Cerberus PACE IT-Sicherheitsrichtlinien Basisdokumentation A6V11439692_de--_b 2020-12-30 Smart Infrastructure
Impressum Impressum Liefermöglichkeiten und technische Änderungen vorbehalten. Weitergabe sowie Vervielfältigung, Verbreitung und/oder Bearbeitung dieses Dokuments, Verwertung und Mitteilung seines Inhaltes sind verboten, soweit nicht ausdrücklich gestattet. Zuwiderhandlungen verpflichten zu Schadenersatz. Alle Rechte für den Fall der Patenterteilung, Gebrauchsmusteroder Geschmacksmustereintragung vorbehalten.
Inhaltsverzeichnis 1 1.1 1.2 1.3 1.4 Zu diesem Dokument............................................................................... 7 Mitgeltende Dokumente .................................................................................. 10 Download-Center ............................................................................................. 10 Fachbegriffe und Abkürzungen ...................................................................... 11 Änderungshistorie ................................
6.8 Fernzugriff via cRSP ........................................................................................ 47 7 Wartung IT-Komponenten ..................................................................... 49 Index ................................................................................................................
Abbildungsverzeichnis Abb. 1: Bedrohungs- und Risikoterminologie ..........................................................19 Abb. 2: PACE-Zone_exemplarisch ............................................................................23 Abb. 3: Zugang über nicht vertrauenswürdige Netzwerke, schematisch.............24 Abb. 4: Ganzheitliche Betrachtung, exemplarisch ..................................................34 Abb.
Zu diesem Dokument Mitgeltende Dokumente 1 1 Zu diesem Dokument Aufbewahrung und Verfügbarkeit HINWEIS Fehlende Informationen Schaden durch Fehlnutzung ● Dieses Dokument muss über den gesamten Lebenszyklus des Produkts in nutzbarem Zustand zur Verfügung stehen. Bewahren Sie das Dokument zum Nachschlagen auf und stellen Sie sicher, dass das Dokument den Zielgruppen zugänglich ist. Falls Sie ein weiteres Exemplar dieses Dokuments benötigen, wenden Sie sich bitte an das Customer Support Center, Tel.
1 Zu diesem Dokument Mitgeltende Dokumente Zielgruppe Tätigkeit Qualifikation Produktmanager ● Ist verantwortlich für den Informationsaustausch zwischen dem Hersteller und der Regionalgesellschaft. ● Koordiniert den Informationsfluss zwischen den einzelnen Personengruppen eines Projekts. ● Hat eine zur Funktion und zu den Produkten passende Fachausbildung. ● Hat die Ausbildungskurse für den Produktmanager besucht.
Zu diesem Dokument 1 Mitgeltende Dokumente Quellsprache und Referenzdokument ● Die Quellsprache/Originalsprache des Dokuments ist Deutsch (de). ● Die Referenzversion dieses Dokuments ist die internationale Version in englischer Sprache. Die internationale Version ist nicht lokalisiert.
1 Zu diesem Dokument Mitgeltende Dokumente 1.
Zu diesem Dokument 1 Fachbegriffe und Abkürzungen 1.3 Fachbegriffe und Abkürzungen Begriff Erklärung ACL Acess Control List definiert Einschränkungen der Zugriffe auf bestimmte ITKomponenten API Application Programm Interface CNW Kunden-Netzwerk, en: Costumer NetWork cRSP Die 'common Remote Service Platform' ist eine Siemens-Infrastruktur für die Fernwartung.
1 Zu diesem Dokument Änderungshistorie 1.4 Änderungshistorie Die Version des Referenzdokuments gilt für alle Sprachen, in die das Referenzdokument übersetzt ist. Die Erstausgabe einer Sprach- und/oder einer Ländervariante kann z. B. die Version 'd' sein anstatt 'a', wenn das Referenzdokument bereits in dieser Version ist.
Sicherheit 2 Sicherheitshinweise 2 Sicherheit 2.1 Sicherheitshinweise Zum Schutz von Personen und Sachgütern müssen Sie die Sicherheitshinweise beachten. Die Sicherheitshinweise in diesem Dokument enthalten folgende Elemente: ● Symbol für Gefahr ● Signalwort ● Art und Quelle der Gefahr ● Folgen beim Eintreten der Gefahr ● Maßnahmen oder Verbote zur Vermeidung der Gefahr Symbol für Gefahr Dies ist das Symbol für Gefahr. Es warnt Sie vor Verletzungsgefahren.
