Übertragungsvorrichtung zum Übertragen von Daten

Diese Anmeldung betrifft eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem ersten Netzwerk und einem zweiten Netzwerk.

Zur sicheren Kommunikation zwischen einem sicherheitskriti schen Netzwerk, wie z.B. einem industriellen Steuerungsnetz werk (engl. Industrial Control network) oder einem Bahnsiche rungsnetzwerk, und einem offenen Netzwerk, wie z.B. einem IT- Netzwerk, welches vorzugsweise als ein Büronetzwerk oder ein Diagnosenetzwerk ausgebildet ist, können beispielsweise Ein wegkommunikationseinheiten, wie z.B. Datendioden, eingesetzt werden, um eine unidirektionale Datenübertragung zu ermögli chen .

Eine Datendiode mit einem Feedbackkanal wird auch als bidi rektionaler Network Guard oder Security Gateway bezeichnet. Eine solche Datendiode ermöglicht einen sicheren Datentrans fer zwischen zwei Informationsbereichen mit unterschiedlichen Sicherheitsstufen. Ein entsprechender Network Guard ist in der Regel eine Kombination aus Hardware und Software.

Ein bidirektionaler Network Guard ist grundsätzlich derart aufgebaut, dass zwei voneinander getrennte unidirektionale Datenströme jeweils mittels einer Einwegkommunikationsein richtung realisiert werden, wobei die Datenströme in entge gengesetzte Richtungen fließen. Dies erlaubt einen Datenaus tausch in beide Richtungen, wobei jeweils die Einwegfunktion gewährleistet ist. Beispielsweise können mit einem bidirekti onalen Network Guard Daten aus einem Netzwerk mit hoher Si cherheitsanforderung in ein offenes Netzwerk mit geringer Si cherheitsanforderung bzw. vom Netzwerk mit geringer Sicher- heitsanforderung an ein Netzwerk mit hoher Sicherheitsanfor derung übermittelt werden. Jedoch ist unter bestimmten Voraussetzungen eine Manipulation dieser bidirektionalen Network Guards möglich und/oder beim Betrieb des bidirektionalen Network Guards können Fehler auf- treten .

Darüber hinaus soll der Network Guard sicherstellen, dass vom Netzwerk mit geringer Sicherheitsanforderung keine beliebigen Daten an das Netzwerk mit hoher Sicherheitsanforderung über mittelt werden können.

Aus diesem Grund implementiert der Network Guard dafür Prü fungsmechanismen, um nur freigegebene oder speziell markierte Daten für die Übertragung aus dem Netzwerk mit geringer Si cherheitsanforderung in das Netzwerk mit hoher Sicherheitsan forderung zuzulassen.

Das impliziert, dass der Network Guard gegenüber Angriffen aus dem Netzwerk mit geringer Sicherheitsanforderung abgesi chert sein muss.

Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, Mittel bereitzustellen, die Sicherheit bei der Übertragung von Daten durch die Übertragungsvorrichtung zwischen einem ersten Netzwerk und einem zweiten Netzwerk zu erhöhen .

Gemäß einem ersten Aspekt wird eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem ersten Netzwerk und einem zweiten Netzwerk vorgeschlagen, wobei die Übertragungs vorrichtung umfasst:

eine erste Kommunikationseinrichtung mit einer ersten Schnittstelleneinrichtung zum Koppeln an das erste Netzwerk, einem internen Empfangsport zum Empfangen von Nachrichten und einem internen Sendeport zum Senden von Nachrichten,

eine zweite Kommunikationseinrichtung mit einer zweiten Schnittstelleneinrichtung zum Koppeln an das zweite Netzwerk einem internen Empfangsport zum Empfangen von Nachrichten und einem internen Sendeport zum Senden von Nachrichten, eine erste Einwegkommunikationseinrichtung mit einem in ternen Empfangsport zum Empfangen von Nachrichten von der ersten Kommunikationseinrichtung und einem internen Sendeport zum Senden von Nachrichten an die zweite Kommunikationsein richtung; und

eine zweite Einwegkommunikationseinrichtung mit einem internen Empfangsport zum Empfangen von Nachrichten von der zweiten Kommunikationseinrichtung und einem internen Sende port zum Senden von Nachrichten an die erste Kommunikations einrichtung;

wobei zumindest eine ausgewählte Kommunikations- oder Einwegkommunikationseinrichtung eingerichtet ist, über ihren internen Sendeport eine Prüfnachricht zu senden und an ihrem internen Empfangsport die über die anderen Kommunikationsein richtungen und Einwegkommunikationseinrichtungen intern zu der ausgewählten Kommunikations- oder Einwegkommunikations einrichtung zurück übertragenen und/oder mit Prüfdaten er gänzten Prüfnachricht zum Bestimmen eines Betriebszustands der Übertragungsvorrichtung auszuwerten.

Die bereitgestellte Übertragungsvorrichtung ist selbstständig dazu in der Lage bei einem Auftreten zumindest eines Fehlers in der Übertragungsvorrichtung, diesen zu detektieren und zu identifizieren sowie zu lokalisieren, in welchem Bauteil der Übertragungsvorrichtung und/oder zwischen welchen Bauteilen der Übertragungsvorrichtung dieser Fehler auftritt oder vor handen ist. Im Detail kann hierbei jede Kommunikations- und Einwegkommunikationseinrichtung der Übertragungsvorrichtung selbständig testen, ob zumindest ein Fehler auf dem Übertra gungsweg zwischen den einzelnen Kommunikations- und/oder Ein wegkommunikationseinrichtungen oder in einer der Kommunikati ons- oder Einwegkommunikationseinrichtungen auftritt. Falls ein Fehler auftritt, kann jede Kommunikations- und Einwegkom munikationseinrichtung selbstständig testen, in welchem Bau teil, also in welcher Kommunikations- oder Einwegkommunikati onseinrichtung oder zwischen welchen Kommunikations- oder Einwegkommunikationseinrichtungen der Fehler auftritt. Ob ein Fehler auftritt und wo dieser lokalisiert ist wird insbeson- dere durch das Auswerten des Betriebszustandes der Übertra gungsvorrichtung ermittelt.

Dies hat den Vorteil, dass bei einer Selbstüberprüfung der Übertragungsvorrichtung, beispielsweise beim Start, zuverläs sig überprüft werden kann, ob die Übertragungsvorrichtung korrekt funktioniert. Falls ein Fehler detektiert wird, wird vorteilhafter Weise der Administrator oder der Benutzer der Übertragungsvorrichtung darüber informiert, welcher anschlie ßend Maßnahmen zur Fehlerbehebung einleiten kann. Dies erhöht die Zuverlässigkeit und Sicherheit beim Betrieb der Übertra gungsvorrichtung .

Ein weiterer Vorteil der Übertragungsvorrichtung ist, dass durch die automatische Fehlerlokalisierung der Übertragungs vorrichtung die Zeit für die Fehlersuche, falls ein Fehler in der Übertragungsvorrichtung auftritt, für den Administrator reduziert wird. Dies erhöht die Benutzerfreundlichkeit beim Betrieb der Übertragungsvorrichtung.

Ein weiterer Vorteil der Übertragungsvorrichtung ist, dass wenn die Selbstüberprüfung zentral von der ausgewählten ein zigen Kommunikations- oder Einwegkommunikationseinrichtung durchgeführt wird, sich der interne Datenstrom zur Überprü fung ob ein Fehler vorliegt, insbesondere der Overhead bei der durch die Übertragungsvorrichtung übertragenen Daten, verringert. Dies erhöht die Zuverlässigkeit beim Betrieb der Übertragungsvorrichtung .

