VORRICHTUNGEN UND VERFAHREN ZUM BETREIBEN EINER RECHENANLAGE MIT DATENRELAIS

Die Erfindung bezieht sich auf Rechenanlagen, insbesondere Rechenanlagen im Bereich der Eisenbahntechnik, und Verfahren zum Betreiben von Rechenanlagen, insbesondere im Bereich der Eisenbahntechnik .

Um Rechenanlagen in technischen Anlagen, wie beispielsweise in Fahrzeugen, mit geschlossener Netzwerkstruktur mit neuen Daten zu versorgen, werden heute üblicherweise tragbare Da tenträger (CD, USB Sticks, Festplatten) außerhalb der ge schlossenen Netzwerkstruktur beschrieben und manuell durch Wartungspersonal in die technische Anlage eingebracht und an geschlossen. Nach dem Anschließen werden die Daten dann auf die Rechenanlagen aufgespielt. Ein Nachteil der bisherigen Verfahren ist der manuelle und direkte Eingriff Vorort durch Wartungspersonal .

In Rechenanlagen, in denen Teile des Intranet als Kategorie2- Netzwerk nach EN 50159 angesehen werden können, kann die Ent kopplung auch durch eine sogenannte DMZ (Demilitarisierte Zo ne) mittels mehrerer Firewalls und eines Application-Layer - Gateways (ALG) erreicht und für den Datenaustausch genutzt werden. Die DMZ muss jedoch gesondert aufgebaut werden und regelmäßig mit Updates versorgt werden. Auch die eingerichte ten Firewall-Regeln müssen regelmäßig überprüft werden, da diese bewusst oder unbewusst auch über die Netzwerkstruktur verändert werden könnten.

Ein weiterer Nachteil einer DMZ im Bereich der Eisenbahntech nik besteht darin, dass die Zusicherung der Eigenschaft des ALG unter den Aspekten eines Bahnnetzwerks nicht direkt nach gewiesen bzw. bewiesen werden kann. Eine Zulassung eines ALG erfolgt im Bereich der Eisenbahntechnik anlagen- bzw. fahr zeugindividuell und muss bei jeder Aktualisierung der Soft ware oder Hardware erneuert werden. Der Erfindung liegt die Aufgabe zugrunde, eine Rechenanlage anzugeben, die in einfacher Weise und sicher eine Übertragung von Daten an eine Recheneinrichtung der Rechenanlage ermög licht .

Diese Aufgabe wird erfindungsgemäß durch eine Rechenanlage mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Rechenanlage sind in Unteransprüchen angegeben.

Danach ist erfindungsgemäß vorgesehen, dass die Rechenanlage einen Eingangsdatenpfad aufweist, der eine Schnittstellenein richtung der Rechenanlage mit der Recheneinrichtung verbin det, der Eingangsdatenpfad zumindest zwei Datenrelais und zu mindest einen Zwischenspeicher zur Zwischenspeicherung von Daten aufweist, jedes der zumindest zwei Datenrelais jeweils einen ersten und zweiten Anschluss und einen Zentralanschluss aufweist und jeweils wahlweise seinen ersten Anschluss und seinen Zentralanschluss oder seinen zweiten Anschluss und seinen Zentralanschluss verbinden kann und seinen ersten und zweiten Anschluss stets getrennt voneinander lässt, ein ers tes der zumindest zwei Datenrelais mit seinem ersten An schluss mit der Schnittstelleneinrichtung und mit seinem zweiten Anschluss mit der Recheneinrichtung in Verbindung steht und der Zentralanschluss des ersten Datenrelais mit dem zumindest einen Zwischenspeicher verbunden ist, der durch das erste Datenrelais wahlweise ausschließlich mit der Schnitt stelleneinrichtung oder dem zweiten Anschluss des ersten Da tenrelais verbunden ist, aber nicht gleichzeitig mit beiden.

Ein wesentlicher Vorteil der erfindungsgemäßen Rechenanlage besteht darin, dass durch den erfindungsgemäßen Einsatz der Datenrelais eine Entkopplung der Recheneinrichtung von der Schnittstelleneinrichtung möglich ist und Daten, die zur Re cheneinrichtung gesendet werden, zunächst im Zwischenspeicher abgespeichert und von einer Zwischeninstanz überprüft werden können. Eine Weiterleitung der Daten an die Recheneinrichtung kann somit beispielsweise davon abhängig gemacht werden, dass die Daten von einem autorisierten Datensender stammen oder korrekte Prüfsummen aufweisen.

Vorzugsweise ist mindestens eine Zwischenrechnereinrichtung vorhanden, die mit dem ersten Anschluss eines zweiten der zu mindest zwei Datenrelais in Verbindung steht.

Bei einer ersten als vorteilhaft angesehenen Variante ist vorgesehen, dass der zweite Anschluss des ersten Datenrelais mit dem Zentralanschluss des zweiten Datenrelais verbunden ist, der zweite Anschluss des zweiten Datenrelais unmittelbar mit der Recheneinrichtung oder mittelbar über ein oder mehre re weitere Datenrelais mit der Recheneinrichtung in Verbin dung steht und mit den Datenrelais - bei geeigneter Relais stellung - ein unmittelbarer Datenzugriff der Recheneinrich tung auf den Zwischenspeicher möglich ist.

