Beruflich Dokumente
Kultur Dokumente
Inhaltsverzeichnis
Einführung 1
SIPROTEC 5 Maßnahmen zur Systemhärtung 2
Sicherheit
Zugriffskontrolle 3
ab V9.50 Malware-Schutz 4
Schutz gegen DoS-Angriffe 5
Handbuch
Kommunikationssicherheit 6
Zertifikatsverwaltung 7
Sicherung und Wiederherstellung 8
Sicherheitsprotokollierung 9
Gerätekonfiguration zurücksetzen 10
Sicheres Patch-Management 11
Datenschutzbestimmungen 12
Anhang A
Literaturverzeichnis
Glossar
Stichwortverzeichnis
C53000-H5000-C081-B
HINWEIS
i Beachten Sie zu Ihrer eigenen Sicherheit die Warn- und Sicherheitshinweise in diesem Dokument, sofern
vorhanden.
Haftungsausschluss Copyright
Änderungen und Irrtümer vorbehalten. Die Informati- Copyright © Siemens AG 2023. Alle Rechte vorbehalten.
onen in diesem Dokument enthalten lediglich allgemeine Weitergabe sowie Vervielfältigung, Verbreitung und Bear-
Beschreibungen bzw. Leistungsmerkmale, welche im beitung dieses Dokuments, Verwertung und Mitteilung des
konkreten Anwendungsfall nicht immer in der beschrie- Inhaltes sind unzulässig, soweit nicht schriftlich gestattet.
benen Form zutreffen bzw. welche sich durch Weiterent- Alle Rechte für den Fall der Patenterteilung, Geschmacks-
wicklung der Produkte ändern können. Die gewünschten oder Gebrauchsmustereintragung sind vorbehalten.
Leistungsmerkmale sind nur dann verbindlich, wenn sie bei
Vertragsschluss ausdrücklich vereinbart werden. Marken
Dokumentversion: C53000-H5000-C081-B.01
SIPROTEC, DIGSI, SIGRA, SIGUARD, SIMEAS, SAFIR, SICAM
Ausgabestand: 03.2023
und MindSphere sind Marken der Siemens AG. Jede nicht
Version des beschriebenen Produkts: ab V9.50 autorisierte Verwendung ist unzulässig.
Vorwort
HINWEIS
i Die Systemmerkmale aus einer systemspezifischen Vernetzung und die Konfiguration von Produkten in
einem System sind in diesem Handbuch nicht beschrieben.
Zielgruppe
Schutzingenieure, Inbetriebsetzer, Personen, die mit der Einstellung, Prüfung und Wartung von Automatik-,
Selektivschutz- und Steuerungseinrichtungen betraut sind sowie Betriebspersonal in elektrischen Anlagen und
Kraftwerken.
Gültigkeitsbereich
Dieses Handbuch ist gültig für Produkte von SIPROTEC 5 und DIGSI 5 mit Hardware- und Firmware-Version ab
V9.50.
Weiterführende Dokumentation
[dw_product-overview_SIP5_security-manual, 3, de_DE]
• Gerätehandbücher
Gerätehandbücher beschreiben die Funktionen und Applikationen eines spezifischen SIPROTEC 5-
Gerätes. Das gedruckte Handbuch und die Geräte-Online-Hilfe haben dieselbe Informationsstruktur.
• Hardware-Handbuch
Das Hardware-Handbuch beschreibt die Hardware-Bausteine und Gerätekombinationen der SIPROTEC 5-
Gerätefamilie.
• Betriebshandbuch
Das Betriebshandbuch beschreibt die Grundprinzipien und -prozeduren des Gerätebetriebs und die
Montage der Geräte für die SIPROTEC 5-Gerätefamilie.
• Kommunikationsprotokoll-Handbuch
Das Kommunikationsprotokoll-Handbuch enthält eine Beschreibung der Protokolle zur Kommunikation
innerhalb der SIPROTEC 5-Gerätefamilie und zu übergeordneten Leitstellen.
• Security-Handbuch
Das Security-Handbuch beschreibt die Sicherheitsmerkmale von SIPROTEC 5-Geräten und DIGSI 5.
• Prozessbus-Handbuch
Das Prozessbus-Handbuch beschreibt die spezifischen Funktionen und Anwendungen für den Prozessbus
in SIPROTEC 5.
• Produktinformation
Die Produktinformation enthält allgemeine Informationen über betriebsvorbereitende Bedingungen.
Dieses Dokument wird mit jedem SIPROTEC 5-Gerät ausgeliefert.
• Engineering Guide
Der Engineering Guide beschreibt die wesentlichen Schritte beim Engineering mit DIGSI 5. Zusätzlich
erfahren Sie im Engineering Guide, wie Sie eine projektierte Konfiguration in ein SIPROTEC 5-Gerät laden
und die Gerätefunktionalität des SIPROTEC 5-Gerätes aktualisieren.
• Online-Hilfe DIGSI 5
Die Online-Hilfe DIGSI 5 enthält ein Hilfepaket für DIGSI und CFC.
Das Hilfepaket für DIGSI 5 enthält die Beschreibung des Grundbetriebs von Software, der DIGSI-Prinzipien
und der Editoren. Das Hilfepaket für CFC enthält eine Einführung in die CFC-Programmierung, Grund-
beispiele für die CFC-Handhabung und ein Referenzkapitel mit allen für die SIPROTEC 5-Gerätefamilie
verfügbaren CFC-Bausteinen.
• SIPROTEC 5 Katalog
Der SIPROTEC 5-Katalog beschreibt die SIPROTEC 5-Geräte und Systemeigenschaften.
Das Produkt entspricht den Bestimmungen des Rates der Europäischen Gemein-
schaften zur Angleichung der Rechtsvorschriften der Mitgliedstaaten betreffend die
elektromagnetische Verträglichkeit (EMV-Richtlinie 2014/30/EU) sowie elektrische
Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen (Niederspan-
nungsrichtlinie 2014/35/EU).
Diese Konformität ist das Ergebnis einer Bewertung, die durch die Siemens AG gemäß
den Richtlinien in Übereinstimmung mit der Norm EN 60255-26 für die EMV-Richtlinie
und der Norm EN 60255-27 für die Niederspannungsrichtlinie durchgeführt worden ist.
Das Gerät ist für den Einsatz im Industriebereich entwickelt und hergestellt.
Das Erzeugnis steht im Einklang mit den internationalen Normen der Reihe IEC 60255
und der nationalen Bestimmung VDE 0435.
Normen
IEEE Std C 37.90
Das Produkt ist im Rahmen der Technischen Daten UL-zugelassen.
Weitere Informationen zur UL-Datenbank finden Sie unter: ul.com
Das Produkt finden Sie unter der Zulassungsnummer (UL File Number) E194016.
Weitere Unterstützung
Bei Fragen zum System wenden Sie sich an Ihren Siemens-Vertriebspartner.
Schulungskurse
Sie können das individuelle Kursangebot bei unserem Training Center erfragen:
Siemens AG
Siemens Power Academy TD Tel: +49 911 9582 7100
Humboldtstraße 59 E-Mail: poweracademy@siemens.com
! GEFAHR
GEFAHR bedeutet, dass Tod oder schwere Verletzungen eintreten werden, wenn die angegebenen
Maßnahmen nicht getroffen werden.
² Beachten Sie alle Hinweise, um Tod oder schwere Verletzungen zu vermeiden.
! WARNUNG
WARNUNG bedeutet, dass Tod oder schwere Verletzungen eintreten können, wenn die angegebenen
Maßnahmen nicht getroffen werden.
² Beachten Sie alle Hinweise, um Tod oder schwere Verletzungen zu vermeiden.
! VORSICHT
VORSICHT bedeutet, dass mittelschwere oder leichte Verletzungen eintreten können, wenn die angege-
benen Maßnahmen nicht getroffen werden.
² Beachten Sie alle Hinweise, um mittelschwere oder leichte Verletzungen zu vermeiden.
ACHTUNG
ACHTUNG bedeutet, dass Sachschäden entstehen können, wenn die angegebenen Maßnahmen nicht
getroffen werden.
² Beachten Sie alle Hinweise, um Sachschäden zu vermeiden.
HINWEIS
i ist eine wichtige Information über das Produkt, die Handhabung des Produktes oder den jeweiligen Teil der
Dokumentation, auf den besonders aufmerksam gemacht werden soll.
OpenSSL
This product includes software developed by the OpenSSL Project for use in OpenSSL Toolkit (http://
www.openssl.org/).
This product includes software written by Tim Hudson (tjh@cryptsoft.com).
This product includes cryptographic software written by Eric Young (eay@cryptsoft.com).
Vorwort.........................................................................................................................................................3
1 Einführung..................................................................................................................................................11
1.1 Ziel................................................................................................................................... 12
1.2 Beachtung von Normen.................................................................................................... 13
1.3 Sicherheitsanforderungen................................................................................................. 14
1.4 Sicherheitsdienste.............................................................................................................15
3 Zugriffskontrolle.........................................................................................................................................23
3.1 Zugriffskontrolle mit Verbindungspasswort....................................................................... 24
3.1.1 Einleitung....................................................................................................................24
3.1.2 Einstellung des Verbindungspasswortes....................................................................... 24
3.1.3 Authentifizierung und Verbindungspasswort während des Betriebs.............................. 25
3.1.4 Verbindungspasswort zurücksetzen und deaktivieren...................................................25
3.2 Role-Based Access Control (RBAC) in SIPROTEC 5................................................................27
3.2.1 Übersicht.....................................................................................................................27
3.2.2 Authentifizierungsserver..............................................................................................27
3.2.2.1 Allgemein.............................................................................................................. 27
3.2.2.2 Aktivierung von Authentifizierungsservern............................................................. 28
3.2.2.3 Konfiguration der RADIUS-Server-Verbindung......................................................... 30
3.2.2.4 Konfigurationen für die LDAP-Server-Verbindung....................................................31
3.2.3 Anmeldeversuche........................................................................................................32
3.2.4 Benutzerpuffergröße................................................................................................... 33
3.2.5 Sicherheitseinstellungen laden.................................................................................... 33
3.2.6 Grundlegende Eigenschaften der Zuweisung von Rechten und unterstützten Rollen..... 35
3.2.7 Benutzernamen an den Vor-Ort-Geräten...................................................................... 39
3.2.8 Anmeldung am Gerät über die Bedieneinheit des Gerätes.............................................40
3.2.9 Anmelden ohne Authentifizierung............................................................................... 41
3.3 Rollenbasierte Ansichten in DIGSI 5................................................................................... 42
3.4 Notfallzugang................................................................................................................... 46
3.5 Bannereinstellungen......................................................................................................... 48
4 Malware-Schutz.......................................................................................................................................... 51
4.1 Übersicht.......................................................................................................................... 52
4.2 Malware-Schutz für Engineering-Software......................................................................... 53
4.3 Integritätsprüfung der heruntergeladenen Datei................................................................54
6 Kommunikationssicherheit........................................................................................................................ 59
6.1 Zugriffsbeschränkungen für Ethernet anwenden............................................................... 60
6.2 Konfigurationen für IEC 61850 Secure MMS...................................................................... 61
6.3 Sicherheit von Interaktionen zwischen Web-Browser und Gerät......................................... 63
6.4 DIGSI 5-Server-Authentifizierung....................................................................................... 66
6.4.1 Allgemeine Informationen........................................................................................... 66
6.4.2 Konfigurationen im DIGSI 5 CA-Speicher...................................................................... 66
6.5 DIGSI 5 Client-Authentifizierung........................................................................................ 68
6.5.1 Allgemeine Informationen........................................................................................... 68
6.5.2 Konfiguration.............................................................................................................. 69
6.5.2.1 DIGSI 5 CA-Speicher einrichten............................................................................... 69
6.5.2.2 Konfiguration der Sicherheitsfunktion DIGSI 5 Client-Authentifizierung...................69
6.5.2.3 Verifizierung der konfigurierten CA über einen Web-Browser.................................. 71
6.5.2.4 Unbefugter Zugriff mit DIGSI 5 auf SIPROTEC 5-Geräte............................................72
6.5.2.5 Wiederherstellung nach einer Sperrung über sicheres Zurücksetzen der
Anmeldedaten....................................................................................................... 74
6.6 Zertifikatauthentifizierung gemäß IEEE 802.1X..................................................................75
7 Zertifikatsverwaltung................................................................................................................................. 77
7.1 Einleitung......................................................................................................................... 78
7.2 Manuelles Management....................................................................................................79
7.2.1 Zertifikate im Einsatz................................................................................................... 79
7.2.2 Zertifizierungsstellen................................................................................................... 79
7.2.3 Angeforderte Zertifikate.............................................................................................. 80
7.2.4 Beispiel: Zertifikat in Gerät hochladen.......................................................................... 81
7.3 Automatisches Enrollment over Secure Transport.............................................................. 82
7.3.1 EST-Server-Konfiguration............................................................................................. 82
7.3.2 Anmeldungskonfiguration........................................................................................... 83
9 Sicherheitsprotokollierung.........................................................................................................................91
9.1 Übersicht.......................................................................................................................... 92
9.2 Umwelt.............................................................................................................................93
9.3 Konfiguration....................................................................................................................94
9.3.1 Konfiguration der Sicherheitsprotokollierung............................................................... 94
9.3.2 Prüfen der verwendeten syslog-Server......................................................................... 95
9.3.3 Frei definierbare protokollierte Ereignisse.................................................................... 95
10 Gerätekonfiguration zurücksetzen...........................................................................................................111
10.1 Sichere Anmeldedaten und Zurücksetzen der Konfiguration............................................ 112
10.1.1 Herunterladen der Datei zum Rücksetzen der Sicherheitsanmeldedaten und
Konfiguration (SCRF)................................................................................................. 112
10.1.2 Sicherheitseinstellungen zurücksetzen....................................................................... 112
10.2 Sicheres Zurücksetzen auf die Werkseinstellungen...........................................................114
10.2.1 Herunterladen der Datei zum sicheren Zurücksetzen auf Werkseinstellungen (SFRF)... 114
10.2.2 Zurücksetzen auf die Werkseinstellungen...................................................................114
11 Sicheres Patch-Management....................................................................................................................117
11.1 Allgemein....................................................................................................................... 118
11.2 SIPROTEC 5 Patch-Management...................................................................................... 119
11.3 DIGSI 5 Patch-Management.............................................................................................120
12 Datenschutzbestimmungen..................................................................................................................... 121
A Anhang..................................................................................................................................................... 123
A.1 Signale für die Sicherheit.................................................................................................124
Literaturverzeichnis..................................................................................................................................127
Glossar...................................................................................................................................................... 129
Stichwortverzeichnis................................................................................................................................ 131
1.1 Ziel 12
1.2 Beachtung von Normen 13
1.3 Sicherheitsanforderungen 14
1.4 Sicherheitsdienste 15
1.1 Ziel
In der Vergangenheit waren Rechner funktionelle Inseln mit wenig oder gar keiner Anknüpfung an
andere Geräte. Heute sind alle Rechen-Server, Desktop-Rechner und Automatisierungseinheiten miteinander
verknüpft.
