-
Die Erfindung betrifft eine Datendiode zur unidirektionalen Übertragung von Daten von einem ersten Netzwerk in ein zweites Netzwerk gemäß dem Oberbegriff des Anspruchs 1 sowie ein industrielles Netzwerksystem gemäß dem Oberbegriff des Anspruchs 9.
-
In vielen Anwendungen, insbesondere auch im Bereich der Industrie, besteht die Notwendigkeit, Daten von einem Netz in ein anderes Netz zu übertragen. Ein Beispiel hierfür sind Daten aus einem Automatisierungssystem einer Produktionsanlage, wie z.B. Sensormesswerte, sowie Mess- und Regelgrößen, welche in einer Cloud oder einem anderen System dargestellt sowie ausgewertet werden sollen. Es soll jedoch verhindert werden, dass unerwünschte Daten von außen in das Automatisierungssystem übertragen werden, da dadurch die Gefahr besteht, dass der Produktionsprozess massiv gestört wird. Solche Störungen können dabei sowohl durch versehentliches Übertragen geschehen, als auch vorsätzlich mit Schädigungsabsicht herbeigeführt werden.
-
Zur Reduzierung dieses Risikos werden deshalb heute sogenannte Datendioden eingesetzt. Diese Dioden erlauben nur einen unidirektionalen bzw. weitgehend unidirektionalen Datenverkehr von einem Netz in ein anderes. Der Begriff „weitgehend unidirektionale“ bedeutet, dass ein sehr begrenztes Maß an bidirektionale Kommunikation erlaubt ist, z.B. für Handshakes oder Statusmeldungen oder andere definierte Daten.
-
Beispiele für solche Datendioden sind in der
DE 2015 108 109 oder der
WO 2009/047556 beschrieben.
-
Die bekannten Datendioden weisen jedoch den Nachteil auf, dass ihre Konfiguration über dieselbe Netzwerkschnittstelle wie der Datenverkehr erfolgt. Dadurch besteht die potentielle Möglichkeit, dass sich Unbefugte von einem Rechner aus dem äußeren oder auch dem inneren Netz aus Zugang zu den Prozessoreinheiten der Datendiode verschaffen, um eine Umkonfiguration vorzuehmen und die Datendiode softwaretechnisch so verändern, dass Daten in das innere Netz, z.B. das Automatisierungsnetz gelangen, die dort Schaden anrichten können.
-
Es ist eine Aufgabe dieser Erfindung, eine verbesserte Datendiode vorzustellen, welche eine unerlaubte Umkonfiguration durch einen Netzwerkzugriff von einem anderen Rechner im äußeren oder inneren Netz verhindert.
-
Ein weiterer Aspekt der Erfindung ist es, eine Diode vorzustellen, bei der die Dienste, die über die Netzwerkschnittstelle(n) zur Verfügung gestellt werden, auf ein Minimum reduziert werden.
-
Ein weiterer Aspekt der Erfindung ist es, eine Diode vorzustellen, bei der der Datenverkehr in Richtung des ersten Netzes ganz entfallen kann, oder auf ein für das jeweilige Protokoll notwendige Minimum reduziert werden kann.
-
Ein weiterer Aspekt der Erfindung ist es, eine Diode vorzustellen, bei der der Betreiber Veränderungen durch Unbefugte leicht erkennen kann.
-
Schließlich ist es noch eine weitere Aufgabe der Erfindung, durch die verwendeten technischen Mittel beim Betreiber auch das Gefühl einer sicheren Datenverbindung zu bestärken.
-
Die Aufgabe wird vollständig gelöst durch eine Datendiode zur unidirektionalen oder weitgehend unidirektionalen Übertragung von Daten von einem ersten Netzwerk in ein zweites Netzwerk gemäß dem Kennzeichen des Anspruchs 1 sowie ein industrielles Netzwerksystem gemäß den Kennzeichen des Anspruchs 9.
-
Die erfindungsgemäße Datendiode zur unidirektionalen oder weitgehend unidirektionalen Übertragung von Daten von einem ersten Netzwerk in ein zweites Netzwerk umfasst eine erste Schnittstelle zum Dateneingang sowie eine zweite Schnittstelle zum Datenausgang. Weiterhin ist zumindest eine Prozessoreinheit zur Steuerung der Datenübertragung vorgesehen.
-
Zudem umfasst die Datendiode auch noch eine Konfigurationsschnittstelle zur Konfiguration der zumindest einen Prozessoreinheit,
-
Damit können die Netzwerkschnittstellen nur für den Datenverkehr verwendet werden, aber nicht um sich auf andere Weise Zugang zu den Prozessoreinheiten der Datendiode zu verschaffen.
