Die digitale Transformation hat die Art und Weise, wie beispielsweise Gebäude verwaltet und betrieben werden, grundlegend verändert. Besonders weit fortgeschritten ist diese Entwicklung im Bereich des Gebäudemanagements durch den Einsatz der sogenannten "Digitalen Decke". Diese Technologie integriert unterschiedliche Gebäudesysteme wie Beleuchtung, Heizung, Kühlung und Sicherheit auf einer einzigen, intelligenten Netzwerkplattform. Die Vorteile einer solchen Integration sind vielfältig: Neben signifikanten Effizienzsteigerungen durch die Automatisierung von Gebäudediensten ermöglicht die Technologie auch eine kostengünstigere Verwaltung.

Die Digitale Decke nutzt die IP-Kommunikation und versorgt sich via Power-over-Ethernet (PoE) mit Energie, was eine direkte Verbindung über das Gebäude-netzwerk mit modernen Ethernet-Switches ermöglicht. Diese technologischen Fortschritte eröffnen allerdings nicht nur neue Möglichkeiten, sondern bergen auch spezifische Risiken. Die zentrale Steuerung verschiedener Systeme über ein Netzwerk schafft erweiterte Angriffsflächen für Cyberattacken, die zu Datenlecks oder sogar zur Manipulation kritischer Systeme führen können.

Die Sicherheitsrisiken sind vielfältig: Unzureichende Zugriffskontrollen und mangelhafte Authentifizierungsmechanismen erhöhen das Risiko unautorisierten Zugriffs. Zudem stellt die umfangreiche Datenerfassung und -verarbeitung durch intelligente Gebäudesysteme eine erhebliche Herausforderung für den Datenschutz dar, insbesondere im Hinblick auf personenbezogene Daten.

Wir beleuchten im Folgenden die Herausforderungen der Digitalen Decke und setzen den Rahmen für eine tiefergehende Diskussion über das Purdue-Modell und dessen Anwendung im Kontext der modernen Gebäudevernetzung. Im weiteren Verlauf untersuchen wir, wie das Purdue-Modell hilft, eine sichere und effiziente Vernetzung innerhalb des Gebäudemanagements zu gewährleisten, indem wir spezifische Sicherheitsstrategien für jede Ebene der Technologieimplementierung aufzeigen.

Die Differenzierung zwischen Informationstechnologie (IT) und Betriebstechnologie (OT) spielt eine zentrale Rolle im Verständnis moderner Gebäudevernetzungssysteme oder Industrievernetzung im Allgemeinen. Während IT-Systeme primär für die Verwaltung und Verarbeitung von Daten und Informationen zuständig sind, umfassen IT-Infrastrukturen typischerweise Server, Computer, Software und Datenbanken, die hauptsächlich auf die Unterstützung von Geschäftsprozessen ausgerichtet sind. Demgegenüber steht die OT, die sich auf die direkte Steuerung und Verwaltung physischer Geräte konzentriert. Diese Devices, einschließlich industrieller Steuerungssysteme, Sensoren und Robotik, sind in der Regel in Produktionsstätten und bei der Dienstleistungserbringung im Einsatz und tragen zur Automatisierung physischer Prozesse bei.

Die fortschrittliche Implementierung von OT im Gebäudemanagement, illustriert am Beispiel der "Digitalen Decke", demonstriert eindrucksvoll das Zusammenspiel dieser Technologien. Die Digitale Decke, ein Ökosystem aus miteinander verbundenen Geräten und Systemen, nutzt die Vorteile von IT und OT, um eine effiziente, intelligente Umgebung zu schaffen. Moderne LED-Leuchten, die PoE gesteuert werden, adaptive Klimasteuerungen mit Sensoren für Temperatur und Luftqualitätsowie integrierte Sicherheitssysteme mit Überwachungskameras und Zugangskontrollen sind Beispiele für die Harmonisierung von IT und OT in einem einheitlichen Netzwerk.

Diese Systeme sind nicht nur energieeffizient, sondern passen auch ihre Funktionen dynamisch an die Umgebungsbedingungen und die Anwesenheit von Personen an, was zu einer Optimierung des Energieverbrauchs und einer Verbesserung des Benutzerkomforts führt.