2 Sicherheit Sicherheitsvorschriften zur Arbeitsweise Darstellung für Verletzungsgefahr Hinweise für Verletzungsgefahr werden wie folgt dargestellt: WARNUNG Art und Quelle der Gefahr Folgen beim Eintreten der Gefahr ● Maßnahmen/Verbote zur Vermeidung der Gefahr Darstellung für möglichen Sachschaden Hinweise für möglichen Sachschaden werden wie folgt dargestellt: HINWEIS Art und Quelle der Gefahr Folgen beim Eintreten der Gefahr ● Maßnahmen/Verbote zur Vermeidung der Gefahr 2.
Sicherheit 2 Sicherheitsvorschriften zur Arbeitsweise VORSICHT Nichtbeachtung folgender Sicherheitsvorschriften Gefahr von Personen- und Sachschäden ● Beachten Sie folgende Sicherheitsvorschriften. ● Für die Installation ist elektrotechnisches Fachwissen erforderlich. ● Die Installation darf nur durch eine Fachperson ausgeführt werden. Eine unsachgemäße Installation kann elektrische Sicherheitsvorkehrungen außer Kraft setzen, ohne dass dies für den Laien erkennbar wird.
2 Sicherheit Eingehaltene Normen und Richtlinien ● Falsche Batterietypen und unsachgemäßer Austausch von Batterien führen zu Explosionsgefahr. Verwenden Sie nur denselben Batterietyp oder einen von Siemens empfohlenen gleichwertigen Batterietyp. ● Batterien müssen umweltgerecht entsorgt werden. Halten Sie die landesspezifischen Richtlinien und Vorschriften ein.
Sicherheit Haftungsausschluss Cyber-Sicherheit 2 HINWEIS Veränderte Sicherheitsrisiken im Lebenszyklus der Anlage Zusätzliche Sicherheitsrisiken ● Protokollieren Sie die Einhaltung der Vorgaben, siehe auch 'Wartung ITKomponenten [➙ 49]'. 2.4.1 Ende des Lebenszyklus (EOL) Sobald eine am Zugriff zur PACE-Zone beteiligte IT-Komponente nicht mehr mit Sicherheitsupdates durch den Hersteller versorgt wird, muss diese ITKomponente ersetzt werden.
3 Grundlagen Cyber-Sicherheit Einleitung 3 Grundlagen Cyber-Sicherheit 3.
Grundlagen Cyber-Sicherheit Bedrohungs- und Risikoterminologie 3 Ein 'Thread' ist ein Potenzial für die Verletzung der Sicherheit, das besteht, wenn eine Einheit, ein Umstand, eine Fähigkeit, eine Aktion oder ein Ereignis vorliegt, das Schaden verursachen könnte. Die 'Common Criteria' charakterisieren eine Bedrohung in Bezug auf die folgenden Punkte: ● Bedrohungsfaktor ● Vermutete Angriffsmethode ● Schwachstellen, die eine Grundlage für den Angriff bilden ● Angegriffene Systemressource.
3 Grundlagen Cyber-Sicherheit Systemsicherheit 3.3 Systemsicherheit Wie in 'Einleitung [➙ 18]' erklärt, muss jedes moderne Gebäudeautomationssystem ein angemessenes Maß an IT-Sicherheit gewährleisten. Es ist jedoch nicht möglich, vollständige Sicherheit zu erreichen, sodass immer ein Restrisiko bleibt. Die Kosten einer Gegenmaßnahme sollten den potenziellen Schaden nicht überschreiten, vor dem sie schützen sollen.
Grundlagen Cyber-Sicherheit Netzwerksicherheit 3 3.5 Netzwerksicherheit Alle auf die Sicherheit des Netzwerks ausgerichteten Maßnahmen sollen das Risiko der Ausnutzung potentieller Cerberus PACE-Sicherheitslücken oder Schwachstellen verringern. Beachten Sie die Sicherheitsmaßnahmen in den folgenden Kapiteln: ● Konzept einer geschützten Systemkonfiguration ● Richtlinien für das System ● Zugelassene Anwendungsfälle WARNUNG Systemmanipulation durch unberechtigten Zugriff Keine Evakuierung im Alarmfall.
