Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 5 – Referenzarchitektur

Cyber-Sicherheit im Fokus_ 40 Teile

Von Ebenenmodellen zur belastbaren Zonierung

Eine Risikoanalyse allein macht ein System nicht sicher. Sie schafft Transparenz und definiert Target Security Levels. Die Architektur entscheidet, ob diese Anforderungen technisch umgesetzt werden können. In industriellen Umgebungen existieren zwei zentrale Denkmodelle. Das Purdue Modell und das Zonen und Conduit Modell nach IEC 62443. Beide sind wichtig. Beide werden häufig falsch verstanden.

Dieser Artikel zeigt, wie daraus eine belastbare Referenzarchitektur entsteht.

1 Das Purdue Modell als Strukturrahmen

Das sogenannte Purdue Enterprise Reference Architecture beschreibt eine hierarchische Ebenenstruktur.

Typischerweise:

Level 0 Feldgeräte
Level 1 Steuerungen
Level 2 HMI und SCADA
Level 3 Produktionsmanagement
Level 4 Unternehmens IT

Das Modell hilft, Funktionen logisch zu trennen. Aber es ist kein Sicherheitsmodell. Es beschreibt Ebenen, nicht Vertrauensgrenzen.

2 Warum Ebenen keine Security Architektur sind

Viele Systeme sind formal nach Purdue aufgebaut und trotzdem unsicher.

Der Grund ist einfach. Security hängt nicht von vertikalen Ebenen ab, sondern von Vertrauenszonen, Kommunikationspfaden, Exposition und Segmentierung.

Ein Steuerungsnetz kann auf Level 1 liegen und trotzdem direkt mit einem externen Dienstleister verbunden sein. In diesem Fall ist die Ebenenlogik irrelevant.

3 Das Zonen und Conduit Modell

Hier greift die Logik der IEC 62443-3-3.

Die Norm fordert die Definition von Zonen und Conduits.

Eine Zone ist ein Bereich mit gleichen Sicherheitsanforderungen.
Ein Conduit ist ein kontrollierter Kommunikationspfad zwischen Zonen.

Beispielhafte Zonierung:

Safety Zone
Control Zone
Supervisory Zone
Remote Access Zone
Enterprise Zone

Jede Zone erhält einen Target Security Level. Das ist die direkte Umsetzung der Risikoanalyse nach IEC 62443 3 2.

4 Wie entsteht daraus eine Referenzarchitektur

Eine belastbare Referenzarchitektur folgt vier Prinzipien:

Klare Zonendefinition
Strikte Netzwerksegmentierung
Definierte Conduits
Kontrollierte Übergänge

Das bedeutet konkret:

Keine direkte Verbindung von Remote Access in die Control Zone
Keine ungefilterten Verbindungen zwischen Safety und IT
Keine gemeinsame Authentisierung über alle Zonen
Keine unprotokollierten Kommunikationspfade

5 Die Rolle der DMZ

Eine industrielle DMZ ist keine Komfortzone, sondern eine Sicherheitsbarriere.

Typische Funktionen in der DMZ sind:

Remote Access Gateway
Jump Server
Update Proxy
Logging Aggregation
Datenreplikation

Die DMZ verhindert, dass ein kompromittiertes IT System direkt auf Steuerungsnetze zugreifen kann.

6 Security Level und Architektur

Das Target Security Level bestimmt die technische Ausgestaltung einer Zone.

Dazu gehören:

Authentisierungsstärke
Verschlüsselungsanforderung
Logging Tiefe
Integritätsüberwachung
Verfügbarkeitsmechanismen

Ein definierter Security Level ohne passende Architektur ist wirkungslos.

7 Typische Architekturfehler

VPN direkt ins Steuerungsnetz
Keine Trennung von Safety und Control
Industrial WLAN im selben Netz wie Engineering
Gemeinsame Benutzerkonten
Fehlende Protokollierung
Keine definierte DMZ

Diese Fehler entstehen durch fehlende Architekturdisziplin, nicht durch fehlende Technik.

8 Referenzarchitektur 2026

Eine moderne ICS Referenzarchitektur umfasst:

Physische oder logische Segmentierung
Zonenbasierte Firewall Regeln
Industrial DMZ
Zentralisiertes Logging
Strukturierten Remote Access
Geräteidentität und Zertifikate
Monitoring Integration
Dokumentierte Conduits
Verknüpfung mit Asset und CMDB

Architektur ist nicht nur ein Netzwerkdiagramm. Architektur ist kontrollierte Kommunikation mit klar definierten Sicherheitsgrenzen.

Im nächsten Artikel gehen wir noch tiefer in die Segmentierung und zeigen, wie Conduits technisch umgesetzt und validiert werden.

Kategorien
BusinessDatenschutzFeatureInformationssicherheitMarkt und AnbieterNetzwerksicherheitNewsSecuritySicherer IT-BetriebThreat
Tags:
Alexander TsolkasCRADIN ISO 27001EN 50742IEC 62443MVONIS/2Sectank

Weitere Artikel

Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 4 – Risikoanalyse nach IEC 62443 3-2 Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 3 – Wann wird eine industrielle Anlage regulatorisch zu einem Produkt und was bedeutet das für Betreiber Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 2 – IEC 62443 richtig verstanden und wie 3-3, 4-1, und 4-2 zusammen eine belastbare Sicherheitsarchitektur bilden Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 1 – Cyber Resilience Act und was industrielle Betreiber jetzt konkret umsetzen müssen

Archiv

Kategorien

Back to Top