Diese Konvergenz bringt jedoch spezifische Sicherheitsprobleme mit sich, die in traditionellen IT-Umgebungen nicht vorhanden sind:

- Patching und Updates: Viele OT-Geräte sind auf Langlebigkeit und kontinuierlichen Betrieb ausgelegt und erhalten seltener regelmäßige Software-Updates. Dies kann Risiken durch veraltete Software mit bekannten Sicherheitslücken erhöhen.

- Agentenbasierte Sicherheitsmaßnahmen: Aufgrund der begrenzten Rechenkapazitäten vieler OT-Geräte ist der Einsatz herkömmlicher Sicherheitssoftware oft nicht möglich. Dies erfordert angepasste Produkte, die speziell für den Einsatz in OT-Umgebungen entwickelt wurden.

- Over-The-Air-Updates (OTA): Während OTA-Updates eine bequeme Methode zur Aktualisierung von Software bieten, müssen sie sicher gestaltet sein, um Manipulationen während der Übertragung zu verhindern.

- Proprietäre Systeme: Viele OT-Systeme basieren auf proprietärer Technologie, was das Überprüfen und Sichern durch externe Sicherheitsexperten erschwert. Zusätzlich führt die Abhängigkeit von spezifischen Lieferanten oft zu Herausforderungen, wenn diese den Support einstellen.

- Physische Sicherheitsrisiken: OT-Geräte sind häufig physischen Bedrohungen ausgesetzt, die von Umwelteinflüssen bis hin zu direkten Manipulationen reichen können.

Die effektive Sicherung dieser vernetzten OT-Systeme erfordert eine differenzierte Herangehensweise, die sowohl technische als auch operationelle Besonderheiten berücksichtigt. Blicken wir also auf die spezifischen Sicherheitsmaßnahmen, die notwendig sind, um die Herausforderungen der OT-Sicherheit in modernen Gebäudeumgebungen zu adressieren und dabei gleichzeitig auch die Vorteile der IT/OT-Konvergenz zu maximieren.

Das Purdue-Modell, formal bekannt als "Purdue Enterprise Reference Architecture" (PERA), ist seit seiner Entwicklung an der Purdue University in den frühen 1990er Jahren ein fundamentaler Bestandteil der industriellen IT-Architektur (Bild 1). Es dient als Brücke zwischen OT und IT und bietet eine klare und strukturierte Methode, um sicherzustellen, dass die Automatisierungssysteme effizient und sicher mit Unternehmenssystemen kommunizieren.

Das Modell ist in fünf Ebenen plus Internetebene gegliedert, die jeweils unterschiedliche Aspekte und Funktionen innerhalb eines industriellen Netzwerks repräsentieren. Die Ebenen 0, 1 und 2 beschreiben die direkte Steuerung der Produktion. Ebene 0 beinhaltet Sensoren und Aktoren, die unmittelbar mit der physischen Umgebung interagieren, um physikalische Variablen zu messen und zu steuern. Die Ebene 1 umfasst intelligente Geräte wie programmierbare Logikcontroller (PLC), die grundlegende Automatisierungssteuerungen ausführen. Schließlich bezieht sich Ebene 2 auf übergeordnete Steuerungssysteme, die Prozesskontrollen und operative Überwachung bereitstellen.

Die dritte Ebene umfasst die Betriebsführung und überbrückt die Lücke zwischen der direkten Produktionssteuerung und den Unternehmensanwendungen, ist zuständig für Produktionsplanung und das Management von Betriebsabläufen. Um das Unternehmensmanagement kümmert sich Ebene 4 in Sachen ERP, das wesentlich ist für die Handhabung von Bestandsmanagement, Auftragsverwaltung und Finanzbuchhaltung. Ebene 5 repräsentiert die höchste Ebene der Unternehmensplanung, wo strategische Entscheidungen gefällt und Analysen auf Basis der aggregierten Daten erfolgen.

Über all diesen Ebenen steht die Verbindung zum Internet, die eine kritische Schnittstelle zur Außenwelt bildet. Diese externe Vernetzung ermöglicht einerseits die effiziente Nutzung von Clouddiensten und den Datenaustausch über Unternehmensgrenzen hinweg, birgt jedoch andererseits erhöhte Risiken in Form von potenziellen Cyberangriffen.

