SIP5 Security V09.50 Manual C081-B de

Vorwort
Inhaltsverzeichnis
Einführung 1
SIPROTEC 5 Maßnahmen zur Systemhärtung 2
Sicherheit
Zugriffskontrolle 3
ab V9.50 Malware-Schutz 4
Schutz gegen DoS-Angriffe 5
Handbuch
Kommunikationssicherheit 6
Zertifikatsverwaltung 7
Sicherung und Wiederherstellung 8
Sicherheitsprotokollierung 9
Gerätekonfiguration zurücksetzen 10
Sicheres Patch-Management 11
Datenschutzbestimmungen 12
Anhang A
Literaturverzeichnis
Glossar
Stichwortverzeichnis
C53000-H5000-C081-B
HINWEIS
i Beachten Sie zu Ihrer eigenen Sicherheit die Warn- und Sicherheitshinweise in diesem Dokument, sofern
vorhanden.
Haftungsausschluss Copyright
Änderungen und Irrtümer vorbehalten. Die Informati- Copyright © Siemens AG 2023. Alle Rechte vorbehalten.
onen in diesem Dokument enthalten lediglich allgemeine Weitergabe sowie Vervielfältigung, Verbreitung und Bear-
Beschreibungen bzw. Leistungsmerkmale, welche im beitung dieses Dokuments, Verwertung und Mitteilung des
konkreten Anwendungsfall nicht immer in der beschrie- Inhaltes sind unzulässig, soweit nicht schriftlich gestattet.
benen Form zutreffen bzw. welche sich durch Weiterent- Alle Rechte für den Fall der Patenterteilung, Geschmacks-
wicklung der Produkte ändern können. Die gewünschten oder Gebrauchsmustereintragung sind vorbehalten.
Leistungsmerkmale sind nur dann verbindlich, wenn sie bei
Vertragsschluss ausdrücklich vereinbart werden. Marken
Dokumentversion: C53000-H5000-C081-B.01
SIPROTEC, DIGSI, SIGRA, SIGUARD, SIMEAS, SAFIR, SICAM
Ausgabestand: 03.2023
und MindSphere sind Marken der Siemens AG. Jede nicht
Version des beschriebenen Produkts: ab V9.50 autorisierte Verwendung ist unzulässig.
Vorwort
Zweck des Handbuchs

Dieses Handbuch beschreibt die Sicherheitsmerkmale zu den SIPROTEC 5-Geräten sowie DIGSI 5, z.B:
• Grundlegend sichere Konfiguration
• Sicherheitsbezogene Geräteeinstellungen, Parameter für Security-Funktionen und Standardwerte
• Maßnahmen zur Systemhärtung
• Matrix zur Kommunikationsschnittstelle
• Anweisungen für sicherheitsbewusstes Verhalten, z.B. Systemsicherung und Systemwiederherstellung
• Erläuterungen zu sicherheitsspezifischen Protokoll- und Audit-Meldungen, möglichen Ursachen und

geeigneten Gegenmaßnahmen. Diese Informationen können als Basis für ein sicheres Design und einen
sicheren Betrieb des gesamten Systems verwendet werden.
HINWEIS
i Die Systemmerkmale aus einer systemspezifischen Vernetzung und die Konfiguration von Produkten in
einem System sind in diesem Handbuch nicht beschrieben.
Zielgruppe
Schutzingenieure, Inbetriebsetzer, Personen, die mit der Einstellung, Prüfung und Wartung von Automatik-,
Selektivschutz- und Steuerungseinrichtungen betraut sind sowie Betriebspersonal in elektrischen Anlagen und
Kraftwerken.
Gültigkeitsbereich
Dieses Handbuch ist gültig für Produkte von SIPROTEC 5 und DIGSI 5 mit Hardware- und Firmware-Version ab
V9.50.
SIPROTEC 5, Sicherheit, Handbuch 3

C53000-H5000-C081-B, Ausgabe 03.2023
Vorwort
Weiterführende Dokumentation
[dw_product-overview_SIP5_security-manual, 3, de_DE]
• Gerätehandbücher
Gerätehandbücher beschreiben die Funktionen und Applikationen eines spezifischen SIPROTEC 5-
Gerätes. Das gedruckte Handbuch und die Geräte-Online-Hilfe haben dieselbe Informationsstruktur.
• Hardware-Handbuch
Das Hardware-Handbuch beschreibt die Hardware-Bausteine und Gerätekombinationen der SIPROTEC 5-
Gerätefamilie.
• Betriebshandbuch
Das Betriebshandbuch beschreibt die Grundprinzipien und -prozeduren des Gerätebetriebs und die
Montage der Geräte für die SIPROTEC 5-Gerätefamilie.
• Kommunikationsprotokoll-Handbuch
Das Kommunikationsprotokoll-Handbuch enthält eine Beschreibung der Protokolle zur Kommunikation
innerhalb der SIPROTEC 5-Gerätefamilie und zu übergeordneten Leitstellen.
• Security-Handbuch
Das Security-Handbuch beschreibt die Sicherheitsmerkmale von SIPROTEC 5-Geräten und DIGSI 5.
• Prozessbus-Handbuch
Das Prozessbus-Handbuch beschreibt die spezifischen Funktionen und Anwendungen für den Prozessbus
in SIPROTEC 5.
• Produktinformation
Die Produktinformation enthält allgemeine Informationen über betriebsvorbereitende Bedingungen.
Dieses Dokument wird mit jedem SIPROTEC 5-Gerät ausgeliefert.
• Engineering Guide
Der Engineering Guide beschreibt die wesentlichen Schritte beim Engineering mit DIGSI 5. Zusätzlich
erfahren Sie im Engineering Guide, wie Sie eine projektierte Konfiguration in ein SIPROTEC 5-Gerät laden
und die Gerätefunktionalität des SIPROTEC 5-Gerätes aktualisieren.
4 SIPROTEC 5, Sicherheit, Handbuch

C53000-H5000-C081-B, Ausgabe 03.2023
Vorwort
• Online-Hilfe DIGSI 5
Die Online-Hilfe DIGSI 5 enthält ein Hilfepaket für DIGSI und CFC.
Das Hilfepaket für DIGSI 5 enthält die Beschreibung des Grundbetriebs von Software, der DIGSI-Prinzipien
und der Editoren. Das Hilfepaket für CFC enthält eine Einführung in die CFC-Programmierung, Grund-
beispiele für die CFC-Handhabung und ein Referenzkapitel mit allen für die SIPROTEC 5-Gerätefamilie
verfügbaren CFC-Bausteinen.
• SIPROTEC 5/DIGSI 5 Tutorial

Das Tutorial auf der DVD enthält eine kurze Information über wichtige Produktmerkmale, detaillierte
Informationen zu den einzelnen Fachgebieten sowie Betriebssequenzen mit praxisorientierten Aufgaben
und einer kurzen Erläuterung.
• SIPROTEC 5 Katalog
Der SIPROTEC 5-Katalog beschreibt die SIPROTEC 5-Geräte und Systemeigenschaften.
Angaben zur Konformität
Das Produkt entspricht den Bestimmungen des Rates der Europäischen Gemein-
schaften zur Angleichung der Rechtsvorschriften der Mitgliedstaaten betreffend die
elektromagnetische Verträglichkeit (EMV-Richtlinie 2014/30/EU) sowie elektrische
Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen (Niederspan-
nungsrichtlinie 2014/35/EU).
Diese Konformität ist das Ergebnis einer Bewertung, die durch die Siemens AG gemäß
den Richtlinien in Übereinstimmung mit der Norm EN 60255-26 für die EMV-Richtlinie
und der Norm EN 60255-27 für die Niederspannungsrichtlinie durchgeführt worden ist.
Das Gerät ist für den Einsatz im Industriebereich entwickelt und hergestellt.
Das Erzeugnis steht im Einklang mit den internationalen Normen der Reihe IEC 60255
und der nationalen Bestimmung VDE 0435.
Normen
IEEE Std C 37.90
Das Produkt ist im Rahmen der Technischen Daten UL-zugelassen.
Weitere Informationen zur UL-Datenbank finden Sie unter: ul.com
Das Produkt finden Sie unter der Zulassungsnummer (UL File Number) E194016.
IND. CONT. EQ.

69CA
Weitere Unterstützung
Bei Fragen zum System wenden Sie sich an Ihren Siemens-Vertriebspartner.
Customer Support Center

Unser Customer Support Center unterstützt Sie rund um die Uhr.
Siemens AG
Smart Infrastructure – Protection Automation Tel.: +49 911 2155 4466
Customer Support Center E-Mail: energy.automation@siemens.com
Schulungskurse
Sie können das individuelle Kursangebot bei unserem Training Center erfragen:
Siemens AG
Siemens Power Academy TD Tel: +49 911 9582 7100
Humboldtstraße 59 E-Mail: poweracademy@siemens.com

C53000-H5000-C081-B, Ausgabe 03.2023
Vorwort
90459 Nürnberg Internet: www.siemens.com/poweracademy

Deutschland
Hinweise zu Ihrer Sicherheit

Dieses Dokument ist kein vollständiges Verzeichnis aller für einen Betrieb des Produkts erforderlichen Sicher-
heitsmaßnahmen. Es enthält aber Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung
von Sachschäden beachten müssen. Die Hinweise sind je nach Gefährdungsgrad wie folgt dargestellt:
! GEFAHR
GEFAHR bedeutet, dass Tod oder schwere Verletzungen eintreten werden, wenn die angegebenen
Maßnahmen nicht getroffen werden.
² Beachten Sie alle Hinweise, um Tod oder schwere Verletzungen zu vermeiden.
! WARNUNG
WARNUNG bedeutet, dass Tod oder schwere Verletzungen eintreten können, wenn die angegebenen
Maßnahmen nicht getroffen werden.
² Beachten Sie alle Hinweise, um Tod oder schwere Verletzungen zu vermeiden.
! VORSICHT
VORSICHT bedeutet, dass mittelschwere oder leichte Verletzungen eintreten können, wenn die angege-
benen Maßnahmen nicht getroffen werden.
² Beachten Sie alle Hinweise, um mittelschwere oder leichte Verletzungen zu vermeiden.
ACHTUNG
ACHTUNG bedeutet, dass Sachschäden entstehen können, wenn die angegebenen Maßnahmen nicht
getroffen werden.
² Beachten Sie alle Hinweise, um Sachschäden zu vermeiden.
HINWEIS
i ist eine wichtige Information über das Produkt, die Handhabung des Produktes oder den jeweiligen Teil der
Dokumentation, auf den besonders aufmerksam gemacht werden soll.
OpenSSL
This product includes software developed by the OpenSSL Project for use in OpenSSL Toolkit (http://
www.openssl.org/).
This product includes software written by Tim Hudson (tjh@cryptsoft.com).
This product includes cryptographic software written by Eric Young (eay@cryptsoft.com).

C53000-H5000-C081-B, Ausgabe 03.2023
Inhaltsverzeichnis
Vorwort.........................................................................................................................................................3
1 Einführung..................................................................................................................................................11
1.1 Ziel................................................................................................................................... 12
1.2 Beachtung von Normen.................................................................................................... 13
1.3 Sicherheitsanforderungen................................................................................................. 14
1.4 Sicherheitsdienste.............................................................................................................15
2 Maßnahmen zur Systemhärtung................................................................................................................17

2.1 Übersicht.......................................................................................................................... 18
2.2 Vorgesehene Betriebsumgebung.......................................................................................19
2.3 Unterstützte LAN-Services................................................................................................. 20
2.3.1 Verzeichnis der erforderlichen offenen Ports................................................................ 20
2.3.2 Deaktivierung unnötiger System- und Kommunikationsdienste.................................... 21
2.3.3 Diagnose-Homepage................................................................................................... 21
2.4 Maßnahmen zur Härtung.................................................................................................. 22
3 Zugriffskontrolle.........................................................................................................................................23
3.1 Zugriffskontrolle mit Verbindungspasswort....................................................................... 24
3.1.1 Einleitung....................................................................................................................24
3.1.2 Einstellung des Verbindungspasswortes....................................................................... 24
3.1.3 Authentifizierung und Verbindungspasswort während des Betriebs.............................. 25
3.1.4 Verbindungspasswort zurücksetzen und deaktivieren...................................................25
3.2 Role-Based Access Control (RBAC) in SIPROTEC 5................................................................27
3.2.1 Übersicht.....................................................................................................................27
3.2.2 Authentifizierungsserver..............................................................................................27
3.2.2.1 Allgemein.............................................................................................................. 27
3.2.2.2 Aktivierung von Authentifizierungsservern............................................................. 28
3.2.2.3 Konfiguration der RADIUS-Server-Verbindung......................................................... 30
3.2.2.4 Konfigurationen für die LDAP-Server-Verbindung....................................................31
3.2.3 Anmeldeversuche........................................................................................................32
3.2.4 Benutzerpuffergröße................................................................................................... 33
3.2.5 Sicherheitseinstellungen laden.................................................................................... 33
3.2.6 Grundlegende Eigenschaften der Zuweisung von Rechten und unterstützten Rollen..... 35
3.2.7 Benutzernamen an den Vor-Ort-Geräten...................................................................... 39
3.2.8 Anmeldung am Gerät über die Bedieneinheit des Gerätes.............................................40
3.2.9 Anmelden ohne Authentifizierung............................................................................... 41
3.3 Rollenbasierte Ansichten in DIGSI 5................................................................................... 42
3.4 Notfallzugang................................................................................................................... 46
3.5 Bannereinstellungen......................................................................................................... 48

C53000-H5000-C081-B, Ausgabe 03.2023
Inhaltsverzeichnis
4 Malware-Schutz.......................................................................................................................................... 51
4.1 Übersicht.......................................................................................................................... 52
4.2 Malware-Schutz für Engineering-Software......................................................................... 53
4.3 Integritätsprüfung der heruntergeladenen Datei................................................................54
5 Schutz gegen DoS-Angriffe........................................................................................................................ 55

5.1 Traffic-Begrenzer...............................................................................................................56
5.2 Überlastschutz.................................................................................................................. 57
6 Kommunikationssicherheit........................................................................................................................ 59
6.1 Zugriffsbeschränkungen für Ethernet anwenden............................................................... 60
6.2 Konfigurationen für IEC 61850 Secure MMS...................................................................... 61
6.3 Sicherheit von Interaktionen zwischen Web-Browser und Gerät......................................... 63
6.4 DIGSI 5-Server-Authentifizierung....................................................................................... 66
6.4.1 Allgemeine Informationen........................................................................................... 66
6.4.2 Konfigurationen im DIGSI 5 CA-Speicher...................................................................... 66
6.5 DIGSI 5 Client-Authentifizierung........................................................................................ 68
6.5.1 Allgemeine Informationen........................................................................................... 68
6.5.2 Konfiguration.............................................................................................................. 69
6.5.2.1 DIGSI 5 CA-Speicher einrichten............................................................................... 69
6.5.2.2 Konfiguration der Sicherheitsfunktion DIGSI 5 Client-Authentifizierung...................69
6.5.2.3 Verifizierung der konfigurierten CA über einen Web-Browser.................................. 71
6.5.2.4 Unbefugter Zugriff mit DIGSI 5 auf SIPROTEC 5-Geräte............................................72
6.5.2.5 Wiederherstellung nach einer Sperrung über sicheres Zurücksetzen der
Anmeldedaten....................................................................................................... 74
6.6 Zertifikatauthentifizierung gemäß IEEE 802.1X..................................................................75
7 Zertifikatsverwaltung................................................................................................................................. 77
7.1 Einleitung......................................................................................................................... 78
7.2 Manuelles Management....................................................................................................79
7.2.1 Zertifikate im Einsatz................................................................................................... 79
7.2.2 Zertifizierungsstellen................................................................................................... 79
7.2.3 Angeforderte Zertifikate.............................................................................................. 80
7.2.4 Beispiel: Zertifikat in Gerät hochladen.......................................................................... 81
7.3 Automatisches Enrollment over Secure Transport.............................................................. 82
7.3.1 EST-Server-Konfiguration............................................................................................. 82
7.3.2 Anmeldungskonfiguration........................................................................................... 83
8 Sicherung und Wiederherstellung............................................................................................................. 85

8.1 Allgemein......................................................................................................................... 86
8.2 Archivieren und Dearchivieren eines Projekts.....................................................................87
9 Sicherheitsprotokollierung.........................................................................................................................91
9.1 Übersicht.......................................................................................................................... 92
9.2 Umwelt.............................................................................................................................93
9.3 Konfiguration....................................................................................................................94
9.3.1 Konfiguration der Sicherheitsprotokollierung............................................................... 94
9.3.2 Prüfen der verwendeten syslog-Server......................................................................... 95
9.3.3 Frei definierbare protokollierte Ereignisse.................................................................... 95

C53000-H5000-C081-B, Ausgabe 03.2023
Inhaltsverzeichnis
9.4 Protokollierte Sicherheitsereignisse................................................................................... 97

9.4.1 Protokollierter Inhalt....................................................................................................97
9.4.2 Aufbau eines Eintrags des Sicherheitsmeldepuffers...................................................... 99
9.4.3 Syslog-Ereignisse SIPROTEC 5.......................................................................................99
9.5 Anzeigen der Protokolle.................................................................................................. 107
9.5.1 Windows-Ereignisprotokolle...................................................................................... 107
9.5.2 Auditberichte anzeigen..............................................................................................109
10 Gerätekonfiguration zurücksetzen...........................................................................................................111
10.1 Sichere Anmeldedaten und Zurücksetzen der Konfiguration............................................ 112
10.1.1 Herunterladen der Datei zum Rücksetzen der Sicherheitsanmeldedaten und
Konfiguration (SCRF)................................................................................................. 112
10.1.2 Sicherheitseinstellungen zurücksetzen....................................................................... 112
10.2 Sicheres Zurücksetzen auf die Werkseinstellungen...........................................................114
10.2.1 Herunterladen der Datei zum sicheren Zurücksetzen auf Werkseinstellungen (SFRF)... 114
10.2.2 Zurücksetzen auf die Werkseinstellungen...................................................................114
11 Sicheres Patch-Management....................................................................................................................117
11.1 Allgemein....................................................................................................................... 118
11.2 SIPROTEC 5 Patch-Management...................................................................................... 119
11.3 DIGSI 5 Patch-Management.............................................................................................120
12 Datenschutzbestimmungen..................................................................................................................... 121
A Anhang..................................................................................................................................................... 123
A.1 Signale für die Sicherheit.................................................................................................124
Literaturverzeichnis..................................................................................................................................127
Glossar...................................................................................................................................................... 129
Stichwortverzeichnis................................................................................................................................ 131

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
1 Einführung
1.1 Ziel 12
1.2 Beachtung von Normen 13
1.3 Sicherheitsanforderungen 14
1.4 Sicherheitsdienste 15

C53000-H5000-C081-B, Ausgabe 03.2023
Einführung
1.1 Ziel
1.1 Ziel
In der Vergangenheit waren Rechner funktionelle Inseln mit wenig oder gar keiner Anknüpfung an
andere Geräte. Heute sind alle Rechen-Server, Desktop-Rechner und Automatisierungseinheiten miteinander
verknüpft.
Einerseits schafft dieser Zustand neue Geschäftsmöglichkeiten. Andererseits können diese verknüpften
Komponenten angegriffen werden, zum Beispiel Anwendungen, die nicht für den Einsatz in stark vernetzten
Umgebungen vorgesehen sind.
Der wichtigste Aspekt dieses Handbuches ist der wachsende Einsatz folgender Technologien:
• Rangierbare Standardprotokolle, z.B. IP und TCP
• Verbindung von in der Vergangenheit isolierten Netzwerken, z.B. abgesetzte Stationen
• Standard-Software-Komponenten, z.B. OEM-Betriebssysteme (Original Equipment Manufacture - Original-

hersteller) wie Windows
Das Handbuch bietet Empfehlungen für die sichere Inbetriebnahme und den sicheren Betrieb der SIPROTEC 5-
Geräte in vernetzten Umgebungen.

C53000-H5000-C081-B, Ausgabe 03.2023
Einführung
1.2 Beachtung von Normen
1.2 Beachtung von Normen

Die von Siemens angebotenen Produkte und Technologien berücksichtigen die führenden Normen für die
Cybersecurity. Die wesentlichen Grundlagen für sichere Infrastrukturen sind Normen und Richtlinien wie
IEC 62443, IEC 62351, BDEW Whitepaper, IEEE 1686 und NERC CIP (Critical Infrastructure Protection).

C53000-H5000-C081-B, Ausgabe 03.2023
Einführung
1.3 Sicherheitsanforderungen
1.3 Sicherheitsanforderungen
Die wichtigsten Sicherheitsanforderungen sind:
• Authentifizierung und Autorisierung der Benutzer
• Sicherstellung der Integrität der übertragenen Daten
• Schutz gegen Viren, Trojaner und andere Schadprogramme
• Sammlung und Speicherung von Protokolldateien
• Betrieb des Systems in einer geschützten Umgebung (physische Sicherheit)
• Jeder Benutzer erhält nur die Rechte, die für seine entsprechende Aufgabe erforderlich sind.
• Sicherstellung, dass eine Wiederherstellung nach einem Systemausfall ohne oder nur mit geringen
Datenverlusten möglich ist
• Nur Aktivierung der erforderlichen Dienste und Ports
• Die Netzlast kritischer Systeme ist begrenzt auf das Maß, mit dem die Systeme unter Volllast weiterar-
beiten. So wird zum Beispiel die Anzahl von Broadcasts in den Netzkomponenten begrenzt.

C53000-H5000-C081-B, Ausgabe 03.2023
Einführung
1.4 Sicherheitsdienste
1.4 Sicherheitsdienste
Bei unterschiedlichen CPUs (RJ45) und Kommunikationsmodulen unterscheiden sich die unterstützten Sicher-
heitsdienste. Die folgende Tabelle enthält detaillierte Informationen.
Tabelle 1-1 Unterstützte Dienste in CPUs (RJ45) und Kommunikationsmodulen
CPU-Typen Modultypen
CP100 CP150 CP200 CP300 ETH- ETH- ETH- ETH- ETH-
Sicherheitsdienste
BA-2EL BB-2FO BD-2FO YC-2FO YA-2EL
DIGSI Client-Authentifizie- ■1 ■ ■ ■ ■ ■ ■ ■ ■
rung über TLS
Web-Server über TLS ■ ■ ■ ■ ■ ■ ■ ■ ■
RBAC RADIUS Client ■ ■ – ■ ■ ■ ■ ■ ■
RBAC LDAP Client ■–2 ■ – ■ ■ ■ ■ ■ ■
DDoS-Traffic-Limiter ■ ■ – ■ ■ ■ ■ – –
Ethernet-basierte Dienstein- ■ ■ – ■ ■ ■ ■ ■ ■
schränkung
Syslog über UDP ■ ■ ■ ■ ■ ■ ■ ■ ■
Syslog über TLS – ■ – ■ ■ ■ ■ ■ ■
EST-Client – ■ – ■ ■ ■ ■ ■ ■
IEEE 802.1X Teilnehmer ■ – – – ■ ■ ■ – –
Secure MMS über TLS – ■ – ■ – – ■ ■ ■
Sicherheitsüberwachung – – – – – – ■ – –
über SNMPv3
Asset-Überwachung über – – – – – – ■ – –
SNMPv3
HINWEIS
i Die CPU-Typen CP100 und CP150 sind für nicht modulare SIPROTEC 5-Geräte. Die CPU-Typen CP200 und
CP300 sind für modulare SIPROTEC 5-Geräte.
Die Modultypen ETH-YA-2EL und ETH-YC-2FO sind für SIPROTEC 5 Compact-Geräte. Die anderen Modul-
typen sind für SIPROTEC 5-Geräte.
1 Das Symbol ■ zeigt an, dass der Dienst unterstützt wird.

2 Das Symbol – zeigt an, dass der Dienst nicht unterstützt wird.

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
2 Maßnahmen zur Systemhärtung
2.1 Übersicht 18
2.2 Vorgesehene Betriebsumgebung 19
2.3 Unterstützte LAN-Services 20
2.4 Maßnahmen zur Härtung 22

C53000-H5000-C081-B, Ausgabe 03.2023
Maßnahmen zur Systemhärtung
2.1 Übersicht
2.1 Übersicht
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Härtung bei der IT-Sicherheit
als "[...] die Entfernung aller Software-Komponenten und -funktionen, die für die Erfüllung der gewünschten
Aufgabe durch ein Programm nicht unbedingt erforderlich sind."
In der Praxis erfüllen Härtungsmaßnahmen folgende Ziele:
• Reduzierung der Möglichkeiten zur Ausnutzung von Schwachstellen
• Minimierung möglicher Angriffsmethoden
• Ausschluss eines Angreifers von verfügbaren Werkzeugen im Fall eines erfolgreichen Angriffs
• Minimierung der verfügbaren Rechte des Angreifers im Fall eines erfolgreichen Angriffs
• Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs

Eine Reduzierung der Komplexität und der Wartungsarbeiten am System ist in diesem Sinne ein sekundäres
Ziel der Härtung, das die Handhabbarkeit verbessert und somit Verwaltungsfehler minimiert.

