Richtlinien zur Cyber-Sicherheits-Implementierung

This article has been translated automatically. See the original version.

Installation und Inbetriebnahmesicherheit
Bevor Sie Ekip Connect mit einem Netzwerk oder irgendeinem Gerät verbinden, umdas Risiko von Sicherheitsverletzungen und Malware zu minimieren, folgen Sie dieser Sicherheitscheckliste:

1. Betriebssystem

  • Deploye auf Windows 11 mit den neuesten Sicherheitspatches (mindestens: Windows 10, Ende des offiziellen Supports Januar 2027)

    Bedrohungsminderung: Bekannte Betriebssystem-Schwachstellen, ungepatchte Sicherheitsausfälle und System-Level Eskalationsangriffe.

  • Aktiviere Secure Boot im BIOS (Pflicht für Windows 11)

    Bedrohungsminderung: Bootkit-Angriffe, unbefugte Ausführung von Boot-Code und Manipulation des Bootprozesses

2. Arbeitsplatzsicherheit

  • Einschränken Sie den physischen Zugriff auf Ekip Connect-Arbeitsstationen

    Bedrohungsminderung: Physische Manipulation, unbefugter Zugriff auf Geräte und direkte Hardware-Manipulation.

  • Vollständige Festplattenverschlüsselung aktivieren (BitLocker oder ein Äquivalent)

    Bedrohungsminderung: Datenexfiltration, wenn die Arbeitsstation gestohlen oder physisch kompromittiert wird; unbefugter Zugriff auf sensible gespeicherte Daten.

  • Autologin deaktivieren; Passwortgeschützte Anmeldung konfigurieren

    Bedrohungsminderung: Unbefugter Zugriff durch Bedrohungsakteure mit physischem Zugriff oder die Zugang zu einer unverschlossenen Arbeitsstation erhalten.

  • Automatische Bildschirmsperre konfigurieren (empfohlen 15 Minuten)

    Bedrohung mindert: Unbefugter Zugriff auf die EkipConnect-Anwendung und verbundene Systeme während Abwesenheit des Nutzers

  • Aktivieren Sie die Windows-Firewall mit Standard-Dedeny-Eingehenden Regeln

    Bedrohung mindert: Unbefugter Netzwerkzugriff, unerwünschter eingehender Datenverkehr und Malware-Command-and-Control-Kommunikation.

3. Softwareschutz

  • Antivirus + Antimalware-Software installieren

    Bedrohungsminderung: Malware-Infektion, Trojaner-Ausführung und bösartiger Code, der auf der Arbeitsstation läuft.

  • Konfigurieren Sie Echtzeit-Scanning und tägliche vollständige Scans.

    Bedrohungsminderung: Echtzeiterkennung und -verhinderung der Malware-Ausführung; Identifikation ruhender oder kürzlich eingeführter Bedrohungen.

  • Automatische Antivirus-Definitionsupdates aktivieren

    Bedrohungsminderung: Umgehung der Antivirenerkennung durch neue oder kürzlich entdeckte Malware-Varianten.

4. Benutzerauthentifizierung

  • Alle Nutzer müssen sich über MyABB authentifizieren (falls ABB-Laptop).

    Bedrohungsminderung: Unbefugter Zugriff auf EkipConnect durch nicht authentifizierte oder nachgeahmte Nutzer.

  • Starke Passwörter durchsetzen (mindestens 8 Zeichen, 3 Zeichentypen)

    Bedrohungsminderung: Brute-Force-Angriffe, Wörterbuchangriffe und Passwortraten durch Bedrohungsakteure.

  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für MyABB

    Bedrohung mindert: Kontoübernahme und unbefugter Zugriff selbst wenn Benutzerzugangsdaten kompromittiert oder gestohlen werden

  • Deaktivieren Sie gleichzeitige Sitzungen aus demselben Benutzerkonto

    Bedrohung gemindert: Unbefugter Zugriff mit gestohlenen oder kompromittierten Zugangsdaten auf einem anderen Arbeitsplatz oder Gerät.

5. Netzwerkkonfiguration

  •  Bereitstellung auf einem dedizierten Management-Netzwerksegment (separates VLAN)

    Bedrohungsminderung: Seitliche Bewegung von Angreifern aus kompromittierten Unternehmenssystemen; unbefugter Zugriff auf kritische Verwaltungsfunktionen.

  • Konfigurieren Sie die Firewall so, dass nur die erforderlichen ausgehenden Ports zugelassen werden:

      • Port 443/TCP (HTTPS-Cloud-Konnektivität)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Bedrohungsminderung: Unbefugte ausgehende Kommunikation, Malware-Command-and-Control-Rückrufe und Datenexfiltration in die Infrastruktur von Angreifern.

  • Isoliere Gerätenetzwerke von Unternehmensnetzwerken (Firewall erforderlich)

    Bedrohungsminderung: Seitliche Bewegung zwischen Unternehmens- und kritischen Gerätenetzwerken; unbefugter Zugriff auf sicherheitskritische Geräte.

6. Automatische Updates

  • Automatische Windows-Updates aktivieren

    Bedrohungsminderung: Bekannte Betriebssystem-Schwachstellen und systembezogene Sicherheitspatches werden zeitnah bereitgestellt.

