Empfohlene Maßnahmen
Ihr Gerät ist für den Einsatz in einer geschützten Umgebung konzipiert, in der eine Defense-in-Depth-Strategie genutzt wird, die konform mit IEC 62443, der globalen Norm für die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen, ist.
Um die Sicherheit Ihres Geräts zu gewährleisten, müssen Sie in jeder Phase des Produktlebenszyklus bestimmte Maßnahmen ergreifen.
HINWEIS: Die nachstehende Liste der empfohlenen Maßnahmen ist keine vollständige Liste mit möglichen Cybersicherheitsmaßnahmen. Sie ist als Ausgangsbasis zur Verbesserung der Sicherheit Ihres Geräts in einer geschützten Umgebung vorgesehen. Ziehen Sie Cybersicherheitsexperten für Planung, Konfiguration, Betrieb, Wartung und Ausmusterung Ihres Geräts basierend auf Ihren Anforderungen hinzu.
Die folgende Tabelle enthält die von uns empfohlenen Maßnahmen gruppiert nach Lebenszyklusphase, mit denen Sie Ihr Gerät in einer geschützten Umgebung sichern können:
| Empfohlene Maßnahme | Defense-in-Depth-Rolle |
|---|---|
| Planung | |
| Lesen Sie Sensibilisierung für Cybersicherheit | Ressourcen zur Steigerung Ihrer Cybersicherheitskenntnisse und -sensibilisierung. |
| Lesen Sie die System-Defense-in-Depth-Annahmen durch | Machen Sie sich mit den Sicherheitsmaßnahmen vertraut, die als Voraussetzungen für die Umgebung gelten, in der das Gerät verwendet werden soll. |
| Lesen Sie die Sicherheitsfunktionen des Geräts durch | Machen Sie sich damit vertraut, wie die Sicherheitsfunktionen des Geräts in einer geschützten Umgebung genutzt werden können. |
| Lesen Sie die Sicherheitsrisiken und Risikominderungsstrategien durch | Machen Sie sich mit den entsprechenden Sicherheitsrisiken und Risikominderungsstrategien vertraut, um Risiken zu minimieren. |
| Konfigurieren | |
| Ändern Sie das Standardkennwort* | Zur Eindämmung unbefugter Zugriffe. Konto-Standardeinstellungen bilden häufig ein Einfallstor für unbefugte Zugriffe durch böswillige Benutzer. |
| Deaktivieren Sie Messgerätkonfigurationsmethoden* | Durch die Einschränkung von Konfigurationsoptionen und die Bereitstellung eines schreibgeschützten Zugriffs wird die Angriffsfläche des Messgeräts verringert. |
| Deaktivieren Sie Webseiten- und Zeitsynchronisationsquellen* |
Deaktivieren Sie die Webseiten, damit kein Webbrowser auf die Messgerätdaten zugreifen kann. Wenn Ihr Messgerät außerhalb Ihres geschützten Netzwerks über einen Webbrowser zugänglich ist, könnte ein böswilliger Benutzer die Kommunikation mitlesen. Deaktivieren Sie die Möglichkeit, die Zeitquelle des Messgeräts zu ändern, um zu verhindern, dass eine getarnte Kommunikation von einer unbekannten Quelle als vertrauenswürdig eingestuft wird und Zeitstempel möglicherweise ihre Gültigkeit verlieren. |
| Legen Sie Sperren und Ereigniszeitüberschreitungen fest* |
Sperren Sie Konten nach einer festgelegten Anzahl von erfolglosen Anmeldeversuchen. Sperren tragen dazu bei, dass kennwortbasierte BruteForce-Angriffe keinen Erfolg haben. |
| Beschränken Sie den Benutzerzugriff* |
Beschränken Sie den Benutzerzugriff jeweils auf die geringste Zugangsstufe mit den wenigsten Rechten, die ein Benutzer braucht, um seine Tätigkeit ausüben zu können. Widerrufen Sie Benutzerrechte, wenn diese aufgrund einer Rollenänderung, Versetzung oder Kündigung nicht länger benötigt werden. |
| Messgerätzugriffs-Ereignisprotokollierung bearbeiten * | Bearbeiten Sie die Standardprioritäten für Messgerätzugriffsereignisse, die im Ereignisprotokoll aufgezeichnet werden, um den Anforderungen Ihres Berichtswesens zu genügen. |
| Erstellen und ändern Sie Benutzerkennwörter* |
Erstellen Sie starke Kennwörter für jeden Benutzer, der Zugriff auf das Messgerät erfordert. Konto-Standardeinstellungen und schwache Kennwörter bilden häufig ein Einfallstor für unbefugte Zugriffe durch böswillige Benutzer. Führen Sie die vorgegebenen Aufgaben Ihres Unternehmens zur Benutzerkontoverwaltung durch oder wenden Sie sich an Ihren Netzwerkadministrator für beispielsweise das maximale Kennwortalter oder für Verlaufsrichtlinien. |
