Sicherheitsrisiken und Risikominderungsstrategien

Gehen Sie die folgenden Probleme und Sicherheitsrisiken sowie die Risikominderungsstrategien durch, um diese Risiken zu minimieren:

Problem	Sicherheitsrisiko	Minderungsstrategien
Benutzerkonten Standardkontoeinstellungen bilden häufig ein Einfallstor für unbefugte Zugriffe durch böswillige Benutzer.	Wenn Sie das Standardkennwort nicht ändern, kann ein unbefugter Zugriff erfolgen.	Ändern Sie das Standardkennwort „0“ (null), um unbefugte Zugriffe einzudämmen. Siehe Standardkennwort ändern.
Unverschlüsselte Protokolle ION, Modbus, DNP, DLMS, IEC 61850, BACnet/IP und einige IT-Protokolle sind nicht unverschlüsselt. Mit diesen Protokollen können die Geräte Daten nicht verschlüsselt übertragen.	Wenn sich ein böswilliger Benutzer Zugriff auf Ihr Netzwerk verschafft hat, könnte er die Kommunikation abfangen.	Segmentieren Sie das Netzwerk physisch oder logisch, wenn Sie Daten über ein internes Netzwerk übertragen. Verschlüsseln Sie Protokollübertragungen auf allen externen Verbindungen mit einem verschlüsselten Tunnel, einem TLS-Wrapper oder mit Secure ION. Weitere Informationen hierzu finden Sie unter System-Defense-in-Depth-Annahmen. Deaktivieren Sie nicht verwendete Protokolle. Weitere Informationen hierzu finden Sie unter Protokolle deaktivieren und aktivieren und Portnummern ändern.
Selbstsignierte Zertifikate Ab Werk enthalten Messgeräte ein selbstsigniertes SSL-Zertifikat. Wenn Webseiten über HTTPS und Secure ION (ION über TLS) verwendet werden, ist ein SSL-Zertifikat erforderlich.	Selbstsignierte Zertifikate können nicht validiert werden. Ein Angreifer mit Netzwerkzugriff könnte sich als das Gerät ausgeben, um Anmeldedaten zu erhalten, die über den TLS-Tunnel gesendet werden.	Verwenden Sie ein von einer Zertifizierungsstelle (CA) signiertes SSL-Zertifikat sowie externe Netzwerkkontrollen.

Problem

Sicherheitsrisiko

Minderungsstrategien

Benutzerkonten

Standardkontoeinstellungen bilden häufig ein Einfallstor für unbefugte Zugriffe durch böswillige Benutzer.

Wenn Sie das Standardkennwort nicht ändern, kann ein unbefugter Zugriff erfolgen.

Ändern Sie das Standardkennwort „0“ (null), um unbefugte Zugriffe einzudämmen. Siehe Standardkennwort ändern.

Unverschlüsselte Protokolle

ION, Modbus, DNP, DLMS, IEC 61850, BACnet/IP und einige IT-Protokolle sind nicht unverschlüsselt.

Mit diesen Protokollen können die Geräte Daten nicht verschlüsselt übertragen.

Wenn sich ein böswilliger Benutzer Zugriff auf Ihr Netzwerk verschafft hat, könnte er die Kommunikation abfangen.

Segmentieren Sie das Netzwerk physisch oder logisch, wenn Sie Daten über ein internes Netzwerk übertragen.

Verschlüsseln Sie Protokollübertragungen auf allen externen Verbindungen mit einem verschlüsselten Tunnel, einem TLS-Wrapper oder mit Secure ION.

Weitere Informationen hierzu finden Sie unter System-Defense-in-Depth-Annahmen.

Deaktivieren Sie nicht verwendete Protokolle. Weitere Informationen hierzu finden Sie unter Protokolle deaktivieren und aktivieren und Portnummern ändern.

Selbstsignierte Zertifikate

Ab Werk enthalten Messgeräte ein selbstsigniertes SSL-Zertifikat.

Wenn Webseiten über HTTPS und Secure ION (ION über TLS) verwendet werden, ist ein SSL-Zertifikat erforderlich.

Selbstsignierte Zertifikate können nicht validiert werden. Ein Angreifer mit Netzwerkzugriff könnte sich als das Gerät ausgeben, um Anmeldedaten zu erhalten, die über den TLS-Tunnel gesendet werden.

Verwenden Sie ein von einer Zertifizierungsstelle (CA) signiertes SSL-Zertifikat sowie externe Netzwerkkontrollen.