Vorteilhaft ist es insbesondere auch, wenn ein oder mehr wei tere Datenrelais vorhanden sind, die mit dem ersten und zwei ten Datenrelais eine Relaiskaskade bilden, bei der das in der Relaiskaskade erste Datenrelais mit seinem ersten Anschluss mit der Schnittstelleneinrichtung und das in der Relaiskaska de letzte Datenrelais mit seinem zweiten Anschluss mit der Recheneinrichtung in Verbindung steht, und mit den Datenre lais ein unmittelbarer Datenzugriff der Recheneinrichtung auf den Zwischenspeicher möglich ist, wenn bei allen Datenrelais der Relaiskaskade der zweite Anschluss mit dem Zentralan schluss verbunden ist.

Bei der letztgenannten Variante ist es außerdem von Vorteil, wenn zwei oder mehr Datenrelais der Relaiskaskade jeweils ei ne Zwischenrechnereinrichtung zugeordnet sind und die Zwi schenrechnereinrichtungen jeweils mit dem ersten Anschluss des zugeordneten Datenrelais verbunden sind und jede der Zwi schenrechnereinrichtungen jeweils Daten, die von der Schnitt stelleneinrichtung in dem Zwischenspeicher zur Weiterleitung an die Recheneinrichtung gespeichert worden sind, prüft und ihrerseits eine Freigabe zur Durchschaltung der Relaiskaskade erteilen, wenn die Prüfung keinen Hinderungsgrund anzeigt.

Zur Ansteuerung der Datenrelais ist vorzugsweise eine Relais steuereinrichtung vorhanden.

Die Relaissteuereinrichtung steuert die Datenrelais vorzugs weise derart an, dass ein unmittelbarer Datenzugriff der Re cheneinrichtung auf den Zwischenspeicher möglich ist, wenn die mindestens eine Zwischenrechnereinrichtung, vorzugsweise alle Zwischenrechnereinrichtungen im Falle mehrerer Zwischen rechnereinrichtungen, der Relaissteuereinrichtung eine Frei gabe zum unmittelbaren Datenzugriff erteilen.

Bei einer zweiten als vorteilhaft angesehenen Variante ist vorgesehen, dass mit der Zwischenrechnereinrichtung der zwei te Anschluss des ersten Datenrelais und der erste Anschluss des zweiten Datenrelais verbunden ist, an den Zentralan schluss des zweiten Datenrelais ein weiterer Zwischenspeicher angeschlossen ist und die Zwischenrechnereinrichtung Daten, die von der Schnittstelleneinrichtung in dem an das erste Da tenrelais angeschlossenen Zwischenspeicher zur Weiterleitung an die Recheneinrichtung gespeichert worden sind, prüft und diese Daten an den an das zweite Datenrelais angeschlossenen Zwischenspeicher weiterleitet, wenn die Prüfung keinen Hinde rungsgrund anzeigt.

Bei der letztgenannten Variante ist es von Vorteil, wenn ein oder mehr weitere Datenrelais vorhanden sind, die mit dem ersten und zweiten Datenrelais eine Relaiskaskade bilden, bei der das in der Relaiskaskade erste Datenrelais mit seinem ersten Anschluss mit der Schnittstelleneinrichtung und das in der Relaiskaskade letzte Datenrelais mit seinem zweiten An schluss mit der Recheneinrichtung verbunden ist, zumindest einem Paar an aufeinanderfolgenden Datenrelais der Relais kaskade, vorzugsweise allen Paaren, jeweils eine Zwischen rechnereinrichtung zugeordnet ist, die mit dem ersten An schluss des - in Kaskadenrichtung in Richtung Recheneinrich- tung gesehen - vorderen Datenrelais des jeweiligen Relaispaa res und dem zweiten Anschluss des - in Kaskadenrichtung in Richtung Recheneinrichtung gesehen - hinteren Datenrelais des jeweiligen Relaispaares verbunden ist und jeweils die in dem an das hintere Datenrelais angeschlossenen Zwischenspeicher gespeicherten Daten, die zur Weiterleitung an die Rechenein richtung vorgesehen sind, prüft und diese Daten an den an das vordere Datenrelais angeschlossenen Zwischenspeicher weiter leitet, wenn die Prüfung keinen Hinderungsgrund anzeigt.

Auch ist es vorteilhaft, wenn der mindestens einen Zwischen rechnereinrichtung oder zumindest einer der Zwischenrechner einrichtungen eine Hilfsrechnereinrichtung zugeordnet ist, die mit der Zwischenrechnereinrichtung über ein Hilfsrelais und einen Hilfszwischenspeicher gekoppelt ist, die Zwischen rechnereinrichtung eine Vorprüfung der Daten, die in dem an das zugeordnete Datenrelais (z. B. zweite Datenrelais) ange schlossenen Zwischenspeicher zur Weiterleitung an die Rechen einrichtung gespeichert worden sind, durchführt und eine An frage, die die gespeicherten Daten betrifft, an eine externe Zentraleinrichtung übermittelt, die Hilfsrechnereinrichtung dazu ausgebildet ist, bei Empfang eines positiven, die Ver wertbarkeit der gespeicherten Daten anzeigenden Rückmeldesig nals der externen Zentraleinrichtung eine Freigabeinformation über das Hilfsrelais in dem Hilfszwischenspeicher zu hinter legen, und die Zwischenrechnereinrichtung bei Vorliegen der Freigabeinformation in dem Hilfszwischenspeicher eine Freiga be zum Umschalten des zugeordneten Datenrelais, insbesondere des zweiten Relais, zum Zwecke eines Datenflusses in Richtung der Recheneinrichtung erteilt.

Darüber hinaus ist es vorteilhaft, wenn der mindestens einen Zwischenrechnereinrichtung oder zumindest einer der Zwischen rechnereinrichtungen und/oder der Schnittstelleneinrichtung eine Neustarteinrichtung zugeordnet ist, die mit der Zwi schenrechnereinrichtung bzw. der Schnittstelleneinrichtung über das zweite Datenrelais oder ein Hilfsrelais und einen Hilfszwischenspeicher gekoppelt ist, und die Neustarteinrich- tung geeignet ist, eine einen Neustart der Zwischenrechner einrichtung bzw. der Schnittstelleneinrichtung ermöglichende Startdatei zu erzeugen und diese in dem Hilfszwischenspeicher zu hinterlegen.

Mit Blick auf eine Entkopplung des Zwischenspeichers wird es als vorteilhaft angesehen, wenn bei zumindest einem Datenre lais der erste oder zweite Anschluss unbelegt ist.

Die von der Zwischenrechnereinrichtung oder den Zwischenrech nereinrichtungen durchzuführende Prüfung der Daten, die zu der Recheneinrichtung übertragen werden sollen, umfasst vor zugsweise zumindest eine, mehrere oder alle der folgenden Prüfschritte :

- Prüfen von Sequenznummern,

- Prüfen von Signaturen,

- Bilden und Prüfen von Prüfsummen,

- Prüfen der Herkunft der Daten auf kryptografischer Basis,

- Virenprüfung,

- Überprüfung von TANs .

Die Erfindung bezieht sich außerdem auf eine eisenbahntechni sche Anlage, insbesondere ein Stellwerk oder ein Schienen fahrzeug. Erfindungsgemäß ist diesbezüglich vorgesehen, dass die eisenbahntechnische Anlage eine Rechenanlage wie oben be schrieben aufweist.

Die Erfindung bezieht sich außerdem auf ein Verfahren zum Be treiben einer Rechenanlage, insbesondere einer Rechenanlage wie oben beschrieben. Erfindungsgemäß ist vorgesehen, dass Daten, die von einer Schnittstelleneinrichtung in Richtung der Rechenanlage weitergeleitet werden sollen, über einen Eingangsdatenpfad geleitet werden, der eine Schnittstellen einrichtung der Rechenanlage mit der Recheneinrichtung ver bindet, der Eingangsdatenpfad zumindest zwei Datenrelais und zumindest einen Zwischenspeicher zur Zwischenspeicherung von Daten aufweist, jedes der zumindest zwei Datenrelais jeweils einen ersten und zweiten Anschluss und einen Zentralanschluss aufweist und jeweils wahlweise seinen ersten Anschluss und seinen Zentralanschluss oder seinen zweiten Anschluss und seinen Zentralanschluss verbinden kann und seinen ersten und zweiten Anschluss stets getrennt voneinander lässt, ein ers tes der zumindest zwei Datenrelais mit seinem ersten An schluss mit der Schnittstelleneinrichtung und mit seinem zweiten Anschluss mittelbar oder unmittelbar mit der Rechen einrichtung in Verbindung steht, der Zentralanschluss des ersten Datenrelais mit dem zumindest einen Zwischenspeicher verbunden ist, der durch das erste Datenrelais wahlweise aus schließlich mit der Schnittstelleneinrichtung oder dem zwei ten Anschluss des ersten Datenrelais verbunden ist, aber nicht gleichzeitig mit beiden, und die Weiterleitung der Da ten über zumindest das erste Datenrelais und den an das erste Datenrelais angeschlossenen Zwischenspeicher erfolgt.

Bezüglich der Vorteile und vorteilhafter Ausgestaltungen des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen im Zusammenhang mit der erfindungsgemäßen Rechenanlage ver wiesen, die für das erfindungsgemäße Verfahren entsprechend gelten .

Die Erfindung wird nachfolgend anhand von Ausführungsbeispie len näher erläutert; dabei zeigen beispielhaft

Figur 1 ein Ausführungsbeispiel für eine erfindungsgemäße

Rechenanlage, anhand derer ein erstes Ausführungs beispiel für ein erfindungsgemäßes Verfahren erläu tert wird,

Fig. 2-4 andere bei dem ersten Ausführungsbeispiel mögliche

Schaltzustände der Datenrelais,

Figur 5 ein weiteres Ausführungsbeispiel für eine erfin

dungsgemäße Rechenanlage, anhand derer ein zweites Ausführungsbeispiel für ein erfindungsgemäßes Ver fahren erläutert wird, Figur 6 ein anderer Schaltzustand der Datenrelais bei dem zweiten Ausführungsbeispiel gemäß Figur 5,

Figur 7 ein Ausführungsbeispiel für eine TAN-Prüfung,

Figur 8 ein Ausführungsbeispiel für eine erfindungsgemäße

Rechenanlage, bei der einer Zwischenrechnereinrich tung eine Hilfsrechnereinrichtung und ein Hilfszwi schenspeicher zugeordnet ist,

Figur 9 ein Ausführungsbeispiel für eine erfindungsgemäße

Rechenanlage, bei der einer Schnittstelleneinrich tung eine Neustarteinrichtung zugeordnet ist, und

Figur 10 ein Ausführungsbeispiel für eine erfindungsgemäße

Rechenanlage, bei der zumindest zwei Relais unbe- schaltete Anschlüsse aufweisen zwecks gleichzeiti ger Trennung des Zwischenspeichers von der Schnitt stelleneinrichtung und der Recheneinrichtung.

In den Figuren werden der Übersicht halber für identische o- der vergleichbare Elemente stets dieselben Bezugszeichen ver wendet .

