Neben einer guten IT-Absicherung des Umfelds für das System Desigo, ist es auch wichtig, die verschiedenen Desigo-Produkte optimal aufzusetzen und zu konfigurieren.

Details entnehmen Sie der jeweiligen Produktdokumentation.

Ein paar Massnahmen sind unten beschrieben. Diese oder gleichwertige Massnahmen sind umzusetzen.

Bei den meisten Produkten wie Automationsstationen ist der Einsatz starker Passwörter für den Zugang mit Engineering- und webbasierten Tools die wichtigste Massnahme. Es ist sehr wichtig, dass das Standardpasswort sofort nach der Erstinstallation geändert wird.

Dynamische Objekte

Sie können dynamische BACnet-Objekte im Desigo Gebäudeautomationssystem und in den Desigo PX Automationsstationen verwenden, erstellen und löschen. Dynamisch generierte Objekte sind vor Angriffen durch Drittanbietergeräte nicht geschützt. Sie sind daher bei sicherheitsrelevanten und geprüften Projekten nur unter Vorbehalt zu verwenden.

Für weitere Informationen zu den Objekten, siehe Technische Grundlagen (CM110664).

BACnet/SC versus BACnet/IP

Im Laufe der Zeit werden immer mehr IP-Geräte die Auswahl zwischen BACnet/IP oder BACnet/SC als Datenlink anbieten. BACnet Secure Connect (BACnet/SC) ist aus Sicht der Cybersicherheit zu empfehlen, da es den ganzen BACnet-Datenverkehr verschlüsselt.

Die Entscheidung für BACnet/IP oder BACnet/SC muss früh in der Planungsphase eines Projekts fallen und erfordert sorgfältige Planung.

Ein Projekt mit BACnet/IP und BACnet/SC-Geräten ist nicht sicher.

BACnet/SC ist eine gute Wahl, um Angriffe auf den BACnet-Layer abzuwehren. Projekte mit BACnet/IP können auf BACnet/SC schrittweise auf der Granularität der BACnet-Netzwerke migriert werden. Projekte, die noch kein BACnet/SC einsetzen, jedoch BACnet/IP, können in der Zwischenzeit durch z.B. MAC-Adressfilterung, VLANs und physische Schutzmechanismen geschützt werden.

BACnet/SC schützt nur den BACnet-Layer gegen Eindringversuche. Andere potentielle Angriffe auf den Netzwerk-Layer, z.B. gegen eingebaute Webserver, Cloud-Verbindungen, müssen trotzdem beachtet werden.

BACnet/SC verwendet ein anderes Konzept für die End-zu-End-Kommunikation zwischen Geräten. Dies muss entsprechend geplant werden.

Für mehr Informationen über BACnet/IP und BACnet/SC, siehe Praxisleitfaden BACnet-Netzwerke in der Gebäudeautomation (A6V11159798).

Remote-Zugang auf Touchpanels und Webserver

Der VNC-Zugang am Touchpanel darf nicht dauernd aktiviert sein. Dieser Zugang darf nur aktiviert werden, wenn er wirklich genutzt werden soll.

Der Touchpanel SSH-Zugang wird nur für spezielle Wartungsaufgaben durch das Siemens-Personal verwendet und muss daher dauernd deaktiviert sein.

Siehe Desigo Touch and Web Bedienanleitung (CM111028).

Desigo Control Point

Die Desigo Control Point Touchpanel lassen die Konfiguration der URL von Elementen wie Favoriten, Webcams und generischen, externen Webservern zu. Diese URL darf nur auf Webserver, die von Geräten im GA-Netzwerk gehostet werden, zeigen. Der Einsatz von Touchpanels für andere Applikationen wie die Anzeige von News-Webseiten wäre mit einem zu hohen Risiko durch Download und Ausführung bösartiger Scripts behaftet. Die Liste der externen Dienste ist daher auf ein Minimum zu beschränken. Der Systemintegrator muss eine Kosten-Risiko-Entscheidung treffen und Kunden zu potentiellen Risiken informieren.

Siehe ABT-SSA (Setup & Service Assistant) Inbetriebnahmeanleitung (A6V10429119) und Desigo Control Point Engineering-Handbuch (A6V11211560).

Sicheres HTTP (HTTPS)

Falls möglich, verwenden Sie sicheres HTTPS anstelle von HTTP. Unterstützt das Produkt dies (und gibt es keine expliziten Anforderungen auf Kundenseite), ist TCP-Port 80 für unverschlüsselte HTTP-Kommunikation in den Produkteinstellungen zu deaktivieren. Beachten Sie, dass die automatische Weiterleitung von HTTP an HTTPS nur als Notlösung gilt, da TCP-Port 80 damit offen bleibt und gegenüber Cyberangriffen ungeschützt ist.

Für PXC4 und PXC5, siehe PXC4 & PXC5 Sortimentsübersicht (A6V11973782) und PXC4 & PXC5 Planungsübersicht (A6V11973797).

Für Desigo Control Point, siehe ABT-SSA (Setup & Service Assistant) Inbetriebnahmeanleitung (A6V10429119).

Manche Web-Browser markieren HTTP-Verbindungen als unsicher. Der Trend bei den Browsern geht dahin, dass von HTTP abgeraten wird.

Um HTTPS zu verwenden, müssen die Webserver digitale Zertifikate bereitstellen.

Desigo CC

Siehe Desigo CC Systembeschreibung Kapitel IT-Sicherheitskonzepte (A6V10415500) und Desigo CC Sicherheitskonfigurationen für typische Anwendungen (A6V10534532).

Desigo Insight

Technischer Support erfordert typischerweise Remote Desktop für Support. Dabei darf nur VPN oder cRSP für den Remote-Zugang zu einem Standort verwendet werden.

Der Zugang zu Desigo Insight durch Endbenutzer erfolgt normalerweise ausschliesslich über den Desigo-Webserver. Der Remote-Desktop-Dienst kann für Projekte in Betracht gezogen werden, die regelmässig Desigo Insight-Funktionen nutzen, die an dieser Schnittstelle nicht bereitgestellt werden. In diesem Fall muss im Intranet ein VPN eingerichtet werden, wenn ein Zugriff von einer anderen lokalen Domäne erforderlich ist.

Siehe Desigo Insight Installation und Konfiguration (CM110591).

PXC4, PXC5, PXC7, PXC3 und DXR2

Diese Automationsstationen haben integrierte Webserver und sind durch ein starkes Passwort geschützt.

Stellen Sie dabei sicher, dass alle installierte Hardware die aktuelle Firmware enthält.

QMX7 Raumbediengerät

Das LAN-basierte Raumbediengerät QMX7 bietet einen Zugang für Firmware-Updates, da es über die GA-Domäne verbunden ist.