DE102019220246A1 - Übertragungsvorrichtung zum Übertragen von Daten - Google Patents

Übertragungsvorrichtung zum Übertragen von Daten Download PDF

Info

Publication number
DE102019220246A1
DE102019220246A1 DE102019220246.2A DE102019220246A DE102019220246A1 DE 102019220246 A1 DE102019220246 A1 DE 102019220246A1 DE 102019220246 A DE102019220246 A DE 102019220246A DE 102019220246 A1 DE102019220246 A1 DE 102019220246A1
Authority
DE
Germany
Prior art keywords
network
real
simulation
transmission device
rnw1
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102019220246.2A
Other languages
English (en)
Inventor
Rainer Falk
Christina Otto
Heiko Patzlaff
Martin Wimmer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to DE102019220246.2A priority Critical patent/DE102019220246A1/de
Priority to US17/783,342 priority patent/US20230051229A1/en
Priority to EP20828978.5A priority patent/EP4052440A1/de
Priority to CN202080087774.6A priority patent/CN114766087A/zh
Priority to AU2020403757A priority patent/AU2020403757B2/en
Priority to PCT/EP2020/085508 priority patent/WO2021122298A1/de
Publication of DE102019220246A1 publication Critical patent/DE102019220246A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

Es wird eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem realen ersten Netzwerk und einem realen zweiten Netzwerk vorgeschlagen. Die Übertragungsvorrichtung weist einen ersten Netzwerk-Port zum Koppeln an das reale erste Netzwerk und einen zweiten Netzwerk-Port zum Koppeln an das reale zweite Netzwerk auf und umfasst ferner:eine an dem ersten Netzwerk-Port verbundene Simulations-Einheit, die dazu eingerichtet ist, über den ersten Netzwerk-Port von dem realen ersten Netzwerk netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten ein virtuelles Simulationsnetzwerk von dem realen ersten Netzwerk bereitzustellen, und das bereitgestellte virtuelle Simulationsnetzwerk über den zweiten Netzwerk-Port für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk von dem realen zweiten Netzwerk aus bereitzustellen.Durch die bereitgestellte Übertragungsvorrichtung wird eine gezielte Irreführung eines Angreifers bewirkt, welche in vorteilhafter Weise die Sicherheit vor Zugriffsversuchen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk erhöht.