Die Figur 1 zeigt ein Ausführungsbeispiel für eine Rechenan lage 10, die beispielsweise einen Bestandteil einer eisen bahntechnischen Anlage bilden kann. Die Rechenanlage 10 ist mit einer Recheneinrichtung 11 ausgestattet, zu der Daten D einer externen Datenquelle 20 übermittelt werden können. Zu diesem Zweck weist die Rechenanlage 10 eine Schnittstellen einrichtung 12 auf, die beispielsweise über das Internet oder ein anderes Kommunikationsnetz NET mit der externen Daten quelle 20 kommunizieren kann.

Ein Eingangsdatenpfad 13 verbindet die Schnittstelleneinrich tung 12 mit der Recheneinrichtung 11. Der Eingangsdatenpfad 13 umfasst ein erstes Datenrelais RI, ein zweites Datenrelais R2 und weitere Datenrelais R3 und R4, die eine Relaiskaskade 14 bilden. Jedes Datenrelais R1-R4 weist jeweils einen ersten Anschluss Al, einen zweiten Anschluss A2 und einen Zentralan schluss A3 auf. Die Datenrelais R1-R4 sind jeweils derart ausgebildet, dass sie jeweils wahlweise ihren ersten An schluss Al mit dem Zentralanschluss A3 oder ihren zweiten An schluss Al mit dem Zentralanschluss A3 verbinden können; der erste und zweite Anschluss Al, A2 sind stets getrennt vonei nander .

Der erste Anschluss Al des ersten Datenrelais RI ist mit der Schnittstelleneinrichtung 12 verbunden, der zweite Anschluss A2 des ersten Datenrelais RI ist an den Zentralanschluss A3 des zweiten Datenrelais R2 angeschlossen. Der Zentralan schluss A3 des ersten Datenrelais RI steht mit einem Zwi schenspeicher ZS in Verbindung.

Die inneren Datenrelais R2-R3 der Relaiskaskade 14 sind je weils derart verschaltet, dass jeweils der zweite Anschluss A2 des in der Relaiskaskade 14 vorgeordneten Datenrelais mit dem Zentralanschluss A3 des in der Relaiskaskade 14 nachge- ordneten Datenrelais verbunden ist.

Das in der Relaiskaskade 14 letzte Datenrelais R4 ist mit seinem zweiten Anschluss A2 mit der Recheneinrichtung 11 ver bunden .

Die Figur 1 lässt erkennen, dass ein unmittelbarer Datenzu griff der Recheneinrichtung 11 auf den Zwischenspeicher ZS nur möglich ist, wenn bei allen Datenrelais R1-R4 der Relais kaskade 14 der zweite Anschluss A2 mit dem Zentralanschluss A3 verbunden ist.

An den ersten Anschluss Al des zweiten Datenrelais R2 und der weiteren Datenrelais R3-R4 der Relaiskaskade 14 ist jeweils eine Zwischenrechnereinrichtung ZRE1-ZRE3 angeschlossen. Die Aufgabe der Zwischenrechnereinrichtungen ZRE1-ZRE3 besteht jeweils darin, die Daten D, die von der Schnittstellenein richtung 12 in dem Zwischenspeicher ZS zur Weiterleitung an die Recheneinrichtung 11 gespeichert worden sind, zu prüfen und eine Freigabe zur Durchschaltung der Relaiskaskade 14 zu erteilen, wenn die Prüfung keinen Hinderungsgrund anzeigt bzw. ein positives Prüfergebnis liefert. Wird ein Hinderungs grund erkannt, so wird stattdessen ein Sperrsignal zum Sper ren der Relaiskaskade 14 erzeugt.

Zur Ansteuerung der Datenrelais R der Relaiskaskade 14 ist eine Relaissteuereinrichtung 16 vorhanden. Die Relaissteuer einrichtung 16 steht über nicht gezeigte Leitungen mit den Zwischenrechnereinrichtungen ZRE1-ZRE3 in Verbindung und wer tet deren Prüfungsergebnisse aus. Die Relaissteuereinrichtung 16 steuert die Datenrelais derart an, dass ein unmittelbarer Datenzugriff der Recheneinrichtung 11 auf den Zwischenspei cher ZS nur möglich ist, wenn alle Zwischenrechnereinrichtun gen ZRE1-ZRE3 der Relaissteuereinrichtung 16 eine Freigabe zum unmittelbaren Datenzugriff erteilen.

Die Anordnung gemäß Figur 1 kann beispielsweise wie folgt be trieben werden:

Zunächst wird die Relaissteuereinrichtung 16 die Datenrelais R1-R4 der Relaiskaskade 14 in einen definierten Ausgangszu stand (siehe Figur 1) versetzen, bei der die Zentralanschlüs se A3 jeweils mit dem ersten Anschluss Al verbunden sind.

Empfängt die Schnittstelleneinrichtung 12 von der externen Datenquelle 20 Daten D, so speichert sie die Daten D in dem Zwischenspeicher ZS ab. Sind Daten D abgespeichert worden, so teilt die Schnittstelleneinrichtung 12 dies der Relaissteuer einrichtung 16 mit.

In nachfolgenden Schritten wird die Relaissteuereinrichtung 16 die Datenrelais R der Relaiskaskade 14 nacheinander um stellen :

In einem ersten Schritt wird das erste Datenrelais RI umge schaltet (siehe Figur 2) und somit der Zwischenspeicher ZS mit der an das erste Datenrelais RI angeschlossenen Zwischen rechnereinrichtung ZRE1 (nachfolgend erste Zwischenrechner einrichtung ZRE1 genannt) verbunden. Die erste Zwischenrech nereinrichtung ZRE1 prüft die Daten D. Sind diese aus Sicht der ersten Zwischenrechnereinrichtung ZRE1 für eine Weiter leitung an die Recheneinrichtung 11 geeignet, so übersendet sie ein entsprechendes Freigabesignal an die Relaissteuerein richtung 16; andernfalls übersendet sie ein Sperrsignal.

