Verfahren und Übertragungsvorrichtung zur Datenübertragung zwischen zwei oder mehreren Netzwerken

Die Erfindung betrifft ein Verfahren zur Datenübertragung zwischen mindestens einem ersten Netzwerk und wenigstens ei nem zweiten Netzwerk.

Zur sicheren Kommunikation zwischen zwei oder mehreren Netz werken, insbesondere einem sicherheitskritischen und einem offenen Netzwerk, wie z.B. einem industriellen Steuerungs netzwerk (engl. Industrial Control Network oder Operational Network) und einem klassischen IT-Netzwerk, können beispiels weise Einwegkommunikationseinheiten, wie z.B. Datendioden, eingesetzt werden, um eine unidirektionale Datenübertragung zu ermöglichen. Eine Datendiode mit Feedbackkanal, auch als bidirektionaler Network Guard oder Security Gateway bezeich net, ermöglicht einen sicheren Datentransfer zwischen zwei Informationsbereichen mit unterschiedlichen Sicherheitsstu fen. Ein Network Guard ist in der Regel eine Kombination aus Hardware und Software die eine - beispielsweise im Vergleich zu bekannten Firewalls - restriktivere Datenübertragung zwi schen Netzen ermöglicht:

Ein bidirektionaler Network Guard ist in der Regel derart aufgebaut, zwei voneinander getrennte unidirektionale Daten ströme jeweils mittels einer Datendiode zu realisieren, wobei die Datenströme in entgegengesetzte Richtung fließen. Dies erlaubt einen Datenaustausch in beide Richtungen, wobei für jede Richtung bzw. Transferstrecke jeweils die Einwegfunktion gewährleistet ist. Beispielsweise können mit einem bidirekti onalen Network Guard Daten aus einem Netzwerk mit hoher Si cherheitsanforderung in ein offenes Netzwerk mit geringer Si cherheitsanforderung bzw. vom Netzwerk mit geringer Sicher- heitsanforderung an ein Netzwerk mit hoher Sicherheitsanfor derung übermittelt werden. Bei einem Datentransfer vom Netzwerk mit geringer Sicher- heitsanforderung in das Netzwerk mit hoher Sicherheitsanfor derung ist in der Regel eine zusätzliche Prüfung bzw. Vali dierung notwendig, um die Integrität und/oder Sicherheit des Netzwerks mit hoher Sicherheitsanforderung und/oder die Netz werkverfügbarkeit zu gewährleisten.

Eine Data Capture Unit (DCU, www.siemens.com/dcu) repräsen tiert einen rückwirkungsfreien Netzwerk-Tap, über den sich kosteneffizient unidirektionale Datentransfers realisieren lassen. Über die Tap-Anschlüsse der DCU können Nachrichten rückwirkungsfrei abgegriffen und dadurch unidirektionale Übertragungsstrecken eines Network Guards realisiert werden.

In EP 19163812 ist bereits ein bidirektionales Netzwerkproto koll vorgeschlagen worden, welches einen Network Guard auf Basis von zwei getrennten unidirektionalen Übertragungsstre cken realisiert.

Es ist Aufgabe der vorliegenden Erfindung, für einen Daten austausch zwischen zwei oder mehreren Netzwerken eine Daten übertragung von dem einen in das andere Netzwerk flexibler gegenüber dem eingangs genannten Stand der Technik auszuge stalten .

Die Aufgabe wird durch die in den unabhängigen Ansprüchen be schriebenen Merkmale gelöst. In den abhängigen Ansprüchen sind vorteilhafte Weiterbildungen der Erfindung beansprucht.

Die Erfindung beansprucht ein Verfahren zur Datenübertragung zwischen mindestens einem ersten Netzwerk und wenigstens ei nem zweiten Netzwerk, wobei

a) für zumindest eine Datenübertragung zwischen dem mindes tens einem ersten Netzwerk und dem wenigstens einem zweiten Netzwerk zumindest eine Verbindung zwischen dem ersten Netz werk und dem zweiten Netzwerk aufgebaut wird und ein Datum oder Daten über eine zwischen den genannten Netzwerken ange ordneten Ressourcenzuteilungseinheit geleitet werden, wobei

b) die Ressourcenzuteilungseinheit für den Aufbau der zumin dest einen Verbindung zumindest eine mit dem zweiten Netzwerk koppelbare Netzzugangsressource, beispielsweise ein Netzwerk- karte/-adapter für WLAN und/oder Ethernet, physikalischen Schnittstellen/Steckplätze, serielle Schnittstelle, CPU etc., und eine der Netzzugangsressource vorgeordnete Einwegkommuni- kationseinheit zur Vorgabe einer rückwirkungsfreien Daten übertragungsrichtung ausschließlich zuteilt.