4 Konzept einer geschützten Systemkonfiguration Zonengrenzen-Schutz 4 Konzept einer geschützten Systemkonfiguration ● Das Sprach-Evakuierungssystem Cerberus PACE ist ein System zum Schutz von Personen und ist eine kritische Geschäftsanwendung. Daher muss das System vor Angriffen und unbefugtem Zugriff geschützt werden. ● Das Sprach-Evakuierungssystem Cerberus PACE muss in einer separaten Netzwerkzone betrieben werden, die hier als PACE-Zone bezeichnet ist.
Konzept einer geschützten Systemkonfiguration Zonengrenzen-Schutz 4 Abb.
4 Konzept einer geschützten Systemkonfiguration Zugang über nicht vertrauenswürdige Netzwerke 4.2 Zugang über nicht vertrauenswürdige Netzwerke Die Kommunikation über nicht vertrauenswürdige Netzwerke zwischen Remote-Clients und der PACE-Zone muss über einen hochsicheren Kommunikationskanal geschützt werden. ● Die PACE-Zone muss immer über eine Firewall geschützt werden. ● Setzen Sie VPN-Technologie oder cRSP ein für den Kommunikationskanal.
Konzept einer geschützten Systemkonfiguration Zugang über nicht vertrauenswürdige Netzwerke 4 Folgende Maßnahmen müssen eingehalten werden: ● Die Kommunikation zwischen Remote-Client und PACE-Zone muss verschlüsselt sein. ● Die PACE-spezifischen Anforderungen an die Kommunikation müssen eingehalten werden. ● Der Kommunikationskanal darf keine Verbindung zu außenstehenden Geräten haben. ● Der Kommunikationskanal erlaubt nur PACE-bezogene Kommunikation.
5 Richtlinien für das System Sichere Kommunikation 5 Richtlinien für das System Standards, Richtlinien und Rechtsvorschriften Befolgen Sie die Richtlinien Ihres Unternehmens sowie nationale Vorschriften und internationale Standards wie ISO/IEC 27002 und IEC 62443. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) www.bsi.bund.de/EN informiert beispielsweise sowohl in deutscher Sprache als auch in englischer Sprache über grundlegende Aspekte der IT-Sicherheit für Deutschland.
Richtlinien für das System 5 Geräte mit Zugriff auf PACE-Zone 5.2 Geräte mit Zugriff auf PACE-Zone Halten Sie folgende Maßnahmen ein, zur sicherheitsrelevanten Härtung der Geräte mit Zugriff auf eine PACE-Zone: ● Betreiben Sie alle entsprechenden Geräte wie beispielsweise PCs und Smartphones/Tabletts mit einem aktuellen, kontinuierlich aktualisierten Betriebssystem und einer aktiven, kontinuierlich aktualisierten Anti-VirusSoftware.
5 Richtlinien für das System Geräte mit Zugriff auf PACE-Zone ● Konfigurieren Sie den Datenspeicherplatz Ihrer Apps so, dass App-Daten nur im verschlüsselten internen Speicher des Geräts oder auf verschlüsselten Speicherkarten abgelegt werden. ● Prüfen Sie, ob die Speicherkarten in Ihrem Gerät verschlüsselt werden können. Den Maßnahmenplan für Smartphones und Tablets des Siemens CERT finden Sie über folgende Adresse: https://webapps.siemens.com/sfera/current/policies.
Richtlinien für das System Firewall-Regeln 5 5.3 Firewall-Regeln ● Firewall-Regeln gelten für alle Anwendungsfälle im Kapitel 'Zugelassene Anwendungsfälle [➙ 33]'. ● Die Firewall-Regeln der folgenden Kapitel müssen konfiguriert werden. Siehe auch Zugelassene Anwendungsfälle [➙ 33] 5.3.
5 Richtlinien für das System Firewall-Regeln 5.3.3 Port Einstellungen Für die Kommunikation mit einer PACE-Anlage muss an der PACE-Anlage ein PACE-PC mit der gestarteten 'PACE-Design'-Software vorhanden sein. Mit dem an der PACE-Anlage angeschlossenen PC muss ein StandardFernwartungstool verwendet werden.