Liegt ein Freigabesignal der ersten Zwischenrechnereinrich tung ZRE1 vor, so schaltet die Relaissteuereinrichtung 16 in einem zweiten Schritt (siehe Figur 3) das zweite Datenrelais R2 um und verbindet somit den Zwischenspeicher ZS mit der an das zweite Datenrelais R2 angeschlossenen Zwischenrechnerein richtung ZRE2 (nachfolgend zweite Zwischenrechnereinrichtung ZRE2 genannt) . Nun prüft die zweite Zwischenrechnereinrich tung ZRE2 die Daten D. Sind diese aus Sicht der zweiten Zwi schenrechnereinrichtung ZRE2 für eine Weiterleitung an die Recheneinrichtung 11 geeignet, so übersendet sie ein entspre chendes Freigabesignal an die Relaissteuereinrichtung 16; an dernfalls übersendet sie ein Sperrsignal.

In entsprechender Weise wird anschließend das dritte Datenre lais R3 der Relaiskaskade 14 umgeschaltet, so dass die dritte Zwischenrechnereinrichtung ZRE3 die Daten D im Zwischenspei cher ZS prüfen kann.

Liegt von allen Zwischenrechnereinrichtungen ZRE1-ZRE3 eine Freigabe vor, so wird das letzte Datenrelais R4 der Relais kaskade 14 umgeschaltet und somit ein Zugriff der Rechenein richtung 11 auf die Daten D im Zwischenspeicher ZS erlaubt. Dieser Schaltzustand der Relaiskaskade 14 ist in der Figur 4 gezeigt. Die Recheneinrichtung 11 kann die Daten D beispiels weise in einen eigenen Speicher 11a kopieren.

Die Zwischenrechnereinrichtungen ZRE1-ZRE3 können ihre Prü fergebnisse auch an eine übergeordnete Diagnoseeinrichtung 17 senden, mit der sie vorzugsweise jeweils über eine Datendiode 18 verbunden sind.

Bei dem Ausführungsbeispiel gemäß den Figuren 1 bis 4 dient die Relaiskaskade 14 zum Verbinden der Recheneinrichtung 11 direkt mit dem Zwischenspeicher ZS, wenn die Prüfung der Da ten D durch die Zwischenrechnereinrichtungen ZRE1-ZRE3 ein positives Ergebnis lieferte.

Die Figur 5 zeigt ein weiteres Ausführungsbeispiel. Bei dem Ausführungsbeispiel gemäß der Figur 5 ist an die Zentralan schlüsse A3 jedes Datenrelais RI, R2, R3 jeweils ein Zwi schenspeicher ZS1, ZS2, ZS3 angeschlossen.

Jedem Paar an aufeinanderfolgenden Datenrelais RI, R2, R3 der Relaiskaskade 14 ist jeweils eine Zwischenrechnereinrichtung ZRE1, ZRE2 zugeordnet, die mit dem ersten Anschluss Al des - in Kaskadenrichtung K in Richtung Recheneinrichtung 11 gese hen - vorderen Datenrelais des jeweiligen Relaispaares und dem zweiten Anschluss A2 des - in Kaskadenrichtung in Rich tung Recheneinrichtung 11 gesehen - hinteren Datenrelais des jeweiligen Relaispaares verbunden ist.

Jede Zwischenrechnereinrichtung ZRE1, ZRE2 prüft jeweils die Daten D, die in dem an das hintere Datenrelais angeschlosse nen Zwischenspeicher ZS1, ZS2 gespeichert sind. Zeigt die Prüfung, dass die Daten D zur Weiterleitung an die Rechenein richtung 11 geeignet sind, so speichert sie die Daten D in dem an das vordere Datenrelais angeschlossenen Zwischenspei cher ZS2, ZS3 ab.

In der Figur 5 ist ein Schaltzustand dargestellt, bei dem die erste Zwischenrechnereinrichtung ZRE1 die im ersten Zwischen speicher ZS1 gespeicherten Daten D prüft und diese - bei po sitivem Prüfergebnis - in dem zweiten Zwischenspeicher ZS2 abspeichert . In der Figur 6 ist der nächste Schaltzustand dargestellt. Bei dem nächsten Schaltzustand prüft die zweite Zwischenrechner einrichtung ZRE2 die im zweiten Zwischenspeicher ZS2 gespei cherten Daten D und speichert diese - bei positivem Prüfer gebnis - in dem dritten Zwischenspeicher ZS3 ab.

Wird anschließend das dritte Relais R3 umgeschaltet, so kann die Recheneinrichtung 11 auf die Daten D zugreifen.

Die Figur 7 zeigt ein Ausführungsbeispiel für eine Rechenan lage 10 mit einer Zwischenrechnereinrichtung ZRE, die einen TAN-Prüfschritt ausführen kann. In dem TAN-Prüfschritt wird überprüft, ob Daten D eine TAN-Sequenznummer enthalten, die gemäß einer vorgegebenen TAN-Liste 100 erwartet wird bzw. zu lässig ist. Weisen die Daten D die richtige TAN-Sequenznummer oder eine zulässige TAN-Sequenznummer gemäß der TAN-Liste 100 auf, so wird der TAN-Prüfschritt als bestanden angesehen und es werden ggf. weitere Prüfschritte durchgeführt. Andernfalls wird die Datenprüfung als nicht bestanden gewertet und es wird eine Weiterleitung der Daten D an die Recheneinrichtung 11 blockiert.