Die Einwegkommunikationseinheit kann beispielsweise mittels einer optischen Datendiode oder alternativ durch einen passi ven Netzwerktap einer DCU (z.B. Data Capture Unit,

www.siemens.com/dcu) ausgestaltet sein.

Mit anderen Worten ausgedrückt, kann eine oder mehrere Ver bindungien) von einem ersten Netzwerk von möglichen mehrerer ersten Netzwerken in ein oder mehrere zweite Netzwerke aufge baut werden (d.h. eine 1 zu m Beziehung) . Außerdem kann es eine oder mehrere Verbindung ( en) von einem zweiten Netzwerk von möglichen mehreren zweiten Netzwerken in ein oder mehrere erste Netzwerke aufgebaut werden (d.h. eine n zu 1 Bezie hung) . Theoretisch sind n erste und m zweite Netzwerke denk bar, die über die aufgebauten Verbindungen in eine n zu m Be ziehung treten können. Bei einem Einsatz einer DCU sind vier Ports für den Einsatz von Verbindungen zwischen Netzwerken vorgesehen. Vorzugsweise weisen die 1 bis n möglichen ersten Netzwerke eine zu erfüllende Sicherheitsanforderung auf, wo bei die 1 bis m möglichen zweiten Netzwerke eine zu den ers ten Netzwerken unterschiedliche zu erfüllende Sicherheitsan forderung aufweisen. In der Regel weisen die ersten Netzwerke eine höhere Sicherheitsanforderung auf als die zweiten Netz werke. Verbindung zwischen zwei Netzwerken mit gleicher Si cherheitsanforderung sind auch denkbar. Dadurch, dass die zu mindest eine Verbindung über eine Einwegkommunikationseinheit z.B. ein Netzwerktap, das als Datendiode ausgestaltet sein kann, aufgebaut wird, wird die Datenübertragungsrichtung vor gegeben. D.h. die Datenübertragung kann je nach Anordnung und Zuteilung der Einwegkommunikationseinheit durch die Ressour cenzuteilungseinheit, entweder von ersten zum zweiten Netz werk oder vom zweiten zum ersten Netzwerk unidirektional und somit rückwirkungsfrei gerichtet sein. Das Netzwerktap kann in die oben erwähnte DCU integriert sein.

Das Verfahren ist vorzugsweise computerimplementiert. Unter „computerimplementiert" kann im Zusammenhang mit der Erfin dung eine Implementierung des Verfahrens verstanden werden, bei dem insbesondere ein Prozessor mindestens einen Verfah rensschritt ausführt.

Eine Weiterbildung der Erfindung sieht vor, dass das mindes tens eine erste Netzwerk eine erste Sicherheitsanforderung erfüllt und das wenigstens eine zweite Netzwerk eine im Ver gleich zur ersten Sicherheitsanforderung andere zweite Si cherheitsanforderung erfüllt.

Eine Weiterbildung der Erfindung sieht vor, dass eine virtu elle Maschine für die Datenübertragung zwischen den genannten Netzwerken bereitgestellt wird, welche aus den in der Einweg kommunikationseinheit empfangenen Daten Nutzdaten rekonstru iert, wobei die Nutzdaten weitergeleitet werden.

Eine Virtuelle Maschine, abgekürzt VM, bedeutet eine soft ware-technische Kapselung eines Rechnersystems innerhalb ei nes lauffähigen Rechnersystems. Die abstrahierende Schicht zwischen einem realem oder Host- (Gastgeber-) Rechnersystem, auf dem die virtuelle Maschine ausgeführt wird, und der vir tuellen Maschine wird Hypervisor oder Virtual Machine Monitor genannt. Ihre Implementierung erfolgt rein hardwarebasiert, rein softwarebasiert oder durch eine Kombination aus beidem. Der Hypervisor erlaubt in der Regel den Betrieb mehrerer vir tueller Maschinen gleichzeitig auf einem physischen Rechner system.