Ein weiterer Vorteil der Übertragungsvorrichtung ist, dass die Auswertung des Betriebszustandes, insbesondere die Daten die bei der Auswertung entstehen, geloggt und gespeichert werden, um diese dem Administrator oder Benutzer der Übertra gungsvorrichtung bereitzustellen. Dadurch kann zu jedem Zeit punkt nachvollzogen werden, welche Fehler wann und wo aufge treten sind. Dies erhöht die Benutzerfreundlichkeit und ver bessert die Fehlerkorrektur, da Maßnahmen, welche bei bereits aufgetretenen Fehlern eingeleitet wurden, schnell zur Verfü gung stehen.

Die Übertragungsvorrichtung ist insbesondere als ein bidirek tionaler Network Guard oder als ein Security Gateway ausge bildet. Der bidirektionale Network Guard ist vorzugsweise hardwaretechnisch und/oder softwaretechnisch implementiert.

Das erste Netzwerk umfasst insbesondere ein industrielles Steuerungsnetzwerk, wie eine Produktionsanlage, ein Automati sierungssystem oder ein Windparknetzwerk. Beispielsweise kann das erste Netzwerk durch eine erste Schnittstelleneinrichtung an die erste Kommunikationseinrichtung gekoppelt werden. Das zweite Netzwerk ist insbesondere ein IT-Netzwerk, welches als ein Büro- oder als ein Überwachungsnetzwerk ausgebildet ist.

Ein Fehler ist insbesondere eine defekte Kommunikations- oder Einwegkommunikationseinrichtung und/oder ein Bauteil inner halb der Kommunikations- oder Einwegkommunikationseinrich tung. Weiterhin handelt es sich um einen Fehler, wenn ein in terner Kommunikationslink (eine Verbindung) zwischen einer Kommunikationseinrichtung und einer Einwegkommunikationsein richtung beispielsweise defekt ist.

Der interne Empfangsport und der interne Sendeport sind ins besondere hardwaretechnisch und/oder softwaretechnisch imple mentiert .

Insbesondere werden Daten, welche von dem ersten Netzwerk zu dem zweiten Netzwerk übertragen werden, von der ersten Kommu nikationseinrichtung über die erste Einwegkommunikationsein richtung zu der zweiten Kommunikationseinrichtung übertragen. Insbesondere werden Daten, die von dem zweiten Netzwerk zu dem ersten Netzwerk übertragen werden, von der zweiten Kommu nikationseinrichtung über die zweite Einwegkommunikationsein richtung zu der ersten Kommunikationseinrichtung übertragen. Die Prüfnachricht ist insbesondere eine Nachricht. Unter ei ner Nachricht wird vorliegend insbesondere ein digitaler Da tensatz, beispielsweise eine Folge von Nullen und Einsen, die auch als Bits bezeichnet werden, mit einer bestimmten Länge verstanden .

Wenn vorzugsweise eine über ihren internen Sendeport einer ausgewählten Kommunikations- oder Einwegkommunikationsein richtung gesendete Prüfnachricht an dem internen Empfangsport der ausgewählten Kommunikations- oder Einwegkommunikations einrichtung empfangen wird, kann ein Betriebszustand der Übertragungsvorrichtung, insbesondere der jeweiligen Kommuni kations- und/oder Einwegkommunikationseinrichtung, ausgewer tet werden.

Die jeweilige Einrichtung, zum Beispiel eine Kommunikations einrichtung, Schnittstelleneinrichtung und/oder Einwegkommu nikationseinrichtung, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretech nischen Implementierung kann die jeweilige Einrichtung als Vorrichtung oder als Teil einer Vorrichtung ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jewei lige Einrichtung als Computerprogrammprodukt, als eine Funk tion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.

Gemäß einer Ausführungsform ist zwischen einem jeweiligen in ternen Sendeport und einem jeweiligen internen Empfangsport ein interner physischer Kommunikationslink PHY angeordnet, welcher in einer Übertragungsschicht, Schicht 1, gemäß dem OSI/ISO-Schichtenmodell ausgebildet ist.

Gemäß einer weiteren Ausführungsform ist zumindest einer der internen Kommunikationslinks als ein unidirektionaler Kommu nikationslink nach einem Ethernet-Standard, einem SDI- Standard, eine physikalische Leiterverbindung, insbesondere eine optische Faserleitung und/oder eine Leiterbahn, ausge bildet . Dadurch, dass zumindest einer der internen Kommunikations- links als ein unidirektionaler Kommunikationslink ausgebildet ist, wird in vorteilhafter Weise sichergestellt, dass die Da tenübertragung zwischen, beispielsweise der ersten Kommunika tionseinrichtung und der ersten Einwegkommunikationseinrich tung, nur von dem Sender zu dem Empfänger, also ausschließ lich von der ersten Kommunikationseinrichtung zu der ersten Einwegkommunikationseinrichtung, übertragen wird und nicht umgekehrt. Dies erhöht die Manipulationssicherheit und die Sicherheit bei der Datenübertragung innerhalb der Übertra gungsvorrichtung .

Vorzugsweise ist ein erster interner Kommunikationslink zwi schen der ersten Kommunikationseinrichtung und der ersten Einwegkommunikationseinrichtung angeordnet. Weiterhin ist insbesondere ein zweiter interner Kommunikationslink zwischen der ersten Einwegkommunikationseinrichtung und der zweiten Kommunikationseinrichtung angeordnet. Beispielsweise ist ein dritter interner Kommunikationslink zwischen der zweiten Kom munikationseinrichtung und der zweiten Einwegkommunikations einrichtung angeordnet. Vorzugsweise ist ein vierter interner Kommunikationslink zwischen der zweiten Einwegkommunikations einrichtung und der ersten Kommunikationseinrichtung angeord net. Beispielsweise können der erste und der zweite interne Kommunikationslink ausschließlich dazu verwendet werden, um Daten von dem ersten Netzwerk über die erste Einwegkommunika tionseinrichtung zu dem zweiten Netzwerk zu übertragen. Ins besondere können der dritte und der vierte Kommunikationslink ausschließlich dazu verwendet werden, um Daten von dem zwei ten Netzwerk über die zweite Einwegkommunikationseinrichtung zu dem ersten Netzwerk zu übertragen. Insbesondere bilden der erste und der zweite interne Kommunikationslink eine unidi- rektionale Verbindung von dem ersten Netzwerk zu dem zweiten Netzwerk, während der dritte und der vierte interne Kommuni kationslink eine ausschließliche Verbindung von dem zweiten Netzwerk zu dem ersten Netzwerk bilden. Insbesondere sind der erste, zweite, dritte und vierte interne Kommunikationslink eingerichtet, eine Prüfnachricht oder Daten, welche jeweils über diesen übertragen wird oder werden, nur in einer unidi- rektionalen Richtung zu übertragen.

Der Ethernet-Standard umfasst insbesondere 10-Mbit/s- Ethernet, 100-Mbit/s-Ethernet, Gigabit-Ethernet, 2.5 und 5Gbit-Ethernet und/oder 1 OGbit/s-Ethernet .

Der "Serial digital interface" (SDI ) -Standard ist insbesondere eine serielle digitale Schnittstelle zur Übertragung von Da ten über eine physikalische Leiterverbindung.

Unter einer Leiterbahn wird insbesondere eine physikalische Leiterverbindung verstanden, bei welchem das Medium zum Über tragen von Daten aus metallischen Materialen, wie vorzugswei se Kupfer, Aluminium, Gold oder Silber, ausgebildet ist.

Unter einer optische Faserleitung wird beispielsweise eine physikalische Leiterverbindung verstanden, bei welcher das Medium zum Übertragen der Daten Licht ist. Hierbei werden insbesondere aus Lichtleitern ausgebildete Lichtwellenleiter und Lichtleitkabel verwendet.

Gemäß einer weiteren Ausführungsform ist zumindest eine der Kommunikations- oder Einwegkommunikationseinrichtungen als eingebettete Prozessorkarte, als System-on-Chip, insbesondere ARM-basiert, oder als ein Computer eingerichtet.

