Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
TRANSMISSION DEVICE FOR TRANSMITTING DATA
Document Type and Number:
WIPO Patent Application WO/2021/121948
Kind Code:
A1
Abstract:
The invention relates to a transmission device for transmitting data between a first network and a second network. The transmission device comprises: a first uni-directional transmission unit which can be coupled to the first network and is configured to exclusively receive data transmitted from the first network to the transmission device, a second uni-directional transmission unit which can be coupled to the second network and is configured to exclusively send data from the transmission device to the second network, and an identification unit which is located between the first uni-directional unit and the second uni-directional unit and which is configured to receive the data received by the first uni-directional transmission unit and to identify anomalies in the received data. The provided transmission device achieves the reliable, optimized identification of anomalies in the first network and increases security in the identification unit against manipulation and against attacks or intrusion attempts from the second network.

Inventors:
FALK RAINER (DE)
HINGOS DAVID (US)
METEL OMER (US)
OTTO CHRISTINA (DE)
PATZLAFF HEIKO (DE)
PFLEGER DE AGUIAR LEANDRO (US)
WIMMER MARTIN (DE)
Application Number:
PCT/EP2020/084036
Publication Date:
June 24, 2021
Filing Date:
December 01, 2020
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS MOBILITY GMBH (DE)
International Classes:
H04L29/06; H04L12/46
Domestic Patent References:
WO2019099088A12019-05-23
Foreign References:
EP3139548A12017-03-08
US20160330225A12016-11-10
Download PDF:
Claims:
Patentansprüche

1. Übertragungsvorrichtung (1) zum Übertragen von Daten zwi schen einem ersten Netzwerk (NW1) und einem zweiten Netzwerk (NW2), mit: einer mit dem ersten Netzwerk (NW1) koppelbaren, ersten unidirektionalen Übertragungs-Einheit (2), die dazu einge richtet ist, von dem ersten Netzwerk (NW1) zu der Übertra gungsvorrichtung (1) übertragene Daten ausschließlich zu emp fangen, einer mit dem zweiten Netzwerk (NW2) koppelbaren, zweiten unidirektionalen Übertragungs-Einheit (4), die dazu einge richtet ist, Daten von der Übertragungsvorrichtung (1) zu dem zweiten Netzwerk (NW2) ausschließlich zu senden, und einer zwischen der ersten unidirektionalen Übertragungs- Einheit (2) und der zweiten unidirektionalen Übertragungs- Einheit (4) angeordneten Erkennungs-Einheit (3), die dazu eingerichtet ist, die von der ersten unidirektionalen Über tragungs-Einheit (2) empfangenen Daten zu empfangen und Ano malitäten an den empfangenen Daten zu erkennen.

2. Übertragungsvorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die erste unidirektionale Übertragungs-Einheit (2) und die zweite unidirektionale Übertragungs-Einheit (4) jeweils hardwaretechnisch zumindest in Form eines Netzwerk-TAP oder einer unidirektionalen Datendiode implementiert sind.

3. Übertragungsvorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die von der Erkennungs-Einheit (3) erkennbaren Anomali täten einen ersten Anomalitätstyp und einen zweiten Anomali tätstyp umfassen, wobei sich der erste Anomalitätstyp von dem zweiten Anomalitätstyp unterscheidet.

4. Übertragungsvorrichtung nach einem der Ansprüche 1 - 3, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) zumindest eine zwischen der ersten unidirektionalen Übertragungs-Einheit (2) und der zweiten unidirektionalen Übertragungs-Einheit (4) angeordnete CPU (6) aufweist, in welcher die Erkennungs-Einheit (3) sowie zusätzlich eine Modellierungs-Einheit (5) implementiert sind, wobei die Modellierungs-Einheit (5) dazu eingerichtet ist, ein Modell (MOD) mit netzwerkspezifischen Daten von dem ers ten Netzwerk (NW1) bereitzustellen.

5. Übertragungsvorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die Modellierungs-Einheit (5) dazu eingerichtet ist, das Modell (MOD) in Abhängigkeit von Vorkonfigurationsdaten des ersten Netzwerkes (NW1) bereitzustellen und das somit bereit gestellte Modell (MOD) der Erkennungs-Einheit (3) zur Verfü gung zu stellen.

6. Übertragungsvorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die Modellierungs-Einheit (5) dazu eingerichtet ist, das Modell (MOD) zumindest in Abhängigkeit von an einem bestimm ten Zeitpunkt und/oder in Abhängigkeit von während einer be stimmten Zeitdauer von dem ersten Netzwerk (NW1) über die erste unidirektionale Übertragungs-Einheit (2) empfangenen Daten bereitzustellen und das somit bereitgestellte Modell (MOD) der Erkennungs-Einheit (3) zur Verfügung zu stellen.

7. Übertragungsvorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die Modellierungs-Einheit (5) dazu eingerichtet ist, das Modell (MOD) mittels Vorkonfigurationsdaten und in Abhängig keit von an einem bestimmten Zeitpunkt und/oder in Abhängig keit von während einer bestimmten Zeitdauer von dem ersten Netzwerk (NW1) über die erste unidirektionale Übertragungs- Einheit (2) empfangenen Daten bereitzustellen und das somit bereitgestellte Modell (MOD) der Erkennungs-Einheit (3) zur Verfügung zu stellen.

8. Übertragungsvorrichtung nach einem der Ansprüche 4 - 7, dadurch gekennzeichnet, dass die Erkennungs-Einheit (3) dazu eingerichtet ist, die von der ersten unidirektionalen Übertragungs-Einheit (2) emp fangenen Daten mit den netzwerkspezifischen Daten des bereit gestellten Modells (MOD) zu vergleichen, um ein Vergleichser gebnis zu erhalten, wobei die Erkennungs-Einheit (3) dazu eingerichtet ist, aus dem erhaltenen Vergleichsergebnis abzu leiten, ob zumindest eine Anomalität an den empfangenen Daten vorliegt.

9. Übertragungsvorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, bei einem Vorliegen der zumindest einen Anomalität an den empfangenen Daten eine Fehlermeldung umfassend die erkannte Anomalität über die zweite unidirektionale Übertragungs- Einheit (4) an eine Überwachungs-Einheit (7), welche in dem zweiten Netzwerk (NW2) angeordnet ist oder mit diesem verbun den ist, zu übertragen.

10. Übertragungsvorrichtung nach einem der Ansprüche 1 - 9, dadurch gekennzeichnet, dass die Erkennungs-Einheit (3) und die Modellierungs-Einheit (5) jeweils softwaretechnisch in Form einer Sicherheitsappli kation ausgebildet sind.