Eine Weiterbildung der Erfindung sieht vor, dass eine Vali dierungseinheit (VE) bereitgestellt wird, welche der virtuel- len Maschine nachgeordnet wird/ist, wobei die Nutzdaten an hand einer vorgegebenen Regel beispielsweise auf Integrität, Authentizität, Signatur, etc. in der Validierungseinheit va lidiert und bei positiver Validierung weitergeleitet werden.

Eine Weiterbildung der Erfindung sieht vor, dass eine Daten schleuse bereitgestellt wird, welche der Validierungseinheit nachgeordnet wird/ist, wobei die Datenschleuse bei negativer Validierung die Weiterleitung der Nutzdaten unterbindet und gegebenenfalls die Nutzdaten zwischenspeichert.

Eine Weiterbildung der Erfindung sieht vor, dass die Daten schleuse wahlweise entweder eine Nutzdatenübertragung von der virtuellen Maschine zu ihr oder eine Nutzdatenübertragung von ihr zur zuteilten Netzwerkzugangsressource zulässt.

Ein weiterer Aspekt der Erfindung ist eine Übertragungsvor richtung zur Datenübertragung zwischen mindestens einem ers ten Netzwerk und wenigstens einem zweiten Netzwerk, aufwei send :

a) mindestens eine Kommunikationseinheit, die dazu ausgelegt ist, für zumindest eine Datenübertragung zwischen dem mindes tens einem ersten Netzwerk und dem wenigstens einem zweiten Netzwerk zumindest eine Verbindung zwischen dem ersten Netz werk und dem zweiten Netzwerk aufgebaut wird und ein Datum oder Daten über eine zwischen den genannten Netzwerken ange ordneten Ressourcenzuteilungseinheit geleitet werden, und aufweisend

b) die Ressourcenzuteilungseinheit für den Aufbau der zumin dest einen Verbindung, welche dazu ausgelegt ist, zumindest eine mit dem zweiten Netzwerk koppelbare Netzzugangsressource und eine der Netzzugangsressource vorgeordnete Einwegkommuni- kationseinheit zur Vorgabe einer rückwirkungsfreien Daten übertragungsrichtung ausschließlich zuzuteilen.

Eine Weiterbildung der Erfindung sieht vor, dass die Netzzu gangsressource zur seriellen Datenübertragung ausgelegt ist. Eine Eigenschaft des Verfahrens und der Übertragungsvorrich tung ist die exklusive bzw. ausschließliche Zuweisung von Netzzugangsressourcen durch die Ressourcenzuteilungseinheit an eine virtuelle Maschine. So sind die Netzzugangsressourcen - welche bidirektionale Kommunikation erlauben - exklusiv der jeweilen virtuellen Maschine zugewiesen. Auch für den Fall, dass es einem Angreifer gelingt, aus dem zweiten Netzwerk heraus die virtuelle Maschine (abgekürzt: VM) zu kontrollie ren, kann er damit nicht direkt auf Ressourcen aus dem ersten Netzwerk zugreifen, da keine eingehende (weder unidirektiona- le noch bidirektionale) Verbindung in das erste Netzwerk ge geben ist. Ein Angreifer ist in diesem Fall in der virtuellen Maschine „gefangen".

Die Erfindung ermöglicht insgesamt eine wenig aufwendige Rea lisierung eines bidirektionalen Gateways durch eine Kombina tion von Einwegkommunikationseinheiten für rückwirkungsfreie unidirektionale Übertragungs- bzw. Transferstrecken bzw. - Verbindungen und Virtualisierung für eine sichere und effizi ente technische Umsetzung von Steuerfunktionen auf nur einer Hardwareplattform.

Es kann die Data Capture Unit (DCU) als Hardwareplattform eingesetzt werden, wobei jeder VM-Instanz neben einer Netz- werkzugangssressource auch Ressourcen wie dedizierte CPU Ker ne exklusiv zugewiesen werden können.

In Summe zeichnen sich die gezeigten Ausführungsvarianten aus durch :

Sichere Netzwerkanbindung durch eingehende und ausgehen de Transferstrecken bzw. Verbindungen, wobei zumindest Teilstrecken von diesen jeweils über unidirektionale Kopplung mittels Einwegkommunikationseinheit realisiert sind .