| Richten Sie die erweiterte Sicherheit ein* |
Die erweiterte Sicherheit ist der werkseitig eingestellte Messgerät-Sicherheitsmodus. Wenn Ihr Messgerät den Standard-Sicherheitsmodus verwendet, empfehlen wir den Wechsel zur erweiterten Sicherheit. |
|
Deaktivieren Sie nicht benutzte Protokolle und ändern Sie Standard-Portnummern |
Deaktivieren Sie unnötige und nicht verwendete Kommunikationsprotokolle und -schnittstellen, wie z. B. SFTP und Netzwerkschnittstellen, um die Angriffsfläche des Messgeräts zu verringern. Durch die Änderung der Portnummern-Standardwerte wird die Vorhersehbarkeit der Portnutzung erschwert. |
| Aktivieren Sie die Verrechnungssicherheit des Messgeräts und verwenden Sie Manipulationsschutz-Plombierpunkte | Sperrschalter für die Verrechnungsmessung mit Manipulationsschutzplombierung, um eine Änderung von Verrechnungsparametern, -einstellungen und -daten aus der Ferne zu verhindern. |
| Überprüfen Sie die Messgerät-Sicherheitskonfiguration. | |
|
Weisen Sie einen vorgesehenen Leser für Ereignisprotokoll-Benachrichtigungen zu |
Wenn ein vorgesehener Leser zugewiesen wird, kann dadurch verhindert werden, dass Ereignisprotokolleinträge vor ihrer Überprüfung überschrieben werden. |
| Konfigurieren Sie Syslog, um Ereignisprotokolle zu speichern |
Ein Syslog-Server kann Protokolle von mehreren Geräten empfangen und die Protokollinformationen nach Bedarf speichern. Syslog bewahrt Messgerät-Protokollinformationen für längere Zeiträume auf. Siehe Syslog. |
| Betrieb | |
| Überwachen Sie das Ereignisprotokoll | Sie können Ereignisprotokolle auf verdächtige Aktivitäten überwachen und mit ihrer Hilfe die Ursachen von Cybersicherheitsverletzungen ermitteln, die zu einem Cybersicherheitsvorfall führen könnten. |
| Melden Sie einen Cybersicherheitsvorfall oder eine Cybersicherheitslücke | Melden Sie |
| Pflegen | |
| Wenden Sie Firmware-Aktualisierungen an | Indem Sie die Geräte-Firmware auf dem neuesten Stand halten, schützen Sie sich vor Sicherheitslücken. |
| Überprüfen Sie die Sperrung der Verrechnungsmessung und die Manipulationsschutzplomben | Halten Sie die Richtlinien und Normen Ihres Unternehmens ein, indem Sie regelmäßig die Sperren und Plomben des Geräts kontrollieren, um sich zu vergewissern, dass das Gerät nicht manipuliert wurde. |
| Überprüfen Sie Benutzerkonten in regelmäßigen Abständen |
Beschränken Sie den Benutzerzugriff jeweils auf die geringste Zugangsstufe mit den wenigsten Rechten, die ein Benutzer braucht, um seine Tätigkeit ausüben zu können. Widerrufen Sie Benutzerrechte, wenn diese aufgrund einer Rollenänderung, Versetzung oder Kündigung nicht länger benötigt werden. Weitere Informationen hierzu finden Sie unter Benutzerzugriff beschränken. |
|
Halten Sie Ihre Netzwerksicherheit auf dem neuesten Stand |
Damit verringern Sie Ihre Angriffsfläche und senken die Wahrscheinlichkeit von Sicherheitslücken. |
|
Führen Sie Sicherheitsaudits durch |
Damit können Sie den Sicherheitsstatus Ihres Systems überprüfen. |
| Ausmustern | |
| Zeichnen Sie Ausmusterungsaktivitäten auf | Dokumentieren Sie Entsorgungsaktionen gemäß den Richtlinien und Normen Ihres Unternehmens, damit entsprechende Aufzeichnungen der Aktivitäten vorhanden sind. |
| Löschen Sie das Gerät | Damit verhindern Sie eine potenzielle Offenlegung von Daten. |
| Mustern Sie entsprechende Regeln aus und bereinigen Sie Datensätze |
Führen Sie die vorgegebenen Aufgaben Ihres Unternehmens zur Ausmusterung und Bereinigung durch oder wenden Sie sich an Ihren Netzwerkadministrator. Mustern Sie Netzwerk- und Sicherheitsregeln aus, wie z. B. eine Firewall-Regel, mit der die Firewall überwunden werden könnte. Führen Sie Bereinigungsaufgaben mit einer Datensatznachverfolgung durch, um Datensätze aus verwandten Systemen, wie z. B. SNMP-Überwachungsservern, zu entfernen. |
| Entsorgen, verwerten oder recyceln Sie das Gerät | Beachten Sie die lokalen Entsorgungsvorschriften. |
* Ausführliche Informationen zu den Standard-Sicherheitseinstellungen des Messgeräts finden Sie unter Standard-Sicherheitseinstellungen des Messgeräts.