Skip to content

Das Purdue Modell – Übersicht und Bedeutung

Das Purdue Modell ist ein Referenzarchitekturmodell für industrielle Automatisierungssysteme.
Es beschreibt, wie industrielle Netzwerke und Steuerungssysteme in verschiedene Ebenen (Layers) unterteilt werden können, um die Organisation, Steuerung und Sicherheit zu strukturieren.

Warum gibt es das Purdue Modell?

In industriellen Umgebungen existieren zwei große Welten:

  • IT (Information Technology):
    Verantwortlich für Datenverarbeitung, Geschäftsprozesse, Planung und Verwaltung.

  • OT (Operational Technology):
    Verantwortlich für die Steuerung und Überwachung von physischen Prozessen und Maschinen.

Das Purdue Modell hilft dabei, diese Welten zu trennen und gleichzeitig die Kommunikation zwischen ihnen kontrolliert zu ermöglichen.
Dadurch wird die Sicherheit und Verfügbarkeit der Produktionsanlagen gewährleistet.

Die Ebenen des Purdue Modells

Das Modell besteht aus mehreren Schichten, die von der Unternehmensebene bis zur physikalischen Maschinenebene reichen:

Level Name Beschreibung
5 Unternehmensnetzwerk IT-Systeme: ERP, Office, Managementsysteme, Internet-Anbindung
4 Betriebsplanung & Logistik Produktionsplanung, Supply Chain Management, MES
3 Produktionssteuerung & DMZ MES, Historian, Schnittstelle zwischen IT & OT (DMZ)
2 Prozesssteuerung SCADA, HMI, Steuerung der Fertigungsprozesse
1 Prozessüberwachung SPS, DCS, direkte Steuerung von Maschinen
0 Physikalischer Prozess Sensoren, Aktoren, Maschinen, Anlagen

Level 5 – Unternehmensnetzwerk (Enterprise Network)

  • IT-Systeme, die für Verwaltung, Planung und Geschäftsprozesse zuständig sind.
  • Häufig mit dem Internet verbunden, daher hohes Sicherheitsrisiko.
  • Beispiele: ERP-Systeme, E-Mail-Server, Office-Anwendungen.

Level 4 – Betriebsplanung & Logistik (Business Planning & Logistics)

  • Koordiniert Produktion und Geschäftsprozesse.
  • Beinhaltet Produktionsplanungs- und Supply-Chain-Systeme.
  • Dient der Optimierung von Abläufen und Ressourcen.

Level 3 – Produktionssteuerung & DMZ (Operations & Control)

  • Vermittelt zwischen IT und OT.
  • Beinhaltet Manufacturing Execution Systems (MES) und Historian-Datenbanken.
  • Verantwortlich für die Sammlung von Prozessdaten und erste Analysen.
  • DMZ (Demilitarized Zone) als Pufferzone zwischen IT- und OT-Netzwerken, um direkte Verbindungen zu verhindern und den Datenfluss zu kontrollieren.

Level 2 – Prozesssteuerung (Supervisory Control)

  • Überwacht und steuert die Produktion in Echtzeit.
  • Systeme wie SCADA und HMI arbeiten hier.
  • Bediener überwachen Maschinen, Prozesse und können eingreifen.

Level 1 – Prozessüberwachung (Basic Control)

  • Direkte Steuerung von Maschinen und Anlagen.
  • SPS (Speicherprogrammierbare Steuerungen) und DCS (Distributed Control Systems) werden verwendet.
  • Verantwortlich für das Ausführen von Steuerungsbefehlen und das Sammeln von Sensordaten.

Level 0 – Physikalischer Prozess (Process & Field Devices)

  • Die reale physische Ebene: Sensoren, Aktoren, Motoren, Ventile, Roboter.
  • Hier finden die eigentlichen Prozessabläufe statt.

Warum sollte OT kein direktes Internet haben?

  • Verfügbarkeit zuerst: OT-Systeme steuern kritische Prozesse, die ständig laufen müssen. Ein Ausfall kann zu Produktionsstillstand, Umweltkatastrophen oder sogar Personenschäden führen.
  • Angriffsfläche minimieren: Direkter Internetzugang öffnet Türen für Cyberangriffe (z. B. Ransomware, Malware, gezielte Angriffe).
  • Legacy-Systeme: OT-Systeme laufen oft auf älterer, nicht gepatchter Hardware/Software, die anfällig ist.
  • Schutz sensibler Steuerungsdaten: Produktionsdaten und Steuerbefehle dürfen nicht in falsche Hände gelangen.
  • Isolation durch DMZ: Eine Demilitarisierte Zone schützt die OT-Ebenen vor direkten Zugriffen aus dem Internet und IT-Netzwerk.

Die DMZ im Purdue Modell

  • Die DMZ (Demilitarized Zone) ist eine Zwischenzone zwischen IT (Level 4-5) und OT (Level 0-3).
  • Sie sorgt für:
  • Sicherheitsbarriere: Verhindert direkten Zugriff von IT oder Internet auf OT-Systeme.
  • Kontrollierten Datenfluss: Nur autorisierte und überwachte Kommunikation wird zugelassen.
  • Monitoring: Sicherheitssysteme beobachten den Datenverkehr und erkennen Anomalien.
  • Typische DMZ-Komponenten: Firewalls, Proxy-Server, VPN-Gateways, IDS/IPS.

Erweiterung durch IoT und Cloud

Industrie 4.0, IoT und Cloud-Anbindung

  • Moderne Industrieanlagen nutzen zunehmend IoT-Geräte (Internet of Things), um Daten aus der Produktion zu sammeln und Prozesse zu optimieren.
  • Cloud-Dienste werden für Analyse, Machine Learning, Backup und Fernwartung eingesetzt.

Herausforderungen

  • Neue Angriffsvektoren: IoT-Geräte sind oft weniger sicher und bringen mehr potenzielle Schwachstellen mit.
  • Verlust der Kontrolle: Daten verlassen die eigene Infrastruktur und liegen in der Cloud, was Datenschutz- und Sicherheitsfragen aufwirft.
  • Komplexere Netzwerke: Die klare Trennung zwischen IT und OT wird durch IoT und Cloud teilweise verwischt.

Integration ins Purdue Modell

  • Edge Computing: Daten werden lokal an der Anlage (z. B. auf Edge-Geräten) vorverarbeitet, bevor sie in die Cloud gehen.
  • Sichere Gateways: Spezielle Gateways in der DMZ filtern und verschlüsseln Daten, die zwischen OT und Cloud/IT ausgetauscht werden.
  • Zero Trust Prinzipien: Jeder Zugriff wird ständig überprüft und niemals blind vertraut – auch innerhalb der Netzwerkzonen.

Zusammenfassung

  • Das Purdue Modell gliedert industrielle Automatisierungssysteme in klare Ebenen, um Organisation und Sicherheit zu verbessern.
  • Die DMZ ist eine zentrale Sicherheitszone, die IT- und OT-Netzwerke trennt und kontrollierte Kommunikation erlaubt.
  • OT-Systeme sollten kein direktes Internet haben, um Angriffe zu verhindern und Verfügbarkeit zu sichern.
  • Die zunehmende Nutzung von IoT und Cloud-Diensten fordert eine Weiterentwicklung des Modells und bringt neue Sicherheitsanforderungen mit sich.
  • Konzepte wie Edge Computing, sichere Gateways und Zero Trust Security helfen, moderne Industrieumgebungen sicher zu gestalten.