Effiziente technische Realisierungsmöglichkeiten durch Verwendung von Taps anstelle klassischer Dioden und Ein satz von Virtualisierung zur Realisierung von Routing-, Zuteilungs- und ggf. Prüffunktionen . Eine Einheit bzw. Komponente, insbesondere eine Kommunikati onseinheit bzw. Netzwerkkomponente, kann als eine Hardware- Komponente ausgebildet sein. Eine Komponente kann einen Pro zessor umfassen.

Bei einem Prozessor kann es sich insbesondere um einen Haupt prozessor (engl. Central Processing Unit, CPU), einen Mikro prozessor oder einen Mikrokontroller, beispielsweise eine an wendungsspezifische integrierte Schaltung oder einen digita len Signalprozessor, möglicherweise in Kombination mit einer Speichereinheit zum Speichern von Programmbefehlen, etc. han deln. Bei einem Prozessor kann es sich beispielsweise auch um einen IC (integrierter Schaltkreis, engl. Integrated Circuit) oder um ein Multi-Chip-Modul handeln, insbesondere einen FPGA (engl. Field Programmable Gate Array) oder einen ASIC (anwen dungsspezifische integrierte Schaltung, engl. Application- Specific Integrated Circuit) , ein SoC (System on Chip) einen Grafikprozessor GPU (Graphics Processing Unit) , einen Prozes sor zur Auswertung eines neuronalen Netzes wie beispielsweise eine TPU (Tensor Processing Unit) oder einen DSP (Digitaler Signalprozessor, engl. Digital Signal Processor) handeln. Der Prozessor kann eine oder mehrere Rechenkerne (multi-core) aufweisen. Auch kann unter einem Prozessor ein virtualisier- ter Prozessor oder eine Soft-CPU verstanden werden. Es kann sich beispielsweise auch um einen programmierbaren Prozessor handeln, der mit Konfigurationsschritten zur Ausführung des genannten erfindungsgemäßen Verfahrens ausgerüstet wird oder mit Konfigurationsschritten derart konfiguriert ist, dass der programmierbare Prozessor die erfindungsgemäßen Merkmale des Verfahrens oder anderer Aspekte und Teilaspekte der Erfindung implementiert. Der Prozessor kann einen Tamper-Schutz zum Schutz vor physikalischen Manipulationen aufweisen, z.B. Tam- per-Sensoren zur Detektion physikalischer Angriffe.

Des Weiteren betrifft die Erfindung ein Computerprogrammpro dukt, das direkt in einen programmierbaren Computer ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte eines erfindungsgemäßen computerimplementierten Ver fahrens durchzuführen.

Ein Computerprogrammprodukt, wie zum Beispiel ein Computer programm-Mittel, kann beispielsweise als Speichermedium oder Datenträger, wie zum Beispiel als Speicherkarte, USB-Stick, CD-ROM, DVD oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder gelie fert werden.

Die Vorrichtungen, Einrichtungen, Einheiten bzw. Geräte, Mo- dule und Computerprogramm (produkte ) können entsprechend der Weiterbildungen/Ausführungsformen des vorgenannten Verfahrens und deren Weiterbildungen/Ausführungsformen und umgekehrt ausgebildet sein.

Ausführungsbeispiele des erfindungsgemäßen Verfahrens und der Übertragungsvorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:

Fig. 1 eine schematische Darstellung einer erfindungsgemäßen

Übertragungsvorrichtung, die zur Datenübertragung zwischen zwei oder mehreren Netzwerken geeignet ist.

Fig. 2 eine schematische Darstellung einer weiteren Ausfüh rungsform der erfindungsgemäßen Übertragungsvorrich tung;

Figur 1 zeigt eine Ausführungsform der erfindungsgemäßen Übertragungsvorrichtung, die zur Datenübertragung zwischen zwei oder mehreren Netzwerken geeignet ist.