C53000-H5000-C081-B, Ausgabe 03.2023
2.2 Vorgesehene Betriebsumgebung
2.2 Vorgesehene Betriebsumgebung

Siemens empfiehlt das Einspielen der zur Verfügung gestellten Sicherheitsupdates über die entsprechenden
Werkzeuge und dokumentierten Vorgehensweisen, die mit dem Produkt verfügbar sind. Das Einspielen der
Sicherheitsupdates über mehrere Produktinstanzen hinweg kann auch automatisch erfolgen, wenn dies im
Funktionsumfang des Produkts enthalten ist.
Siemens empfiehlt die Validierung aller Sicherheitsupdates vor dem Einspielen und die Überwachung des
Aktualisierungsvorgangs in der Zielumgebung durch geschultes Personal.
Als generelle Sicherheitsmaßnahme empfiehlt Siemens, den Netzwerkzugriff mit angemessenen Maßnahmen
zu schützen (z.B. mit Firewalls, Segmentierung, VPN).
Siemens empfiehlt, die Umgebung gemäß den Betriebsrichtlinien zu konfigurieren, damit die Geräte in einer
geschützten IT-Umgebung betrieben werden. Die empfohlenen Sicherheitsrichtlinien für sichere Unterstati-
onen finden Sie unter https://www.siemens.com/gridsecurity.
Die folgenden Annahmen oder Randbedingungen gelten für die vorgesehene Betriebsumgebung, in denen die
SIPROTEC 5-Geräte gemäß Empfehlungen in diesem Handbuch eingesetzt werden:
• Die Leitstelle kommuniziert nicht direkt mit dem SIPROTEC 5-Gerät.
• Remote-Ethernet-Verbindungen zu Unterstationen sind über VPN (Virtuelles Privates Netzwerk) oder TLS
(Transport Layer Security) gesichert.
• Die Unterstation ist physikalisch gesichert (Sicherheitszone).
• In den SIPROTEC 5-Geräten ist die rollenbasierte Zugriffskontrolle (RBAC) aktiviert.
• Der Zeit-Server ist konfiguriert und die Gerätezeit wurde synchronisiert.
• Die DIGSI 5-Instanzen verwenden für den Aufbau der TLS-Verbindung zu den SIPROTEC 5-Geräten von
Ihrer Zertifizierungsstelle (CA) zugelassene Client-Zertifikate. Weitere Informationen siehe 6.5 DIGSI 5
Client-Authentifizierung.
• Das Protokoll OPC UA PubSub für die IoT‑Konnektivität wird auf einem Kommunikationsmodul aktiviert,
das keine andere prozesskritische Kommunikation unterstützt, z.B. GOOSE/SV.

C53000-H5000-C081-B, Ausgabe 03.2023
2.3 Unterstützte LAN-Services
2.3.1 Verzeichnis der erforderlichen offenen Ports
Tabelle 2-1 Verzeichnis der erforderlichen offenen Ports
Dienst Layer 4- Layer 7- Typischer Client- Typischer Server- Main- Kommu-

Protokoll Protokoll Client Port Server Port board nika-
tions-
modul
DIGSI 5 Protokoll TCP DIGSI 5 DIGSI 5-PC 4410 Automation 4410 – –
zum Automation Protokoll (Stan- License Manager (Stan-
License Manager zum Auto- dard- auf einem sepa- dard-
mation wert) raten Server wert)
License
Manager
DIGSI 5-Protokoll TCP HTTPS DIGSI 5-PC > 1024 SIPROTEC 5 443 ■ ■
zu SIPROTEC 5
Reporting/ TCP IEC 61850 IEC 61850-Client > 1024 SIPROTEC 5 102 ■ ■
IEC 61850/MMS (z.B. SICAM PAS,
SICAM A8000)
Reporting/ TCP IEC 61850 IEC 61850-Client > 1024 SIPROTEC 5 3782 ■ ■
IEC 61850/ (z.B. SICAM PAS,
Secure MMS SICAM A8000)
Zeitsynchronisa- UDP3 SNTP SIPROTEC 5 123 SNTP-Server 123 ■ ■
tion/SNTP
Überwachung UDP SNMPv3 PC mit SNMP- > 1024 SIPROTEC 5 161 – ■
über Simple Client (z.B.
Network Manage- SICAM PAS/
ment Protocol 1703/DIGSI 5-PC/
(SNMPv3) Remote DIGSI 5-
PC)
DNP3i TCP DNP3 TCP SICAM PAS 20000 SIPROTEC 5 20000 – ■
oder
nächster
freier
Port
Synchrozeiger TCP – Phasor-Daten- > 1024 SIPROTEC 5 4712 – ■
UDP konzentrator 4713
MODBUS TCP TCP MODBUS Stationsleitgerät > 1024 SIPROTEC 5 502 – ■
Thermobox UDP RTD Thermobox > 1024 SIPROTEC 5 Kann ■ ■
konfigu-
riert
werden
Syslog-Client UDP – SIPROTEC 5 – Syslog-Server 514 ■ ■
Syslog-TLS-Client TCP TLS SIPROTEC 5 – Syslog-TLS- 6514 ■ ■
Server
RADIUS4-Client UDP – SIPROTEC 5 – RADIUS-Server 1812 ■ ■
OPC UA TCP MQTT SIPROTEC 5 – Broker 8883 – ■
Web-Dienst TCP HTTPS Web Browser – SIPROTEC 5 4443 ■ ■
3 UDP: User Datagram Protocol

4 RADIUS: Remote Authentication Dial-In User Service

C53000-H5000-C081-B, Ausgabe 03.2023
Dienst Layer 4- Layer 7- Typischer Client- Typischer Server- Main- Kommu-

Protokoll Protokoll Client Port Server Port board nika-
tions-
modul
LDAP5-Client TCP LDAP SIPROTEC 5 – LDAP-Server 389 ■ ■
Automatisches TCP EST SIPROTEC 5 > 1024 EST-Server 8083 ■ ■
Zertifikatsma-
nagement mit
EST
Weitere Informationen zu den unterstützten Kommunikationsprotokollen siehe SIPROTEC 5-Handbuch

Kommunikationsprotokolle.
2.3.2 Deaktivierung unnötiger System- und Kommunikationsdienste
Nach Empfang der gelieferten Geräte müssen Sie die Geräte zuerst initialisieren. Erst danach sind die Geräte
betriebsbereit.
Standardmäßig ist nur die Verbindung zu DIGSI 5 im Gerät aktiviert. Alle andere Ethernet-Dienste und -Ports
sind im Gerät standardmäßig deaktiviert und können über DIGSI 5 aktiviert werden. Durch die sichere Stan-
dardkonfiguration gibt es keine offene Schnittstelle für mögliche Angreifer und im Netzwerk sind nur die
Dienste aktiviert, die auch verwendet werden.
Nicht erforderliche Dienste können Sie im Gerät jederzeit über DIGSI 5 deaktivieren.
2.3.3 Diagnose-Homepage
Siemens empfiehlt, die Dienste der Diagnose-Homepage für Handlungen auf dem Mainboard und den
Kommunikationsmodulen nach der Inbetriebnahme zu deaktivieren, da die Diagnose-Dienste weder HTTPS
noch die Zugriffskontrolle unterstützen. Weitere Informationen zur Homepage siehe DIGSI 5 Online-Hilfe.
5 LDAP: Lightweight Directory Access Protocol

C53000-H5000-C081-B, Ausgabe 03.2023
2.4 Maßnahmen zur Härtung
2.4 Maßnahmen zur Härtung

Folgende Maßnahmen zur Systemhärtung kommen zur Anwendung:
• Härtung des Windows-Systems

Die Härtung des Windows-Systems muss gemäß dem Handbuch System Hardening for Substation Auto-
mation and Protection (Systemhärtung für Stationsautomatisierung und Schutz) erfolgen. Dieses Hand-
buch finden Sie auf https://www.siemens.com/gridsecurity unter Downloads Cyber Security → Manuals
→ Secure Substation - Manual.
• Deinstallation oder Deaktivierung unnötiger Software-Komponenten, z.B. Meldungssimulation und Prüf-

werkzeuge für Datenfluss
• Deaktivierung unnötiger System- und Kommunikationsdienste, z.B. Fernbedienung und Fernwartung
• Deaktivierung unnötiger Benutzerkonten
• Aktivierung von Einstellungen zur Verbesserung der Sicherheit
• Beschränkung der Rechte von Benutzern und Programmen
HINWEIS
i Eine Sammlung der Härtungsanleitungen für verschiedene Betriebssysteme, Server-Dienste und Standard-
applikationen finden Sie z.B. beim Center for Internet Security unter http://www.cisecurity.org.

C53000-H5000-C081-B, Ausgabe 03.2023
3 Zugriffskontrolle
3.1 Zugriffskontrolle mit Verbindungspasswort 24

3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 27
3.3 Rollenbasierte Ansichten in DIGSI 5 42
3.4 Notfallzugang 46
3.5 Bannereinstellungen 48

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
3.1 Zugriffskontrolle mit Verbindungspasswort
3.1.1 Einleitung
SIPROTEC 5-Geräte unterstützen die Benutzerauthentifizierung und Funktionen für den Zugriffsschutz auf
sicherheitsrelevante Handlungen und Funktionen. Sie können zwischen der zentralen Role-Based Access
Control (RBAC) und dem gerätespezifischen DIGSI 5-Verbindungspasswort wählen.
Wenn Sie die RBAC-Funktion nicht nutzen möchten, dann richten Sie die Geräte so ein, dass eine Benutzerau-
thentifizierung mit Abfrage des Passworts erfolgt.
Wenn RBAC deaktiviert ist, können Sie zusätzlich Bestätigungscodes einrichten, um unbeabsichtigte sicher-
heitskritische Aktionen auf dem Gerät zu verhindern. Weitere Informationen zum Bestätigungscode siehe
SIPROTEC 5 Betriebsanleitung.
3.1.2 Einstellung des Verbindungspasswortes
Das Verbindungspasswort erfüllt den NERC‑CIP‑Standard (North American Electric Reliability Critical Infrastruc-
ture Protection) und besteht aus folgenden Teilen:
• Kleinbuchstaben
• Großbuchstaben
• Ziffern
• Sonderzeichen, z.B. %, &, $

Das Verbindungspasswort ist 8 bis 24 Zeichen lang. DIGSI 5 prüft die Länge bei der Eingabe.
Standardmäßig ist das Verbindungspasswort leer. Bei der Eingabe eines neuen Verbindungspasswortes
werden die eingegebenen Zeichen mit Sternchen verdeckt. Geben Sie das Passwort zur Bestätigung 2 Mal
ein. Diese Bestätigung vermeidet fehlerhafte Eintragungen.
HINWEIS
i Das Deaktivieren des Verbindungspasswortes bedeutet, dass alle Benutzer über DIGSI 5 oder die browser-
basierte Benutzeroberfläche ohne Authentifizierung unbeschränkten Zugriff auf das Gerät haben. Wenn Sie
dies verhindern wollen, setzen Sie das Verbindungspasswort im Gerät.
[sc_password_connection, 1, de_DE]
Bild 3-1 Einstellfenster für das Verbindungspasswort
Nach Eingabe eines neuen Verbindungspasswortes leitet DIGSI 5 dieses automatisch an das Gerät weiter.
Die Initialisierung des Verbindungspasswortes ist nur über die vordere USB-Schnittstelle oder über eine
Ethernet-Schnittstelle des Gerätes möglich. In beiden Fällen wird das eingegebene Verbindungspasswort
sicher über das TLS-Protokoll an das Gerät übertragen. Das Verbindungspasswort wird weder im DIGSI 5-
Projekt noch anderswo auf dem Windows-PC gespeichert. Es wird als Hash-Wert mit Salt im Gerät hinterlegt.
Ein weiterer Zugang zum Gerät (über DIGSI 5 oder die browser-basierte Benutzeroberfläche) ist nach dem Initi-
alisieren des Verbindungspasswortes nur möglich, wenn Sie das korrekte Verbindungspasswort in den Dialog
von DIGSI 5 eingeben, während die Verbindung mit dem Gerät hergestellt wird. Dieses Vorgehen verhindert
einen nicht autorisierten Zugriff. Siemens empfiehlt, das Verbindungspasswort nach der Initialisierung zu
überprüfen.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
Sie können das Verbindungspasswort online über eine Ethernet-Verbindung ändern. Nach Eingabe des bishe-
rigen Verbindungspasswortes und wiederholter Eingabe des neuen Verbindungspasswortes wird die Ände-
rung im Gerät übernommen.
3.1.3 Authentifizierung und Verbindungspasswort während des Betriebs
Der 1. Ablauf zwischen DIGSI 5 und dem Gerät ist ein Authentifizierungsverfahren basierend auf dem TLS 1.2-
Protokoll, in dem digitale Zertifikate zwischen DIGSI 5 und dem Gerät ausgetauscht werden. Dieses Verfahren
gewährleistet, dass nur DIGSI 5 vollen technischen Zugang zu einem SIPROTEC 5-Gerät haben kann. Wenn
andere Anwendungen zugreifen wollen, werden sie blockiert.
Nach der TLS-Authentifizierung fragt das SIPROTEC 5-Gerät das Verbindungspasswort ab, wenn eines im Gerät
eingestellt wurde.
Für den Zugriff auf das Gerät ist das richtige Verbindungspasswort erforderlich. Die Eingabe eines falschen
Passworts wird im Sicherheitsmeldepuffer aufgezeichnet. Bei fünfmaliger falscher Eingabe des Verbindungs-
passwortes wird der Zugriff auf das Gerät 5 Minuten lang blockiert. Auch diese Handlungen werden im
Sicherheitsmeldepuffer des Gerätes aufgezeichnet.
Ein Sitzungsmanager in DIGSI 5 überwacht 30 Minuten lang alle Passwörter und die für die Identifikation
relevanten Eingaben.
3.1.4 Verbindungspasswort zurücksetzen und deaktivieren
Wenn Sie die Einstellung des Verbindungspasswortes vor der Deaktivierung vergessen, müssen Sie es zurück-
setzen.
Verbindungspasswort für ein Gerät mit einer Anzeige zurücksetzen

Gehen Sie wie folgt vor:
² Wechseln Sie im Hauptmenü des Gerätes zum Menü Gerätefunktionen.
² Rufen Sie den Menüeintrag Sicherheit > PW zurücksetzen auf.
² Bestätigen Sie das Rücksetzen des Passwortes mit dem Softkey Ok.
– oder –
² Brechen Sie den Vorgang mit Verlass. ab.
² Geben Sie den Bestätigungscode 222222 ein und bestätigen Sie mit Enter.
² Geben Sie folgenden Tastaturkurzbefehl als Recovery-Code ein:
<1>, <2>, <3>, <4>, <5>, <6>, <FN>+<1>, <FN>+<2>, <FN>+<3>, <FN>+<4>, <FN>+<5> und <FN>+<6>
HINWEIS
i Beachten Sie, dass die Zeitüberschreitung zwischen den Tastenaktionen 1 s beträgt.
Verbindungspasswort für Geräte ohne Anzeige oder Geräte im Fallback-Modus zurücksetzen

² Schalten Sie das Gerät spannungsfrei.
² Entfernen Sie die Batterie des Gerätes und warten Sie 2 Minuten.
² Setzen Sie die Batterie in das Gerät ein.
² Schließen Sie das Gerät an die Spannungsversorgung an.
Das Verbindungspasswort ist zurückgesetzt.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
HINWEIS
i Haben Sie das Verbindungspasswort vergessen, müssen Sie es vor seiner Deaktivierung zurücksetzen.
Verbindungspasswort auf einem Gerät deaktivieren

² Wechseln Sie im Hauptmenü des Gerätes zum Menü Gerätefunktionen.
² Rufen Sie den Menüeintrag Sicherheit > PW ein/ausschalt. auf.
² Geben Sie den Bestätigungscode 222222 ein.
² Deaktivieren Sie das Verbindungspasswort.
HINWEIS
i Wenn die Gerätebatterie nicht mehr funktioniert oder entnommen wurde, wird das Verbindungspasswort
nach dem Neustart des Gerätes deaktiviert.
Verbindungspasswort in DIGSI 5 deaktivieren

² Geben Sie in DIGSI 5 das korrekte Verbindungspasswort ein.
DIGSI 5 wird mit dem Gerät verbunden.
² Navigieren Sie zu Gerät > Sicherheit > Betriebssicherheits- und Zugriffskontrolle.
² Entfernen Sie die Markierung für die Betriebsart Verbinde DIGSI 5 mit dem SIPROTEC 5-Gerät im
Abschnitt Passwort für die sichere Verbindung.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
3.2 Role-Based Access Control (RBAC) in SIPROTEC 5
3.2.1 Übersicht
Die RBAC-Funktion kann aktiviert werden, um den sicheren Zugriff auf ein SIPROTEC 5-Gerät zur Durchfüh-
rung sicherheitsrelevanter Operationen und Funktionen zu gewährleisten. Nach der Aktivierung werden alle
Benutzer bei jedem Zugriffsversuch über ihre zentral verwalteten Benutzerkonten eindeutig authentifiziert.
[dw_authentication_server, 2, de_DE]
Bild 3-2 Authentifizierungsserver
SIPROTEC 5-Geräte unterstützen RBAC mit vordefinierten, normbasierten Rollen. Benutzerkonten werden
Rollen zugeordnet und diese Rollen erhalten Rechte entsprechend ihrer Funktionen.
Die Zuweisung zwischen Benutzern und Rollen wird in einem Authentifizierungsserver festgelegt. Die Zuwei-
sung von Rechten zu Rollen ist in den Sicherheitseinstellungen des SIPROTEC 5-Gerätes vordefiniert.
SIPROTEC 5-Geräte erfüllen folgende Anforderungen:
• Standardrollen und Zuweisung von Rollen zu Rechten gemäß der Normen IEC 62351-8 und IEEE 1686
• Standardrollen und -rechte der Empfehlungen des BDEW-Whitepaper
• Zentrale Verwaltung von Benutzerkonten, Rollen und Verantwortungsbereichen (Area of Responsibility,

AoR) auf einem Authentifizierungsserver
• Offline-/Notfallzugang zu Benutzerkonto bei Unerreichbarkeit des Authentifizierungsservers

Sie können RBAC für ein SIPROTEC 5-Gerät mit DIGSI 5 aktivieren oder deaktivieren. Weitere Informationen
finden Sie in 3.2.2.2 Aktivierung von Authentifizierungsservern.
HINWEIS
i Wenn RBAC deaktiviert ist, können Sie das Gerät mit dem Verbindungspasswort gegen unbefugten Zugriff
schützen und mit Bestätigungscodes können Sie ungewollte sicherheitskritische Aktionen verhindern.
Weitere Informationen finden Sie in 3.1.4 Verbindungspasswort zurücksetzen und deaktivieren.
3.2.2 Authentifizierungsserver
3.2.2.1 Allgemein
Die Hauptaufgaben der Authentifizierungsserver sind die Benutzerauthentifizierung und die Verwaltung der
Benutzerzugriffsrechte. Die Client-Implementierung ist in der Firmware des SIPROTEC 5-Gerätes integriert.
Ein SIPROTEC 5-Gerät sendet den Benutzernamen und das Passwort an einen Authentifizierungsserver. Mit
einem eindeutigen Benutzernamen und Passwort prüft der Authentifizierungsserver die Angaben des sich
verbindenden Benutzers auf Richtigkeit. Wenn der Benutzer eindeutig identifiziert wird, erfolgt über die
Autorisierung die Zuweisung der Zugriffsrechte. Der Benutzer erhält die jeweiligen Zugriffsrechte auf Daten
oder Dienste des SIPROTEC 5-Gerätes.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
Außerdem werden die folgenden Informationen der Zugriffsversuche für spätere Analysen aufgezeichnet
(Audit-Trail):
• Verbindungsversuche
• Benutzername und Rolleninformationen
• Zeitpunkt der Anmeldung

Weitere Informationen zu den aufgezeichneten Sicherheitsereignissen siehe 9.4.3 Syslog-Ereignisse SIPROTEC
5.
[dw_connection_radius-server, 3, de_DE]
Bild 3-3 Verbindung zwischen Gerät und Authentifizierungsservern
3.2.2.2 Aktivierung von Authentifizierungsservern

² Öffnen Sie ein Projekt in DIGSI 5.
² Öffnen Sie in der Projektnavigation den Menüeintrag Sicherheit.
² Doppelklicken Sie auf den Menüeintrag Betriebssicherheits- und Zugriffskontrolle.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
[sc_project-tree_rbac, 2, de_DE]
Bild 3-4 Projektnavigation
² Wenn das Verbindungspasswort im Abschnitt Bestätigungscodes und Verbindungspasswort aktiviert

ist, muss es deaktiviert werden.
[sc_deactivate_connection_password, 1, de_DE]
Bild 3-5 Verbindungspasswort deaktivieren
² Aktivieren Sie RBAC mit RADIUS- oder LDAP-Funktion.
[sc_rbac_select, 4, de_DE]
Bild 3-6 RADIUS einschalten

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
[sc_LDAP_RADIUS_enabled, 1, de_DE]
Bild 3-7 LDAP einschalten
HINWEIS
i Bei der Aktivierung von RBAC wird der Notfallzugang nicht standardmäßig eingeschaltet. Zur Benutzung
des Notfallkontos zuerst das Notfallpasswort konfigurieren.
3.2.2.3 Konfiguration der RADIUS-Server-Verbindung

Nehmen Sie zum Aufbau einer Verbindung zwischen dem SIPROTEC 5-Gerät und einem als Authentifizierungs-
server fungierenden RADIUS-Server folgende Einstellungen in DIGSI 5 vor.
[sc_radius-server, 2, de_DE]
Bild 3-8 Konfigurationsbeispiel eines RADIUS-Servers in DIGSI 5
Parametername Beschreibung
Server A
IP-Adresse IP-Adresse des zu verbindenden RADIUS-Servers
Server UDP-Port Port-Nummer des zu verbindenden RADIUS-Servers
Modulsteckplatz Port des Gerätes, über den das SIPROTEC 5-Gerät mit dem RADIUS-Server
kommuniziert
PSK Schlüssel Schlüssel zur Authentifizierung und zum Schutz der Kommunikation
zwischen RADIUS-Server und Gerät
Beim Laden der Konfiguration prüft das Gerät, ob der PSK Schlüssel mit dem
im RADIUS-Server angegebenen Schlüssel übereinstimmt.
Server B
Sek. Server aktivieren Mit diesem Kontrollkästchen aktivieren bzw. deaktivieren Sie Server B.
Bei Verwendung eines neuen RADIUS-Servers muss beim alten und neuen RADIUS-Server der SECADM für
das Konto identisch sein. Weitere Informationen zum SECADM des Kontos finden Sie im Kapitel 3.2.6 Grundle-
gende Eigenschaften der Zuweisung von Rechten und unterstützten Rollen.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
Wenn das Attribut ValidFrom gemäß IEC 62351‑8 im RADIUS-Server konfiguriert wurde, muss der Wert
dieses Attributs dem Format JJJJMMTTHHMMSSZ (Jahr, Monat, Tag, Stunde, Minute, Sekunde, Zulu-Zeitzone)
folgen und größer sein als 19700101000000Z. Ansonsten schlägt die Benutzerauthentifizierung fehl.
3.2.2.4 Konfigurationen für die LDAP-Server-Verbindung

Zum Aufbau einer Verbindung zwischen einem SIPROTEC 5-Gerät und einem LDAP-Server über das Protokoll
StartTLS über Port 389, konfigurieren Sie die folgenden Parameter in DIGSI 5.
[sc_LDAP, 2, de_DE]
Bild 3-9 Beispiel für eine LDAP-Server-Konfiguration in DIGSI 5
SIPROTEC 5-Geräte unterstützen 2 Typen von Benutzerzertifikaten: End-Entity-Zertifikate und Attributzertifi-

kate. Die importierten Benutzerzertifikate können unterschiedlichen Typs sein.
Tabelle 3-1 Erläuterungen zu LDAP-bezogenen Parametern in DIGSI 5
Parameternamen Beschreibungen
Allgemein
TLS-Verbingung CA Zertifizierungsstelle, die das LDAP-Server-Zertifikat für die TLS-Verbindung
zwischen SIPROTEC 5-Gerät und LDAP-Server ausgibt
Benutzer-Quell-CA Die Zertifizierungsstelle, die die Zwischenzertifizierungsstellen für Benutzer
erstellt oder die Benutzerzertifikate ausstellt
Benutzer-Zwisch.-CA/AA Zwischenzertifizierungsstelle für Benutzer oder Attributinstanz
• Wenn Sie den Standardwert Nicht konfiguriert beibehalten,

erfolgen Ausstellung und Authentifizierung der Benutzerzertifikate
durch die eingestellte Benutzer-Quell-CA.
• Wenn Sie den Parameter Benutzer-Zwisch.-CA/AA setzen, um
Benutzerzertifikate auszustellen, muss die Authentifizierung der ausge-
stellten Benutzerzertifikate von der Zwischenzertifizierungsstelle für
Benutzer oder der Attributinstanz vorgenommen werden.
Bei Attributzertifikaten ist der Parameter obligatorisch.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
Verwende DN für Login Mit diesem Kontrollkästchen blenden Sie den Parameter Übergeordneter
NutzerDN ein oder aus.
Bei LDAP-Bindungszeichenketten sind die Unterschiede wie folgt:
• Häkchen beim Parameter entfernen

Die LDAP-Bindungszeichenketten haben die Form <Benutzername>.
• Häkchen beim Parameter setzen
Die LDAP-Bindungszeichenketten haben die Form <Benutzer-
name>,<Übergeordneter NutzerDN>.
Wenn Sie beispielsweise den Parameter Übergeordneter Nutz-
erDN gemäß Bild 3-9 einstellen und der Benutzername 258 lautet,
dann lautet die LDAP-Bindungszeichenkette cn=258, CN=Users,
DC=siprotectest, DC=com.
Setzen Sie im Falle von LDAP-Servern, die auf der Software OpenLDAP
basieren, das Häkchen bei dem Parameter.
Übergeordneter NutzerDN Übergeordneter eindeutiger Name eines authentifizierten Benutzers
Wenn das Betriebssystem des LDAP-Servers Linux ist, ist der Parameter obli-
gatorisch.
Basis suchen Ort, an dem die Suche im LDAP-Server startet
AN/HN prüfen Mit diesem Kontrollkästchen können Sie die Prüfung des CN (Common
Name) in den End-Entity-Zertifikaten oder des HN (Holder Name) in den
Attributzertifikaten aktivieren oder deaktivieren.
Primärer Server
IP-Adresse IP-Adresse des LDAP-Servers, der verbunden werden soll
Geräte-Port Geräte-Port, über den das SIPROTEC 5-Gerät mit dem LDAP-Server kommu-
niziert
Backup-Server
Aktivieren Kontrollkästchen zum Aktivieren oder Deaktivieren des Backup-Servers
HINWEIS
i Siemens hat Attributzertifikate nur im PULL-Mode des Microsoft-Produkts Active Directory getestet.
Bei Verwendung eines neuen LDAP-Servers müssen das Konto SECADM des alten und neuen LDAP-Servers
übereinstimmen. Weitere Informationen zum Konto SECADM siehe 3.2.6 Grundlegende Eigenschaften der
Zuweisung von Rechten und unterstützten Rollen.
3.2.3 Anmeldeversuche
Um eine sichere Anmeldung mit Notfallkonto oder mit zwischengespeicherten Benutzerdaten sicherzustellen,
bietet DIGSI 5 die folgenden Parameter. Für die Behandlung von dezentralen Anmeldeversuchen können Sie
die entsprechenden Parameter in den Authentifizierungsservern konfigurieren.
• Max. Anmeldeversuche
Mit diesem Parameter legen Sie die maximale Anzahl aufeinanderfolgender Anmeldeversuche für einen
Benutzer fest.
• Zeitraum
Mit diesem Parameter legen Sie den Zeitraum fest, nach dem die Anzahl der Anmeldeversuche nach dem
letzten nicht erfolgreichen Versuch wieder zurück auf 0 gesetzt wird.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
• Blockierdauer
Mit diesem Parameter legen Sie die Zeitdauer fest, für die das Gerät nach Erreichen der maximalen
Anzahl an Anmeldeversuchen blockiert wird.
Bei einer Anmeldung mit falschen Zugangsdaten werden die Anmeldeversuche gezählt. Wenn die maxi-
male Anzahl an Anmeldeversuchen erreicht wird, ist eine Anmeldung für die eingestellte Blockier-
dauer nicht möglich. Wenn diese Blockierdauer abgelaufen ist, können weitere Anmeldeversuche
vorgenommen werden.
[sc_logon_attempts, 2, de_DE]
Bild 3-10 Anmeldeversuche
HINWEIS
i Unter folgenden Bedingungen sind keine Anmeldeversuche möglich:
• Die Anmeldung wird blockiert.
• Die Gerätezeit ist nicht mit einem zentralen Zeit-Server synchronisiert und liegt vor der Gesamtzeit von
Anmeldeblockierung und Blockierdauer.
3.2.4 Benutzerpuffergröße
Bei Aktivierung der Benutzerpuffer-Funktion der RBAC speichert das Gerät die Anmeldedaten von Benutzern,
die durch den Authentifizierungsserver erfolgreich authentifiziert wurden. Bei Unterbrechung der Verbindung
des Authentifizierungsservers können sich diese Benutzer mit den hinterlegten Anmeldedaten anmelden und
das Gerät mit ihren hinterlegten Rollen bedienen. Bei erfolgreicher Anmeldung eines Benutzers aktualisiert
das Gerät den entsprechenden Eintrag im Benutzerpuffer mit den neuesten Anmeldeinformationen (Benutzer-
name und Passwort mit Hash) und der Rolle/den Rollen.
Mit dem Parameter Benutzerpuffergröße definieren Sie die maximale Anzahl hinterlegter Benutzer-
konten. Der Benutzerpuffer kann durch Einstellen der Größe auf 0 deaktiviert werden.
HINWEIS
i Wenn die SIPROTEC 5-Kommunikationsmodule zur RBAC-Authentifizierung verwendet werden, dann setzen
Sie die Puffergröße auf mindestens 1.
[sc_rbac_user_cache, 2, de_DE]
Bild 3-11 Benutzerpuffereinstellungen
3.2.5 Sicherheitseinstellungen laden
Laden Sie die Sicherheitseinstellungen nach der erfolgten Konfiguration der RBAC in das SIPROTEC 5-Gerät.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
HINWEIS
i Nur Benutzerkonten mit der Rolle SECADM oder Administrator sind berechtigt, Sicherheitseinstellungen auf
ein Gerät aufzuspielen.
Laden der Sicherheitseinstellungen

² Wählen Sie in der Projektnavigation das Gerät aus.
² Klicken Sie mit der rechten Maustaste auf das Gerät.
² Wählen Sie im neu geöffneten Kontextmenü Sicherheitseinstellungen in Gerät laden.
[sc_secutrans, 1, de_DE]
Bild 3-12 Menüauswahl Sicherheitseinstellungen in Gerät laden
Wenn RBAC aktiviert ist, erscheint der folgende Anmeldedialog:
[sc_logondev, 2, de_DE]
Bild 3-13 Am Gerät anmelden
² Geben Sie den Benutzernamen ein.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
² Geben Sie das Passwort ein.

² Klicken Sie auf die Schaltfläche Anmelden.
Die Übertragung der Sicherheitseinstellungen in das Gerät beginnt. Wenn das Gerät die Sicherheitseinstel-
lungen empfangen hat, prüft dieses die Einstellungen des Authentifizierungsservers durch einen Authentifi-
zierungsversuch mit dem eingegebenen Benutzernamen und Passwort. Das Gerät akzeptiert die Sicherheits-
einstellungen nur, wenn die Authentifizierung erfolgreich war. Schließlich wird das Übertragungsergebnis
angezeigt.
² Bestätigen Sie das Ergebnis mit OK.
Die Sicherheitseinstellungen wurden nun im Gerät aktiviert.
HINWEIS
i Die Übertragung der Sicherheitseinstellungen funktioniert nur, wenn mindestens einer der konfigurierten
Authentifizierungsserver erreichbar ist.
Wenn kein Authentifizierungsserver verfügbar ist, weist das Gerät die Sicherheitseinstellungen zurück. Die
im Cache zwischengespeicherten Anmeldedaten von Sicherheitsadministratoren oder Administratoren sind
hierfür nicht anwendbar.
3.2.6 Grundlegende Eigenschaften der Zuweisung von Rechten und unterstützten

Rollen
Eine Rolle ist eine Kombination von Rechten, die für das SIPROTEC 5-Gerät definiert wurden. Eine Rolle
kann einem Benutzer in verschiedenen Kontexten zugewiesen werden. Die Rollen eines Benutzers in einem
bestimmten Kontext bestimmen, welche Aktionen der Benutzer am SIPROTEC 5-Gerät durchführen kann und
welche nicht.
Die folgenden Tabellen geben eine Übersicht über die grundlegenden Eigenschaften der Rechte und unter-
stützten Rollen gemäß:
• IEEE 1686
• BDEW Whitepaper
• Norm IEC 62351-8
• Betriebsbedingte Anforderungen von SIPROTEC 5
HINWEIS
i Sie können die Sicherheitseinstellungen unabhängig von Ihren Zugriffsrechten nicht über die Bedieneinheit
des Gerätes ändern.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
Rollen in DIGSI 5
Tabelle 3-2 Generelle Zuweisung von Rechten und unterstützten Rollen in DIGSI 5
Rechte Funktion der Rechte Zuweisung von unterstützten Rollen
OPERATOR6 + ENGINEER
SECAUD7 + ENGINEER
Administrator
INSTALLER
ENGINEER
SECADM
VIEWER
Keine Anzeige allgemeiner Informationen
■ ■ ■ ■ ■ ■ ■
auf dem IED
View data Betriebsdaten auf dem IED anzeigen – ■ ■ ■ – ■ ■
Force values • Werte ändern
• Istwerte überschreiben – ■ – – – – ■
• Einen Prozess auslösen
Change CFG Konfiguration ändern/herunter-
– ■ ■ ■ – ■ ■
laden/hochladen
Change FW Firmware ändern – – – ■ – – ■
Audit trail Audit-Trail – – – – – ■ ■
Security manage- Sicherheitsfunktionen verwalten und
– – – – ■ – ■
ment ausführen
Rollen auf der browser-basierten Benutzeroberfläche
Tabelle 3-3 Generelle Zuweisung von Rechten und unterstützten Rollen für die browser-basierte
Benutzeroberfläche

SECAUD9 + ENGINEER
Administrator
INSTALLER
ENGINEER
SECADM
VIEWER

■ ■ ■ ■ ■ ■ ■
auf dem IED
View data Betriebsdaten auf dem IED anzeigen – ■ ■ ■ – ■ ■
6 In DIGSI 5 kann mit der Rolle OPERATOR allein nicht gearbeitet werden.
7 In DIGSI 5 kann mit der Rolle SECAUD allein nicht gearbeitet werden.
8 In der browserbasierten Benutzeroberfläche kann mit der Rolle OPERATOR allein nicht gearbeitet werden.
9 In der browserbasierten Benutzeroberfläche kann mit der Rolle SECAUD allein nicht gearbeitet werden.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
SECAUD9 + ENGINEER
Administrator
INSTALLER
ENGINEER
SECADM
VIEWER
Change CFG Konfiguration ändern/herunter-
– ■ ■ ■ – ■ ■
laden/hochladen
Rollen an dem Vor-Ort-Gerät
Tabelle 3-4 Generelle Zuweisung von Rechten und unterstützten Rollen auf den Vor-Ort-Geräten
OPERATOR
INSTALLER
ENGINEER
SECADM
SECAUD
VIEWER
ADMIN
■ ■ ■ ■ ■ ■ ■
auf dem IED
View data Betriebsdaten auf dem IED anzeigen ■ ■ ■ ■ ■10 ■10 ■
View CFG settings Konfigurationseinstellungen am IED
■ ■ ■ ■ ■ – ■
anzeigen
Change CFG Konfiguration ändern – – ■ ■ – – ■
Change FW Firmware ändern – – – – – – –
Audit trail Audit trail – – – – – ■ ■
Security manage- Sicherheitsfunktionen verwalten und
– – – – – – –
ment ausführen
HINWEIS
i Die ID der Rolle des Administrators ist FFFF8460 (hexadezimal) oder -31648 (dezimal).
Zusätzliche unterstützte Rollen

Zusätzlich zu den normbasierten Rollen sind die folgenden zusätzlichen unterstützten Rollen verfügbar. Diese
Rollen gelten für bekannte Operationen des Gerätes mit deaktiviertem RBAC, zum Beispiel Schutz gegen
unabsichtliche Operationen durch Bestätigungscodes.
8 In der browserbasierten Benutzeroberfläche kann mit der Rolle OPERATOR allein nicht gearbeitet werden.
9 In der browserbasierten Benutzeroberfläche kann mit der Rolle SECAUD allein nicht gearbeitet werden.
10 Protokolle sind ausgeschlossen.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
Rollen Hexadezimale IDs Dezimale IDs

OPERATOR_SWITCHING FFFFFF9A -102
SWITCHING_AUTHORITY FFFFFF99 -103
INTERLOCKING_MODE FFFFFF98 -104
Benutzernamen, denen die zusätzlichen unterstützten Rollen zugewiesen wurden, können nur auf den Vor-
Ort-Geräten verwendet werden. Um solche Benutzernamen verwenden zu können, müssen Sie diese zuerst
auf dem Authentifizierungsserver konfigurieren. Weitere Informationen zur Konfiguration des Authentifizie-
rungsservers finden Sie im Download-Bereich unter http://www.siemens.com/gridsecurity > Cyber Security
Products and Solutions > Cyber Security General Downloads > Application Notes.
Tabelle 3-5 Generelle Zuweisung von Rechten und zusätzlichen unterstützten Rollen auf den Vor-Ort-
Geräten
Rechte Funktion der Rechte Zuweisung von zusätzlichen unter-

stützten Rollen
SWITCHING_AUTHORITY
OPERATOR_SWITCHING
INTERLOCKING_MODE
Keine Anzeige allgemeiner Informationen auf
■ ■ ■
dem IED
View data Betriebsdaten auf dem IED anzeigen ■ ■ ■
View CFG settings Konfigurationseinstellungen am IED
■ ■ ■
anzeigen
• Istwerte überschreiben ■ ■ ■
Change authority Ändern der Rolle Switching Authority – ■ –
Change interlock Ändern der Rolle Interlocking Mode
– – ■
mode

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
3.2.7 Benutzernamen an den Vor-Ort-Geräten
An den Vor-Ort-Geräten gibt es 2 Arten von Benutzernamen:
• Standard-Benutzernamen
SIPROTEC 5-Geräte werden mit den folgenden vordefinierten Benutzernamen für die Anmeldung
ausschließlich an der Bedieneinheit des Gerätes ausgeliefert. Diese Benutzernamen werden mit den von
den SIPROTEC 5-Geräten unterstützten Rollen verknüpft:
– VIEWER
– OPERATOR
– ENGINEER
– INSTALLER
– SECADM
– SECAUD
– OPERATOR_SWITCHING
– SWITCHING_AUTHORITY
– INTERLOCKING_MODE
– ADMIN
• Benutzerdefinierte Benutzernamen
An den Vor-Ort-Geräten können Sie sich mit individuellen numerischen Benutzernamen und numerischen
Passwörtern anmelden, die wie andere Benutzerkonten auf dem zentralen Authentifizierungsserver
verwaltet werden. Solche Benutzernamen werden durch Auswahl der Option USER_ID auf der Anmelde-
seite der Vor-Ort-Geräte eingegeben.
Bei der Konfiguration dieser Benutzernamen auf dem Authentifizierungsserver ist Folgendes zu beachten:
– Die Benutzernamen und Passwörter sind rein numerisch.
– Der Benutzername ist 1 bis 8 Ziffern lang.
– Das Passwort ist 1 bis 16 Ziffern lang.
HINWEIS
i Die benutzerdefinierten Benutzernamen können nur an der Bedieneinheit des Gerätes verwendet werden
und nicht in DIGSI 5 oder auf der browser-basierten Benutzeroberfläche. Stellen Sie dazu das Feld Zustän-
digkeitsbereich (aor) wie folgt ein:
• Setzen Sie das Feld aor für die Standard-Benutzernamen auf einen beliebigen Wert. Die maximale
Länge des Felds aor beträgt 49 Zeichen.
• Für die benutzerdefinierten Benutzernamen setzen Sie das Feld aor auf dem Authentifizierungsserver
auf *:local.
[sc_user_cfg_RADIUS, 1, --_--]
Bild 3-14 Konfiguration der Benutzer auf dem Authentifizierungsserver

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
3.2.8 Anmeldung am Gerät über die Bedieneinheit des Gerätes
Benutzerauthentifizierung und -autorisierung beginnen mit dem SIPROTEC 5-Gerät. In diesem Fall ist das Gerät
der Authentifizierungs-Client und sendet eine Zugriffsanfrage an den Authentifizierungsserver.
Diese Anfrage enthält die Anmeldedaten des Benutzers.
Anmeldung am Gerät
² Drücken Sie auf den Softkey Anmeld. am Gerät.
Im unteren Bereich des Geräte-Displays erscheint eine Auswahl der Benutzernamen.
[sc_login, 2, de_DE]
Bild 3-15 Benutzernamenliste
² Nutzen Sie die Navigationstasten nach oben oder unten und wählen Sie den gewünschten Benutzer-
namen aus oder geben Sie eine Benutzer-ID ein.
² Bestätigen Sie Ihre Auswahl durch Drücken des Softkeys OK.
Sie werden zur Eingabe des Passwortes aufgefordert.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
[sc_enter_passcode, 2, de_DE]
Bild 3-16 Seite zur Eingabe des Passwortes
² Geben Sie das numerische Passwort ein.

² Schließen Sie Ihre Eingabe mit dem Softkey Enter ab.
HINWEIS
i Wenn die Nachricht Blocked by another client (Blockiert durch anderen Client) angezeigt wird,
warten Sie eine Minute lang und melden sich dann noch einmal an.
Weitere Informationen zum Anmelden am Gerät über DIGSI 5 finden Sie in der DIGSI Online-Hilfe.
3.2.9 Anmelden ohne Authentifizierung
Wollen Sie mit dem Benutzernamen VIEWER und ohne Anmeldedaten auf ein Gerät zugreifen, wählen Sie den
Parameter Ohne Authentifizierung in DIGSI 5.
[sc_no_authentication, 1, de_DE]
Bild 3-17 Authentifizierungskonfiguration für Benutzernamen VIEWER
Der Parameter ist standardmäßig nicht aktiviert.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
3.3 Rollenbasierte Ansichten in DIGSI 5

Mit dieser Funktion von DIGSI 5 wird die Benutzeroberfläche an die jeweilige Rolle angepasst, mit der sich der
Benutzer bei der Windows-Sitzung angemeldet hat. Beim Start von DIGSI 5 werden Ihr Benutzername gemäß
der Windows-Anmeldungssitzung und Ihre unterstützte(n) Rolle(n) oben rechts auf der Benutzeroberfläche
von DIGSI 5 angezeigt. Diese Funktion ist am besten für die Benutzerkonten geeignet, die zentral in einem
Microsoft Active Directory Domänen-Controller verwaltet werden. Ein zentral verwaltetes Benutzerkonto kann
einer oder mehreren zentral definierten Benutzergruppe(n) hinzugefügt werden, die dann als die Rollen, die
von DIGSI 5 erkannt werden, verwendet werden.
Im Allgemeinen werden die Rollen über den Security Administrator im Active Directory (AD) konfiguriert.
Folgende Gruppennamen müssen bei der Konfiguration der verschiedenen Rollen im Active Directory
verwendet werden:
DIGSI Active Directory (AD)
Administrator SIEMENS ADMIN
Engineer IEC ENGINEER
Security Administrator IEC SECADM
Installer IEC INSTALLER
Viewer IEC VIEWER
Wenn die unterstützte Windows-Rolle (Benutzergruppe in Active Directory) auf Ihrem PC mit der folgenden
Liste von in DIGSI 5 vordefinierten Rollen übereinstimmt, wird der entsprechende Rollenname mit dem Benut-
zernamen angezeigt:
• Administrator:
Benutzer mit dieser Rolle können die gesamte DIGSI 5-Benutzeroberfläche einsehen (die einzige verfüg-
bare Benutzeroberflächenoption für Versionen vor DIGSI 5 V7.90).
• Engineer:
Benutzer mit dieser Rolle haben Zugriff auf alle Funktionen, außer auf die Funktionen zum Verwalten von
Sicherheit, Firmware- und Gerätetreibern.
• Installer:
Benutzer mit dieser Rolle haben Zugriff auf alle Funktionen, außer auf die Funktionen zum Verwalten von
Sicherheitsoptionen.
• Security Administrator:
Benutzer mit dieser Rolle können die Sicherheitsoptionen verwalten, die übrigen Geräteeinstellungen
aber nur einsehen.
• Viewer:
Benutzer mit dieser Rolle können die Gerätekonfiguration einsehen, diese aber nicht bearbeiten oder auf
die Sicherheitseinstellungen zugreifen.
Wenn die unterstützte Windows-Rolle keiner der vordefinierten, von DIGSI 5 unterstützten Rollen entspricht,
wird standardmäßig der Rollenname Administrator angezeigt. Wenn Sie Ihren Zugriff auf DIGSI 5-Funktionen
dennoch einschränken wollen, um versehentliche Änderungen am Projekt zu verhindern, können Sie manuell
eine spezifische Rolle für die aktuelle DIGSI 5-Sitzung auswählen. Klicken Sie dazu auf den Benutzernamen
oder die unterstützte Rolle, um den Dialog Rolle(n) auswählen zu öffnen und die erforderliche Rolle auszu-
wählen. Die mit jeder Rolle verbundenen Berechtigungen sind im Dialog Rolle(n) auswählen aufgeführt.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
[sc_digsi_user_roles, 2, de_DE]
Die ausgewählten Rollen werden dann auf der DIGSI 5-Benutzeroberfläche auf dieselbe Weise übernommen,
wie sie vom Gerät auf dem Display übernommen werden (nur lesen, lesen und schreiben, ausblenden).
Das folgende Bild zeigt die Unterschiede in der angezeigten Benutzeroberfläche bei Anmeldung mit unter-
schiedlichen unterstützten Rollen (Administrator und Engineer). Der als Engineer angemeldete Benutzer hat
keinen Zugriff auf Sicherheitseinstellungen und kann auch die Firmware- oder Gerätetreiber nicht verwalten.
[sc_digsi_admin_engineer_view, 1, de_DE]
Unterstützte Rollen und Rechte
Aktion ADMIN ENGINEER INSTALLER VIEWER SECADM

Gerätetreiber importieren J N J N N
Gerätetreiber deinstallieren J N J N N
Drucken und Druckvorschau J J J J N
Konsistenz prüfen J J J J N
Exportieren J J N J J
Importieren J J N N N
Bearbeiten – umbenennen, ausschneiden, J J N N J
einfügen, löschen

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle

Bearbeiten – kopieren J J J J J
Projekt erstellen/löschen J J N N J
Projekt archivieren J J J J J
Projekt speichern J J N N J
Projekt speichern unter J J J J J
Single-Line-Editor S S L L N
Neues Gerät hinzufügen J J N N N
Geräte- und Netzwerk-Editor S S L L N
Konfiguration in Geräte laden J J N N N
Firmware in Geräte laden J N J N N
IEC-Station J J N N N
Editor Hardware und Protokolle S S L L L
Neue Display-Seite hinzufügen J J N N N
Neue Testsequenz hinzufügen J J N N N
Geräteinformations-Editor S S L L L
Editor für Messstellenrangierung S S L L N
Editor für Funktionsgruppenverbindungen S S L L N
Editor für Informationsrangierung S S L L N
Editor für Kommunikationszuordnung S S L L N
Editor für Parameter S S L L N
Editor für Schreiberinteraktion S S L L N
Editor für Störfallanzeige-Konfiguration S S L L N
Editor für Schalterinteraktion S S L L N
Displayseiten-Editor S S L L N
Zeiteinstellungen-Editor S S L L L
Schreibersignalbestellung S S L L N
Geräteeinstellungen-Editor S S L L L
Netzzugangssicherheit S N N N S
Editor für Security-Ereignisprotokollierung S N N N S
Betriebssicherheits- und Zugriffskontrolle S N N N S
Geräte zuordnen und Zuordnung aufheben J J N N N
Firmware online laden und Konfiguration J J N N N
laden
Auf Werkseinstellungen zurücksetzen, S N N N J
Anmeldedaten sicher zurücksetzen und SCF
in Gerät laden
SCRF, SFRF herunterladen und gespeicherte J J N N J
Anmeldedaten entfernen
Prozessdaten abrufen J J N N N
Schutzfunktionen J N N N N
Prozessdatenzugriff S L L L N
Online – SLE S S L L N
Online – Geräteinformations-Editor
Online – Geräteinformations-Editor: Geräte- S S L L L
information
Online – Geräteinformations-Editor: L L L L L
Ressourcenverbrauch

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle

Registerkarte Meldepuffer
Online – Geräteinformations-Editor: Geräte- S S L L L
diagnosepuffer
Online – Geräteinformations-Editor: Sicher- L N N N L
heitsmeldepuffer
Online – Geräteinformations-Editor: Diagno- L L L L L
seinformationen
Legende
J Ja
N Nein
S Schreibzugriff
L Lesezugriff
Unterstützte Rollen zwischen Offline- und Online-Konfiguration umschalten
• Unabhängig davon, welche Rollen für den/von dem Benutzer bei der Offline-Arbeit mit DIGSI 5 ange-
wendet werden, wird die Benutzeroberfläche von DIGSI 5 beim erfolgreichen Anmelden an einem RBAC-
Gerät ggf. angepasst, um der Rolle/den Rollen zu entsprechen, die vom Gerät für den angemeldeten
Benutzer ermittelt wurde(n). Nach dem Verbindungsaufbau mit einem RBAC-Gerät wird der Zustand
der Projektnavigation und der Menüs/Symbolleisten-Schaltflächen gemäß der/den unterstützten Online-
Rolle(n) aktualisiert und alle geöffneten Editoren werden geschlossen. Außerdem wird die unterstützte
Online-Rolle oben rechts auf der Benutzeroberfläche von DIGSI angezeigt.
• Wenn der Benutzer die gespeicherten Online-Anmeldedaten in DIGSI 5 löscht oder die Online-Sitzung
abläuft, werden die Online-Rollen des Benutzers beibehalten.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
3.4 Notfallzugang
3.4 Notfallzugang
Benutzernamen für Notfallzugang
Wenn der Zugriff auf das Gerät erforderlich ist, aber die Verbindung zum RBAC-Server unterbrochen ist, steht
ein Notfallzugang zur Verfügung. Sie können sich mit den folgenden Benutzernamen zu diesem Zweck
anmelden:
Benutzername Rolle11 Verbindungsmodus Einschränkung

EMERGENCYUSER_DIGSI ADMIN Remote Diese Benutzernamen sind
EMERGENCYUSER ADMIN Vor-Ort spezifisch für den Notfallzu-
gang. Verwenden Sie diese
REMOTEEMERGENCY- VIEWER Remote
nicht in den Authentifizierungs-
VIEWER
servern.
EMERGENCYVIEWER VIEWER Vor-Ort
Der Notfallzugang ist nicht standardmäßig eingeschaltet. Zur Konfiguration des Notfallzugangs ist die Rolle
des Sicherheitsadministrators erforderlich. Siemens empfiehlt die Konfiguration des Notfallzugangs für DIGSI 5
bei der Inbetriebnahme des Gerätes oder der Konfiguration der Cybersecurity-Parameter.
HINWEIS
i Für Geräte ab V8.83 müssen Sie für die Konfiguration des Notfallzugangs die neueste DIGSI 5-Version
verwenden.
Notfallkonto aktivieren
• Starten Sie DIGSI 5.
• Öffnen Sie das Projekt in DIGSI 5.
• Wechseln Sie in der Projektnavigation zum Menüeintrag Sicherheit.
• Doppelklicken Sie auf den Menüeintrag Betriebssicherheits- und Zugriffskontrolle.
• Klicken Sie unter Emergency Account Settings auf Konfigurieren.
Mit der Schaltfläche zum Aktualisieren können Sie den Status des Notfallskontos im Gerät überprüfen:
Status Beschreibung
Ja Das Notfallkonto ist konfiguriert.
Nein Das Notfallkonto ist nicht konfiguriert.
Unbekannt Das Notfallkonto ist nicht konfiguriert oder DIGSI 5 liest nicht den neuesten Status des
Notfallkontos vom Gerät.
11 Weitere Informationen über die Rollen siehe 3.2.6 Grundlegende Eigenschaften der Zuweisung von Rechten und unterstützten
Rollen.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
3.4 Notfallzugang
• Geben Sie die HMI- und Remote-Passwörter ein.
[sc_set_emergency_password, 4, de_DE]
Bild 3-18 Dialog zur Eingabe der Notfallpasswörter
Typ Länge Einschränkung

HMI-Passwort 6 bis 16 Ziffern Kann nur am Gerät an der Bedieneinheit eingegeben werden
Remote-Passwort 8 bis 16 Zeichen Kann über DIGSI 5 und die browser-basierte Benutzeroberfläche
eingegeben werden
Die Passwörter müssen Groß- und Kleinbuchstaben, Zahlen und
Sonderzeichen enthalten.
• Bestätigen Sie die Eingaben mit OK.

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
3.5 Bannereinstellungen
Aus Sicherheitsgründen können Sie in der Rolle eines SECADM oder ADMIN die Funktion Bannereinstell
aktivieren und eine Meldung über Projekt > Zielgerät > Sicherheit > Handlungssicherheit und Zugriffskon-
trolle in DIGSI 5 eingeben. Wenn Sie dann versuchen, sich über DIGSI 5 oder über die Bedieneinheit des
Gerätes am Gerät anzumelden, können Sie sehen, dass ein Banner erscheint.
[sc_banner setting, 1, de_DE]
Bild 3-19 Konfiguration der Bannereinstellung
Die maximale Meldungslänge ist 128 Zeichen. Wenn Sie die Funktion Bannereinstell aktivieren, kann die
Meldung nicht leer sein. Sie können den Inhalt selbst festlegen. Zum Beispiel:
• Die Systemnutzung kann überwacht, aufgezeichnet und einem Audit unterzogen werden.
• Die unbefugte Nutzung des Systems ist verboten und kann straf- oder zivilrechtlich geahndet werden.
• Die Nutzung des Systems bedeutet Zustimmung zu Überwachung und Aufzeichnung.
[sc_banner-pop, 2, de_DE]
Bild 3-20 Bannermeldung in DIGSI 5

C53000-H5000-C081-B, Ausgabe 03.2023
Zugriffskontrolle
[sc_Banner HMI, 1, --_--]
Bild 3-21 Bannermeldung am Geräte-Display
Der Anmeldevorgang wird fortgesetzt, wenn Sie in DIGSI 5 auf Ja klicken oder den Softkey Ok auf der
Bedieneinheit des Gerätes drücken. Andernfalls wird der Anmeldevorgang abgelehnt.

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
4 Malware-Schutz
4.1 Übersicht 52
4.2 Malware-Schutz für Engineering-Software 53
4.3 Integritätsprüfung der heruntergeladenen Datei 54

C53000-H5000-C081-B, Ausgabe 03.2023
Malware-Schutz
4.1 Übersicht
4.1 Übersicht
SIPROTEC 5-Geräte basieren auf dem Betriebssystem VxWorks, für das kein spezielles Antivirenprogramm
erhältlich ist. Außerdem verfügen SIPROTEC 5-Geräte über eine interne Firewall zum Schutz vor Angriffen über
das Netzwerk. Zur Verbesserung des Schutzes ist die Firewall standardmäßig aktiviert.
Sie können nur digital signierte Firmware-Dateien in das Gerät laden und die Geräte vor manipulierten oder
fehlerhaften Firmware-Dateien schützen. Das Gerät akzeptiert nur signierte Firmware-Dateien und signierte
Hardware-Konfigurationen. Die Signierung erfolgt sicher in den Siemens-Produktionsstätten mit der Siemens-
internen Public-Key-Infrastruktur für Produkte.
Außerdem werden Viren normalerweise per E‑Mail übertragen, beim Surfen im Internet oder durch infizierte
Wechseldatenträger. SIPROTEC 5-Geräte sind für diese Infektionswege nicht anfällig.
Die Authentifizierung zwischen DIGSI 5 und dem Gerät mit digitalen Zertifikaten hindert Anwendungen
außer DIGSI 5 daran, die Gerätekonfiguration zu ändern oder auf sie zuzugreifen. Weitere Informationen
über die Ausgabe eigener Zertifikate für die Autorisierung von DIGSI 5-Installationen und die Interaktion mit
SIPROTEC 5-Geräten siehe Kapitel 6.5 DIGSI 5 Client-Authentifizierung.

C53000-H5000-C081-B, Ausgabe 03.2023
Malware-Schutz
4.2 Malware-Schutz für Engineering-Software
4.2 Malware-Schutz für Engineering-Software

Die PC-basierte Engineering-Software für SIPROTEC-Geräte – DIGSI 5 – wird zum Schutz ihrer Integrität mit
einem signierten Installationsprogramm installiert. Siemens prüft regelmäßig die Kompatibilität neuer Anti-
virus-Muster mit der neuesten Version von DIGSI und erstattet Bericht. Diese Berichte können jeden Monat im
Internet abgerufen werden und beinhalten auch die Ergebnisse der Prüfung der Kompatibilität von Microsoft
Windows-Patches. Außerdem wird jede Version von DIGSI 5 vor der Auslieferung gegen eine Vielzahl von
Antiviren-Scannern getestet.
Die DIGSI-Software wird auch auf Kompatibilität mit Whitelisting-Applikationslösungen geprüft, wobei nur
zugelassene Software ausgeführt werden darf. Schadprogramme, die nach Aktivierung des Whitelisting-
Schutzes auftreten, können nicht ausgeführt werden. Der Vorteil der Whitelisting-Applikation für geschützte
und isolierte Unterstationsnetzwerke ist, dass die Antiviren-Muster für neu entdeckte Schadprogramme nicht
sofort aktualisiert werden müssen.
Mit diesen Schritten werden SIPROTEC 5-Geräte und DIGSI 5 in der Zielumgebung sicherer und zuverlässiger.

C53000-H5000-C081-B, Ausgabe 03.2023
Malware-Schutz
4.3 Integritätsprüfung der heruntergeladenen Datei
4.3 Integritätsprüfung der heruntergeladenen Datei

Sie können auch die Integrität der SIPROTEC Firmware- und Software-Dateien prüfen, die auf dem von
Siemens unterstützten Portal heruntergeladen werden können. Für jede herunterladbare Firmware- und Soft-
ware-Datei wird der entsprechende SHA‑256-Fingerprint im Internet veröffentlicht12.
Tools wie Certutil in Microsoft Windows können für folgende Zwecke verwendet werden:
• Erzeugen des SHA‑256-Fingerprints für die Datei, die Sie herunterladen.
• Prüfen, ob der SHA‑256-Fingerprint mit dem veröffentlichten Fingerprint zur Verifizierung der Integrität
der Datei übereinstimmt.
12 http://www.siemens.com/gridsecurity -> Product Security -> Downloads -> Software

C53000-H5000-C081-B, Ausgabe 03.2023
5 Schutz gegen DoS-Angriffe
5.1 Traffic-Begrenzer 56
5.2 Überlastschutz 57

C53000-H5000-C081-B, Ausgabe 03.2023
Schutz gegen DoS-Angriffe
5.1 Traffic-Begrenzer
5.1 Traffic-Begrenzer
Der Traffic-Begrenzer arbeitet auf der Ebene der IP‑Verbindung. Derzeit werden nur IP-basierte TCP-, UDP- und
ICMP-Verbindungen unterstützt.
Der Traffic-Begrenzer prüft die Verbindungen in einem 1‑Sekunden-Intervall.
Wenn die Verbindungen die gleiche IP-Adresse, den gleichen Port und den gleichen Protokolltyp aufweisen
und die Anzahl der spezifischen Verbindungen den oberen Schwellwert überschreitet (siehe Tabelle 5-1),
werden diese Verbindungen nicht mehr aufrecht erhalten. Wenn die Anzahl der spezifischen Verbindungen
den unteren Schwellwert unterschreitet, nimmt das Gerät diese Verbindungen wieder an.
Wenn die Gesamtanzahl aller Verbindungen den Schwellwert für die Gesamtanzahl überschreitet, hält das
Gerät keine Verbindung mehr aufrecht.
Tabelle 5-1 Schwellwerte
CPU/Modultyp Min. Schwellwert13 Max. Schwellwert13 Gesamtschwellwert

CP100 (Port J) 2400 4000 8000
CP300 (Port J) 2400 4000 8000
ETH-BB-2FO 2400 4000 8000
ETH-BD-2FO
ETH-BA-2EL 300 500 1000
HINWEIS
i Derzeit kann ein SIPROTEC 5-Gerät 32 Verbindungen gleichzeitig nachverfolgen.
13 Die Einheit ist Frames pro Sekunde

C53000-H5000-C081-B, Ausgabe 03.2023
Schutz gegen DoS-Angriffe
5.2 Überlastschutz
5.2 Überlastschutz
Die Schicht Überlastschutz arbeitet auf der Ebene des Ethernet-Treibers.
Diese Schicht zählt die eingehenden Ethernet-Frames. Wenn die Anzahl der Frames den Schwellwert über-
schreitet (siehe Tabelle 5-2), stoppt die Schicht die Verarbeitung der Frames zur nächsten Schicht des Stacks.
Diese Maßnahme dient dazu, die Gerätefunktionalität zu gewährleisten und zu verhindern, dass der Netzwerk-
Stack die Echtzeitschutzfunktionen stört, indem er zu viele CPU‑Zyklen in Anspruch nimmt.
Auf verschiedenen CPUs (Typ J) und Kommunikationsmodulen verhält sich die Schicht Überlastschutz unter-
schiedlich.
• CP150 (Port J), CP300 (Port J), ETH-YA-2EL und ETH-YC-2FO

Die Schicht Überlastschutz prüft die Grenze in einem Millisekunden‑Intervall, um eine minimale Reakti-
onszeit bei einer möglichen Überlast zu gewährleisten. Wenn die Anzahl an Frames in einer Millisekunde
größer als der Schwellwert ist, hält das gesamte Gerät in Unterlast sofort die Verarbeitung an.
Ein Leaky‑Bucket-Modell wird verwendet, um die Frames über ein 250‑ms-Intervall zu mitteln.
• CP100 (Port J), ETH-BB-2FO, ETH-BD-2FO und ETH-BA-2EL

Wenn ein Frame eintrifft, prüft die Schicht die Grenze anhand der Zeit zwischen 2 Unterbrechungen, die
von der Netzwerk-Hardware verursacht werden.
Tabelle 5-2 Schwellwerte
CPU/Modultyp Schwellwert14
CP100 (Port J) 11000
CP150 (Port J) 5632
CP300 (Port J)
ETH-YA-2EL
ETH-YC-2FO
ETH-BB-2FO 8000
ETH-BD-2FO
ETH-BA-2EL 2500
14 Die Einheit ist Frames pro Sekunde.

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
6 Kommunikationssicherheit
6.1 Zugriffsbeschränkungen für Ethernet anwenden 60

6.2 Konfigurationen für IEC 61850 Secure MMS 61
6.3 Sicherheit von Interaktionen zwischen Web-Browser und Gerät 63
6.4 DIGSI 5-Server-Authentifizierung 66
6.5 DIGSI 5 Client-Authentifizierung 68
6.6 Zertifikatauthentifizierung gemäß IEEE 802.1X 75

C53000-H5000-C081-B, Ausgabe 03.2023
Kommunikationssicherheit
6.1 Zugriffsbeschränkungen für Ethernet anwenden
6.1 Zugriffsbeschränkungen für Ethernet anwenden

Über die Sicherheitseinstellungen können Sie die Zugriffsrechte einer DIGSI 5-Verbindung für die einzelnen
Ethernet-Schnittstellen (z.B. Port J, USB-Port oder Ethernet-Kommunikationsmodul) einschränken.
HINWEIS
i • Wenn das Gerät über ein Ethernet-Kommunikationsmodul verfügt, können Sie auch Port E, Port F,
Port N oder Port P verwenden.
• Unabhängig von der Zugriffseinschränkung für den USB‑Port gibt es keine Auswirkungen auf das
sichere Zurücksetzen des Gerätekonfigurationsdienstes.
Sie können die Sicherheitsparameter in DIGSI 5 in der Projektnavigation unter Sicherheit > Netzzugangssi-
cherheit einstellen.
Sie können folgende Zugriffsrechte einstellen:
• Kein Zugriff
Keine DIGSI-Kommunikation über diese Schnittstelle möglich.
• Lesezugriff
Über diese Schnittstelle haben Sie nur Lesezugriff auf das Gerät.
• Lese- und Schreibzugriff

Über diese Schnittstelle sind Lese- und Schreibzugriffe möglich.

C53000-H5000-C081-B, Ausgabe 03.2023
6.2 Konfigurationen für IEC 61850 Secure MMS

Sichere Kommunikation ist eine Hauptanforderung für Unterstationen gemäß IEC 62351. Für sichere MMS
gibt es 2 Profile: direkte TLS-Verbindungen sowie die durchgängige Verschlüsselung. In den Profilen ist die
Verschlüsselung Teil der Schichten der MMS-Verbindung.
SIPROTEC 5-Geräte unterstützen direkte TLS-Verbindungen.
So konfigurieren Sie direkte TLS-Verbindungen:
² Aktivieren und konfigurieren Sie IEC 61850 im Dialog Hardware und Protokolle.
² Navigieren Sie in der Projektnavigation zu Sicherheit > Netzwerkzugangssicherheit.
[sc_network_access_security, 1, de_DE]
Jede aktivierte IEC 61850-Schnittstelle wird mit dem Standardwert Nicht verschlüsselt aufgelistet.
Die Standardeinstellung ist der Standard-Kompatibilitätsmodus mit TCP-Kommunikation über den unverschlüs-
selten Port 102.
[sc_Secure_MMS, 1, de_DE]
² Um den sicheren Modus mit sicherer TLS-Kommunikation über den Port 3782 zu aktivieren, stellen Sie
die Schnittstelle auf TLS verschlüsselt ein.
[sc_Secure_MMS_settings, 1, de_DE]
² Wählen Sie aus der Auswahlliste Trusted CA die vertrauenswürdige Zertifizierungsstelle aus, die der
Client für die eingehende TLS-Verbindung verwendet.
In der Auswahlliste sind die Zertifizierungsstellen aufgeführt, die Sie unter Werkzeuge > Certificate
authorities (CA) verwalten im DIGSI 5 CA-Speicher hinzufügen.
² Markieren Sie das Kontrollkästchen erlaube unverschl. Mod..
Mit diesem Kontrollkästchen aktivieren Sie die unverschlüsselte Kommunikation über Port 102 parallel
zur konfigurierten verschlüsselten Kommunikation über Port 3782.
Um sicherzustellen, dass die gegenseitige Authentifizierung des zugrunde liegenden TLS-Kanals konfiguriert
und ordnungsgemäß durchgeführt werden kann, gehen Sie nach dem Abschluss der Sicherheitseinstellungen
wie folgt vor:

C53000-H5000-C081-B, Ausgabe 03.2023
² Laden Sie die CSR-Datei aus der Web-UI herunter. Weitere Informationen siehe 7.2.3 Angeforderte Zertifi-
kate.
² Signieren Sie die heruntergeladene CSR-Datei mit der vertrauenswürdigen Zertifizierungsstelle.
² Laden Sie die signierte CSR-Datei wieder in das Gerät hoch.
Sie können alternativ EST verwenden, um automatisch die von der Zertifizierungsstelle signierten MMS-Server-
Zertifikate abzurufen, ohne die CSR-Datei herunterzuladen und manuell zu signieren. Weitere Informationen
zu EST siehe 7.3 Automatisches Enrollment over Secure Transport.

C53000-H5000-C081-B, Ausgabe 03.2023
6.3 Sicherheit von Interaktionen zwischen Web-Browser und Gerät

Abgesehen vom Einsatz des Engineering-Werkzeugs DIGSI 5 für die Konfiguration und Wartung verfügen
SIPROTEC 5-Geräte über ein Web-Front-End, das mit einem Standard-Web-Browser genutzt werden kann.
Dies ist in Kapitel Bedienen mit browser-basierter Benutzeroberfläche im SIPROTEC 5-Betriebshandbuch
beschrieben.
HINWEIS
i Sie können das SIPROTEC 5-Gerät parallel über DIGSI 5 und über die browser-basierte Benutzeroberfläche
bedienen.
Vor der Bedienung des Gerätes über einen Web-Browser müssen Sie zuerst die Sicherheitseinstellungen
überprüfen. Weitere Informationen siehe 6.1 Zugriffsbeschränkungen für Ethernet anwenden.
So bedienen Sie das Gerät über die browser-basierte Benutzeroberfläche:
• Schließen Sie das SIPROTEC 5-Gerät (zum Beispiel Port J) mit einem Netzwerkkabel an Ihren PC an.
Legen Sie zur Verbesserung der Verbindungssicherheit in DIGSI unter Netzzugangssicherheit folgende
Zugriffseinstellungen fest:
[sc_web_access, 1, de_DE]
Bild 6-1 Sicherheitseinstellungen in DIGSI
HINWEIS
i Notieren Sie die IP-Adresse und die Port-Nummer der Schnittstelle, die für die Kommunikation von PC und
browser-basierter Benutzeroberfläche verwendet wird. Stellen Sie sicher, dass die 12-stellige IP-Adresse
für den Web-Browser korrekt im Format ***.***.***.*** über DIGSI eingestellt wurde.
• Starten Sie den Web-Browser auf Ihrem PC.
• Geben Sie die IP-Adresse des Gerätes in die Adresszeile des Web-Browsers ein, gefolgt von der Port-
Nummer 4443, zum Beispiel https://172.16.60.60:4443, und bestätigen Sie den Eintrag mit der Enter-
Taste.
HINWEIS
i Manche Web-Browser haben eventuell Probleme mit der Verbindung zur angegebenen IP-Adresse des
Gerätes. Löschen Sie in diesem Fall das entsprechende Zertifikat im Web-Browser.
Je nach Sicherheitskonfiguration des SIPROTEC 5-Gerätes sind folgende Anmeldedialoge verfügbar:
• Variante 1:
Wenn Sie ein Verbindungspasswort unter Betriebssicherheits- und Zugriffskontrolle in DIGSI 5 einge-
geben haben, beginnt der Anmeldedialog mit dem Benutzernamen Siprotec 5. Dieser Benutzername
kann nicht geändert werden. Sie müssen das in DIGSI konfigurierte Verbindungspasswort verwenden.

C53000-H5000-C081-B, Ausgabe 03.2023
• Variante 2:
Wenn Sie Role-Based Access Control unter Betriebssicherheits- und Zugriffskontrolle in DIGSI 5 konfi-
guriert haben, beginnt der Anmeldedialog mit der Abfrage des von Ihnen im Authentifizierungsserver
konfigurierten Benutzernamens und Passworts.
• Variante 3:
Wenn Sie nicht Role-Based Access Control und kein Verbindungspasswort konfiguriert haben, beginnt der
Anmeldedialog mit dem Benutzernamen Siprotec 5. Dieser Benutzername kann nicht geändert werden.
Das Texteingabefeld für das Passwort muss leer gelassen werden.
Wenn der Web-Browser erfolgreich mit dem Gerät verbunden wurde, wird der folgende Anmeldedialog (für
Variante 2) angezeigt, zum Beispiel:
[sc_web_monitor, 1, de_DE]
Bild 6-2 Anmeldedialog für die browser-basierte Benutzeroberfläche
• Geben Sie den Benutzernamen in das Texteingabefeld User name (Benutzername) ein.
• Klicken Sie in das Texteingabefeld Password (Passwort) und geben Sie das Passwort ein.
• Wählen Sie die Sprache.

Die Sprachauswahl hängt von der für die Benutzeroberfläche des Geräts eingestellten Sprache ab.
HINWEIS
i Bei aktiver RBAC ist der Zugriff nur nach erfolgreicher Authentifizierung des Benutzernamens und Passworts
möglich. Weitere Informationen siehe 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5.
• Klicken Sie auf die Schaltfläche mit dem Häkchen.
[scwebmonitor_enter, 1, --_--]
Bild 6-3 Schaltfläche zur Bestätigung

C53000-H5000-C081-B, Ausgabe 03.2023
Nach erfolgreicher Anmeldung stehen folgende Schaltflächen zur Verfügung:
[sc_web_UI, 1, de_DE]
Bild 6-4 Schaltflächen für die browser-basierte Benutzeroberfläche
Sie können die entsprechenden Bereiche anzeigen oder diese durch Klicken auf die verschiedenen Schaltflä-
chen bearbeiten.
Zeitüberschreitung
HINWEIS
i Wenn innerhalb eines festgelegten Zeitraums keine Benutzeraktion auf der browser-basierten Benutzer-
oberfläche verzeichnet wird, wird die Verbindung vom Web-Browser zum Gerät getrennt.
Die folgende Meldung wird angezeigt:
[sc_web_monitor_session_timeout, 1, de_DE]
Bild 6-5 Zeitüberschreitung
Nach Ablauf einer bestimmten Zeit müssen Sie sich erneut über den Web-Browser am Gerät anmelden.

C53000-H5000-C081-B, Ausgabe 03.2023
6.4 DIGSI 5-Server-Authentifizierung
6.4.1 Allgemeine Informationen
Mit der Funktion DIGSI Server-Authentifizierung können Sie Ihre eigenen Server-Zertifikate in einem
SIPROTEC 5-Gerät für die sichere Kommunikation zwischen DIGSI 5 und dem SIPROTEC 5-Gerät verwenden.
Wenn DIGSI 5 eine Verbindung mit einem SIPROTEC 5-Gerät aufbaut, übergibt das Gerät sein digitales Server-
Zertifikat zur Authentifizierung an DIGSI 5. DIGSI 5 validiert die Signatur und die Information zum Aussteller
des Server-Zertifikats mit einer Kunden-Zertifizierungsstelle, die in der Registerkarte DIGSI 5 CA-Speicher
oderWindows System CA-Speicher aufgeführt ist.
Wenn Sie möchten, dass Ihr SIPROTEC 5-Gerät Ihre eigenen Server-Zertifikate anstelle der voreingestellten
Zertifikate von Siemens verwendet, benötigen Sie eine Public Key Infrastructure (PKI) mit einer betriebsbe-
reiten Zertifizierungsstelle für die Erstellung oder digitale Signierung solcher Client-Zertifikate. Weitere Infor-
mationen zur Installation einer PKI für Ihre betrieblichen Anforderungen siehe SICAM GridPass-Handbuch
(www.siemens.com/sicam-gridpass).
6.4.2 Konfigurationen im DIGSI 5 CA-Speicher
Um eigene Server-Zertifikate zu verwenden, müssen Sie DIGSI 5 zuerst das entsprechende Zertifikat der
ausgebenden Zertifizierungsstelle mitteilen.
Um diesen Schritt auszuführen, müssen Sie Ihre ausgebende Zertifizierungsstelle zum DIGSI 5 CA-Speicher
hinzufügen. Der DIGSI 5 CA-Speicher verwaltet eine Liste von Zertifizierungsstellen, die zur Validierung der
dem Gerätezertifikat zugehörigen Zertifikatskette verwendet werden können.
Sie erreichen den DIGSI 5 CA-Speicher über das Menü Werkzeuge > Certificate Authorities (CA) verwalten:
[sc_manage_CA, 1, de_DE]
Sie haben 2 Möglichkeiten, eine bestehende Zertifizierungsstelle zum DIGSI 5 CA-Speicher hinzuzufügen:
• Die Zertifizierungsstelle aus der Registerkarte Windows System CA-Speicher importieren
• Die Zertifizierungsstelle aus einer Datei importieren
Eine Zertifizierungsstelle aus dem Windows System CA-Speicher importieren

² Wenn Sie Ihre ausgebende Zertifizierungsstelle bereits im Betriebssystem installiert haben, können Sie sie
aus dem Windows System CA-Speicher in DIGSI 5 importieren. Öffnen Sie die Registerkarte Windows
System CA-Speicher und wählen Sie die Zertifizierungsstelle aus, die Sie dem DIGSI 5 CA-Speicher
hinzufügen möchten.
² Klicken Sie die Schaltfläche .
Eine Zertifizierungsstelle aus einer Datei importieren

Sie können das Zertifikat Ihrer ausgebenden Zertifizierungsstelle auch aus einer Datei importieren:
² Öffnen Sie die Registerkarte DIGSI 5 CA-Speicher und klicken Sie die Schaltfläche .
Ein Datei-Browser wird angezeigt.

C53000-H5000-C081-B, Ausgabe 03.2023
² Wählen Sie die CA-Datei aus, die Sie importieren möchten, und bestätigen Sie Ihre Aktion, um die
CA-Datei in den DIGSI 5 CA-Speicher zu importieren.
In beiden Fällen wird im Erfolgsfall die importierte Zertifizierungsstelle in der Liste DIGSI 5 CA-Speicher mit
einem Statussymbol angezeigt, das den Ablaufstatus des ausgewählten Zertifikats der ausgebenden Zertifizie-
rungsstelle angibt:
Symbol Erklärung
Die Zertifizierungsstelle ist noch mehr als 180 Tage lang gültig.
Die Zertifizierungsstelle läuft innerhalb der nächsten 180 Tage ab.
Die Zertifizierungsstelle ist abgelaufen und daher nicht mehr gültig.
HINWEIS
i Derzeit können bis zu 8 Zertifizierungsstellen im DIGSI 5 CA-Speicher verwaltet werden. Entfernen Sie
nicht verwendete Zertifizierungsstellen manuell, bevor Sie weitere Zertifizierungsstellen hinzufügen.
Nach dem Importieren der Zertifizierungsstelle überprüft DIGSI 5 das Serverzertifikat bei der Verbindung zum
Gerät. Wenn die Authentifizierung fehlschlägt, zeigt DIGSI 5 die folgende Meldung an:
[sc_DIGSI_auth_failure, 1, de_DE]
Bild 6-6 Beispiel einer fehlgeschlagenen DIGSI Authentifizierung
Eine Zertifizierungsstelle im DIGSI 5 CA-Speicher löschen

² Um eine Zertifizierungsstelle aus dem DIGSI 5 CA-Speicher zu entfernen, wählen Sie die Zertifizierungs-
stelle in der Liste aus und klicken Sie die Schaltfläche .
Wenn die Zertifizierungsstelle im geöffneten Projekt bereits mit einem Gerät oder mehreren Geräten
verknüpft ist, wird eine Warnung angezeigt, wenn Sie sie entfernen möchten.

C53000-H5000-C081-B, Ausgabe 03.2023
6.5 DIGSI 5 Client-Authentifizierung
6.5.1 Allgemeine Informationen
Mit der neuen Funktion DIGSI Client-Authentifizierung können Sie in DIGSI 5 eigene digitale Zertifikate für
die sichere Kommunikation zwischen DIGSI 5 und dem SIPROTEC 5-Gerät verwenden.
Sobald diese Funktion eingerichtet wurde, ist eine Verbindung zu einem Gerät mit der Standardversion von
DIGSI 5 über das eingebettete voreingestellte Client-Zertifikat von Siemens nicht mehr möglich. Dies verhin-
dert den Zugriff von unberechtigten Windows-Benutzer mit DIGSI 5-Installation auf einsatzfähige SIPROTEC 5-
Geräte.
[dw_schematic-representation_this_security-feature, 1, de_DE]
Bild 6-7 Schematische Darstellung der Sicherheitsfunktion
1 Installation von Client-Zertifikaten, die vom Kunden erstellt wurden, im Windows-Benutzerkonto

(Client-Autorisierung).
2 Installation der Kunden-CA, die für die Signierung des DIGSI 5 Client-Zertifikats im Gerät
verwendet wird
Neu: Nur solche DIGSI 5-Installationen sind zulässig, die sich mittels von Kunden-CA signierten
Zertifikaten verbinden.
2a Geräteseitiger Support für Role-Based Access Control einschließlich zentraler Benutzerverwaltung
und Notfallzugang (Funktion wie gehabt)
2b Aufzeichnung sicherheitsrelevanter Ereignisse und Alarme über Syslog und Aufzeichnung in
permanenten Sicherheitsmeldepuffern im Gerät (Funktion wie gehabt)

C53000-H5000-C081-B, Ausgabe 03.2023
2c Bestätigungscodes für sicherheitskritische Handlungen (Funktion wie gehabt)

3 Kommunikation mit gegenseitiger Authentifizierung und Verschlüsselung zwischen DIGSI 5 und
dem SIPROTEC 5-Gerät
Beim Aufbau der Verbindung mit einem SIPROTEC 5-Gerät übergibt DIGSI 5 sein digitales Client-Zertifikat an
das Gerät zur Authentifizierung. Wenn Sie für Ihre DIGSI 5-Installation statt der Siemens-Standardzertifikate
ein eigenes Client-Zertifikat verwenden möchten, benötigen Sie eine PKI mit einer betriebsbereiten CA für
die Erstellung oder digitale Signierung solcher Client-Zertifikate. Weitere Informationen zur Installation einer
PKI für Ihre betrieblichen Anforderungen finden Sie im Handbuch SICAM GridPass (www.siemens.com/sicam-
gridpass).
Vor der Verwendung der Funktion zur Client-Authentifizierung in DIGSI müssen Sie zuerst die Windows-Benut-
zerkonten, die für die Verwendung von DIGSI 5 autorisiert sind, konfigurieren und entsprechend auch die
SIPROTEC 5-Geräte.
Um die neue Funktion DIGSI Client-Authentifizierung zu konfigurieren, gehen Sie wie folgt vor:
• Richten Sie einen DIGSI 5 CA-Store ein.
• Konfigurieren Sie die Sicherheitsfunktion DIGSI 5 Client-Authentifizierung.
• Verifizieren Sie die konfigurierte CA über einen Web-Browser.

Weitere Informationen zu diesen Schritten finden Sie in den folgenden Kapiteln.
6.5.2 Konfiguration
6.5.2.1 DIGSI 5 CA-Speicher einrichten

Um eigene Client-Zertifikate zu verwenden, müssen Sie DIGSI 5 zuerst das entsprechende Zertifikat der
ausgebenden Zertifizierungsstelle mitteilen.
6.5.2.2 Konfiguration der Sicherheitsfunktion DIGSI 5 Client-Authentifizierung
HINWEIS
i Wenn Sie ein Projekt mit einer CA geöffnet haben, die derzeit nicht in diesem CA-Store enthalten ist, wird
automatisch eine konfigurierte CA zum DIGSI CA-Store hinzugefügt. Dies gilt auch für Online-Verbindungen
zu bestehenden Geräten.
Sie müssen Ihre Geräte so konfigurieren, dass diese mit Ihren Client-Zertifikaten ausschließlich DIGSI 5-Verbin-
dungsanfragen akzeptieren.
So konfigurieren Sie die DIGSI Client-Authentifizierung für ein Gerät:
² Wählen Sie in der Projektnavigation das entsprechende Gerät aus, navigieren Sie zu Sicherheit und
wählen Sie Netzzugangssicherheit:
[sc_network_access_security, 1, de_DE]
Folgende Informationen werden dargestellt:
[sc_client_authentication, 1, de_DE]

C53000-H5000-C081-B, Ausgabe 03.2023
² Wählen Sie aus der Auswahlliste Trusted CA die für Ihre DIGSI 5 Client-Zertifikate verwendete Zertifizie-
rungsstelle.
In dieser Auswahlliste werden die Zertifizierungsstellen angezeigt, die im DIGSI 5 CA-Speicher derzeit
importiert sind (siehe 6.5.2.1 DIGSI 5 CA-Speicher einrichten). Der Voreinstellwert dieser Auswahlliste ist
SIPROTEC 5 Trusted Certificate Authority. Wenn Sie diesen Wert ausgewählt haben, wird das Standard-
verhalten für die Verbindung von DIGSI 5 zum SIPROTEC 5-Gerät mit den DIGSI 5-Client-Zertifikaten von
Siemens aktiviert.
Laden Sie diese Einstellungen in das Gerät, damit sie wirksam werden.
HINWEIS
i Navigieren Sie zur Verifizierung der konfigurierten Zertifizierungsstelle über die Benutzeroberfläche zu
Parameter > Sicherheit > Client-Auth > Trusted CA.
² Damit die Kommunikation mit dem Gerät aufgebaut werden kann, muss ein von der gewählten Zertifizie-
rungsstelle ausgegebenes Client-Zertifikat auf dem DIGSI-PC installiert sein.
Wenn mehrere Client-Zertifikate zur Auswahl stehen, werden Sie zur Auswahl aufgefordert. Wenn auf
dem DIGSI 5-PC kein Client-Zertifikat installiert ist, wird eine entsprechende Fehlermeldung angezeigt. Sie
können die Gerätekonfigurationen über den USB-Anschluss zurücksetzen und die Bedienung neu starten.
Zusätzliche Maßnahmen bei Produkten mit alten Firmware-Versionen

Zur Steigerung der Sicherheit von TLS-Verbindungen führt Siemens ab Firmware-Version 7.30 TLS 1.2 in
SIPROTEC 5-Produkten ein und lässt auf TLS 1.0 basierende Verbindungen nicht mehr zu. Um potenzielle
Protokoll-Downgrade-Angriffe über TLS 1.0 zu verhindern und andere Schwachstellen auszumerzen, deakti-
viert Microsoft auch TLS 1.0 standardmäßig in den wichtigsten Windows-Betriebssystemen.
Wenn Ihr SIPROTEC 5-Gerät also eine Firmware-Version kleiner als V7.30 hat, aktivieren Sie in Ihrem Betriebs-
system zuerst TLS 1.0 für den Verbindungsaufbau zwischen dem Gerät und DIGSI 5.
Bei der Windows 10 Enterprise Edition können Sie z.B. TLS 1.0 im Registrierungs-Editor mit den folgenden
Schritten aktivieren:
² Öffnen Sie regedit.exe und navigieren Sie zum Verzeichnis HKEY_LOCAL_MACHINE\SYSTEM\Current-
ControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
² Wählen Sie unter dem Schlüssel TLS 1.0 den Unterschlüssel Client aus.
Wenn es diesen Schlüssel und diesen Unterschlüssel noch nicht gibt, erstellen Sie sie.
[sc_Registry_Editor_EN, 1, de_DE]
Bild 6-8 Schlüssel und Unterschlüssel für TLS 1.0

C53000-H5000-C081-B, Ausgabe 03.2023
² Setzen Sie DisabledByDefault auf 0 und Enabled auf 1.

Beim Datentyp DWORD bedeutet der Wert 0 = aus und der Wert 1 = ein.
[sc_DWORD_Disable, 1, de_DE]
Bild 6-9 Wertdaten für TLS 1.0 – 1
[sc_DWORD_Enable, 1, de_DE]
Bild 6-10 Wertdaten für TLS 1.0 – 2
² Starten Sie den Rechner neu, um die Änderungen zu übernehmen.
6.5.2.3 Verifizierung der konfigurierten CA über einen Web-Browser

Sie können die Konfiguration der DIGSI Client-Authentifizierung über einen Web-Browser prüfen.
Gehen Sie zur Überprüfung der Einstellungen wie folgt vor:
² Öffnen Sie den Web-Browser und melden Sie sich an einem Gerät an, das nur Verbindungsanfragen
von DIGSI 5-Installationen mit Ihren eigenen von der Zertifizierungsstelle ausgegebenen Zertifikaten
akzeptiert (und keine Siemens-Standardzertifikate).
² Navigieren Sie zu Zertifikate > Zertifizierungsstellen.

C53000-H5000-C081-B, Ausgabe 03.2023
[sc_CerAuth., 1, de_DE]
² Navigieren Sie zu Parameter > Security > Client-Auth.

Die konfigurierte kundenspezifische Zertifizierungsstelle kann auch auf der Seite für die Einstellungen zur
Client-Authentifizierung überprüft werden:
[sc_settings_ClientAuth, 1, de_DE]
Wenn Sie die SIPROTEC 5 Trusted Certificate Authority ausgewählt haben, ist der Wert für Trusted CA auf
Standard gesetzt.
6.5.2.4 Unbefugter Zugriff mit DIGSI 5 auf SIPROTEC 5-Geräte

Bei der Konfiguration einer vertrauenswürdigen Zertifizierungsstelle muss ein gültiges, von der Zertifizierungs-
stelle signiertes Client-Zertifikat im Windows System CA-Store vorliegen, damit eine sichere Verbindung zum
SIPROTEC 5-Gerät aufgebaut werden kann.

C53000-H5000-C081-B, Ausgabe 03.2023
Kein gültiges Zertifikat

Wenn kein gültiges Client-Zertifikat vorliegt, kann DIGSI 5 keine Verbindung zum SIPROTEC 5-Gerät aufbauen.
Stattdessen erhalten Sie eine Fehlermeldung mit Angabe des erwarteten Client-Zertifikats:
[sc_unauthorized_DIGSI_access, 1, de_DE]
Dieser nicht autorisierte Zugriffsversuch führt auch zu einem Eintrag im Sicherheitsmeldepuffer:
[sc_unauthorized_DIGSI_access_security_log, 1, de_DE]
Abgelaufenes Zertifikat
Wenn die konfigurierte vertrauenswürdige Zertifizierungsstelle vor der Erneuerung abgelaufen ist, wird bei
einem Verbindungsversuch zum SIPROTEC 5-Gerät die folgende Fehlermeldung angezeigt:
[sc_unauthorized_DIGSI_access_message, 1, de_DE]
Hinweise zur Wiederherstellung nach einer unbeabsichtigten Sperrung finden Sie in Kapitel 6.5.2.5 Wiederher-
stellung nach einer Sperrung über sicheres Zurücksetzen der Anmeldedaten.

C53000-H5000-C081-B, Ausgabe 03.2023
6.5.2.5 Wiederherstellung nach einer Sperrung über sicheres Zurücksetzen der Anmeldedaten
Mit der Konfiguration einer vertrauenswürdigen Zertifizierungsstelle muss ein gültiges, von der Zertifizie-
rungsstelle signiertes Client-Zertifikat im Windows System CA-Store vorliegen, damit eine sichere Verbindung
zum SIPROTEC 5-Gerät aufgebaut werden kann.
Wenn die vertrauenswürdige Zertifizierungsstelle vor deren Erneuerung abläuft oder wenn das entsprechende
Client-Zertifikat nicht mehr im Windows System CA-Store vorliegt, kann DIGSI nicht mehr mit dem SIPROTEC 5-
Gerät kommunizieren. Eine Wiederherstellung ist in diesem Fall nur durch das Zurücksetzen der Zugangsan-
meldedaten über eine USB-Verbindung möglich.
HINWEIS
i Die Einstellung des Parameters Integrierter USB-Port hat keine Auswirkungen auf diese Wiederher-
stellung.
Für die Wiederherstellung müssen Sie vorher die Datei zum Zurücksetzen der Sicherheitsanmeldedaten
und Konfiguration (SCRF-Datei) vom Gerät heruntergeladen haben.
Herunterladen der SCRF-Datei

Gehen Sie dazu vor wie folgt vor:
² Wählen Sie in der Projektnavigation das Gerät aus und wählen Sie Online → Sicherheit → Datei zum
Zurücksetzen der Anmeldedaten herunterladen....
² Empfehlungen zum Umgang mit SCRF-Dateien, siehe auch 10.1.1 Herunterladen der Datei zum Rück-
setzen der Sicherheitsanmeldedaten und Konfiguration (SCRF).
Wiederherstellung nach einer Sperrung

Zur Wiederherstellung nach einer Sperrung kann diese SCRF-Datei über USB ohne ein gültiges Client-Zertifikat
in das Gerät hochgeladen werden.
Gehen Sie dazu vor wie folgt vor:
² Wählen Sie in der Projektnavigation das Gerät aus und wählen Sie Online → Sicherheit → Anmelde-
daten zurücksetzen....
Dadurch werden die Validierungseinstellungen für das Client-Zertifikat im Gerät auf die Werkseinstellungen
zurückgesetzt und DIGSI 5-Installationen mit eingebauten Siemens Client-Zertifikaten können mit dem Gerät
kommunizieren.
HINWEIS
i Folglich werden alle sicherheitsrelevanten Einstellungen auf die Standardwerte gesetzt!

C53000-H5000-C081-B, Ausgabe 03.2023
6.6 Zertifikatauthentifizierung gemäß IEEE 802.1X

SIPROTEC 5-Geräte unterstützen ab V8.30 dank der Funktion zur Zertifikatauthentifizierung gemäß
IEEE 802.1X die port-basierte Netzwerkzugriffskontrolle gemäß IEEE 802.1X über Ethernet-Kommunikations-
module, z.B. über Port E, Port F, Port N oder Port P.
Wenn diese Funktion aktiviert und ein 802.1X-Authenticator (Authentifizierer), z.B. ein Router oder Switch,
vorhanden ist, so übernimmt das SIPROTEC 5-Gerät die Rolle des 802.1X-Supplicants (Antragstellers). Diese
Funktion ermöglicht die sichere zertifikatsbasierte Zugriffskontrolle Ihres Netzwerkzugriffs. Die Netzwerkver-
bindung zu SIPROTEC 5-Geräten wird auf Basis der gegenseitigen zertifikatsbasierten Authentifizierung zuge-
lassen oder abgelehnt. Nur authentifizierte Geräte erhalten Zugriff auf Ihr Netzwerk, während ungültigen
Geräten oder Clients der Zugriff verweigert wird und damit mögliche Hackerangriffe auf Ihr Netzwerk verhin-
dert werden.
In den digitalen Zertifikaten dieser Funktion wird der ECC-Algorithmus (Elliptic Curve Cryptography) für digi-
tale Signaturen verwendet und nicht der RSA-Algorithmus (Rivest-Shamir-Adleman).
Vergewissern Sie sich vor dem Konfigurieren dieser Funktion, dass die folgenden Voraussetzungen erfüllt sind:
• Setzen Sie das Netzwerkredundanzprotokoll des Ports auf Line Mode.
• Verfügbare Zertifizierungsstellen wurden in den DIGSI 5 CA-Speicher importiert (siehe Kapitel

6.5.2.1 DIGSI 5 CA-Speicher einrichten).
HINWEIS
i Wenn RBAC aktiviert ist, können nur Benutzer mit der Rolle SECADM oder Administrator die Zertifikatau-
thentifizierung gemäß IEEE 802.1X konfigurieren.
HINWEIS
i Wenn sowohl die Zertifikatauthentifizierung gemäß IEEE 802.1X als auch RBAC aktiviert sind, empfiehlt
Siemens die Aktivierung des Notfallkontos, um sicherzustellen, dass unter bestimmten Bedingungen SCRF
und SFRF heruntergeladen werden können.
Konfiguration in DIGSI 5
So konfigurieren Sie die Zertifikatauthentifizierung gemäß IEEE 802.1X für ein Gerät:
² Wählen Sie in der Projektnavigation das Zielgerät aus, navigieren Sie zu Sicherheit und wählen Sie
Netzzugangssicherheit:
Folgende Informationen werden dargestellt:
[sc_DIGSI_802.1x, 2, de_DE]
² Wählen Sie aus der Auswahlliste eines Modulsteckplatzes die für die Verifizierung des IEEE 802.1X-
Server-Zertifikats verwendete Zertifizierungsstelle.
Der Voreinstellwert dieser Auswahlliste ist Deaktiviert.
² Laden Sie die Sicherheitseinstellungen in das Gerät, damit sie wirksam werden.
Hochladen des IEEE 802.1X-Zertifikats über die browser-basierte Benutzeroberfläche

² Damit das IEEE 802.1X-Protokoll wirksam wird, müssen Sie das Zertifikat manuell signieren und hoch-
laden.
Weitere Informationen zum Hochladen des IEEE 802.1X-Zertifikats in das Gerät siehe Kapitel
7.2.4 Beispiel: Zertifikat in Gerät hochladen.

C53000-H5000-C081-B, Ausgabe 03.2023
Statusverifizierung des IEEE 802.1X-Zertifikats im Gerät

So verifizieren Sie den Status des IEEE 802.1X-Zertifikats im Gerät:
² Navigieren Sie im Gerät zu Hauptmenü > Parameter > Security > IEEE 802.1X.
[sc_HMI_802.1X, 2, de_DE]
HINWEIS
i Um die Funktion des IEEE 802.1X-Zertifikats im Gerät zu deaktivieren, deaktivieren Sie diese Funktion
zuerst im Router oder Switch.

C53000-H5000-C081-B, Ausgabe 03.2023
7 Zertifikatsverwaltung
7.1 Einleitung 78
7.2 Manuelles Management 79
7.3 Automatisches Enrollment over Secure Transport 82

C53000-H5000-C081-B, Ausgabe 03.2023
Zertifikatsverwaltung
7.1 Einleitung
7.1 Einleitung
In einigen Fällen müssen Sie die digitalen Zertifikate verwalten.
Die Funktion Zertifikatsverwaltung ermöglicht folgende Aktivitäten:
• Prüfung aktueller Zertifikate
• Herunterladen von CSR-Dateien (Certificate Signing Request)
• Hochladen von Zertifikaten
• Löschen von Zertifikaten

Sie können alle diese Aktivitäten nur über die browser-basierte Benutzeroberfläche ausführen.
Bei aktiver RBAC können Sie die Schaltfläche Zertifikate nur in der Rolle SECADM oder Administrator sehen.
Sobald RBAC deaktiviert ist, haben alle Benutzer mit dem Passwort 111111 Lese- und Schreibzugriff zu den
Zertifikaten.
[sc_certificates_button, 2, de_DE]
Wenn Sie auf die Schaltfläche Zertifikate klicken, werden folgende Bereiche angezeigt:
• Zertifikate im Einsatz
• Zertifizierungsstellen
• Angeforderte Zertifikate
[sc_CM, 3, de_DE]
Nähere Informationen zu diesen Bereichen finden Sie in den folgenden Kapiteln.

C53000-H5000-C081-B, Ausgabe 03.2023
7.2 Manuelles Management
7.2.1 Zertifikate im Einsatz
Die Zertifikate, die derzeit im Gerät verwendet werden, werden im Bereich Zertifikate im Einsatz angezeigt.
In diesem Bereich können Sie Zertifikate auch hochladen oder löschen.
[sc_certificates, 2, de_DE]
HINWEIS
i Nur Zertifikate im Format .pem werden zum Hochladen in die Geräte akzeptiert.
Für mehr Sicherheit empfiehlt Siemens, das Standardzertifikat mit Ihrem eigenen Zertifikat zu ersetzen.
7.2.2 Zertifizierungsstellen
Wenn Sie in DIGSI 5 Ihre Zertifizierungsstellen in den DIGSI 5 CA-Store importiert haben und die Zertifizie-
rungsstellen in das Gerät geladen haben, werden die Zertifizierungsstellen bei der browserbasierten Benut-
zeroberfläche im Bereich Zertifizierungsstellen angezeigt.

C53000-H5000-C081-B, Ausgabe 03.2023
[sc_CerAuth., 1, de_DE]
7.2.3 Angeforderte Zertifikate
Wenn Sie eine zertifikatsbezogene Funktion in DIGSI 5 aktivieren und ins Gerät laden, erzeugt das Gerät
automatisch eine entsprechende CSR-Datei. Diese CSR-Dateien werden im Bereich Angeforderte Zertifikate
aufgeführt.
Mit der Schaltfläche für den Export können Sie eine CSR-Datei zur Signierung auf Ihren lokalen PC herunter-
laden.
[sc_crt_export, 2, de_DE]

C53000-H5000-C081-B, Ausgabe 03.2023
7.2.4 Beispiel: Zertifikat in Gerät hochladen
Das IEEE 802.1X-Zertifikat dient als Beispiel zur Veranschaulichung des gesamten Prozesses zum Hochladen
eines Zertifikats.
So laden Sie das Zertifikat in das Gerät hoch:
Stellen Sie sicher, dass die IEEE 802.1X-Funktion im Gerät aktiviert ist und dass der Web-Browser mit dem
Gerät verbunden ist. Für weitere Informationen zur IEEE 802.1X-Funktion siehe auch 6.6 Zertifikatauthentifi-
zierung gemäß IEEE 802.1X.
² Klappen Sie das Element IEEE 802.1X unter Zertifikate > Angeforderte Zertifikate auf.
² Klicken Sie auf die Schaltfläche für den Export und speichern Sie die heruntergeladene Datei (.csr) in
einen Ordner.
² Signieren Sie die heruntergeladene CSR-Datei mit SICAM GridPass auf Ihrem lokalen PC.
Weitere Informationen zum Signieren von CSR-Dateien mit SICAM GridPass finden Sie im Handbuch
SICAM GridPass (www.siemens.com/sicam-gridpass).
² Speichern Sie die signierte Datei als .pem-Datei.
² Klicken Sie im Bereich Zertifikate im Einsatz auf die Schaltfläche zum Hochladen.
² Klicken Sie im Dialog Zertifikat laden auf die Schaltfläche Datei wählen.
² Wählen Sie das signierte IEEE 802.1X-Zertifikat aus und klicken Sie auf die Schaltfläche zum Hochladen.
[sc_upload_suc, 2, de_DE]
Nachdem das IEEE 802.1X-Zertifikat erfolgreich in das Gerät geladen ist, wird das Zertifikat im Bereich Zertifi-
kate im Einsatz aufgeführt.

C53000-H5000-C081-B, Ausgabe 03.2023
7.3 Automatisches Enrollment over Secure Transport

Bei einer größeren Anzahl von Benutzern, die für verschiedene Geräte im Netzwerk verteilt sind, wird es für
Sicherheitsadministratoren zur echten Herausforderung, die Gültigkeit jedes Zertifikats für jeden Dienst zu
pflegen, wenn eine PKI verwendet wird.
Zur Lösung dieser Probleme stellt Siemens die Funktion Automatische Registrierung über sicheren Trans-
port (Automatic enrollment over secure transport – EST) zur Verfügung, die basierend auf den Normen
RFC 7030 und IEC 62351‑9 entwickelt wurde.
Tabelle 7-1 Geräteinformation
Geräte Versionen
Modulare Geräte V8.80 und höher
Nicht modulare Geräte V9.20 und höher
Der EST-Client in allen Geräten ist einem einzigen EST-Server zugewiesen. Anschließend wird die Anfrage zur
Zertifikatserneuerung an die Administrationsschnittstelle des einen EST-Servers weitergeleitet.
Siemens stellt die hochmoderne EST‑Server‑Anwendung und ‑Funktionalität in SICAM GridPass zur Verfügung,
um die Dateien der Zertifikatsignierungsanforderungen (CSRs) und Zertifikatsperrlisten (CRLs) in Ihrem Netz-
werk zu verwalten.
HINWEIS
i Weitere Informationen zu GridPass finden Sie im Handbuch SICAM GridPass (www.siemens.com/sicam-

gridpass).
Um die EST-Server-Einstellungen zu konfigurieren, navigieren Sie in DIGSI 5 zu Projekt > Zielgerät > Sicher-
heit > Automatische Zertifikateverwaltung.
7.3.1 EST-Server-Konfiguration
In einer typischen Anwendung mit EST befindet sich der EST-Server außerhalb der Unterstationen und steuert
zentral verschiedene Anforderungen, die von diesen Unterstationen gesendet werden. Daher ist die Transport-
schicht der EST-Anforderungen auf einem sicheren TLS-Kanal mit gegenseitigen Authentifizierungen. Diese
Eigenschaft des TLS-Kanals erfordert eine anfängliche Kunden-PKI, in der der private Schlüssel der Zertifizie-
rungsstelle verfügbar ist und zum Signieren der Anforderungen verwendet werden kann. Somit ist es nicht
möglich, die Standard-Siemens-Zertifizierungsstelle für den EST-Client zu verwenden.
Um die Kunden-Zertifizierungsstelle für die EST- und TLS-Verbindung einzustellen, muss die Kunden-Zertifi-
zierungsstelle im DIGSI CA-Store verfügbar sein. Weitere Informationen finden Sie unter 6.5.2.1 DIGSI 5
CA-Speicher einrichten.
Beim ersten Herstellen der TLS-Verbindung sind die folgenden Vorgänge notwendig:
• Exportieren Sie die Anforderungen des EST-Client-Zertifikats aus der browser-basierten Benutzerober-
fläche manuell zur Signatur.
• Signieren Sie die exportierte Datei mit der Zertifizierungsstelle, die für die EST-Kommunikation verwendet
wird.
• Importieren Sie das EST-Client-Zertifikat mit einer CA-Signatur in das Gerät, um die Gültigkeit festzu-
stellen.
Weitere Informationen finden Sie unter 7.2.4 Beispiel: Zertifikat in Gerät hochladen.
Nachdem dieser erste Schritt erfolgt ist und das erforderliche Vertrauen zwischen dem EST-Client und dem
EST-Server hergestellt wurde, verwaltet der EST-Client alle weiteren Zertifikatserneuerungen für die ausge-
wählten Protokolle und den EST-Client selbst.

C53000-H5000-C081-B, Ausgabe 03.2023
Name der Einstellung Bereich Voreinstellwert Bemerkung

IP-Adresse 0.0.0.0 bis – –
255.255.255.255
Server-Port 1 bis 65535 8085 Stufung 1
Modul-Port Alle Ethernet-Kommunika- Port J –
tionsmodule
Vertrauenswürdige Zertifi- Die derzeit im DIGSI 5 CA- Erste Auswahl in der Die vertrauenswürdige
zierungsstelle Store importierten Zertifi- Auswahlliste Zertifizierungsstelle ist die
zierungsstellen Zertifizierungsstelle, die
das EST-Server-Zertifikat
ausgibt.
7.3.2 Anmeldungskonfiguration
Markieren Sie im Bereich Auto.Einschr. die Option, mit der die Zertifikate automatisch vom EST-Server
verwaltet werden sollen:
• DIGSI 5
Die Zertifikate für die Kommunikation zwischen DIGSI 5 und dem Gerät werden automatisch verwaltet.
• Web-UI
Die Zertifikate für die Kommunikation zwischen der browser-basierten Benutzeroberfläche und dem
Gerät werden automatisch verwaltet.
• IEEE 802.1 x
Die Zertifikate für den IEEE 802.1X-Antragsteller werden automatisch verwaltet.
• SyslogTLS
Die Zertifikate zur Kommunikation zwischen Gerät und syslog-Server werden automatisch verwaltet.
• Secure MMS
Die Zertifikate zur Kommunikation zwischen Gerät und MMS-Client werden automatisch verwaltet.
HINWEIS
i Unabhängig davon, ob die Zertifikate manuell oder automatisch verwaltet werden, können sie nur über die
browser-basierte Benutzeroberfläche angezeigt werden.

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
8 Sicherung und Wiederherstellung
8.1 Allgemein 86
8.2 Archivieren und Dearchivieren eines Projekts 87

C53000-H5000-C081-B, Ausgabe 03.2023
Sicherung und Wiederherstellung
8.1 Allgemein
8.1 Allgemein
DIGSI 5 verwaltet die Komponenten einer Anlage und alle damit verbundenen Projektdaten. Projekte sind in
Windows als Ordner strukturiert. Wenn die Voreinstellung nicht geändert wurde, finden Sie die Projektordner
unter Eigene Dateien\Automatisierung. Für jedes Projekt wird ein Ordner mit dem Namen des Projektes
erstellt.

C53000-H5000-C081-B, Ausgabe 03.2023
8.2 Archivieren und Dearchivieren eines Projekts

Um ein Projekt als Sicherungsdatei zu speichern und zu einem späteren Zeitpunkt zu dearchivieren, können
Sie das in DIGSI 5 erstellte Projekt unter demselben oder einem anderen Namen am gewünschten Speicherort
archivieren. Nachdem Sie das aktuell geöffnete Projekt in DIGSI 5 archiviert haben, können Sie es weiter bear-
beiten, ohne es zu schließen. Bei Bedarf können Sie die archivierte Version des Projekts jederzeit dearchivieren
und weiter bearbeiten.
Archivieren eines Projekts

² Klicken Sie im Menü Projekt auf Archivieren....
[sc_project_menu, 1, de_DE]
Bild 8-1 Menüeintrag Archivieren
Der Dialog Archivieren wird mit dem Standarddateinamen geöffnet.

² Wenn erforderlich, geben Sie den neuen Archivpfad ein.

C53000-H5000-C081-B, Ausgabe 03.2023
[sc_archive_project, 1, de_DE]
Bild 8-2 Dialog Archivieren
² Klicken Sie Archivieren.

Ein Fortschrittsdialog wird angezeigt, in dem der Archivierungsstatus angezeigt wird.
Die archivierte Projektdatei wird am gewünschten Speicherort mit der Dateierweiterung .dz5 gespeichert.
Dearchivieren eines archivierten Projekts

² Klicken Sie im Menü Projekt auf Dearchivieren....
[sc_project_menu_2, 1, de_DE]
Bild 8-3 Menüeintrag Dearchivieren
² Wählen Sie im entsprechenden Ordner das archivierte Projekt mit der Dateierweiterung .dz5.
² Wählen Sie das Zielverzeichnis aus, in dem Sie das dearchivierte Projekt speichern möchten.

C53000-H5000-C081-B, Ausgabe 03.2023
Das dearchivierte Projekt wird in DIGSI 5 geöffnet.

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
9 Sicherheitsprotokollierung
9.1 Übersicht 92
9.2 Umwelt 93
9.3 Konfiguration 94
9.4 Protokollierte Sicherheitsereignisse 97
9.5 Anzeigen der Protokolle 107

C53000-H5000-C081-B, Ausgabe 03.2023
Sicherheitsprotokollierung
9.1 Übersicht
9.1 Übersicht
SIPROTEC 5-Geräte und DIGSI 5 bieten eine Sicherheitsaudit-Trail-Funktion, die sicherheitsrelevante Ereignisse
chronologisch aufzeichnet und nach Ursprung und Schweregrad kategorisiert.
Bei Auftreten eines sicherheitsrelevanten Ereignisses sendet das SIPROTEC 5-Gerät das Ereignis spontan an
einen oder 2 externe(n) syslog-Server ohne Bestätigung per UDP oder TLS, während DIGSI 5 solche Ereignisse
an das Windows-Ereignisprotokoll sendet. Dadurch können sicherheitsrelevante Ereignisse von mehreren
Transformatorstationen aufgezeichnet werden, die Normen und Richtlinien wie etwa IEEE 1686, IEC 62443
und BDEW Whitepaper erfüllen müssen.
Für das Gerät wird die Protokollierung zentral auf einem oder 2 selbstgewählten syslog-Servern gestartet. Die
Kombination verschiedener Protokolldaten, die die Geräte nutzen, ermöglicht einen allgemeinen Überblick
über das Gerätenetzwerk. Sie können diese Daten analysieren und überwachen. Dadurch können sicherheits-
kritische Ereignisse protokolliert und entsprechende Änderungen verfolgt werden. Sie können mithilfe der
Protokolldaten auch Angriffe auf die betriebenen Geräte verfolgen.
Es ist möglich, die protokollierten sicherheitsrelevanten Ereignisse aus dem Sicherheitsereignispuffer des
Geräts im Nachhinein auszulesen. Die Protokolle werden auf Englisch angezeigt.
Sie können die gesammelten Protokolldaten im Sicherheitsmeldepuffer lokal auf dem Geräte-Display
anzeigen, unabhängig von der aktuellen Betriebsart des Gerätes. Die Alarme und sicherheitskritischen
Meldungen werden chronologisch im Sicherheitsmeldepuffer gespeichert. Sie können diese Einträge nicht
verändern oder löschen.
Die vollständige Liste der aufgezeichneten Sicherheitsereignisse finden Sie unter 9.3.1 Konfiguration der
Sicherheitsprotokollierung.
HINWEIS
i Siemens empfiehlt, die empfangenen Sicherheitsereignisse auf den syslog-Servern vor unbefugtem Lese-
und Schreibzugriff durch die Rolle Auditor zu schützen.

C53000-H5000-C081-B, Ausgabe 03.2023
9.2 Umwelt
9.2 Umwelt
Unterstützte System- und Firmware-Versionen
Die folgende Tabelle zeigt die System- und Firmware-Versionen, die syslog unterstützen:
System Geräte Ausprägungen Schnittstellen

SIPROTEC 5 Modulare Geräte V07.50 oder höher • Port J
Nicht modulare Geräte • Port E
• Port F
• Port P
• Port N
Compact-Geräte V08.70 oder höher Port F
Unterstützte Kommunikationsprotokolle und Betriebsarten

Alle Alarme und Warnmeldungen liegen als temporäre Meldungen vor. Bei aktivierter Funktion Sicher-
heitsprotokollierung werden die sicherheitsrelevanten Alarme und Warnmeldungen über die unterstützten
Kommunikationsprotokolle in den unterstützten Betriebsarten an Überwachungssysteme (wie z.B. Leitstellen)
gesendet.
• Unterstützte Betriebsarten
– Simulationsmodus
– Prozessmodus
– Inbetriebsetzungsmodus
– Fallback-Modus (Rückfallmodus)

C53000-H5000-C081-B, Ausgabe 03.2023
9.3 Konfiguration
9.3 Konfiguration
9.3.1 Konfiguration der Sicherheitsprotokollierung
Nachdem Sie DIGSI 5 gestartet haben und die Verbindung zu einem Gerät hergestellt haben, wählen Sie in
der Projektnavigation Sicherheit > Security-Ereignisprotokoll.. Der Menüeintrag Sicherh. Prot. enthält die
Einstellmöglichkeiten für einen zentralen syslog-Server. Es können bis zu 2 syslog-Server aktiviert werden.
Kapazitätsauslastung des syslog-Servers

Mit dem einstellbaren Parameter Security Log Kap.Warn. im Bereich Allgemein können Sie festlegen, bei
welcher Nutzung des Sicherheitsmeldepuffers eine Warnmeldung ausgegeben wird. Eine Warnschwelle von
80 % bedeutet, dass der eingestellte Kapazitätsgrenzwert nach ca. 1600 Einträgen im Sicherheitsmeldepuffer
erreicht ist. Weitere Warnmeldungen werden ausgegeben, wenn die Kapazitätsgrenzwerte 85 %, 90 %, 95 %
und 98 % erreicht werden.
Die Sicherheitsmeldepuffer sind als Ringspeicher organisiert. Wenn die Einträge der Sicherheitsmeldepuffer
die Kapazitätsgrenze von 100 % überschreiten, werden automatisch die ältesten Einträge überschrieben und
die Kapazitätsauslastung auf 0 % zurückgesetzt. Wenn Sie den Sicherheitsmeldepuffer mit DIGSI 5 auslesen,
wird die Kapazitätsauslastung auf 0 % zurückgesetzt. Die Warnmeldungen bleiben im Gerät erhalten. Sie
müssen alle Einstellungen mit DIGSI 5 vornehmen.
Wenn Sie die Firmware auf eine frühere Version als V07.50 einstellen, wird die geräteinterne Protokollgröße
vom derzeitigen Wert von 2048 Einträgen auf 500 Einträge verkleinert. Die ältere Firmware unterstützt
lediglich 500 Einträge in einem anderem Format. In diesem Fall werden die neuesten 500 Einträge aus dem
aktuellen/syslog-fähigen Gerätestatus und Format übernommen und im älteren Format, das für die Firmware
geeignet ist, angelegt. Die restlichen Einträge gehen verloren.
Nach dem Downgrade wird der Inhalt des internen Protokolls mit seinen 2048 Einträgen gelöscht. Gleichzeitig
wird als neuester Eintrag im umgestellten Protokoll eine Meldung zum erfolgten Firmware-Downgrade ange-
zeigt.
Übertragungsprotokoll
Mit dem Parameter Protokoll legen Sie fest, über welches Protokoll die Meldepuffer übertragen werden.
Derzeit werden die Protokolle UDP und TLS unterstützt.
Wenn Sie das Protokoll TLS auswählen, müssen Sie außerdem die Server-Zertifizierungsstelle auswählen, der
Sie für die Übertragung vertrauen.
[sc_syslog_TLS, 1, de_DE]
Bild 9-1 Übertragungsprotokoll TLS ausgewählt

C53000-H5000-C081-B, Ausgabe 03.2023
9.3 Konfiguration
Syslog-Server-Informationen
Nehmen Sie zum Aufbau einer Verbindung zwischen dem SIPROTEC 5-Gerät und einem zur Protokollierung
sicherheitsrelevanter Ereignisse verwendeten syslog-Server folgende Einstellungen in DIGSI 5 vor.
[sc_Primary log server, 1, de_DE]
Aktivieren Sie die Protokollierung unter Primärer Server und/oder Redundant. Server. Folgende Parameter
gelten für die Verbindung zum syslog-Server:
IP-Adresse IP-Adresse des zu verbindenden syslog-Servers
Port Port-Nummer des zu verbindenden syslog-Servers
Geräte-Port Port des Gerätes, über den das SIPROTEC 5-Gerät die Ereignisse an den
syslog-Server sendet
Weitere Informationen zu den unterstützten Sicherheitsereignissen finden Sie im 9.4 Protokollierte Sicher-
heitsereignisse.
9.3.2 Prüfen der verwendeten syslog-Server
Sie können die Informationen zu den verwendeten syslog-Servern auf dem Geräte-Display mit folgenden
Schritten überprüfen: Hauptmenü > Parameter > Security > Sicherheitsprotok. > Sicherh. Prot.
9.3.3 Frei definierbare protokollierte Ereignisse
In den Versionen 8.80 und höher bietet DIGSI 5 8 Binäreingangssignale für die Protokollierung benutzerdefi-
nierter Ereignisse. Diese protokollierten benutzerdefinierten Ereignisse sind vom Schweregrad Ereignis.
Sie können diese Signale über Projekt > Zielgerät > Informationsrangierung > Security > Sicherheits-
protok. > Sicherh. Prot. in DIGSI 5 sehen. Zum Umbenennen der Signale können Sie auf den Signalnamen
doppelklicken.

C53000-H5000-C081-B, Ausgabe 03.2023
9.3 Konfiguration
[sc_user-defined events, 1, de_DE]
Bild 9-2 Frei definierbare protokollierte Ereignisse

C53000-H5000-C081-B, Ausgabe 03.2023
9.4 Protokollierte Sicherheitsereignisse
9.4.1 Protokollierter Inhalt
Bei aktiviertem Primärer Server und/oder Redundant. Server werden folgende Elemente im Sicherheitsmel-
depuffer protokolliert und an die Server weitergeleitet:
• Aktionen
– Erfolgreiche Abmeldung eines Benutzers, auch nach einer bestimmten Zeitspanne
– Erfolgreiche Anmeldung eines Benutzers
– Änderung oder Löschen eines Verbindungspassworts
– Aktualisierung oder Wiederherstellung der Firmware-Version des Gerätes
– Aktualisierung der Konfiguration im Gerät
– Änderung der Betriebsart des Gerätes
– Änderung von Datum und Uhrzeit
– Änderung oder Überschreiben von Einträgen zum Zustandswert durch den angemeldeten Benutzer
– Schalthandlungen durch den registrierten Benutzer
– Anzeigen der Auditberichte im Gerät
• Potentielle Fehler
– Anzahl der Einträge mit richtigen oder falschen Passwörtern
– Nicht erfolgreiche Anmeldeversuche durch dreimalige falsche Eingabe des Passworts
– Reboot oder Neustart des Gerätes
• Andere Einträge
– Kapazitätswarnung des Sicherheitsmeldepuffers
Die folgende Tabelle zeigt, welcher Meldungstyp (einschließlich Format) und welche Aktion erwartet wird.
Ereignis-/Alarmübersicht Beschreibung
Schweregrad der syslog-Meldungen: WARNUNG
Erfolgreiche Anmeldung Der Inhalt der Ereignisse für die erfolgreichen Anmeldungen hängt davon ab, ob RBAC
von fern oder lokal aktiv ist oder nicht und vom Standort, von dem aus die Anmeldung erfolgt: Von fern (Zum
Beispiel DIGSI 5) oder lokal (Vor-Ort-Bedienung).
Manuelle Abmeldung Die Ereignisse für die manuelle Abmeldung werden im Audit-Trail protokolliert und mit
syslog UDP übertragen. Der Inhalt der Meldungen hängt davon ab, ob RBAC aktiv ist oder
nicht.
Zeitlich bestimmte Abmel- Der Inhalt der Meldungen hängt davon ab, ob RBAC aktiv ist oder nicht.
dung

C53000-H5000-C081-B, Ausgabe 03.2023
Ereignis-/Alarmübersicht Beschreibung
Steuerungshandlungen Ereignisse für lokal oder von fern initiierte Steuerungshandlungen. Zum Beispiel:
erzwingen
• Änderung der Position der Pole
• Auslöse-/Schließvorgänge im Zusammenhang mit der Primärtechnik
• Befehlsvorgänge im Zusammenhang mit der Primärtechnik
• Änderungen der Betriebsart im Zusammenhang mit der Primärtechnik
• Start/Abbruch der Schaltfolge
• Änderung der Spulenposition
• Steuerung der sequentiellen Spannungen/Zielspannungen
• Steuerung der Schalthoheit
• Steuerung der Wicklungsauswahl
Herunterladen der Konfigu- Ereignisse im Zusammenhang mit dem Herunterladen der Schutzkonfiguration auf einen PC
ration
Hochladen der Konfigura- Ereignisse im Zusammenhang mit dem Hochladen der Schutzkonfiguration von einem PC
tion auf ein Gerät
Konfigurationswechsel Ereignisse, die eine Änderung der derzeitigen Konfiguration anzeigen, zum Beispiel durch
die Änderung eines Parameters
Firmware-Änderung Ereignisse im Zusammenhang mit dem Hochladen der Geräte-Firmware in das Gerät
Zugriff auf Auditprotokoll Ereignisse im Zusammenhang mit der Anzeige und dem Herunterladen von Audit-Trails des
Gerätes
Änderung von Uhrzeit und Ereignisse, die Änderungen der aktuellen Uhrzeit-/Datumseinstellungen anzeigen.
Datum
Schweregrad der syslog-Meldungen: ALARM
Sicherheitsmanagement Ereignisse, die Änderungen der aktuellen Sicherheitskonfiguration für folgende Elemente
anzeigen:
• Benutzerverwaltung
• Benutzerauthentifizierung
• Sichere Kommunikation
• Einstellungen für Sicherheitsüberwachung (Protokollierung)
Anmeldung fehlgeschlagen Ereignisse für einen fehlgeschlagenen Anmeldeversuch
Wenn RBAC aktiv ist, werden die fehlgeschlagenen Anmeldeversuche nach 3 Versuchen für
einen Benutzernamen innerhalb des konfigurierten Zeitfensters protokolliert. Danach wird
jeder neue fehlgeschlagene Versuch für denselben Benutzernamen ebenso protokolliert, bis
die maximale Anzahl an Anmeldeversuchen erreicht ist.
Ist die Anzahl der Anmeldeversuche ausgeschöpft, wird die Anmeldung für diesen Benut-
zernamen für die eingestellte Zeitspanne gesperrt. Das bedeutet, dass weitere Anmeldever-
suche für diesen Benutzernamen abgelehnt und protokolliert werden, unabhängig davon,
ob die Kombination von Benutzername und Passwort richtig ist oder nicht.
Wenn die Sperrzeit abgelaufen ist, wird der Zähler für den blockierten Benutzernamen
zurückgesetzt. Der Zähler für diesen Benutzernamen wird auch dann zurückgesetzt, wenn
für diesen Benutzernamen ein erfolgreicher Anmeldeversuch erfolgt ist oder wenn die Zeit-
spanne ohne Überschreitung der maximalen Anzahl an Anmeldeversuchen erreicht wurde.
Neustart des Produkts Ereignisse beim Neustart des Gerätes. Protokolliert werden Hochfahren und Neustart des
Gerätes durch Entfernen der Stromversorgung oder durch Verwendung eines gerätein-
ternen Mechanismus zum Neustart, zum Beispiel durch Reset-Taste, Einschaltfolge oder
Zugriff auf Software.
Ungültige Konfiguration Ereignisse aufgrund der Erkennung einer ungültigen Konfiguration oder Firmware, zum
und Firmware Beispiel eine Signaturprüfung eines SIPROTEC 5-Gerätes

C53000-H5000-C081-B, Ausgabe 03.2023
HINWEIS
i Die Verwendung eines Bestätigungscodes wird nicht protokolliert. Nur sicherheitsrelevante Ereignisse
werden protokolliert.
9.4.2 Aufbau eines Eintrags des Sicherheitsmeldepuffers
Ein Sicherheitsmeldepuffer-Eintrag besteht aus folgenden Elementen:

Element Beschreibung
Schweregrad Schweregrade:
• Ereignis
• Alarm
Datum Protokollierungsdatum des Ereignisses
Zeit Protokollierungsuhrzeit des Ereignisses
• T
Zeit
• hh:mm:ss.ttt
Uhrzeit des Auftretens des Ereignisses
• +hh:mm
Zeitabweichung von GMT
IP-Adresse oder Port- IP-Adresse oder Portname des Produktes oder der untergeordneten Komponente, die
name den Protokolleintrag generiert
Modulname Name des Produktmoduls, das den Protokolleintrag generiert
BOM Byte Order Mark für UTF8-Kodierung
Produktname Name des Produkts, das den Protokolleintrag generiert
Meldungstext Der Meldungsteil eines syslog-Ereignisses
Abhängig vom Ereignis kann der Meldungstext verschiedene zusätzliche Angaben
(%A1%, %A2%, %A3% und %A4%) enthalten.
9.4.3 Syslog-Ereignisse SIPROTEC 5
HINWEIS
i Die Anzeige von Sicherheitsmeldepuffern wird von der browserbasierten Benutzeroberfläche nicht
unterstützt.

C53000-H5000-C081-B, Ausgabe 03.2023
Schweregrad Ereignis
Die folgende Tabelle zeigt syslog-Meldungen mit Schweregrad Ereignis.
Tabelle 9-1 Syslog-Meldungen mit Schweregrad Ereignis
Ereignis Zusätzliche Information

Storage capacity of the security audit %A1% liegt unter dem eingestellten Schwellwert von
decreased below the set threshold of %A1%
entries. (Die Speicherkapazität des Sicherheits-
audits liegt unter dem eingestellten Schwell-
wert von %A1% Einträgen.)
User %A1% initiated a remote session from %A1% Konto-ID
%A2% in the role(s) of %A3%. (Der Benutzer %A2% IP-Adresse des Fernbedienplatzes
%A1% hat eine Fernsitzung von %A2% in
%A3% Die dem Benutzer zugewiesenen Rollen, mit Komma als Listen-
der/den Rolle(n) von %A3% initiiert.)
trennzeichen
User %A1% changed the settings related to %A1% Konto-ID
user authentication: %A2% server: IP address %A2% Protokoll (RADIUS, LDAP)
[set to value %A3%]. (Der Benutzer %A1%
%A3% IP-Adresse
hat die Parameter für die Benutzerauthentifizie-
rung geändert: %A2% Server: IP-Adresse [auf
den Wert %A3% eingestellt].)
A user initiated a remote session from %A1%. %A1% IP-Adresse des Fernbedienplatzes
(Ein Benutzer hat eine Fernsitzung von %A1%
initiiert.)
User %A1% initiated a local session in the %A1% Konto-ID
role(s) of %A2%. (Benutzer %A1% hat eine Rolle(n), die dem Benutzer zugewiesen sind und in der Liste
lokale Sitzung in der/den Rolle(n) von %A2% %A2% durch Kommas getrennt werden
initiiert.)
User %A1% logged out. (Benutzer %A1% hat Konto-ID
%A1%
sich abgemeldet.)
A user terminated an interactive session. (Ein
– –
Benutzer hat eine interaktive Sitzung beendet.)
The interactive session with user %A1% was %A1% Konto-ID
terminated due to time-out (%A2%). (Die inter- %A2% Durch den Benutzer eingestellter Schwellwert für die Zeitüber-
aktive Sitzung mit dem Benutzer %A1% wurde schreitung oder Standardwert (10 Minuten) für die Interaktion
aufgrund einer Zeitüberschreitung (%A2%) des Benutzers
beendet.) Nach Ablauf dieser Zeit wird die bestehende interaktive Sitzung
des Benutzers beendet.
A user-interactive session was terminated %A1% Durch den Benutzer eingestellter Schwellwert für die Zeitüber-
due to time-out (%A1%). (Die interaktive schreitung oder Standardwert (10 Minuten) für die Interaktion
Sitzung wurde aufgrund einer Zeitüberschrei- des Benutzers
tung (%A1%) beendet.) Nach Ablauf dieser Zeit wird die bestehende interaktive Sitzung
des Benutzers beendet.
Password protection in the type of %A1% was %A1% Text, der den Zweck des Passwortes eindeutig festlegt.
disabled. (Der Passwortschutz vom Typ %A1% Beim Verbindungspasswort für SIPROTEC 5 ist dies zum Beispiel
wurde deaktiviert.) connection password.
Password protection in the type of %A1% was %A1% Text, der den Zweck des Passwortes eindeutig festlegt.
modified. (Der Passwortschutz vom Typ %A1% Beim Verbindungspasswort für SIPROTEC 5 ist dies zum Beispiel
wurde geändert.) connection password.
User %A1% created an account %A2% in the %A1% Konto-ID des Benutzers, der die Aktivität ausführt
role(s) of %A3% (%A4%-managed account). %A2% Die von der Aktivität betroffene Konto-ID
(Benutzer %A1% erstellte Konto %A2% mit
%A3% Dem Benutzer zugewiesene Rollen
Rolle(n) %A3% (%A4%-verwaltetes Konto).)
%A4% Kontotyp

C53000-H5000-C081-B, Ausgabe 03.2023

User %A1% modified password of the account %A1% Die Konto-ID des Benutzers, der die Aktivität durchführt
%A2% (%A3%-managed account). (Benutzer %A2% Die von der Aktivität betroffene Konto-ID
%A1% änderte das Passwort des Kontos %A2%
%A3% Kontotyp
(%A3%-verwaltetes Konto).)
User %A1% deleted the account %A2% (%A3%- %A1% Die Konto-ID des Benutzers, der die Aktivität durchführt
managed account). (Benutzer %A1% löschte %A2% Die von der Aktivität betroffene Konto-ID
Konto %A2% (%A3%-verwaltetes Konto).)
%A3% Kontotyp
A user manually overwrote the real data. – –
(Der Benutzer hat Realdaten manuell über-
schrieben.)
A user manually overwrote the real data from %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
%A1%. (Der Benutzer hat Realdaten von %A1% neering-Werkzeug), von dem aus die Änderungen durchge-
manuell überschrieben.) führt werden sollen.
Wenn Software für den PC verwendet wird, dann ist dies die
IP-Adresse des Rechners.
User %A1% manually overwrote the real data. %A1% Konto-ID
(Benutzer %A1% hat Realdaten manuell über-
schrieben.)
User %A1% manually overwrote the real data %A1% Konto-ID
from %A2%. (Benutzer %A1% hat echte Daten %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
von %A2% manuell überschrieben.) neering-Werkzeug), von dem aus die Änderungen durchge-
führt werden sollen.
A user executed the control operation %A1%. %A1% Der Typ der ausgeführten Steuerungshandlung, zum Beispiel
Additional information: %A2% (Benutzer hat Deaktivierung des Leistungsschalters
Steuerungshandlung %A1% ausgelöst.) Zusätz- %A2% Zusätzliche Angaben zur Steuerungshandlung, zum Beispiel
liche Angaben: %A2%) <FG.FN.FB.Signalname des Leistungsschalters gemäß DIGSI 5-
Betriebsmeldepuffer>
A user executed a control operation from %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
%A1%: %A2%. Additional information: %A3% neering-Werkzeug), von dem aus die Änderungen durchge-
(Benutzer hat Steuerungshandlung von %A1% führt werden sollen.
ausgelöst: %A2%.) Zusätzliche Angaben: Wenn Software für den PC verwendet wird, dann ist dies die
%A3%) IP-Adresse des Rechners.
%A2% Der Typ der ausgeführten Steuerungshandlung, zum Beispiel
Deaktivierung des Leistungsschalters
%A3% Zusätzliche Angaben zur Steuerungshandlung, zum Beispiel
<FG.FN.FB.Signalname des Leistungsschalters gemäß DIGSI 5-
User %A1% executed a control opera- %A1% Konto-ID
tion: %A2%. Additional information: %A3% %A2% Der Typ der ausgeführten Steuerungshandlung, zum Beispiel
(Benutzer %A1% hat Steuerungshandlung Deaktivierung des Leistungsschalters
ausgelöst: %A2%.) Zusätzliche Angaben:
%A3%)

C53000-H5000-C081-B, Ausgabe 03.2023

User %A1% executed a control operation from %A1% Konto-ID
%A2%: %A3%. Additional information: %A4% %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
(Benutzer %A1% hat Steuerungshandlung von neering-Werkzeug), von dem aus die Änderungen durchge-
%A2% ausgelöst: %A3%.) Zusätzliche Angaben: führt werden sollen.
%A4%) Wenn Software für den PC verwendet wird, dann ist dies die
%A3% Der Typ der ausgeführten Steuerungshandlung, zum Beispiel
Deaktivierung des Leistungsschalters
Configuration settings were downloaded from %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
%A1%. (Konfigurationseinstellungen wurden neering-Werkzeug), von dem aus die Änderungen durchge-
von %A1% heruntergeladen.) führt werden sollen.
User %A1% downloaded configuration settings %A1% Konto-ID
from %A2%. (Benutzer %A1% hat Konfigurati- %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
onseinstellungen von %A2% heruntergeladen.) neering-Werkzeug), von dem aus die Änderungen durchge-
Configuration settings were uploaded from %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
%A1%. (Konfigurationseinstellungen wurden neering-Werkzeug), von dem aus die Änderungen durchge-
von %A1% hochgeladen.) führt werden sollen.
User %A1% uploaded configuration settings %A1% Konto-ID
from %A2%. (Benutzer %A1% hat Konfigurati- %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
onseinstellungen von %A2% hochgeladen.) neering-Werkzeug), von dem aus die Änderungen durchge-
Configuration settings were changed. (Konfigu- – –
rationseinstellungen wurden geändert.)
Configuration settings were changed from %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
%A1%. (Konfigurationseinstellungen von %A1% neering-Werkzeug), von dem aus die Änderungen durchge-
aus geändert.) führt werden sollen.
User %A1% changed the configuration settings. %A1% Konto-ID
(Benutzer %A1% hat die Konfigurationseinstel-
lungen geändert.)
User %A1% changed the configuration settings %A1% Konto-ID
from %A2%. (Benutzer %A1% hat die Konfigu- %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
rationseinstellungen von %A2% geändert.) neering-Werkzeug), von dem aus die Änderungen durchge-

C53000-H5000-C081-B, Ausgabe 03.2023

Firmware in version %A1% was uploaded from %A1% Version der hochgeladenen Firmware
%A2%. (Firmware in Version %A1% wurde von %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
%A2% hochgeladen.) neering-Werkzeug), von dem aus die Änderungen durchge-
User %A1% uploaded the firmware file from %A1% Konto-ID
%A2%. (Benutzer %A1% hat die Firmware-Datei %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
von %A2% hochgeladen.) neering-Werkzeug), von dem aus die Änderungen durchge-
Audit log was viewed. (Auditbericht wurde – –
eingesehen.)
Audit log was downloaded from %A1%. (Audit- %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
bericht wurde von %A1% heruntergeladen.) neering-Werkzeug), von dem aus die Änderungen durchge-
User %A1% viewed the audit log. (Benutzer %A1% Konto-ID
%A1% hat den Auditbericht eingesehen.)
User %A1% viewed the audit log from %A2%. %A1% Konto-ID
(Benutzer %A1% hat den Auditbericht von %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
%A2% eingesehen.) neering-Werkzeug), von dem aus die Änderungen durchge-
A change to time/date was carried out from %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
%A1%. (Uhrzeit/Datum wurde geändert von neering-Werkzeug), von dem aus die Änderungen durchge-
%A1%.) führt werden sollen.
User %A1% changed the time/date. (Benutzer %A1% Konto-ID
%A1% hat Uhrzeit/Datum geändert.)
User %A1% changed the time/date from %A2%. %A1% Konto-ID
(Benutzer %A1% hat Uhrzeit/Datum von %A2% %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
geändert.) neering-Werkzeug), von dem aus die Änderungen durchge-
Authentication of the primary %A1% server %A1% Protokoll (RADIUS, LDAP)
%A2% failed. (Authentifizierung des primären %A2% IP-Adresse
%A1%-Servers %A2% fehlgeschlagen.)
%A1% is changed from off to on. (%A1% wird %A1% Name des Binäreingangs (BE)
von OFF auf ON geändert.) Sie können den BE in DIGSI 5 umbenennen. Weitere Informati-
onen finden Sie in 9.3.3 Frei definierbare protokollierte Ereig-
nisse.
%A1% is changed from on to off. (%A1% wird %A1% Name des Binäreingangs (BE)
von ON auf OFF geändert.) Sie können den BE in DIGSI 5 umbenennen. Weitere Informati-
onen finden Sie in 9.3.3 Frei definierbare protokollierte Ereig-
nisse.

C53000-H5000-C081-B, Ausgabe 03.2023

Port %A1%: CH1: %A2% CH2: %A3% %A1% Kommunikationsanschluss E, Port F, Port N oder Port P
%A2% Verbindungsstatus up oder down
%A3% Verbindungsstatus up oder down
Port J: %A1% %A1% Verbindungsstatus up oder down
Successful certificate enrollment for %A1% %A1% Zertifikatsname
from %A2% (Erfolgreiche Zertifikatsregistrie- %A2% IP-Adresse
rung für %A1% von %A2%)
Failed certificate enrollment for %A1% %A1% Zertifikatsname
from %A2% (Fehlgeschlagene Zertifikatsregist- %A2% IP-Adresse
rierung für %A1% von %A2%)
User %A1% uploaded firmware version from %A1% Konto-ID
%A2% to %A3%. (Benutzer %A1% hat Firm- %A2% Firmware-Version
ware-Version von %A2% nach %A3% hochge-
%A3% Firmware-Version
laden.)
Schweregrad Alarm
Die folgende Tabelle zeigt syslog-Meldungen mit Schweregrad Alarm.
Tabelle 9-2 Syslog-Meldungen mit Schweregrad Alarm
Alarm Zusätzliche Information

When logging on with account %A1% (%A2%- %A1% Konto-ID
managed account) from %A3%, 3 incor- %A2% Kontotypen:
rect password entries in succession were
attempted. (Bei der Anmeldung mit dem Konto • Bei produktverwalteten (lokalen) Benutzerkonten ist der
%A1% (%A2%-verwaltetes Konto) von %A3% Kontotyp der Produktname.
wurde das Passwort 3-mal hintereinander • Bei RADIUS-Benutzern ist der Kontotyp RADIUS.
falsch eingegeben.) %A3% %A3% kann Folgendes sein:
• Der benutzerbezogene Name des Produkts, bei dem

Anmeldeversuche erkannt wurden
• Wenn ein Fernbedienplatz verwendet wird, ist %A3% die
IP-Adresse des Fernbedienplatzes.
• Bedieneinheit des Gerätes
3 incorrect password entries in succession %A1% Konto-ID
were attempted while logging on with account %A2% Kontotypen:
%A1% (%A2%-managed account) from %A3%.
(Bei der Anmeldung mit dem Konto %A1% • Bei produktverwalteten (lokalen) Benutzerkonten ist der
(%A2%-verwaltetes Konto) von %A3% wurde Kontotyp LOCAL.
das Passwort 3-mal hintereinander falsch • Bei RADIUS-Benutzern ist der Kontotyp RADIUS.
eingegeben.)
• Bei LDAP-Benutzern ist der Kontotyp LDAP.
%A3% Dies kann Folgendes sein:


C53000-H5000-C081-B, Ausgabe 03.2023

Repeated attempts to log on with account %A1% Konto-ID
%A1% (%A2%-managed account) from %A3% %A2% Kontotypen:
(Wiederholte Anmeldeversuche mit Konto
%A1% (%A2%-verwaltetes Konto) von %A3%) • Bei produktverwalteten (lokalen) Benutzerkonten ist der
Kontotyp LOCAL.
• Bei RADIUS-Benutzern ist der Kontotyp RADIUS.

Account %A1% (%A2%-managed account) will %A1% Konto-ID
be blocked in the next %A3% minutes due %A2% Kontotypen:
to too many unsuccessful login attempts
from %A4%. (Konto %A1% (%A2%-verwaltetes • Bei produktverwalteten (lokalen) Benutzerkonten ist der
Konto) wird in den nächsten %A3% Minuten Kontotyp LOCAL.
aufgrund zu vieler erfolgloser Anmeldever- • Bei RADIUS-Benutzern ist der Kontotyp RADIUS.
suche von %A4% gesperrt.)
%A3% Die konfigurierte Anzahl von Minuten, für die das Konto
gesperrt bleibt

Restart initiated with action: %A1% (Neustart %A1% Zusätzliche Angaben zur genauen Aktion, die den Neustart
initiiert mit Aktion: %A1%) ausgelöst hat, zum Beispiel Aktualisierung der Konfiguration
oder der Firmware
Restart initiated from %A1% with action: %A2% %A1% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
(Neustart initiiert von %A1% mit Aktion: %A2%) neering-Werkzeug), von dem aus die Änderungen durchge-
%A2% Zusätzliche Angaben zur genauen Aktion, die den Neustart
ausgelöst hat, zum Beispiel Parameterübertragung
User %A1% initiated a restart with action: %A1% Konto-ID
%A2%. (Benutzer %A1% hat Neustart initiiert %A2% Zusätzliche Angaben zur genauen Aktion, die den Neustart
mit Aktion: %A2%.) ausgelöst hat, zum Beispiel Aktualisierung der Konfiguration
oder der Firmware
User %A1% initiated a restart from %A2% with %A1% Konto-ID
action: %A3%. (Benutzer %A1% hat Neustart %A2% Vom Benutzer gewählter Fernbedienplatz (zum Beispiel Engi-
von %A2% initiiert mit Aktion: %A3%.) neering-Werkzeug), von dem aus die Änderungen durchge-
führt werden sollen. Wenn Software für den PC verwendet
wird, dann ist dies die IP-Adresse des Rechners.
%A3% Zusätzliche Angaben zur genauen Aktion, die den Neustart
ausgelöst hat, zum Beispiel Parameterübertragung

C53000-H5000-C081-B, Ausgabe 03.2023

Attempted use of illegitimate configuration %A1% Die IP-Adresse des PC, auf dem die nicht autorisierte Software
software from %A1% (Versuchter Einsatz erkannt wurde
unrechtmäßiger Konfigurationssoftware von
%A1%)
Attempted download of invalid firmware file(s) %A1% Die Quelle der nicht autorisierten Konfigurationen, zum
from %A1% (Versuchter Download ungültiger Beispiel die IP-Adresse des PC
Firmware-Datei(en) von %A1%)
Attempted download of unauthorized configu- %A1% Die Quelle der nicht autorisierten Konfigurationen, zum
ration settings from %A1% (Versuchter Down- Beispiel die IP-Adresse des PC
load nicht autorisierter Konfigurationseinstel-
lungen von %A1%)
Attempted download of unauthorized firmware %A1% Die Quelle der nicht autorisierten Firmware-Datei(en), zum
file(s) from %A1% (Versuchter Download nicht Beispiel die IP-Adresse des PC
autorisierter Firmware-Datei(en) von %A1%)
Attempted download of invalid configuration %A1% Die Quelle der ungültigen Konfigurationen, zum Beispiel die
settings from %A1% (Versuchter Download IP-Adresse des PC
ungültiger Konfigurationseinstellungen von
%A1%)
Attempted download of invalid configuration – –
settings (Versuchter Download ungültiger
Konfigurationseinstellungen)
Time-synchronization message is outside of the – –
internal clock. (Zeitsynchronisationsmeldung
weicht vom internen Zeitgeber ab.)
%A1%: hardware deviation %A2%: (%A1%: %A1% Gerätename
Hardware-Abweichung %A2%:) KFG: %A3% %A2% Steckplatznummer oder Portname
HW: %A4%
%A3% Hardware-Informationen, zum Beispiel IO-Typ
Wenn die Hardware nicht in DIGSI 5 konfiguriert wird, fehlt
%A3%.
%A4% Hardware-Informationen, zum Beispiel IO-Typ
Wenn keine Hardware vorhanden ist, fehlt %A4%.

C53000-H5000-C081-B, Ausgabe 03.2023
9.5 Anzeigen der Protokolle
9.5.1 Windows-Ereignisprotokolle
Übersicht
Gemäß Cybersecurity-Standard IEEE 1686 muss DIGSI 5 die sicherheitsrelevanten Ereignisse im Windows-
Ereignisprotokoll dokumentieren. Diese Protokolle können in der Ereignisanzeige eingesehen werden. In der
Ereignisanzeige wird ein Knoten mit dem Namen DIGSI 5 angezeigt. Eine Gruppe mit dem Namen DIGSI
5 SECAUD wird unter dem Knoten Gruppen > Lokale Benutzer und Gruppen im Fenster Computerverwal-
tung Ihres Computers angezeigt.
Die Ereignisse für folgende Vorgänge in DIGSI 5 werden protokolliert:
• DIGSI 5 öffnen
• DIGSI 5 beenden
• Konfiguration in das Gerät laden
• Firmware in das Gerät laden
• DAF (Device Attribute File) in Gerät aktualisieren
• Gerätedaten aktualisieren
• Konfigurationen vom Zielgerät aus aktualisieren
• Online-Gerät ins Projekt kopieren
Einträge des Windows-Ereignisprotokolls anzeigen

So zeigen Sie die Einträge des Windows-Ereignisprotokolls an:
² Klicken Sie auf Start -> Systemsteuerung -> Administrative Tools -> Ereignisanzeige.
– oder –
² Wählen Sie Start > Ausführen... und geben Sie eventvwr in den Dialog ein.
² Klicken Sie auf OK.
Der Dialog Ereignisanzeige wird angezeigt.

C53000-H5000-C081-B, Ausgabe 03.2023
[sc_event_viewer, 1, de_DE]
Bild 9-3 Ereignisanzeige
In der Registerkarte Allgemein werden die Ereigniseigenschaften mit zusätzlichen Informationen zum proto-
kollierten Ereignis angezeigt. Die in der Abbildung angezeigte Ereignis-ID ist die Prozess-ID der DIGSI-Instanz,
für die das Ereignis protokolliert wurde.
Protokolleigenschaften anzeigen – DIGSI 5

² Klicken Sie im Fenster Ereignisanzeige unter dem Ordner Anwendungs- und Dienstprotokolle mit der
rechten Maustaste auf den Knoten DIGSI 5 und wählen Sie im Kontextmenü die Option Eigenschaften
aus.

C53000-H5000-C081-B, Ausgabe 03.2023
Der Dialog Protokolleigenschaften - DIGSI 5 wird angezeigt.
[sc_event_viewer_properties, 1, de_DE]
Bild 9-4 Ereignisanzeige – DIGSI 5-Protokolleigenschaften
Standardmäßig werden die Ereignisprotokolle an folgendem Ort gespeichert:

C:\ProgramData\Siemens Energy\DIGSI 5\EventLog\DIGSI_5_EventLog.evtx
Die maximale Protokollgröße beträgt 4096 KB.
Wenn die maximale Protokollgröße erreicht wurde, wird die Option Volles Protokoll archivieren, Ereignisse
nicht überschreiben standardmäßig aktiviert.
Sie können die gewünschte Option gemäß Ihrer Anforderungen auswählen.
9.5.2 Auditberichte anzeigen
Im Sicherheitsmeldepuffer erfolgt die Protokollierung von Zugriffen auf Bereiche des Gerätes mit einge-
schränktem Zugriffsrecht. Ebenso werden erfolglose und unberechtigte Zugriffsversuche aufgezeichnet. Im
Sicherheitsmeldepuffer können bis zu 2048 Meldungen gespeichert werden.
Die protokollierten Meldungen sind unveränderbar vorkonfiguriert. Sie können diese als Ringpuffer organis-
ierten Meldepuffer nicht löschen. Wollen Sie sicherheitsrelevante Informationen ohne Informationsverlust aus
dem Gerät archivieren, so müssen Sie die Meldepuffer regelmäßig ansehen.

C53000-H5000-C081-B, Ausgabe 03.2023
Anzeigen der Sicherheitsmeldepuffer in DIGSI 5

So greifen Sie in DIGSI 5 auf die Sicherheitsmeldepuffer Ihres SIPROTEC 5-Gerätes zu:
• Navigieren Sie im Fenster Projektnavigation zu Projekt > Online-Zugänge > Gerät > Geräteinformation
> Meldepuffer > Sicherheitsmeldungen.
Der Online-Zugriff auf das Gerät muss möglich sein.
•
Klicken Sie in der Kopfzeile auf die Schaltfläche , um die Inhalte zu aktualisieren.
Es wird der Zustand der zuletzt aus dem Gerät geladenen Sicherheitsmeldepuffer angezeigt.
[sc_secmld, 2, de_DE]
Bild 9-5 Anzeigen der Sicherheitsmeldepuffer in DIGSI 5
Anzeige der Sicherheitsmeldepuffer über die Bedieneinheit des Gerätes
• Navigieren Sie auf der Bedieneinheit des Geräts zu Hauptmenü > Test & Diagnose > Meldepuffer >
Sicherheitsmeldungen.
• An der Geräte-Bedieneinheit können Sie mit den Navigationstasten (oben/unten) die angezeigte
Meldungsliste durchsuchen.
[sc_seclog, 1, de_DE]
Bild 9-6 Anzeigen des Sicherheitsmeldepuffers an der Geräte-Bedieneinheit

C53000-H5000-C081-B, Ausgabe 03.2023
10 Gerätekonfiguration zurücksetzen
10.1 Sichere Anmeldedaten und Zurücksetzen der Konfiguration 112

10.2 Sicheres Zurücksetzen auf die Werkseinstellungen 114

C53000-H5000-C081-B, Ausgabe 03.2023
Gerätekonfiguration zurücksetzen
10.1 Sichere Anmeldedaten und Zurücksetzen der Konfiguration
10.1.1 Herunterladen der Datei zum Rücksetzen der Sicherheitsanmeldedaten und

Konfiguration (SCRF)
HINWEIS
i Sichern und speichern Sie die SCRF-Datei bei der Inbetriebnahme des Gerätes an einem sicheren Ort, da
jeder diese Datei verwenden kann.
Nur Benutzerkonten mit der Rolle SECADM oder Administrator sind berechtigt, die SCRF-Datei von einem Gerät
herunterzuladen.
Herunterladen der SCRF-Datei

² Schließen Sie das SIPROTEC 5-Gerät mit einem Netzwerkkabel an einen PC an.
² Starten Sie DIGSI 5.
² Wählen Sie das Gerät aus und aktivieren Sie die RBAC-Funktion.
² Öffnen Sie den Menüeintrag Online.
² Wählen Sie Sicherheit -> Datei zum Zurücksetzen der Anmeldedaten herunterladen....
[sc_download_scrf, 2, de_DE]
Bild 10-1 Herunterladen der SCRF-Datei
² Wählen Sie einen Speicherort auf dem PC, z.B. D:\Siprotec5Sicherheitsdaten.

² Bestätigen Sie die Aktion mit OK.
10.1.2 Sicherheitseinstellungen zurücksetzen
Wenn die Verbindung zum Authentifizierungsserver unterbrochen oder der Notfallzugang nicht eingerichtet
wurde, können die Sicherheitseinstellungen des Gerätes zurückgesetzt werden, um wieder interaktiv auf
Geräte zugreifen zu können, bei denen RBAC aktiviert ist.
Vor dem Zurücksetzen der Sicherheitseinstellungen ist Folgendes zu beachten:
• Jedes Gerät hat eine eindeutige SCRF-Datei.

Mit einer SCRF-Datei können nur die Sicherheitseinstellungen des Geräts zurückgesetzt werden, von dem
die SCRF heruntergeladen wurde.

C53000-H5000-C081-B, Ausgabe 03.2023
• Der Umgang mit der SCRF-Datei muss jederzeit äußerst sorgsam erfolgen, um unberechtigten Zugriff auf
diese Dateien zu verhindern.
Denn unabhängig von den zugewiesenen Rollen kann jeder die Sicherheitseinstellungen eines Gerätes
durch Hochladen einer SCRF-Datei in das Gerät zurücksetzen. Daher muss die SCRF-Datei nach dem
Zurücksetzen effektiv vom PC entfernt werden.
• Mit einer SCRF-Datei können die Sicherheitseinstellungen immer zurückgesetzt werden.
Zurücksetzen der Sicherheitseinstellungen

² Speichern Sie die SCRF-Datei auf dem PC.
² Wählen Sie das Gerät aus und öffnen Sie den Menüeintrag Online.
² Wählen Sie Sicherheit -> Anmeldedaten zurücksetzen....
[sc_upload_scrf_en, 1, de_DE]
Bild 10-2 Hochladen der SCRF-Datei
² Übertragen Sie die SCRF-Datei auf das Gerät.

Bei erfolgreicher Rücksetzung zeigt DIGSI eine Meldung an und alle Sicherheitseinstellungen im SIPROTEC 5-
Gerät sind deaktiviert.
HINWEIS
i Nach dem Hochladen einer SCRF-Datei werden die Sicherheitseinstellungen auf der Bedieneinheit des
Gerätes und auf der browser-basierten Benutzeroberfläche nicht aktualisiert. Zum Aktualisieren ist ein
Neustart erforderlich. Um Auswirkungen auf die Schutzfunktionen zu vermeiden, startet das Gerät nicht
automatisch neu. Sie können den Neustart des Gerätes entsprechend der aktuellen Situation festlegen.

C53000-H5000-C081-B, Ausgabe 03.2023
10.2 Sicheres Zurücksetzen auf die Werkseinstellungen
10.2.1 Herunterladen der Datei zum sicheren Zurücksetzen auf Werkseinstellungen

(SFRF)
Um ein SIPROTEC 5-Gerät wieder in den Auslieferzustand zu versetzen, müssen Sie zuerst die signierte SFRF-
Datei vom Gerät herunterladen.
HINWEIS
i Sichern und speichern Sie die SFRF-Datei bei der Inbetriebnahme des Gerätes an einem sicheren Ort, da
jeder diese Datei verwenden kann.
Zur Konfiguration der Werkseinstellungen ist die Rolle des Sicherheitsadministrators erforderlich.
Herunterladen der SFRF-Datei

² Wählen Sie das Gerät aus und aktivieren Sie die RBAC-Funktion.
² Wählen Sie Sicherheit > Datei zum Zurücksetzen auf Werkseinstellungen herunterladen....
[sc_download_sfrf, 2, de_DE]
Bild 10-3 Herunterladen der SFRF-Datei
² Wählen Sie einen Speicherort auf dem PC, z.B. D:\Siprotec5Sicherheitsdaten.

² Bestätigen Sie die Aktion mit OK.
² Sichern und speichern Sie die SFRF-Datei an einem sicheren Ort.
10.2.2 Zurücksetzen auf die Werkseinstellungen
Zur Wiederherstellung der Werkseinstellungen laden Sie die SFRF-Datei in das Gerät.
Vor dem Zurücksetzen der Sicherheitseinstellungen müssen Sie Folgendes beachten:
• Jedes Gerät hat eine eindeutige SFRF-Datei.

Mit einer SFRF-Datei können nur die Sicherheitseinstellungen des Geräts zurückgesetzt werden, von dem
die SFRF heruntergeladen wurde.

C53000-H5000-C081-B, Ausgabe 03.2023
• Der Umgang mit der SFRF-Datei muss jederzeit äußerst sorgsam erfolgen, um unberechtigten Zugriff auf
diese Dateien zu verhindern.
Denn unabhängig von der/den zugewiesenen Rolle/n kann jeder das Gerät durch Hochladen einer SFRF-
Datei in das Gerät auf Werkseinstellungen zurücksetzen. Daher muss die SFRF-Datei nach dem Zurück-
setzen effektiv vom PC entfernt werden.
• Mit einer SFRF-Datei kann ein SIPROTEC 5-Gerät immer auf Werkseinstellungen zurückgesetzt werden.
Zurücksetzen auf Werkseinstellungen

² Speichern Sie die SFRF-Datei auf dem PC.
² Wählen Sie Sicherheit > Rücksetzen auf Werkseinstellungen....
[sc_SFRF, 1, de_DE]
² Übertragen Sie die SFRF-Datei auf das Gerät.

Nach dem Neustart des Gerätes sind die Werkseinstellungen wiederhergestellt.
HINWEIS
i Alle Daten auf dem Gerät sowie die Sicherheits- und Schutzeinstellungen werden beim Laden der SFRF-
Datei gelöscht.

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
11 Sicheres Patch-Management
11.1 Allgemein 118

11.2 SIPROTEC 5 Patch-Management 119
11.3 DIGSI 5 Patch-Management 120

C53000-H5000-C081-B, Ausgabe 03.2023
Sicheres Patch-Management
11.1 Allgemein
11.1 Allgemein
Der Patch-Management-Prozess erfolgt gemäß Kapitel 2.1.1.3 des BDEW-Whitepaper.
Das Gesamtsystem sollte die Installation von Patches aller Systemkomponenten während des normalen
Systembetriebs zulassen. Die Installation eines Patches sollte ohne Unterbrechung des normalen Systembet-
riebs möglich sein und mit wenig Auswirkungen auf die Verfügbarkeit des Systems. Zum Beispiel sollte es
nicht notwendig sein, die Primärsysteme für Erzeugung, Übertragung oder Verteilung herunterzufahren, um
Updates auf Sekundärsystemen durchzuführen. Vorzugsweise werden die Patches zuerst auf passiven Redun-
danzkomponenten installiert. Nach der Umschaltung (Wechsel der aktiven Komponente im redundanten
System) und einer nachfolgenden Prüfung wird der Patch auf den restlichen Komponenten installiert.
Ein Patch-Management-Prozess für das gesamte System sollte unterstützt werden. Dieser Prozess sollte
Prüfung, Installation und Dokumentation von Sicherheits-Patches und System-Updates verwalten. Generell
sollte es möglich sein, dass das Betriebspersonal, das das System verwaltet, auch die Patches und Updates
installiert. Installation und Deinstallation von Patches und Updates sollten durch den Systembetreiber autori-
siert werden und nicht automatisch durchgeführt werden.

C53000-H5000-C081-B, Ausgabe 03.2023
11.2 SIPROTEC 5 Patch-Management
11.2 SIPROTEC 5 Patch-Management

Um sicherzustellen, dass die SIPROTEC 5-Geräte die neueste Firmware verwenden, können Sie alle Firmware-
Dateien für diese Geräte einzeln herunterladen und aktualisieren.
Während der Aktualisierung der Firmware ist das betreffende Gerät nicht betriebsbereit. Wenn eine Unterbre-
chung des Normalbetriebs nicht akzeptabel ist und Sie einen kontinuierlichen Betrieb sicherstellen möchten,
setzen Sie redundante Systeme ein.
Für die Produktentwicklung von SIPROTEC 5 hat Siemens einen Patch-Management-Prozess, der alle Firmware-
Stände sowie die entsprechenden Verbesserungen zur Nachverfolgung dokumentiert.

C53000-H5000-C081-B, Ausgabe 03.2023
11.3 DIGSI 5 Patch-Management
11.3 DIGSI 5 Patch-Management

Sie können die DIGSI 5-Installationen mit Wartungsupdates und Hotfixes aktualisieren.
Für die Entwicklung von DIGSI 5 hat Siemens einen Patch-Management-Prozess. Alle enthaltenen Versionen,
Verbesserungen und Bereinigungen von Software-Fehlern werden zur Nachverfolgung dokumentiert. Sicher-
heitsupdates für Komponenten von Fremdherstellern, die von DIGSI 5 verwendet werden (z.B. Windows-
Betriebssystem), werden in diesem Rahmen ebenfalls getestet und für DIGSI 5 freigegeben. Siemens bietet die
Updates kostenfrei an.
Ab V3.00 kann DIGSI 5 melden, ob ein deaktivierter Gerätetreiber installiert wurde. Normalerweise führt
der für die Systempflege verantwortliche Systembediener oder Servicetechniker die entsprechende Instal-
lation durch. Weitere Informationen zu Updates von SIPROTEC 5 für Sicherheitslücken finden Sie unter
www.siemens.com/cert/advisories.

C53000-H5000-C081-B, Ausgabe 03.2023
12 Datenschutzbestimmungen
Siemens berücksichtigt bei der Konzeption und Entwicklung der SIPROTEC 5-Produkte auch Datenschutza-
spekte in Bezug auf den Netzbetrieb. Dieser Ansatz findet sich in den folgenden technischen Maßnahmen
wieder, die in den SIPROTEC 5-Produkten umgesetzt wurden.
Tabelle 12-1 Datenschutzaspekte
Anforderungen Bemerkungen
Zugriffskontrolle auf persönliche Der Sicherheitsmeldepuffer enthält Informationen zu sicherheitsrelevanten Akti-
Daten in den Produkten onen. Wenn Sie RBAC im Gerät aktivieren, enthalten diese protokollierten Informati-
onen auch den Anmeldenamen der Person, die die Aktionen ausgeführt hat.
Die Zugriffskontrolle im Gerät garantiert, dass nur authentifizierte und autorisierte
Personen mit der Rolle SECAUD oder Administrator auf den Sicherheitsmeldepuffer
zugreifen können.
Passwortpflicht Für den Zugriff auf den Sicherheitsmeldepuffer, in dem persönliche Daten protokol-
liert sind, muss sich der Benutzer mit der Rolle SECAUD oder Administrator mit dem
korrekten Passwort am Gerät anmelden.
Angemessene Verschlüsselung der Die Datenverschlüsselung der SIPROTEC 5-Geräte entspricht den modernsten Stan-
Daten bei der Speicherung (Data at dards im Schutzgerätemarkt.
Rest) und der Übertragung (Data in
Motion)
Automatische Abmeldefunktionen Nach einer festgelegten Zeit der Inaktivität werden die angemeldeten Benutzer
automatisch vom Gerät abgemeldet.
Möglichkeit der Löschung Sie können die Einträge des Sicherheitsmeldepuffers aus dem Gerät löschen, indem
sie das Gerät auf die Werkseinstellungen zurücksetzen.
Sie können den lokalen Benutzer-Cache löschen, indem Sie die Funktion des lokalen
Benutzer-Caches im Gerät deaktivieren.
Weitere Informationen hierzu siehe Kapitel 3.2.4 Benutzerpuffergröße.
Zwei-Faktor-Authentifizierung, Das Gerät ist nicht für den direkten Fernzugriff z.B. über das Internet oder andere
wenn nötig ungeschützte Netzwerke vorgesehen. Daher ist die Zwei-Faktor-Authentifizierung
nicht erforderlich.
In Zwei-Faktor-Authentifizierungssystemen wie RSA SecureID erzeugt ein Generator
für physische Token Einmalpasswörter (OTP) für das zentral verwaltete Konto eines
Benutzers. Diese Einmalpasswörter können zur Anmeldung an SIPROTEC 5-Geräten
verwendet werden.
Zusätzliche Informationen zu Persönliche Daten werden nur bei aktiviertem RBAC erfasst und im Sicherheitsmel-
produktspezifischen Maßnahmen depuffer gespeichert.
Die Anmeldedaten (Benutzername, Passwort und Rolle) von bereits angemeldeten
Benutzern werden nur gespeichert, wenn die Benutzer-Cache-Funktion von RBAC
aktiviert ist.
Sie können alle persönliche Daten wie folgt löschen:
• Löschen Sie zuerst den lokalen Benutzer-Cache, indem Sie die Funktion lokaler
Benutzer-Cache im Gerät deaktivieren.
• Löschen Sie danach die Einträge des Meldepuffers aus dem Gerät, indem sie
das Gerät auf die Werkseinstellungen zurücksetzen.

C53000-H5000-C081-B, Ausgabe 03.2023
Datenschutzbestimmungen
HINWEIS
i Siemens empfiehlt, die Verantwortung Ihrer Organisation in Bezug auf die Einhaltung der Vorgaben der
DSGVO zu beachten. Weitere Informationen siehe Artikel 25 Datenschutz durch Technikgestaltung
und durch datenschutzfreundliche Voreinstellungen der DSGVO (https://edpb.europa.eu/sites/edpb/files/
consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf).

C53000-H5000-C081-B, Ausgabe 03.2023
A Anhang
A.1 Signale für die Sicherheit 124

C53000-H5000-C081-B, Ausgabe 03.2023
Anhang
A.1 Signale für die Sicherheit

DIGSI 5 bietet die folgenden Signale, um Sie bei der Untersuchung von sicherheitsrelevanten Aktivitäten zu
unterstützen.
Nr. Information Zweck
DIGSI 5-Pfad: Zielprojekt > Informationsrangierung > Security > Sicherheitsprotok. > Sicherh. Prot.
_:2761:19021:501 >Binärinfo. 1 Diese Binäreingangssignale dienen der Protokollierung benutzer-
_:2761:19021:502 >Binärinfo. 2 definierter Ereignisse.
_:2761:19021:503 >Binärinfo. 3 Weitere Informationen siehe 9.3.3 Frei definierbare protokol-
lierte Ereignisse.
_:2761:19021:504 >Binärinfo. 4
_:2761:19021:505 >Binärinfo. 5
_:2761:19021:506 >Binärinfo. 6
_:2761:19021:507 >Binärinfo. 7
_:2761:19021:508 >Binärinfo. 8
_:2761:19021:300 Kapazitätswarnung Wenn Sie dieses Signal rangieren, wird das Signal ausgegeben,
sobald die gespeicherten Protokolleinträge auf den eingestellten
Schwellwert des Parameters Security Log Kap Warn.
ansteigen.
_:2761:19021:301 Benutzer abgemeldet Ein Benutzer beendet eine interaktive Sitzung.
_:2761:19021:302 Ben. abgem. (Timeout) Eine interaktive Sitzung wird aufgrund einer Zeitüberschreitung
beendet.
_:2761:19021:303 Anmeldung fehlgeschl. Anmeldung fehlgeschlagen.
_:2761:19021:304 Anmeld. fehlg. - block. Ein Benutzer ist aufgrund mehrerer fehlgeschlagener Anmelde-
versuche gesperrt.
_:2761:19021:305 Benutzer angemeldet Ein Benutzer meldet sich erfolgreich an.
_:2761:19021:306 Prozessdat. ersetzen Ein Benutzer überschreibt die Realdaten manuell.
_:2761:19021:307 Prüfung Ein Benutzer führt eine Steuerungshandlung aus.
_:2761:19021:308 Download-Konfigurat. Konfigurationen wurden vom Gerät heruntergeladen.
_:2761:19021:309 Upload-Konfiguration Konfiguration wurden in das Gerät hochgeladen.
_:2761:19021:310 Konfiguration geändert Gerätekonfigurationen wurden geändert.
_:2761:19021:311 Firmware-Update Die Geräte-Firmware wurde aktualisiert.
_:2761:19021:312 Passwort geändert Das Passwort eines Kontos wurde geändert.
_:2761:19021:313 Passwort gelöscht Das Passwort eines Kontos wurde gelöscht.
_:2761:19021:314 Sicherh.prot. abgefr. Der Auditbericht wurde eingesehen.
_:2761:19021:315 Sich.prot. herunt.gel. Der Auditbericht wurde vom Gerät heruntergeladen.
_:2761:19021:316 Datum/Zeit geändert Uhrzeit oder Datum des Gerätes wurde geändert.
_:2761:19021:319 Neustart des Gerätes Das Gerät wurde neu gestartet.
_:2761:19021:320 ung. Firmw/Konfig. upl. Die hochgeladenen Konfigurationen oder Firmware-Einstel-
lungen sind ungültig, z.B. ist die Signatur des SIPROTEC 5-Gerätes
ungültig.
_:2761:19021:321 Fehler Zeitsynchronis. Zeitsynchronisation fehlgeschlagen.

C53000-H5000-C081-B, Ausgabe 03.2023
Anhang
Nr. Information Zweck

DIGSI 5-Pfad: Zielprojekt > Informationsrangierung > Gerät
_:321 Cyber Security Status Zeigt den Status einer Anmeldung an, die mit einem Verbin-
dungspasswort hergestellt wurde:
• Anmeldung blockiert
Das Verbindungspasswort wird gesperrt, wenn ein
Benutzer öfter als 5 Mal ein falsches Verbindungspasswort
eingibt.
• Anmeld. reaktiviert
Das Verbindungspasswort ist reaktiviert worden.
Weitere Informationen über das Verbindungspasswort siehe
3.1 Zugriffskontrolle mit Verbindungspasswort.
_:322 Cyber-Security-Ereig. Diese Signalgruppe enthält die folgenden Signale:
• PW-Änderung OK
Änderung des Verbindungspasswortes erfolgreich
• PW-Änderung nicht OK
Änderung des Verbindungspasswortes fehlgeschlagen
• Anmeldung OK
Anmeldung erfolgreich
• Anmeldung nicht OK
Anmeldung fehlgeschlagen
• PW-Aktivierung OK
Aktivierung des Passwortes erfolgreich
• PW-Aktivierung n. OK
Aktivierung des Passwortes fehlgeschlagen
• PW-Deaktivierung OK
Deaktivierung des Passwortes erfolgreich
• PW-Deaktivierg. n.OK
Deaktivierung des Passwortes fehlgeschlagen

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
Literaturverzeichnis
/1/ Online-Hilfe DIGSI 5

C53000-D5000-C001
/2/ Systemhärtung für Stationsautomatisierung und Schutz
E50417-H8900-C619
/3/ SIPROTEC 5, Betrieb
C53000-D5000-C003

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
Glossar
DIGSI
Konfigurationssoftware für SIPROTEC
GOOSE
Generic Object-Oriented Substation Event
SIPROTEC
Die eingetragene Marke SIPROTEC bezeichnet die Produktfamilie der Siemens-Schutzgeräte und -Stör-
schreiber.
SIPROTEC 5-Gerät
Dieser Objekttyp repräsentiert ein reales SIPROTEC-Gerät mit allen darin enthaltenen Einstellwerten und
Prozessdaten.

C53000-H5000-C081-B, Ausgabe 03.2023
C53000-H5000-C081-B, Ausgabe 03.2023
A R
Anmeldeversuche 32 RADIUS-Server
Authentifizieren 25 Konfiguration in DIGSI 5 30
RBAC 27
Aktivierung 28
Authentifizierungsserver 27
B Benutzernamen 39
Einleitung 27
Benutzerpuffergröße 33 Rollenbasierte Ansichten 42
D S
Diagnose 21 Sicherheit 63
Sicherheitseinstellungen in Gerät laden 33
Sicherheitsmeldepuffer 109
Syslog-Server 94
L Systemhärtung
Annahmen und Randbedingungen 19
LDAP-Server Ziele 18
Konfiguration in DIGSI 5 31
T
M
Technologien 12
Maßnahmen zur Härtung 22
V
N
Verbindungspasswort 25
Normen 13 deaktivieren 25
Einleitung 24
Konfiguration 24
rücksetzen 25
O
Zeichenbeschränkung 24
Offene Ports 20
W
P
Wichtige Sicherheitsanforderungen 14
Patch-Management-Prozess 118

C53000-H5000-C081-B, Ausgabe 03.2023
Z
Zeitüberschreitung 65
Beispiel zum Hochladen eines Zertifikats 81
CSR exportieren 80
Signierte Zertifikate 79
Vorbedingungen 78
Zugriffskontrolle 23
Zuweisung von Rechten und unterstützten Rollen 35

C53000-H5000-C081-B, Ausgabe 03.2023

SIP5 Security V09.50 Manual C081-B de

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

SIP5 Security V09.50 Manual C081-B de

Hochgeladen von

Copyright:

Verfügbare Formate

Vorwort

Zweck des Handbuchs

• Grundlegend sichere Konfiguration

• Sicherheitsbezogene Geräteeinstellungen, Parameter für Security-Funktionen und Standardwerte

• Maßnahmen zur Systemhärtung

• Matrix zur Kommunikationsschnittstelle

• Anweisungen für sicherheitsbewusstes Verhalten, z.B. Systemsicherung und Systemwiederherstellung

• Erläuterungen zu sicherheitsspezifischen Protokoll- und Audit-Meldungen, möglichen Ursachen und

SIPROTEC 5, Sicherheit, Handbuch 3

4 SIPROTEC 5, Sicherheit, Handbuch

• SIPROTEC 5/DIGSI 5 Tutorial

Angaben zur Konformität

IND. CONT. EQ.

Customer Support Center

SIPROTEC 5, Sicherheit, Handbuch 5

90459 Nürnberg Internet: www.siemens.com/poweracademy

Hinweise zu Ihrer Sicherheit

6 SIPROTEC 5, Sicherheit, Handbuch

2 Maßnahmen zur Systemhärtung................................................................................................................17

SIPROTEC 5, Sicherheit, Handbuch 7

5 Schutz gegen DoS-Angriffe........................................................................................................................ 55

8 Sicherung und Wiederherstellung............................................................................................................. 85

8 SIPROTEC 5, Sicherheit, Handbuch

9.4 Protokollierte Sicherheitsereignisse................................................................................... 97

SIPROTEC 5, Sicherheit, Handbuch 9

SIPROTEC 5, Sicherheit, Handbuch 11

• Rangierbare Standardprotokolle, z.B. IP und TCP

• Verbindung von in der Vergangenheit isolierten Netzwerken, z.B. abgesetzte Stationen

• Standard-Software-Komponenten, z.B. OEM-Betriebssysteme (Original Equipment Manufacture - Original-

12 SIPROTEC 5, Sicherheit, Handbuch

1.2 Beachtung von Normen

SIPROTEC 5, Sicherheit, Handbuch 13

• Authentifizierung und Autorisierung der Benutzer

• Sicherstellung der Integrität der übertragenen Daten

• Schutz gegen Viren, Trojaner und andere Schadprogramme

• Sammlung und Speicherung von Protokolldateien

• Betrieb des Systems in einer geschützten Umgebung (physische Sicherheit)

• Nur Aktivierung der erforderlichen Dienste und Ports

14 SIPROTEC 5, Sicherheit, Handbuch

Tabelle 1-1 Unterstützte Dienste in CPUs (RJ45) und Kommunikationsmodulen

1 Das Symbol ■ zeigt an, dass der Dienst unterstützt wird.

SIPROTEC 5, Sicherheit, Handbuch 15

SIPROTEC 5, Sicherheit, Handbuch 17

• Reduzierung der Möglichkeiten zur Ausnutzung von Schwachstellen

• Minimierung möglicher Angriffsmethoden

• Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs

18 SIPROTEC 5, Sicherheit, Handbuch

2.2 Vorgesehene Betriebsumgebung

• Die Leitstelle kommuniziert nicht direkt mit dem SIPROTEC 5-Gerät.

• Die Unterstation ist physikalisch gesichert (Sicherheitszone).

• In den SIPROTEC 5-Geräten ist die rollenbasierte Zugriffskontrolle (RBAC) aktiviert.

• Der Zeit-Server ist konfiguriert und die Gerätezeit wurde synchronisiert.

SIPROTEC 5, Sicherheit, Handbuch 19

2.3 Unterstützte LAN-Services

2.3.1 Verzeichnis der erforderlichen offenen Ports

Tabelle 2-1 Verzeichnis der erforderlichen offenen Ports

Dienst Layer 4- Layer 7- Typischer Client- Typischer Server- Main- Kommu-

3 UDP: User Datagram Protocol

20 SIPROTEC 5, Sicherheit, Handbuch

Dienst Layer 4- Layer 7- Typischer Client- Typischer Server- Main- Kommu-

Weitere Informationen zu den unterstützten Kommunikationsprotokollen siehe SIPROTEC 5-Handbuch

2.3.2 Deaktivierung unnötiger System- und Kommunikationsdienste

5 LDAP: Lightweight Directory Access Protocol