Was Ist das Purdue-Modell? ICS-Architektur
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Was ist das Purdue-Modell und woher kommt es?
Das Purdue-Modell (offiziell: Purdue Enterprise Reference Architecture, PERA) ist ein hierarchisches Referenzmodell für industrielle Steuerungssysteme. Es wurde in den 1990er Jahren an der Purdue University entwickelt und ist seither das dominierende Architekturmodell für OT-Netzwerke. Mehr als 70% aller ICS-Sicherheitsarchitekturen weltweit basieren auf dem Purdue-Modell oder seinen Abwandlungen (ISA, 2024).
Wichtige Erkenntnisse
- Das Purdue-Modell definiert 5 Netzwerkebenen (Level 0-4) für ICS-Umgebungen
- 70% aller ICS-Architekturen weltweit basieren auf dem Purdue-Modell (ISA)
- Level 0-2 sind OT-Ebenen, Level 3-4 gehören zur IT/OT-Grenzzone
- Strikte Trennung zwischen Ebenen ist der Kern des Sicherheitskonzepts
- Modernisierungen für Cloud und IIoT ergänzen das klassische Modell
[INTERNAL-LINK: OT-Netzwerksegmentierung → OT-Netzwerksegmentierung: Zonen und Kanäle]
Wie ist das Purdue-Modell aufgebaut?
Das Purdue-Modell unterteilt industrielle Umgebungen in fünf Netzwerkebenen (Level 0-4), die durch klar definierte Sicherheitsgrenzen getrennt sind. Die ISA/IEC 62443-Normreihe hat das Modell formalisiert und ist heute maßgeblich für industrielle Cybersicherheit (IEC 62443, 2023).
Level 0: Feldebene
Level 0 enthält die physischen Prozessgeräte: Sensoren, Aktoren, Motoren und Ventile. Diese Geräte messen physikalische Größen (Temperatur, Druck, Durchfluss) und führen Steuerbefehle aus. Sie kommunizieren typischerweise über industrielle Feldbusse wie PROFIBUS, HART oder IO-Link.
Level 1: Steuerungsebene
Level 1 enthält die Steuerungssysteme: SPS (Speicherprogrammierbare Steuerungen), DCS-Controller und Safety-Systeme. Diese Geräte verarbeiten Sensordaten und senden Steuerbefehle an Level-0-Geräte. SPS-Programmiergeräte befinden sich auf dieser Ebene und sind häufige Angriffsziele.
Level 2: Prozesssteuerungsebene
Level 2 enthält Supervisory-Systeme: SCADA-Server, HMI-Stationen und Engineering-Workstations. Diese Systeme visualisieren Prozesse, ermöglichen manuelle Eingriffe und konfigurieren Level-1-Steuerungen. Sie kommunizieren über industrielle Ethernet-Protokolle wie PROFINET oder EtherNet/IP.
Level 3: Betriebsleitebene (MES)
Level 3 enthält Manufacturing Execution Systems (MES), Historian-Server und Batch-Management-Systeme. Diese Systeme verbinden OT-Prozessdaten mit IT-Geschäftsdaten. Sie sind die wichtigste Schnittstelle zwischen OT (Level 0-2) und IT (Level 4).
Level 4: Unternehmensebene
Level 4 ist die klassische IT-Unternehmensebene: ERP-Systeme, Office-Netzwerke, E-Mail und Internet. Dieser Level sollte keine direkte Verbindung zu Level 0-2 haben. Die Trennung zwischen Level 3 und 4 ist oft der schwächste Punkt in der Architektur.
Brauchen Sie Unterstützung bei Was Ist das Purdue-Modell? ICS-Architektur?
Unsere Cloud-Architekten unterstützen Sie bei Was Ist das Purdue-Modell? ICS-Architektur — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Wie schützt das Purdue-Modell vor Angriffen?
Das Purdue-Modell schützt durch strikte Zonentrennung und kontrollierte Kommunikation zwischen Ebenen. Die NSA empfiehlt, dass Kommunikation zwischen nicht-benachbarten Ebenen explizit blockiert wird (NSA, 2024). Ein Angreifer, der in Level 4 (IT) eindringt, muss mehrere Sicherheitsgrenzen überwinden, um Level 0-1 (Feldgeräte) zu erreichen.
Firewalls zwischen jeder Ebene kontrollieren erlaubten Verkehr. Eine DMZ zwischen Level 3 und 4 hostet gemeinsame Dienste wie Historian-Replikation. Unidirektionale Gateways (Datendipoden) zwischen Level 2 und 3 verhindern physisch jede Kommunikation von IT nach OT.
[UNIQUE INSIGHT] In der Praxis ist das Purdue-Modell oft ideal auf dem Papier, aber unvollständig in der Umsetzung. Die häufigste Schwachstelle: Firewall-Regeln erlauben deutlich mehr Verkehr als nötig, weil historisch gewachsene Ausnahmen nie aufgeräumt wurden. Regelmäßige Firewall-Rule-Reviews sind unerlässlich.
Wie wird das Purdue-Modell für Cloud und IIoT modernisiert?
Cloud-Anbindung und Industrial IoT (IIoT) lassen sich nicht einfach in das klassische Purdue-Modell integrieren. Gartner schätzt, dass 45% der OT-Daten bis 2028 in der Cloud verarbeitet werden (Gartner, 2025). Das erfordert eine Modernisierung der Architektur.
Moderne Ansätze fügen eine "Level 3.5"-Zone für sichere Cloud-Konnektivität ein. Diese Zone enthält sichere Edge-Computing-Systeme, die OT-Daten aggregieren und gefiltert in die Cloud weiterleiten, ohne direkte Cloud-Verbindungen aus Level 0-2 zu ermöglichen. Zero-Trust-Prinzipien ergänzen das Zonenmodell.
Häufig gestellte Fragen
Ist das Purdue-Modell veraltet?
Das klassische Purdue-Modell ist über 30 Jahre alt, aber seine Grundprinzipien sind weiterhin gültig. Zonenkonzept und Tiefenverteidigung sind zeitlos. Modernisierungen für IIoT, Cloud und Remote-Access sind notwendig, ersetzen aber nicht die Grundarchitektur. IEC 62443 hat das Modell für moderne Anforderungen aktualisiert.
Muss ich das Purdue-Modell vollständig implementieren?
Nicht zwingend, aber die Grundprinzipien sollten umgesetzt sein: klare Zonentrennung, kontrollierte Kommunikation zwischen Ebenen und Tiefenverteidigung. Kleinere Unternehmen setzen oft vereinfachte Varianten um, die die kritischen Grenzen zwischen OT und IT wahren.
Fazit: Das Purdue-Modell als Orientierungsrahmen
Das Purdue-Modell bietet einen bewährten Orientierungsrahmen für OT-Netzwerkarchitektur. Seine Stärke liegt in der klaren Visualisierung von Sicherheitsgrenzen und Kommunikationsflüssen. Für moderne OT-Umgebungen muss es um Cloud-, IIoT- und Zero-Trust-Konzepte ergänzt werden.
Erfahren Sie mehr über unsere OT-Sicherheitsservices und wie wir Purdue-konforme Architekturen für Ihre Anlage entwickeln.
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.