Über eine erste mit einer gestrichelten Linie gekennzeichne ten Übertragungs- bzw. Transferstrecke bzw. -Verbindung kön nen ein Datum oder mehrere Daten aus einem ersten z.B. NW1 von möglichen mehreren ersten Netzwerken NW1, NW2 bis NWn, das vorzugsweise einer hohe Sicherheitsanforderung nachkommt z.B. ein Anlagennetz (z.B. mit Anlagenkomponenten C) in ein zweites Netzwerk z.B. NWB von möglichen mehreren zweiten Netzwerken NWA, NWB bis NWZ, das vorzugsweise eine gegenüber dem ersten Netzwerk niedrigere Sicherheitsanforderung erfüllt z.B. ein offenes Netzwerk (Monitoringnetzwerk mit einer Moni toringeinheit z.B. M) , übertragen werden. Umgekehrt erfolgt ein Datentransfer von einem Datum oder von mehreren Daten aus einem der möglichen zweiten Netzwerke z.B. NWB in eines der möglichen ersten Netzwerke z.B. NW1 über eine zweite mit ei ner durchgezogenen Linie gekennzeichneten Übertragungsstre cke .

Es sind jeweils mehrere solche Übertragungsstrecken denkbar. Eine Übertragungsstrecke wird im Beispiel von einem Proxy z.B. Psec des ersten Netzwerkes über eine Netzzugangsres source NW_IF z.B. eine Netzwerkkarte für Ethernet und/oder WLAN oder eine serielle Schnittstelle und über ein Netz- werktap einer Übertragungsvorrichtung NG, auch als Network Guard bezeichnet, zu einer Ressourcenzuteilungseinheit H, auch Hypervisor genannt, geführt. Von der Ressourcenzutei lungseinheit wird die Übertragungsstrecke weiter über eine Netzzugangsressource NW_IF zu einem Proxy z.B. Pop des zwei ten Netzwerkes geführt. Umgekehrt kann eine Übertragungsstre cke vom Proxy Pop über die genannten Einheiten bzw. Komponen ten zu Proxy Psec geführt werden. Hierbei werden das Datum bzw. die Daten unidirektional über die Übertragungsstrecken bzw. -pfade geleitet.

Der Network Guard realisiert und kontrolliert die unidirekti- onalen Übertragungspfade zwischen einem ersten und einem zweiten Netzwerk. Dabei umfasst der Network Guard folgende Einheiten/Komponenten, die hardware-, firmware- und/oder softwaremäßig ausgestaltet sein können: a. Netzwerktap NWTap

(mind.) zwei rückwirkungsfreie Netzwerktaps, die eine Kommunikation bzw. Datenübertragung auf ange- schlossenen Datenverbindungen nur lesen aber nicht schreiben/ändern können.

b. Netzwerkzugangseinheit NW_IF bzw. -Interface, wobei das ersten Netzwerk-Interface (bidirektional) mit dem Proxy Psec aus dem ersten Netzwerk verbunden ist .

c. Eine weitere Netzwerkzugangseinheit NW_IF, wobei das zweite Netzwerk-Interface (bidirektional) mit dem Proxy Pop aus dem zweiten Netzwerk verbunden ist .

d. Eine Virtual Maschine VM

eine erste virtuelle Maschine, über welche ein ein gehender oder ausgehender Datentransfer je nach Da tenübertragungsrichtung (unidirektional ) geregelt wird. Die virtuelle Maschine VM kann aus den aufge zeichneten Rohdaten - wie unter Proxy Psec bzw. Pop nachstehend beschrieben - die eigentlichen Nutzda ten rekonstruieren. Im vorliegenden Beispiel wird in diesem Schritt eine transferierte Datei rekon struiert. Eingehende Netzwerkpakete des Protokolls werden erkannt und weiterverarbeitet. Eine vorteil hafte erfindungsgemäße Ausprägung sieht vor, dass Pakete, die nicht dem Protokoll entsprechen, er kannt werden (diese können Hinweise auf mögliche Angriffe geben, auf die entsprechend reagiert wer den muss - etwa über Alarme und nachfolgende Aktio nen im Rahmen eines Intrusion Detection und/oder Prevention Verfahrens)

e. Hypervisor H

ein Hypervisor, welcher die Ressourcenverwaltung auf dem Network Guard regelt. Wie nachstehend be schrieben, werden Netzwerk-Interfaces und ggf. auch CPU (-Kerne) an die virtuellen Maschinen durch den Hypervisor exklusive bzw. ausschließlich zugeteilt.

Der Proxy Psec ist eine Systemkomponente, welche ausgehende Datentransfers aus dem ersten Netzwerk initiiert und einge hende Datentransfers empfängt und weiterverarbeitet bzw. wei- terleitet. Die Komponente verfügt in der Regel über einen de- dizierten Netzwerkport, welcher exklusiv mit dem Network Gu- ard, wie in den Figuren gezeigt, verbunden ist.

