Ist das Purdue-Modell für die OT-Sicherheit veraltet?

Das Purdue Reference-Modell für die Sicherheit von OT- (Operational Technology) und IC-Systemen (Industrial Control) ist ein wichtiges Rahmenwerk, das auch heute, trotz neuer technologischer Fortschritte, noch weit verbreitet ist.

Die rasante technologische Entwicklung und die zunehmende Raffinesse von Cyberbedrohungen werfen jedoch die Frage auf, ob das Modell modernen Sicherheitsherausforderungen noch gerecht wird.

Muss das Purdue-Modell angepasst werden, wenn Fertigungsunternehmen neue Technologien einführen? Die Antwort darauf ist ein klares „Ja“! Was müssen die Fertigungsunternehmen also genau tun?

Das Purdue-Modell hat sich so lange gehalten, weil es komplexe Fertigungssysteme in gut handhabbare Komponenten zerlegt. Durch die Segmentierung der Systeme stellt das Modell sicher, dass die Fertigungsunternehmen auch dann ihre geschäftskritischen Produktionsabläufe fortsetzen können, wenn andere Systeme (wie etwa der IT-Betrieb im restlichen Unternehmen) kompromittiert sind. Doch mit dem Aufkommen neuer Fertigungstechnologien ist das Purdue-Modell in die Jahre gekommen.

Das Purdue-Modell wurde in den 1990er Jahren entwickelt, als OT- und IT-Systeme noch selten miteinander verbunden waren. Heutzutage sind OT und IT jedoch häufig miteinander verknüpft, da immer mehr Fertigungs- und Industrieunternehmen neue Technologien wie IIoT-Geräte (Industrial Internet of Things) und cloudbasierte Echtzeit-Analysen von Produktionsdaten nutzen wollen.

Dadurch verschwimmen die Grenzen zwischen OT und IT zunehmend. In der Folge haben die Fertigungsunternehmen Schwierigkeiten, die Vorgaben des Modells umzusetzen. Das Purdue-Modell ist nämlich fast ausschließlich für OT-Systeme konzipiert und daher zu starr und zu hierarchisch, um mit den meisten integrierten OT-IT-Systemen gut zu funktionieren.

Das Purdue-Modell hat nach wie vor seine Relevanz als logischer und funktionaler Rahmen für die Entwicklung und Sicherung von Automatisierungs- und Steuerungssystemen. Das Modell unterteilt die industrielle Umgebung in eine hierarchische Struktur. Dadurch können Fertigungsunternehmen eine Netzwerk-Segmentierung vornehmen und dazu passende Sicherheitsmaßnahmen umsetzen, um das Zusammenspiel der verschiedenen Systemkomponenten besser steuern zu können.

Die Praxis des „Air Gapping“ – also der Isolierung vom unternehmenseigenen LAN und externen Netzwerken (wie dem Internet) – soll das Risiko von Cyberbedrohungen minimieren, die zu kostspieligen Ausfällen von Echtzeit-Produktionssystemen wie SCADA-Servern (Supervisory Control and Data Acquisition), Mensch-Maschine-Schnittstellen (HMIs) und der nachgelagerten Automatisierungstechnik führen können.

Trotz der Einführung neuer Standards wie Industrie 4.0 (auch als „Vierte Industrielle Revolution“ bekannt), die eine verstärkte Nutzung von Edge- und Cloud-Computing mit sich bringen, bleiben einige Prinzipien des Purdue-Modells für die Fertigungsbranche und andere Industriezweige wichtig. Allerdings verändert die zunehmende Integration von OT und IT die Art und Weise, wie Fertigungsunternehmen das Modell anwenden. Die vom Purdue-Modell definierten getrennten Ebenen – insbesondere die Grenzen zwischen den Ebenen 3 bis 5 (Betriebskontrolle, OT und IT-Perimeternetzwerk) sowie die Grenze zum Unternehmensnetzwerk – verschwimmen zunehmend und werden durchlässiger.

Gleichzeitig ermöglicht Cloud-Computing den Fertigungsunternehmen, komplexe Berechnungstasks und die Datenspeicherung auf externe Computing-Ressourcen (physisch, virtuell und cloudbasiert) zu verlagern, die außerhalb der OT-Umgebung verwaltet werden. Dadurch haben sich die Skalierbarkeit, Flexibilität und Kosteneffizienz bei der Verarbeitung großer Mengen von Echtzeit-Telemetriedaten erhöht. Gleichzeitig führte diese Entwicklung jedoch auch dazu, dass die Sicherheit und Zuverlässigkeit von OT-Systemen mit denen von IT-Systemen verflochten wurde. Durch die Integration von OT- und IT-Systemen sind industrielle Systeme jedoch einem viel breiteren Spektrum von Cyberbedrohungen ausgesetzt.

Um den neuen Sicherheitsherausforderungen gewachsen zu sein, müssen die Fertigungsunternehmen das Purdue-Modell anpassen. Das Modell erweist sich dabei jedoch als überraschend flexibel. Das liegt daran, dass es sich nicht um eine physische, sondern um eine logische bzw. funktionale Hierarchie handelt. Während sich die physische Platzierung von Komponenten ändern kann, bleiben die funktionalen Rollen und Verantwortlichkeiten, die durch die Ebenen des Purdue-Modells definiert sind, weitgehend unverändert.

Die Hersteller können Edge-Computing beispielsweise in das Modell integrieren, indem sie Edge-Geräte als Teil der unteren Modellebenen behandeln. Auf ähnliche Weise können sie das Modell an das Cloud-Computing anpassen, indem sie die oberen Ebenen um cloudbasierte Services und Applikationen erweitern.