Einerseits schafft dieser Zustand neue Geschäftsmöglichkeiten. Andererseits können diese verknüpften
Komponenten angegriffen werden, zum Beispiel Anwendungen, die nicht für den Einsatz in stark vernetzten
Umgebungen vorgesehen sind.
Der wichtigste Aspekt dieses Handbuches ist der wachsende Einsatz folgender Technologien:
1.3 Sicherheitsanforderungen
Die wichtigsten Sicherheitsanforderungen sind:
• Jeder Benutzer erhält nur die Rechte, die für seine entsprechende Aufgabe erforderlich sind.
• Sicherstellung, dass eine Wiederherstellung nach einem Systemausfall ohne oder nur mit geringen
Datenverlusten möglich ist
• Die Netzlast kritischer Systeme ist begrenzt auf das Maß, mit dem die Systeme unter Volllast weiterar-
beiten. So wird zum Beispiel die Anzahl von Broadcasts in den Netzkomponenten begrenzt.
1.4 Sicherheitsdienste
Bei unterschiedlichen CPUs (RJ45) und Kommunikationsmodulen unterscheiden sich die unterstützten Sicher-
heitsdienste. Die folgende Tabelle enthält detaillierte Informationen.
CPU-Typen Modultypen
CP100 CP150 CP200 CP300 ETH- ETH- ETH- ETH- ETH-
Sicherheitsdienste
BA-2EL BB-2FO BD-2FO YC-2FO YA-2EL
DIGSI Client-Authentifizie- ■1 ■ ■ ■ ■ ■ ■ ■ ■
rung über TLS
Web-Server über TLS ■ ■ ■ ■ ■ ■ ■ ■ ■
RBAC RADIUS Client ■ ■ – ■ ■ ■ ■ ■ ■
RBAC LDAP Client ■–2 ■ – ■ ■ ■ ■ ■ ■
DDoS-Traffic-Limiter ■ ■ – ■ ■ ■ ■ – –
Ethernet-basierte Dienstein- ■ ■ – ■ ■ ■ ■ ■ ■
schränkung
Syslog über UDP ■ ■ ■ ■ ■ ■ ■ ■ ■
Syslog über TLS – ■ – ■ ■ ■ ■ ■ ■
EST-Client – ■ – ■ ■ ■ ■ ■ ■
IEEE 802.1X Teilnehmer ■ – – – ■ ■ ■ – –
Secure MMS über TLS – ■ – ■ – – ■ ■ ■
Sicherheitsüberwachung – – – – – – ■ – –
über SNMPv3
Asset-Überwachung über – – – – – – ■ – –
SNMPv3
HINWEIS
i Die CPU-Typen CP100 und CP150 sind für nicht modulare SIPROTEC 5-Geräte. Die CPU-Typen CP200 und
CP300 sind für modulare SIPROTEC 5-Geräte.
Die Modultypen ETH-YA-2EL und ETH-YC-2FO sind für SIPROTEC 5 Compact-Geräte. Die anderen Modul-
typen sind für SIPROTEC 5-Geräte.
2.1 Übersicht 18
2.2 Vorgesehene Betriebsumgebung 19
2.3 Unterstützte LAN-Services 20
2.4 Maßnahmen zur Härtung 22
2.1 Übersicht
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Härtung bei der IT-Sicherheit
als "[...] die Entfernung aller Software-Komponenten und -funktionen, die für die Erfüllung der gewünschten
Aufgabe durch ein Programm nicht unbedingt erforderlich sind."
In der Praxis erfüllen Härtungsmaßnahmen folgende Ziele:
• Ausschluss eines Angreifers von verfügbaren Werkzeugen im Fall eines erfolgreichen Angriffs
• Minimierung der verfügbaren Rechte des Angreifers im Fall eines erfolgreichen Angriffs
• Remote-Ethernet-Verbindungen zu Unterstationen sind über VPN (Virtuelles Privates Netzwerk) oder TLS
(Transport Layer Security) gesichert.
• Die DIGSI 5-Instanzen verwenden für den Aufbau der TLS-Verbindung zu den SIPROTEC 5-Geräten von
Ihrer Zertifizierungsstelle (CA) zugelassene Client-Zertifikate. Weitere Informationen siehe 6.5 DIGSI 5
Client-Authentifizierung.
• Das Protokoll OPC UA PubSub für die IoT‑Konnektivität wird auf einem Kommunikationsmodul aktiviert,
das keine andere prozesskritische Kommunikation unterstützt, z.B. GOOSE/SV.
Nach Empfang der gelieferten Geräte müssen Sie die Geräte zuerst initialisieren. Erst danach sind die Geräte
betriebsbereit.
Standardmäßig ist nur die Verbindung zu DIGSI 5 im Gerät aktiviert. Alle andere Ethernet-Dienste und -Ports
sind im Gerät standardmäßig deaktiviert und können über DIGSI 5 aktiviert werden. Durch die sichere Stan-
dardkonfiguration gibt es keine offene Schnittstelle für mögliche Angreifer und im Netzwerk sind nur die
Dienste aktiviert, die auch verwendet werden.
Nicht erforderliche Dienste können Sie im Gerät jederzeit über DIGSI 5 deaktivieren.
2.3.3 Diagnose-Homepage
Siemens empfiehlt, die Dienste der Diagnose-Homepage für Handlungen auf dem Mainboard und den
Kommunikationsmodulen nach der Inbetriebnahme zu deaktivieren, da die Diagnose-Dienste weder HTTPS
noch die Zugriffskontrolle unterstützen. Weitere Informationen zur Homepage siehe DIGSI 5 Online-Hilfe.
HINWEIS
i Eine Sammlung der Härtungsanleitungen für verschiedene Betriebssysteme, Server-Dienste und Standard-
applikationen finden Sie z.B. beim Center for Internet Security unter http://www.cisecurity.org.
3.1.1 Einleitung
SIPROTEC 5-Geräte unterstützen die Benutzerauthentifizierung und Funktionen für den Zugriffsschutz auf
sicherheitsrelevante Handlungen und Funktionen. Sie können zwischen der zentralen Role-Based Access
Control (RBAC) und dem gerätespezifischen DIGSI 5-Verbindungspasswort wählen.
Wenn Sie die RBAC-Funktion nicht nutzen möchten, dann richten Sie die Geräte so ein, dass eine Benutzerau-
thentifizierung mit Abfrage des Passworts erfolgt.
Wenn RBAC deaktiviert ist, können Sie zusätzlich Bestätigungscodes einrichten, um unbeabsichtigte sicher-
heitskritische Aktionen auf dem Gerät zu verhindern. Weitere Informationen zum Bestätigungscode siehe
SIPROTEC 5 Betriebsanleitung.
Das Verbindungspasswort erfüllt den NERC‑CIP‑Standard (North American Electric Reliability Critical Infrastruc-
ture Protection) und besteht aus folgenden Teilen:
• Kleinbuchstaben
• Großbuchstaben
• Ziffern
HINWEIS
i Das Deaktivieren des Verbindungspasswortes bedeutet, dass alle Benutzer über DIGSI 5 oder die browser-
basierte Benutzeroberfläche ohne Authentifizierung unbeschränkten Zugriff auf das Gerät haben. Wenn Sie
dies verhindern wollen, setzen Sie das Verbindungspasswort im Gerät.
[sc_password_connection, 1, de_DE]
Nach Eingabe eines neuen Verbindungspasswortes leitet DIGSI 5 dieses automatisch an das Gerät weiter.
Die Initialisierung des Verbindungspasswortes ist nur über die vordere USB-Schnittstelle oder über eine
Ethernet-Schnittstelle des Gerätes möglich. In beiden Fällen wird das eingegebene Verbindungspasswort
sicher über das TLS-Protokoll an das Gerät übertragen. Das Verbindungspasswort wird weder im DIGSI 5-
Projekt noch anderswo auf dem Windows-PC gespeichert. Es wird als Hash-Wert mit Salt im Gerät hinterlegt.
Ein weiterer Zugang zum Gerät (über DIGSI 5 oder die browser-basierte Benutzeroberfläche) ist nach dem Initi-
alisieren des Verbindungspasswortes nur möglich, wenn Sie das korrekte Verbindungspasswort in den Dialog
von DIGSI 5 eingeben, während die Verbindung mit dem Gerät hergestellt wird. Dieses Vorgehen verhindert
einen nicht autorisierten Zugriff. Siemens empfiehlt, das Verbindungspasswort nach der Initialisierung zu
überprüfen.
Sie können das Verbindungspasswort online über eine Ethernet-Verbindung ändern. Nach Eingabe des bishe-
rigen Verbindungspasswortes und wiederholter Eingabe des neuen Verbindungspasswortes wird die Ände-
rung im Gerät übernommen.
Der 1. Ablauf zwischen DIGSI 5 und dem Gerät ist ein Authentifizierungsverfahren basierend auf dem TLS 1.2-
Protokoll, in dem digitale Zertifikate zwischen DIGSI 5 und dem Gerät ausgetauscht werden. Dieses Verfahren
gewährleistet, dass nur DIGSI 5 vollen technischen Zugang zu einem SIPROTEC 5-Gerät haben kann. Wenn
andere Anwendungen zugreifen wollen, werden sie blockiert.
Nach der TLS-Authentifizierung fragt das SIPROTEC 5-Gerät das Verbindungspasswort ab, wenn eines im Gerät
eingestellt wurde.
Für den Zugriff auf das Gerät ist das richtige Verbindungspasswort erforderlich. Die Eingabe eines falschen
Passworts wird im Sicherheitsmeldepuffer aufgezeichnet. Bei fünfmaliger falscher Eingabe des Verbindungs-
passwortes wird der Zugriff auf das Gerät 5 Minuten lang blockiert. Auch diese Handlungen werden im
Sicherheitsmeldepuffer des Gerätes aufgezeichnet.
Ein Sitzungsmanager in DIGSI 5 überwacht 30 Minuten lang alle Passwörter und die für die Identifikation
relevanten Eingaben.
Wenn Sie die Einstellung des Verbindungspasswortes vor der Deaktivierung vergessen, müssen Sie es zurück-
setzen.
HINWEIS
HINWEIS
i Haben Sie das Verbindungspasswort vergessen, müssen Sie es vor seiner Deaktivierung zurücksetzen.
HINWEIS
i Wenn die Gerätebatterie nicht mehr funktioniert oder entnommen wurde, wird das Verbindungspasswort
nach dem Neustart des Gerätes deaktiviert.
3.2.1 Übersicht
Die RBAC-Funktion kann aktiviert werden, um den sicheren Zugriff auf ein SIPROTEC 5-Gerät zur Durchfüh-
rung sicherheitsrelevanter Operationen und Funktionen zu gewährleisten. Nach der Aktivierung werden alle
Benutzer bei jedem Zugriffsversuch über ihre zentral verwalteten Benutzerkonten eindeutig authentifiziert.
[dw_authentication_server, 2, de_DE]
SIPROTEC 5-Geräte unterstützen RBAC mit vordefinierten, normbasierten Rollen. Benutzerkonten werden
Rollen zugeordnet und diese Rollen erhalten Rechte entsprechend ihrer Funktionen.
Die Zuweisung zwischen Benutzern und Rollen wird in einem Authentifizierungsserver festgelegt. Die Zuwei-
sung von Rechten zu Rollen ist in den Sicherheitseinstellungen des SIPROTEC 5-Gerätes vordefiniert.
SIPROTEC 5-Geräte erfüllen folgende Anforderungen:
• Standardrollen und Zuweisung von Rollen zu Rechten gemäß der Normen IEC 62351-8 und IEEE 1686
HINWEIS
i Wenn RBAC deaktiviert ist, können Sie das Gerät mit dem Verbindungspasswort gegen unbefugten Zugriff
schützen und mit Bestätigungscodes können Sie ungewollte sicherheitskritische Aktionen verhindern.
Weitere Informationen finden Sie in 3.1.4 Verbindungspasswort zurücksetzen und deaktivieren.
3.2.2 Authentifizierungsserver
3.2.2.1 Allgemein
Die Hauptaufgaben der Authentifizierungsserver sind die Benutzerauthentifizierung und die Verwaltung der
Benutzerzugriffsrechte. Die Client-Implementierung ist in der Firmware des SIPROTEC 5-Gerätes integriert.
Ein SIPROTEC 5-Gerät sendet den Benutzernamen und das Passwort an einen Authentifizierungsserver. Mit
einem eindeutigen Benutzernamen und Passwort prüft der Authentifizierungsserver die Angaben des sich
verbindenden Benutzers auf Richtigkeit. Wenn der Benutzer eindeutig identifiziert wird, erfolgt über die
Autorisierung die Zuweisung der Zugriffsrechte. Der Benutzer erhält die jeweiligen Zugriffsrechte auf Daten
oder Dienste des SIPROTEC 5-Gerätes.
Außerdem werden die folgenden Informationen der Zugriffsversuche für spätere Analysen aufgezeichnet
(Audit-Trail):
• Verbindungsversuche
[dw_connection_radius-server, 3, de_DE]
[sc_project-tree_rbac, 2, de_DE]
[sc_deactivate_connection_password, 1, de_DE]
[sc_rbac_select, 4, de_DE]
[sc_LDAP_RADIUS_enabled, 1, de_DE]
HINWEIS
i Bei der Aktivierung von RBAC wird der Notfallzugang nicht standardmäßig eingeschaltet. Zur Benutzung
des Notfallkontos zuerst das Notfallpasswort konfigurieren.
[sc_radius-server, 2, de_DE]
Parametername Beschreibung
Server A
IP-Adresse IP-Adresse des zu verbindenden RADIUS-Servers
Server UDP-Port Port-Nummer des zu verbindenden RADIUS-Servers
Modulsteckplatz Port des Gerätes, über den das SIPROTEC 5-Gerät mit dem RADIUS-Server
kommuniziert
PSK Schlüssel Schlüssel zur Authentifizierung und zum Schutz der Kommunikation
zwischen RADIUS-Server und Gerät
Beim Laden der Konfiguration prüft das Gerät, ob der PSK Schlüssel mit dem
im RADIUS-Server angegebenen Schlüssel übereinstimmt.
Server B
Sek. Server aktivieren Mit diesem Kontrollkästchen aktivieren bzw. deaktivieren Sie Server B.
Bei Verwendung eines neuen RADIUS-Servers muss beim alten und neuen RADIUS-Server der SECADM für
das Konto identisch sein. Weitere Informationen zum SECADM des Kontos finden Sie im Kapitel 3.2.6 Grundle-
gende Eigenschaften der Zuweisung von Rechten und unterstützten Rollen.
Wenn das Attribut ValidFrom gemäß IEC 62351‑8 im RADIUS-Server konfiguriert wurde, muss der Wert
dieses Attributs dem Format JJJJMMTTHHMMSSZ (Jahr, Monat, Tag, Stunde, Minute, Sekunde, Zulu-Zeitzone)
folgen und größer sein als 19700101000000Z. Ansonsten schlägt die Benutzerauthentifizierung fehl.
[sc_LDAP, 2, de_DE]
Parameternamen Beschreibungen
Allgemein
TLS-Verbingung CA Zertifizierungsstelle, die das LDAP-Server-Zertifikat für die TLS-Verbindung
zwischen SIPROTEC 5-Gerät und LDAP-Server ausgibt
Benutzer-Quell-CA Die Zertifizierungsstelle, die die Zwischenzertifizierungsstellen für Benutzer
erstellt oder die Benutzerzertifikate ausstellt
Benutzer-Zwisch.-CA/AA Zwischenzertifizierungsstelle für Benutzer oder Attributinstanz
Parameternamen Beschreibungen
Verwende DN für Login Mit diesem Kontrollkästchen blenden Sie den Parameter Übergeordneter
NutzerDN ein oder aus.
Bei LDAP-Bindungszeichenketten sind die Unterschiede wie folgt:
HINWEIS
i Siemens hat Attributzertifikate nur im PULL-Mode des Microsoft-Produkts Active Directory getestet.
Bei Verwendung eines neuen LDAP-Servers müssen das Konto SECADM des alten und neuen LDAP-Servers
übereinstimmen. Weitere Informationen zum Konto SECADM siehe 3.2.6 Grundlegende Eigenschaften der
Zuweisung von Rechten und unterstützten Rollen.
3.2.3 Anmeldeversuche
Um eine sichere Anmeldung mit Notfallkonto oder mit zwischengespeicherten Benutzerdaten sicherzustellen,
bietet DIGSI 5 die folgenden Parameter. Für die Behandlung von dezentralen Anmeldeversuchen können Sie
die entsprechenden Parameter in den Authentifizierungsservern konfigurieren.
• Max. Anmeldeversuche
Mit diesem Parameter legen Sie die maximale Anzahl aufeinanderfolgender Anmeldeversuche für einen
Benutzer fest.
• Zeitraum
Mit diesem Parameter legen Sie den Zeitraum fest, nach dem die Anzahl der Anmeldeversuche nach dem
letzten nicht erfolgreichen Versuch wieder zurück auf 0 gesetzt wird.
• Blockierdauer
Mit diesem Parameter legen Sie die Zeitdauer fest, für die das Gerät nach Erreichen der maximalen
Anzahl an Anmeldeversuchen blockiert wird.
Bei einer Anmeldung mit falschen Zugangsdaten werden die Anmeldeversuche gezählt. Wenn die maxi-
male Anzahl an Anmeldeversuchen erreicht wird, ist eine Anmeldung für die eingestellte Blockier-
dauer nicht möglich. Wenn diese Blockierdauer abgelaufen ist, können weitere Anmeldeversuche
vorgenommen werden.
[sc_logon_attempts, 2, de_DE]
HINWEIS
• Die Gerätezeit ist nicht mit einem zentralen Zeit-Server synchronisiert und liegt vor der Gesamtzeit von
Anmeldeblockierung und Blockierdauer.
3.2.4 Benutzerpuffergröße
Bei Aktivierung der Benutzerpuffer-Funktion der RBAC speichert das Gerät die Anmeldedaten von Benutzern,
die durch den Authentifizierungsserver erfolgreich authentifiziert wurden. Bei Unterbrechung der Verbindung
des Authentifizierungsservers können sich diese Benutzer mit den hinterlegten Anmeldedaten anmelden und
das Gerät mit ihren hinterlegten Rollen bedienen. Bei erfolgreicher Anmeldung eines Benutzers aktualisiert
das Gerät den entsprechenden Eintrag im Benutzerpuffer mit den neuesten Anmeldeinformationen (Benutzer-
name und Passwort mit Hash) und der Rolle/den Rollen.
Mit dem Parameter Benutzerpuffergröße definieren Sie die maximale Anzahl hinterlegter Benutzer-
konten. Der Benutzerpuffer kann durch Einstellen der Größe auf 0 deaktiviert werden.
HINWEIS
i Wenn die SIPROTEC 5-Kommunikationsmodule zur RBAC-Authentifizierung verwendet werden, dann setzen
Sie die Puffergröße auf mindestens 1.
[sc_rbac_user_cache, 2, de_DE]
Laden Sie die Sicherheitseinstellungen nach der erfolgten Konfiguration der RBAC in das SIPROTEC 5-Gerät.
HINWEIS
i Nur Benutzerkonten mit der Rolle SECADM oder Administrator sind berechtigt, Sicherheitseinstellungen auf
ein Gerät aufzuspielen.
[sc_secutrans, 1, de_DE]
[sc_logondev, 2, de_DE]
HINWEIS
i Die Übertragung der Sicherheitseinstellungen funktioniert nur, wenn mindestens einer der konfigurierten
Authentifizierungsserver erreichbar ist.
Wenn kein Authentifizierungsserver verfügbar ist, weist das Gerät die Sicherheitseinstellungen zurück. Die
im Cache zwischengespeicherten Anmeldedaten von Sicherheitsadministratoren oder Administratoren sind
hierfür nicht anwendbar.
Eine Rolle ist eine Kombination von Rechten, die für das SIPROTEC 5-Gerät definiert wurden. Eine Rolle
kann einem Benutzer in verschiedenen Kontexten zugewiesen werden. Die Rollen eines Benutzers in einem
bestimmten Kontext bestimmen, welche Aktionen der Benutzer am SIPROTEC 5-Gerät durchführen kann und
welche nicht.
Die folgenden Tabellen geben eine Übersicht über die grundlegenden Eigenschaften der Rechte und unter-
stützten Rollen gemäß:
• IEEE 1686
• BDEW Whitepaper
HINWEIS
i Sie können die Sicherheitseinstellungen unabhängig von Ihren Zugriffsrechten nicht über die Bedieneinheit
des Gerätes ändern.
Rollen in DIGSI 5
Tabelle 3-2 Generelle Zuweisung von Rechten und unterstützten Rollen in DIGSI 5
OPERATOR6 + ENGINEER
SECAUD7 + ENGINEER
Administrator
INSTALLER
ENGINEER
SECADM
VIEWER
Keine Anzeige allgemeiner Informationen
■ ■ ■ ■ ■ ■ ■
auf dem IED
View data Betriebsdaten auf dem IED anzeigen – ■ ■ ■ – ■ ■
Force values • Werte ändern
• Istwerte überschreiben – ■ – – – – ■
• Einen Prozess auslösen
Change CFG Konfiguration ändern/herunter-
– ■ ■ ■ – ■ ■
laden/hochladen
Change FW Firmware ändern – – – ■ – – ■
Audit trail Audit-Trail – – – – – ■ ■
Security manage- Sicherheitsfunktionen verwalten und
– – – – ■ – ■
ment ausführen
Tabelle 3-3 Generelle Zuweisung von Rechten und unterstützten Rollen für die browser-basierte
Benutzeroberfläche
SECAUD9 + ENGINEER
Administrator
INSTALLER
ENGINEER
SECADM
VIEWER
6 In DIGSI 5 kann mit der Rolle OPERATOR allein nicht gearbeitet werden.
7 In DIGSI 5 kann mit der Rolle SECAUD allein nicht gearbeitet werden.
8 In der browserbasierten Benutzeroberfläche kann mit der Rolle OPERATOR allein nicht gearbeitet werden.
9 In der browserbasierten Benutzeroberfläche kann mit der Rolle SECAUD allein nicht gearbeitet werden.
OPERATOR8 + ENGINEER
SECAUD9 + ENGINEER
Administrator
INSTALLER
ENGINEER
SECADM
VIEWER
Force values • Werte ändern
• Istwerte überschreiben – ■ – – – – ■
• Einen Prozess auslösen
Change CFG Konfiguration ändern/herunter-
– ■ ■ ■ – ■ ■
laden/hochladen
Tabelle 3-4 Generelle Zuweisung von Rechten und unterstützten Rollen auf den Vor-Ort-Geräten
OPERATOR
INSTALLER
ENGINEER
SECADM
SECAUD
VIEWER
ADMIN
Keine Anzeige allgemeiner Informationen
■ ■ ■ ■ ■ ■ ■
auf dem IED
View data Betriebsdaten auf dem IED anzeigen ■ ■ ■ ■ ■10 ■10 ■
View CFG settings Konfigurationseinstellungen am IED
■ ■ ■ ■ ■ – ■
anzeigen
Force values • Werte ändern
• Istwerte überschreiben – ■ – – – – ■
• Einen Prozess auslösen
Change CFG Konfiguration ändern – – ■ ■ – – ■
Change FW Firmware ändern – – – – – – –
Audit trail Audit trail – – – – – ■ ■
Security manage- Sicherheitsfunktionen verwalten und
– – – – – – –
ment ausführen
HINWEIS
i Die ID der Rolle des Administrators ist FFFF8460 (hexadezimal) oder -31648 (dezimal).
8 In der browserbasierten Benutzeroberfläche kann mit der Rolle OPERATOR allein nicht gearbeitet werden.
9 In der browserbasierten Benutzeroberfläche kann mit der Rolle SECAUD allein nicht gearbeitet werden.
10 Protokolle sind ausgeschlossen.
Benutzernamen, denen die zusätzlichen unterstützten Rollen zugewiesen wurden, können nur auf den Vor-
Ort-Geräten verwendet werden. Um solche Benutzernamen verwenden zu können, müssen Sie diese zuerst
auf dem Authentifizierungsserver konfigurieren. Weitere Informationen zur Konfiguration des Authentifizie-
rungsservers finden Sie im Download-Bereich unter http://www.siemens.com/gridsecurity > Cyber Security
Products and Solutions > Cyber Security General Downloads > Application Notes.
Tabelle 3-5 Generelle Zuweisung von Rechten und zusätzlichen unterstützten Rollen auf den Vor-Ort-
Geräten
SWITCHING_AUTHORITY
OPERATOR_SWITCHING
INTERLOCKING_MODE
Keine Anzeige allgemeiner Informationen auf
■ ■ ■
dem IED
View data Betriebsdaten auf dem IED anzeigen ■ ■ ■
View CFG settings Konfigurationseinstellungen am IED
■ ■ ■
anzeigen
Force values • Werte ändern
• Istwerte überschreiben ■ ■ ■
• Einen Prozess auslösen
Change authority Ändern der Rolle Switching Authority – ■ –
Change interlock Ändern der Rolle Interlocking Mode
– – ■
mode
• Standard-Benutzernamen
SIPROTEC 5-Geräte werden mit den folgenden vordefinierten Benutzernamen für die Anmeldung
ausschließlich an der Bedieneinheit des Gerätes ausgeliefert. Diese Benutzernamen werden mit den von
den SIPROTEC 5-Geräten unterstützten Rollen verknüpft:
– VIEWER
– OPERATOR
– ENGINEER
– INSTALLER
– SECADM
– SECAUD
– OPERATOR_SWITCHING
– SWITCHING_AUTHORITY
– INTERLOCKING_MODE
– ADMIN
• Benutzerdefinierte Benutzernamen
An den Vor-Ort-Geräten können Sie sich mit individuellen numerischen Benutzernamen und numerischen
Passwörtern anmelden, die wie andere Benutzerkonten auf dem zentralen Authentifizierungsserver
verwaltet werden. Solche Benutzernamen werden durch Auswahl der Option USER_ID auf der Anmelde-
seite der Vor-Ort-Geräte eingegeben.
Bei der Konfiguration dieser Benutzernamen auf dem Authentifizierungsserver ist Folgendes zu beachten:
– Die Benutzernamen und Passwörter sind rein numerisch.
– Der Benutzername ist 1 bis 8 Ziffern lang.
– Das Passwort ist 1 bis 16 Ziffern lang.
HINWEIS
i Die benutzerdefinierten Benutzernamen können nur an der Bedieneinheit des Gerätes verwendet werden
und nicht in DIGSI 5 oder auf der browser-basierten Benutzeroberfläche. Stellen Sie dazu das Feld Zustän-
digkeitsbereich (aor) wie folgt ein:
• Setzen Sie das Feld aor für die Standard-Benutzernamen auf einen beliebigen Wert. Die maximale
Länge des Felds aor beträgt 49 Zeichen.
• Für die benutzerdefinierten Benutzernamen setzen Sie das Feld aor auf dem Authentifizierungsserver
auf *:local.
[sc_user_cfg_RADIUS, 1, --_--]
Benutzerauthentifizierung und -autorisierung beginnen mit dem SIPROTEC 5-Gerät. In diesem Fall ist das Gerät
der Authentifizierungs-Client und sendet eine Zugriffsanfrage an den Authentifizierungsserver.
Diese Anfrage enthält die Anmeldedaten des Benutzers.
Anmeldung am Gerät
Gehen Sie wie folgt vor:
² Drücken Sie auf den Softkey Anmeld. am Gerät.
Im unteren Bereich des Geräte-Displays erscheint eine Auswahl der Benutzernamen.
[sc_login, 2, de_DE]
² Nutzen Sie die Navigationstasten nach oben oder unten und wählen Sie den gewünschten Benutzer-
namen aus oder geben Sie eine Benutzer-ID ein.
² Bestätigen Sie Ihre Auswahl durch Drücken des Softkeys OK.
Sie werden zur Eingabe des Passwortes aufgefordert.
[sc_enter_passcode, 2, de_DE]
HINWEIS
i Wenn die Nachricht Blocked by another client (Blockiert durch anderen Client) angezeigt wird,
warten Sie eine Minute lang und melden sich dann noch einmal an.
Weitere Informationen zum Anmelden am Gerät über DIGSI 5 finden Sie in der DIGSI Online-Hilfe.
Wollen Sie mit dem Benutzernamen VIEWER und ohne Anmeldedaten auf ein Gerät zugreifen, wählen Sie den
Parameter Ohne Authentifizierung in DIGSI 5.
[sc_no_authentication, 1, de_DE]
Wenn die unterstützte Windows-Rolle (Benutzergruppe in Active Directory) auf Ihrem PC mit der folgenden
Liste von in DIGSI 5 vordefinierten Rollen übereinstimmt, wird der entsprechende Rollenname mit dem Benut-
zernamen angezeigt:
• Administrator:
Benutzer mit dieser Rolle können die gesamte DIGSI 5-Benutzeroberfläche einsehen (die einzige verfüg-
bare Benutzeroberflächenoption für Versionen vor DIGSI 5 V7.90).
• Engineer:
Benutzer mit dieser Rolle haben Zugriff auf alle Funktionen, außer auf die Funktionen zum Verwalten von
Sicherheit, Firmware- und Gerätetreibern.
• Installer:
Benutzer mit dieser Rolle haben Zugriff auf alle Funktionen, außer auf die Funktionen zum Verwalten von
Sicherheitsoptionen.
• Security Administrator:
Benutzer mit dieser Rolle können die Sicherheitsoptionen verwalten, die übrigen Geräteeinstellungen
aber nur einsehen.
• Viewer:
Benutzer mit dieser Rolle können die Gerätekonfiguration einsehen, diese aber nicht bearbeiten oder auf
die Sicherheitseinstellungen zugreifen.
Wenn die unterstützte Windows-Rolle keiner der vordefinierten, von DIGSI 5 unterstützten Rollen entspricht,
wird standardmäßig der Rollenname Administrator angezeigt. Wenn Sie Ihren Zugriff auf DIGSI 5-Funktionen
dennoch einschränken wollen, um versehentliche Änderungen am Projekt zu verhindern, können Sie manuell
eine spezifische Rolle für die aktuelle DIGSI 5-Sitzung auswählen. Klicken Sie dazu auf den Benutzernamen
oder die unterstützte Rolle, um den Dialog Rolle(n) auswählen zu öffnen und die erforderliche Rolle auszu-
wählen. Die mit jeder Rolle verbundenen Berechtigungen sind im Dialog Rolle(n) auswählen aufgeführt.
[sc_digsi_user_roles, 2, de_DE]
Die ausgewählten Rollen werden dann auf der DIGSI 5-Benutzeroberfläche auf dieselbe Weise übernommen,
wie sie vom Gerät auf dem Display übernommen werden (nur lesen, lesen und schreiben, ausblenden).
Das folgende Bild zeigt die Unterschiede in der angezeigten Benutzeroberfläche bei Anmeldung mit unter-
schiedlichen unterstützten Rollen (Administrator und Engineer). Der als Engineer angemeldete Benutzer hat
keinen Zugriff auf Sicherheitseinstellungen und kann auch die Firmware- oder Gerätetreiber nicht verwalten.
[sc_digsi_admin_engineer_view, 1, de_DE]
Legende
J Ja
N Nein
S Schreibzugriff
L Lesezugriff
• Unabhängig davon, welche Rollen für den/von dem Benutzer bei der Offline-Arbeit mit DIGSI 5 ange-
wendet werden, wird die Benutzeroberfläche von DIGSI 5 beim erfolgreichen Anmelden an einem RBAC-
Gerät ggf. angepasst, um der Rolle/den Rollen zu entsprechen, die vom Gerät für den angemeldeten
Benutzer ermittelt wurde(n). Nach dem Verbindungsaufbau mit einem RBAC-Gerät wird der Zustand
der Projektnavigation und der Menüs/Symbolleisten-Schaltflächen gemäß der/den unterstützten Online-
Rolle(n) aktualisiert und alle geöffneten Editoren werden geschlossen. Außerdem wird die unterstützte
Online-Rolle oben rechts auf der Benutzeroberfläche von DIGSI angezeigt.
• Wenn der Benutzer die gespeicherten Online-Anmeldedaten in DIGSI 5 löscht oder die Online-Sitzung
abläuft, werden die Online-Rollen des Benutzers beibehalten.
3.4 Notfallzugang
Benutzernamen für Notfallzugang
Wenn der Zugriff auf das Gerät erforderlich ist, aber die Verbindung zum RBAC-Server unterbrochen ist, steht
ein Notfallzugang zur Verfügung. Sie können sich mit den folgenden Benutzernamen zu diesem Zweck
anmelden:
Der Notfallzugang ist nicht standardmäßig eingeschaltet. Zur Konfiguration des Notfallzugangs ist die Rolle
des Sicherheitsadministrators erforderlich. Siemens empfiehlt die Konfiguration des Notfallzugangs für DIGSI 5
bei der Inbetriebnahme des Gerätes oder der Konfiguration der Cybersecurity-Parameter.
HINWEIS
i Für Geräte ab V8.83 müssen Sie für die Konfiguration des Notfallzugangs die neueste DIGSI 5-Version
verwenden.
Notfallkonto aktivieren
Mit der Schaltfläche zum Aktualisieren können Sie den Status des Notfallskontos im Gerät überprüfen:
Status Beschreibung
Ja Das Notfallkonto ist konfiguriert.
Nein Das Notfallkonto ist nicht konfiguriert.
Unbekannt Das Notfallkonto ist nicht konfiguriert oder DIGSI 5 liest nicht den neuesten Status des
Notfallkontos vom Gerät.
11 Weitere Informationen über die Rollen siehe 3.2.6 Grundlegende Eigenschaften der Zuweisung von Rechten und unterstützten
Rollen.
[sc_set_emergency_password, 4, de_DE]
3.5 Bannereinstellungen
Aus Sicherheitsgründen können Sie in der Rolle eines SECADM oder ADMIN die Funktion Bannereinstell
aktivieren und eine Meldung über Projekt > Zielgerät > Sicherheit > Handlungssicherheit und Zugriffskon-
trolle in DIGSI 5 eingeben. Wenn Sie dann versuchen, sich über DIGSI 5 oder über die Bedieneinheit des
Gerätes am Gerät anzumelden, können Sie sehen, dass ein Banner erscheint.
Die maximale Meldungslänge ist 128 Zeichen. Wenn Sie die Funktion Bannereinstell aktivieren, kann die
Meldung nicht leer sein. Sie können den Inhalt selbst festlegen. Zum Beispiel:
• Die Systemnutzung kann überwacht, aufgezeichnet und einem Audit unterzogen werden.
• Die unbefugte Nutzung des Systems ist verboten und kann straf- oder zivilrechtlich geahndet werden.
[sc_banner-pop, 2, de_DE]
Der Anmeldevorgang wird fortgesetzt, wenn Sie in DIGSI 5 auf Ja klicken oder den Softkey Ok auf der
Bedieneinheit des Gerätes drücken. Andernfalls wird der Anmeldevorgang abgelehnt.
4.1 Übersicht 52
4.2 Malware-Schutz für Engineering-Software 53
4.3 Integritätsprüfung der heruntergeladenen Datei 54
4.1 Übersicht
SIPROTEC 5-Geräte basieren auf dem Betriebssystem VxWorks, für das kein spezielles Antivirenprogramm
erhältlich ist. Außerdem verfügen SIPROTEC 5-Geräte über eine interne Firewall zum Schutz vor Angriffen über
das Netzwerk. Zur Verbesserung des Schutzes ist die Firewall standardmäßig aktiviert.
Sie können nur digital signierte Firmware-Dateien in das Gerät laden und die Geräte vor manipulierten oder
fehlerhaften Firmware-Dateien schützen. Das Gerät akzeptiert nur signierte Firmware-Dateien und signierte
Hardware-Konfigurationen. Die Signierung erfolgt sicher in den Siemens-Produktionsstätten mit der Siemens-
internen Public-Key-Infrastruktur für Produkte.
Außerdem werden Viren normalerweise per E‑Mail übertragen, beim Surfen im Internet oder durch infizierte
Wechseldatenträger. SIPROTEC 5-Geräte sind für diese Infektionswege nicht anfällig.
Die Authentifizierung zwischen DIGSI 5 und dem Gerät mit digitalen Zertifikaten hindert Anwendungen
außer DIGSI 5 daran, die Gerätekonfiguration zu ändern oder auf sie zuzugreifen. Weitere Informationen
über die Ausgabe eigener Zertifikate für die Autorisierung von DIGSI 5-Installationen und die Interaktion mit
SIPROTEC 5-Geräten siehe Kapitel 6.5 DIGSI 5 Client-Authentifizierung.
• Prüfen, ob der SHA‑256-Fingerprint mit dem veröffentlichten Fingerprint zur Verifizierung der Integrität
der Datei übereinstimmt.
5.1 Traffic-Begrenzer 56
5.2 Überlastschutz 57
5.1 Traffic-Begrenzer
Der Traffic-Begrenzer arbeitet auf der Ebene der IP‑Verbindung. Derzeit werden nur IP-basierte TCP-, UDP- und
ICMP-Verbindungen unterstützt.
Der Traffic-Begrenzer prüft die Verbindungen in einem 1‑Sekunden-Intervall.
Wenn die Verbindungen die gleiche IP-Adresse, den gleichen Port und den gleichen Protokolltyp aufweisen
und die Anzahl der spezifischen Verbindungen den oberen Schwellwert überschreitet (siehe Tabelle 5-1),
werden diese Verbindungen nicht mehr aufrecht erhalten. Wenn die Anzahl der spezifischen Verbindungen
den unteren Schwellwert unterschreitet, nimmt das Gerät diese Verbindungen wieder an.
Wenn die Gesamtanzahl aller Verbindungen den Schwellwert für die Gesamtanzahl überschreitet, hält das
Gerät keine Verbindung mehr aufrecht.
HINWEIS
5.2 Überlastschutz
Die Schicht Überlastschutz arbeitet auf der Ebene des Ethernet-Treibers.
Diese Schicht zählt die eingehenden Ethernet-Frames. Wenn die Anzahl der Frames den Schwellwert über-
schreitet (siehe Tabelle 5-2), stoppt die Schicht die Verarbeitung der Frames zur nächsten Schicht des Stacks.
Diese Maßnahme dient dazu, die Gerätefunktionalität zu gewährleisten und zu verhindern, dass der Netzwerk-
Stack die Echtzeitschutzfunktionen stört, indem er zu viele CPU‑Zyklen in Anspruch nimmt.
Auf verschiedenen CPUs (Typ J) und Kommunikationsmodulen verhält sich die Schicht Überlastschutz unter-
schiedlich.
CPU/Modultyp Schwellwert14
CP100 (Port J) 11000
CP150 (Port J) 5632
CP300 (Port J)
ETH-YA-2EL
ETH-YC-2FO
ETH-BB-2FO 8000
ETH-BD-2FO
ETH-BA-2EL 2500
HINWEIS
i • Wenn das Gerät über ein Ethernet-Kommunikationsmodul verfügt, können Sie auch Port E, Port F,
Port N oder Port P verwenden.
• Unabhängig von der Zugriffseinschränkung für den USB‑Port gibt es keine Auswirkungen auf das
sichere Zurücksetzen des Gerätekonfigurationsdienstes.
Sie können die Sicherheitsparameter in DIGSI 5 in der Projektnavigation unter Sicherheit > Netzzugangssi-
cherheit einstellen.
Sie können folgende Zugriffsrechte einstellen:
• Kein Zugriff
Keine DIGSI-Kommunikation über diese Schnittstelle möglich.
• Lesezugriff
Über diese Schnittstelle haben Sie nur Lesezugriff auf das Gerät.
[sc_network_access_security, 1, de_DE]
Jede aktivierte IEC 61850-Schnittstelle wird mit dem Standardwert Nicht verschlüsselt aufgelistet.
Die Standardeinstellung ist der Standard-Kompatibilitätsmodus mit TCP-Kommunikation über den unverschlüs-
selten Port 102.
[sc_Secure_MMS, 1, de_DE]
² Um den sicheren Modus mit sicherer TLS-Kommunikation über den Port 3782 zu aktivieren, stellen Sie
die Schnittstelle auf TLS verschlüsselt ein.
[sc_Secure_MMS_settings, 1, de_DE]
² Wählen Sie aus der Auswahlliste Trusted CA die vertrauenswürdige Zertifizierungsstelle aus, die der
Client für die eingehende TLS-Verbindung verwendet.
In der Auswahlliste sind die Zertifizierungsstellen aufgeführt, die Sie unter Werkzeuge > Certificate
authorities (CA) verwalten im DIGSI 5 CA-Speicher hinzufügen.
² Markieren Sie das Kontrollkästchen erlaube unverschl. Mod..
Mit diesem Kontrollkästchen aktivieren Sie die unverschlüsselte Kommunikation über Port 102 parallel
zur konfigurierten verschlüsselten Kommunikation über Port 3782.
Um sicherzustellen, dass die gegenseitige Authentifizierung des zugrunde liegenden TLS-Kanals konfiguriert
und ordnungsgemäß durchgeführt werden kann, gehen Sie nach dem Abschluss der Sicherheitseinstellungen
wie folgt vor:
² Laden Sie die CSR-Datei aus der Web-UI herunter. Weitere Informationen siehe 7.2.3 Angeforderte Zertifi-
kate.
² Signieren Sie die heruntergeladene CSR-Datei mit der vertrauenswürdigen Zertifizierungsstelle.
² Laden Sie die signierte CSR-Datei wieder in das Gerät hoch.
Sie können alternativ EST verwenden, um automatisch die von der Zertifizierungsstelle signierten MMS-Server-
Zertifikate abzurufen, ohne die CSR-Datei herunterzuladen und manuell zu signieren. Weitere Informationen
zu EST siehe 7.3 Automatisches Enrollment over Secure Transport.
HINWEIS
i Sie können das SIPROTEC 5-Gerät parallel über DIGSI 5 und über die browser-basierte Benutzeroberfläche
bedienen.
Vor der Bedienung des Gerätes über einen Web-Browser müssen Sie zuerst die Sicherheitseinstellungen
überprüfen. Weitere Informationen siehe 6.1 Zugriffsbeschränkungen für Ethernet anwenden.
So bedienen Sie das Gerät über die browser-basierte Benutzeroberfläche:
• Schließen Sie das SIPROTEC 5-Gerät (zum Beispiel Port J) mit einem Netzwerkkabel an Ihren PC an.
Legen Sie zur Verbesserung der Verbindungssicherheit in DIGSI unter Netzzugangssicherheit folgende
Zugriffseinstellungen fest:
[sc_web_access, 1, de_DE]
HINWEIS
i Notieren Sie die IP-Adresse und die Port-Nummer der Schnittstelle, die für die Kommunikation von PC und
browser-basierter Benutzeroberfläche verwendet wird. Stellen Sie sicher, dass die 12-stellige IP-Adresse
für den Web-Browser korrekt im Format ***.***.***.*** über DIGSI eingestellt wurde.
• Geben Sie die IP-Adresse des Gerätes in die Adresszeile des Web-Browsers ein, gefolgt von der Port-
Nummer 4443, zum Beispiel https://172.16.60.60:4443, und bestätigen Sie den Eintrag mit der Enter-
Taste.
HINWEIS
i Manche Web-Browser haben eventuell Probleme mit der Verbindung zur angegebenen IP-Adresse des
Gerätes. Löschen Sie in diesem Fall das entsprechende Zertifikat im Web-Browser.
• Variante 1:
Wenn Sie ein Verbindungspasswort unter Betriebssicherheits- und Zugriffskontrolle in DIGSI 5 einge-
geben haben, beginnt der Anmeldedialog mit dem Benutzernamen Siprotec 5. Dieser Benutzername
kann nicht geändert werden. Sie müssen das in DIGSI konfigurierte Verbindungspasswort verwenden.
• Variante 2:
Wenn Sie Role-Based Access Control unter Betriebssicherheits- und Zugriffskontrolle in DIGSI 5 konfi-
guriert haben, beginnt der Anmeldedialog mit der Abfrage des von Ihnen im Authentifizierungsserver
konfigurierten Benutzernamens und Passworts.
• Variante 3:
Wenn Sie nicht Role-Based Access Control und kein Verbindungspasswort konfiguriert haben, beginnt der
Anmeldedialog mit dem Benutzernamen Siprotec 5. Dieser Benutzername kann nicht geändert werden.
Das Texteingabefeld für das Passwort muss leer gelassen werden.
Wenn der Web-Browser erfolgreich mit dem Gerät verbunden wurde, wird der folgende Anmeldedialog (für
Variante 2) angezeigt, zum Beispiel:
[sc_web_monitor, 1, de_DE]
• Geben Sie den Benutzernamen in das Texteingabefeld User name (Benutzername) ein.
• Klicken Sie in das Texteingabefeld Password (Passwort) und geben Sie das Passwort ein.
HINWEIS
i Bei aktiver RBAC ist der Zugriff nur nach erfolgreicher Authentifizierung des Benutzernamens und Passworts
möglich. Weitere Informationen siehe 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5.
[scwebmonitor_enter, 1, --_--]
[sc_web_UI, 1, de_DE]
Sie können die entsprechenden Bereiche anzeigen oder diese durch Klicken auf die verschiedenen Schaltflä-
chen bearbeiten.
Zeitüberschreitung
HINWEIS
i Wenn innerhalb eines festgelegten Zeitraums keine Benutzeraktion auf der browser-basierten Benutzer-
oberfläche verzeichnet wird, wird die Verbindung vom Web-Browser zum Gerät getrennt.
[sc_web_monitor_session_timeout, 1, de_DE]
Nach Ablauf einer bestimmten Zeit müssen Sie sich erneut über den Web-Browser am Gerät anmelden.
Mit der Funktion DIGSI Server-Authentifizierung können Sie Ihre eigenen Server-Zertifikate in einem
SIPROTEC 5-Gerät für die sichere Kommunikation zwischen DIGSI 5 und dem SIPROTEC 5-Gerät verwenden.
Wenn DIGSI 5 eine Verbindung mit einem SIPROTEC 5-Gerät aufbaut, übergibt das Gerät sein digitales Server-
Zertifikat zur Authentifizierung an DIGSI 5. DIGSI 5 validiert die Signatur und die Information zum Aussteller
des Server-Zertifikats mit einer Kunden-Zertifizierungsstelle, die in der Registerkarte DIGSI 5 CA-Speicher
oderWindows System CA-Speicher aufgeführt ist.
Wenn Sie möchten, dass Ihr SIPROTEC 5-Gerät Ihre eigenen Server-Zertifikate anstelle der voreingestellten
Zertifikate von Siemens verwendet, benötigen Sie eine Public Key Infrastructure (PKI) mit einer betriebsbe-
reiten Zertifizierungsstelle für die Erstellung oder digitale Signierung solcher Client-Zertifikate. Weitere Infor-
mationen zur Installation einer PKI für Ihre betrieblichen Anforderungen siehe SICAM GridPass-Handbuch
(www.siemens.com/sicam-gridpass).
Um eigene Server-Zertifikate zu verwenden, müssen Sie DIGSI 5 zuerst das entsprechende Zertifikat der
ausgebenden Zertifizierungsstelle mitteilen.
Um diesen Schritt auszuführen, müssen Sie Ihre ausgebende Zertifizierungsstelle zum DIGSI 5 CA-Speicher
hinzufügen. Der DIGSI 5 CA-Speicher verwaltet eine Liste von Zertifizierungsstellen, die zur Validierung der
dem Gerätezertifikat zugehörigen Zertifikatskette verwendet werden können.
Sie erreichen den DIGSI 5 CA-Speicher über das Menü Werkzeuge > Certificate Authorities (CA) verwalten:
[sc_manage_CA, 1, de_DE]
Sie haben 2 Möglichkeiten, eine bestehende Zertifizierungsstelle zum DIGSI 5 CA-Speicher hinzuzufügen:
² Wählen Sie die CA-Datei aus, die Sie importieren möchten, und bestätigen Sie Ihre Aktion, um die
CA-Datei in den DIGSI 5 CA-Speicher zu importieren.
In beiden Fällen wird im Erfolgsfall die importierte Zertifizierungsstelle in der Liste DIGSI 5 CA-Speicher mit
einem Statussymbol angezeigt, das den Ablaufstatus des ausgewählten Zertifikats der ausgebenden Zertifizie-
rungsstelle angibt:
Symbol Erklärung
Die Zertifizierungsstelle ist noch mehr als 180 Tage lang gültig.
Die Zertifizierungsstelle läuft innerhalb der nächsten 180 Tage ab.
Die Zertifizierungsstelle ist abgelaufen und daher nicht mehr gültig.
HINWEIS
i Derzeit können bis zu 8 Zertifizierungsstellen im DIGSI 5 CA-Speicher verwaltet werden. Entfernen Sie
nicht verwendete Zertifizierungsstellen manuell, bevor Sie weitere Zertifizierungsstellen hinzufügen.
Nach dem Importieren der Zertifizierungsstelle überprüft DIGSI 5 das Serverzertifikat bei der Verbindung zum
Gerät. Wenn die Authentifizierung fehlschlägt, zeigt DIGSI 5 die folgende Meldung an:
[sc_DIGSI_auth_failure, 1, de_DE]
Mit der neuen Funktion DIGSI Client-Authentifizierung können Sie in DIGSI 5 eigene digitale Zertifikate für
die sichere Kommunikation zwischen DIGSI 5 und dem SIPROTEC 5-Gerät verwenden.
Sobald diese Funktion eingerichtet wurde, ist eine Verbindung zu einem Gerät mit der Standardversion von
DIGSI 5 über das eingebettete voreingestellte Client-Zertifikat von Siemens nicht mehr möglich. Dies verhin-
dert den Zugriff von unberechtigten Windows-Benutzer mit DIGSI 5-Installation auf einsatzfähige SIPROTEC 5-
Geräte.
[dw_schematic-representation_this_security-feature, 1, de_DE]
Beim Aufbau der Verbindung mit einem SIPROTEC 5-Gerät übergibt DIGSI 5 sein digitales Client-Zertifikat an
das Gerät zur Authentifizierung. Wenn Sie für Ihre DIGSI 5-Installation statt der Siemens-Standardzertifikate
ein eigenes Client-Zertifikat verwenden möchten, benötigen Sie eine PKI mit einer betriebsbereiten CA für
die Erstellung oder digitale Signierung solcher Client-Zertifikate. Weitere Informationen zur Installation einer
PKI für Ihre betrieblichen Anforderungen finden Sie im Handbuch SICAM GridPass (www.siemens.com/sicam-
gridpass).
Vor der Verwendung der Funktion zur Client-Authentifizierung in DIGSI müssen Sie zuerst die Windows-Benut-
zerkonten, die für die Verwendung von DIGSI 5 autorisiert sind, konfigurieren und entsprechend auch die
SIPROTEC 5-Geräte.
Um die neue Funktion DIGSI Client-Authentifizierung zu konfigurieren, gehen Sie wie folgt vor:
6.5.2 Konfiguration
HINWEIS
i Wenn Sie ein Projekt mit einer CA geöffnet haben, die derzeit nicht in diesem CA-Store enthalten ist, wird
automatisch eine konfigurierte CA zum DIGSI CA-Store hinzugefügt. Dies gilt auch für Online-Verbindungen
zu bestehenden Geräten.
Sie müssen Ihre Geräte so konfigurieren, dass diese mit Ihren Client-Zertifikaten ausschließlich DIGSI 5-Verbin-
dungsanfragen akzeptieren.
So konfigurieren Sie die DIGSI Client-Authentifizierung für ein Gerät:
² Wählen Sie in der Projektnavigation das entsprechende Gerät aus, navigieren Sie zu Sicherheit und
wählen Sie Netzzugangssicherheit:
[sc_network_access_security, 1, de_DE]
[sc_client_authentication, 1, de_DE]
² Wählen Sie aus der Auswahlliste Trusted CA die für Ihre DIGSI 5 Client-Zertifikate verwendete Zertifizie-
rungsstelle.
In dieser Auswahlliste werden die Zertifizierungsstellen angezeigt, die im DIGSI 5 CA-Speicher derzeit
importiert sind (siehe 6.5.2.1 DIGSI 5 CA-Speicher einrichten). Der Voreinstellwert dieser Auswahlliste ist
SIPROTEC 5 Trusted Certificate Authority. Wenn Sie diesen Wert ausgewählt haben, wird das Standard-
verhalten für die Verbindung von DIGSI 5 zum SIPROTEC 5-Gerät mit den DIGSI 5-Client-Zertifikaten von
Siemens aktiviert.
Laden Sie diese Einstellungen in das Gerät, damit sie wirksam werden.
HINWEIS
i Navigieren Sie zur Verifizierung der konfigurierten Zertifizierungsstelle über die Benutzeroberfläche zu
Parameter > Sicherheit > Client-Auth > Trusted CA.
² Damit die Kommunikation mit dem Gerät aufgebaut werden kann, muss ein von der gewählten Zertifizie-
rungsstelle ausgegebenes Client-Zertifikat auf dem DIGSI-PC installiert sein.
Wenn mehrere Client-Zertifikate zur Auswahl stehen, werden Sie zur Auswahl aufgefordert. Wenn auf
dem DIGSI 5-PC kein Client-Zertifikat installiert ist, wird eine entsprechende Fehlermeldung angezeigt. Sie
können die Gerätekonfigurationen über den USB-Anschluss zurücksetzen und die Bedienung neu starten.
[sc_Registry_Editor_EN, 1, de_DE]
[sc_DWORD_Disable, 1, de_DE]
[sc_DWORD_Enable, 1, de_DE]
[sc_CerAuth., 1, de_DE]
[sc_settings_ClientAuth, 1, de_DE]
Wenn Sie die SIPROTEC 5 Trusted Certificate Authority ausgewählt haben, ist der Wert für Trusted CA auf
Standard gesetzt.
[sc_unauthorized_DIGSI_access, 1, de_DE]
[sc_unauthorized_DIGSI_access_security_log, 1, de_DE]
Abgelaufenes Zertifikat
Wenn die konfigurierte vertrauenswürdige Zertifizierungsstelle vor der Erneuerung abgelaufen ist, wird bei
einem Verbindungsversuch zum SIPROTEC 5-Gerät die folgende Fehlermeldung angezeigt:
[sc_unauthorized_DIGSI_access_message, 1, de_DE]
Hinweise zur Wiederherstellung nach einer unbeabsichtigten Sperrung finden Sie in Kapitel 6.5.2.5 Wiederher-
stellung nach einer Sperrung über sicheres Zurücksetzen der Anmeldedaten.
6.5.2.5 Wiederherstellung nach einer Sperrung über sicheres Zurücksetzen der Anmeldedaten
Mit der Konfiguration einer vertrauenswürdigen Zertifizierungsstelle muss ein gültiges, von der Zertifizie-
rungsstelle signiertes Client-Zertifikat im Windows System CA-Store vorliegen, damit eine sichere Verbindung
zum SIPROTEC 5-Gerät aufgebaut werden kann.
Wenn die vertrauenswürdige Zertifizierungsstelle vor deren Erneuerung abläuft oder wenn das entsprechende
Client-Zertifikat nicht mehr im Windows System CA-Store vorliegt, kann DIGSI nicht mehr mit dem SIPROTEC 5-
Gerät kommunizieren. Eine Wiederherstellung ist in diesem Fall nur durch das Zurücksetzen der Zugangsan-
meldedaten über eine USB-Verbindung möglich.
HINWEIS
i Die Einstellung des Parameters Integrierter USB-Port hat keine Auswirkungen auf diese Wiederher-
stellung.
Für die Wiederherstellung müssen Sie vorher die Datei zum Zurücksetzen der Sicherheitsanmeldedaten
und Konfiguration (SCRF-Datei) vom Gerät heruntergeladen haben.
HINWEIS
HINWEIS
i Wenn RBAC aktiviert ist, können nur Benutzer mit der Rolle SECADM oder Administrator die Zertifikatau-
thentifizierung gemäß IEEE 802.1X konfigurieren.
HINWEIS
i Wenn sowohl die Zertifikatauthentifizierung gemäß IEEE 802.1X als auch RBAC aktiviert sind, empfiehlt
Siemens die Aktivierung des Notfallkontos, um sicherzustellen, dass unter bestimmten Bedingungen SCRF
und SFRF heruntergeladen werden können.
Konfiguration in DIGSI 5
So konfigurieren Sie die Zertifikatauthentifizierung gemäß IEEE 802.1X für ein Gerät:
² Wählen Sie in der Projektnavigation das Zielgerät aus, navigieren Sie zu Sicherheit und wählen Sie
Netzzugangssicherheit:
Folgende Informationen werden dargestellt:
[sc_DIGSI_802.1x, 2, de_DE]
² Wählen Sie aus der Auswahlliste eines Modulsteckplatzes die für die Verifizierung des IEEE 802.1X-
Server-Zertifikats verwendete Zertifizierungsstelle.
Der Voreinstellwert dieser Auswahlliste ist Deaktiviert.
² Laden Sie die Sicherheitseinstellungen in das Gerät, damit sie wirksam werden.
[sc_HMI_802.1X, 2, de_DE]
HINWEIS
i Um die Funktion des IEEE 802.1X-Zertifikats im Gerät zu deaktivieren, deaktivieren Sie diese Funktion
zuerst im Router oder Switch.
7.1 Einleitung 78
7.2 Manuelles Management 79
7.3 Automatisches Enrollment over Secure Transport 82
7.1 Einleitung
In einigen Fällen müssen Sie die digitalen Zertifikate verwalten.
Die Funktion Zertifikatsverwaltung ermöglicht folgende Aktivitäten:
[sc_certificates_button, 2, de_DE]
Wenn Sie auf die Schaltfläche Zertifikate klicken, werden folgende Bereiche angezeigt:
• Zertifikate im Einsatz
• Zertifizierungsstellen
• Angeforderte Zertifikate
[sc_CM, 3, de_DE]
Die Zertifikate, die derzeit im Gerät verwendet werden, werden im Bereich Zertifikate im Einsatz angezeigt.
In diesem Bereich können Sie Zertifikate auch hochladen oder löschen.
[sc_certificates, 2, de_DE]
HINWEIS
i Nur Zertifikate im Format .pem werden zum Hochladen in die Geräte akzeptiert.
Für mehr Sicherheit empfiehlt Siemens, das Standardzertifikat mit Ihrem eigenen Zertifikat zu ersetzen.
7.2.2 Zertifizierungsstellen
Wenn Sie in DIGSI 5 Ihre Zertifizierungsstellen in den DIGSI 5 CA-Store importiert haben und die Zertifizie-
rungsstellen in das Gerät geladen haben, werden die Zertifizierungsstellen bei der browserbasierten Benut-
zeroberfläche im Bereich Zertifizierungsstellen angezeigt.
[sc_CerAuth., 1, de_DE]
Wenn Sie eine zertifikatsbezogene Funktion in DIGSI 5 aktivieren und ins Gerät laden, erzeugt das Gerät
automatisch eine entsprechende CSR-Datei. Diese CSR-Dateien werden im Bereich Angeforderte Zertifikate
aufgeführt.
Mit der Schaltfläche für den Export können Sie eine CSR-Datei zur Signierung auf Ihren lokalen PC herunter-
laden.
[sc_crt_export, 2, de_DE]
Das IEEE 802.1X-Zertifikat dient als Beispiel zur Veranschaulichung des gesamten Prozesses zum Hochladen
eines Zertifikats.
So laden Sie das Zertifikat in das Gerät hoch:
Stellen Sie sicher, dass die IEEE 802.1X-Funktion im Gerät aktiviert ist und dass der Web-Browser mit dem
Gerät verbunden ist. Für weitere Informationen zur IEEE 802.1X-Funktion siehe auch 6.6 Zertifikatauthentifi-
zierung gemäß IEEE 802.1X.
² Klappen Sie das Element IEEE 802.1X unter Zertifikate > Angeforderte Zertifikate auf.
² Klicken Sie auf die Schaltfläche für den Export und speichern Sie die heruntergeladene Datei (.csr) in
einen Ordner.
² Signieren Sie die heruntergeladene CSR-Datei mit SICAM GridPass auf Ihrem lokalen PC.
Weitere Informationen zum Signieren von CSR-Dateien mit SICAM GridPass finden Sie im Handbuch
SICAM GridPass (www.siemens.com/sicam-gridpass).
² Speichern Sie die signierte Datei als .pem-Datei.
² Klicken Sie im Bereich Zertifikate im Einsatz auf die Schaltfläche zum Hochladen.
² Klicken Sie im Dialog Zertifikat laden auf die Schaltfläche Datei wählen.
² Wählen Sie das signierte IEEE 802.1X-Zertifikat aus und klicken Sie auf die Schaltfläche zum Hochladen.
[sc_upload_suc, 2, de_DE]
Nachdem das IEEE 802.1X-Zertifikat erfolgreich in das Gerät geladen ist, wird das Zertifikat im Bereich Zertifi-
kate im Einsatz aufgeführt.
Geräte Versionen
Modulare Geräte V8.80 und höher
Nicht modulare Geräte V9.20 und höher
Der EST-Client in allen Geräten ist einem einzigen EST-Server zugewiesen. Anschließend wird die Anfrage zur
Zertifikatserneuerung an die Administrationsschnittstelle des einen EST-Servers weitergeleitet.
Siemens stellt die hochmoderne EST‑Server‑Anwendung und ‑Funktionalität in SICAM GridPass zur Verfügung,
um die Dateien der Zertifikatsignierungsanforderungen (CSRs) und Zertifikatsperrlisten (CRLs) in Ihrem Netz-
werk zu verwalten.
HINWEIS
Um die EST-Server-Einstellungen zu konfigurieren, navigieren Sie in DIGSI 5 zu Projekt > Zielgerät > Sicher-
heit > Automatische Zertifikateverwaltung.
7.3.1 EST-Server-Konfiguration
In einer typischen Anwendung mit EST befindet sich der EST-Server außerhalb der Unterstationen und steuert
zentral verschiedene Anforderungen, die von diesen Unterstationen gesendet werden. Daher ist die Transport-
schicht der EST-Anforderungen auf einem sicheren TLS-Kanal mit gegenseitigen Authentifizierungen. Diese
Eigenschaft des TLS-Kanals erfordert eine anfängliche Kunden-PKI, in der der private Schlüssel der Zertifizie-
rungsstelle verfügbar ist und zum Signieren der Anforderungen verwendet werden kann. Somit ist es nicht
möglich, die Standard-Siemens-Zertifizierungsstelle für den EST-Client zu verwenden.
Um die Kunden-Zertifizierungsstelle für die EST- und TLS-Verbindung einzustellen, muss die Kunden-Zertifi-
zierungsstelle im DIGSI CA-Store verfügbar sein. Weitere Informationen finden Sie unter 6.5.2.1 DIGSI 5
CA-Speicher einrichten.
Beim ersten Herstellen der TLS-Verbindung sind die folgenden Vorgänge notwendig:
• Exportieren Sie die Anforderungen des EST-Client-Zertifikats aus der browser-basierten Benutzerober-
fläche manuell zur Signatur.
• Signieren Sie die exportierte Datei mit der Zertifizierungsstelle, die für die EST-Kommunikation verwendet
wird.
• Importieren Sie das EST-Client-Zertifikat mit einer CA-Signatur in das Gerät, um die Gültigkeit festzu-
stellen.
Weitere Informationen finden Sie unter 7.2.4 Beispiel: Zertifikat in Gerät hochladen.
Nachdem dieser erste Schritt erfolgt ist und das erforderliche Vertrauen zwischen dem EST-Client und dem
EST-Server hergestellt wurde, verwaltet der EST-Client alle weiteren Zertifikatserneuerungen für die ausge-
wählten Protokolle und den EST-Client selbst.
7.3.2 Anmeldungskonfiguration
Markieren Sie im Bereich Auto.Einschr. die Option, mit der die Zertifikate automatisch vom EST-Server
verwaltet werden sollen:
• DIGSI 5
Die Zertifikate für die Kommunikation zwischen DIGSI 5 und dem Gerät werden automatisch verwaltet.
• Web-UI
Die Zertifikate für die Kommunikation zwischen der browser-basierten Benutzeroberfläche und dem
Gerät werden automatisch verwaltet.
• IEEE 802.1 x
Die Zertifikate für den IEEE 802.1X-Antragsteller werden automatisch verwaltet.
• SyslogTLS
Die Zertifikate zur Kommunikation zwischen Gerät und syslog-Server werden automatisch verwaltet.
• Secure MMS
Die Zertifikate zur Kommunikation zwischen Gerät und MMS-Client werden automatisch verwaltet.
HINWEIS
i Unabhängig davon, ob die Zertifikate manuell oder automatisch verwaltet werden, können sie nur über die
browser-basierte Benutzeroberfläche angezeigt werden.
8.1 Allgemein 86
8.2 Archivieren und Dearchivieren eines Projekts 87
8.1 Allgemein
DIGSI 5 verwaltet die Komponenten einer Anlage und alle damit verbundenen Projektdaten. Projekte sind in
Windows als Ordner strukturiert. Wenn die Voreinstellung nicht geändert wurde, finden Sie die Projektordner
unter Eigene Dateien\Automatisierung. Für jedes Projekt wird ein Ordner mit dem Namen des Projektes
erstellt.
[sc_project_menu, 1, de_DE]
[sc_archive_project, 1, de_DE]
[sc_project_menu_2, 1, de_DE]
² Wählen Sie im entsprechenden Ordner das archivierte Projekt mit der Dateierweiterung .dz5.