Advanced Risk Machine (ARM) ist insbesondere ein Mikropro zessordesign. Insbesondere können einzelne Funktionsblöcke, wie CPU-Kerne einer ARM-basierten CPU, zu einem System-on- Chip-Baustein konfiguriert werden.

Gemäß einer weiteren Ausführungsform ist jede Kommunikations und Einwegkommunikationseinrichtung eingerichtet, über ihren internen Sendeport eine Prüfnachricht zu senden und an ihrem internen Empfangsport die über die anderen Kommunikations und Einwegkommunikationseinrichtungen und internen Kommunika- tionslinks zu der ausgewählten Kommunikations- oder Einweg- kommunikationseinrichtung aus den jeden Kommunikations- und Einwegkommunikationseinrichtungen zurück übertragenen, und insbesondere mit Prüfdaten ergänzten, Prüfnachricht zum Be stimmen eines Betriebszustands der Übertragungsvorrichtung auszuwerten .

Dadurch, dass jede Kommunikations- und Einwegkommunikations einrichtung ihre eigene Prüfnachricht sendet, kann jede Kom munikations- und Einwegkommunikationseinrichtung selbststän dig die Selbstüberprüfung durchführen. Insbesondere wenn eine Prüfnachricht, welche von einer der jeden Kommunikationsein richtungen gesendet wurde und an dieser wieder erneut unver ändert empfangen wird, ist kein Fehler in der Übertragungs vorrichtung auf dem Übertragungsweg zwischen den einzelnen Kommunikations- und den Einwegkommunikationseinrichtungen aufgetreten. Dies hat den Vorteil, dass zuverlässig ein Feh ler auf dem Übertragungsweg oder eine Manipulation einer der internen Kommunikationslinks und/oder einer der Kommunikati ons- oder Einwegkommunikationseinrichtungen erkannt werden kann. Dies erhöht die Zuverlässigkeit bei der Datenübertagung mittels der Übertragungsvorrichtung.

Die Prüfdaten werden insbesondere dazu verwendet, einen Be triebszustand der Übertragungsvorrichtung zu bestimmen und diesen auszuwerten. Die Prüfdaten umfassen zumindest eine In formation des Senders bzw. Erzeugers der Prüfnachricht und beispielsweise eine spezifische Sicherheitsinformation. Die spezifische Sicherheitsinformation kann als eine Nonce (also eine Zufallszahl) ausgebildet sein. Die spezifische Sicher- heitsinformation kann ferner als ein Zeitstempel ausgebildet sein. Die Nonce wird vorzugsweise als Sitzungs- Identifikationsnummer verwendet. Die spezifische Sicher- heitsinformation kann auch als spezifische Prüfdaten, welche innerhalb der Prüfnachricht ausgebildet sind, bezeichnet wer den .

Die spezifische Sicherheitsinformation und die Information des Senders bzw. Erzeugers der Prüfnachricht werden für die Auswertung des Betriebszustandes der Übertragungsvorrichtung verwendet. Bei der Auswertung findet insbesondere ein Ab gleich der an dem internen Empfangsport der Kommunikations oder Einwegkommunikationseinrichtung empfangenen Prüfnach richt mit der erwarteten Prüfnachricht statt, um als Resultat des Abgleichs ein Auswerteergebnis zu erhalten. Die erwartete Prüfnachricht ist vorzugsweise die Prüfnachricht, welche ur sprünglich von der Kommunikations- oder Einwegkommunikations einrichtung gesendet wurde. Stimmt die empfangene Prüfnach richt mit der erwarteten Prüfnachricht überein, ist dies bei spielsweise ein Indiz dafür, dass die Übertragungsvorrichtung korrekt arbeitet.

Gemäß einer weiteren Ausführungsform umfasst die Übertra gungsvorrichtung ferner eine Zwischenspeichereinrichtung zum Speichern eines Auswerteergebnisses.

Insbesondere wird die empfangene Prüfnachricht, welche an der ersten oder zweiten Kommunikationseinrichtung und/oder der ersten oder zweiten Einwegkommunikationseinrichtung empfangen wird, zum Bestimmen eines Betriebszustandes der Übertragungs vorrichtung ausgewertet, um ein Auswerteergebnis zu erhalten. Das Auswerteergebnis wird insbesondere mittels der Zwischen speichereinrichtung der Übertragungsvorrichtung abgespei chert. Die Zwischenspeichereinrichtung ist insbesondere hard waretechnisch und/oder softwaretechnisch implementiert.

Gemäß einer weiteren Ausführungsform ist die ausgewählte Kom munikations- oder Einwegkommunikationseinrichtung eingerich tet, eine jeweilige Prüfnachricht zu erzeugen, welche zumin dest Identifizierungsinformation zum Identifizieren der aus gewählten Kommunikations- oder Einwegkommunikationseinrich tung und/oder zumindest für die gesendete Prüfnachricht spe zifische Prüfdaten umfasst.

Die Identifizierungsinformation zum Identifizieren der ausge wählten Kommunikations- oder Einwegkommunikationseinrichtung umfasst insbesondere eine Information über den Erzeuger und/oder den Erzeuger der jeweiligen Prüfnachricht .

Gemäß einer weiteren Ausführungsform ist die ausgewählte Kom- munikations- oder Einwegkommunikationseinrichtung eingerich tet, die Prüfnachricht und/oder die Prüfdaten mittels einer kryptographischen Prüfsumme zu versehen.

Gemäß einer weiteren Ausführungsform ist zumindest eine der anderen Kommunikations- oder Einwegkommunikationseinrichtun gen eingerichtet, eine an ihrem internen Empfangsport empfan gene mit einer kryptographischen Prüfsumme versehene Prüf nachricht und/oder mit einer kryptographischen Prüfsumme ver sehene Prüfdaten mittels eines öffentlichen Schlüssels oder eines symmetrischen Schlüssels der ausgewählten Kommunikati ons- oder Einwegkommunikationseinrichtung, zu validieren.

Durch die bereitgestellte Validierung der Prüfnachricht mit tels kryptographischer Schlüssel ist es in vorteilhafter Wei se möglich, zu verifizieren, dass die Prüfnachricht tatsäch lich von der Kommunikations- oder Einwegkommunikationsein richtung ist, welche behauptet, dass sie die Prüfnachricht gesendet hat, und andererseits in vorteilhafter Weise zu va lidieren, ob die Integrität der Nachricht gewährleistet ist. Insbesondere ist die Integrität der Prüfnachricht dann ge währleistet, wenn die Prüfnachricht während der Übertragung von zumindest einem internen Sendeport zu einem internen Emp fangsport nicht unerwünscht modifiziert oder verändert wurde. Dies erhöht die Sicherheit bei der Datenübertragung zwischen dem ersten Netzwerk und dem zweiten Netzwerk.

Ein kryptographischer Schlüssel ist insbesondere ein öffent licher, ein privater oder ein symmetrischer kryptographischer Schlüssel. Hierbei wird der private Schlüssel der ausgewähl ten Kommunikations- oder Einwegkommunikationseinrichtung ver wendet, um mittels diesem die Prüfnachricht mit einer krypto- graphischen Prüfsumme zu versehen. Alternativ kann hierbei auch ein symmetrischer Schlüssel verwendet werden.

Unter einer digitalen Signatur wird vorliegend insbesondere ein digitales Signaturverfahren verstanden, bei welchem ein Sender, beispielsweise die erste ausgewählte Kommunikations oder Einwegkommunikationseinrichtung, mittels ihres privaten Schlüssels die Prüfnachricht und/oder die Prüfdaten signiert. Das Signieren umfasst die Berechnung einer krypographischen Prüfsumme, welche insbesondere Teil der Prüfnachricht ist und/oder der Prüfnachricht angehängt wird. Mittels dieser Prüsumme kann vorzugsweise ein Empfänger, beispielsweise eine der anderen Kommunikations- oder

Einwegkommunikationseinrichtungen, die Authentizität der ausgewählten Kommunikations- oder Einweg

kommunikationseinrichtung und die Integrität der

Prüfnachricht mittels des öffentlichen Schlüssels der

ausgewählten Kommunikations- oder Einweg

kommunikationseinrichtung überprüfen. Das digitale Signieren oder das digitale Signaturverfahren kann mittels

Cryptographic Message Syntax (CMS) umgesetzt sein.