Mit diesen Anpassungen können Edge- und Cloud-Computing verbesserte Fähigkeiten in den Bereichen Datenverarbeitung, -speicherung und -analyse bieten und gleichzeitig die für das Purdue-Modell so wichtige Komponenten-Trennung aufrechterhalten.

Die Anpassung des Modells für Edge- und Cloud-Computing bringt jedoch neue Herausforderungen mit sich, wie beispielsweise die Gewährleistung einer sicheren und zuverlässigen Kommunikation zwischen den lokalen Systemen und der Cloud, die Verwaltung von Datenlatenzen sowie der Umgang mit potenziell vergrößerten Angriffsflächen.

Die dynamische Natur von Cloud-Umgebungen kann das Sicherheits- und Compliance-Management erschweren, weil sich Cloud-Konfigurationen und -Services schnell und häufig ändern können. Daher müssen Fertigungsunternehmen robuste Sicherheitsmaßnahmen implementieren, wozu Verschlüsselungen, sichere Kommunikationsprotokolle, ein kontinuierliches Monitoring und zuverlässige Endpunkt-Schutztechnologien (wie EDR-Funktionalitäten) gehören.

Zudem müssen sie klare Richtlinien und Verfahren für die Datenverwaltung und Datenzugriffe festlegen. Dabei müssen sie ein Gleichgewicht zwischen den Vorteilen von Cloud- und Edge-Computing einerseits und der Notwendigkeit von operationaler Resilienz und Sicherheit andererseits wahren.

Ein Zero-Trust-Modell, das die Zugriffe, Authentifizierungen und Autorisierungen für OT-Ressourcen regelt, ist dabei ein beliebter Ansatz, muss jedoch an die Einschränkungen von OT-Systemen angepasst werden. So laufen beispielsweise viele OT-Systeme auf sehr alten Windows-Versionen, die möglicherweise von modernen Cyber Security-Agenten nicht unterstützt werden, sodass für eine vergleichbare Sicherheit möglicherweise eine proxybasierte Sicherheit sowie eine fein abgestufte Netzwerk-Segmentierung erforderlich sind.

Fertigungsunternehmen benötigen eine Lösung, mit der integrierte OT- und IT-Umgebungen geschützt werden können, ohne dass das Purdue-Modell aufgegeben oder grundlegend geändert werden muss. Sie müssen in der Lage sein, das Modell an moderne, vernetzte Umgebungen anzupassen.

Acronis Cyber Protect für OT bietet hier genau das, was Fertigungsunternehmen benötigen. Die Lösung lässt sich nahtlos in das Purdue-Modell integrieren und bietet zuverlässige Schutz- und Verwaltungsfunktionen für derart integrierte Umgebungen. Zu den wichtigsten Fähigkeiten gehören:

Der Acronis Management Server und der zentrale Acronis Monitoring Hub gewährleisten eine sichere Kommunikation und Verwaltung zwischen den IT- und OT-Umgebungen. Auf den Ebenen 2, 3 und 3.5 des Purdue-Modells kann der Acronis Agent auf OT-Systemen wie Historian-Software, SCADA-Servern und HMI-Geräten eingesetzt werden. Dadurch erhalten Hersteller die Möglichkeit, Backup- und Wiederherstellungsprozesse in integrierten OT- und IT-Umgebungen durchzuführen. Optional kann der Agent auch wichtige Cybersicherheitsfunktionen (wie einen Ransomware-Schutz) bereitstellen, mit denen Cyberbedrohungen für die OT-Systeme erheblich reduziert und abgeschwächt werden können.

In stärker integrierten OT-/IT-Umgebungen kann der Acronis Agent auch auf Systemen der Enterprise- und Business Network-Ebene des Purdue-Modells installiert werden. Er bietet dann integrierte Cybersicherheits- und zuverlässige Backup-Funktionalitäten für Frontoffice-, Backoffice- und allgemeine Produktivitätsapplikationen.

Mit Acronis Cyber Protect für OT kann die IT-Abteilung Backup- und Sicherheitsabläufe von OT- und IT-Systemen über eine zentrale Konsole überwachen und verwalten. Durch die zentrale Verwaltung wird die Administration vereinfacht, sodass die Fertigungsunternehmen ihre Effizienz und Effektivität steigern sowie die Integration ihrer IT- und OT-Teams insgesamt verbessern können.

Eine zentrale Übersicht über das gesamte Netzwerk ermöglicht es den Administrator:innen, Probleme schneller zu erkennen, diese ggf. zu beheben und sicherzustellen, dass die verwalteten IT- und OT-Systeme geschützt und betriebsbereit bleiben. In einem mandantenfähigen Bereitstellungsmodell können die IT- und OT-Teams, die bei Fertigungsunternehmen häufig getrennt agieren, weiterhin unabhängig voneinander arbeiten. Acronis Cyber Protect für OT ermöglicht dennoch eine zentrale, einheitliche Übersicht über alle Backup- und Sicherheitsabläufe für die gesamte Organisation.  

Acronis Cyber Protect for OT bietet Fähigkeiten, mit denen Fertigungsunternehmen das Purdue-Modell an moderne Cloud-Technologien und andere Entwicklungen anpassen können, die die Bereiche OT und IT zusammenführen. Mit dieser Lösung können Fertigungsunternehmen ihre Effizienz steigern und eine sichere Integration von OT- und IT-Systemen erreichen.