Richtlinien für das System 5 Pin-/Passwort-Richtlinie Kommunikation zwischen MMS/Tablet-Designer und PACE'Anlage Port Richtung Protokoll Zieladresse Kommentar Port gemäß APIKonfiguration in PACEDesign Ein- und ausgehend tcp beliebig Kommunikation über PACE-API 5.4 Pin-/Passwort-Richtlinie Für das Cerberus PACE-Netzwerk und für Geräte mit Zugriff auf das Cerberus PACE-Netzwerk müssen die nachfolgenden Pin- und Passwort-Richtlinien eingehalten werden.
5 Richtlinien für das System Pin-/Passwort-Richtlinie 5.4.2 Passwort-Richtlinie WARNUNG Systemmanipulation durch unberechtigten Zugriff Keine Evakuierung im Alarmfall. ● Ändern Sie das voreingestellte Passwort. ● Erstellen Sie ein Passwort, gemäß den folgenden Angaben. ● Generell müssen voreingestellte Passwörter während oder unmittelbar nach der Installation geändert werden.
Zugelassene Anwendungsfälle 6 Ganzheitliche Betrachtung 6 Zugelassene Anwendungsfälle Folgende Kapitel beschreiben alle zulässigen Anwendungsfälle, jeweils im Detail. Andere mögliche Anwendungsfälle, als die nachfolgenden 'zulässigen Anwendungsfälle', sind nicht zugelassen. WARNUNG Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACEZone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall.
6 Zugelassene Anwendungsfälle Ganzheitliche Betrachtung Abb.
Zugelassene Anwendungsfälle Ganzheitliche Betrachtung PC Computer mit Fernwartungstool MMS Management Station Smartphone Smartphone mit Tablet Designer Tablet Tablet-PC mit Tablet Designer Internet Internet Intranet / Customer-Net Intranet / Kunden-Netzwerk cRSP-Router + FW cRSP-Router mit Firewall ZBP + VPN-EP Zonengrenzen-Schutz und VPN-Endpunkt 6 Clients Anforderungen 'Fernwartungstool' via cRSP Verbindung zur PACE-Zone über eine spezielle Komponente gemäß Beschreibung in Kap.
6 Zugelassene Anwendungsfälle Lokaler Zugang 'single homed' 6.2 Lokaler Zugang 'single homed' Die Varianten für die bestimmungsgemäße Einsatzumgebung finden Sie in den folgenden Kapiteln. 6.2.1 System mit redundanter Baumstruktur Lokaler Zugang über PACE-PC mit 'PACE-Design' zu einer Cerberus PACEAnlage mit redundanter Baumstruktur. Abb.
Zugelassene Anwendungsfälle 6 Lokaler Zugang 'single homed' 6.2.2 System mit Ringstruktur Lokaler Zugang über PACE-PC mit 'PACE-Design' zu einer Cerberus PACE'Anlage' mit Ringstruktur. Abb.
6 Zugelassene Anwendungsfälle Lokaler Zugang 'multi homed' 6.3 Lokaler Zugang 'multi homed' Bestimmungsgemäße Einsatzumgebung Lokaler Zugang 'multi homed' zu einer Cerberus PACE-'Anlage' mit folgender Anwendung: ● Fernwartungstool Abb.
Zugelassene Anwendungsfälle 6 Lokaler Zugang 'multi homed' WARNUNG Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACEZone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall. ● Erstellen Sie die Kommunikation vom PC zur 'Cerberus PACE'-'Anlage' über eine sichere Netzwerkverbindung, beispielsweise mit VPN. ● Erfüllen Sie folgende Anforderungen für die Komponenten.
6 Zugelassene Anwendungsfälle Lokaler Zugang MMS 'single homed' 6.4 Lokaler Zugang MMS 'single homed' Bestimmungsgemäße Einsatzumgebung Lokaler Zugang zu einer Cerberus PACE-'Anlage' mit einer ManagementStation (MMS) 'single homed': Abb.
Zugelassene Anwendungsfälle 6 Lokaler Zugang MMS 'multi homed' 6.5 Lokaler Zugang MMS 'multi homed' Bestimmungsgemäße Einsatzumgebung Lokaler Zugang zu einer Cerberus PACE-'Anlage' mit einer ManagementStation (MMS) 'multi homed': Abb.
