de

18 Die DIGSI 5 Applikation selbst benötigt keinen speziellen offenen Port, da es keine eingehenden Verbindungen gibt. Neben dem Dienst Network Core benötigen Sie auch die Ausnahme für Datei- und Druckerfreigabe (Port 139 / 445), wenn Sie freigegebene Netzwerkordner verwenden, Network Discovery und Remote Event Log Management, falls Sie Remote Log Events benötigen. Deaktivieren Sie die Datei- und Druckerfreigabe, wenn Sie keine Ordnerfreigabe auf Ihrem DIGSI 5 PC verwenden. SIP5-APN-009-de 18 Ausgabe:

19 1.4.3 Weitere Netzwerkkomponenten des Stationsleitsystems Das Stationsleitsystem umfasst weitere Komponenten, wie SICAM PAS, TM1703-Stationsleitgeräte oder NTP- Server. Zum sicheren Betrieb des Stationsleitnetzwerks muss sichergestellt werden, dass alle diese Komponenten gemäß den Sicherheitsstandards von NERC CIP /1/ und BDEW White Paper /2/ konfiguriert und betrieben werden. Die Stationsleitprotokolle (z.b. IEC 61850) sind nicht gesichert. Es wird daher dringend empfohlen, dieses Netzwerk nicht direkt an ein ungesichertes Netzwerk anzuschließen. Der Anschluss an ein ungesichertes Netzwerk muss über einen Router mit integrierter Firewall erfolgen. 1.5 SIPROTEC 5 Sicherheitsmechanismen Für den Betrieb von SIPROTEC 5 stehen umfangreiche Sicherheitsmechanismen zur Verfügung, um das Gerät gegen unerwünschte Bedienhandlungen oder Angriffe zu schützen. Einzelheiten zu den Sicherheitsmechanismen von SIPROTEC 5 finden Sie im SIPROTEC 5 Handbuch /6/ Authentifizierungs- und Verschlüsselungsmechanismen Bevor DIGSI 5 mit dem SIPROTEC 5 Gerät kommunizieren kann, führt das Gerät eine Authentifizierung durch. Zusätzlich kann ein spezielles Verbindungspasswort konfiguriert werden, das der DIGSI 5 Client dem SIPROTEC 5 Gerät zur Verfügung stellen muss. Dieses Verbindungspasswort kann so konfiguriert werden, dass es den Sicherheitsanforderung von NERC CIP /1/ genügt. NERC CIP R5.3 legt die folgenden Passwortrichtlinien fest: Jedes Passwort muss mindestens aus sechs Zeichen bestehen. Jedes Passwort muss eine Kombination aus Buchstaben, Ziffern und Sonderzeichen enthalten. Jedes Passwort kann risikobezogen geändert werden. Zusätzlich zu den Anforderungen von NERC CIP muss das Verbindungspasswort aus mindestens 8 bis maximal 24 Zeichen bestehen. Nach korrekter Authentifizierung hat der Benutzer Lesezugriff auf die Gerätefunktionen. Die gesamte Kommunikation mit dem SIPROTEC 5 Gerät wird über eine verschlüsselte HTTPS-Verbindung realisiert. Daher sind Konfigurationsbefehle und Daten gegen ein Ausspionieren durch Angreifer geschützt. Abbildung 7: DIGSI-Ansicht zur Aktivierung des Verbindungspassworts Ausgabe SIP5-APN-009-de