² Wählen Sie das Zielverzeichnis aus, in dem Sie das dearchivierte Projekt speichern möchten.
9.1 Übersicht 92
9.2 Umwelt 93
9.3 Konfiguration 94
9.4 Protokollierte Sicherheitsereignisse 97
9.5 Anzeigen der Protokolle 107
9.1 Übersicht
SIPROTEC 5-Geräte und DIGSI 5 bieten eine Sicherheitsaudit-Trail-Funktion, die sicherheitsrelevante Ereignisse
chronologisch aufzeichnet und nach Ursprung und Schweregrad kategorisiert.
Bei Auftreten eines sicherheitsrelevanten Ereignisses sendet das SIPROTEC 5-Gerät das Ereignis spontan an
einen oder 2 externe(n) syslog-Server ohne Bestätigung per UDP oder TLS, während DIGSI 5 solche Ereignisse
an das Windows-Ereignisprotokoll sendet. Dadurch können sicherheitsrelevante Ereignisse von mehreren
Transformatorstationen aufgezeichnet werden, die Normen und Richtlinien wie etwa IEEE 1686, IEC 62443
und BDEW Whitepaper erfüllen müssen.
Für das Gerät wird die Protokollierung zentral auf einem oder 2 selbstgewählten syslog-Servern gestartet. Die
Kombination verschiedener Protokolldaten, die die Geräte nutzen, ermöglicht einen allgemeinen Überblick
über das Gerätenetzwerk. Sie können diese Daten analysieren und überwachen. Dadurch können sicherheits-
kritische Ereignisse protokolliert und entsprechende Änderungen verfolgt werden. Sie können mithilfe der
Protokolldaten auch Angriffe auf die betriebenen Geräte verfolgen.
Es ist möglich, die protokollierten sicherheitsrelevanten Ereignisse aus dem Sicherheitsereignispuffer des
Geräts im Nachhinein auszulesen. Die Protokolle werden auf Englisch angezeigt.
Sie können die gesammelten Protokolldaten im Sicherheitsmeldepuffer lokal auf dem Geräte-Display
anzeigen, unabhängig von der aktuellen Betriebsart des Gerätes. Die Alarme und sicherheitskritischen
Meldungen werden chronologisch im Sicherheitsmeldepuffer gespeichert. Sie können diese Einträge nicht
verändern oder löschen.
Die vollständige Liste der aufgezeichneten Sicherheitsereignisse finden Sie unter 9.3.1 Konfiguration der
Sicherheitsprotokollierung.
HINWEIS
i Siemens empfiehlt, die empfangenen Sicherheitsereignisse auf den syslog-Servern vor unbefugtem Lese-
und Schreibzugriff durch die Rolle Auditor zu schützen.
9.2 Umwelt
Unterstützte System- und Firmware-Versionen
Die folgende Tabelle zeigt die System- und Firmware-Versionen, die syslog unterstützen:
• Unterstützte Betriebsarten
– Simulationsmodus
– Prozessmodus
– Inbetriebsetzungsmodus
– Fallback-Modus (Rückfallmodus)
9.3 Konfiguration
Nachdem Sie DIGSI 5 gestartet haben und die Verbindung zu einem Gerät hergestellt haben, wählen Sie in
der Projektnavigation Sicherheit > Security-Ereignisprotokoll.. Der Menüeintrag Sicherh. Prot. enthält die
Einstellmöglichkeiten für einen zentralen syslog-Server. Es können bis zu 2 syslog-Server aktiviert werden.
Übertragungsprotokoll
Mit dem Parameter Protokoll legen Sie fest, über welches Protokoll die Meldepuffer übertragen werden.
Derzeit werden die Protokolle UDP und TLS unterstützt.
Wenn Sie das Protokoll TLS auswählen, müssen Sie außerdem die Server-Zertifizierungsstelle auswählen, der
Sie für die Übertragung vertrauen.
[sc_syslog_TLS, 1, de_DE]
Syslog-Server-Informationen
Nehmen Sie zum Aufbau einer Verbindung zwischen dem SIPROTEC 5-Gerät und einem zur Protokollierung
sicherheitsrelevanter Ereignisse verwendeten syslog-Server folgende Einstellungen in DIGSI 5 vor.
Aktivieren Sie die Protokollierung unter Primärer Server und/oder Redundant. Server. Folgende Parameter
gelten für die Verbindung zum syslog-Server:
Parameternamen Beschreibungen
IP-Adresse IP-Adresse des zu verbindenden syslog-Servers
Port Port-Nummer des zu verbindenden syslog-Servers
Geräte-Port Port des Gerätes, über den das SIPROTEC 5-Gerät die Ereignisse an den
syslog-Server sendet
Weitere Informationen zu den unterstützten Sicherheitsereignissen finden Sie im 9.4 Protokollierte Sicher-
heitsereignisse.
Sie können die Informationen zu den verwendeten syslog-Servern auf dem Geräte-Display mit folgenden
Schritten überprüfen: Hauptmenü > Parameter > Security > Sicherheitsprotok. > Sicherh. Prot.
In den Versionen 8.80 und höher bietet DIGSI 5 8 Binäreingangssignale für die Protokollierung benutzerdefi-
nierter Ereignisse. Diese protokollierten benutzerdefinierten Ereignisse sind vom Schweregrad Ereignis.
Sie können diese Signale über Projekt > Zielgerät > Informationsrangierung > Security > Sicherheits-
protok. > Sicherh. Prot. in DIGSI 5 sehen. Zum Umbenennen der Signale können Sie auf den Signalnamen
doppelklicken.
Bei aktiviertem Primärer Server und/oder Redundant. Server werden folgende Elemente im Sicherheitsmel-
depuffer protokolliert und an die Server weitergeleitet:
• Aktionen
– Erfolgreiche Abmeldung eines Benutzers, auch nach einer bestimmten Zeitspanne
– Erfolgreiche Anmeldung eines Benutzers
– Änderung oder Löschen eines Verbindungspassworts
– Aktualisierung oder Wiederherstellung der Firmware-Version des Gerätes
– Aktualisierung der Konfiguration im Gerät
– Änderung der Betriebsart des Gerätes
– Änderung von Datum und Uhrzeit
– Änderung oder Überschreiben von Einträgen zum Zustandswert durch den angemeldeten Benutzer
– Schalthandlungen durch den registrierten Benutzer
– Anzeigen der Auditberichte im Gerät
• Potentielle Fehler
– Anzahl der Einträge mit richtigen oder falschen Passwörtern
– Nicht erfolgreiche Anmeldeversuche durch dreimalige falsche Eingabe des Passworts
– Reboot oder Neustart des Gerätes
• Andere Einträge
– Kapazitätswarnung des Sicherheitsmeldepuffers
Die folgende Tabelle zeigt, welcher Meldungstyp (einschließlich Format) und welche Aktion erwartet wird.
Ereignis-/Alarmübersicht Beschreibung
Schweregrad der syslog-Meldungen: WARNUNG
Erfolgreiche Anmeldung Der Inhalt der Ereignisse für die erfolgreichen Anmeldungen hängt davon ab, ob RBAC
von fern oder lokal aktiv ist oder nicht und vom Standort, von dem aus die Anmeldung erfolgt: Von fern (Zum
Beispiel DIGSI 5) oder lokal (Vor-Ort-Bedienung).
Manuelle Abmeldung Die Ereignisse für die manuelle Abmeldung werden im Audit-Trail protokolliert und mit
syslog UDP übertragen. Der Inhalt der Meldungen hängt davon ab, ob RBAC aktiv ist oder
nicht.
Zeitlich bestimmte Abmel- Der Inhalt der Meldungen hängt davon ab, ob RBAC aktiv ist oder nicht.
dung
Ereignis-/Alarmübersicht Beschreibung
Steuerungshandlungen Ereignisse für lokal oder von fern initiierte Steuerungshandlungen. Zum Beispiel:
erzwingen
• Änderung der Position der Pole
• Auslöse-/Schließvorgänge im Zusammenhang mit der Primärtechnik
• Befehlsvorgänge im Zusammenhang mit der Primärtechnik
• Änderungen der Betriebsart im Zusammenhang mit der Primärtechnik
• Start/Abbruch der Schaltfolge
• Änderung der Spulenposition
• Steuerung der sequentiellen Spannungen/Zielspannungen
• Steuerung der Schalthoheit
• Steuerung der Wicklungsauswahl
Herunterladen der Konfigu- Ereignisse im Zusammenhang mit dem Herunterladen der Schutzkonfiguration auf einen PC
ration
Hochladen der Konfigura- Ereignisse im Zusammenhang mit dem Hochladen der Schutzkonfiguration von einem PC
tion auf ein Gerät
Konfigurationswechsel Ereignisse, die eine Änderung der derzeitigen Konfiguration anzeigen, zum Beispiel durch
die Änderung eines Parameters
Firmware-Änderung Ereignisse im Zusammenhang mit dem Hochladen der Geräte-Firmware in das Gerät
Zugriff auf Auditprotokoll Ereignisse im Zusammenhang mit der Anzeige und dem Herunterladen von Audit-Trails des
Gerätes
Änderung von Uhrzeit und Ereignisse, die Änderungen der aktuellen Uhrzeit-/Datumseinstellungen anzeigen.
Datum
Schweregrad der syslog-Meldungen: ALARM
Sicherheitsmanagement Ereignisse, die Änderungen der aktuellen Sicherheitskonfiguration für folgende Elemente
anzeigen:
• Benutzerverwaltung
• Benutzerauthentifizierung
• Sichere Kommunikation
• Einstellungen für Sicherheitsüberwachung (Protokollierung)
Anmeldung fehlgeschlagen Ereignisse für einen fehlgeschlagenen Anmeldeversuch
Wenn RBAC aktiv ist, werden die fehlgeschlagenen Anmeldeversuche nach 3 Versuchen für
einen Benutzernamen innerhalb des konfigurierten Zeitfensters protokolliert. Danach wird
jeder neue fehlgeschlagene Versuch für denselben Benutzernamen ebenso protokolliert, bis
die maximale Anzahl an Anmeldeversuchen erreicht ist.
Ist die Anzahl der Anmeldeversuche ausgeschöpft, wird die Anmeldung für diesen Benut-
zernamen für die eingestellte Zeitspanne gesperrt. Das bedeutet, dass weitere Anmeldever-
suche für diesen Benutzernamen abgelehnt und protokolliert werden, unabhängig davon,
ob die Kombination von Benutzername und Passwort richtig ist oder nicht.
Wenn die Sperrzeit abgelaufen ist, wird der Zähler für den blockierten Benutzernamen
zurückgesetzt. Der Zähler für diesen Benutzernamen wird auch dann zurückgesetzt, wenn
für diesen Benutzernamen ein erfolgreicher Anmeldeversuch erfolgt ist oder wenn die Zeit-
spanne ohne Überschreitung der maximalen Anzahl an Anmeldeversuchen erreicht wurde.
Neustart des Produkts Ereignisse beim Neustart des Gerätes. Protokolliert werden Hochfahren und Neustart des
Gerätes durch Entfernen der Stromversorgung oder durch Verwendung eines gerätein-
ternen Mechanismus zum Neustart, zum Beispiel durch Reset-Taste, Einschaltfolge oder
Zugriff auf Software.
Ungültige Konfiguration Ereignisse aufgrund der Erkennung einer ungültigen Konfiguration oder Firmware, zum
und Firmware Beispiel eine Signaturprüfung eines SIPROTEC 5-Gerätes
HINWEIS
i Die Verwendung eines Bestätigungscodes wird nicht protokolliert. Nur sicherheitsrelevante Ereignisse
werden protokolliert.
• Ereignis
• Alarm
Datum Protokollierungsdatum des Ereignisses
Zeit Protokollierungsuhrzeit des Ereignisses
• T
Zeit
• hh:mm:ss.ttt
Uhrzeit des Auftretens des Ereignisses
• +hh:mm
Zeitabweichung von GMT
IP-Adresse oder Port- IP-Adresse oder Portname des Produktes oder der untergeordneten Komponente, die
name den Protokolleintrag generiert
Modulname Name des Produktmoduls, das den Protokolleintrag generiert
BOM Byte Order Mark für UTF8-Kodierung
Produktname Name des Produkts, das den Protokolleintrag generiert
Meldungstext Der Meldungsteil eines syslog-Ereignisses
Abhängig vom Ereignis kann der Meldungstext verschiedene zusätzliche Angaben
(%A1%, %A2%, %A3% und %A4%) enthalten.
HINWEIS
i Die Anzeige von Sicherheitsmeldepuffern wird von der browserbasierten Benutzeroberfläche nicht
unterstützt.
Schweregrad Ereignis
Die folgende Tabelle zeigt syslog-Meldungen mit Schweregrad Ereignis.
Schweregrad Alarm
Die folgende Tabelle zeigt syslog-Meldungen mit Schweregrad Alarm.
9.5.1 Windows-Ereignisprotokolle
Übersicht
Gemäß Cybersecurity-Standard IEEE 1686 muss DIGSI 5 die sicherheitsrelevanten Ereignisse im Windows-
Ereignisprotokoll dokumentieren. Diese Protokolle können in der Ereignisanzeige eingesehen werden. In der
Ereignisanzeige wird ein Knoten mit dem Namen DIGSI 5 angezeigt. Eine Gruppe mit dem Namen DIGSI
5 SECAUD wird unter dem Knoten Gruppen > Lokale Benutzer und Gruppen im Fenster Computerverwal-
tung Ihres Computers angezeigt.