Die klare Struktur und Abgrenzung der Ebenen im Purdue-Modell sind entscheidend für die Entwicklung von gezielten Sicherheits- und Kontrollstrategien. Indem jedes Level seine spezifischen Sicherheitsprotokolle erhält, die auf die jeweiligen Bedürfnisse zugeschnitten sind, lässt sich die Integrität der industriellen Steuerungssysteme sowie der Unternehmensdaten effektiv schützen. Dies beinhaltet nicht nur die physische und netzwerkbasierte Sicherheit, sondern auch die Implementierung von Maßnahmen zur Datensicherheit und zum wirksamen Schutz vor unerlaubtem Zugriff, um eine umfassende Sicherheitsarchitektur zu gewährleisten.

Durch dieses Modell können Unternehmen eine robuste, sicherheitsorientierte Struktur schaffen, die sowohl die operationellen als auch die informationstechnologischen Aspekte ihrer Organisation effektiv unterstützt. Dies ist besonders relevant in Zeiten der zunehmenden Digitalisierung und Vernetzung, wo Cyberbedrohungen eine stetig wachsende Herausforderung darstellen.

Produkte und Dienstleistungen, die einen Schutz gemäß dem strukturierten Ansatz des Purdue-Modells bieten, müssen verschiedene Technologien mitbringen:

- Perimeter Protection (Ebenen 0, 1, 3 und 4): Diese sichert das gesamte Netzwerk ab, indem sie den Zugang von außen strikt kontrolliert und überwacht. Dies ist besonders kritisch für die oberen Ebenen, wo der Datenaustausch mit externen Quellen stattfindet.

- L2/L3 NGFW Segmentation (Ebenen 2, 3.5, 5 und Internet): Next-Generation Firewalls (NGFW) bieten fortschrittliche Netzwerksegmentierung, die essentiell ist, um die verschiedenen Ebenen innerhalb des Purdue-Modells voneinander zu isolieren. Diese Segmentierung ist entscheidend, um die Ausbreitung von Bedrohungen innerhalb des Netzwerks zu verhindern.

- Serverschutz (Ebenen 3 und 4): Es gilt Server zu schützen, die kritische, betriebliche Anwendungen hosten. Hier muss gegen Malware, Ransomware und andere Bedrohungsarten vorgegangen werden.

- Identity- und Access-Management und Privileged Access Management: Diese Systeme regulieren den Zugriff auf kritische Daten und Systeme und gewährleisten, dass nur autorisierte Personen Zugang haben. Dies ist über alle Ebenen hinweg von großer Bedeutung.

- Threat Protection (IDS / IPS): Intrusion Detection und Prevention sind überall im Netzwerk einsetzbar und wichtig für das Erkennen und die Prävention von Echtzeit-Bedrohungen.

- Application Control (Ebenen 2, 3.5 und 5): Kontrolliert und reguliert den Zugriff auf Anwendungen basierend auf festgelegten Benutzeridentitäten und -richtlinien, um unerwünschte oder gefährliche Anwendungsaktivitäten zu unterbinden.

- Endpoint Protection: Workstations und mobile Geräte absichern, um zu verhindern, dass Bedrohungen über diesen Weg in das Netzwerk eindringen.

- Deception Technology (Ebenen 2, 3 und 4): Täuschungstechnologien führen Angreifer in die Irre und lenken sie von den eigentlichen Zielen ab, was die Sicherheitsarchitektur insgesamt stärkt.

- Advanced Threat Protection und Sandboxing (Ebenen 2, 3 und 4): Die Sandboxing-Technologie isoliert und analysiert verdächtige Dateien und Pro- zesse in einer sicheren Umgebung, was entscheidend ist, um fortgeschrittene Bedrohungen zu erkennen und anschließend zu neutralisieren.

- Network Operations (NOC/SOC): NOCs und SOCs bieten ununterbrochene Überwachung und Reaktion auf Sicherheitsvorfälle, was für die frühzeitige Erkennung und schnelle Reaktion auf Sicherheitsereignisse unerlässlich ist.

- Switching- und AP-Wireless-Systeme: Spezialisierte Switching-Systeme (mit PoE) und Wireless Access Points sind darauf ausgelegt, OT-Umgebungen sicher an das Netzwerk anzubinden, was für die Schaffung einer robusten Infrastruktur entscheidend ist.

- Ruggedized Systems: Für extreme Bedingungen sind robuste Systeme erforderlich, die zuverlässig funktionieren und speziell für den Einsatz in anspruchsvollen OT-Umgebungen wie beispielsweise in Schaltschränken mit Hutschiene (DIN-Schiene) entwickelt wurden.

Anbieter Fortinet stellt mit FortiDeceptor ein spezialisiertes Tool bereit, das auf der Honeypot-Technologie basiert. Dieses Werkzeug dient dazu, Angreifer durch die Simulation von verwundbaren Systemen innerhalb des Netzwerks anzulocken und von den eigentlichen Zielen abzulenken. FortiDeceptor wurde gezielt für den Einsatz in OT-Umgebungen entwickelt und zielt darauf ab, typische Angriffsmuster, die in industriellen Settings häufig vorkommen, zu erkennen und zu neutralisieren. Durch die Erstellung einer kontrollierten und sicheren Umgebung ermöglicht das Produkt Sicherheitsteams, das Verhalten von Angreifern zu beobachten und zu analysieren, ohne dass reale Systeme oder Daten kompromittiert werden. Diese Einsichten in die Angriffsvektoren und -methoden ermöglichen es Unternehmen, ihre Sicherheitsstrategien effektiv anzupassen und zu stärken.

Eine der Schlüsselfunktionen ist die Fähigkeit, nicht nur Angriffe zu identifizieren, sondern auch proaktiv darauf zu reagieren. Diese proaktive Verteidigungsmaßnahme unterstützt die Integration in das Fortinet Security Fabric, das Echtzeit-Datenübertragungen und koordinierte Reaktionen über verschiedene Sicherheitssysteme hinweg ermöglicht. Dies trägt dazu bei, Sicherheitslücken schneller zu schließen und potenzielle Schäden zu minimieren.

Ein konkretes Anwendungsbeispiel ist die Erweiterung der Digitalen Decke in intelligenten Gebäuden. Durch die Integration von gefälschten IP-Kameras, Meldesystemen und HVAC-Steuerungen kann FortiDeceptor frühzeitig Angreifer erkennen. Indem er gefälschte Netzwerkinfrastrukturen als Köder nutzt, gewährt er tiefe Einblicke in die Methoden und Verhaltensweisen der Eindringlinge, was es ermöglicht, proaktiv zu agieren und umfassenden Schutz zu bieten.

Im Kontext von IT und OT gewinnt das Zero-Trust-Sicherheitsmodell, das auf dem Prinzip beruht, nichts und niemandem ohne Verifikation zu vertrauen, an Bedeutung. Die Implementierung von Zero Trust in OT-Umgebungen bringt jedoch Schwierigkeiten mit sich, da diese oft veraltete Technologien enthalten, die primär auf Zuverlässigkeit und Betriebszeit ausgelegt sind und nicht auf Cybersicherheit. Zudem ist die OT-Landschaft oft durch einen Mangel an Standardisierung gekennzeichnet, was die Komplexität erhöht und ein umfangreiches Angriffspotenzial birgt.

Für eine effektive Implementierung von Zero Trust in OT-Umgebungen müssen IT-Verantwortliche nicht nur die Funktionsweise ihrer industriellen Automatisierungs- und Steuerungssysteme berücksichtigen, sondern auch die sicherheits- relevanten Aspekte, die dabei eine Rolle spielen. Es ist zudem essenziell, dass die Zero-Trust-Technologie mit der älteren Technologie in den OT-Umgebungen kompatibel ist, da bestimmte Komponenten wie PLCs oder HVAC-Systeme möglicherweise nicht fähig sind, die Technologien oder Protokolle zu unterstützen, die für eine vollständige Integration in Zero Trust erforderlich sind.

Durch die Anwendung des Purdue-Modells lässt sich ein kompliziertes Unternehmensnetzwerk in ein greifbares Abbild abstrahieren. Das vereinfacht Planung und Umsetzung von Schutzmaßnahmen, da eine klare Abgrenzung zwischen den einzelnen Bestandteilen existiert. Auch wird die Kommunikation und die Verteilung von Verantwortlichkeiten im Unternehmen gefördert. Auf technischer Seite gehen damit ebenfalls positive Aspekte einher: An den Grenzen der Ebenen lassen sich Maßnahmen implementieren, um die Kommunikation zwischen den einzelnen Zonen zu überwachen und zu kontrollieren.