Ein öffentlicher Schlüssel ist vorzugsweise ein krypto- grafischer Schlüssel. Insbesondere ist der öffentliche

Schlüssel nicht geheim. Mittels des öffentlichen Schlüssels können insbesondere zumindest digitale Signaturen geprüft werden. Hierbei kann ein öffentlicher Schlüssel eindeutig einer Kommunikations- oder Einwegkommunikationseinrichtung, wie beispielsweise der ausgewählten Kommunikations- oder Einwegkommunikationseinrichtung, zugeordnet werden. Der öffentliche Schlüssel wird insbesondere mittels eines

Fingerprints (beispielsweise ein Hashwert) eindeutig

gekennzeichnet .

Der private Schlüssel einer Kommunikations- oder Einweg kommunikationseinrichtung, wie beispielsweise der

ausgewählten Kommunikations- oder Einweg

kommunikationseinrichtung, wird vorzugsweise zum Signieren der Prüfnachricht und/oder der Prüfdaten verwendet bzw. dafür verwendet, um die Prüfnachricht und/oder die Prüfdaten mit einer krypographischen Prüfsumme zu versehen. Insbesondere verfügt nur die ausgewählte Kommunikations- oder

Einwegkommunikationseinrichtung über den privaten Schlüssel zum digitalen Signieren der Prüfnachricht und/oder der

Prüfdaten. Der private Schlüssel einer Kommunikations- oder Einwegkommunika-tionseinrichtung, wie der ausgewählten

Kommunikations- oder Einwegkommunikationseinrichtung ist insbesondere geheim. Somit haben die anderen Kommunikations oder Einwegkommunikations-einrichtungen keine Informationen über den geheimen privaten Schlüssel der ausgewählten

Kommunikations- oder Einwegkom-munikationseinrichtung .

Insbesondere wird, alternativ zu privaten und öffentlichen kryptografischen Schlüsseln, ein symmetrischer Schlüssel zur Erzeugung eines Message Authentication Codes (MAC) verwendet, wie beispielsweise HMAC-SHA256. Dabei wird der symmetrische Schlüssel vorzugsweise zum Signieren und zum Validieren der Prüfnachricht und/oder der Prüfdaten verwendet.

Die Prüfnachricht, insbesondere die Prüfdaten der Nachricht, also die Identifizierungsinformation sowie die spezifischen Prüfdaten, werden vorzugsweise mit einer kryptographischen Prüfsumme versehen. Die krypographische Prüfsumme kann durch HMAC, durch einen symmetrischen Schlüssel oder durch die Verwendung eines öffentlichen-privaten Schlüsselpaars erzeugt werden .

Gemäß einer weiteren Ausführungsform ist jede der anderen Kommunikations- oder Einwegkommunikationseinrichtungen einge richtet, einer empfangenen Prüfnachricht Prüfdaten hinzuzufü gen, insbesondere eine der jeweiligen die Prüfnachricht emp fangende Kommunikations- oder Einwegkommunikationseinrichtun gen zugeordnete Prüfdaten hinzuzufügen.

Gemäß einer weiteren Ausführungsform ist ausschließlich die ausgewählte Kommunikations- oder Einwegkommunikationseinrich- tung als Master-Einrichtung eingerichtet, eine Prüfnachricht zu erzeugen und zu versenden, wobei die anderen Kommunikati- ons- oder Einwegkommunikationseinrichtungen als Slave- Einrichtungen den jeweiligen empfangenen Prüfnachrichten Prüfdaten hinzuzufügen und diese weiterleiten.

Dadurch, dass der von der Master-Einrichtung erzeugten Prüf nachricht Prüfdaten hinzugefügt werden und die Prüfnachricht lediglich über die anderen Kommunikations- oder Einwegkommu nikationseinrichtungen weitergeleitet und zu der Master- Einrichtung zurückübertragen wird, verringert sich der Over- head der durch die Übertragungsvorrichtung übertragenen Da ten. Somit wird die Übertragungsvorrichtung weniger belastet, da weniger Daten beim Bestimmten des Betriebszustandes der Übertragungsvorrichtung durch den obigen Ansatz anfallen.

Dies führt zu einem stabileren und zuverlässigeren Betrieb bei der Datenübertragung unter Verwendung der Übertragungs vorrichtung .

Die zugeordnete Sicherheitsinformation umfasst insbesondere eine Nonce (also eine Zufallszahl) oder einen Zeitstempel.

Die zugeordnete Sicherheitsinformation kann auch als spezifi sche Prüfdaten, welche innerhalb der Prüfnachricht ausgebil det sind, bezeichnet werden.

Insbesondere ist bei diesem Ansatz eine ausgewählte Kommuni kations- oder Einwegkommunikationseinrichtung als eine Mas ter-Einrichtung ausgebildet, welche eine Prüfnachricht er zeugt und versendet. Die anderen Kommunikations- oder Einweg kommunikationseinrichtungen der Übertragungsvorrichtung sind in diesem Fall jeweils als eine Slave-Einrichtung ausgebil det. Jede Slave-Einrichtung hängt ihre eigene zugeordneten Prüfdaten der von der Master-Einrichtung initiierten Prüf nachricht an. Wenn die Master-Einrichtung nicht die eigene Prüfnachricht empfängt, welche die Informationen umfasst, die bei der Erzeugung der Prüfnachricht angehängt wurden sowie jeweils von den Slave-Einrichtungen ergänzt wurden, ist dies ein Indiz dafür, dass eine der anderen Kommunikations- oder Einwegkommunikationseinrichtungen oder eine der physischen internen Kommunikationslinks manipuliert wurde und/oder feh lerhaft ist und nicht mehr korrekt funktioniert.

Gemäß einer weiteren Ausführungsform ist jede der anderen Kommunikations- oder Einwegkommunikationseinrichtungen einge richtet, eine empfangene Prüfnachricht ausschließlich weiter zuleiten .

Hierbei wird insbesondere eine einzige Prüfnachricht jeweils empfangen und über jede der anderen Kommunikations- oder Ein wegkommunikationseinrichtungen weitergeleitet, bis diese wie der an dem internen Empfangsport des Senders und/oder des Er zeugers der Prüfnachricht, wie der ausgewählten Kommunikati ons- oder Einwegkommunikationseinrichtungen, empfangen wird.

Wenn beispielsweise der Erzeuger der Prüfnachricht die ausge wählte Kommunikations- oder Einwegkommunikationseinrichtung, welche als die erste Kommunikationseinrichtung ausgebildet ist, wird diese zuerst über die erste Einwegkommunikations einrichtung unidirektional zu der zweiten Kommunikationsein richtung weitergeleitet. Von dort aus wird die Prüfnachricht über die zweite Einwegkommunikationseinrichtung weitergelei tet und zu der ersten Kommunikationseinrichtung zurück über tragen. Vorzugsweise empfängt die erste Kommunikationsein richtung nach genau drei Weiterleitungen, nämlich über die erste Einwegkommunikationseinrichtung, die zweite Kommunika tionseinrichtung und die zweite Einwegkommunikationseinrich tung, wieder die erzeugte und gesendete Prüfnachricht .

Gemäß einer weiteren Ausführungsform sind die Kommunikations und Einwegkommunikationseinrichtungen derart mit Hilfe der internen Kommunikationslinks miteinander gekoppelt, dass eine jeweilige Prüfnachricht von allen anderen Kommunikations- o- der Einwegkommunikationseinrichtungen empfangen wird.