-
Mit dem Begriff einer weitgehend unidirektionalen Datenübertragung soll hier der Tatsache Rechnung getragen werden, dass abhängig vom verwendeten Protokoll gegebenenfalls einige wenige Daten, wie z.B. Statusmeldungen, Handshakes oder andere, genau definierte Daten auch in Gegenrichtung übertragen werden müssen.
-
Weitere vorteilhafte Ausführungen werden in den Unteransprüchen vorgestellt.
-
Falls mehr als eine Prozessoreinheit verwendet wird, dann sind verschiedene Bauformen denkbar. In einer bevorzugten Ausführung können das physisch verschiedene Rechner sein, die über physisch unidirektionale Leitungen miteinander kommunizieren, Es ist aber auch denkbar, dass es sich um mehrere virtuelle Rechner handelt, die auf der selben Rechner-Hardware installiert sind.
-
Vorteilhafterweise sind Sperrmittel zum Versperren der Konfigurationsschnittstelle vorgesehen, wobei die Sperrmittel so ausgeführt sind, dass der Zugang zur Konfigurationsschnittstelle nur bei geöffneten Sperrmitteln möglich ist.
-
Bei diesen Sperrmitteln handelt es sich um eines oder mehrere körperliche Elemente, welche sich in geöffnetem oder geschlossenem Zustand befinden können. Befinden sich die Sperrmittel in geschlossenem Zustand, so ist der Zugang zur Konfigurationsschnittstelle von außen nicht möglich.
-
In vorteilhaften Ausführungen können die Sperrmittel z.B. eine Klappe umfassen, die über die Buchse der Konfigurationsschnittstelle geklappt oder geschoben werden kann. Alternativ oder zusätzlich kann auch vorgesehen sein, dass die gesamte Diode in einem verschließbaren Gehäuse oder Schaltschrank untergebracht ist. Jedoch sind auch andere geeignete Ausführungen von Sperrmitteln vorstellbar.
-
Unter einem Sperrmittel sollen im Übrigen solche Mittel verstanden werden, welche mit den übrigen Elementen der Datendiode in einem unmittelbaren Kontakt stehen, vorzugsweise sogar fest mit dieser verbunden sind. Die bloße Positionierung einer Datendiode in einem verschließbaren Gebäude stellt kein Sperrmittel im Sinne dieser Anmeldung dar. Insbesondere soll es nicht möglich sein, dass sich eine Person zwischen den Sperrmitteln und der Konfigurationsschnittstelleaufhalten kann.
-
Da die Konfigurationsschnittstelle direkt an der Datendiode vorgesehen ist, ist eine unbemerkte Konfiguration der Prozessoreinheit von außen, also über eine Netzwerkschnittstelle nicht möglich.
-
Für eine Konfiguration ist es notwendig, die Sperrmittel zu öffnen um dort an die Konfigurationsschnittstelle eine Tastatur oder einen externen Rechner anzuschließen, was für den Betreiber leicht zu kontrollieren ist.
-
In besonders vorteilhaften Ausführungen können die Sperrmittel nicht nur geschlossen, sondern auch verschlossen werden, z.B. mittels eines Schlosses oder einer elektronischen Schließeinrichung. Durch eine restriktive Vergabe der Schlüssel, Chipkarten etc. zum Öffnen der Schließeinrichtung hat der Betreiber noch weiter Möglichkeiten, den Zugriff auf die Konfigurationsschnittstelle zu reglementieren und zu kontrollieren.
-
So kann in einer besonders bevorzugten Ausführung vorgesehen sein, dass die Datendiode so eingerichtet ist, dass eine Konfiguration der zumindest einen Prozessoreinheit ausschließlich über die Konfigurationsschnittstelle möglich ist.
-
Insbesondere kann vorgesehen sein, dass der Zugriff auf Dienste wie z.B. FTP, Telnet oder Webserver, die u.a. einen Zugriff auf das Filesystem der Prozessoreinheit ermöglichen könnten über die erste und/oder die zweite Schnittstelle nicht erlaubt sind.
-
In einer weiteren vorteilhaften Ausführung kann vorgesehen sein, dass die Datendiode eine Plombe aufweist, die zum Öffnen der Sperrmittel entfernt werden muss. Für die Ausführung der Plombe können neben einer klassischen Plombe aus Metall auch andere Ausführungen wie z.B. ein aufgeklebtes Papiersiegel zum Einsatz kommen. Wesentlich hierbei ist es, dass beim Öffnen der Sperrmittel die Plombe oder das Siegel derart beschädigt oder verändert wird, dass im Nachhinein das Öffnen des Sperrmittels dadurch nachgewiesen werden kann.