11. Übertragungsvorrichtung nach einem der Ansprüche 1 - 10, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, über einen zwischen dem ersten Netzwerk (NW1) und der ersten unidirektionalen Übertragungs-Einheit (2) angeordneten Netz werk-Switch (8) die Daten von dem ersten Netzwerk (NW1) zu empfangen, wobei zumindest ein Eingang des Netzwerk-Switches (8) zur Übertragung von Daten mit dem ersten Netzwerk (NW1) verbunden ist und ein als ein Ausgang des Netzwerk-Switches (8) ausgebildeter Spiegelungs-Port (SP) zur Übertragung von Daten mit der ersten unidirektionalen Übertragungs-Einheit (2) verbunden ist.

12. Übertragungsvorrichtung nach einem der Ansprüche 1 - 11, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, eine Übertragung von Daten zwischen dem ersten Netzwerk (NW1) und dem zweiten Netzwerk (NW2) in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO-Schichtmodell, durchzuführen.

13. Übertragungsvorrichtung nach einem der Ansprüche 1 - 12, dadurch gekennzeichnet, dass das erste Netzwerk (NW1) ein Steuerungsnetzwerk, insbe sondere ein Produktionsnetzwerk oder ein Bahnsicherungsnetz werk, umfasst und das zweite Netzwerk (NW2) ein Diagnosenetz werk, ein lokales Netzwerk oder das Internet umfasst.

14. Übertragungsvorrichtung nach einem der Ansprüche 1 - 13, dadurch gekennzeichnet, dass zumindest die erste unidirektionale Übertragungs-Einheit (2), die zweite unidirektionale Übertragungs-Einheit (4) und die Erkennungs-Einheit (3) in einem gemeinsamen Gehäuse (9) implementiert sind.

15. Übertragungsvorrichtung nach einem der Ansprüche 3 - 14, dadurch gekennzeichnet, dass die erste unidirektionale Übertragungs-Einheit (2) und die zweite unidirektionale Übertragungs-Einheit (4) jeweils softwaretechnisch in Form einer unidirektionalen Firewall im plementiert sind.

Description:
Beschreibung

Übertragungsvorrichtung zum Übertragen von Daten

Die vorliegende Erfindung betrifft eine Übertragungsvorrich tung zum Übertragen von Daten zwischen einem ersten Netzwerk und einem zweiten Netzwerk.

Zur sicheren Kommunikation zwischen einem sicherheitskriti schen Netzwerk, wie beispielsweise einem Produktionsnetzwerk oder einem Bahnsicherungsnetzwerk, und einem offenen Netz werk, wie beispielsweise einem lokalen Netzwerk oder dem In ternet, werden herkömmlicherweise insbesondere Übertragungs vorrichtungen, wie Datendioden oder Firewalls, eingesetzt, um eine uni-direktionale Datenübertragung zwischen dem sicher- heitskritischen Netzwerk und dem offenen Netzwerk zu ermögli chen. Diese Übertragungsvorrichtungen sind beispielsweise da zu eingerichtet sicherzustellen, dass von dem offenen Netz werk keine beliebigen Daten an das sicherheitskritische Netz werk übermittelt werden können und sind insbesondere ferner dazu eingerichtet, das sicherheitskritische Netzwerk vor An griffen und Eindringversuchen (engl. "Intrusion attempts") zu schützen.

Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, eine verbesserte Übertragungsvorrichtung be reitzustellen.

Gemäß einem ersten Aspekt wird eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem ersten Netzwerk und einem zweiten Netzwerk vorgeschlagen. Die Übertragungsvor richtung umfasst: eine mit dem ersten Netzwerk koppelbare, erste unidirek- tionale Übertragungs-Einheit, die dazu eingerichtet ist, von dem ersten Netzwerk zu der Übertragungsvorrichtung übertrage ne Daten ausschließlich zu empfangen, eine mit dem zweiten Netzwerk koppelbare, zweite unidi- rektionale Übertragungs-Einheit, die dazu eingerichtet ist, Daten von der Übertragungsvorrichtung zu dem zweiten Netzwerk ausschließlich zu senden, und eine zwischen der ersten unidirektionalen Übertragungs- Einheit und der zweiten unidirektionalen Übertragungs-Einheit angeordnete Erkennungs-Einheit, die dazu eingerichtet ist, die von der ersten unidirektionalen Übertragungs-Einheit emp fangenen Daten zu empfangen und Anomalitäten an den empfange nen Daten zu erkennen.

Da einerseits die erste unidirektionale Übertragungs-Einheit dazu eingerichtet ist, von dem ersten Netzwerk zu der Über tragungsvorrichtung übertragene Daten ausschließlich zu emp fangen, und andererseits die zweite unidirektionale Übertra gungs-Einheit dazu eingerichtet ist, Daten von der Übertra gungsvorrichtung zu dem zweiten Netzwerk ausschließlich zu senden, wird in vorteilhafter Weise eine demilitarisierte Zo ne (engl. "Demilitarized zone (DMZ)"), welche die Erkennungs- Einheit umfasst, zwischen der ersten und der zweiten unidi rektionalen Übertragungs-Einheit in der Übertragungsvorrich tung ausgebildet. Die demilitarisierte Zone ist insbesondere ein neutraler und von dem ersten Netzwerk und dem zweiten Netzwerk isolierter Bereich in der Übertragungsvorrichtung, der zwischen der ersten und der zweiten unidirektionalen Übertragungs-Einheit ausgebildet ist.