Dies führt in vorteilhafter Weise dazu, dass es möglich ist, dass jede einzelne Kommunikations- oder Einwegkommunikations- einrichtung eine jeweilige Prüfnachricht senden, weiterleiten und/oder empfangen kann. Dies erhöht die Zuverlässigkeit bei der Datenübertragung innerhalb der Übertragungsvorrichtung.

Gemäß einer weiteren Ausführungsform ist die ausgewählte Kom- munikations- oder Einwegkommunikationseinrichtung eingerich tet, die Prüfnachricht zu vorgegebenen Zeitpunkten zu erzeu gen und über ihren internen Sendeport zu versenden, insbeson dere bei einem Hochfahren der Übertragungsvorrichtung.

Dies hat den Vorteil, dass durch den Administrator oder Be nutzer festgelegt werden kann, zu welchen Zeitpunkten die Selbstüberprüfung der Übertragungsvorrichtung durchgeführt werden soll. Das erhöht die Sicherheit bei der Datenübertra gung innerhalb der Übertragungsvorrichtung sowie die Wahr scheinlichkeit der Detektion von Manipulationen oder Fehlern.

Weiterhin sind andere vorgegebene Zeitpunkte möglich, wie beispielsweise regelmäßig in vorbestimmten Zeitintervallen, wie z. B. jede Stunde oder jeden Tag, und/oder unregelmäßig bei einer Benutzereingabe des Administrators.

Gemäß einer weiteren Ausführungsform sind die erste Einweg kommunikationseinrichtung und die zweite Einwegkommunikati onseinrichtung als eine einzige Kommunikationseinrichtung in tegriert .

Es ist insbesondere möglich die Einwegkommunikationseinrich tungen in einem Core-Board zu implementieren. Dies führt da zu, dass anstatt zwei verschiedene Einwegkommunikationsein richtungen, wie die erste und die zweite Einwegkommunikati onseinrichtung, lediglich eine einzige Einwegkommunikations einrichtung verwendet wird. Dies führt zu dem Vorteil, dass sich die Ausfallsicherheit und somit die Zuverlässigkeit der Übertragungsvorrichtung erhöht. Die vorgenannten Einwegkommunikationseinrichtungen können zur Ausbildung der Übertragungsvorrichtung als eine körperliche Einheit mit festen internen Verbindungen ausgebildet werden.

Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Aus führungs formen . Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der je weiligen Grundform der Erfindung hinzufügen.

Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfin dung sind Gegenstand der Unteransprüche sowie der im Folgen den beschriebenen Ausführungsbeispiele der Erfindung. Im Wei teren wird die Erfindung anhand von bevorzugten Ausführungs formen unter Bezugnahme auf die beigelegten Figuren näher er läutert .

Fig. 1 zeigt ein schematisches Blockdiagram eines Ausfüh rungsbeispiels einer Übertragungsvorrichtung;

Fig. 2 zeigt ein schematisches Ablaufdiagram eines Ausfüh rungsbeispiels zum Bestimmen eines Betriebszustan des der Übertragungsvorrichtung nach Fig. 1;

Fig . 3 zeigt ein schematisches Ablaufdiagram eines weite ren Ausführungsbeispiels zum Bestimmen eines Be triebszustandes der Übertragungsvorrichtung nach Fig. 1; und

Fig. 4 zeigt schematische Blockdiagramme mehrerer mit

kryptographischer Prüfsumme versehene Prüfnachrich- ten jeweils umfassend unterschiedliche Prüfdaten.

In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. Die Fig. 1 zeigt ein schematisches Blockdiagram eines Ausfüh rungsbeispiels einer Übertragungsvorrichtung 1 zum Übertragen von Daten zwischen einem ersten Netzwerk NW1 und einem zwei ten Netzwerk NW2. Die Übertragungsvorrichtung 1 der Fig. 1 umfasst eine erste Kommunikationseinrichtung 2, eine zweite Kommunikationseinrichtung 3, eine erste Einwegkommunikations einrichtung 4 sowie eine zweite Einwegkommunikationseinrich tung 5.

In der Fig. 1 ist in einer Ausführungsform eine der Kommuni- kations- oder Einwegkommunikationseinrichtungen 2, 3, 4, 5 als System-on-Chip, insbesondere ARM-basiert, eingerichtet.

In einer weiteren Ausführungsform ist eine der Kommunikati- ons- oder Einwegkommunikationseinrichtungen 2, 3, 4, 5 als eine eingebettete Prozessorkarte ausgebildet.

Die erste Kommunikationseinrichtung 2 weist eine erste

Schnittstelleneinrichtung 6 zum Koppeln an das erste Netzwerk NW1, einen internen Empfangsport 12 zum Empfangen von Nach richten und einen internen Sendeport 8 zum Senden von Nach richten auf. In der Fig. 1 wird mittels der ersten Kommunika tionsverbindung 16 die erste Kommunikationseinrichtung 2 mit dem ersten Netzwerk NW1 zum Datenaustausch gekoppelt. Das Senden und Empfangen von Nachrichten in Fig. 1 umfasst insbe sondere das Senden und Empfangen der mit Prüfdaten II, SI er gänzten Prüfnachricht PN (siehe Fig. 2 und 3) .

Ferner weist die zweite Kommunikationseinrichtung 3 eine zweite Schnittstelleneinrichtung 7 zum Koppeln an das zweite Netzwerk NW2, einen internen Empfangsport 13 zum Empfangen von Nachrichten und einen internen Sendeport 9 zum Senden von Nachrichten auf. In der Fig. 1 wird mittels der zweiten Kom munikationsverbindung 17 die zweite Kommunikationseinrichtung 3 mit dem zweiten Netzwerk NW2 zum Datenaustausch gekoppelt. In Fig. 1 ist zwischen dem internen Sendeport 8 der ersten Kommunikationseinrichtung 2 und einem internen Empfangsport 14 der ersten Einwegkommunikationseinrichtung 4 ein erster Kommunikationslink 20 angeordnet, um Nachrichten, insbesonde- re zumindest die Prüfnachricht PN, unidirektional von der ersten Kommunikationseinrichtung 2 zu der ersten Einwegkommu nikationseinrichtung 4 zu übertragen.

Weiterhin ist in der Fig. 1 die erste Einwegkommunikations einrichtung 4 dargestellt, welche den internen Empfangsport 14 zum Empfangen von Nachrichten von der ersten Kommunikati onseinrichtung 2 und einen internen Sendeport 10 zum Senden von Nachrichten an die zweite Kommunikationseinrichtung 3 um fasst. Ferner ist in Fig. 1 zwischen dem internen Sendeport 10 der ersten Einwegkommunikationseinrichtung 4 und dem in ternen Empfangsport 13 der zweiten Kommunikationseinrichtung 3 ein zweiter Kommunikationslink 21 angeordnet, um Nachrich ten, insbesondere zumindest die Prüfnachricht PN, unidirekti onal von der ersten Einwegkommunikationseinrichtung 4 zu der zweiten Kommunikationseinrichtung 3 zu übertragen.

Ebenfalls in Fig. 1 gezeigt, ist die zweite Einwegkommunika tionseinrichtung 5, die einen internen Empfangsport 15 zum Empfangen von Nachrichten von der zweiten Kommunikationsein richtung 3 und einen internen Sendeport 11 zum Senden von Nachrichten an die erste Kommunikationseinrichtung 2 auf weist. In einer nicht dargestellten Ausführungsform sind die erste Einwegkommunikationseinrichtung 4 und die zweite Ein wegkommunikationseinrichtung 5 als eine einzige Einwegkommu nikationseinrichtung integriert.

Weiterhin ist in Fig. 1 zwischen dem internen Sendeport 9 der zweiten Kommunikationseinrichtung 3 und dem internen Empfang sport 15 der zweiten Einwegkommunikationseinrichtung 5 ein dritter Kommunikationslink 22 angeordnet, um Nachrichten, insbesondere zumindest die Prüfnachricht PN, unidirektional von der zweiten Kommunikationseinrichtung 3 zu der zweiten Einwegkommunikationseinrichtung 5 zu übertragen, während zwi schen dem internen Sendeport 11 der zweiten Einwegkommunika tionseinrichtung 5 und dem internen Empfangsport 12 der ers ten Kommunikationseinrichtung 2 ein vierter Kommunikations link 23 angeordnet ist, um Nachrichten, insbesondere zumin- dest die Prüfnachricht PN, unidirektional von der zweiten Einwegkommunikationseinrichtung 5 zu der ersten Kommunikati onseinrichtung 2 zu übertragen. Jeder der Kommunikationslinks 20, 21, 22, 23 ist als ein interner physischer Kommunikati onslink 20, 21, 22, 23 angeordnet, welcher in einer Übertra gungsschicht, Schicht 1, gemäß dem OSI/ISO-Schichtenmodell, ausgebildet ist.

Zusätzlich ist zumindest einer der internen Kommunikations links 20, 21, 22, 23 in dieser Ausführungsform als eine un- idirektionale physikalische Leiterverbindung, insbesondere als eine Leiterbahn ausgebildet. In einer weiteren Ausfüh rungsform ist zumindest einer der internen Kommunikations links 20, 21, 22, 23 als ein unidirektionaler Kommunikations link nach einem Ethernet-Standard, einem SDI-Standard oder nach einer physikalische Leiterverbindung, insbesondere einer optische Faserleitung, ausgebildet.

Eine ausgewählte Kommunikations- oder Einwegkommunikations einrichtung 2, 3, 4, 5 der Fig. 1, wie zum Beispiel in dieser Ausführungsform die erste Kommunikationseinrichtung 2, ist dazu eingerichtet, über ihren internen Sendeport 8 eine Prüf nachricht PN zu senden und an ihrem internen Empfangsport 12 die über die anderen Kommunikationseinrichtungen 3 und Ein wegkommunikationseinrichtungen 4, 5 intern zu der ausgewähl ten Kommunikationseinrichtung 2 zurück übertragenen und mit Prüfdaten II, SI ergänzten Prüfnachricht PN zum Bestimmen ei nes Betriebszustands der Übertragungsvorrichtung 1 auszuwer ten. Diese Prüfnachricht PN umfasst in den Fig. 1 bis Fig. 4 zumindest eine Identifizierungsinformation II zum Identifi zieren der ausgewählten Kommunikations- oder Einwegkommunika tionseinrichtung 2, 3, 4, 5 und zumindest eine für die gesen dete Prüfnachricht PN spezifische Sicherheitsinformation SI. Die spezifische Sicherheitsinformation SI kann auch als spe zifische Prüfdaten bezeichnet werden.

Fig. 2 zeigt ein schematisches Ablaufdiagram eines Ausfüh rungsbeispiels zum Bestimmen eines Betriebszustandes der Übertragungsvorrichtung 1 nach Fig. 1. Beispielsweise beginnt die Bestimmung des Betriebszustandes der Übertragungsvorrich tung 1 in Fig. 2 bei einem Hochfahren der Übertragungsvor richtung 1.

Dabei ist die erste Kommunikationseinrichtung 2 als die aus gewählte Kommunikationseinrichtung ausgebildet. Die erste Kommunikationseinrichtung 2 sendet in einem ersten Schritt über den ersten Kommunikationslink 20 die mit Prüfdaten SI,

II ergänzte und erzeugte Prüfnachricht PN zu der ersten Ein wegkommunikationseinrichtung 4. Diese gesendete Prüfnachricht PN umfasst die Identifizierungsinformation II des Senders, also der ersten Kommunikationseinrichtung 2 sowie die spezi fische Sicherheitsinformation SI. Dies ist dargestellt in Fig. 2 mit den Bezugszeichen PN (2, II, SI) .

In einem nächsten Schritt wird die mit Prüfdaten ergänzte Prüfnachricht PN (2, II, SI) von der ersten Einwegkommunika tionseinrichtung 4 zu der zweiten Kommunikationseinrichtung 3 über den zweiten Kommunikationslink 21 übertragen. Danach wird in einem weiteren Schritt die mit Prüfdaten ergänzte Prüfnachricht PN (2, II, SI) über den dritten Kommunikations link 22 zu der zweiten Einwegkommunikationseinrichtung 5 übertragen. Anschließend wird in einem letzten Schritt die mit Prüfdaten ergänzte Prüfnachricht PN (2, II, SI) von der zweiten Einwegkommunikationseinrichtung 5 über den vierten Kommunikationslink 23 zu der ersten Kommunikationseinrichtung 2 zurück übertragen. Somit sendet und empfängt innerhalb ei nes Zyklus zum Bestimmen des Betriebszustandes der Übertra gungsvorrichtung 1 jede Kommunikations- und Einwegkommunika tionseinrichtung 2, 3, 4, 5 die mit Prüfdaten ergänzte Prüf nachricht PN (2, II, SI) . Damit wird innerhalb der Übertra gungsvorrichtung 1 die mit Prüfdaten ergänzte Prüfnachricht PN (2, II, SI) insbesondere genau viermal übertragen, bis diese wieder an ihrer ursprünglichen (ausgewählten) Kommuni kationseinrichtung 2 empfangen wird. Dabei ist jede der ande ren Kommunikations- oder Einwegkommunikationseinrichtungen 3, 4, 5 eingerichtet, die empfangene Prüfnachricht PN (2, II,

SI) ausschließlich weiterzuleiten.

Nachdem die mit Prüfdaten ergänzte Prüfnachricht PN (2, II, SI), welche ursprünglich von der ersten Kommunikationsein richtung 2 erzeugt wurde, wieder an dieser empfangen wurde, findet ein Abgleich statt, um den Betriebszustand der Über tragungsvorrichtung 1 zu bestimmen.

Der Abgleich umfasst einen Abgleich zwischen der an der ers ten Kommunikationseinrichtung 2 empfangenen Prüfnachricht PN und mit der erwarteten Prüfnachricht PN, um als Resultat des Abgleichs ein Auswerteergebnis zu erhalten. Die erwartete Prüfnachricht ist vorzugsweise die Prüfnachricht PN, welche ursprünglich von der ersten Kommunikationseinrichtung 2 ge sendet wurde. Stimmt die empfangene Prüfnachricht PN (2, II, SI) mit der erwarteten Prüfnachricht PN (2, II, SI) überein, also stimmen insbesondere die Prüfdaten der Prüfnachricht, also die Identifizierungsinformation II und die spezifische Sicherheitsinformation SI überein, ist dies beispielsweise ein Indiz dafür, dass die Übertragungsvorrichtung 1 korrekt arbeitet. Das daraus erhaltene Auswerteergebnis wird an schließend mit einer Zwischenspeichereinrichtung abgespei chert .

In Fig. 2 ist somit der Fall dargestellt, in welchem die Übertragungsvorrichtung 1 korrekt arbeitet und die mit Prüf daten ergänzte Prüfnachricht PN (2, II, SI) wieder an der ersten Kommunikationseinrichtung 2 unverändert empfangen und ausgewertet wird. Somit liegt weder ein Fehler in einer der Kommunikations- oder Einwegkommunikationseinrichtungen 2, 3, 4, 5 vor, noch ist einer der internen Kommunikationslinks 20, 21, 22, 23 defekt.

In einem nicht dargestellten Beispiel arbeitet die Übertra gungsvorrichtung 1 nicht korrekt. Dabei wird durch die Aus wertung des Betriebszustandes bei einem Hochfahren festge stellt, dass beispielsweise der zweite Kommunikationslink 21 unterbrochen ist. Somit kann die mit Prüfdaten ergänzte Prüf nachricht PN (2, II, SI) nicht an der ersten Kommunikations einrichtung 2 ankommen. Die Auswertung des Betriebszustandes ergibt somit, dass die mit Prüfdaten ergänzte Prüfnachricht PN (2, II, SI) nicht an der zweiten Kommunikationseinrichtung 3 ankommt. Damit ist das ein Anzeichen, dass in dem zweiten Kommunikationslink 21 ein Defekt vorhanden ist und der Kommu nikationslink 21 unterbrochen ist oder dass zumindest das Senden durch die erste Einwegkommunikationseinrichtung 4 nicht funktioniert hat und ein Fehler in der ersten Einweg kommunikationseinrichtung 4 vorliegt. Dieses Vorgehen kann auf jede der Kommunikations- und Einwegkommunikationseinrich tungen 3, 4, 5 sowie Kommunikationslinks 20, 22, 23 adaptiert werden, um die genaue Ursache des auftretenden Fehlers zu de- tektieren und zu lokalisieren.

In einer weiteren Ausführungsform der Fig. 2 ist beispielwei se die erste Einwegkommunikationseinrichtung 4 dazu einge richtet, eine mit Prüfdaten ergänzte Prüfnachricht PN (2, II, SI) zu erzeugen und zu senden. Wenn diese mit Prüfdaten er gänzte Prüfnachricht PN (2, II, SI) wieder unverändert über die vier Kommunikationslinks 21, 22, 23, 20 durch die erste Einwegkommunikationseinrichtung 4 empfangen wird, ist das ein Anzeichen dafür, dass die Übertragungsvorrichtung 1 korrekt arbeitet .

Fig. 3 zeigt ein schematisches Ablaufdiagram eines weiteren Ausführungsbeispiels zum Bestimmen eines Betriebszustandes der Übertragungsvorrichtung 1 nach Fig. 1. Beispielsweise be ginnt die Bestimmung des Betriebszustandes der Übertragungs vorrichtung 1 in Fig. 3, wie in Fig. 2 auch, bei einem Hoch fahren der Übertragungsvorrichtung 1.

Hierbei erzeugt und versendet ausschließlich die ausgewählte Kommunikations- oder Einwegkommunikationseinrichtung 2, 3, 4, 5 als eine Master-Einrichtung eine mit Prüfdaten ergänzte Prüfnachricht PN (3, II, SI) Prüfnachricht . In Fig. 3 ist die zweite Kommunikationseinrichtung 3 die Master-Einrichtung. Jede der anderen Kommunikations- oder Einwegkommunikations einrichtungen 2, 4, 5 sind in der Fig. 3 dazu eingerichtet, einer jeweils empfangenen Prüfnachricht PN Prüfdaten II, SI, insbesondere eine der jeweiligen die Prüfnachricht PN empfan gende Kommunikations- oder Einwegkommunikationseinrichtungen 2, 4, 5 zugeordnete Sicherheitsinformation SI hinzuzufügen. Die zugeordnete Sicherheitsinformation SI kann auch als zuge ordnete Prüfdaten bezeichnet werden. In der Fig. 3 agieren die anderen Kommunikations- oder Einwegkommunikationseinrich tungen 2, 4, 5 als Slave-Einrichtungen, welche der jeweiligen empfangenen Prüfnachrichten PN Prüfdaten II, SI hinzuzufügen und diese weiterleiten.

Dies wird nachfolgend im Detail anhand der Fig. 3 beschrie ben .

In einem ersten Schritt erzeugt und versendet ausschließlich die zweite Kommunikationseinrichtung 3 als die Master- Einrichtung die mit Prüfdaten ergänzte Prüfnachricht PN (3,

II, SI) über den dritten Kommunikationslink 22 unidirektional zu der zweiten Einwegkommunikationseinrichtung 5. Dabei ist das Bezugszeichen 3 die Identifizierungsinformation zur Iden tifizierung, dass die zweite Kommunikationseinrichtung 3 die Nachricht gesendet bzw. erzeugt hat, und das Bezugszeichen SI gibt die zugeordnete Sicherheitsinformation SI der zweiten Kommunikationseinrichtung 3 an.

Die zweiten Einwegkommunikationseinrichtung 5 fügt an die empfangene mit Prüfdaten ergänzte Prüfnachricht PN (3, II,

SI) ihre eigene Identifizierungsinformation 5, II, an und leitet diese mit Prüfdaten ergänzte Prüfnachricht PN (3, 5,

II, SI) über den vierten Kommunikationslink 23 an die erste Kommunikationseinrichtung 2 weiter.

Anschließend fügt die erste Kommunikationseinrichtung 2 an die empfangene mit Prüfdaten ergänzte Prüfnachricht PN (3, 5, II, SI) ihre eigene Identifizierungsinformation 2, II, an und leitet diese mit Prüfdaten ergänzte Prüfnachricht PN (3, 5, 2, II, SI) über den ersten Kommunikationslink 20 an die erste Einwegkommunikationseinrichtung 4 weiter.

In einem letzten Schritt fügt die erste Einwegkommunikations einrichtung 4 an die empfangene mit Prüfdaten ergänzte Prüf nachricht PN (3, 5, 2, II, SI) ihre eigene Identifizierungs information 4, II, an und leitet diese mit Prüfdaten ergänzte Prüfnachricht PN (3, 5, 2, 4, II, SI) über den zweiten Kommu nikationslink 20 an die zweite Kommunikationseinrichtung 3 weiter .

Daraufhin überprüft die zweite Kommunikationseinrichtung 3, ob die empfangene mit Prüfdaten ergänzte Prüfnachricht PN (3, 5, 2, 4, II, SI) alle Identifizierungsinformationen der ande ren Kommunikations- und Einwegkommunikationseinrichtungen 2, 4, 5 aufweist. Falls dies der Fall ist, ist das ein Anzeichen dafür, dass die Übertragungsvorrichtung 1 korrekt arbeitet. Dies ist auch in Fig. 3 dargestellt. Dabei ist kein Kommuni kationslink 20, 21, 22, 23 unterbrochen oder defekt und jede andere Kommunikations- und Einwegkommunikationseinrichtung 2, 4, 5 arbeitet korrekt, da die zweite Kommunikationseinrich tung 3 eine Prüfnachricht PN empfängt, welche alle Prüfdaten (3, 5, 2, 4, II, SI) der anderen Kommunikations- und Einweg kommunikationseinrichtungen 2, 4, 5 aufweist.

Die oben beschriebenen Schritte gelten auch für den Fall, wenn eine andere Kommunikations- oder Einwegkommunikations einrichtung 2, 4, 5 die Master-Einrichtung ist. Dabei ändert sich nur der Startpunkt der Erzeugung und des Versendens der mit Prüfdaten erzeugten Prüfnachricht PN (II, SI) .

In einem nicht dargestellten Beispiel arbeitet die Übertra gungsvorrichtung 1 nicht korrekt. Dabei wird durch die Aus wertung des Betriebszustandes bei einem Hochfahren festge stellt, dass beispielsweise der erste Kommunikationslink 20 unterbrochen ist. Somit kann die mit Prüfdaten ergänzte Prüf nachricht PN (3, 5, II, SI) nicht an der ersten Einwegkommu nikationseinrichtung 4 ankommen. Die Auswertung des Betriebs- zustandes ergibt somit, dass die mit Prüfdaten ergänzte Prüf nachricht PN (3, 5, II, SI) nicht an der ersten Einwegkommu nikationseinrichtung 4 ankommt. Damit ist das ein Anzeichen, dass in dem ersten Kommunikationslink 20 ein Defekt vorhanden ist und der erste Kommunikationslink 20 unterbrochen ist oder dass zumindest das Weiterleiten durch die erste Kommunikati onseinrichtung 2 nicht funktioniert und ein Fehler in der ersten Kommunikationseinrichtung 2 vorliegt. Dieses Vorgehen kann auf jede der Kommunikations- und Einwegkommunikations einrichtungen 2, 4, 5 sowie Kommunikationslinks 21, 22, 23 adaptiert werden, um die genaue Ursache des auftretenden Feh lers zu detektieren und zu lokalisieren.

Fig. 4 zeigt schematische Blockdiagramme mehrerer Prüfnach richten 40, 41, 42, 43, 44, welche jeweils mit einer krypto- graphischen Prüfsumme versehen sind, jeweils umfassend unter schiedliche Prüfdaten II, SI. Die kryptographische Prüfsumme wird über ein Signaturverfahren erzeugt. Insofern wird im Weiteren auch von signierten Prüfnachrichten oder -Daten ge sprochen .

Die Kommunikations- und Einwegkommunikationseinrichtungen 2, 3, 4, 5 der Übertragungsvorrichtung 1 sind auch eingerichtet, die Prüfdaten II, SI bzw. die Prüfnachricht PN umfassend die Prüfdaten II, SI zu signieren, um diese gesichert zu der je weils anderen Kommunikations- oder Einwegkommunikationsein richtung 2, 3, 4, 5 zu übertragen. Dies ist anhand der Fig. 4 genauer dargestellt.

In Fig. 4 ist mit dem Bezugszeichen 40 eine mittels eines kryptographischen Schlüssels mittels einer digitalen Signatur signierte Prüfnachricht 40 (2, II, SI) gezeigt, welche ent sprechend der Fig. 2 von der ersten Kommunikationseinrichtung 2 erzeugt und signiert wurde. Die Signierung erfolgt insbe sondere mit einem privaten kryptographischen Schlüssel der ersten Kommunikationseinrichtung 2. Diese signierte Prüfnach richt 40 wird gemäß Fig. 2 an die erste Einwegkommunikations einrichtung 4 über den ersten Kommunikationslink 20 übertra- gen. Die erste Einwegkommunikationseinrichtung 4 kann dann die signierte Prüfnachricht 40 (2, II, SI) mittels eines öf fentlichen Schlüssels der ersten Kommunikationseinrichtung 2 validieren. Somit wird in vorteilhafter Weise sichergestellt, dass die übertragene signierte Prüfnachricht 40 (2, II, SI) nicht manipuliert worden ist und ebenfalls auch, dass sie von der ersten Kommunikationseinrichtung 2 erzeugt und gesendet wurde .

In einem nicht dargestellten nächsten Schritt kann die erste Einwegkommunikationseinrichtung 4 die von der ersten Kommuni kationseinrichtung 2 empfangene Prüfnachricht (2, II, SI) zum weiteren Übertragen zu der zweiten Kommunikationseinrichtung 3 mittels des eigenen privaten Schlüssels mittels einer digi talen Signatur signiert. Nun kann die erste Einwegkommunika tionseinrichtung 4 die signierte Prüfnachricht PN (4, II,

SI), nicht dargestellt, zu der zweiten Kommunikationseinrich tung 5 übertragen und die zweite Kommunikationseinrichtung 5 ist dann dazu eingerichtet, die Integrität der signierten Prüfnachricht PN (4, II, SI) und den Sender dieser mittels des öffentlichen Schlüssels der erste Einwegkommunikations einrichtung 4 zu überprüfen und im Zuge dessen die signierte Prüfnachricht PN (4, II, SI) zu validieren. Auch die zweite Kommunikationseinrichtung 3 und die zweite Einwegkommunikati onseinrichtung 5 sind dazu eingerichtet, die Prüfnachricht jeweils zu signieren und eine empfangene signierte Prüfnach richt 40 zu validieren, um damit in vorteilhafter Weise die Sicherheit bei der Übertragung von Prüfnachrichten PN in der Übertragungsvorrichtung 1 zu erhöhen.

Unter Verwendung des Ausführungsbeispiels der Fig. 3, ist in Fig. 4 dargestellt, wie die ausgewählte Kommunikationsein richtung 3 (Master-Einrichtung) eingerichtet ist, die Prüf nachricht PN und die Prüfdaten (3, II, SI) mittels eines kryptographischen Schlüssels mittels einer digitalen Signatur zu signieren und weiter zu verarbeiten. In Fig. 4 ist mit dem Bezugszeichen 41 eine mittels eines kryptographischen Schlüssels mittels einer digitalen Signatur signierte Prüfnachricht 41 (3, II, SI) gezeigt, welche ent sprechend der Fig. 3 von der zweiten Kommunikationseinrich tung 3 erzeugt und signiert wurde. Die Signierung erfolgt insbesondere mit einem privaten kryptographischen Schlüssel der zweiten Kommunikationseinrichtung 3. Diese signierte Prüfnachricht 41 wird gemäß Fig. 3 an die zweite Einwegkommu nikationseinrichtung 5 über den dritten Kommunikationslink 22 übertragen. Die zweite Einwegkommunikationseinrichtung 5 kann dann die signierte Prüfnachricht 41 (3, II, SI) mittels eines öffentlichen Schlüssels der zweiten Kommunikationseinrichtung 3 validieren. Somit wird in vorteilhafter Weise sicherge stellt, dass die übertragene Prüfnachricht 41 (3, II, SI) nicht manipuliert worden ist und ebenfalls auch von der zwei ten Kommunikationseinrichtung 3 erzeugt und gesendet wurde.

Anschließend fügt die zweite Kommunikationseinrichtung 5 Prüfdaten, welche spezifisch für die zweite Kommunikations einrichtung 5 sind, der Prüfnachricht 41 hinzu, und signiert diese spezifischen Prüfdaten (5, II, SI) mit dem privaten Schlüssel mittels einer digitalen Signatur der zweiten Kommu nikationseinrichtung 5. Somit entsteht die Prüfnachricht 42 (3, 5, II, SI), welche anschließend an die erste Kommunikati onseinrichtung 2 weitergeleitet wird.

Nun fügt die erste Kommunikationseinrichtung 2 Prüfdaten, welche spezifisch für die erste Kommunikationseinrichtung 2 sind, der Prüfnachricht 42 hinzu, und signiert diese spezifi schen Prüfdaten (2, II, SI) mit dem privaten Schlüssel mit tels einer digitalen Signatur der ersten Kommunikationsein richtung 2. Somit entsteht die Prüfnachricht 43 (3, 5, 2, II, SI), welche anschließend an die erste Einwegkommunikations einrichtung 4 weitergeleitet wird.

Anschließend fügt die erste Einwegkommunikationseinrichtung 4 Prüfdaten, welche spezifisch für die erste Einwegkommunikati onseinrichtung 4 sind, der Prüfnachricht 43 hinzu, und sig- niert diese spezifischen Prüfdaten (4, II, SI) mit dem priva ten Schlüssel mittels einer digitalen Signatur der ersten Einwegkommunikationseinrichtung 4. Somit entsteht die Prüf nachricht 44 (3, 5, 2, 4, II, SI), welche anschließend zurück an die zweite Kommunikationseinrichtung 3 weitergeleitet wird .

Dann kann die Master-Einrichtung 3 die signierte Prüfnach richt 44 validieren und anschließend den Betriebszustand der Übertragungsvorrichtung 1 bestimmen.

Die in den Übertragungsvorrichtungen implementierten vorge schlagenen Diagnoseverfahren mit Hilfe von Prüfnachrichten innerhalb der bidirektionalen Network Guards ermöglichen ei- nen zuverlässigen Betrieb eines Datenverkehrs zwischen ver schiedenen Netzwerken. Die Bestimmung des jeweiligen Be triebszustands erlaubt einen Eingriff bei Fehlern oder Mani pulationen in oder an dem beispielsweise als SoC ausgeführten Übertragungsvorrichtungen. Insofern kann eine verbesserte Netzwerk- und Datensicherheit erzielt werden.