6 Zugelassene Anwendungsfälle Lokaler Zugang MMS 'multi homed' WARNUNG Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACEZone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall. ● Erstellen Sie die Kommunikation von MMS zur 'Cerberus PACE'-'Anlage' über eine sichere Netzwerkverbindung, beispielsweise mit VPN. ● Erfüllen Sie folgende Anforderungen für die Komponenten.
Zugelassene Anwendungsfälle Lokaler Zugang mit Smartphone-Client 'multi homed' 6 6.6 Lokaler Zugang mit Smartphone-Client 'multi homed' Bestimmungsgemäße Einsatzumgebung Lokaler Zugang zu einer Cerberus PACE-'Anlage' über WiFi–Zugangspunkt mit folgender Anwendung: ● 'Tablet–Designer': Abb.
6 Zugelassene Anwendungsfälle Lokaler Zugang mit Smartphone-Client 'multi homed' WARNUNG Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACEZone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall. ● Erstellen Sie die Kommunikation von 'Tablet–Designer' zur 'Cerberus PACE'-'Anlage' über eine sichere Netzwerkverbindung, beispielsweise mit VPN. ● Erfüllen Sie folgende Anforderungen für die Komponenten.
Zugelassene Anwendungsfälle Zugang MMS über Kundennetzwerk 6 6.7 Zugang MMS über Kundennetzwerk Bestimmungsgemäße Einsatzumgebung Fernzugriff auf eine Cerberus PACE-'Anlage' mit MMS über ein Kundennetzwerk. Abb.
6 Zugelassene Anwendungsfälle Zugang MMS über Kundennetzwerk WARNUNG Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACEZone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall. ● Erstellen Sie die Kommunikation von MMS zur 'Cerberus PACE'-'Anlage' über eine sichere Netzwerkverbindung, beispielsweise mit VPN. ● Erfüllen Sie folgende Anforderungen für die Komponenten.
Zugelassene Anwendungsfälle Fernzugriff via cRSP 6 6.8 Fernzugriff via cRSP Bestimmungsgemäße Einsatzumgebung Lokaler Zugang 'multi homed' zu einer Cerberus PACE-'Anlage' mit folgender Anwendung: ● Fernwartungstool Abb.
6 Zugelassene Anwendungsfälle Fernzugriff via cRSP PC Computer mit Fernwartungstool UTNW Nicht-vertrauenswürdiges Netzwerk cRSP-Router + FW cRSP-Router mit Firewall VPN-EP VPN-Endpunkt PACE-PC Computer mit 'PACE-Design' Komponenten Anforderungen Computer mit Fernwartungstool ● Ist nicht Teil der PACE–Zone cRSP ● Siemens-Fern-Serviceplattform ● Konfiguration gemäß cRSP-Dokumentation cRSP & CWP-PortalLinks DSL-Router ● Breitbandverbindung zum Internet ● Konfiguration gemäß Produkt-Dokumenta
Wartung IT-Komponenten 7 7 Wartung IT-Komponenten Die Erhaltung der IT-Sicherheit ist ein anhaltender Prozess, für den die entsprechenden Aufgaben kontinuierlich wiederholt werden müssen. Für jede bezeichnete Sicherungsmaßnahme muss daher untersucht werden, ob ihre einmalige Umsetzung genügt, oder ob ein regelmäßiges Intervall erforderlich ist, wie beispielsweise die regelmäßigen Updates für eine Anti-Viren-Software. ● Protokollieren Sie alle durchgeführten Wartungsmaßnahmen.
Index Index FastViewer ......................................................... 30 RDP ..................................................................... 30 VNC ..................................................................... 30 C Customer Support Center Service .................................................................. 7 D Download-Center URL...................................................................... 10 F FastViewer Port-Einstellungen .....................................
Herausgegeben von Siemens Schweiz AG Smart Infrastructure Global Headquarters Theilerstrasse 1a CH-6300 Zug +41 58 724 2424 www.siemens.com/buildingtechnologies © Siemens Schweiz AG, 2019 Liefermöglichkeiten und technische Änderungen vorbehalten.