Description

  • Die vorliegende Erfindung betrifft eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem realen ersten Netzwerk und einem realen zweiten Netzwerk.
  • Zur sicheren Kommunikation zwischen einem sicherheitskritischen Netzwerk, wie beispielsweise einem Produktionsnetzwerk oder einem Bahnsicherungsnetzwerk, und einem offenen Netzwerk, wie beispielsweise einem lokalen Netzwerk oder dem Internet, werden herkömmlicherweise insbesondere Übertragungsvorrichtungen, wie Datendioden oder Firewalls eingesetzt, um eine unidirektionale Datenübertragung zwischen dem sicherheitskritischen Netzwerk und dem offenen Netzwerk zu ermöglichen. Diese Übertragungsvorrichtungen sind beispielsweise dazu eingerichtet sicherzustellen, dass von dem offenen Netzwerk keine beliebigen Daten an das sicherheitskritische Netzwerk übermittelt werden können und sind insbesondere ferner dazu eingerichtet, das sicherheitskritische Netzwerk vor Angriffen und Eindringversuchen (engl. „Intrusion attempts“) zu schützen.
  • Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, eine verbesserte Übertragungsvorrichtung bereitzustellen.
  • Gemäß einem ersten Aspekt wird eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem realen ersten Netzwerk und einem realen zweiten Netzwerk vorgeschlagen. Die Übertragungsvorrichtung weist einen ersten Netzwerk-Port zum Koppeln an das reale erste Netzwerk und einen zweiten Netzwerk-Port zum Koppeln an das reale zweite Netzwerk auf und umfasst ferner:
    • eine an dem ersten Netzwerk-Port verbundene Simulations-Einheit, die dazu eingerichtet ist, über den ersten Netzwerk-Port von dem realen ersten Netzwerk netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten ein virtuelles Simulationsnetzwerk von dem realen ersten Netzwerk bereitzustellen, und das bereitgestellte virtuelle Simulationsnetzwerk über den zweiten Netzwerk-Port für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk von dem realen zweiten Netzwerk aus bereitzustellen.
  • Durch die bereitgestellte Übertragungsvorrichtung ist es möglich, ein virtuelles Simulationsnetzwerk von dem realen ersten Netzwerk über den zweiten Netzwerk-Port mittels realer netzwerkspezifischer Daten, von beispielsweise realen Teilnehmern des realen ersten Netzwerkes, bereitzustellen. Infolgedessen, wenn nun ein Angreifer von dem realen zweiten Netzwerk aus auf das vermeintlich erste reale Netzwerk, nämlich das virtuelle Simulationsnetzwerk, zugreifen oder dieses angreifen will, greift der Angreifer in Wirklichkeit das virtuelle Simulationsnetzwerk anstelle des realen ersten Netzwerks an, oder greift auf dieses zu.
  • Diese gezielte Irreführung des Angreifers hat den Vorteil, dass sich die Sicherheit vor Zugriffen oder Angriffen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk erhöht und infolgedessen die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk erhöht wird.
  • Unter dem Begriff „real“ wird vorliegend insbesondere verstanden, dass das erste Netzwerk und das zweite Netzwerk in der Realität als ein existierendes Netzwerk ausgebildet sind. Das existierende Netzwerk kann ein physikalisches Netzwerk sein, beispielsweise realisiert in Hardware, oder ein virtuelles (virtualisiertes) Netzwerk sein, beispielsweise realisiert mittels virtueller Maschinen und/oder virtuellen Switches, oder ein hybrides Netzwerk (teil-virtualisiertes Netzwerk) sein. Ein virtualisiertes Netzwerk, wie ein virtuelles erstes Netzwerk, ist beispielsweise ein Netzwerk, welches virtuell aufgesetzt wird oder als eine Netzwerk-Virtualisierung ausgebildet ist.
  • Unter dem Begriff „virtuell“ wird vorliegend vorzugsweise verstanden, dass das Simulationsnetzwerk das erste reale Netzwerk simuliert oder virtuell abbildet. Das virtuelle Simulationsnetzwerk simuliert insbesondere zumindest Teile oder Teilnehmer des realen ersten Netzwerkes. Dabei wird insbesondere deren Funktion und Wirkung durch das virtuelle Simulationsnetzwerk simuliert. Ein simulierter Teilnehmer kann auch als ein sogenannter „Honeypot“ und die Simulation eines realen Netzwerks kann als eine Simulation eines „Honeypot-Netzwerkes“ bezeichnet werden, auch als Honeynet bezeichnet. Die Simulations-Einheit kann auch dazu eingerichtet sein, eine Mehrzahl V von virtuellen Simulationsnetzwerken von einer Mehrzahl N von realen ersten Netzwerken zu erstellen und diese Mehrzahl V über den zweiten Netzwerk-Port bereitzustellen.
  • Unter dem Begriff „verbinden“ und „verbunden“ wird vorliegend insbesondere verstanden, dass eine Einheit, beispielsweise die Simulations-Einheit, unmittelbar oder mittelbar über zumindest eine andere Komponente oder ein anderes Bauteil mit beispielsweise dem ersten Netzwerk-Port oder anderen Komponenten der Übertragungsvorrichtung verbunden ist.
  • Ein Netzwerk-Port, wie der erste oder der zweite Netzwerk-Port, ist insbesondere als ein physikalischer Netzwerk-Port ausgebildet. Der physikalische Netzwerk-Port weist vorzugsweise eine RJ-45-Verbindung, eine M12-Verbindung oder eine Single-Pair- Ethernet-Verbindung auf, um jeweils mit dem realen ersten Netzwerk oder dem realen zweiten Netzwerk verbunden oder gekoppelt zu werden. Die Übertragungsvorrichtung kann beispielsweise weitere Netzwerk-Ports, zusätzlich zu dem ersten und dem zweiten Netzwerk-Port, umfassen. Auch kann der erste und/oder der zweite Netzwerk-Port ein Teil einer Netzwerkadresse sein, der die Zuordnung von TCP-Verbindungen („Transmission Control Protocol“) und UDP-Verbindungen („User Datagram Protocol“) und Datenpaketen zu Server und/oder Clients, die in dem realen ersten und/oder realen zweiten Netzwerk angeordnet sind, ermöglicht.
  • Insbesondere ist die Simulations-Einheit dazu eingerichtet, bei dem Bereitstellen des virtuellen Simulationsnetzwerkes das reale erste Netzwerk zu simulieren. In anderen Worten umfasst das Bereitstellen durch die Simulations-Einheit vorzugsweise ein Simulieren des realen ersten Netzwerkes.
  • Der Zugriff ist insbesondere ein Zugriff eines Teilnehmers oder ein Angriff eines Angreifers von dem realen zweiten Netzwerk aus über den zweiten Netzwerk-Port auf das virtuelle Simulationsnetzwerk. Der Angriff kann ein Software-Angriff, insbesondere ein Hacker-Angriff sein. Ein Software-Angriff ist insbesondere ein Angriff auf das virtuelle Simulationsnetzwerk über den zweiten Netzwerk-Port von dem realen zweiten Netzwerk aus. Der Angriff kann auch einen Angriffsversuch und/oder einen Eindringversuch auf die Übertragungsvorrichtung umfassen.
  • Gemäß einer Ausführungsform ist die Simulations-Einheit ferner dazu eingerichtet, das virtuelle Simulationsnetzwerk in Abhängigkeit von zumindest drei unterschiedlichen Simulationsstufen zu simulieren.