Nachdem der Netzwerktap nicht als Kommunikationspartner auf- treten kann (da rein passiv und rückwirkungsfrei), ist die Transferstrecke zwischen Proxy Psec und Netzwerktap strikt unidirektional ausgelegt, das über eine Hardwareeigenschaft sichergestellt werden kann. Alternativ zum Netzwerktap kann auch eine optische Datendiode eingesetzt werden, um Datum/ Daten rein unidirektional zu übertragen. Für die Datenüber tragung kann ein unidirektionales Protokoll wie z.B. UDP oder das in der eingangs erwähnten Patentanmeldung EP 19163812 be schriebene Protokoll verwendet werden. Die Kommunikation des Proxy Psec wird über den Netwerktap mitgelesen ( intercepted) und rückwirkungsfrei aufgezeichnet . Diese „Rohdaten" werden anschließend an die virtuelle Maschine VM weitergegeben.

Durch das Funktionsprinzip des Netzwerktaps ist diese Teils trecke strikt unidirektional und rückwirkungsfrei realisiert. Die eigentlichen Nutzdaten werden demzufolge in ein Network Guard Protokoll eingebettet. So kann hierüber z.B. ein Da teitransfer erfolgen.

Der Proxy Pop ist Systemkomponente, welche analog wie der Proxy Psec für eingehende Datentransfers agieren kann und demnach Datentransfer in das zweite Netzwerk initiiert und ausgehende Datentransfers empfängt und weiterverarbeitet bzw. weiterleitet. Die Komponente ist analog zum Proxy Psec aufge setzt, d.h. verfügt über eine entsprechende dedizierte Anbin dung an den Network Guard. Der Proxy Pop kann die übertrage nen Daten von der virtuellen Maschine VM abfragen. Dies kann push- oder auch pull-basiert erfolgen. Diese Teilstrecke ist in der Regel bidirektional realisiert.

Die wesentlichen Schutzziele für industrielle Anlagen, im Beispiel eines der ersten Netzwerke, sind in der Regel die Verfügbarkeit und die Integrität der Anlage (korrektes, defi niertes Systemverhalten) . Im Falle einer Anbindung an ein of fenes Netzwerk, im Beispiel eines der zweiten Netzwerke, bie tet eine strikt unidirektional realisierte ausgehende Verbin dung ein hohes Maß an Sicherheit, welches mit dem Niveau ei- ner physikalischen Netztrennung vergleichbar ist. Ein unidi- rektionaler ausgehender Datentransfer (in der Figur 1 die ge strichelte Verbindung) kann für sich alleine damit meist dau erhaft aufrechterhalten werden.

Die genannten Schutzziele sind insbesondere durch die einge hende Verbindung (in der Figur 1 die durchgezogene Transfer strecke) einem Risiko ausgesetzt. Wie im Falle von Applicati on Level Firewalls, gilt es auch hier, eingehende Transfers genauer zu überwachen, d.h. nur eingeschränkt (z.B. in Bezug auf Datentypen und -inhalte von Transfers und zeitliche Ver fügbarkeit) zu ermöglichen.

Es findet eine Datenübertragung zwischen mindestens einem ersten Netzwerk NW1 bzw. NW2 und wenigstens einem zweiten Netzwerk NWA bzw. NWB statt, wobei

a) für zumindest eine Datenübertragung zwischen dem mindes tens einem ersten Netzwerk und dem wenigstens einem zweiten Netzwerk zumindest eine Verbindung zwischen dem ersten Netz werk und dem zweiten Netzwerk aufgebaut wird (siehe vor allem die gestrichelte Transferstrecke) und ein Datum oder Daten über eine zwischen den genannten Netzwerken angeordneten Res sourcenzuteilungseinheit H geleitet werden,

wobei

b) die Ressourcenzuteilungseinheit H für den Aufbau der zu mindest einen Verbindung zumindest eine mit dem zweiten Netz werk koppelbare Netzzugangsressource NWA_IF zur Vorgabe einer rückwirkungsfreien Datenübertragungsrichtung ausschließlich zuteilt .