20 Abbildung 8: DIGSI-Ansicht mit Verbindungspasswort, das nicht den Anforderungen von NERC/CIP entspricht Bestätigungs-ID Für den Schreibzugriff auf die Gerätefunktionen ist eine Art rollenbasierter Zugriff auf die SIPROTEC 5 Geräte implementiert. Es gibt verschiedene vordefinierte Rollen für die jeweiligen Aufgaben, z.b. Switching User. Zur Identifizierung jeder Rolle kann eine Bestätigungs-ID zugewiesen werden, um sicherheitsrelevante Gerätefunktionen zu schützen. Bestimmte Rollen können je nach den Anforderungen der Betriebsumgebung aktiviert oder deaktiviert werden (siehe Abbildung 9). Abbildung 9: DIGSI 5 Menü Rollenverwaltung (Role administration) Protokollierung Falsche Passwörter werden erkannt und protokolliert. Eine passende Alarmierung über Fernverbindung kann konfiguriert werden. Zudem werden sicherheitsrelevante Handlungen, wie fehlgeschlagene Logins, Passwortänderung usw. protokolliert und können im Gerät nicht gelöscht werden. Diese können über DIGSI 5 ausgelesen werden. Zudem kann die Protokollierungsinformation zu einem Stationsleitsystem übertragen werden. Das Sicherheitsprotokoll in SIPROTEC 5 kann nicht vom Benutzer gelöscht werden. SIP5-APN-009-de 20 Ausgabe:

21 Abbildung 10: Cyber-Sicherheitsmeldung kann an Netzleitstelle übertragen werden; Erklärung siehe Ausgabe SIP5-APN-009-de

22 Modus Name Erläuterung Cyber security state Logon blocked Login mit Verbindungspasswort wurde aufgrund von 3 falschen Eingaben gesperrt; die Sperrung dauert 5 Minuten. Logon reactivated Logon reactivated; 5 Minuten sind seit den 3 falschen Eingaben vergangen. Cyber security event PW change OK Verbindungspasswort erfolgreich in SIPROTEC 5 geändert PW change not OK Verbindungspasswort nicht erfolgreich in SIPROTEC 5 geändert Logon OK Logon not OK PW activation OK PW activation not OK PW deactivation OK PW deactivation n. OK Login mit Verbindungspasswort erfolgreich Login mit Verbindungspasswort fehlgeschlagen Erfolgreiche Aktivierung des Verbindungspassworts Aktivierung der Verbindung fehlgeschlagen Erfolgreiche Deaktivierung des Verbindungspassworts Deaktivierung des Verbindungspassworts fehlgeschlagen Tabelle 3: Protokollierte Ereignisse können mit Beschreibung an Netzleitstelle übertragen werden. 1.6 Informationen zu Patches und Updates Die Informationssicherheit spielt eine bedeutende Rolle im gesamten Produktlebenszyklus. Das Patch- Management für Software ist ein wichtiger Bestandteil dieses Prozesses. In der besonderen Umgebung muss zwischen dem SIPROTEC 5 Gerät und dem DIGSI 5 PC unterschieden werden. Da die beteiligten Komponenten über verschiedene Betriebssysteme und Netzwerkschutzmechanismen verfügen, müssen Patches und Aktualisierungsfunktionen anders gehandhabt werden SIPROTEC 5 Den Patches und Aktualisierungen der SIPROTEC 5 Geräte wurde besondere Aufmerksamkeit gewidmet. Die komplette Software für SIPROTEC 5 wird über digitale Signaturen geschützt, damit schadhafte Veränderungen erkannt werden. Nur solche offizielle signierten Softwarekomponenten können geladen und im Gerät ausgeführt werden. Kunden erhalten die SIPROTEC 5 Software, Patches und Updates von der offiziellen SIPROTEC 5 Webseite von Siemens Energy Automation /7/. Kunden werden über wichtige verfügbare Softwarepatches informiert. Die Software wird mithilfe von DIGSI 5 in das SIPROTEC 5 Gerät importiert. Während des Imports der Softwareupdates durch DIGSI 5 wird im Ladeprogramm des Gerätes die Signatur geprüft. Die Softwarekomponenten der Kom.-Module können auch über die Hauptplatine geladen werden. Weitere Informationen zu Upgrades finden Sie in /6/. SIP5-APN-009-de 22 Ausgabe: