Netzwerkadapter zur unidirektionalen Übertragung von Daten

Die Erfindung betrifft einen Netzwerkadapter zur unidirektio nalen Übertragung eines Datenstroms an eine bidirektionale Netzwerkschnittstelle .

Heutige Industrieanlagen, Verkehrssicherungsnetze oder auch Energieverteilungsnetze umfassen eine Vielzahl von Geräten, die Daten, beispielsweise über den Zustand des Gerätes oder Diagnosedaten, über ein Kommunikationsnetz miteinander aus- tauschen oder an zentrale Steuerungs- oder Überwachungsserver übertragen. Solche Geräte werden häufig als Internet-of- Things Geräte, kurz IoT Geräte oder als „Internet-der-Dinge" Geräte, bezeichnet. Daten, beispielsweise aus Industrieanla gen, sollen zur Analyse geschützt an einen Internet-of- Things-Server, der entweder nahe der Industrieanlage oder in ein entfernt angeordnetes gemeinschaftlich genutztes Server system, auch als Cloud bezeichnet, übertragen werden. Die Da ten können dort beispielsweise ausgewertet werden, um zukünf tige Defekte rechtzeitig zu erkennen, um Maschinenparameter zu optimieren oder um Angriffe oder Manipulationen der In dustrieanlage zu erkennen. Aus Kostengründen wird dabei in der Regel für die Datenübertragung ein öffentliches Netz, beispielsweise das Internet, oder ein Büronetzwerk oder Fab riknetz verwendet.

Eine wichtige Sicherheitsanforderung besteht darin, dass bei spielsweise ein Automatisierungsnetz nicht von außen, bei spielsweise vom Internet aus, angegriffen oder beeinflusst werden kann. Dies ist insbesondere deshalb wichtig, da manche Automatisierungsnetzwerke spezielle Echtzeit- und Betriebssi cherheits-Anforderungen erfüllen müssen. Zudem sind in man chen Automatisierungsnetzwerken Altgeräte mit unzureichendem Zugriffsschutz im Einsatz und die Betriebssicherheit oftmals über eine strikte Netzisolation, auch als Perimeterschutz be zeichnet, realisiert. Dies bedeutet, dass eine direkte, bidi- rektionale Anbindung von Geräten an externe Systeme nicht möglich ist, da hierdurch das Schutzniveau der Anlagennetze gefährdet ist.

Bekannt sind Datendioden oder Einweg-Gateways, die eine rück wirkungsfreie Anbindung eines Anlagennetzwerks an ein exter nes bzw. öffentliches Netzwerk ermöglichen. Durch ein solches Einweg-Gateway wird gewährleistet, dass nur Daten aus der In dustrieanlage, die eine Netzwerkzone mit hoher Sicherheitsre levanz darstellt, heraus übertragen werden können. Eine Über tragung von Daten vom externen Netz, das eine Netzwerkzone mit eventuell geringerer Sicherheitsrelevanz darstellt, in das Anlagennetz ist weder direkt möglich, noch sollten Daten aus Signalisierungsprotokollen oder anderweitigen Datenquel len vom externen Netzwerk in das Anlagennetz eingebracht wer den können. Durch diese strikte Datenflusskontrolle wird ver lässlich verhindert, dass von einem externen Netzwerk aus, der Betrieb der Industrieanlage beeinflusst oder beeinträch tigt werden kann.

Die WO 2019/040438 Al offenbart eine durch Hardware erzwunge ne Informationsfluss-Kontrollvorrichtung mit einer ersten und zweiten Netzwerk-Interface-Karte, die mit der Sende- bzw. Empfangsseite verbunden ist. Die erste Netzwerk-Interface- Karte umfasst zwei Transceiver-Module, die miteinander ver bunden sind. Der Sendeausgang eines Transceiver-Moduls der ersten Netzwerk-Interface-Karte ist zusätzlich mit einem Transceiver-Modul der zweiten Netzwerk-Interface-Karte ver bunden. Über diese Verbindung wird der Informationsfluss zwi schen der ersten und zweiten Netzwerk-Interface-Karte über tragen .

Die DE 10 2015 108109 Al offenbart eine Vorrichtung zur un- idirektionalen Datenübertragung von einem Sender in einem ersten Netzwerk über eine Datendiode zu einem Empfänger in einem zweiten Netzwerk. Aktuell angebotene Einweg-Gateways sind, je nach Einsatzge biet, teure Netzwerkkomponenten, die üblicherweise von Kompo nenten für den Militär- oder Behördeneinsatz abgeleitet wer den. Die hohen Kosten verhindern einen wünschenswerten brei ten Einsatz in Industrienetzwerken. Die EP 3207683 beschreibt beispielsweise ein solches Verfahren und eine solche Vorrich tung zum rückwirkungsfreien Erfassen von Daten in einer si cherheitskritischen Netzwerkzone und ein Übertragen der Daten in eine Netzwerkzone mit geringer Sicherheitsanforderung.

Des Weiteren besteht der Bedarf, vorhandene Netzwerkkomponen ten, wie beispielsweise Daten-Gateways zu Cloud-Servern, um eine Einweg-Übertragungsfunktionalität zu erweitern.

Es ist somit die Aufgabe der vorliegenden Erfindung, eine si chere, strikt unidirektionale Datenübertragung von einer si cherheitskritischen, beispielsweise geschlossenen Netzwerkzo nen an eine öffentliche Netzwerkzone, an eine Netzwerkzone mit geringerer Sicherheitsrelevanz, beispielsweise an ein Cloud-Server-System, mit möglichst einfachen und kostengüns tigen Mitteln zu ermöglichen. Dabei sollen bestehende Netz werkkomponenten weiterverwendet werden können und mit mög lichst geringem Aufwand dennoch eine Einwegkommunikation si chergestellt sein.

Gemäß einem ersten Aspekt betrifft die Erfindung einen Netz werkadapter zur unidirektionalen Übertragung eines Nutzdaten stroms an eine bidirektionale Netzwerkschnittstelle, aufwei send eine erste Anschlusseinheit, die mit einer bidirektiona len Netzwerkschnittstelle eines ersten Geräts physisch ver bindbar ist, eine zweite Anschlusseinheit, die mit einer bidirektionalen Netzwerkschnittstelle eines zweiten Geräts physisch verbindbar ist, und eine Terminierungseinheit, die mindestens eine Bitübertragungsbaugruppe aufweist, und die derart konfiguriert ist, eine bidirektionale Datenverbindung zur Netzwerkschnittstelle des ersten Geräts aufzubauen, den Nutzdatenstrom ausschließlich unidirektional über die Daten- Verbindung vom ersten Gerät zu empfangen und keine Nutzdaten an das erste Gerät zu senden.

Die bidirektionale Datenverbindung zur Netzwerkschnittstelle des ersten Geräts kann insbesondere ein bidirektionaler Phy- sical Layer Link sein, z.B. Ethernet PHY. Er wird bidirektio nal aufgebaut, sodass das erste Gerät eine aufgebaute bidi rektionale Verbindung erkennt und diese dadurch aktivieren kann. Obwohl das erste Gerät eine bidirektionale Datenverbin dung erkennt, ist jedoch trotzdem nur eine unidirektionale Übertragung von Nutzdaten möglich.

Durch den Netzwerkadapter ist eine kostengünstige und tech nisch minimalistische Realisierung eines Einweg-Gateways ge schaffen, bei der Rückwirkungsfreiheit auf das angeschlossene erste Gerät dadurch sichergestellt wird, dass die bidirektio nale Datenverbindung ausschließlich den Nutzdatenstrom vom ersten Gerät empfängt, aber keinen Nutzdatenstrom an das ers te Gerät sendet. Die Rückwirkungsfreiheit wird dabei durch Hardware-Maßnahmen erzwungenen. Der Netzwerkadapter kann mit einem beliebigen ersten Gerät, das in der sicherheitsrelevan ten Netzwerkzone angeordnet ist und eine herkömmliche bidi rektionalen Netzwerkschnittstelle aufweist, verwendet werden. Somit können Daten von dem ersten Gerät in einer sicher- heitskritischen Netzwerkzone an ein zweites Gerät, das in ei ner Zone mit geringerer Sicherheitsrelevanz angeordnet ist, übermittelt werden. Dabei wird den beiden verbundenen Netz werkschnittstellen des ersten und zweiten Gerätes vorge täuscht, dass eine herkömmliche bidirektionale Datenverbin dung physikalisch besteht. Andernfalls würden diese Netzwerk schnittstellen einen Fehler erkennen beziehungsweise sie wür den nicht erkennen, dass ein Übertragungsmedium, beispiels weise ein Netzwerkkabel, verbunden ist. Die Terminierungsein heit weist dafür speziell eine Bitübertragungsbaugruppe auf, die eine bidirektionale Netzwerkstelle auf physikalischer Ebene terminiert, d.h. mit der bidirektionalen Netzwerk schnittstelle des beispielsweise ersten Gerätes eine herkömm liche bidirektionale Verbindung aufbauen kann. Dennoch können Datenpakete nur unidirektional übertragen werden. Eine Termi nierung auf physikalische Ebene bezeichnet dabei eine Durch führung von Aufgaben und den Austausch von Information ent sprechend einer ersten Schicht, auch als Bitübertragungs schicht oder Physical Layer bezeichnet, eines Verbindungsmo dells für offene Systeme, das durch die Internationale Tele kommunikationsunion ITU-T standardisiert ist und kurz als OSI-Referenzmodell bezeichnet wird.

Im erfindungsgemäßen Netzwerkadapter weist die Terminierungs einheit eine erste Bitübertragungsbaugruppe auf, die die bidirektionale Datenverbindung in Bezug auf einen Bitübertra gungsmodus terminiert und eine Medien-abhängige und eine Me- dien-unabhängige Schnittstelle aufweist.

Die erste Bitübertragungsbaugruppe kann derart konfiguriert sein, dass entweder die Medien-abhängige Schnittstelle oder die Medien-unabhängige Schnittstelle für die unidirektionale Datenübertragung verwendet wird. Die Bitübertragungsbaugruppe kann an ihren Schnittstellen zur Übertragung des Nutzdaten stroms unterschiedlich geschaltet werden und bietet so eine Eingriffsmöglichkeit auf die Übertragungsrichtung der Daten verbindung. Die Bitübertragungsbaugruppe ist in bevorzugter Weise als integrierter Schaltkreis ausgebildet.

In einer nicht erfindungsgemäßen Ausführungsform ist ledig lich die Medien-abhängige Schnittstelle bei einer ersten Bit übertragungsbaugruppe beschältet und die Medien-abhängige Schnittstelle ist derart konfiguriert, die Datenverbindung entsprechend einem vorgegebenen Typ eines Übertragungsmediums der bidirektionalen Datenverbindung zu terminieren.

Dies hat den Vorteil, dass der Netzwerkadapter für den vorge gebenen Typ eines Übertragungsmediums der bidirektionalen Da tenverbindung vorkonfiguriert vorliegt und ohne weitere Kon figuration funktionsfähig ist. In einer nicht erfindungsgemäßen Ausführungsform ist die Me- dien-unabhängige Schnittstelle der ersten Bitübertragungsbau gruppe nicht beschältet.

Somit ist die Datenverbindung an dieser Stelle terminiert und es können keine Daten von der Bitübertragungsbaugruppe an das erste Gerät gesendet werden. Insbesondere werden auf der Me- dien-abhängigen Schnittstelle die Eigenschaften der Datenver bindung entsprechend der Gegenstelle und dem Typ des ange schlossenen Übertragungsmediums durch Signale, die zwischen der Bitübertragungsbaugruppe im Netzwerkadapter und der ers ten Netzwerkschnittstelle im ersten Gerät ausgetauscht wer den, vereinbart. Die Rückwirkungsfreiheit der Verbindung zwi schen Netzwerkadapter und dem ersten Gerät ist sicherge stellt .

In einer nicht erfindungsgemäßen Ausführungsform wird der Nutzdatenstrom zwischen der ersten Anschlusseinheit und der Terminierungseinheit ausgekoppelt und an die zweite An schlusseinheit ausgegeben.

Das Auskoppeln des Nutzdatenstroms bezeichnet dabei ein pas sives Übertragen bzw. Auslesen des Nutzdatenstroms aus einem Bereich der Datenverbindung innerhalb des Netzwerkadapters. Der Nutzdatenstrom wird beispielsweise dupliziert, und der duplizierte Nutzdatenstrom wird an die Netzwerkschnittstelle des zweiten Gerätes übermittelt. Die Netzwerkschnittstelle im ersten Gerät sowie die Netzwerkschnittstelle der Bitübertra gungsbaugruppe sind im sogenannten „Promiscuous Mode" konfi guriert. Der ursprüngliche Nutzdatenstrom wird an die Bit übertragungsbaugruppe weitergegeben und dort terminiert. Die Bitübertragungsbaugruppe terminiert somit die Datenverbindung im Netzwerkadapter.

Der erfindungsgemäße Netzwerkadapter weist die Terminierungs einheit die erste und eine zweite Bitübertragungsbaugruppe auf, wobei die erste Bitübertragungsbaugruppe den Nutzdaten strom unidirektional an die zweite Bitübertragungsbaugruppe übermittelt und die zweite Bitübertragungsbaugruppe eine zweite Datenverbindung zum zweiten Gerät terminiert.

Dies hat den Vorteil, dass der Datenstrom aktiv weitergelei tet wird und somit eine Auswahl von nutzbaren Typen von Über tragungsmedien größer ist. Es werden somit zwei aktive Netz werkverbindungen, zum einen von der ersten Bitübertragungs baugruppe zur Netzwerkschnittstelle im ersten Gerät sowie ei ne zweite aktive Datenverbindung von der zweiten Bitübertra gungsbaugruppe zur Netzwerkschnittstelle des zweiten Gerätes, aufgebaut .

Der erfindungsgemäße Netzwerkadapter übermittelt die erste Bitübertragungsbaugruppe den Nutzdatenstrom über eine Medien unabhängige Schnittstelle an die zweite Bitübertragungsbau gruppe .

Somit wird der Nutzdatenstrom lediglich von der ersten zur zweiten Bitübertragungsbaugruppe übermittelt. In Rückrich tung, von der zweiten zur ersten Bitübertragungsbaugruppe findet keine Übertragung des Nutzdatenstroms statt.

In einer vorteilhaften Ausführungsform vereinbart die erste Bitübertragungsbaugruppe einen Typ des Übertragungsmediums der bidirektionalen Datenverbindung mit dem ersten Gerät.

Dies hat den Vorteil, dass unterschiedliche Typen von Über tragungsmedien zwischen dem ersten Gerät und dem Netzwerka dapter, insbesondere der ersten Anschlusseinheit einsetzbar sind .

In einer vorteilhaften Ausführungsform vereinbart die zweite Bitübertragungsbaugruppe einen Typ eines Übertragungsmediums der bidirektionalen Datenverbindung mit dem zweiten Gerät und leitet den in der zweiten Bitübertragungsbaugruppe empfange nen Nutzdatenstrom an das zweite Gerät weiter. Dies hat den Vorteil, dass unterschiedliche Typen von Über tragungsmedien zwischen dem Netzwerkadapter und dem zweiten Gerät verwendet werden können.

In einer vorteilhaften Ausführungsform ist die zweite Bit übertragungsbaugruppe derart konfiguriert, den Nutzdatenstrom von der ersten Bitübertragungsbaugruppe auf dem Medien unabhängigen Interface zu empfangen und den Nutzdatenstrom von der Medien-unabhängige Schnittstelle an die Netzwerk schnittstelle des zweiten Gerätes, bevorzugt in einem promis- kuitiven Modus, zu übermitteln.

Dies hat den Vorteil, dass lediglich Nutzdatenstrom über die medien-unabhängige Schnittstelle unidirektional übertragen wird. Die Medien-abhängige Schnittstelle der ersten Bitüber tragungsbaugruppe und der zweiten Bitübertragungsbaugruppe sind nicht verbunden und somit entkoppelt und es kann kein Nutzdatenstrom zwischen der ersten und der zweiten Bitüber tragungsbaugruppe auf Medien-abhängigen Schnittstellen über mittelt werden.

In einer vorteilhaften Ausführungsform weist der Netzwerka dapter eine Mediensteuerungseinheit auf, die die erste und/oder die zweite Bitübertragungsbaugruppe zur Bereitstel lung des vorgegebenen oder des vereinbarten Typs des Übertra gungsmediums konfiguriert.

Somit kann die Bitübertragungsbaugruppe einfach strukturiert aufgebaut sein, da Logik zur Einstellung und Anpassung an die unterschiedlichen Typen von Übertragungsmedien durch die Me diensteuerungseinheit durchgeführt werden.

In einer vorteilhaften Ausführungsform sind die erste und die zweite Anschlusseinheit als Steckverbinder zum Anschluss ei nes Übertragungsmediums ausgebildet. Der Steckverbinder kann ein Stecker, ein Steckadapter, oder ein Steckadapterkabel sein . Somit kann der Netzwerkadapter einfach an ein vorhandenes Übertragungsmedium angeschlossen werden. Ein solcher Steck verbinder kann beispielsweise als Ethernet-Dose nach RJ-45 oder M12-Standard oder IEC 63171-2 (Single Pair Ethernet für Büroumgebung) oder IEC 63171-5 (Single Pair Ethernet für In dustrieumgebung) ausgebildet sein und ein entsprechendes Ethernet-Kabel beziehungsweise dessen Stecker aufnehmen.

In einer vorteilhaften Ausführungsform umfasst der Netzwerka dapter zwei Übertragungsmedien, die mit der ersten und/oder der zweiten Anschlusseinheit fest verbunden sind.

Somit können Kombinationen aus Netzwerkadapter plus Übertra gungsmedium fest vorkonfiguriert sein und somit ohne zusätz liche Übertragungsmedien an Geräte angeschlossen werden.

In einer vorteilhaften Ausführungsform terminiert die erste und/oder zweite Bitübertragungsbaugruppe die bidirektionale Datenverbindung in Bezug auf den Bitübertragungsmodus ent sprechend einem Ethernet-Standard.

Der Ethernet-Standard, der vom Standardisierungsgremium IEEE mit der Nummer 802.3 standardisiert ist, wird weitverbreitet in der Netzwerktechnik verwendet. Ein entsprechender Netzwer kadapter deckt somit ein weites Einsatzfeld ab.

Die jeweilige „Einheit" kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretech nischen Implementierung kann die jeweilige Einheit als Vor richtung oder als Teil einer Vorrichtung ausgebildet sein.

Der Netzwerkadapter und die enthaltenen Einheiten, insbeson dere die Terminierungseinheit, können als integrierte Schalt kreise, als Mikroprozessoren oder als programmierbare Schal tungsbausteine ausgebildet sein. Bei einer softwaretechni schen Implementierung kann die jeweilige Einheit als Compu terprogrammprodukt, als Funktion, als Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein. Ausführungsbeispiele des erfindungsgemäßen Netzwerkadapters sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen :

Fig. 1 ein erstes Ausführungsbeispiel eines nicht erfin- dungsgemäßen Netzwerkadapters mit einem passiven Ab griff des Nutzdatenstroms in Blockdarstellung;

Fig. 2 ein zweites Ausführungsbeispiel des erfindungsgemäßen

Netzwerkadapters mit einem aktiven Abgriff des Nutz datenstroms in Blockdarstellung; und

Fig. 3 ein drittes Ausführungsbeispiel des erfindungsgemäßen

Netzwerkadapters mit Übertragungsmedien in Blockdar stellung .

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.

Figur 1 zeigt einen Netzwerkadapter 20, der eine erste An schlusseinheit 21 aufweist, der mit einer bidirektionalen Netzwerkschnittstelle 11 eines ersten Gerätes 10 physisch verbindbar ist. Der Netzwerkadapter 20 weist des Weiteren ei ne zweite Anschlusseinheit 24 auf, die mit einer zweiten bidirektionalen Netzwerkschnittstelle 31 eines zweiten Gerä tes 30 physisch verbindbar ist. Das erste Gerät 10 ist in ei ner sicherheitsrelevanten Netzwerkzone 12 angeordnet. Die erste Anschlusseinheit 21 bildet somit eine Schnittstelle zur sicherheitsrelevanten Netzwerkzone, beispielsweise einem Da tennetzwerk einer Automatisierungsanlage oder einem Betriebs- sicherheitsnetzwerk aus. Das zweite Gerät 30 befindet sich in bevorzugter Weise in einer Netzwerkzone 13 mit geringer Si cherheitsrelevanz, beispielsweise einem Büronetzwerk oder ei nem öffentlichen Netzwerk, beispielsweise dem Internet. Das zweite Gerät 30 kann mit einer weiteren Netzwerkschnittstelle 32 mit einem Server 50, insbesondere einem Cloud-System ver bunden sein. Der Netzwerkadapter 20 umfasst des Weiteren eine Terminie rungseinheit 22, die derart konfiguriert ist, eine bidirekti onale Datenverbindung 14 zur Netzwerkschnittstelle 11 des ersten Gerätes 10 aufzubauen. Die Datenverbindung 14 wird beispielsweise über ein Netzwerkkabel, das mit der ersten An schlusseinheit 21 sowie der Netzwerkschnittstelle 11 des ers ten Gerätes 10 verbunden ist, realisiert. Eine Datenverbin dung 33 wird über die zweite Anschlusseinheit 24 zur bidirek tionalen Netzwerkschnittstelle des zweiten Gerätes 30 weiter geführt .

Die Terminierungseinheit 22 umfasst eine erste Bitübertra gungsgruppe 23, die die bidirektionale Datenverbindung 14 in Bezug auf einen Bitübertragungsmodus terminiert. Somit ist eine aktive Datenverbindung 14 zwischen der ersten bidirekti onalen Netzwerkschnittstelle 11 und der Bitübertragungsbau gruppe 23 aufgebaut. Der Bitübertragungsmodus umfasst Funkti onen auf einer physikalischen Bitübertragungsschicht gemäß einem OSI-Referenzmodell . Diese Funktionen sind entsprechend dem verbundenen Übertragungsmedium festgelegt. Für Netzwerk kabel entsprechend dem Ethernet-Standard sind die entspre chenden Funktionen im Standard 802.3 des Instituts für Elekt rische und Elektronische Ingenieure IEEE festgelegt. Der Netzwerkadapter 20 ist jedoch nicht auf Übertragungsmedien entsprechend dem Ethernet-Standard, also Ethernet-Kabel, be schränkt. Es sind auch andere Übertragungsmedien nach anderen Standards mit der ersten und zweiten Anschlusseinheit 21, 24 verbindbar .

Die Bitübertragungsbaugruppe 23 weist eine medien-unabhängige Schnittstelle sowie eine medien-abhängige Schnittstelle auf. Über die medien-unabhängige Schnittstelle wird beispielsweise die physikalische Codierung der zu übertragenden Daten, bei spielsweise die Taktfrequenz und Codierungsverfahren mit der gegenüberliegenden Netzwerkschnittstelle, hier Netzwerk schnittstelle 11 des ersten Gerätes, vereinbart. Die medien abhängige Schnittstelle bildet die mechanische Verbindung der Bitübertragungsbaugruppe aus und ist mit der ersten An schlusseinheit 21 verbunden.

In der vorliegenden Ausführungsform ist die Datenverbindung 14 von der ersten bidirektionalen Netzwerkschnittstelle 11 des ersten Gerätes über die erste Anschlusseinheit 21 mit der Bittübertragungsbaugruppe 23 der Terminierungseinheit 22 ver bunden und wird dort terminiert. Die medien-unabhängige

Schnittstelle der Bitübertragungsbaugruppe 23 ist dabei nicht beschältet. Es kann somit kein Nutzdatenstrom von der Bit übertragungsbaugruppe 23 an das erste Gerät übermittelt wer den. Die Bitübertragungsbaugruppe 23 ist fest auf einen Typ eines angeschlossenen Übertragungsmediums, über das die Da tenverbindung 14 physikalisch übertragen wird, konfiguriert. So ist die Bitübertragungsbaugruppe 23 beispielweise derart konfiguriert, eine Datenverbindung entsprechend eines 10-Mbit oder eines 100-Mbit Übertragungsmediums gemäß dem Ethernet- Standard, aufzubauen. Die Konfiguration der Bitübertragungs baugruppe 23 erfolgt beispielsweise über eine Mediensteuer einheit 25. Alternativ kann die Bitübertragungsbaugruppe 23 fest auf einen Typ des Übertragungsmediums konfiguriert sein und somit lediglich ein entsprechendes Übertragungsmedium un terstützen. Die Netzwerkschnittstelle 31 des zweiten Gerätes 30 wird dabei bevorzugt im promiskuitiven Modus, im Engli schen auch „Promiscuous Mode" genannt, betrieben.

Der Nutzdatenstrom wird nun zwischen der ersten Anschlussein heit 21 und der ersten Bitübertragungsbaugruppe 23 mit der Datenverbindung 14 unidirektional ausgekoppelt und über die zweite Anschlusseinheit 31 an die bidirektionale Netzwerk schnittstelle 31 des zweiten Gerätes 30 weitergegeben. Das zweite Gerät 30 kann die Daten beziehungsweise den Nutzdaten strom beispielsweise über die zweite Netzwerkschnittstelle 32 an den Server 50 weiterleiten. Der Netzwerkadapter 20 kann insbesondere eine Datenverbindung 14 über Übertragungsmedien gemäß dem Ethernet-Standard mit 10 MBit/s oder 100 MBit/s Übertragungsrate terminieren. Figur 2 zeigt einen aktiven Abgriff des Nutzdatenstroms von der Datenverbindung 14. Der Netzwerkadapter 40 umfasst dabei eine erste Anschlusseinheit 41 sowie eine zweite Anschluss einheit 44, die jeweils mit der bidirektionalen Netzwerk schnittstelle 11, 31 des ersten Geräts 10 beziehungsweise des zweiten Geräts 30 verbindbar sind. In der Terminierungsein heit 42 ist eine erste Bitübertragungsbaugruppe 43 angeord net, die eine aktive bidirektionale Datenverbindung 14 mit der ersten Netzwerkschnittstelle 11 des ersten Geräts 10 un terhält und terminiert. Das erste Gerät 10 ist dabei der Sen der des Nutzdatenstroms. Der Nutzdatenstrom wird über die me- dien-abhängige Schnittstelle in der Bitübertragungsbaugruppe 43 empfangen.

Die Terminierungseinheit 42 umfasst des Weiteren eine zweite Bitübertragungsbaugruppe 46, die über eine unidirektionale Datenverbindung 47 mit der medien-unabhängigen Schnittstelle der ersten Bitübertragungsbaugruppe 43 verbunden ist. Der Nutzdatenstrom wird von der ersten Bitübertragungsbaugruppe 43 über diese unidirektionale Datenverbindung 47 an die medi- en-unabhängige Schnittstelle der zweiten Bitübertragungsbau gruppe 46 weitergeleitet. Die medien-unabhängige Schnittstel le der ersten Bitübertragungsbaugruppe ist dabei so geschal tet, dass Daten nur in eine Richtung an die zweite Bitüber tragungsbaugruppe 46 übertragen werden. Auf diese Weise wird sichergestellt, dass Daten lediglich aus der sicherheitskri tischen Netzwerkzone 12 herausgeleitet werden können, aller dings keine Daten in das sicherheitskritische Netz 12 einge bracht werden können.

Die erste und die zweite Bitübertragungsbaugruppe 43, 46 sind bevorzugt mit jeweils einer Mediensteuerungseinheit 45, 47 verbunden, die jeweilige die Bitübertragungsbaugruppe 43, 46 konfiguriert. Die Mediensteuerungseinheit 45, 47 kann auch als eine einzige Mediensteuerungseinheit ausgebildet sein, die sowohl die erste als auch die zweite Bitübertragungsbau gruppe 43, 46 konfiguriert. Zwischen der zweiten Bitübertragungsbaugruppe 46 und weiter über die zweiten Anschlusseinheit 44 besteht eine bidirektio nale Datenverbindung 33 zur Netzwerkschnittstelle 31 des zweiten Geräts 30, das ein Empfänger der Datenverbindung bzw. des Nutzdatenstroms ist. In vorteilhafter Weise ist die bidi rektionale Netzwerkschnittstelle 31 des zweiten Gerätes 30 im promiskuitiven Modus betrieben. Der von der zweiten Bitüber tragungsbaugruppe 46 empfangene Nutzdatenstrom wird in der zweiten Datenverbindung 33 über die zweite Anschlusseinheit 44 an die Netzwerkschnittstelle 31 des zweiten Geräts 30 übermittelt. Das zweite Gerät 30 umfasst beispielsweise ein Cloud-Gateway und überträgt den gegebenenfalls aufbereiteten beziehungsweise gefilterten Nutzdatenstrom an das Cloud- System 50.

Figur 3 zeigt einen Netzwerkadapter 60 mit einer Terminie rungseinheit 62 sowie einer ersten und zweiten Anschlussein heit 61, 64 sowie zwei Übertragungsmedien 63, 65. Die erste und/oder zweite Anschlusseinheit 61, 64 des Netzwerkadapters 60 ist beispielsweise als Steckverbinder zum Anschluss eines Übertragungsmediums 63, 65 ausgebildet. Die Übertragungsme dien 63, 65 sind mit jeweils einer Anschlusseinheit lösbar verbindbar .

Der Netzwerkadapter 60 kann alternativ ein oder zwei Übertra gungsmedien 63, 65 umfassen. Das eine und/oder zweite Über tragungsmedien 63, 65 ist dabei fest mit der ersten bzw.

zweiten Anschlusseinheit 61, 64 verbunden. Die Übertragungs medien 63, 65 sind beispielsweise Ethernet-Kabel. Des Weite ren kann lediglich eine Anschlusseinheit als Steckverbinder ausgebildet sein, die andere Anschlusseinheit kann fest mit einem Übertragungsmedium verbunden sein.

Gegenüber den bisher bekannten unidirektionalen Datenübertra gungsvorrichtungen wie beispielsweise einem unidirektionalen Gateway ist bei dem vorliegenden Netzwerkadapter der Hard wareaufwand drastisch reduziert. Durch die verschiedenen Kon- figurationsmöglichkeiten können unterschiedliche Übertra gungsmedien unterstützt werden, insbesondere Übertragungsme dien entsprechend dem Ethernet-Standard IEEE 802.3. Durch den erfindungsgemäßen Netzwerkadapter können die Kosten für eine industrielle Datendiode erheblich reduziert werden. Der Netz werkadapter kann mit bestehenden Geräten, sogenannten Brown- field-Geräten, als auch mit neuen Geräten eingesetzt werden.

Die in Figur 1 dargestellte und beschriebene Variante unter stützt einen rein passiven Abgriff von Daten. Sie ermöglicht somit die kostengünstige Realisierung sowohl als rückwir kungsfreier Netzwerk-Tap, als auch als unidirektionales Gate way, also als Datendiode für kritische Infrastrukturen.

Die in Figur 2 beschriebene zweite Variante des Netzwerkadap ters unterstützt ferner Datenverbindungen über Übertragungs medien mit 1 Gbit/s Übertragungsrate. Da der Abgriff der Da ten aktiv erfolgt, ist diese Lösung zwar nicht rückwirkungs frei im physikalischen Sinn. Allerdings ist diese Variante sehr gut für die kostengünstige Realisierung eines unidirek- tionalen Gateways mit dedizierten zusätzlichen Sender- und Empfängersystemen geeignet. Selbst im Falle eines Leistungs abfalls der Gateway-Strecke ist die Lösung rückwirkungsfrei aus Sicht des kritischen Netzwerks.

Alle beschrieben und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert wer den. Die Erfindung ist nicht auf die beschriebenen Ausfüh rungsbeispiele beschränkt.