-
In einer weiteren vorteilhaften Ausführung kann vorgesehen sein, dass die Datendiode einen Signalgeber aufweist, der so eingerichtet ist, dass er bei geöffnetem Sperrmittel ein Signal, insbesondere ein optisches, akustisches und/oder elektrisches Signal erzeugt. Ein solcher Signalgeber kann in mehrfacher Hinsicht vorteilhaft sein. Zum einen kann das Signal dazu dienen, den Betreiber auf ein möglicherweise unbefugtes Öffnen der Sperrmittel hinzuweisen.
-
Des Weiteren kann ein derartiges Signal auch zur weiteren Steigerung der Sicherheit der Datendiode verwendet werden. So kann beispielsweise vorgesehen sein, dass eine Konfiguration der Prozessoreinheit nur bei geöffneten Sperrmitteln möglich ist. Zu diesem Zweck ist es sinnvoll, dass Mittel vorgesehen sind, das Signal des Signalgebers z.B. als elektrisches Signal an die Prozessoreinheit zu übertragen.
-
In weiteren bevorzugten Ausführungen kann vorgesehen sein, dass die Datendiode einen Schalter aufweist, durch welchen die Datenverbindung zwischen dem ersten Netzwerk und dem zweiten Netzwerk unterbrochen werden kann. Insbesondere kann dieser Schalter so ausgeführt sein, dass er für den Betreiber leicht erkennbar und leicht erreichbar ist, z.B. als roter Knopf an der Außenseite der Datendiode. Erkennt der Betreiber einen Missbrauch oder andere Auffälligkeiten in der Datenverbindung, so kann er mittels dieses Knopfes die Datenverbindung schnell und zuverlässig unterbrechen. Im Extremfall kann durch den Schalter z.B. die Stromversorgung der Datendiode unterbrochen werden.
-
Ein solcher ,Not-Aus' Schalter kann zudem die Akzeptanz der Datendiode beim Betreiber erhöhen, da er das Gefühl vermitteln kann, dass im Notfall der Betreiber die letzte Kontrolle über den Datenverkehr innehat.
-
Weiterhin kann vorteilhafterweise vorgesehen sein, dass die erste Schnittstelle und/oder die zweite Schnittstelle derart ausgeführt sind, dass zuerst eine fest installierte Kabelverbindung von mindestens 50 cm vorgesehen ist bevor eine Buchse für eine lösbare Steckverbindung, insbesondere einer Ethernet Buchse vorgesehen ist. Ein Vorteil einer derartigen Ausführung ist es, das Überbrücken der Datendiode zu erschweren. Die fest installierte Kabelverbindung kann dabei auch deutlich länger als 50 cm, z.B. 1m, 2m, 5m oder mehr betragen.
-
Hinsichtlich des Netzwerks wird die Aufgabe gelöst durch ein industrielles Netzwerksystem, umfassend ein inneres Netzwerk, insbesondere ein Automatisierungsnetzwerk einer industriellen sowie zumindest ein äußeres Netzwerk, das ins besonders auch ein öffentlich zugängliches Netzwerk sein kann. Erfindungsgemäß ist vorgesehen, dass die Datenverbindung von dem inneren Netzwerk, dem ersten Netzwerk, zu dem äußeren Netzwerk als zweitem Netzwerk über zumindest eine Datendiode gemäß einem Aspekt der Erfindung realisiert ist. Bei der industriellen Anlage kann es sich beispielsweise um einer Fertigungsanlage oder ein Kraftwerk handeln.
-
Vorteilhafterweise können auch mehrere äußere Netzwerke vorgesehen sein, beispielsweise ein öffentlich zugängliches Netzwerk, sowie ein weiteres firmeninternes Netzwerk, von dessen Rechnern jedoch keinen Daten an das innere Netzwerk übertragen werden sollen. Dies kann beispielsweise ein Büronetzwerk sein.
-
Unter einem Netzwerk soll dabei insbesondere ein Rechnernetzwerk verstanden werden, also einen Zusammenschluss von elektronischen Systemen, das die Kommunikation der einzelnen Systeme untereinander ermöglicht.
-
Im Folgenden wird die Erfindung anhand schematischer Skizzen näher erläutert.
- Figur 1a und 1b zeigen jeweils eine Datendiode gemäß einem Aspekt der Erfindung.
- 2 zeigt ein industrielles Netzwerksystem gemäß einem anderen Aspekt der Erfindung
-
1a zeigt eine Datendiode 1 mit einer ersten Schnittstelle 11 zu einem ersten Netzwerk 100 sowie einer zweiten Schnittstelle 12 zu einem zweiten Netzwerk 200. In der hier gezeigten Ausführung können die Schnittstellen 11, 12 beispielsweise als Ethernet Buchsen ausgeführt sein.
-
Die Buchsen 11, 12 können direkt am Korpus der Datendiode 1 vorgesehen sein. Alternativ kann zwischen einer oder beiden und dem Korpus jedoch auch eine Kabelverbindung von 50 cm oder mehr vorgesehen sein. Dies erschwert ein unbefugtes Überbrücken der Datendiode.
-
Zudem ist in 1a eine Konfigurationsschnittstelle 13 zu sehen. Ein Sperrmittel 2 in Form eine Klappe 2 ist vorgesehen. Da das Sperrmittel 2 geöffnet ist, ist die Konfigurationsschnittstelle 13 zugänglich. Ein Signalgeber 4, der an der Datendiode 1 in 1 vorgesehen ist, zeigt die geöffneten Sperrmittel 2 mit einem Signal an. Dieses Signal kann ein akustisches, optisches und/oder elektrisches Signal sein. In vorteilhaften Ausführungen der Datendiode 1 kann vorgesehen sein, dass die Prozessoreinheit, die sich in der Regel im Korpus der Datendiode 1 befindet, nur dann konfiguriert werden kann, wenn vom Signalgeber 4 ein Signal an die Prozessoreinheit weitergegeben wird. Somit kann sichergestellt werden, dass die Konfiguration nur bei geöffneten Sperrmittel 2 erfolgen kann. Schließlich ist an der Datendiode 1 in 1a auch ein Schalter 5 vorgesehen. Dieser Schalter 5 ist vorteilhafterweise so angeschlossen, dass bei Betätigung die Netzwerkverbindung zwischen dem ersten Netzwerk 100 und dem zweiten Netzwerk 200 unterbrochen wird.
-
1b zeigt die Datendiode 1 aus 1a im Zustand mit geschlossenen Sperrmitteln 2. Je nach Ausführung können die Sperrmittel 2 auch verschlossen sein, so dass sie nur unter Zuhilfenahme eines (mechanischen oder elektronischen) Schlüssels wieder geöffnet werden können. Da die Sperrmittel 2 geschlossen sind, gibt der Signalgeber 4 in der in 1b gezeigten Ausführung kein Signal. Als weiteres Sicherheitsmerkmal umfasst die in 1b gezeigte Datendiode 1 eine Plombe 3, welche zum Öffnen der Sperrmittel 2 zerstört werden muss. Diese Plombe 3 kann als klassische Metallplombe 3, als Papiersiegel 3 oder in einer anderen geeigneten Art ausgeführt sein.
-
2 zeigt eine vorteilhafte Ausführung eines industriellen Netzwerkssystems gemäß einem weiteren Aspekt der Erfindung. Das industrielle Netzwerksystem umfasst hier ein Automatisierungsnetzwerk 100 als inneres Netzwerk 100 einer industriellen Anlage sowie ein öffentlich zugängliches Netzwerk 200 als äußeres Netzwerk. Zudem können auch noch weitere firmeninterne Netzwerke 300 des Betreibers der Industrieanlage als äußere Netzwerke 200, 300 vorgesehen sein. Die Datenverbindung von dem Automatisierungsnetzwerk 100 zu dem öffentlich zugänglichen Netzwerk 200 verläuft hier unter anderem über einen Switch 110 sowie eine Firewall 120. Auch Switch 110 und Firewall 120 können als Teile eines äußeren Netzwerks interpretiert werden. An dem Switch 110 können auch ein oder mehrere weitere Netzwerke 300 des Betreibers angehängt sein, welche auch mittels der Firewall 120 gesichert sind. Zur Gewährleistung einer sicheren, unidirektionalen oder weitgehend unidirektionalen Datenverbindung aus dem Automatisierungsnetzwerk 100 in ein äußeres Netzwerk 110, 120, 200, 300 ist zumindest eine erfindungsgemäße Datendiode 1 vorgesehen. Diese ist in der in 2 gezeigten Anordnung in der Datenverbindung vom Automatisierungsnetzwerk 100 zum einem Switch 110 installiert. Auf diese Weise ist es zum Beispiel möglich, dass für ein weiteres Netzwerk 300 hinter der Firewall 120 trotzdem eine bidirektionale Datenverbindung möglich ist.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 2015108109 [0004]
- WO 2009/047556 [0004]