Ein entsprechender TAN-Prüfschritt kann auch von den Zwi schenrechnereinrichtungen bei den Rechenanlagen gemäß den Fi guren 1 bis 6 sowie 8 bis 10 durchgeführt werden.

Die Figur 8 zeigt ein Ausführungsbeispiel für eine Rechenan lage 10 mit einer Zwischenrechnereinrichtung ZRE, der eine Hilfsrechnereinrichtung HRE zugeordnet ist. Die Zwischenrech nereinrichtung ZRE ist mit der Hilfsrechnereinrichtung HRE über ein Hilfsrelais HR und einen Hilfszwischenspeicher HS gekoppelt .

Die Zwischenrechnereinrichtung ZRE führt eine Vorprüfung der Daten D, die von der Schnittstelleneinrichtung 12 in dem Zwi schenspeicher ZS zur Weiterleitung an die Recheneinrichtung 11 gespeichert worden sind, durch. Die Vorprüfung kann bei spielsweise die Prüfung der Herkunft der Daten D mittels Zer- tifikaten oder die Unversehrtheit der Daten D anhand einer PrüfSummenprüfung einschließen.

Sind die Daten D aus Sicht der Zwischenrechnereinrichtung ZRE zur Weiterleitung an die Recheneinrichtung 11 geeignet, so sendet sie eine Anfrage Sa, die die gespeicherten Daten D be trifft, über eine Datendiode 301 und einen Schnittstellenbau stein 302 an eine externe Zentraleinrichtung 30.

Die externe Zentraleinrichtung 30 prüft nun ihrerseits die Verwertbarkeit der Daten D und übersendet - bei positivem Prüfergebnis - ein positives, die Verwertbarkeit der gespei cherten Daten D anzeigendes Rückmeldesignal Sr an die Hilfs rechnereinrichtung HRE . Die Prüfung der externen Zentralein richtung 30 kann beispielsweise eine Prüfung einschließen, ob Zertifikate gültig sind oder nicht.

Die Hilfsrechnereinrichtung HRE hinterlegt nach Empfang des Rückmeldesignals der externen Zentraleinrichtung eine Frei gabeinformation I über das Hilfsrelais HR in dem Hilfszwi schenspeicher HS. Bei Vorliegen der Freigabeinformation I in dem Hilfszwischenspeicher HS erteilt die Zwischenrechnerein richtung ZRE eine Freigabe zum Umschalten des zugeordneten zweiten Datenrelais R2 zum Zwecke eines Datenflusses in Rich tung der Recheneinrichtung 11.

Liegt die Freigabe der Zwischenrechnereinrichtung ZRE vor, so schaltet die Relaissteuereinrichtung 16 das zweite Datenre lais R2 um, so dass die Recheneinrichtung 11 auf den Zwi schenspeicher ZS zugreifen kann, wie dies oben beispielhaft im Zusammenhang mit den Figuren 1 bis 7 erläutert wurde.

Entsprechende Hilfsrelais HR und Hilfszwischenspeicher HS können im Übrigen auch den Zwischenrechnereinrichtungen ZRE der Rechenanlagen gemäß den Figuren 1 bis 7 sowie 9 bis 10 zugeordnet werden. Die Figur 9 zeigt ein Ausführungsbeispiel für eine Rechenan lage 10, bei der die Schnittstelleneinrichtung 12 mit einer Reboot-Funktion ausgestattet ist. Der Schnittstelleneinrich tung 12 ist zu diesem Zwecke eine Neustarteinrichtung 121 zu geordnet, die mit der Schnittstelleneinrichtung 12 über ein Hilfsrelais HR und einen Hilfszwischenspeicher HS gekoppelt ist. Das Hilfsrelais HR bildet hier ein zweites Relais R2 der Rechenanlage 10. Die Neustarteinrichtung 121 ist dazu ausge bildet, eine einen Neustart der Schnittstelleneinrichtung 12 ermöglichende Startdatei SD zu erzeugen und diese in dem Hilfszwischenspeicher HS zu hinterlegen. Zur Erzeugung der Startdatei kann die Neustarteinrichtung 121 beispielsweise auf Software zugreifen, die in einem Speicher 121a gespei chert ist.

Die Startdatei SD ermöglicht es, die Schnittstelleneinrich tung 12 neu zu starten, wenn diese - beispielsweise wegen ei nes äußeren Angriffs mittels schädlicher Daten D - nicht oder nicht mehr zuverlässig arbeiten kann.

Entsprechende Neustarteinrichtungen 121, Hilfsrelais HR und Hilfszwischenspeicher HS können im Übrigen auch den Zwischen rechnereinrichtungen ZRE bei den Rechenanlagen gemäß den Fi guren 1 bis 8 sowie 10 zugeordnet werden.

Die Figur 10 zeigt ein Ausführungsbeispiel für eine Rechenan lage 10, bei der zwei Datenrelais Trennrelais Rt bilden. Bei den zwei Trennrelais Rt ist der erste Anschluss Al unbelegt. Die Trennrelais Rt ermöglichen eine Schaltstellung der Re laiskaskade 14, bei der der Zwischenspeicher ZS weder mit der Recheneinrichtung 11 noch mit der Schnittstelleneinrichtung 12 verbunden ist.

Die oben anhand der Figuren 1 bis 10 beschriebenen Ausfüh rungsbeispiele können einzelne oder mehrere der nachfolgend stichpunktartig aufgeführten Merkmale bzw. Vorteile aufwei- sen : - Die (inneren) Zwischenrechnereinrichtungen prüfen vorzugs weise die Daten D und erzeugen bei Auffälligkeiten/Abwei chungen über einen Diagnosekanal eine Meldung nach außen. Nach positiver Prüfung können die Daten D auf dem Daten träger belassen werden und es kann eine Prüf-Spur der Zwi schenrechnereinrichtung auf dem Datenträger hinterlassen werden .

- Die Zwischenrechnereinrichtungen sind vorzugsweise weder von außen bzw. aus dem Internet noch von einem internen Netz aus direkt erreichbar und können somit vorzugsweise nicht verändert bzw. manipuliert werden. Hierdurch wird gewährleistet, dass Funktionen, die einmal als vorhanden nachgewiesen wurden, auch zukünftig ihre Aufgabe erfüllen. Eine Attacke auf die Zwischenrechnereinrichtungen (inneren Rechner) von außen wird somit erschwert.

- Die inneren Zwischenrechnereinrichtungen können die Daten auf dem Datenträger z. B. auf Integrität, Virenfreiheit, Authentizität, Dateinamenstruktur, ..., prüfen. Es ist auch möglich, Daten herauszufiltern, die nur für eine bestimmte technische Anlage vorgesehen sind. Hierbei können diese Daten durch ein gesondertes Kennzeichen/Merkmal in den Da ten selbst erkannt werden.

- Jeder Rechner, insbesondere jede Zwischenrechnereinrich tung, hinterlässt vorzugsweise auf dem Datenträger einen Eintrag oder eine Prüf-Spur über die erfolgreiche Prüfung, so dass nachfolgende Rechner die Ergebnisse einsehen kön nen, z. B. ob ein Check von einem bestimmten Rechner stattgefunden hat. Diese Spur kann am Ende der Kette von dem letzten Anlagenrechner ebenfalls überprüft werden, und es kann festgestellt werden, ob alle zuständigen Rechner in die Überprüfung eingebunden wurden.

- Eine Kombination von verschiedenen Verfahren kann genutzt werden. Je nach Einschätzung der Sicherheit und Robustheit kann auch nur ein Verfahren genutzt werden. Die Aufgaben sollten vorzugsweise von verschiedenen Rechnern übernommen werden. Es ist jedoch auch denkbar, die genannten Funktio nen auf einem Rechner nacheinander durchzuführen. - Die Integrität lässt sich durch die Nutzung von verschie denen Prüfverfahren und Prüfsummen, z. B. MD4, MD5, SHA1, usw. überprüfen. Die Prüfwerte werden vorzugsweise durch den Daten-Lieferanten vorab erstellt und werden beim Hoch laden auf die Rechenanlage übergeben. Bei der Bestimmung der Prüfsummen kann zusätzlich noch ein Geheimnis (Salz) verwendet werden, das nur dem befugten Datenübermittler und dem prüfenden Rechner bekannt ist. Es können ein Prüf verfahren oder mehrere Prüfverfahren für eine Konfigurati on verwendet werden. Sollten Daten auf dem Datenträger sein, die nicht die korrekten Prüfsummen haben, werden diese vorzugsweise gelöscht. Bei einer besonders strikten Ausprägung könnten die gesamten Daten D auf dem Datenträ ger gelöscht werden. Diese Aktion wird bei Auffälligkeiten mittels eines Diagnosekanals vorzugsweise nach außen über mittelt (z. B. DatenDiode DCU Data Capture Unit) . Hier durch kann außerhalb des Verfahrens erkannt werden, dass hier Auffälligkeiten aufgetreten sind.

- Durch kryptografisches Signieren der Daten durch den Da tenübermittler (Einreicher) kann ein innerer Rechner vor dem Passieren oder Weiterleiten der Daten prüfen, ob die Daten von der berechtigten Person signiert wurden. Die entsprechenden kryptografischen Schlüssel werden bei der Konfiguration der Vorrichtung vorzugsweise miteingerich tet. Auch hier könnten Daten, die nicht korrekt signiert wurden, gelöscht werden.

- Ein weiteres Verfahren kann die auf dem Datenträger über mittelten Daten auf Viren- und Malware-Freiheit prüfen und bei Auffälligkeiten nur die Daten oder den gesamten Daten träger löschen und die Auffälligkeit über den Diagnoseka nal melden.

- Es können auch Rechner mit neuen Boot-Images versorgt und aufgesetzt werden. Hierzu wird der Boot-Datenträger vor zugsweise mit dem Boot-Image für den Rechner nach einem Herunterfahren bzw. Shutdown z. B. durch einen Steuercom puter abgekoppelt und an einen Deployment-Rechner angekop pelt. Dieser Deployment-Rechner kann nach dem Umhängen des Datenträgers diesen z. B. formatieren und ein frisches Boot-Image auf den Rechner aufspielen, z. B. unter Unix mittels Befehls sudo dd if=fresch_boot_iso_image . iso of=/dev/sdx bs=lM && sync.

- Ein Deployment Rechner kann verschiedene Versionen von

Images Vorhalten und bei Bedarf ein anderes Boot-Image zur Verfügung stellen. Nach dem erfolgreichen Überspielen des frischen Bootimage wird der Boot-Datenträger vorzugsweise wieder an den ursprünglichen Rechner angekoppelt und die ser Rechner neu gestartet. Hierdurch erhält der Rechner eine neue Aufgabe oder ist wieder in seinem Ursprungszu stand. Sollten zum Beispiel vorher durch Attacken Spuren eines Angriffs z. B. extra User-Accounts vorhanden gewesen sein, so sind diese nicht mehr vorhanden. Wenn das frische Boot-Image durch ein lokales Software-Update auf den

Deployment-Rechner aktualisiert wurde, können hierdurch auch Verbesserungen der Konfiguration z. B. des Betriebs systems erreicht werden. Es ist auch eine gleichzeitige Nutzung von mehreren Datenträgern möglich.

- In den oben beispielhaft beschriebenen Varianten wird bei spielhaft nur ein Datensatz D von einem Rechner zum nächs ten übergeben. Diese Vorgehensweise kann auf n Datensätze und n-Datenträger erweitert werden. Pro Rechner können zum Beispiel zwei Input- und zwei Output-Datenträger genutzt werden. Die Daten können dann nach erfolgreichen Tests o- der Prüfschritten vom Input-Datenträger auf den Output- Datenträger kopiert werden. Nach dem Abkoppeln wird der Datenträger vorzugsweise wieder zurückgegeben, somit las sen sich die Turnaround-Zeiten optimieren.

- In einer Ein-Rechnerkonfiguration für eine Datenträger- Schleuse wird nur ein innerer Rechner verwendet. Dieser startet vorzugsweise mit verschieden Boot-Images, die ihm von einem Steuerrechner und einem Deployment-Rechner nach einander übergeben werden. Der innere Rechner bootet z. B. zuerst mit dem Viren-Prüfprogramm und beendet sich nach erfolgreichem Check. Im Anschluss wird das Bootimage vor zugsweise durch den Deployment-Server umkonfiguriert und der innere Rechner wird erneut gestartet, in diesem Fall z. B. mit Prüfsummen-Prüfroutinen . Dieser Ablauf wird sooft wiederholt, bis alle verschiedenen Aufgaben der in neren Rechner abgearbeitet wurden.

- Über diversitäre Eingänge, Wege mit diversitären Filtern und einem anschließenden Zusammenführen lassen sich noch aufwendigere Varianten erstellen. So können z. B. Teile von Daten über verschiedene Eingangsketten durch einen Merge-Computer zusammengeführt werden

- Durch eine gesonderte anlagenspezifische TAN-Sequenznummer für Uploads beispielsweise können nur Daten eingebracht werden, wenn die interne TAN mit der von extern mitgegebe nen TAN übereinstimmt. Verbrauchte TAN werden vorzugsweise von der Liste gestrichen und nicht mehr verwendet.

- Durch ein zusätzliches Konstrukt ist es möglich, das Ver fahren um eine Zei-Faktor-Authentifizierung zu erweitern. In diesem Fall sendet vorzugsweise ein innerer Rechner über eine Datendiode eine Anfrage an einen externen (ggf. Cloud) Verifikationsrechner, um eine externe Überprüfung zu ermöglichen. Hierzu kann das gesamte Prüfobjekt oder ein Hashwert an den Verifikationsrechner übergeben werden. Dieser Verifikationsrechner kann eine weitere Prüfsumme oder Signatur für das Prüfobjekt erzeugen. Das Ergebnis der zweiten externen Überprüfung durch den Verifikations rechner wird im Anschluss wieder vorzugsweise an den inne ren Rechner übergeben. Erst wenn die Rückmeldung des Veri fikationsrechners mit der erwarteten Rückmeldung überein stimmt, werden die Daten an den nächsten Rechner überge ben. Hier könnte unter anderem auch eine Art 2FA-Verfahren analog zu Google genutzt werden.

- Die durch die verschiedenen Rechner durchgeführten Prüfun gen können durch die inneren Rechner protokolliert, kryp- tografisch signiert und an den Nachfolger-Rechner überge ben werden. Hierdurch entsteht eine Art Prüf-Spur über den Verlauf der Prüfkette. Jeder Rechner einer Spur hinter lässt auf dem Datenträger seine Signatur zu den positiv durchgeführten Tests. Eine entsprechende Signatur für Auf fälligkeiten ist ebenfalls möglich. Durch eine Konfigura tion kann vorab festgelegt werden, welche Rechner nachei nander bei der Prüfung eingebunden werden sollen. Hier- durch kann der letzte innere Rechner anhand der Konfigura tion der Spur und der Informationen ermitteln, ob alle re levanten Rechner der Spur eingebunden waren und ihre Sig naturen hinterlassen haben.

Sollte es notwendig sein, dass die Datenträger zwischen dem Umschalten von zwei Rechnern in einer "neutralen" Po sition verharren, so kann die Schaltung entsprechend auf gebaut werden.

Die Schnittstelleneinrichtung, die zum Beispiel durch ei nen äußeren Internet-fähigen Rechner gebildet ist, kann - wie oben beschrieben - wieder in den Ursprung versetzt bzw. rebooted werden.

Auch eine Aktualisierung der Rechner, insbesondere des an deren äußeren Rechners, ist durch die verteilte Architek tur sehr leicht möglich.

Bei den beschriebenen Verfahren kann ein vollständiger Protokollbruch bei der Datenübertragung erreicht werden.

Es ist möglich, dass immer nur ein Rechner mit einem Da tenträger verbunden ist; es kann also eine saubere Ent kopplung des Datenträgers erfolgen.

Die inneren Rechner können selbst sehr einfache und kleine Computer sein.

Obwohl die Erfindung im Detail durch bevorzugte Ausführungs- beispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.