Dadurch, dass die Erkennungs-Einheit in der DMZ isoliert von dem ersten Netzwerk und dem zweiten Netzwerk angeordnet ist, kann kein Angriff oder Eindringversuch eines Angreifers auf die Erkennungs-Einheit von dem zweiten Netzwerk aus erfolgen. Das ist insbesondere deshalb so, da die zweite unidirektiona le Übertragungs-Einheit ausschließlich eine Datenübertragung von der zweiten unidirektionalen Übertragungs-Einheit zu dem zweiten Netzwerk und nicht umgekehrt erlaubt. Infolgedessen erhöht sich die Manipulationssicherheit der Erkennungs- Einheit, wodurch die Sicherheit bei der Datenübertragung zwi schen dem ersten Netzwerk und dem zweiten Netzwerk erhöht wird. Durch die bereitgestellte Übertragungsvorrichtung wird es ferner ermöglicht, dass von dem ersten Netzwerk aus zu der Übertragungsvorrichtung übertragene Daten mittels der Erken nungs-Einheit überwacht und analysiert werden können, um so mit Anomalitäten in dem ersten Netzwerk und Eindringversuche in das erste Netzwerk erkennen zu können. Parallel ermöglicht es die bereitgestellte Übertragungsvorrichtung, dass das ers te Netzwerk von dem zweiten Netzwerk getrennt ist, um sicher zustellen, dass von dem zweiten Netzwerk keine beliebigen Da ten an das erste Netzwerk übermittelt werden können und dass kein unbefugter Zugriff, beispielsweise zum Zwecke einer Ma nipulation des ersten Netzwerkes, von dem zweiten Netzwerk aus auf das erste Netzwerk erfolgt. Dies führt vorteilhafter weise zu einer zuverlässigen und optimierten Erkennung von Anomalitäten in dem ersten Netzwerk und zu einer Erhöhung der Manipulationssicherheit der Übertragungsvorrichtung, insbe sondere der Erkennungs-Einheit.

Zusätzlich wird durch die Ausbildung der DMZ und der Anord nung der ersten unidirektionalen Übertragungs-Einheit sicher gestellt, dass im Falle eines erfolgreichen Angriffs auf die Übertragungsvorrichtung, keine sicherheitskritischen Daten über die erste unidirektionale Übertragungs-Einheit in das erste Netzwerk übertragen werden können. Durch die erste uni direktionale Übertragungs-Einheit und die DMZ wird somit eine rückwirkungsfreie Trennung zwischen dem ersten Netzwerk und der Übertragungsvorrichtung und zwischen dem ersten Netzwerk und dem zweiten Netzwerk ermöglicht. Infolgedessen wird die Sicherheit bei der Datenübertragung zwischen dem ersten Netz werk und dem zweiten Netzwerk erhöht.

Die Übertragungsvorrichtung ist insbesondere als ein Edge- Gerät, wie ein unidirektionales Gateway oder eine unidirekti onale Datendiode ausgebildet. Die unidirektionale Datendiode ist insbesondere eine Einweg-Kommunikationseinrichtung, die eine physikalisch rückwirkungsfreie Trennung des ersten Netz werkes und des zweiten Netzwerkes ermöglicht. Eine "physika- lisch" rückwirkungsfreie Trennung liegt insbesondere dann vor, wenn die rückwirkungsfreie Trennung mittels physikali scher Bauelemente in der unidirektionalen Datendiode reali siert wird, wie beispielsweise der ersten und der zweiten un idirektionalen Übertragungs-Einheit, die das erste Netzwerk und das zweite Netzwerk derart verbinden, dass eine Kommuni kationsverbindung ausschließlich von dem ersten Netzwerk in Richtung des zweiten Netzwerks vorhanden ist, jedoch keine physikalische Verbindung von dem zweiten Netzwerk in das ers te Netzwerk vorliegt. Das unidirektionale Gateway ist insbe sondere hardwaretechnisch und/oder softwaretechnisch imple mentiert und ist dazu eingerichtet, zwischen dem ersten und dem zweiten Netzwerk eine unidirektionale Verbindung herzu stellen. Das unidirektionale Gateway ermöglicht vorzugsweise eine physikalisch oder logisch rückwirkungsfreie Trennung des ersten und des zweiten Netzwerkes. Unter dem Begriff einer "logisch" rückwirkungsfreien Trennung wird vorliegend insbe sondere verstanden, wenn die rückwirkungsfreie Trennung mit tels einer Anwendung von Algorithmen erfolgt, in dem Fall, wenn das Gateway in Software implementiert ist.

Die erste und die zweite unidirektionale Übertragungs-Einheit sind vorzugsweise derart innerhalb der Übertragungsvorrich tung angeordnet, dass die erste unidirektionale Übertragungs- Einheit dazu eingerichtet ist, ausschließlich Daten von dem ersten Netzwerk zu empfangen, während die zweite unidirektio nale Übertragungs-Einheit dazu eingerichtet ist, ausschließ lich Daten zu dem zweiten Netzwerk zu senden. In anderen Wor ten ist die erste unidirektionale Übertragungs-Einheit insbe sondere nicht dazu eingerichtet, Daten an das erste Netzwerk zu senden, während die zweite unidirektionale Übertragungs- Einheit nicht dazu eingerichtet, Daten von dem zweiten Netz werk zu empfangen.

Unter dem Begriff "unidirektional " wird vorliegend vorzugs weise verstanden, dass eine Übertragung von Daten zwischen zwei Netzwerken oder Geräten ausschließlich in eine Richtung erfolgt, beispielsweise von dem ersten Netzwerk unidirektio- nal in Richtung zu der Übertragungsvorrichtung und von der Übertragungsvorrichtung unidirektional in Richtung zu dem zweiten Netzwerk.

Insbesondere können die erste und die zweite unidirektionale Übertragungs-Einheit einen oder mehrere Netzwerk-Ports umfas sen. Ein Netzwerk-Port ist insbesondere als ein physikali scher Netzwerk-Port ausgebildet. Der physikalische Netzwerk- Port weist vorzugsweise eine RJ-45-Verbindung, eine M12- Verbindung oder eine Single-Pair-Ethernet-Verbindung auf, um jeweils mit dem ersten Netzwerk oder dem zweiten Netzwerk verbunden oder gekoppelt zu werden. Auch kann ein Netzwerk- Port ein Teil einer Netzwerkadresse sein, der die Zuordnung von TCP-Verbindungen ("Transmission Control Protocol") und UDP-Verbindungen ("User Datagram Protocol") und Datenpaketen zu Server und/oder Clients, die in dem ersten und/oder zwei ten Netzwerk angeordnet sind, ermöglicht.

Die Erkennungs-Einheit umfasst insbesondere ein Intrusion- Detektion-System. Das Intrusion-Detektion-System (engl. "In trusion Detection System" (IDS)) ist eine Sicherheitstechno- logie, die das unbefugte Eindringen in ein Netzwerk erkennt, wenn beispielsweise Schadsoftware mithilfe sogenannter Explo- it-Codes Sicherheitslücken eines Systems ausnutzt. Das Intru sion-Detektion-System umfasst insbesondere ein Netzwerk- Intrusion-Detektion-System (NIDS). Mittels eines IDS oder ei nes NIDS kann das betreffende Netzwerk, beispielsweise das erste Netzwerk, kontrolliert und effektiv nach Anomalitäten und/oder Eindringversuchen abgesucht werden.