Die Ereignisse für folgende Vorgänge in DIGSI 5 werden protokolliert:
• DIGSI 5 öffnen
• DIGSI 5 beenden
• Gerätedaten aktualisieren
[sc_event_viewer, 1, de_DE]
In der Registerkarte Allgemein werden die Ereigniseigenschaften mit zusätzlichen Informationen zum proto-
kollierten Ereignis angezeigt. Die in der Abbildung angezeigte Ereignis-ID ist die Prozess-ID der DIGSI-Instanz,
für die das Ereignis protokolliert wurde.
[sc_event_viewer_properties, 1, de_DE]
Im Sicherheitsmeldepuffer erfolgt die Protokollierung von Zugriffen auf Bereiche des Gerätes mit einge-
schränktem Zugriffsrecht. Ebenso werden erfolglose und unberechtigte Zugriffsversuche aufgezeichnet. Im
Sicherheitsmeldepuffer können bis zu 2048 Meldungen gespeichert werden.
Die protokollierten Meldungen sind unveränderbar vorkonfiguriert. Sie können diese als Ringpuffer organis-
ierten Meldepuffer nicht löschen. Wollen Sie sicherheitsrelevante Informationen ohne Informationsverlust aus
dem Gerät archivieren, so müssen Sie die Meldepuffer regelmäßig ansehen.
• Navigieren Sie im Fenster Projektnavigation zu Projekt > Online-Zugänge > Gerät > Geräteinformation
> Meldepuffer > Sicherheitsmeldungen.
Der Online-Zugriff auf das Gerät muss möglich sein.
•
Klicken Sie in der Kopfzeile auf die Schaltfläche , um die Inhalte zu aktualisieren.
Es wird der Zustand der zuletzt aus dem Gerät geladenen Sicherheitsmeldepuffer angezeigt.
[sc_secmld, 2, de_DE]
• Navigieren Sie auf der Bedieneinheit des Geräts zu Hauptmenü > Test & Diagnose > Meldepuffer >
Sicherheitsmeldungen.
• An der Geräte-Bedieneinheit können Sie mit den Navigationstasten (oben/unten) die angezeigte
Meldungsliste durchsuchen.
[sc_seclog, 1, de_DE]
HINWEIS
i Sichern und speichern Sie die SCRF-Datei bei der Inbetriebnahme des Gerätes an einem sicheren Ort, da
jeder diese Datei verwenden kann.
Nur Benutzerkonten mit der Rolle SECADM oder Administrator sind berechtigt, die SCRF-Datei von einem Gerät
herunterzuladen.
[sc_download_scrf, 2, de_DE]
Wenn die Verbindung zum Authentifizierungsserver unterbrochen oder der Notfallzugang nicht eingerichtet
wurde, können die Sicherheitseinstellungen des Gerätes zurückgesetzt werden, um wieder interaktiv auf
Geräte zugreifen zu können, bei denen RBAC aktiviert ist.
Vor dem Zurücksetzen der Sicherheitseinstellungen ist Folgendes zu beachten:
• Der Umgang mit der SCRF-Datei muss jederzeit äußerst sorgsam erfolgen, um unberechtigten Zugriff auf
diese Dateien zu verhindern.
Denn unabhängig von den zugewiesenen Rollen kann jeder die Sicherheitseinstellungen eines Gerätes
durch Hochladen einer SCRF-Datei in das Gerät zurücksetzen. Daher muss die SCRF-Datei nach dem
Zurücksetzen effektiv vom PC entfernt werden.
[sc_upload_scrf_en, 1, de_DE]
HINWEIS
i Nach dem Hochladen einer SCRF-Datei werden die Sicherheitseinstellungen auf der Bedieneinheit des
Gerätes und auf der browser-basierten Benutzeroberfläche nicht aktualisiert. Zum Aktualisieren ist ein
Neustart erforderlich. Um Auswirkungen auf die Schutzfunktionen zu vermeiden, startet das Gerät nicht
automatisch neu. Sie können den Neustart des Gerätes entsprechend der aktuellen Situation festlegen.
Um ein SIPROTEC 5-Gerät wieder in den Auslieferzustand zu versetzen, müssen Sie zuerst die signierte SFRF-
Datei vom Gerät herunterladen.
HINWEIS
i Sichern und speichern Sie die SFRF-Datei bei der Inbetriebnahme des Gerätes an einem sicheren Ort, da
jeder diese Datei verwenden kann.
Zur Konfiguration der Werkseinstellungen ist die Rolle des Sicherheitsadministrators erforderlich.
[sc_download_sfrf, 2, de_DE]
Zur Wiederherstellung der Werkseinstellungen laden Sie die SFRF-Datei in das Gerät.
Vor dem Zurücksetzen der Sicherheitseinstellungen müssen Sie Folgendes beachten:
• Der Umgang mit der SFRF-Datei muss jederzeit äußerst sorgsam erfolgen, um unberechtigten Zugriff auf
diese Dateien zu verhindern.
Denn unabhängig von der/den zugewiesenen Rolle/n kann jeder das Gerät durch Hochladen einer SFRF-
Datei in das Gerät auf Werkseinstellungen zurücksetzen. Daher muss die SFRF-Datei nach dem Zurück-
setzen effektiv vom PC entfernt werden.
• Mit einer SFRF-Datei kann ein SIPROTEC 5-Gerät immer auf Werkseinstellungen zurückgesetzt werden.
[sc_SFRF, 1, de_DE]
HINWEIS
i Alle Daten auf dem Gerät sowie die Sicherheits- und Schutzeinstellungen werden beim Laden der SFRF-
Datei gelöscht.
11.1 Allgemein
Der Patch-Management-Prozess erfolgt gemäß Kapitel 2.1.1.3 des BDEW-Whitepaper.
Das Gesamtsystem sollte die Installation von Patches aller Systemkomponenten während des normalen
Systembetriebs zulassen. Die Installation eines Patches sollte ohne Unterbrechung des normalen Systembet-
riebs möglich sein und mit wenig Auswirkungen auf die Verfügbarkeit des Systems. Zum Beispiel sollte es
nicht notwendig sein, die Primärsysteme für Erzeugung, Übertragung oder Verteilung herunterzufahren, um
Updates auf Sekundärsystemen durchzuführen. Vorzugsweise werden die Patches zuerst auf passiven Redun-
danzkomponenten installiert. Nach der Umschaltung (Wechsel der aktiven Komponente im redundanten
System) und einer nachfolgenden Prüfung wird der Patch auf den restlichen Komponenten installiert.
Ein Patch-Management-Prozess für das gesamte System sollte unterstützt werden. Dieser Prozess sollte
Prüfung, Installation und Dokumentation von Sicherheits-Patches und System-Updates verwalten. Generell
sollte es möglich sein, dass das Betriebspersonal, das das System verwaltet, auch die Patches und Updates
installiert. Installation und Deinstallation von Patches und Updates sollten durch den Systembetreiber autori-
siert werden und nicht automatisch durchgeführt werden.
Siemens berücksichtigt bei der Konzeption und Entwicklung der SIPROTEC 5-Produkte auch Datenschutza-
spekte in Bezug auf den Netzbetrieb. Dieser Ansatz findet sich in den folgenden technischen Maßnahmen
wieder, die in den SIPROTEC 5-Produkten umgesetzt wurden.
Anforderungen Bemerkungen
Zugriffskontrolle auf persönliche Der Sicherheitsmeldepuffer enthält Informationen zu sicherheitsrelevanten Akti-
Daten in den Produkten onen. Wenn Sie RBAC im Gerät aktivieren, enthalten diese protokollierten Informati-
onen auch den Anmeldenamen der Person, die die Aktionen ausgeführt hat.
Die Zugriffskontrolle im Gerät garantiert, dass nur authentifizierte und autorisierte
Personen mit der Rolle SECAUD oder Administrator auf den Sicherheitsmeldepuffer
zugreifen können.
Passwortpflicht Für den Zugriff auf den Sicherheitsmeldepuffer, in dem persönliche Daten protokol-
liert sind, muss sich der Benutzer mit der Rolle SECAUD oder Administrator mit dem
korrekten Passwort am Gerät anmelden.
Angemessene Verschlüsselung der Die Datenverschlüsselung der SIPROTEC 5-Geräte entspricht den modernsten Stan-
Daten bei der Speicherung (Data at dards im Schutzgerätemarkt.
Rest) und der Übertragung (Data in
Motion)
Automatische Abmeldefunktionen Nach einer festgelegten Zeit der Inaktivität werden die angemeldeten Benutzer
automatisch vom Gerät abgemeldet.
Möglichkeit der Löschung Sie können die Einträge des Sicherheitsmeldepuffers aus dem Gerät löschen, indem
sie das Gerät auf die Werkseinstellungen zurücksetzen.
Sie können den lokalen Benutzer-Cache löschen, indem Sie die Funktion des lokalen
Benutzer-Caches im Gerät deaktivieren.
Weitere Informationen hierzu siehe Kapitel 3.2.4 Benutzerpuffergröße.
Zwei-Faktor-Authentifizierung, Das Gerät ist nicht für den direkten Fernzugriff z.B. über das Internet oder andere
wenn nötig ungeschützte Netzwerke vorgesehen. Daher ist die Zwei-Faktor-Authentifizierung
nicht erforderlich.
In Zwei-Faktor-Authentifizierungssystemen wie RSA SecureID erzeugt ein Generator
für physische Token Einmalpasswörter (OTP) für das zentral verwaltete Konto eines
Benutzers. Diese Einmalpasswörter können zur Anmeldung an SIPROTEC 5-Geräten
verwendet werden.
Zusätzliche Informationen zu Persönliche Daten werden nur bei aktiviertem RBAC erfasst und im Sicherheitsmel-
produktspezifischen Maßnahmen depuffer gespeichert.
Die Anmeldedaten (Benutzername, Passwort und Rolle) von bereits angemeldeten
Benutzern werden nur gespeichert, wenn die Benutzer-Cache-Funktion von RBAC
aktiviert ist.
Sie können alle persönliche Daten wie folgt löschen:
• Löschen Sie zuerst den lokalen Benutzer-Cache, indem Sie die Funktion lokaler
Benutzer-Cache im Gerät deaktivieren.
• Löschen Sie danach die Einträge des Meldepuffers aus dem Gerät, indem sie
das Gerät auf die Werkseinstellungen zurücksetzen.
HINWEIS
i Siemens empfiehlt, die Verantwortung Ihrer Organisation in Bezug auf die Einhaltung der Vorgaben der
DSGVO zu beachten. Weitere Informationen siehe Artikel 25 Datenschutz durch Technikgestaltung
und durch datenschutzfreundliche Voreinstellungen der DSGVO (https://edpb.europa.eu/sites/edpb/files/
consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf).
• Anmeldung blockiert
Das Verbindungspasswort wird gesperrt, wenn ein
Benutzer öfter als 5 Mal ein falsches Verbindungspasswort
eingibt.
• Anmeld. reaktiviert
Das Verbindungspasswort ist reaktiviert worden.
Weitere Informationen über das Verbindungspasswort siehe
3.1 Zugriffskontrolle mit Verbindungspasswort.
_:322 Cyber-Security-Ereig. Diese Signalgruppe enthält die folgenden Signale:
• PW-Änderung OK
Änderung des Verbindungspasswortes erfolgreich
• PW-Änderung nicht OK
Änderung des Verbindungspasswortes fehlgeschlagen
• Anmeldung OK
Anmeldung erfolgreich
• Anmeldung nicht OK
Anmeldung fehlgeschlagen
• PW-Aktivierung OK
Aktivierung des Passwortes erfolgreich
• PW-Aktivierung n. OK
Aktivierung des Passwortes fehlgeschlagen
• PW-Deaktivierung OK
Deaktivierung des Passwortes erfolgreich
• PW-Deaktivierg. n.OK
Deaktivierung des Passwortes fehlgeschlagen
DIGSI
Konfigurationssoftware für SIPROTEC
GOOSE
Generic Object-Oriented Substation Event
SIPROTEC
Die eingetragene Marke SIPROTEC bezeichnet die Produktfamilie der Siemens-Schutzgeräte und -Stör-
schreiber.
SIPROTEC 5-Gerät
Dieser Objekttyp repräsentiert ein reales SIPROTEC-Gerät mit allen darin enthaltenen Einstellwerten und
Prozessdaten.
A R
Anmeldeversuche 32 RADIUS-Server
Authentifizieren 25 Konfiguration in DIGSI 5 30
RBAC 27
Aktivierung 28
Authentifizierungsserver 27
B Benutzernamen 39
Einleitung 27
Benutzerpuffergröße 33 Rollenbasierte Ansichten 42
D S
Diagnose 21 Sicherheit 63
Sicherheitseinstellungen in Gerät laden 33
Sicherheitsmeldepuffer 109
Syslog-Server 94
L Systemhärtung
Annahmen und Randbedingungen 19
LDAP-Server Ziele 18
Konfiguration in DIGSI 5 31
T
M
Technologien 12
Maßnahmen zur Härtung 22
V
N
Verbindungspasswort 25
Normen 13 deaktivieren 25
Einleitung 24
Konfiguration 24
rücksetzen 25
O
Zeichenbeschränkung 24
Offene Ports 20
W
P
Wichtige Sicherheitsanforderungen 14
Patch-Management-Prozess 118
Z
Zeitüberschreitung 65
Zertifikatsverwaltung
Beispiel zum Hochladen eines Zertifikats 81
CSR exportieren 80
Signierte Zertifikate 79
Vorbedingungen 78
Zugriffskontrolle 23
Zuweisung von Rechten und unterstützten Rollen 35