Figur 2 zeigt eine Ausführungsvariante, die diese Anforderun gen aufgreift und eingehende Verbindungen zusätzlich kontrol liert. Hierzu wird der Systemaufbau aus Figur 1 um folgende Einheiten bzw. Komponenten erweitert:

Validierungseinheit VE: diese übernimmt die Aufgaben der Filterung eingehender Datentransfers. Datentransfers, welche über die Virtual Machine VM eingehen, werden an die Validierungseinheit VE über host-interne Kommunika tion übergeben und von dieser anhand einer vorgebebenen Regel analysiert. Nur die Datentransfers, die die Regel erfüllen, werden akzeptiert und können in Richtung Proxy Secure später weitergegeben werden. Beispiele für solch eine Regel für die Überprüfung bzw. Validierung sind: o Signaturvalidierung für Firmware- und Software

updates

o Virus-Scans

o Nachrichtenprüfung: ähnlich zu „Deep-Packet-

Inspection"-Ansätzen von Application Level Fire walls werden regelbasiert nur selektive Re quests/Commands durchgelassen,

o Integrität

o Authentizität

Datenschleuse Gl/M:

Diese übernimmt die Funktionalität eines Schleusenrech ners. Diese kontrolliert die Verbindung zur Validie rungseinheit VE und hat damit die Steuerung über den Aufbau oder die Unterbrechung der gesamten eingehenden Transferstrecke (vom zweiten zum ersten Netzwerk) inne . D.h. der Proxy Psec steuert zusammen mit der Daten schleuse Gl/M, ob die Verbindung geschaltet oder unter brochen ist. Damit lassen sich Wartungszugänge kontrol liert aus dem ersten Netzwerk heraus temporär freischal ten .

Figur 2 zeigt eine weitere Ausführungsform der Erfindung. Ei ne Anbindung des Proxy Pop erfolgt über eine serielle

Schnittstelle S als Ausführungsform einer Netzwerkzugangsres source NW_IF. Hierdurch wird es Angreifern erschwert, Angrif fe auf den Network Guard (oder etwa den Hypervisor) über Standard-Netzwerkschnittstellen durchzuführen. Die Anbindung des Proxy Pop wird über eine Netzzugangsressource NW_IF in der Regel beibehalten. Diese Variante bietet den Vorteil, dass ausgehende Transfers mit einer höheren Transferrate durchgeführt werden können (da eine serielle Schnittelle niedrigere Transferraten im Vergleich zu Ethernet- Schnittstellen bietet) . Dies ist insbesondere dann vorteil haft, wenn eine konkrete Umsetzung einen höheren Datentrans fer aus dem ersten Netzwerk in das zweite Netzwerk erfordert und weniger und/oder seltener Daten aus dem zweiten Netzwerk in das erste Netzwerk transferiert werden müssen.

Obwohl die Erfindung im Detail durch das bevorzugte Ausfüh rungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .

Die Implementierung der vorstehend beschriebenen Prozesse o- der Verfahrensabläufe kann anhand von Instruktionen erfolgen, die auf computerlesbaren Speichermedien oder in flüchtigen Computerspeichern (im Folgenden zusammenfassend als computer lesbare Speicher bezeichnet) vorliegen. Computerlesbare Spei cher sind beispielsweise flüchtige Speicher wie Caches, Puf fer oder RAM sowie nichtflüchtige Speicher wie Wechseldaten träger, Festplatten, usw.

Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktions satz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmten Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozes soren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können ver schiedenste Verarbeitungsstrategien zum Einsatz kommen, bei spielsweise serielle Verarbeitung durch einen einzelnen Pro zessor oder Multiprocessing oder Multitasking oder Parallel verarbeitung usw. Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem ent fernten System abzulegen und darauf via Netzwerk zuzugreifen. Die Übertragungsvorrichtung kann ein oder mehrere Prozessoren aufweisen. Der Begriff "Prozessor", "zentrale Signalverarbei tung", "Steuereinheit" oder "Datenauswertemittel " , umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozessoren, digitale Signalprozessoren, anwendungsspezifische integrierte Schal tungen (ASICs), programmierbare Logikschaltungen wie FPGAs, diskrete analoge oder digitale Schaltungen und beliebige Kom binationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbeitungsmittel. Prozessoren können dabei aus einer oder mehreren Vorrichtun gen bzw. Einrichtungen bzw. Einheiten bestehen. Besteht ein Prozessor aus mehreren Vorrichtungen, können diese zur paral lelen oder sequentiellen Verarbeitung bzw. Ausführung von In struktionen ausgelegt bzw. konfiguriert sein.