Gemäß einer Ausführungsform sind die erste unidirektionale Übertragungs-Einheit und die zweite unidirektionale Übertra gungs-Einheit jeweils hardwaretechnisch zumindest in Form ei nes Netzwerk-TAP oder einer unidirektionalen Datendiode im plementiert.

Durch diese hardwaretechnische Implementierung in Form eines Netzwerk-TAP oder einer unidirektionalen Datendiode wird die Unidirektionalität der Datenübertragung der ersten und der zweiten unidirektionalen Übertragungs-Einheit, also die un- idirektionale Datenübertragung von dem ersten Netzwerk aus zu der Übertragungsvorrichtung über die erste unidirektionale Übertragungs-Einheit und die unidirektionale Datenübertragung von der zweiten unidirektionalen Übertragungs-Einheit zu dem zweiten Netzwerk, in physikalischer Form erzielt. Dadurch ist es unmöglich, dass ein Angreifer von dem zweiten Netzwerk aus auf die Übertragungsvorrichtung, insbesondere auf die Erken nungs-Einheit, zugreifen kann und Manipulationen an dieser vornehmen kann. Somit erhöht sich der Schutz vor Manipulati onsversuchen gegenüber der Erkennungs-Einheit, wodurch die Integrität des Gesamtsystems umfassend das erste Netzwerk, das zweite Netzwerk sowie die Übertragungsvorrichtung, und insbesondere die Sicherheit bei der Datenübertragung zwischen dem ersten und dem zweiten Netzwerk erhöht werden.

Der Netzwerk-TAP (engl. "Network-Test Access Point") ist ins besondere passiv oder aktiv ausgebildet. Ein passiver Netz- werk-TAP kann auch als eine sogenannte "Data Capture Unit" (DCU) bezeichnet werden. Eine erste unidirektionale Übertra gungs-Einheit, die als ein passiver unidirektionaler Netz- werk-TAP ausgebildet ist, ist vorzugsweise dazu eingerichtet, den Netzwerkverkehr von dem ersten Netzwerk zu der Übertra gungsvorrichtung zu überwachen und die Unidirektionalität der Datenübertragung von dem ersten Netzwerk zu der Übertragungs vorrichtung zu gewährleisten. Beispielsweise wird bei einem Netzwerk-TAP die Unidirektionalität der Datenübertragung durch eine physikalische Verdrahtung des Netzwerk-TAPs er zielt.

Die unidirektionale Datendiode ist insbesondere optisch aus gebildet. Vorzugsweise wird die Unidirektionalität der Daten übertragung der optischen unidirektionalen Datendiode durch ihren internen physikalischen Aufbau realisiert.

Die zweite unidirektionale Übertragungs-Einheit kann ferner auch eine physikalische serielle Schnittstelle, wie eine RS485-Schnittstelle, umfassen. Die Unidirektionalität der Da tenübertragung wird hierbei insbesondere in einer software technischen Ausbildung durch einen Protokollbruch (engl. "Protocol Break") erzielt und/oder dadurch erzielt, dass ein verwendeter Kanal zur Datenübertragung ausschließlich unidi- rektional von der Übertragungsvorrichtung zu dem zweiten Netzwerk mittels Algorithmen eingerichtet wird. Diese Form der Implementierung ist insbesondere mit einem geringen Her stellungsaufwand verbunden. Weiterhin wird die Unidirektiona lität der Datenübertragung in einer hardwaretechnischen Aus bildung der RS485-Schnittstelle durch eine physikalische An passung, vorzugsweise durch eine physikalische Verdrahtung der RS485-Schnittstelle erzielt, welche ausschließlich eine unidirektionale Datenübertragung von der Übertragungsvorrich tung zu dem zweiten Netzwerk ermöglicht.

Der Angriff kann ein Hardware-Angriff und/oder ein Software- Angriff, insbesondere ein Hacker-Angriff sein. Ein Software- Angriff ist insbesondere ein Angriffsversuch und/oder ein Eindringversuch auf die Übertragungsvorrichtung von dem zwei ten Netzwerk aus. Bei einem Hardware-Angriff wird insbesonde re versucht, die physikalische Struktur der jeweiligen Über tragungs-Einheit zu manipulieren.

Gemäß einer weiteren Ausführungsform umfassen die von der Er kennungs-Einheit erkennbaren Anomalitäten einen ersten Anoma litätstyp und einen zweiten Anomalitätstyp, wobei sich der erste Anomalitätstyp von dem zweiten Anomalitätstyp unter scheidet.

Vorteilhafterweise ist es durch die Erkennungs-Einheit mög lich, unterschiedliche Anomalitätstypen, wie den ersten und den zweiten Anomalitätstyp, zu erkennen. Dies führt zu einer zuverlässigen und optimierten Erkennung von Anomalitäten in dem ersten Netzwerk, womit die Sicherheit bei der Datenüber tragung zwischen dem ersten Netzwerk und dem zweiten Netzwerk erhöht wird. Der erste Anomalitätstyp, welcher durch die Erkennungs- Einheit an den empfangenen Daten oder an aktuell empfangenen Daten erkannt wird, wird insbesondere dann erkannt, wenn die von dem ersten Netzwerk aktuell empfangenen Daten eine Unre gelmäßigkeit oder eine Abweichung im Vergleich zu älteren empfangenen Daten aufweisen. Eine Unregelmäßigkeit kann bei spielsweise eine stattfindende Kommunikation zwischen einem der Erkennungs-Einheit bekannten Teilnehmer des ersten Netz werkes und einem unbekannten Teilnehmer des ersten Netzwerkes sein und/oder eine ungewöhnliche Netzwerkaktivität eines Teilnehmers des ersten Netzwerkes.

Der zweite Anomalitätstyp, welcher durch die Erkennungs- Einheit an den empfangenen Daten oder an aktuell empfangenen Daten erkannt wird, kann insbesondere unter dem Begriff "Ex- ploit-Erkennung" subsummiert werden. Bei der "Exploit- Erkennung" werden die empfangenen Daten des ersten Netzwerkes mittels der Erkennungs-Einheit auf potentiell schädliche Da tenpakete, wie sogenannte Exploit-Codes und Kommunikationsab läufe, hin untersucht.

Gemäß einer weiteren Ausführungsform weist die Übertragungs vorrichtung zumindest eine zwischen der ersten unidirektiona- len Übertragungs-Einheit und der zweiten unidirektionalen Übertragungs-Einheit angeordnete CPU auf, in welcher die Er kennungs-Einheit sowie zusätzlich eine Modellierungs-Einheit implementiert sind, wobei die Modellierungs-Einheit dazu ein gerichtet ist, ein Modell mit netzwerkspezifischen Daten von dem ersten Netzwerk bereitzustellen.

Die CPU ("Central Processing Unit") ist insbesondere inner halb der DMZ ausgebildet.

Netzwerkspezifische Daten umfassen vorzugsweise Messwerte, wie beispielsweise Druck und/oder Temperatur von Teilnehmern des ersten Netzwerkes, zumindest eine Anzahl T von Teilneh mern oder eine Netzwerktopologie der Teilnehmer des ersten Netzwerkes, Betriebszustände von Teilnehmern des ersten Netz- Werkes und/oder einen technischen Prozess, welcher durch zu mindest einen Teilnehmer des ersten Netzwerkes ausgeführt wird. Netzwerkspezifische Daten können ferner IP-Adressen und/oder Netzwerk-Ports der Teilnehmer sowie Informationen über in dem ersten Netzwerk verwendete Netzwerkprotokolle, wie TCP, UDP, HTTP ("Hypertext Transfer Protocol") und/oder OPC UA ("OPC Unified Architecture") umfassen.

Das erste Netzwerk und das zweite Netzwerk umfassen jeweils insbesondere einen oder mehrere Teilnehmer. Die mehreren Teilnehmer sind vorzugsweise miteinander verbunden und bilden dadurch das jeweilige Netzwerk aus. Ein Teilnehmer ist bei spielsweise ein Computer, wie ein Server, ein Client oder ein Router.

Das Modell bildet insbesondere das erste Netzwerk nach. Je mehr netzwerkspezifische Daten der Modellierungs-Einheit zur Verfügung gestellt werden und je aktueller diese zur Verfü gung gestellten netzwerkspezifischen Daten sind, desto besser ist das durch die Modellierungs-Einheit bereitgestellte Mo dell des ersten Netzwerkes.

Gemäß einer weiteren Ausführungsform ist die Modellierungs- Einheit dazu eingerichtet, das Modell in Abhängigkeit von Vorkonfigurationsdaten des ersten Netzwerkes bereitzustellen und das somit bereitgestellte Modell der Erkennungs-Einheit zur Verfügung zu stellen.

Vorkonfigurationsdaten sind Daten, welche vorzugsweise eine bestimmte Netzwerktopologie von Teilnehmern des ersten Netz werkes umfassen und der Modellierungs-Einheit beispielsweise über eine serielle Schnittstelle der Übertragungsvorrichtung zur Verfügung gestellt werden. Mittels der Vorkonfigurations daten wird insbesondere ein erstes initiales Modell durch die Modellierungs-Einheit bereitgestellt.

Gemäß einer weiteren Ausführungsform ist die Modellierungs- Einheit dazu eingerichtet, das Modell zumindest in Abhängig- keit von an einem bestimmten Zeitpunkt und/oder in Abhängig keit von während einer bestimmten Zeitdauer von dem ersten Netzwerk über die erste unidirektionale Übertragungs-Einheit empfangenen Daten bereitzustellen und das somit bereitge stellte Modell der Erkennungs-Einheit zur Verfügung zu stel len.

Der bestimmte Zeitpunkt umfasst vorzugsweise zumindest einen Zeitpunkt nach dem Einschalten der Übertragungsvorrichtung und dem erstmaligen Verbinden der Übertragungsvorrichtung mit dem ersten Netzwerk über die erste unidirektionale Übertra gungs-Einheit. Dabei wird beispielsweise mittels einer Plug- and-Play-Funktion zum Zeitpunkt des Verbindens das erste Netzwerk ausgelesen und auf Basis der ausgelesenen netzwerk spezifischen Daten des ersten Netzwerkes das Modell durch die Modellierungs-Einheit bereitgestellt. Denkbar ist insbesonde re auch, dass die Übertragungsvorrichtung, umfassend die Er kennungs-Einheit, mit einem oder weiteren sicherheitskriti schen Netzwerken über die Plug-and-Play-Funktion in einfacher Weise verbunden werden kann und somit die netzwerkspezifi schen Daten des einen oder der weiteren sicherheitskritischen Netzwerke ausgelesen werden können.

Die bestimmte Zeitdauer umfasst vorzugsweise eine längere Zeitdauer nach dem Einschalten der Übertragungsvorrichtung und dem erstmaligen Verbinden der Übertragungsvorrichtung mit dem ersten Netzwerk über die erste unidirektionale Übertra gungs-Einheit von beispielsweise mehreren Minuten, Stunden, Tagen, Wochen oder Monaten, also insbesondere eine Zeitdauer während des Betriebs der Übertragungsvorrichtung.

Diese bestimmte Zeitdauer kann auch als eine Lernphase der Übertragungsvorrichtung bezeichnet werden. Die Dauer der Lernphase ist vorzugsweise zeit- und/oder datengebunden. Eine zeitgebundene Lernphase wird beispielsweise nach Ablauf einer bestimmten Zeitdauer beendet. Eine datengebundene Lernphase wird insbesondere nach Erreichen einer bestimmten Menge an von dem ersten Netzwerk empfangenen Daten beendet. Nach dem Ablauf der bestimmten Zeitdauer oder der Beendigung der Lern phase wird anschließend auf Basis der während dieser bestimm ten Zeitdauer ermittelten netzwerkspezifischen Daten das Mo dell bereitgestellt. Anschließend, nachdem das Modell bereit gestellt wurde, kann dies beispielsweise zum Analysieren der empfangenen Daten des ersten Netzwerkes der Erkennungs- Einheit zur Verfügung gestellt werden. Die zeitliche Phase nachdem das Modell bereitgestellt wurde, also die Phase nach der Lernphase, in der die Erkennungs-Einheit dazu eingerich tet ist, die empfangenen Daten auf Anomalitäten zu analysie ren, kann auch als Analysephase bezeichnet werden. Im Falle einer Rekonfiguration des ersten Netzwerkes, beispielsweise nachdem ein neuer Teilnehmer hinzugefügt wurde, kann die Übertragungsvorrichtung neu gestartet werden und anschließend eine neue Lernphase begonnen werden. Vorzugsweise umfasst die Übertragungsvorrichtung einen Schalter zum Einschalten und/oder Ausschalten der Lernphase und/oder der Analysephase.

Gemäß einer weiteren Ausführungsform ist die Modellierungs- Einheit dazu eingerichtet, das Modell mittels Vorkonfigurati onsdaten und in Abhängigkeit von an einem bestimmten Zeit punkt und/oder in Abhängigkeit von während einer bestimmten Zeitdauer von dem ersten Netzwerk über die erste unidirektio- nale Übertragungs-Einheit empfangenen Daten bereitzustellen und das somit bereitgestellte Modell der Erkennungs-Einheit zur Verfügung zu stellen.

Diese Ausführungsform hat den Vorteil, dass die Bereitstel lung des Modells auf Basis einer umfassenden und aktuellen Datenbasis, nämlich der Vorkonfigurationsdaten und der von an einem bestimmten Zeitpunkt und/oder in Abhängigkeit von wäh rend einer bestimmten Zeitdauer von dem ersten Netzwerk über die erste unidirektionale Übertragungs-Einheit empfangenen Daten erfolgt. Aufgrund dieser verbesserten Datenbasis kann ein verbessertes Modell durch die Modellierungs-Einheit be reitgestellt werden. Auch kann das bereitgestellte Modell in regelmäßigen Abständen mit aktuelleren netzwerkspezifischen Daten des ersten Netzwerkes aktualisiert werden und anschlie- ßend der Erkennungs-Einheit zur Verfügung gestellt werden. Hierbei ist die Übertragungsvorrichtung insbesondere dazu eingerichtet, die Erkennungs-Einheit und die Modellierungs- Einheit parallel auszuführen. Diese Ausführungsform führt in folgedessen zu einer zuverlässigen und optimierten Erkennung von Anomalitäten in dem ersten Netzwerk, womit die Sicherheit bei der Datenübertragung zwischen dem ersten Netzwerk und dem zweiten Netzwerk erhöht wird.

Gemäß einer weiteren Ausführungsform ist die Erkennungs- Einheit dazu eingerichtet, die von der ersten unidirektiona- len Übertragungs-Einheit empfangenen Daten mit den netzwerk spezifischen Daten des bereitgestellten Modells zu verglei chen, um ein Vergleichsergebnis zu erhalten, wobei die Erken nungs-Einheit dazu eingerichtet ist, aus dem erhaltenen Ver gleichsergebnis abzuleiten, ob zumindest eine Anomalität an den empfangenen Daten vorliegt.

Die Ableitung aus dem erhaltenen Vergleichsergebnis, ob eine Anomalität vorliegt, erfolgt insbesondere durch eine Schwell wertbildung an den von der Erkennungs-Einheit empfangenen Da ten und/oder einem Vergleich des Schwellwertes mit den netz werkspezifischen Daten des bereitgestellten Modells. Ferner kann die Ableitung durch eine Festlegung zumindest eines In tervalls mit zulässigen netzwerkspezifischen Daten erfolgen, in welchem angegeben wird, welche erhaltenen netzwerkspezifi schen Daten noch zulässig sind.

Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, bei einem Vorliegen der zumindest einen Anomalität an den empfangenen Daten eine Fehlermeldung umfassend die erkannte Anomalität über die zweite unidirekti- onale Übertragungs-Einheit an eine Überwachungs-Einheit, wel che in dem zweiten Netzwerk angeordnet ist oder mit diesem verbunden ist, zu übertragen.

Dadurch, dass wenn eine Anomalität vorliegt, nur eine Fehler meldung an das zweite Netzwerk, insbesondere an die Überwa- chungs-Einheit übertragen wird, wird der Daten- und/oder Netzwerkverkehr oder das Netzwerkdatenvolumen zwischen dem ersten Netzwerk und dem zweiten Netzwerk in vorteilhafter Weise signifikant reduziert. Durch die bereitgestellte Über tragungsvorrichtung ist es vorteilhaft möglich, die von dem ersten Netzwerk empfangenen Daten bereits lokal oder vor Ort in der Übertragungsvorrichtung mittels der Erkennungs-Einheit zu analysieren. Somit ist es nicht erforderlich, den gesamten Datenverkehr zur Analyse und zur Verarbeitung von dem ersten Netzwerk in ein Backend, wie das zweite Netzwerk und/oder zu der Überwachungs-Einheit, zu übertragen.

Eine Fehlermeldung ist insbesondere eine Nachricht. Die Nach richt wird vorzugsweise an die Überwachungs-Einheit und/oder einen Computer, wie einen Server oder einen Client, der mit der Überwachungs-Einheit verbunden ist, übertragen. Die Nach richt kann auch an die Übertragungsvorrichtung selbst über tragen werden. Die Überwachungs-Einheit kann als ein MSSP ("Managed Security Service Provider") ausgebildet sein.

Gemäß einer weiteren Ausführungsform sind die Erkennungs- Einheit und die Modellierungs-Einheit jeweils softwaretech nisch in Form einer Sicherheitsapplikation ausgebildet.

Die Sicherheitsapplikationen sind insbesondere isoliert von dem ersten und dem zweiten Netzwerk in der DMZ, vorzugsweise in der CPU, angeordnet. Dies führt zu einer Erhöhung der Ma nipulationssicherheit der Erkennungs-Einheit sowie der Model lierungs-Einheit, wodurch die Sicherheit bei der Datenüber tragung zwischen dem ersten und dem zweiten Netzwerk erhöht wird.

Die Übertragungsvorrichtung kann weitere Sicherheitsapplika tionen oder -anwendungen umfassen, die beispielsweise für ei ne Datenkompression oder eine Datenfilterung der von dem ers ten Netzwerk empfangenen Daten eingerichtet sind. Eine Si cherheitsapplikation oder eine Applikation ist insbesondere ein nicht betriebssystem-relevantes Computerprogramm. Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, über einen zwischen dem ersten Netzwerk und der ersten unidirektionalen Übertragungs-Einheit angeordneten Netzwerk-Switch die Daten von dem ersten Netz werk zu empfangen, wobei zumindest ein Eingang des Netzwerk- Switches zur Übertragung von Daten mit dem ersten Netzwerk verbunden ist und ein als ein Ausgang des Netzwerk-Switches ausgebildeter Spiegelungs-Port zur Übertragung von Daten mit der ersten unidirektionalen Übertragungs-Einheit verbunden ist.

Durch die Verwendung eines Netzwerk-Switches mit Spiegelungs- Port (engl, "mirror port") ist es in vorteilhafter Weise mög lich, den gesamten Datenverkehr des ersten Netzwerkes über die erste unidirektionale Übertragungs-Einheit für die Über tragungsvorrichtung bereitzustellen. Dadurch wird es in vor teilhafter Weise der Übertragungsvorrichtung ermöglicht, den Datenverkehr jedes Teilnehmers des ersten Netzwerkes zu er halten, zu überwachen und zu analysieren. Dadurch erhöht sich die Zuverlässigkeit bei der Erkennung einer Anomalität in dem ersten Netzwerk und damit die Sicherheit bei der Verarbeitung von Daten in dem ersten Netzwerk und der Übertragungsvorrich tung.

Insbesondere ist zwischen dem ersten Netzwerk und dem Netz werk-Switch ein erster Verbindungsabschnitt, zwischen dem Netzwerk-Switch und der Übertragungsvorrichtung ein zweiter Verbindungsabschnitt und zwischen der Übertragungsvorrichtung und dem zweiten Netzwerk ein dritter Verbindungsabschnitt an geordnet. Der erste Verbindungsabschnitt stellt insbesondere eine Verbindung zwischen dem ersten Netzwerk und dem Netz werk-Switch her. Der zweite Verbindungsabschnitt stellt vor zugsweise eine Verbindung zwischen dem Netzwerk-Switch und der Übertragungsvorrichtung über die erste unidirektionale Übertragungs-Einheit her. Der dritte Verbindungsabschnitt stellt beispielsweise eine Verbindung zwischen dem zweiten Netzwerk und der Übertragungsvorrichtung über die zweite un- idirektionale Übertragungs-Einheit her. Der erste, zweite und/oder dritte Verbindungsabschnitt ist insbesondere draht gebunden, beispielsweise in Form zumindest einer Kupferlei tung oder einer Aluminiumleitung, und/oder optisch in Form zumindest einer Glasfaserleitung ausgebildet. Der Netzwerk- Switch ist insbesondere als ein Switch ausgebildet.

Der Spiegelungs-Port des Netzwerk-Switches dient insbesondere dazu, den Netzwerkverkehr des ersten Netzwerkes zu spiegeln, um damit Ausschnitte oder die Gesamtheit des Daten- und/oder Netzwerkverkehrs des ersten Netzwerkes der Übertragungsvor richtung über die erste unidirektionale Übertragungs-Einheit bereitzustellen.

Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, eine Übertragung von Daten zwi schen dem ersten Netzwerk und dem zweiten Netzwerk in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO- Schichtmodell, durchzuführen.

Gemäß einer weiteren Ausführungsform umfasst das erste Netz werk ein Steuerungsnetzwerk, insbesondere ein Produktions netzwerk oder ein Bahnsicherungsnetzwerk, und das zweite Netzwerk ein Diagnosenetzwerk, ein lokales Netzwerk oder das Internet.

Das erste Netzwerk ist insbesondere als ein sicherheitskriti sches Netzwerk ausgebildet, während das zweite Netzwerk als ein offenes Netzwerk ausgebildet ist. Auch kann das erste Netzwerk als ein Netzwerk mit einer hohen Sicherheitsanforde rung bezeichnet werden, während das zweite Netzwerk als ein Netzwerk mit geringer Sicherheitsanforderung bezeichnet wird.

Ein Produktionsnetzwerk wird insbesondere in einer Produkti onsanlage verwendet. Die Produktionsanlage umfasst insbeson dere mehrere über das Produktionsnetzwerk miteinander verbun dene Maschinen und Computer. Ein Bahnsicherungsnetzwerk um fasst vorzugsweise Leit- und Sicherheitstechnik für eine Schieneninfrastruktur. Das Steuerungsnetzwerk umfasst ferner insbesondere ein Straßensicherungsnetzwerk, welches Leit- und Sicherheitstechnik für eine Straßeninfrastruktur aufweist.

Ein lokales Netzwerk umfasst beispielsweise ein LAN ("Local Area Network") und/oder ein WLAN ("Wireless Local Area Net work").

Gemäß einer weiteren Ausführungsform sind zumindest die erste unidirektionale Übertragungs-Einheit, die zweite unidirektio- nale Übertragungs-Einheit und die Erkennungs-Einheit in einem gemeinsamen Gehäuse implementiert.

Somit sind die in dieser Ausführungsform aufgeführten Kompo nenten inklusive der Übertragungsvorrichtung selbst in einem gemeinsamen Gehäuse implementiert. Ein Gehäuse oder ein ge meinsames Gehäuse ist insbesondere als ein Gehäuse eines Pro zessors oder eines Computerchips, beispielsweise in Form ei nes integrierten Schaltkreises (engl. "Integrated Circuit" (IC)), ausgebildet. Ferner ist ein Gehäuse vorzugsweise als ein gemeinsames Gehäuse eines Gerätes oder beispielsweise als eine gemeinsame Implementierung auf einem FPGA (engl. "Field Programmable Gate Array") ausgebildet.

Gemäß einer weiteren Ausführungsform sind die erste unidirek tionale Übertragungs-Einheit und die zweite unidirektionale Übertragungs-Einheit jeweils softwaretechnisch in Form einer unidirektionalen Firewall implementiert.

Bei einer softwaretechnischen Implementierung kann die jewei lige Einheit, wie beispielsweise die erste unidirektionale Übertragungs-Einheit als ein Computerprogrammprodukt, als ei ne Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.

Durch die softwaretechnische Implementierung mittels einer Firewall wird die Unidirektionalität der Datenübertragung der ersten und/oder der zweiten Übertragungs-Einheit in logischer Form erzielt. Dies bedeutet, dass die Unidirektionalität der Datenübertragung mittels einer Anwendung von Algorithmen er folgt, mittels welchen die unidirektionale Firewall so pro grammiert wird, dass jeweils nur eine unidirektionale Daten übertragung durch die erste und die zweite unidirektionale Übertragungs-Einheit möglich ist.

Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der je weiligen Grundform der Erfindung hinzufügen.

Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfin dung sind Gegenstand der Unteransprüche sowie der im Folgen den beschriebenen Ausführungsbeispiele der Erfindung. Im Wei teren wird die Erfindung anhand von bevorzugten Ausführungs formen unter Bezugnahme auf die beigelegten Figuren näher er läutert.

Fig. 1 zeigt ein schematisches Blockdiagram eines ersten Ausführungsbeispiels einer Übertragungsvorrichtung zum Übertragen von Daten; und

Fig. 2 zeigt ein schematisches Blockdiagram eines zweiten Ausführungsbeispiels einer Übertragungsvorrichtung zum Übertragen von Daten.

In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist.

Fig. 1 zeigt ein schematisches Blockdiagram eines ersten Aus führungsbeispiels einer Übertragungsvorrichtung 1 zum Über tragen von Daten zwischen einem ersten Netzwerk NW1, bei spielsweise umfassend ein Produktionsnetzwerk, und einem zweiten Netzwerk NW2, beispielsweise umfassend ein lokales Netzwerk. Diese Übertragung von Daten wird insbesondere in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO- Schichtmodell, durchgeführt. In einer weiteren Ausführungs form kann das erste Netzwerk NW1 ein Bahnsicherungsnetzwerk umfassen, während das zweite Netzwerk NW2 das Internet ist.

Die Übertragungsvorrichtung 1 weist eine mit dem ersten Netz werk NW1 koppelbare, erste unidirektionale Übertragungs- Einheit 2, eine mit dem zweiten Netzwerk NW2 koppelbare, zweite unidirektionale Übertragungs-Einheit 4 sowie eine Er kennungs-Einheit 3 auf, die zwischen der ersten unidirektio- nalen Übertragungs-Einheit 2 und der zweiten unidirektionalen Übertragungs-Einheit 4 angeordnet ist.

In der ersten Ausführungsform sind die Übertragungsvorrich tung 1 umfassend die erste unidirektionale Übertragungs- Einheit 2, die zweite unidirektionale Übertragungs-Einheit 4 und die Erkennungs-Einheit 3 in einem gemeinsamen Gehäuse 9 implementiert .

Die erste unidirektionale Übertragungs-Einheit 2 ist dazu eingerichtet, von dem ersten Netzwerk NW1 zu der Übertra gungsvorrichtung 1 übertragene Daten ausschließlich zu emp fangen, während die zweite unidirektionale Übertragungs- Einheit 4 dazu eingerichtet ist, Daten von der Übertragungs vorrichtung 1 zu dem zweiten Netzwerk NW2 ausschließlich zu senden.

In der ersten Ausführungsform der Fig. 1 sind die erste un idirektionale Übertragungs-Einheit 2 und die zweite unidirek tionale Übertragungs-Einheit 4 jeweils hardwaretechnisch in Form eines Netzwerk-TAPs implementiert. In einer weiteren Ausführungsform können die erste und die zweite unidirektio nale Übertragungs-Einheit 2, 4 jeweils hardwaretechnisch in Form einer unidirektionalen Datendiode oder jeweils software technisch in Form einer unidirektionalen Firewall implemen tiert sein. Ferner ist die Erkennungs-Einheit 3 dazu eingerichtet, die von der ersten unidirektionalen Übertragungs-Einheit 2 emp fangenen Daten zu empfangen und Anomalitäten an den empfange nen Daten zu erkennen. Hierbei umfasst eine durch die Erken nungs-Einheit 3 erkannte Anomalität insbesondere unterschied liche Anomalitätstypen, wie einen ersten Anomalitätstyp und einen zweiten Anomalitätstyp.

Fig. 2 zeigt ein schematisches Blockdiagram eines zweiten Ausführungsbeispiels einer Übertragungsvorrichtung 1 zum Übertragen von Daten.

Dabei weist die Übertragungsvorrichtung 1 eine zwischen der ersten unidirektionalen Übertragungs-Einheit 2 und der zwei ten unidirektionalen Übertragungs-Einheit 4 angeordnete CPU 6 auf, in welcher die Erkennungs-Einheit 3 sowie zusätzlich ei ne Modellierungs-Einheit 5 implementiert sind. Die Modellie rungs-Einheit 5 ist hierbei dazu eingerichtet, ein Modell MOD mit netzwerkspezifischen Daten von dem ersten Netzwerk NW1 bereitzustellen. Hierbei sind die Erkennungs-Einheit 3 und die Modellierungs-Einheit 5 beispielsweise jeweils software technisch in Form einer Sicherheitsapplikation ausgebildet.

Die Modellierungs-Einheit 5 ist insbesondere dazu eingerich tet, das Modell MOD in Abhängigkeit von Vorkonfigurationsda ten des ersten Netzwerkes NW1 bereitzustellen und/oder in Ab hängigkeit von an einem bestimmten Zeitpunkt und/oder in Ab hängigkeit von während einer bestimmten Zeitdauer von dem ersten Netzwerk NW1 über die erste unidirektionale Übertra gungs-Einheit 2 empfangenen Daten bereitzustellen. Das somit bereitgestellte Modell MOD wird anschließend der Erkennungs- Einheit 3 zur Verfügung gestellt.

In dieser zweiten Ausführungsform ist die Erkennungs-Einheit 3 dazu eingerichtet, die von der ersten unidirektionalen Übertragungs-Einheit 2 empfangenen Daten mit den netzwerkspe zifischen Daten des bereitgestellten Modells MOD zu verglei chen, um ein Vergleichsergebnis zu erhalten. Anschließend ist die Erkennungs-Einheit 3 dazu eingerichtet, aus dem erhalte nen Vergleichsergebnis abzuleiten, ob zumindest eine Anomali tät an den empfangenen Daten vorliegt. Wenn hierbei eine Ano malität vorliegt, ist die Übertragungsvorrichtung 1 dazu ein gerichtet, eine Fehlermeldung umfassend die erkannte Anomali tät über die zweite unidirektionale Übertragungs-Einheit 4 an eine Überwachungs-Einheit 7, welche in dem zweiten Netzwerk NW2 angeordnet ist, zu übertragen. In einer weiteren Ausfüh rungsform kann die Überwachungs-Einheit 7 auch mit dem zwei ten Netzwerk NW2 verbunden sein.

In Fig. 2 ist ferner zwischen dem ersten Netzwerk NW1 und der ersten unidirektionalen Übertragungs-Einheit 2 ein Netzwerk- Switch 8 angeordnet.

Die Übertragungsvorrichtung 1 ist hierbei dazu eingerichtet, über den Netzwerk-Switch 8 die Daten von dem ersten Netzwerk NW1 zu empfangen. Zumindest ein Eingang des Netzwerk-Switches 8 ist zur Übertragung von Daten mit dem ersten Netzwerk NW1 verbunden. Ein als ein Ausgang des Netzwerk-Switches 8 ausge bildeter Spiegelungs-Port SP zur Übertragung von Daten ist mit der ersten unidirektionalen Übertragungs-Einheit 2 ver bunden.

Obwohl die vorliegende Erfindung anhand von Ausführungsbei spielen beschrieben wurde, ist sie vielfältig modifizierbar.