Den Überblick über komplizierte Automatisierungsnetze zu behalten ist keine einfache Aufgabe. Hier hilft es, sich an Modellen zu bedienen, die durch Abstraktion das notwendige Maß an Klarheit und Struktur erzeugen. Eines davon ist das Purdue Reference Model. Damit kann man Unternehmensnetze in unterschiedliche Stufen gliedern und die enthaltenen Systeme diesen Stufen zuordnen. Wie das funktioniert und welche Vorteile man dadurch erhält untersuchen wir in den folgenden Absätzen.

Hintergrund des Purdue Reference Model

Das Purdue Reference Model wurde in den frühen 1990er Jahren von Theodore J. Williams an der US-amerikanischen Purdue Universität in Indiana, USA entwickelt. Es wurde ursprünglich für nicht-industrielle Unternehmensnetze entworfen, danach aber auch auf Automatisierungsnetze angepasst.

In diesem Modell werden Automatisierungsnetze in fünf verschiedene Stufen unterteilt. Aus Konsistenzgründen halten wir uns im Folgenden an den englischen Begriff „Level“. Die Betrachtung beginnt dabei ganz oben im Büronetzwerk und endet auf dem kleinsten Level bei den direkt am industriellen Prozess beteiligten Komponenten, wie Ventilen oder Motoren.

Nach dem Purdue Reference Model wird ein Industrie-Netzwerk abstrakt in verschiedene Level gegliedert. Hierdurch kann es auch als Ausgangslage für Maßnahmen nach dem „Defense in Depth“-Prinzip dienen. Auch das Prinzip, ein solches Netz in Zonen und Zonenübergänge zu unterteilen, findet sich im Purdue Reference Model wieder. Wobei hier zwischen „Zone“ und „Level“ unterschieden werden muss. Ein „Level“ stellt die hierarchische Einordnung in das gesamte Unternehmensnetz dar, wohingegen eine Zone sich um die spezifische Segmentierung nach den Sicherheitsanforderungen kümmert. Eine Zone kann sich unter Umständen auch über mehrere Level erstrecken.

Aufschlüsselung der einzelnen Level

Doch was sind die einzelnen Level und welche Komponenten enthalten sie typischerweise? Das schematische Diagramm und die folgende Auflistung erzeugen Klarheit.

Purdue Reference Model for ICS

Purdue Reference Model for ICS

  • Level 4: Enterprise
    Hier läuft der unterstützende (Geschäfts-) Betrieb eines Unternehmens ab. Dazu gehören beispielsweise Systeme der Buchhaltung, des Vertriebs oder der Personalabteilung. Zwischen Level 4 und Level 3 befindet sich die Schnittstelle zum Anlagennetz. Aus Sicht des Anlagennetzes gilt das Enterprise-Netz als hochgradig unsicher.Typische Systeme: ERP-Systeme, Internetzugang, Fernwartungszugänge, Büroarbeitsplätze

 

  • Level 3: Operation Management
    Auf Level 3 sind Systeme angesiedelt, die in erster Linie die Funktion der Betriebsführung innehaben. Hierzu gehört zum einen das Bereitstellen jeglicher Systeme, Dienste und Anwendungen, die für das Industrie-Netz notwendig sind, zum anderen werden hier die einzelnen Automatisierungsschritte geplant.Typische Systeme: Anlagen-IT (DNS, DHCP, Active Directory…), Engineering-Stationen, Manufacturing Execution System

 

  • Level 2: Supervisory Control
    Innerhalb von Level 2 befinden sich Systeme, die für die Überwachung und Steuerung der spezifischen Prozessführung verantwortlich sind. Die Datenverarbeitung erfolgt hier noch nicht in Echtzeit, eine Störung der ansässigen Systeme hat keinen unmittelbaren Einfluss auf die Verfügbarkeit der Automatisierungslösung.Typische Systeme: HMI, Alarm- / Benachrichtigungssysteme, Prozessdatenspeicher

 

  • Level 1: Basic Control
    In diesem Level befinden sich die Systeme, die unmittelbaren Einfluss auf die Ausführung und Steuerung des physischen Prozesses haben. Zu ihren Aufgaben gehört die Überwachung von Sensoren und Aufrechterhaltung einer ordnungsgemäßen Funktion der Anlage. Sie arbeiten in Echtzeit und eine Störung auf diesem Level führt zu einer direkten Beeinträchtigung des automatisierten Prozesses.Typische Systeme: SPS / PLC, SCADA, DCS, RTUs

 

  • Level 0: Process Control
    Im niedrigsten Level läuft der eigentliche physikalische Geschäftsprozess ab. Die Befehle der auf Level 1 befindlichen Systeme werden hier in Echtzeit umgesetzt. Dieses Level wird auch als „Device“- oder Feldebene bezeichnet.Typische Systeme: Motoren, Ventile, Pumpen, Remote I/O

Die oben aufgelisteten Level verfolgen dabei ein zentrales Schema: Je niedriger der Level, desto höher sind dabei die Ansprüche an die Verfügbarkeit und Echtzeitfähigkeit der Systeme. Systeme und Netzbereiche aus einem niedrigeren Level dürfen standardmäßig den höheren Leveln nicht vertrauen.

Fazit

Durch die Anwendung des Purdue Reference Model lässt sich ein kompliziertes Unternehmensnetzwerk in ein greifbares Abbild abstrahieren. Dadurch wird Planung und Umsetzung von Schutzmaßnahmen vereinfacht, da eine bessere Abgrenzung zwischen den einzelnen Bestandteilen existiert. Auch wird die Kommunikation und Verteilung von Verantwortlichkeiten im Unternehmen gefördert.

Auf technischer Seite lassen sich damit ebenfalls positive Aspekte erzielen: An den Grenzen der Level lassen sich Maßnahmen implementieren, um die Kommunikation zwischen den einzelnen Zonen zu überwachen und kontrollieren. So können sie die IT-Sicherheit Ihrer Anlagen auf technischem Wege verbessern.

Durch die Betrachtung des Unternehmensnetzes nach dem Purdue Reference Model kann also ein solider Grundstein für die weitere Planung, Diskussion und Umsetzung von Schutzmaßnahmen gelegt werden. Auch die IEC 62443 verwendet dieses Modell, um Anlagennetze zu vereinfachen. Wenn Sie nach Informationen suchen, welche Schutzmaßnahmen es noch gibt, können Sie bei unseren Artikeln zum „Defense in Depth“-Prinzip und den Zones & Conduits Ihre Recherche fortsetzen.

Praxistipp: Überlegen Sie sich zu 10 Komponenten aus Ihren Anlagen, auf welchem Level sich diese befinden und über welche Levelgrenzen dabei kommuniziert wird.