  • Antivirus konfigurieren, um Definitionen automatisch zu aktualisieren

    Bedrohungsminderung: Erkennungsumgehung durch neue Malware-Varianten und Zero-Day-Malware-Bedrohungen.

7. Erstverifizierung

  • Überprüfen Sie, ob Secure Boot aktiv ist
  • Überprüfen Sie, ob die Windows-Firewall aktiviert ist
  •  Überprüfen Sie, ob der Antivirus läuft und aktualisiert ist

    Bedrohung mindert: Konfigurationsfehler, verpasste Sicherheitskontrollen und unvollständige Einführung verpflichtender Sicherheitsbasen.

     

Firewall-Konfiguration & Sicherheit

Ekip Connect verwendet spezielle Ports für verschiedene Kommunikationsarten. Eine richtige Firewall-Konfiguration ist für die Sicherheit unerlässlich.

 

Pflichtports (erforderlich für Cloud-Funktionen)

Port 443/TCP (HTTPS – Cloud-Konnektivität)

  • ABB ELSP Digital Manager API
  • ABB Ability Platform Konnektivität
  • Zugriff auf die Firmware-Bibliothek
  • Updates und Patches herunterladen
  • Muss für Cloud-Funktionen AKTIVIERT sein
  • IMMER verschlüsselt (TLS 1.2 oder höher)

    Bedrohungsminderung: Man-in-the-Middle (MITM)-Angriffe auf Cloud-Kommunikation (gemildert durch TLS-Verschlüsselung); Unbefugter Zugriff auf Cloud-APIs und Firmware-Bibliotheken; Abfangen von Firmware-Updates und Sicherheitspatches

Port 53/UDP (DNS – Domain Name Resolution)

  • Erforderlich zur Auflösung von ABB-Cloud-Endpunkten
  • Muss für jede Cloud-Verbindung AKTIVIERT sein
  • Keine Verschlüsselung (Standard-DNS-Protokoll)
  • Empfehle die Verwendung vertrauenswürdiger DNS-Server

    Bedrohungsminderung: DNS-Spoofing-Angriffe, die EkipConnect auf bösartige Cloud-Endpunkte umleiten; DNS-Cache-Vergiftung; Unautorisierte Umleitung der Cloud-Konnektivität

     

Empfohlene Ports (Sehr empfehlenswert)

Port 123/UDP (NTP – Zeitsynchronisation)

  • Netzwerkzeitprotokoll für Systemuhrgenauigkeit
  • Wichtig für die Genauigkeit und Sicherheit von Log-Zeitstempeln
  • Sehr zu empfehlen, aber nicht strikt verpflichtend
  • Aktivieren, wenn die Netzwerkkonfiguration es erlaubt

    Bedrohungsminderung: Zeitstempelmanipulation und -manipulation protokollieren; Taktverschiebungsangriffe, die zeitbasierte Sicherheitskontrollen ungültig machen; Ungenaue Prüfungsspur und Rekonstruktion von Vorfällen

     

Gerätekommunikationsanschlüsse (für Geräteverbindungen)

Port 502/TCP (Modbus TCP)

  • Device-to-Ekip Connect-Kommunikation über Ethernet
  • BIDIREKTIONAL (Gerät kann sich zurückverbinden)
  • Unverschlüsseltes Protokoll (Netzwerksegmentierung erforderlich)
  • Nur Netzwerke auf Geräten aktivieren (nicht internetbezogen)
  • Die Firewall sollte diesen Port nur auf autorisierte Geräte beschränken

    Bedrohungsminderung: Unbefugte Gerätekommunikation und Parametermanipulation; Rogue-Geräte, die sich mit der Verwaltungsschnittstelle verbinden; Abhören von unverschlüsseltem Geräteverkehr (gemildert durch Netzwerksegmentierung); Denial-of-Service-Angriffe von unautorisierten Netzwerksegmenten

Port 69/UDP (TFTP – Trivial File Transfer Protocol)

  • Firmware-Download und Gerätebereitstellung
  • BIDIREKTIONALE Kommunikation
  • Unverschlüsselt (nur in isolierten Netzwerken verwendet)
  • Nur während Firmware-Updates erforderlich
  • Kann außerhalb der Wartungsfenster deaktiviert werden

    Bedrohung mindert: Unautorisiertes Herunterladen und Bereitstellen von Firmware; Bösartige Firmware-Injektion über TFTP Man-in-the-Middle-Angriffe auf Firmware-Übertragungen (gemildert durch Netzwerkisolation); Unautorisierte Gerätebereitstellung; Abhören bei unverschlüsselten Firmware-Übertragungen

 

Hinweis: Während der Gerätebereitstellung in ABB Ability™ EM & AM durchgeführt wird, stelle sicher, dass deine Firewall gemäß den oben genannten aktiven Ports korrekt konfiguriert ist. Wenn Kommunikationsprobleme auftreten, versuchen Sie, Ihre Firewall vorübergehend zu deaktivieren und sie am Ende des Provisionierungsprozesses wieder zu aktivieren.

 

Für weitere Informationen zu den Sicherheitsinformationen klicken Sie bitte hier.