- Existieren Unternehmensvorgaben hinsichtlich der IT-Security (z.B. bzgl. der Netzwerkstrukturen, des Patchmanagements, etc)?
- Welche Anforderungen bestehen an das Passwortmanagementsystem (Passwortkomplexität, Lifecycle, Storing, Vergabe, ...)?
- Soll es Möglichkeiten des Offline Access geben und wie soll dieser vor Missbrauch gesichert werden?
- Welche Dateien und welche Netzwerkkommunikation sollen verschlüsselt werden? Welcher Mechanismus soll verwendet werden?
- Welche Benutzergruppen mit welchen Zugriffsrechten werden benötigt?
- Welche Strategie (Whitelisting, Blacklisting) zum Schutz vor und Entfernen von Schadsoftware soll eingesetzt werden?
- Welche Anforderungen an die Nutzung von Wechseldatenträgern bestehen?
- Wie soll die Aktualisierung von Virensignaturen organisiert werden?
- Wie soll das Patchen des Betriebssystems und der MES Anwendungssoftware organisiert werden?
- Sollen die Empfehlungen des Namur AK4.18 Automation Security laut AK-PRAXIS Patchmanagement berücksichtigt werden?
- Sollen Security Patche und critical updates für das Betriebssystem des MES-Systems möglichst zeitnah nach der Veröffentlichung eingespielt werden?
- Sollen Werkzeuge zur Software Distribution eingesetzt werden?
- Ist festgelegt, wer die Patche zur Installation anweist und wer diese dann installiert? Gibt es eine Anleitung?
- Soll eine Prüfung der Verträglichkeit in der Betreiberumgebung z.B. auf entsprechenden Testsystemen vor der Installation der Patche durchgeführt werden? Alternativ kann auch ein Test „im Betrieb“ durchgeführt werden, bei dem die Patche zunächst nur auf unkritischen Systemen eingespielt werden.
- Soll vor dem eigentlichen Einbringen der Patche ein Backup erstellt werden?
- Soll nach der Installation der Patche die Funktion und Integrität des Systems geprüft werden? Wie?
- Ist bekannt, wie und wann der Hersteller der MES Software über Schwachstellen und Patche informiert?
- Sollen alle vom Software Hersteller veröffentlichten Security Patche installiert werden?
- Welche Anforderungen bestehen an die Netzwerkarchitektur für das MES System?
- Sollen die Empfehlungen des Namur AK4.18 Automation Security laut AK-PRAXIS Planungs- und Implementierungsaspekte für eine sichere Netzwerk Architektur berücksichtigt werden?
- Soll eine mindestens zweistufige Sicherheitsarchitektur aufgebaut werden, bei der die Komponenten der MES Ebene durch jeweils eine Firewall von der Produktions-externen Welt (ERP) und der Anlagensteuerung abgekoppelt sind?
- Wurde innerhalb der MES Ebene eine weitergehende Trennung in mehrere Zonen betrachtet, wobei die Kommunikation zwischen Systemen in unterschiedlichen Zonen über Firewalls reglementiert wird?
- Welche Anforderungen bestehen an eine Überwachung der Netzwerkkommunikation?
- Welche Anforderungen an die Zugriffskontrolle (ACL) auf/für Service, Programme und Dateien soll eingesetzt werden?
- Sollen Firewalls eingesetzt werden, die nur legitimen Datenverkehr (zwischen den Ebenen bzw. Zonen einer Ebene) ermöglichen?
- Soll legitimer Datenverkehr je nach Quelle, Ziel und Protokoll unterbunden oder geroutet werden (Funktion Paketfilter)?
- Sollen Proxy-Systeme in der MES-Ebene vorgesehen werden, die eine direkte Kommunikation zwischen Systemen in der Ebene der Anlagensteuerung mit Systemen in der ERP-Ebene vermeiden?
- Soll eine Dokumentation der jeweiligen Kommunikation (Kommunikationsmatrix) zwischen den Kommunikationsteilnehmern im Netzwerk (Systeme, Protokolle) erstellt werden? Wie, automatisch oder manuell?
- Soll ein Verzeichnis aller Komponenten, die in dem Netzwerk Kommunikationsteilnehmer sind, verfügbar sein (asset inventory)?