  • Gemäß einer weiteren Ausführungsform ist die Simulations-Einheit dazu eingerichtet, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk in einer ersten Simulationsstufe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer Netzwerktopologie des realen ersten Netzwerkes, in einer zweiten Simulationsstufe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer Schicht eines Netzwerkprotokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes und in einer dritten Simulationsstufe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes zu simulieren.
  • Durch das Simulieren des virtuellen Simulationsnetzwerkes mittels unterschiedlicher Simulationsstufen ist es in vorteilhafter Weise möglich, dem Angreifer von dem realen zweiten Netzwerk aus nur bestimmte Daten des realen ersten Netzwerkes, die von der jeweiligen Simulationsstufe abhängen, zur Verfügung zu stellen oder für diesen durch das virtuelle Simulationsnetzwerk anzeigen zu lassen. Durch eine jede Erhöhung der Simulationsstufe, beispielsweise wenn das virtuelle Simulationsnetzwerk von der ersten auf die zweite Simulationsstufe erhöht wird, können weitere Daten des realen ersten Netzwerkes dem Angreifer durch das virtuelle Simulationsnetzwerk bereitgestellt werden. Infolgedessen wird das virtuelle Simulationsnetzwerk bei jeder Erhöhung der Simulationsstufe immer genauer in Bezug auf das reale erste Netzwerk abgebildet. In anderen Worten umfasst bei jeder Erhöhung der Simulationsstufe das virtuelle Simulationsnetzwerk weitere Daten des realen ersten Netzwerkes.
  • Dadurch erhöht sich die Wahrscheinlichkeit dafür, dass der Angreifer auf das virtuelle Simulationsnetzwerk zugreifen oder dieses angreifen will und somit erhöht sich die Wahrscheinlichkeit der Irreführung des Angreifers. Dies hat den Vorteil, dass sich die Sicherheit vor Zugriffen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk erhöht und infolgedessen die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk erhöht wird.
  • Eine Netzwerktopologie des realen ersten Netzwerkes umfasst insbesondere einen oder mehrere Endpunkte des realen ersten Netzwerkes. Ein Endpunkt ist insbesondere eine Schnittstelle eines Teilnehmers des realen ersten Netzwerkes. Ein Teilnehmer ist beispielsweise ein Computer, wie ein Server, ein Client oder ein Router. Die Netzwerktopologie umfasst insbesondere die Anordnung der Teilnehmer und die Verbindung der Teilnehmer untereinander in dem realen ersten Netzwerk. Entsprechendes gilt für das reale zweite Netzwerk.
  • Eine Schicht eines Netzwerkprotokolls ist insbesondere Teil des TCP/IP-Referenzmodells („Transmission Control Protocol“/„Internet Protocol“), welches eine Gruppe von Netzwerkprotokollen mittels unterschiedlicher Schichten abbildet.
  • Die erste Simulationsstufe umfasst insbesondere die Simulation der Netzwerktopologie, der in der Netzwerktopologie vorhandenen Netzwerk-Ports und darüber hinaus welche Netzwerk-Ports erreichbar und welche unerreichbar sind. Die erste Simulationsstufe kann insbesondere den Schichten 1 - 3 gemäß dem OSI/ISO- Schichtmodell, zugeordnet werden, so dass vorzugsweise die physikalischen Teilnehmer des realen ersten Netzwerkes sowie deren Media-Access-Control- Adresse(MAC) und/oder Internetprotokoll-Adresse (IP-Adresse) in dem virtuellen Simulationsnetzwerk in der ersten Simulationsstufe simuliert werden können.
  • Die Verwendung der ausschließlich ersten Simulationsstufe hat insbesondere den Vorteil, dass bei der Simulation des virtuellen Simulationsnetzwerkes ein geringer Speicher- sowie Rechenaufwand anfällt, da der Simulationsaufwand aufgrund der simulierten Netzwerktopologie mit den Netzwerk-Ports gering ausfällt.
  • Die zweite Simulationsstufe umfasst insbesondere die Simulation einer Schicht eines Netzwerkprotokolls oder eine Anzeige eines Service. Ein Service ist beispielsweise die Simulation eines TCP/UDP-Ports („User Datagram Protocol“) oder eine erzeugte Antwort auf eine HTTP-Anfrage („Hypertext Transfer Protocol“) durch eine zufällig generierte inhaltsleere Webseite.
  • Die dritte Simulationsstufe umfasst vorzugsweise die Simulation einer inhaltsplausiblen Webseite. Eine inhaltsplausible Webseite kann einer Webseite entsprechen, in der die grafische Oberfläche, beispielsweise einer SPS-Software (Speicherprogrammierbaren Steuerung), angezeigt wird. Auf dieser grafischen Oberfläche der inhaltsplausiblen Webseite können dann Messwerte, wie Druck oder Temperatur einer realen SPS, welche eine reale Maschine des realen ersten Netzwerkes ansteuert, angezeigt werden. Die Messwerte können auch so simuliert werden, dass sich diese über die Zeit beliebig verändern. Auch können diese Messwerte als eine Reaktion auf einen Angriff durch den Angreifer derart verändert werden, dass der Angreifer davon ausgeht, er habe erfolgreich die reale Anlage oder die SPS des realen ersten Netzwerkes angegriffen. Ebenso kann die inhaltsplausible Webseite als eine statische Webseite ausgebildet sein, welche ihre grafische Oberfläche nicht verändert. Die dritte Simulationsstufe umfasst ferner insbesondere die Simulation einer Applikationslogik des ersten Netzwerkes. Die Applikationslogik umfasst vorzugsweise Algorithmen und/oder Regeln zur Beschreibung von Funktionen von Endpunkten, wie beispielsweise Teilnehmern, des ersten Netzwerkes.
  • Diese Möglichkeiten der Simulation durch die dritte Simulationsstufe führen dazu, dass der Angreifer davon ausgeht, er befinde sich auf der echten, realen Webseite des realen ersten Netzwerkes oder greift auf das reale erste Netzwerk zu. Dies erhöht signifikant die Wahrscheinlichkeit der Irreführung des Angreifers. Dies hat den Vorteil, dass sich die Sicherheit vor Zugriffen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk erhöht und infolgedessen die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk erhöht wird.
  • Zusätzlich ist denkbar, dass technische Prozesse von realen Maschinen des realen ersten Netzwerkes in der dritten Simulationsstufe oder in einer weiteren, numerisch höheren Simulationsstufe simuliert werden können. Insbesondere in einer numerisch sehr hohen Simulationsstufe simuliert das virtuelle Simulationsnetzwerk exakt das reale erste Netzwerk und dessen technische Prozesse. Infolgedessen ist das virtuelle Simulationsnetzwerk oder der Honeypot besonders realitätsnah ausgebildet. Diese besonders realitätsnahe Ausbildung kann auch als eine „Digitaler Zwilling“ bezeichnet werden.
  • Die unterschiedlichen Simulationsstufen korrespondieren insbesondere mit den Schichten des OSI/ISO-Schichtenmodells.
  • Gemäß einer weiteren Ausführungsform umfasst die Übertragungsvorrichtung ferner eine Konfigurations-Einheit, die dazu eingerichtet ist, über den ersten Netzwerk-Port von dem realen ersten Netzwerk netzwerkspezifische Daten zu erhalten, diese zu analysieren und die analysierten netzwerkspezifischen Daten als Konfigurationsdaten zum Konfigurieren des virtuellen Simulationsnetzwerkes zu verwenden.
  • Gemäß einer weiteren Ausführungsform ist die Konfigurations-Einheit ferner dazu eingerichtet, mittels der Konfigurationsdaten das virtuelle Simulationsnetzwerk zumindest zu einem bestimmten Zeitpunkt automatisch zu konfigurieren, wobei der zumindest eine bestimmte Zeitpunkt einen Zeitpunkt während des Betriebes der Simulations-Einheit umfasst.
  • Die Übertragungsvorrichtung umfasst insbesondere eine CPU („Central Processing Unit“), in welcher die Simulations-Einheit und die Konfigurations-Einheit implementiert sind. Die jeweilige Einheit, zum Beispiel die Simulations-Einheit oder die Konfigurations-Einheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.
  • Die Konfigurationsdaten umfassen insbesondere die netzwerkspezifischen Daten des realen ersten Netzwerkes. Die Konfigurationsdaten umfassen zumindest die Netzwerktopologie des realen ersten Netzwerkes, die IP-Adressen der Teilnehmer des realen ersten Netzwerkes und die Services, die auf dem realen ersten Netzwerk ausgeführt werden.
  • Die Konfigurations-Einheit ermöglicht es in vorteilhafter Weise, mittels der Konfigurationsdaten das virtuelle Simulationsnetzwerk zu konfigurieren. Unter einem „Konfigurieren“ wird vorliegend insbesondere verstanden, dass die Konfigurations-Einheit der Simulations-Einheit, insbesondere dem simulierten, virtuellen Simulationsnetzwerk bereits durch die Konfigurations-Einheit vorverarbeitete Daten aus dem realen ersten Netzwerk, beispielsweise Netzwerktopologien mit den Teilnehmern, Netzwerk-Ports oder IP-Adressen von Teilnehmern, zukommen lässt. Dadurch entfällt ein Extrahieren oder ein Aufbereiten der erhaltenen netzwerkspezifischen Daten durch die Simulations-Einheit. Damit verringert sich insbesondere der Konfigurationsaufwand beim erstmaligen oder beim wiederholten Einrichten des virtuellen Simulationsnetzwerkes.
  • Insbesondere kann die Konfigurations-Einheit mittels eines Algorithmus zum maschinellen Lernen, beispielsweise mittels neuronalen Netzen, die Netzwerktopologie oder das Layout des realen ersten Netzwerkes lernen. Damit verringert sich ebenso der Aufwand bei der erstmaligen oder wiederholten Einrichtung oder Konfiguration des virtuellen Simulationsnetzwerkes.
  • Der bestimmte Zeitpunkt umfasst insbesondere einen Zeitpunkt während des Betriebes der Simulations-Einheit, beim Starten der Simulations-Einheit, bei einem Wechsel der Simulationsstufe und/oder einen bestimmten Zeitpunkt, der durch einen Bediener oder Administrator der Übertragungsvorrichtung vorgegeben wird.
  • Gemäß einer weiteren Ausführungsform ist die Übertragungsvorrichtung dazu eingerichtet, die Simulations-Einheit und die Konfigurations-Einheit parallel auszuführen.
  • Diese Ausführungsform hat den Vorteil, dass die Simulations-Einheit und die Konfigurations-Einheit gleichzeitig oder parallel ausgeführt werden oder gleichzeitig aktiv oder im Betrieb sind. Die parallele Ausführung der Konfigurations-Einheit in Kombination mit der Simulations-Einheit führt zu dem technischen Effekt, dass während des Betriebes das virtuelle Simulationsnetzwerk einerseits mittels der Simulations-Einheit in den jeweiligen Simulationsstufen anpassbar ist, und andererseits das erstmalige und/oder wiederholte Einrichten durch eine bessere Datenbasis auf Basis der Konfigurationsdaten der Konfigurations-Einheit erleichtert wird und damit der Konfigurationsaufwand reduziert wird. Zusätzlich kann damit der Detailgrad des virtuellen Simulationsnetzwerkes erhöht werden. Durch die möglichst realistische Simulation des realen ersten Netzwerkes steigt insbesondere die Wahrscheinlichkeit, dass potentielle Angreifer von einem Zugriff auf das reale erste Netzwerk abgelenkt werden, so dass sich damit die die Sicherheit erhöhen lässt. Infolgedessen werden die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk erhöht.
  • Unter parallel wird insbesondere verstanden, dass die Übertragungsvorrichtung dazu eingerichtet ist, die Simulations-Einheit und die Konfigurations-Einheit gleichzeitig oder simultan auszuführen oder zu betreiben.
  • Gemäß einer weiteren Ausführungsform ist die Übertragungsvorrichtung dazu eingerichtet, über einen zwischen dem realen ersten Netzwerk und dem ersten Netzwerk-Port angeordneten Netzwerk-Switch Daten von dem realen ersten Netzwerk zu empfangen, wobei zumindest ein Eingang des Netzwerk-Switches zur Übertragung von Daten mit dem realen ersten Netzwerk verbunden ist und ein als ein Ausgang des Netzwerk-Switches ausgebildeter Spiegelungs-Port zur Übertragung von Daten mit dem ersten Netzwerk-Port verbunden ist.
  • Durch die Verwendung eines Netzwerk-Switches mit Spiegelungs-Port (engl. „mirror port“) ist es in vorteilhafter Weise möglich, den gesamten Datenverkehr des realen ersten Netzwerkes an dem ersten Netzwerk-Port für die Übertragungsvorrichtung bereitzustellen. Dadurch wird es in vorteilhafter Weise der Übertragungsvorrichtung ermöglicht, den Datenverkehr jedes Teilnehmers des realen ersten Netzwerkes zu erhalten und zu analysieren.
  • Insbesondere ist zwischen dem realen ersten Netzwerk und dem Netzwerk-Switch ein erster Verbindungsabschnitt, zwischen dem Netzwerk-Switch und der Übertragungsvorrichtung ein zweiter Verbindungsabschnitt und zwischen der Übertragungsvorrichtung und dem realen zweiten Netzwerk ein dritter Verbindungsabschnitt angeordnet. Der erste Verbindungsabschnitt stellt insbesondere eine Verbindung zwischen dem realen ersten Netzwerk und dem Netzwerk-Switch her. Der zweite Verbindungsabschnitt stellt vorzugsweise eine Verbindung zwischen dem Netzwerk-Switch und der Übertragungsvorrichtung her. Der dritte Verbindungsabschnitt stellt beispielsweise eine Verbindung zwischen dem realen zweiten Netzwerk und der Übertragungsvorrichtung her. Der erste, zweite und/oder dritte Verbindungsabschnitt ist insbesondere drahtgebunden, beispielsweise in Form zumindest einer Kupferleitung oder einer Aluminiumleitung, und/oder optisch in Form zumindest einer Glasfaserleitung ausgebildet. Der Netzwerk-Switch kann auch als Switch bezeichnet werden.
  • Der Spiegelungs-Port des Netzwerk-Switches dient insbesondere dazu, den Netzwerkverkehr des realen ersten Netzwerkes zu spiegeln, um damit den gesamten Daten- und/oder Netzwerkverkehr des realen ersten Netzwerkes der Übertragungsvorrichtung an dem ersten Netzwerk-Port bereitzustellen.
  • Gemäß einer weiteren Ausführungsform ist die Übertragungsvorrichtung dazu eingerichtet, eine Übertragung von Daten zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO-Schichtmodell, durchzuführen.
  • Gemäß einer weiteren Ausführungsform umfasst das reale erste Netzwerk ein Steuerungsnetzwerk, insbesondere ein Produktionsnetzwerk oder ein Bahnsicherungsnetzwerk, und das reale zweite Netzwerk ein Diagnosenetzwerk, ein lokales Netzwerk oder das Internet.
  • Das reale erste Netzwerk ist insbesondere als ein sicherheitskritisches Netzwerk ausgebildet, während das reale zweite Netzwerk als ein offenes Netzwerk ausgebildet ist. Auch kann das reale erste Netzwerk als ein Netzwerk mit einer hohen Sicherheitsanforderung bezeichnet werden, während das reale zweite Netzwerk als ein Netzwerk mit geringer Sicherheitsanforderung bezeichnet wird.
  • Ein Produktionsnetzwerk wird insbesondere in einer Produktionsanlage verwendet. Die Produktionsanlage umfasst insbesondere mehrere über das Produktionsnetzwerk miteinander verbundene Maschinen und Computer.
  • Ein Bahnsicherungsnetzwerk umfasst vorzugsweise Leit- und Sicherheitstechnik für eine Schieneninfrastruktur.
  • Das Steuerungsnetzwerk umfasst insbesondere ein Straßensicherungsnetzwerk, welches Leit- und Sicherheitstechnik für eine Straßeninfrastruktur aufweist.
  • Ein lokales Netzwerk umfasst beispielsweise ein LAN („Local Area Network“) und/oder ein WLAN („Wireless Local Area Network“) .
  • Das reale erste Netzwerk und das reale zweite Netzwerk umfassen jeweils insbesondere zumindest einen Endpunkt, welcher als ein jeweiliger Teilnehmer ausgebildet ist. Das reale erste Netzwerk und/oder das reale zweite Netzwerk umfassen insbesondere jeweils mehrere Teilnehmer, die miteinander verbunden sind und dadurch das jeweilige Netzwerk ausbilden.
  • Gemäß einer weiteren Ausführungsform ist die Übertragungsvorrichtung teilweise oder vollständig als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebildet.
  • Eine unidirektionale Datendiode ist insbesondere eine Einweg-Kommunikationseinrichtung, die eine physikalisch rückwirkungsfreie Trennung des realen ersten Netzwerkes und des realen zweiten Netzwerkes ermöglicht. Insbesondere ist die unidirektionale Datendiode als eine „Data Capture Unit“ (DCU) ausgebildet. Eine „physikalisch“ rückwirkungsfreie Trennung liegt insbesondere dann vor, wenn die rückwirkungsfreie Trennung aufgrund von physikalischen Bauelementen in der unidirektionalen Datendiode das reale erste und das reale zweite Netzwerk physikalisch trennt.
  • Eine Firewall ist insbesondere eine Komponente, welche in Hard- und/oder Software, insbesondere in Software, implementiert ist und welche dazu eingerichtet ist, zwischen einem realen ersten und einem realen zweiten Netzwerk eine Verbindung herzustellen. Die Firewall kann ebenso als eine unidirektionale Firewall ausgebildet sein, welche eine logisch rückwirkungsfreie Trennung des realen ersten Netzwerkes und des realen zweiten Netzwerkes ermöglicht. Unter dem Begriff einer „logisch“ rückwirkungsfreien Trennung wird insbesondere vorliegend verstanden, wenn die rückwirkungsfreie Trennung mittels einer Anwendung von Algorithmen erfolgt, in dem Fall, wenn die Firewall in Software implementiert ist.
  • Ein Gateway ist insbesondere eine Komponente, welche in Hard- und/oder Software implementiert ist und welche dazu eingerichtet ist, zwischen einem realen ersten und einem realen zweiten Netzwerk eine Verbindung herzustellen. Das Gateway kann ebenso als ein unidirektionales Gateway ausgebildet sein, welches eine physikalisch oder logisch rückwirkungsfreie Trennung des realen ersten Netzwerkes und des realen zweiten Netzwerkes ermöglicht.
  • Weiterhin ist jeweils die unidirektionale Datendiode, die unidirektionale Firewall und das unidirektionale Gateway insbesondere dazu eingerichtet, nur freigegebene und/oder speziell markierte Daten für die Übertragung aus dem realen zweiten Netzwerk in das reale erste Netzwerk zuzulassen.
  • Unter dem Begriff einer „rückwirkungsfreien Trennung“ wird insbesondere verstanden, dass Änderungen oder Angriffsversuche aus dem realen zweiten Netzwerk keinen Einfluss auf das reale erste Netzwerk haben.
  • Unter dem Begriff „teilweise“ wird vorliegend insbesondere verstanden, dass die Übertragungsvorrichtung noch weitere Komponenten zusätzlich zu der unidirektionalen Datendiode, der Firewall oder dem Gateway umfasst. Beispielsweise ist die uni-direktionale Datendiode Teil der Übertragungsvorrichtung, wobei die Übertragungsvorrichtung noch weitere Komponenten aufweist.
  • Unter dem Begriff „vollständig“ wird vorliegend insbesondere verstanden, dass die Übertragungsvorrichtung in ihrer Gesamtheit als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebildet ist.
  • Gemäß einer weiteren Ausführungsform ist die Übertragungsvorrichtung dazu eingerichtet, dem realen zweiten Netzwerk eine Routing-Tabelle umfassend eine Mehrzahl A von IP-Adressen von Teilnehmern des realen ersten Netzwerkes bereitzustellen.
  • Die Routing-Tabelle ist insbesondere eine Tabelle, die Aufschluss darüber gibt, welche Teilnehmer eines Netzwerkes, wie dem realen ersten Netzwerk, über welche IP-Adressen erreichbar sind oder welche IP-Adressen den Teilnehmern zugeordnet sind. Damit hat ein anderes Netzwerk, wie das reale zweite Netzwerk, Informationen darüber, über welche IP-Adresse ein Teilnehmer des realen ersten Netzwerkes von dem realen zweiten Netzwerk aus erreichbar ist.
  • Gemäß einer weiteren Ausführungsform ist die Übertragungsvorrichtung dazu eingerichtet, dem realen zweiten Netzwerk zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers des realen ersten Netzwerkes bereitzustellen.
  • Durch die bereitgestellte Routing-Tabelle wird zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers aus dem realen ersten Netzwerk dem realen zweiten Netzwerk bereitgestellt.
  • Diese bereitgestellte bestimmte IP-Adresse wird in vorteilhafter Weise insbesondere als eine Falle, die einen technischen Endpunkt aufweist, verwendet. Wenn beispielsweise ein Angreifer über die Übertragungsvorrichtung den bestimmten Teilnehmer mittels der ihm zugeordneten bestimmten IP-Adresse angreifen will, endet der Angriff in dem technischen Endpunkt. Der technische Endpunkt ist insbesondere von dem realen ersten und realen zweiten Netzwerk isoliert ausgebildet. Somit wird eine gezielte Irreführung des Angreifers mittels der bestimmten IP-Adresse und der Routing-Tabelle bewirkt, um die Sicherheit und die Zuverlässigkeit bei dem Betreiben der Übertragungsvorrichtung und des realen ersten Netzwerkes zu erhöhen.
  • Gemäß einer weiteren Ausführungsform umfassen die netzwerkspezifischen Daten Messwerte, wie beispielsweise Druck und/oder Temperatur von Teilnehmern des realen ersten Netzwerkes, zumindest eine Anzahl T von Teilnehmern des realen ersten Netzwerkes, Betriebszustände von Teilnehmern des realen ersten Netzwerkes und/oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes ausgeführt wird.
  • Gemäß einer weiteren Ausführungsform sind zumindest die Simulations-Einheit, die Konfigurations-Einheit, der erste Netzwerk-Port und der zweite Netzwerk-Port in einem gemeinsamen Gehäuse implementiert.
  • Somit sind die in dieser Ausführungsform aufgeführten Komponenten inklusive der Übertragungsvorrichtung selbst insbesondere in einem gemeinsamen Gehäuse implementiert.
  • Ein Gehäuse oder ein gemeinsames Gehäuse ist insbesondere als ein Gehäuse eines Prozessors oder eines Computerchips, beispielsweise in Form eines integrierten Schaltkreises (engl. „Integrated Circuit“ (IC)) ausgebildet. Ferner ist ein Gehäuse oder ein gemeinsames Gehäuse vorzugsweise als ein gemeinsames Gehäuse eines Gerätes oder beispielsweise als eine gemeinsame Implementierung auf einem FPGA (engl. „Field Programmable Gate Array“) ausgebildet.
  • Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen.
  • Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert.
    • 1 zeigt ein schematisches Blockdiagram einer ersten Ausführungsform einer Übertragungsvorrichtung zum Übertragen von Daten; und
    • 2 zeigt ein schematisches Blockdiagram einer zweiten Ausführungsform einer Übertragungsvorrichtung zum Übertragen von Daten.
  • In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts Anderes angegeben ist.
  • 1 zeigt ein schematisches Blockdiagram einer ersten Ausführungsform einer Übertragungsvorrichtung 1 zum Übertragen von Daten zwischen einem realen ersten Netzwerk RNW1, beispielsweise umfassend ein Produktionsnetzwerk, und einem realen zweiten Netzwerk RNW2, beispielsweise umfassend ein lokales Netzwerk. Diese Übertragung von Daten wird insbesondere in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO-Schichtmodell, durchgeführt. In einer weiteren Ausführungsform kann das reale erste Netzwerk RNW1 ein Bahnsicherungsnetzwerk umfassen, während das reale zweite Netzwerk RNW2 das Internet umfasst.
  • In der 1 ist die Übertragungsvorrichtung 1 vollständig als eine unidirektionale Datendiode ausgebildet. In einer weiteren Ausführungsform kann die Übertragungsvorrichtung 1 teilweise oder vollständig als eine Firewall (nicht gezeigt) oder als ein Gateway (nicht gezeigt) ausgebildet sein.
  • Die Übertragungsvorrichtung 1 weist einen ersten Netzwerk-Port P1 zum Koppeln an das reale erste Netzwerk RNW1 und einen zweiten Netzwerk-Port P2 zum Koppeln an das reale zweite Netzwerk RNW2 auf. Ferner umfasst die Übertragungsvorrichtung 1 eine Simulations-Einheit 2.
  • Die Simulations-Einheit 2 ist an dem ersten Netzwerk-Port P1 verbunden und ist dazu eingerichtet, über den ersten Netzwerk-Port P1 von dem realen ersten Netzwerk RNW1 netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten ein virtuelles Simulationsnetzwerk VSN von dem realen ersten Netzwerk RNW1 bereitzustellen und das bereitgestellte virtuelle Simulationsnetzwerk VSN über den zweiten Netzwerk-Port P2 für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk VSN von dem realen zweiten Netzwerk RNW2 aus bereitzustellen.
  • Die netzwerkspezifischen Daten umfassen insbesondere Messwerte, wie beispielsweise Druck und/oder Temperatur von Teilnehmern des realen ersten Netzwerkes RNW1 oder zumindest eine Anzahl T von Teilnehmern des realen ersten Netzwerkes RNW1. Die netzwerkspezifischen Daten umfassen ferner vorzugsweise Betriebszustände von Teilnehmern des realen ersten Netzwerkes RNW1 oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes RNW1 ausgeführt wird.
  • Insbesondere ist die Simulations-Einheit 2 dazu eingerichtet, das virtuelle Simulationsnetzwerk VSN in Abhängigkeit von zumindest drei unterschiedlichen Simulationsstufen zu simulieren.
  • Dabei ist die Simulations-Einheit 2 dazu eingerichtet, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk VSN in einer ersten Simulationsstufe mittels zumindest einer Netzwerktopologie des realen ersten Netzwerkes RNW1 und in einer zweiten Simulationsstufe mittels zumindest einer Schicht eines Netzwerkprotokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes RNW1 zu simulieren. Die Simulations-Einheit 2 ist ferner dazu eingerichtet, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk VSN in einer dritten Simulationsstufe mittels zumindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes RNW1 zu simulieren.
  • In 1 ist ferner zwischen dem realen ersten Netzwerk RNW1 und dem ersten Netzwerk-Port P1 ein Netzwerk-Switch 4 angeordnet.
  • Die Übertragungsvorrichtung 1 ist hierbei dazu eingerichtet, über den Netzwerk-Switch 4 die Daten von dem realen ersten Netzwerk RNW1 zu empfangen. Zumindest ein Eingang des Netzwerk-Switches 4 ist zur Übertragung von Daten mit dem realen ersten Netzwerk RNW1 verbunden. Ein als ein Ausgang des Netzwerk-Switches 4 ausgebildeter Spiegelungs-Port SP zur Übertragung von Daten ist mit dem ersten Netzwerk-Port P1 verbunden.
  • Vorzugsweise ist die Übertragungsvorrichtung 1 dazu eingerichtet, dem realen zweiten Netzwerk RNW2 eine Routing-Tabelle umfassend eine Mehrzahl A von IP-Adressen von Teilnehmern aus dem realen ersten Netzwerk RNW1 bereitzustellen. Die Übertragungsvorrichtung 1 ist ferner dazu eingerichtet, dem zweiten Netzwerk RNW2 zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers aus dem realen ersten Netzwerk RNW1 bereitzustellen.
  • 2 zeigt ein schematisches Blockdiagram einer zweiten Ausführungsform einer Übertragungsvorrichtung 1 zum Übertragen von Daten. Die zweite Ausführungsform umfasst alle Merkmale der ersten Ausführungsform. Darüber hinaus umfasst die Übertragungsvorrichtung 1 der zweiten Ausführungsform in 2 eine Konfigurations-Einheit 3, welche mit der Simulations-Einheit 2 verbunden ist und eine CPU 5, in welcher die Simulations-Einheit 2 und die Konfigurations-Einheit 3 implementiert sind.
  • Die Konfigurations-Einheit 3 ist dazu eingerichtet, über den ersten Netzwerk-Port P1 von dem realen ersten Netzwerk RNW1 netzwerkspezifische Daten zu erhalten, diese zu analysieren und die analysierten netzwerkspezifischen Daten als Konfigurationsdaten zum Konfigurieren des virtuellen Simulationsnetzwerkes VSN zu verwenden.
  • In der zweiten Ausführungsform sind ferner die Übertragungsvorrichtung 1 umfassend zumindest die Simulations-Einheit 2, die Konfigurations-Einheit 3, den ersten Netzwerk-Port P1 und den zweiten Netzwerk-Port P2 in einem gemeinsamen Gehäuse 6 implementiert.
  • Die Konfigurations-Einheit 3 ist weiter dazu eingerichtet, mittels der Konfigurationsdaten das virtuelle Simulationsnetzwerk VSN zumindest zu einem bestimmten Zeitpunkt automatisch zu konfigurieren. Der bestimmte Zeitpunkt umfasst insbesondere einen Zeitpunkt während des Betriebes der Simulations-Einheit 2.
  • Vorzugsweise ist die Übertragungsvorrichtung 1 dazu eingerichtet, die Simulations-Einheit 2 und die Konfigurations-Einheit 3 parallel auszuführen.
  • Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar.
  • Bezugszeichenliste
    • 1
    Übertragungsvorrichtung
    2
    Simulations-Einheit
    3
    Konfigurations-Einheit
    4
    Netzwerk-Switch
    5
    CPU
    6
    Gehäuse
    P1
    erster Netzwerk-Port
    P2
    zweiter Netzwerk-Port
    RNW1
    reales erstes Netzwerk
    RNW2
    reales zweites Netzwerk
    SP
    Spiegelungs-Port
    VSN
    virtuelles Simulationsnetzwerk

