IndustryHub
LERNEN / CYBERSICHERHEIT

Das Purdue-Modell: die geschichtete Architektur eines Industriesystems

← Cybersicherheit
Entdeckung Lektion 2/2 6 min

Das Purdue-Modell: die geschichtete Architektur eines Industriesystems

Vom Sensor bis zum ERP organisiert das Purdue-Modell industrielle Systeme in hierarchische Ebenen. Es ist die Referenzkarte für die Segmentierung und Absicherung eines OT-Netzwerks.

In einem Satz

Das Purdue-Modell ist die hierarchische Karte eines Industriesystems: Es ordnet jedes Gerät einer Ebene zu, von der größten Nähe zur Materie bis zur größten Nähe zur Verwaltung. Diese Karte ist die Grundlage der Netzsegmentierung und der OT-Cybersicherheit.

Woher es kommt

Das Modell stammt aus der Purdue Enterprise Reference Architecture (1990er), aufgegriffen von der Norm ISA-95 zur Integration von Unternehmen und Produktion. Es beschreibt, wie Information fließt, vom Sensor bis zum ERP, durch jede Steuerungsschicht.

Die Ebenen

4–5Unternehmen — ERP, Cloud 3.5Industrielle DMZ 3Betrieb — MES, Historian 2Visualisierung — SCADA, DCS, HMI 1Steuerung — SPS, Sicherheit 0Prozess — Sensoren, Aktoren IT OT
EbeneNameWas man dort findet
0ProzessSensoren, Aktoren, Ventile, Motoren — die physische Welt
1SteuerungSteuerungen (PLC), Regler, Sicherheitssysteme
2VisualisierungSCADA, DCS, Bedienoberflächen (HMI)
3StandortbetriebMES, Historian, Produktionssteuerung
3.5Industrielle DMZPufferzone zwischen OT und IT
4-5UnternehmenERP, Büro-IT, Cloud, Internet

Die Ebenen 0 bis 3 bilden die OT-Welt; die Ebenen 4-5 die IT-Welt (siehe OT und IT). Je tiefer man kommt, desto näher ist man der physischen Gefahr und der Echtzeit.

Die demilitarisierte Zone (DMZ)

Das zentrale Element für die Sicherheit ist Ebene 3.5: die industrielle DMZ. Sie ist eine Pufferzone zwischen Werkshalle (OT) und Büro (IT). Kein Fluss kreuzt direkt von IT nach OT: Alles läuft über die DMZ, wo geprüft und gefiltert wird. So breitet sich eine Kompromittierung auf der Büroseite nicht bis zu den Steuerungen aus.

Genau dieses Prinzip fehlte bei berühmten Angriffen, bei denen ein infizierter Büroarbeitsplatz schließlich das Produktionsnetz erreichte.

Wozu es konkret dient

Das Purdue-Modell ist nicht nur ein theoretisches Schema. Es leitet drei Entscheidungen:

  1. Segmentieren: Jede Ebene ist ein eigenes Netz, mit strengen Übergangsregeln dazwischen.
  2. Die Flüsse ordnen: Daten steigen auf (Ebene 0 zu 4), Befehle steigen ab, nie kurzgeschlossen.
  3. Die Verteidigung priorisieren: Je tiefer eine Ebene, desto kritischer und geschützter.

Es ist die Grundgrammatik der industriellen Cybersicherheit, formalisiert durch die Norm IEC 62443.

Seine Grenzen

Das Modell entstand vor Cloud und IIoT. Heute melden vernetzte Sensoren mitunter direkt an die Cloud und schließen Ebenen kurz. Das Modell bleibt die pädagogische und architektonische Referenz, doch moderne Architekturen lockern es — ohne je sein Gründungsprinzip aufzugeben: den physischen Prozess nie direkt dem Internet aussetzen.

Weiterführend

OT und IT: die zwei Welten der industriellen Informatik OT IT ICS SCADA DMZ PLC IEC 62443 ISA 95