Claims (14)

  1. Übertragungsvorrichtung (1) zum Übertragen von Daten zwischen einem realen ersten Netzwerk (RNW1) und einem realen zweiten Netzwerk (RNW2), wobei die Übertragungsvorrichtung (1) einen ersten Netzwerk-Port (P1) zum Koppeln an das reale erste Netzwerk (RNW1) und einen zweiten Netzwerk-Port (P2) zum Koppeln an das reale zweite Netzwerk (RNW2) aufweist und ferner umfasst: eine an dem ersten Netzwerk-Port (P1) verbundene Simulations-Einheit (2), die dazu eingerichtet ist, über den ersten Netzwerk-Port (P1) von dem realen ersten Netzwerk (RNW1) netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten ein virtuelles Simulationsnetzwerk (VSN) von dem realen ersten Netzwerk (RNW1) bereitzustellen, und das bereitgestellte virtuelle Simulationsnetzwerk (VSN) über den zweiten Netzwerk-Port (P2) für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk (VSN) von dem realen zweiten Netzwerk (RNW2) aus bereitzustellen.
  2. Übertragungsvorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Simulations-Einheit (2) ferner dazu eingerichtet ist, das virtuelle Simulationsnetzwerk (VSN) in Abhängigkeit von zumindest drei unterschiedlichen Simulationsstufen zu simulieren.
  3. Übertragungsvorrichtung nach Anspruch 2, dadurch gekennzeichnet, dass die Simulations-Einheit (2) dazu eingerichtet ist, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk (VSN) in einer ersten Simulationsstufe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer Netzwerktopologie des realen ersten Netzwerkes (RNW1), in einer zweiten Simulationsstufe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer Schicht eines Netzwerkprotokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes (RNW1) und in einer dritten Simulationsstufe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes (RNW1), zu simulieren.
  4. Übertragungsvorrichtung nach einem der Ansprüche 1-3, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) ferner eine Konfigurations-Einheit (3) umfasst, die dazu eingerichtet ist, über den ersten Netzwerk-Port (P1) von dem realen ersten Netzwerk (RNW1) netzwerkspezifische Daten zu erhalten, diese zu analysieren und die analysierten netzwerkspezifischen Daten als Konfigurationsdaten zum Konfigurieren des virtuellen Simulationsnetzwerkes (VSN) zu verwenden.
  5. Übertragungsvorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die Konfigurations-Einheit (3) ferner dazu eingerichtet ist, mittels der Konfigurationsdaten das virtuelle Simulationsnetzwerk (VSN) zumindest zu einem bestimmten Zeitpunkt automatisch zu konfigurieren, wobei der zumindest eine bestimmte Zeitpunkt einen Zeitpunkt während des Betriebes der Simulations-Einheit (2) umfasst.
  6. Übertragungsvorrichtung nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, die Simulations-Einheit (2) und die Konfigurations-Einheit (3) parallel auszuführen.
  7. Übertragungsvorrichtung nach einem der Ansprüche 1-6, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, über einen zwischen dem realen ersten Netzwerk (RNW1) und dem ersten Netzwerk-Port (P1) angeordneten Netzwerk-Switch (4) die Daten von dem realen ersten Netzwerk (RNW1) zu empfangen, wobei zumindest ein Eingang des Netzwerk-Switches (4) zur Übertragung von Daten mit dem realen ersten Netzwerk (RNW1) verbunden ist und ein als ein Ausgang des Netzwerk-Switches (4) ausgebildeter Spiegelungs-Port (SP) zur Übertragung von Daten mit dem ersten Netzwerk-Port (P1) verbunden ist.
  8. Übertragungsvorrichtung nach einem der Ansprüche 1-7, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, eine Übertragung von Daten zwischen dem realen ersten Netzwerk (RNW1) und dem realen zweiten Netzwerk (RNW2) in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO-Schichtmodell, durchzuführen.
  9. Übertragungsvorrichtung nach einem der Ansprüche 1-8, dadurch gekennzeichnet, dass das reale erste Netzwerk (RNW1) ein Steuerungsnetzwerk, insbesondere ein Produktionsnetzwerk oder ein Bahnsicherungsnetzwerk, umfasst und das reale zweite Netzwerk (RNW2) ein Diagnosenetzwerk, ein lokales Netzwerk oder das Internet umfasst.
  10. Übertragungsvorrichtung nach einem der Ansprüche 1-9, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) teilweise oder vollständig als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebildet ist.
  11. Übertragungsvorrichtung nach einem der Ansprüche 1-10, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, dem realen zweiten Netzwerk (RNW2) eine Routing-Tabelle umfassend eine Mehrzahl A von IP-Adressen von Teilnehmern des realen ersten Netzwerkes (RNW1) bereitzustellen.
  12. Übertragungsvorrichtung nach einem der Ansprüche 1-11, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, dem realen zweiten Netzwerk (RNW2) zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers des realen ersten Netzwerkes (RNW1) bereitzustellen.
  13. Übertragungsvorrichtung nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die netzwerkspezifischen Daten Messwerte, wie beispielsweise Druck und/oder Temperatur von Teilnehmern des realen ersten Netzwerkes (RNW1), zumindest eine Anzahl T von Teilnehmern des realen ersten Netzwerkes (RNW1), Betriebszustände von Teilnehmern des realen ersten Netzwerkes (RNW1) und/oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes (RNW1) ausgeführt wird, umfassen.
  14. Übertragungsvorrichtung nach einem der Ansprüche 4-13, dadurch gekennzeichnet, dass zumindest die Simulations-Einheit (2), die Konfigurations-Einheit (3), der erste Netzwerk-Port (P1) und der zweite Netzwerk-Port (P2) in einem gemeinsamen Gehäuse (6) implementiert sind.
DE102019220246.2A 2019-12-19 2019-12-19 Übertragungsvorrichtung zum Übertragen von Daten Withdrawn DE102019220246A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102019220246.2A DE102019220246A1 (de) 2019-12-19 2019-12-19 Übertragungsvorrichtung zum Übertragen von Daten
US17/783,342 US20230051229A1 (en) 2019-12-19 2020-12-10 Transmission device for transmitting data
EP20828978.5A EP4052440A1 (de) 2019-12-19 2020-12-10 Übertragungsvorrichtung zum übertragen von daten
CN202080087774.6A CN114766087A (zh) 2019-12-19 2020-12-10 传输数据的传输设备
AU2020403757A AU2020403757B2 (en) 2019-12-19 2020-12-10 Transmission device for transmitting data
PCT/EP2020/085508 WO2021122298A1 (de) 2019-12-19 2020-12-10 Übertragungsvorrichtung zum übertragen von daten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019220246.2A DE102019220246A1 (de) 2019-12-19 2019-12-19 Übertragungsvorrichtung zum Übertragen von Daten

Publications (1)

Publication Number Publication Date
DE102019220246A1 true DE102019220246A1 (de) 2021-06-24

Family

ID=74003808

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019220246.2A Withdrawn DE102019220246A1 (de) 2019-12-19 2019-12-19 Übertragungsvorrichtung zum Übertragen von Daten

Country Status (6)

Country Link
US (1) US20230051229A1 (de)
EP (1) EP4052440A1 (de)
CN (1) CN114766087A (de)
AU (1) AU2020403757B2 (de)
DE (1) DE102019220246A1 (de)
WO (1) WO2021122298A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113489728A (zh) * 2021-07-08 2021-10-08 恒安嘉新(北京)科技股份公司 一种工业互联网的安全评估系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140336785A1 (en) * 2013-05-09 2014-11-13 Rockwell Automation Technologies, Inc. Using cloud-based data for virtualization of an industrial environment
DE102013018596A1 (de) * 2013-11-07 2015-05-07 Phoenix Contact Gmbh & Co. Kg Netzwerksystem, Koppeleinheit und Verfahren zum Betreiben eines Netzwerksystems
EP3291501A1 (de) * 2016-08-31 2018-03-07 Siemens Aktiengesellschaft System und verfahren zur verwendung eines virtuellen honigtopfs in einem industriellen automatisierungssystem und cloud-verbinder
WO2018044410A1 (en) * 2016-09-01 2018-03-08 Siemens Aktiengesellschaft High interaction non-intrusive industrial control system honeypot
US20180332005A1 (en) * 2014-09-30 2018-11-15 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter ip and peer-checking evasion techniques

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10241974B4 (de) * 2002-09-11 2006-01-05 Kämper, Peter Überwachung von Datenübertragungen
US20110122879A1 (en) * 2009-11-20 2011-05-26 D & S Consultants, Inc. System for seamless connection of real and virtual networks
DE102010054093A1 (de) * 2010-12-10 2011-08-25 Daimler AG, 70327 Verfahren zum Mitlesen und Versenden von Nachrichten sowie zur Simulation eines Netzwerkes eines Fahrzeuges
US10372843B2 (en) * 2014-02-07 2019-08-06 The Boeing Company Virtual aircraft network
US10419243B2 (en) * 2016-09-09 2019-09-17 Johnson Controls Technology Company Smart gateway devices, systems and methods for providing communication between HVAC system networks
US10841277B2 (en) * 2017-08-14 2020-11-17 Ut-Battelle, Llc One step removed shadow network
CN109039913A (zh) * 2018-08-23 2018-12-18 郑州云海信息技术有限公司 虚拟路由装置和虚拟机通信系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140336785A1 (en) * 2013-05-09 2014-11-13 Rockwell Automation Technologies, Inc. Using cloud-based data for virtualization of an industrial environment
DE102013018596A1 (de) * 2013-11-07 2015-05-07 Phoenix Contact Gmbh & Co. Kg Netzwerksystem, Koppeleinheit und Verfahren zum Betreiben eines Netzwerksystems
US20180332005A1 (en) * 2014-09-30 2018-11-15 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter ip and peer-checking evasion techniques
EP3291501A1 (de) * 2016-08-31 2018-03-07 Siemens Aktiengesellschaft System und verfahren zur verwendung eines virtuellen honigtopfs in einem industriellen automatisierungssystem und cloud-verbinder
WO2018044410A1 (en) * 2016-09-01 2018-03-08 Siemens Aktiengesellschaft High interaction non-intrusive industrial control system honeypot

Also Published As

Publication number Publication date
EP4052440A1 (de) 2022-09-07
CN114766087A (zh) 2022-07-19
AU2020403757B2 (en) 2023-08-31
AU2020403757A1 (en) 2022-07-14
US20230051229A1 (en) 2023-02-16
WO2021122298A1 (de) 2021-06-24

Similar Documents

Publication Publication Date Title
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE202016009181U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
EP3251012B1 (de) Prüfsystem zur prüfung eines computers eines computersystems in einem prüfnetzwerk
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE102020124426A1 (de) Verfahren, Systeme und computerlesbare Medien für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung
EP3542511A1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
DE102012215167A1 (de) Authentifizierung eines ersten Gerätes durch eine Vermittlungsstelle
DE10330079B4 (de) Router und Verfahren zur Aktivierung eines deaktivierten Computers
EP3451624A1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE102010038228A1 (de) Verfahren zum Aufbau einer VPN-Verbindung zwischen zwei Netzwerken
DE102020201988A1 (de) Vorrichtung zur Verarbeitung von Daten mit wenigstens zwei Datenschnittstellen und Betriebsverfahren hierfür
DE102019220246A1 (de) Übertragungsvorrichtung zum Übertragen von Daten
EP3753205B1 (de) Datenübertragung in zeitsensitiven datennetzen
EP3925192B1 (de) Verfahren und wiedergabeeinheit zur wiedergabe von gesicherten nachrichten
DE602004012922T2 (de) Zugriff überwachunggssystem für ein Automatisierungsgerät
EP3252990A1 (de) Verfahren und vorrichtung zum bereitstellen eines geheimnisses zum authentisieren eines systems und/oder komponenten des systems
WO2002067532A1 (de) Verfahren zur übertragung von daten, proxy-server und datenübertragungssystem
DE102019210230A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
EP3767910A1 (de) Verfahren zur konfiguration von firewall-einrichtungen für ein kommunikationsnetz und kommunikationsnetz-management-system
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
DE102019220249A1 (de) Übertragungsvorrichtung zum Übertragen von Daten
DE102019220248A1 (de) Übertragungsvorrichtung zum Übertragen von Daten
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee