Die Erfindung betrifft eine Sicherheitsvorrichtung zur sicheren Übertragung von digitalen Daten, die durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen Datenformat kodierte Nutzdaten enthalten, zwischen einem ersten Computernetzwerk und wenigstens einem zweiten Computernetzwerk.

Die Erfindung betrifft ebenso ein Verfahren zur sicheren Übertragung von solchen digitalen Daten.

Der Austausch von digitalen Daten gehört zu den grundlegendsten Funktionalitäten von Computernetzwerken. Ein Computernetzwerk (auch Rechnernetz oder kurz Netzwerk genannt) ist ein kommunikativ verbundener Zusammenschluss von elektronischen Geräten (bspw. Computer bzw. Rechner), die mithilfe des Computernetz- werkes digitale Daten untereinander austauschen können. Solche digitalen Daten können beispielsweise Dateien oder ein Datenstream sein. Die in solchen digitalen Daten enthaltenen Nutzdaten, deren eigentlicher Austausch das primäre Ziel ist, sind je nach Datentyp durch ein spezifisches Datenformat kodiert und in durch das spezifischen Datenformat vorgegebene Strukturdaten eingebettete, sodass der Empfänger basierend auf dem spezifischen Datenformat aus den vorgegebenen Strukturdaten die gewünschten Nutzdaten extrahieren und weiterverarbeiten kann.

Die Strukturdaten werden dabei durch das spezifischen Datenformat vorgegeben und dienen zur standardisierten Strukturierung der Nutzdaten dahingehend, dass der Sender die Nutzdaten entsprechend dem spezifischen Datenformat in die Strukturdaten einbettet und der Empfänger genau die Nutzdaten an denjenigen Stellen wieder- findet, an denen die Nutzdaten entsprechend dem spezifischen Datenformat eingebettet sein müssten. So wird zwischen Sender und Empfänger sichergestellt, dass sämtliche zu übertragenen Nutzdaten auch beim Empfänger wiederhergestellt werden können.

Werden als digitale Daten beispielsweise digitale Bilddaten (bspw. jpg, tiff, png, etc) oder digitalen Dokumentendaten (bspw. pdf, docx, etc), die im Sinne der vorliegenden Erfindung den digitalen Bilddaten gleichgestellt sind, verwendet, so enthalten diese digitalen Daten neben den eigentlichen Bildinformationen bzw. Dokumenteninformationen noch weitere Steuerdaten, die als Strukturdaten das Grundgerüst zur Einbettung der eigentlichen Bildinformationen bzw. Dokumenteninformationen darstellen. Sollen die digitalen Bilddaten bzw. digitalen Dokumentendaten auf einem Bildschirm für einen Benutzer ausgegeben werden, so werden mithilfe eines entsprechenden Programms auf einer Rechenmaschine (Computer) die in den jeweiligen Daten enthaltenen Bildinformationen bzw. Dokumenteninformationen extrahiert und als Bilder auf einem Bildschirm wiedergegeben. Die in den digitalen Daten enthaltenen Strukturdaten sind dabei in der Regel für den Benutzer nicht sichtbar und sind lediglich für das darstellende Programm relevant, um die entsprechenden Nutzdaten zu extrahieren und in den richtigen Kontext einzuordnen. Gegebenenfalls müssen die Nutzdaten umkodiert werden, um sie entsprechend darstellen zu können, wenn das zugrundeliegende Datenformat eine entsprechende Codierung vorsieht.

Um bestimmte Computer eines Computernetzwerkes zu kapseln und von anderen Computern eines Computernetzwerkes zu trennen, können Computernetzwerke auch aufgeteilt werden. Die Zutrittskontrolle von einem Computernetzwerk auf ein anderes wird dann in der Regel durch entsprechende spezialisierte Geräte (beispielsweise Switche, Firewalls, etc.) überwacht, die basierend auf eingestellten Regeln den Netzwerkverkehr überwachen. Hierdurch können Eindringlinge an einem unberechtigten Zugriff auf ein Computernetzwerk gehindert werden.

Eine weitere Gefahr für Computernetzwerke geht dabei von manipulierten bzw. korrumpierten Daten, die in einem Computernetzwerk ausgetauscht werden, aus. So können digitale Daten innerhalb ihrer Strukturdaten schädliche Elemente (Computerviren, Würmer, etc.) enthalten, die beim Öffnen der digitalen Daten zum Zwecke der Extraktion der Nutzdaten (beispielsweise Darstellung von Bildinformationen oder Dokumenteninformationen) den entsprechenden Computer schädigen. Die in den digitalen Daten enthaltenen schädlichen Elemente werden dabei auf dem ausführenden Computer ausgeführt und können erheblichen Schaden an den auf dem Computer befindlichen Daten oder sogar der Hardware des Computers anrichten.

Um sich vor solchen mit schädlichen Elementen infizierten digitalen Daten zu schützen, ist es hinreichend bekannt, mithilfe von entsprechenden Antivirusprogrammen den gesamten Netzwerkverkehr an der Datenschnittstelle eines Computers zu überwachen und die einen und ausgehenden digitalen Daten auf das Vorhandensein von schädlichen Elementen zu untersuchen.

Dieses Vorgehen hat jedoch mehrere Nachteile. Zum einen werden die Ressourcen des zu überwachenden Computers beeinträchtigt, da das Ausführen eines Antivirusprogrammes ebenfalls Ressourcen benötigt. Gegebenenfalls kann dabei sogar die Netzwerkgeschwindigkeit beim Austausch der Daten herabgesetzt werden, da derlei Antivirusprogramme die ausgetauschten Daten erst dann freigeben, wenn die Prüfung der digitalen Daten ohne Befund war.

Ein weiterer Nachteil besteht in der Erkennungsgenauigkeit von Antivirusprogrammen, die stark von der Aktualität der Datenbank bekannter Schadsoftware abhängt. Denn ein Antivirusprogramm muss in der Regel die Schadsoftware kennen, damit das Programm im Ernstfall die Schadsoftware auch identifizieren kann. Hierdurch verbleibt eine Sicherheitslücke zwischen dem Auftreten der Schadsoftware und der Aktualisierung der Datenbank des Antivirusprogrammes, die zwar in der Regel nur wenige Stunden beträgt, jedoch im schlechtesten Fall zu einem Totalausfall des gesamten Computernetzwerk des führen kann.

Ein weiterer Nachteil besteht darin, dass digitale Daten fälschlicherweise als Schadsoftware identifiziert werden, die jedoch keine sind. Solche Fehlmeldungen sind zwar nicht sicherheitskritisch, können jedoch die Akzeptanz von Antivirusprogrammen beim Benutzer herabsetzen.

Es ist daher Aufgabe der vorliegenden Erfindung eine verbesserte Sicherheitsvorrichtung zur sicheren Übertragung von digitalen Daten sowie ein verbessertes Ver- fahren zur sicheren Übertragung von digitalen Daten anzugeben, insbesondere um die aus dem Stand der Technik bekannten Nachteile zu umgehen.

Die Aufgabe wird mit der Sicherheitsvorrichtung gemäß Anspruch 1 sowie dem Verfahren gemäß Anspruch 10 erfindungsgemäß gelöst. Vorteilhafte Ausgestaltungen der Erfindung finden sich in den entsprechenden Unteransprüchen.

Gemäß Anspruch 1 wird eine Sicherheitsvorrichtung zur sicheren Übertragung von digitalen Daten zwischen einem ersten Computernetzwerk und wenigstens einem zweiten Computernetzwerk vorgeschlagen, wobei die digitalen Daten durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen datenformatkodierte Nutzdaten enthalten.

Die Sicherheitsvorrichtung weist dabei wenigstens eine erste Computereinrichtung und wenigstens eine von der ersten Computereinrichtung separate bzw. getrennte zweite Computereinrichtung auf. Die erste Computereinrichtung hat dabei eine erste Datenschnittstelle, mit der digitale Daten aus dem ersten Computernetzwerk empfangen werden können. Über die erste Datenschnittstelle steht die erste Computereinrichtung somit mit dem ersten Computernetzwerk kommunizierend in Verbindung bzw. ist mit dem ersten Computernetzwerk kommunizierend in Verbindung bringbar, sodass über die erste Datenschnittstelle digitale Daten aus dem ersten Computernetzwerk empfangen und gegebenenfalls auch in das erste Computernetzwerk gesendet werden können. Eine solche erste Datenschnittstelle kann beispielsweise eine Ethernet-Schnittstelle (RJ-45) sein. Die zweite Computereinrichtung weist eine zweite Datenschnittstelle auf, mit der digitale Daten in das zweite Computernetzwerk gesendet werden können. Über die zweite Datenschnittstelle steht die zweite Computereinrichtung somit mit dem zweiten Computernetzwerk kommunizierend in Verbindung bzw. ist mit dem zweiten Computernetzwerk kommunizierend in Verbindung bringbar, dass über die zweite Datenschnittstelle digitale Daten in das zweite Computernetzwerk gesendet und gegebenenfalls auch aus dem zweiten Computernetzwerk empfangen werden können. Eine solche zweite Datenschnittstelle kann beispielsweise eine Ethernet-Schnittstelle (RJ-45) sein.

Die erste Computereinrichtung und die zweite Computereinrichtung liegen dabei getrennt voneinander vor, sodass die erste Computereinrichtung keinen kommunizie- renden Zugriff auf die zweite Computereinrichtung und andersherum hat. Dabei ist erfindungsgemäß insbesondere vorgesehen, dass die erste Computereinrichtung und die zweite Computereinrichtung nicht über ein gemeinsames Computernetzwerk miteinander verbunden sind, insbesondere nicht über das erste Computernetzwerk bzw. das zweite Computernetzwerk. Weder die erste Computereinrichtung noch die zweite Computereinrichtung sind so aufgebaut, dass sie einen Zugriff auf die jeweils andere Computereinrichtung über jeweils angeschlossenen Computernetzwerk haben. So besteht insbesondere keine Verbindung zwischen den beiden Computereinrichtung derart, dass basierend auf dem Kommunikationsprotokoll des ersten Computernetzwerkes und/oder des zweiten Computernetzwerkes eine Kommunikation zwischen den beiden Computereinrichtung stattfinden kann. Es besteht insbesondere keine Ethernet-Verbindung zwischen den beiden Computereinrichtungen.

Zur sicheren Übertragung ist die erste Computereinrichtung nun eingerichtet, die in die Strukturdaten eingebetteten und in dem spezifischen Datenformat kodierten Nutzdaten aus den über die erste Datenschnittstelle empfangenen digitalen Daten zu extrahieren und ein optisches, akustisches, haptisches, elektrisches und/oder elektromagnetisches Signalmuster aus den extrahierten Nutzdaten ohne die Strukturdaten zu generieren und mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Sendeeinheit in Richtung der zweiter Computereinrichtung zu übertragen.

Die erste Computereinrichtung empfängt somit über ihre erste Datenschnittstelle digitale Daten aus dem ersten Computernetzwerk und extrahiert die in den empfangenen digitalen Daten enthaltenen Nutzdaten ohne die zur Einbettung der Nutzdaten vorgesehenen Strukturdaten. Diese so extrahierten Nutzdaten werden nun in ein Signalmuster umgewandelt, dass optisch, akustischen, haptischen, elektrischen und/oder elektromagnetisch sein kann. Dieses Signalmuster enthält dabei nur die Nutzdaten und nicht die zur Einbettung der Nutzdaten in den digitalen Daten notwendigen Strukturdaten.

Dieses so von der ersten Computereinrichtung generierte Signalmuster wird nun mithilfe einer Sendeeinheit der ersten Computereinrichtung in Richtung der zweiten Computereinrichtung übertragen. Die Sendeeinheit der ersten Computereinrichtung ist dabei ausgebildet, das jeweilige optische, akustische, haptische, elektrische und/oder elektromagnetische Signalmuster entsprechend physikalisch auszusenden. So ist die Sendeeinheit der ersten Computereinrichtung eingerichtet, ein optisches Signalmuster entsprechend optisch zu übertragen, ein akustisches Signalmuster entsprechend akustisch zu übertragen, ein haptisches Signalmuster entsprechend haptisch zu übertragen ein elektrisches Signalmuster entsprechend elektrisch zu übertragen und/oder ein elektromagnetisches Signalmuster entsprechend elektromagnetisch zu übertragen.

Die zweite Computereinrichtung ist nun ausgebildet, das von der ersten Computereinrichtung übertragene optische, akustische, haptische, elektrische und/oder elektromagnetische Signalmuster mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen, und/oder elektromagnetischen Empfangseinheit zu empfangen und die in dem Signalmuster enthaltenen Nutzdaten zu extrahieren, und ferner digitale Daten durch Generieren von Strukturdaten in Abhängigkeit von dem spezifischen Datenformat und durch Einbetten der extrahierten Nutzdaten in die Strukturdaten in dem spezifischen Datenformat kodiert zu erzeugen und die so erzeugten digitalen Daten über die zweite Datenschnittstelle auszusenden

Die zweite Computereinrichtung empfängt somit das zuvor von der ersten Computereinrichtung ausgesendete Signalmuster mittels einer Empfangseinheit und extrahiert die in dem Signalmuster enthaltenen Nutzdaten. Handelt es sich um ein optisches Signalmuster, dass mittels einer optischen Sendeeinheit der ersten Computereinrichtung ausgesendet wurde, so ist die Empfangseinheit der zweiten Computereinrichtung eine optische Empfangseinheit, die eingerichtet ist, das optische Signalmuster entsprechend empfangen zu können. Analog hierzu handelt es sich bei einem akustischen Signalmuster um eine entsprechende akustische Empfangseinheit, etc.

Nachdem nun das Signalmuster empfangen wurde, werden die in dem Signalmuster enthaltenen Nutzdaten extrahiert und basierend auf diesen extrahierten Nutzdaten dann neue digitale Daten generiert. Hierzu werden zunächst digitale Daten gemäß dem spezifischen Datenformat mit den notwendigen Strukturdaten erzeugt und die extrahierten Nutzdaten in diese so neu erstellten Strukturdaten eingebettete. Gegebenenfalls werden die Nutzdaten dabei entsprechend dem spezifischen Datenformat kodiert. Diese durch die zweite Computereinrichtung erzeugten digitalen Daten mit generierten Strukturdaten und von der ersten Computereinrichtung übertragenen Nutzdaten werden nun über die zweite Datenschnittstelle in das zweite Computernetzwerk ausgesendet.

In Bezug auf die bestimmungsgemäße Wiedergabe der in den digitalen Daten enthaltenen Nutzdaten ist das aus den Nutzdaten generierte Signalmuster von dieser bestimmungsgemäßen Wiedergabe verschieden. Das Signalmuster kodiert dabei die in den digitalen Daten enthaltenen Nutzdaten ohne Strukturdaten. Das Signalmuster kodiert dabei die in den digitalen Daten enthaltenen Nutzdaten ohne Strukturdaten in einer von der bestimmungsgemäßen Wiedergabe der in den digitalen Daten enthaltenen Nutzdaten verschiedenen Wiedergabe.

Mithilfe der vorliegenden Erfindung wird es somit möglich, digitale Daten von einem Computernetzwerk in ein anderes Computernetzwerk zu übertragen, wobei mögliche Schadelemente innerhalb der Strukturdaten der digitalen Daten durch den Medienbruch bei der Übertragung zwischen der ersten Computereinrichtung und der zweiten Computereinrichtung eliminiert werden. Es werden lediglich die Nutzdaten in einer für das erste Computernetzwerk und zweite Computernetzwerk verschiedenen Art, insbesondere einer physikalisch verschiedenen Art, übertragen, sodass die zweite Computereinrichtung lediglich die Nutzdaten erhält und die notwendigen Strukturdaten neu generieren muss. Dadurch, dass sich die Übertragung zwischen der ersten Computereinrichtung der zweiten Computereinrichtung von der Art und Weise der Kommunikation der Computernetzwerke unterscheidet, gelingt kein direkter Zugriff der Schadsoftware auf dem Bereich der zweiten Computereinrichtung.

Es handelt sich bei den digitalen Daten, die von der zweiten Computereinrichtung in das zweite Computernetzwerk ausgesendet werden, nicht um ein Abbild bzw. um eine Kopie der digitalen Daten, die von der ersten Computereinrichtung aus dem ersten Computernetzwerk empfangen wurden, sondern um neu generierte digitale Daten. Schadelemente, die sich innerhalb der Strukturdaten befinden, wird somit eliminiert. Denn sämtliche, in dem Signalmuster enthaltenen Nutzdaten werden auch als reine Nutzdaten durch die zweite Computereinrichtung verstanden, selbst dann, wenn in den Nutzdaten, sofern das spezifischen Datenformat dies zulässt, selbst Schadelemente enthalten sind. Da diese nun Teil der Nutzdaten werden, werden sie durch die zweite Computereinrichtung als solche auch in die neu erstellten digitalen Daten als Nutzdaten kodiert und verlieren dadurch den Schadcharakter.

Dabei erfolgt die Übertragung des Signalmusters von der Sendeeinheit der ersten Computereinrichtung zu der Empfangseinheit der zweiten Computereinrichtung insbesondere auf eine von der Funktionsweise des Computernetzwerkes verschiedenen physikalischen Betriebsweise.

Unter dem Begriff Übertragen wird im Sinne der vorliegenden Erfindung zumindest das Senden von Daten bzw. Signalmustern, vorzugsweise aber auch Senden und Empfangen, verstanden.

Ein erstes Computernetzwerk und ein zweites Computernetzwerk können dabei physikalisch oder logisch getrennte Computernetzwerke sein. Denkbar ist aber auch, dass das erste Computernetzwerk ein erster Teil ist und das zweite Computernetzwerk ein zweiter Teil eines Ansicht gemeinsamen Computernetzwerkes, welches durch die Sicherheitsvorrichtung in zwei Computernetzwerke getrennt wird.

Gemäß einer Ausführungsform ist vorgesehen, dass die Sicherheitseinrichtung ein Gehäuse aufweist, innerhalb dessen die erste Computereinrichtung und die zweite Computereinrichtung so angeordnet sind, dass das von der Sendeeinheit der ersten Computereinrichtung ausgesendete Signalmuster von der Empfangseinheit der zweiten Computereinrichtung empfangbar ist.

Es handelt sich demnach um eine Art Blackbox mit einem Gehäuse, an dem die erste und zweite Datenschnittstelle der ersten und zweiten Computereinrichtung zur Verbindung mit dem jeweiligen Computernetzwerk angeordnet sind. Innerhalb des Gehäuses ist die erste Computereinrichtung die zweite Computereinrichtung so angeordnet, dass die Sendeeinheit der ersten Computereinrichtung das Signalmuster in Richtung der zweiten Computereinrichtung so aussenden kann, dass die Empfangseinheit der zweiten Computereinrichtung das ausgesendete Signalmuster entsprechend empfangen kann.

Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, aus den als digitale Bilddaten kodierten digitalen Daten Bildinformati- onen als Nutzdaten zu extrahieren und aus den Bildinformationen ein Signalmuster zu generieren, und dass die zweite Computereinrichtung eingerichtet ist, aus dem empfangenen Signalmuster die Bildinformationen zu extrahieren und aus den Bildinformationen als digitale Bilddaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen.

Solche digitalen Bilddaten können beispielsweise Bilddateien (jpg, tiff, png, etc) sein, bei denen Bildinformationen in entsprechende Strukturdaten eingebettete und entsprechend kodiert sind. Es werden nun sämtliche Bildinformationen aus den digitalen Bilddaten extrahiert und in das entsprechende Signalmuster umgewandelt. Ein solches Signalmuster kann dabei beispielsweise ein optisches Muster sein, welches lediglich die Bildinformationen beinhaltet. Dabei wird ein optisches Signalmuster generiert, welches die Bildinformationen kodiert enthält.

Solche digitalen Bilddaten können im Sinne der vorliegenden Erfindung auch Dokumente (bspw. docx, pdf, etc) sein, in denen auf einem Bildschirm darstellbaren Informationen hinterlegt sind. Da diese Informationen letztlich visuell bzw. optisch angezeigt werden, werden solche digitalen Dokumentendaten ebenfalls als digitale Bilddaten im Sinne der vorliegenden Erfindung betrachtet.

Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, aus den als digitale Videodaten kodierten digitalen Daten Videoin- formtionen als Nutzdaten zu extrahieren und aus den Videoinformationen ein Signalmuster zu generieren, und dass die zweite Computereinrichtung eingerichtet ist, aus dem empfangenen Signalmuster die Videoinformtionen zu extrahieren und aus den Videoinformtionen als digitale Videodaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen.

Solche digitalen Videodaten können beispielsweise Videodateien (mkv, mpeg, etc.) oder Videostreams sein, die gemäß einem entsprechenden spezifischen Videodatenformat (H.264, H.265, etc.) kodiert sind. Auch hier werden lediglich die Videoinformationen der digitalen Videodaten extrahiert und in das Signalmuster umgewandelt, ohne die zur Abspeicherung der Dateien oder zur Übertragung in einem Computernetzwerk notwendigen Strukturdaten. So werden beispielsweise sämtliche Contai- io nerstrukturen der Videodaten gerade nicht in das Signalmuster umgewandelt, sondern lediglich die Videoinformationen in Form von Nutzdaten.

Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, aus den als digitalen Audiodaten kodierten digitalen Daten Audioinformationen als Nutzdaten zu extrahieren und aus den Audioinformationen ein Signalmuster zu generieren, und dass die zweite Computereinrichtung eingerichtet ist, aus dem empfangenen Signalmuster die Audioinformationen zu extrahieren und aus den Audioinformationen als digitale Audiodaten kodierte digitale Daten gemäß dem spezifischen Datenformat zu erzeugen.

Solche digitalen Audiodaten können beispielsweise Audiodateien (wav, Ogg-Vorbis, mp3) oder Audiostreams sein. Auch hier werden lediglich die Audioinformationen ohne die zur Abspeicherung der Dateien oder zur Übertragung in einem Computernetzwerk notwendigen Strukturdaten als Signalmuster übertragen.

Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, ein optisches Signalmuster aus den extrahierten Nutzdaten zu generieren und mittels eines Bildschirms als optische Sendeeinheit zu übertragen, und dass die zweite Computereinrichtung eingerichtet ist, mittels einer Kamera als optische Empfangseinheit das übertragene optische Signalmuster zu empfangen und aus den von der Kamera aufgenommenen und das optische Signalmuster enthaltenen Kameradaten das optische Signalmuster zu erkennen und die Nutzdaten aus dem erkannten optischen Signalmuster zu extrahieren. Ein solches optisches Signalmuster kann bspw. ein 2D-optoelektronischer Code ist.

So können die zu übertragenen Nutzdaten in Form eines Signalmusters auf einem Bildschirm so dargestellt werden, dass einzelne Informationen durch Symbole innerhalb der Signalmuster, durch Farben oder Ähnliches dargestellt werden. Wird einer Kamera bei der zweiten Computereinrichtung mit einer hohen Abtastfrequenz verwendet, so kann das Signalmuster aus einer Vielzahl von Teilmustern bestehen, die nacheinander mit einer hohen Frequenz auf dem Bildschirm der ersten Computereinrichtung dargestellt werden. Durch die Verwendung eines 2D-optoelektronischen Codes können die Nutzdaten entsprechend einem gewissen Standard in das Signalmuster kodiert werden, wobei die Datenrate eines solchen 2D-optoelektronischen Codes durch mehrere Teilmuster, die nacheinander in einer hohen Frequenz angezeigt werden, oder durch Erhöhung der Informationsdichte (beispielsweise Farben) deutlich erhöht werden kann. Hierdurch kann die Übertragungsrate von dem ersten Computernetzwerk auf das zweite Computernetzwerk verbessert werden.

Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, ein akustisches Signalmuster aus den extrahierten Nutzdaten zu generieren und mittels eines Lautsprechers als akustische Sendeeinheit zu übertragen, und dass die zweite Computereinrichtung eingerichtet ist, mittels eines Mikrofon als akustische Empfangseinheit das übertragene akustische Signalmuster zu empfangen und aus den von dem Mikrofon aufgenommenen und das akustische Signalmuster enthaltenen Mikrofondaten das akustische Signalmuster zu erkennen und die Nutzdaten aus dem erkannten akustischen Signalmuster zu extrahieren.

Gemäß einer Ausführungsform ist vorgesehen, dass die erste Computereinrichtung eingerichtet ist, ein elektrisches Signalmuster aus den extrahierten Nutzdaten zu generieren und mittels einer elektrischen Sendeeinheit zu übertragen, und dass die zweite Computereinrichtung eingerichtet ist, mittels einer elektrischen Empfangseinheit das übertragene elektrische Signalmuster zu empfangen und aus den von der elektrischen Empfangseinheit erfassten und das elektrische Signalmuster enthaltenen Empfangsdaten das elektrische Signalmuster zu erkennen und die Nutzdaten aus dem erkannten elektrischen Signalmuster zu extrahieren.

So ist es denkbar, dass die erste Computereinrichtung die zweite Computereinrichtung über ein oder mehrere elektrische Leiter miteinander verbunden sind, wobei die Übertragung der Nutzdaten in Form eines Signalmusters dann in Form von Stromimpulsen erfolgt. Die Nutzdaten werden dabei in ein Stromimpuls-Signalmuster umgewandelt und dann über die elektrischen Leiter an die zweite Computereinrichtung übertragen. Das Stromimpuls-Signalmuster entspricht dabei nicht der Art und Weise der Signalübertragung in dem ersten Computernetzwerk und/oder dem zweiten Computernetzwerk - weder in physikalischer Hinsicht noch hinsichtlich des übertragenen Protokolls. Dabei ist es des Weiteren denkbar und im Rahmen der Erfindung, wenn durch die Sicherheitsvorrichtung auch ein Rückkanal zur Verfügung gestellt wird, d.h. eine Kommunikation vom zweiten Computernetzwerk in das erste Computernetzwerk. Dieser Rückkanal kann auf bekannter Netzwerkarchitektur beruhen, so dass die Sicherheitsmerkmale der vorliegenden Erfindung nicht angewendet werden. Dankbar ist aber auch, dass der Rückkanal von dem zweiten Computernetzwerk in das erste Computernetzwerk auf die gleiche Art und Weise erfolgt, wie die sichere Kommunikation von dem ersten Computernetzwerk durch die Sicherheitsvorrichtung in das zweite Computernetzwerk.

Hierfür kann vorgesehen sein, dass in der Sicherheitsvorrichtung eine weitere erste Computereinrichtung und eine weitere zweite Computereinrichtung vorgesehen ist, die spiegelverkehrt zu der ersten und zweiten Computereinrichtung aufgebaut sind. Die weitere erste Computereinrichtung weist demnach eine Empfangseinheit zum Empfangen des Signalmusters auf, dass von der Sendeeinheit der weiteren zweiten Computereinrichtung ausgesendet wird.

Denkbar ist aber auch, dass die erste Computereinrichtung neben der Sendeeinheit auch eine entsprechende Empfangseinheit und die zweite Computereinrichtung neben der Empfangseinheit auch eine Sendeeinheit hat, um eine bidirektionale Kommunikation zwischen den angeschlossenen Computernetzwerken zu ermöglichen.

Die Erfindung wird im Übrigen auch mit dem Verfahren gemäß Anspruch 10 zur sicheren Übertragung von digitalen Daten, die durch ein spezifisches Datenformat vorgegebene Strukturdaten und in die Strukturdaten eingebettete und in dem spezifischen Datenformat kodierte Nutzdaten enthalten, zwischen einem ersten Computernetzwerk und wenigstens einem zweiten Computernetzwerk gelöst, wobei das Verfahren die folgenden Schritte umfasst:

- Empfangen von digitalen Daten aus dem ersten Computernetzwerk mittels einer ersten Datenschnittstelle wenigstens einer ersten Computereinrichtung;

- Extrahieren von in die Strukturdaten eingebetteten und in dem spezifischen Datenformat kodierten Nutzdaten aus den über die erste Daten- Schnittstelle empfangenen digitalen Daten mittels der ersten Computereinrichtung;

- Generieren eines optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Signalmuster aus den extrahierten Nutzdaten ohne die Strukturdaten mittels der ersten Computereinrichtung;

- Übertragen des generierten Signalmusters in Richtung der zweiten Computereinrichtung mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen und/oder elektromagnetischen Sendeeinheit der ersten Computereinrichtung;

- Empfangen des generierten Signalmusters mittels mindestens einer entsprechenden optischen, akustischen, haptischen, elektrischen, und/oder elektromagnetischen Empfangseinheit der zweiten Computereinrichtung;

- Extrahieren der in dem empfangenen Signalmuster enthaltenen Nutzdaten mittels der zweiten Computereinrichtung;

- Erzeugen von digitalen Daten durch Generieren von Strukturdaten in Abhängigkeit von dem spezifischen Datenformat und durch Einbetten der extrahierten Nutzdaten in dem spezifischen Datenformat kodiert in die generierten Strukturdaten; und

- Senden der erzeugten digitalen Daten in das zweite Computernetzwerk mittels einer zweiten Datenschnittstelle wenigstens einer zu der ersten Computereinrichtung separaten zweiten Computereinrichtung.

Vorteilhafte Ausgestaltungen des Verfahrens finden sich dabei in den entsprechenden Unteransprüchen.

Die Erfindung wird anhand der beigefügten Figuren beispielhaft näher erläutert. Es zeigen:

Figur 1 Schematische Darstellung des grundlegenden Funktionsprinzips und Verfahrensablaufes;

Figur 2 Schematische Darstellung des erfindungsgemäßen Ablaufes;

Figur 3 Schematische Darstellung einer ersten Ausführungsform mit optischer Übertragung;

Figur 4 Schematische Darstellung einer zweiten Ausführungsform mit akustischer Übertragung;

Figur 5 Schematische Darstellung einer dritten Ausführungsform mit elektrischer Übertragung.

Figur 1 zeigt in einer schematisch stark vereinfachten Darstellung eine Sicherheitsvorrichtung 10, die an ein erstes Computernetzwerk 11 und an ein zweites Compu- ternetzwerk 12 angeschlossen bzw. anschließbar ist. Von dem ersten Computernetzwerk 11 können dabei digitale Daten 13a zu der Sicherheitsvorrichtung 10 und von der Sicherheitsvorrichtung 10 dann als digitale Daten 13b in das zweite Compu- ternetzwerk 12 übertragen werden.

Die Sicherheitsvorrichtung 10 weist dabei ein Gehäuse 14 auf, in dem sich später noch detailliert dargestellt Datenschnittstelle befinden, mit denen die Sicherheitsvorrichtung 10 mit dem jeweils ersten Computernetzwerk 11 und dem zweiten Compu- ternetzwerk 12 verbunden werden kann.

Die Sicherheitsvorrichtung 10 weist innerhalb des Gehäuses 14 eine erste Computereinrichtung 20 und eine zweite Computereinrichtung 30 auf die getrennt voneinander in dem Gehäuse 14 angeordnet sind. Insbesondere besteht keine auf Standardschnittstellen bzw. Standardprotokollen basierende Kommunikation zwischen diesen beiden Computereinrichtung und 20 und 30.

Die erste Computereinrichtung 20 hat eine erste Datenschnittstelle 21 , mit der die Sicherheitsvorrichtung 10 bzw. die erste Computereinrichtung 20 mit dem ersten Computernetzwerk 11 elektronisch und kommunizierend verbunden werden kann. Die erste Computereinrichtung 20 weist des Weiteren eine mit der Datenschnittstelle 21 in Verbindung stehende 1. Recheneinheit 22 auf, um die von der ersten Datenschnittstelle 21 empfangenen digitalen Daten 13a entsprechend elektronisch weiterverarbeiten zu können. Die Recheneinheit 22 kann dabei beispielsweise eine programmierbare CPU aufweisen oder Mikrocontroller gesteuert sein.

Im Ausführungsbeispiel der Figur 1 ist die zweite Computereinrichtung 30 insoweit identisch aufgebaut und weist eine zweite Datenschnittstelle 31 auf, um die Sicherheitsvorrichtung 10 bzw. die zweite Computereinrichtung 30 mit dem zweiten Compu- ternetzwerk 12 kommunizierend verbinden zu können. Über die zweite Datenschnittstelle 31 können dabei die sicher zu übertragenen digitalen Daten 13 b an das zweite Computernetzwerk 12 ausgesendet werden. Solche Datenschnittstelle 21 und 31 können beispielsweise als Ethernet-Schnittstellen in Form von RJ-45 Verbinder ausgebildet sein. Des Weiteren weist auch die zweite Computereinrichtung 30 eine zweite Recheneinheit 32 auf die beispielsweise eine programmierbare CPU oder einen Mikrocontroller aufweisen kann.

Die erste Computereinrichtung 20 weist nun eine Sendeeinheit 23 auf, mit der ein Signalmuster 15 (in Figur 1 angedeuteten Form eines optischen Musters) in Richtung der zweiten Computereinrichtung 30 ausgesendet werden können. Hierfür weist die zweite Computereinrichtung 30 eine entsprechende Empfangseinheit 33 auf, damit das von der ersten Computereinrichtung 20 mit der Sendeeinheit 23 ausgesendete Signalmuster 15 durch die zweite Computereinrichtung 30 empfangen werden können.

Der erfindungsgemäße Ablauf ist dabei in Figur 2 dargestellt. Über die erste Datenschnittstelle 21 der ersten Computereinrichtung 20 empfängt die Sicherheitsvorrichtung 10 digitale Daten 13a aus dem ersten Computernetzwerk 11 im Schritt 200. Diese aus dem ersten Computernetzwerk 11 empfangenen digitalen Daten 13a befinden sich dabei nur in der ersten Computereinrichtung 20 und werden nicht in Form einer identischen Kopie bzw. eines Abbildes an die zweite Computereinrichtung 30 weitergeleitet. Vielmehr werden in einem zweiten Schritt 210 aus den so empfangenen digitalen Daten 13a die Nutzdaten der digitalen Daten 13a ohne die die Nutzdaten einbettenden Strukturdaten extrahiert. Das Extrahieren der Nutzdaten kann dabei insbesondere durch Öffnen der digitalen Daten, beispielsweise einer digitalen Datei, erfolgen. Umgangssprachlich wird dabei durch das Öffnen einer digitalen Datei der Zugriff auf die Nutzdaten verstanden, wobei der Zugriff auf die Nutzdaten unter Kenntnis des spezifischen Datenformates sowie den die Nutzdaten einbettenden Strukturdaten der Datei erfolgt. Der Zugriff auf die Nutzdaten durch das Öffnen der digitalen Datei kann beispielsweise mithilfe eines speziellen Programmes erfolgen, das auf der zweiten Computereinrichtung 20 ausgeführt wird.

Die so extrahierten Nutzdaten werden nun in einem dritten Schritt 220 in ein gewünschtes Signalmuster 15 umgewandelt und mithilfe der Sendeeinheit 23 der ersten Computereinrichtung 20 im darauffolgenden Schritt 230 ausgegeben.

Das ausgesendete Signalmuster 15 wird nun in einem weiteren Schritt 300 von der Empfangseinheit 33 der zweiten Computereinrichtung 30 empfangen. Anschließend werden die in dem empfangenen Signalmuster 15 enthaltenen Nutzdaten im nächsten Schritt 310 extrahiert, sodass aus diesen so extrahierten Nutzdaten dann im Schritt 320 eine neu aufgebaute Kopie der digitalen Daten 13a als neue digitale Daten 13b erstellt werden können. Hierfür werden im Schritt 320 zunächst basierend auf dem spezifischen Datenformat die Strukturdaten für das Einbetten der jeweiligen Nutzdaten generiert und anschließend die Nutzdaten in diese neugenerierten Strukturdaten eingebettete. Das Erzeugen dieser Strukturdaten erfolgt dabei nicht in Form einer Kopie der Strukturdaten der aus dem ersten Computernetzwerk 11 empfangenen digitalen Daten 13a, sondern durch grundlegend neue Aufbau dieser Strukturdaten im Speicher in Abhängigkeit von dem spezifischen Datenformat.

Anschließend werden die so neu erstellten digitalen Daten 13b im Schritt 330 mithilfe der zweiten Datenschnittstelle 33 der zweiten Computereinrichtung 30 an das zweite Computernetzwerk 12 ausgesendet.

Dabei erfolgt durch das Generieren, Aussenden und Empfangen des Signalmusters ein Medienbruch, bei dem das Signalmuster entweder auf einem von der Betriebsweise der Computernetzwerke physikalisch verschiedenen Art übertragen wird und/oder bei dem das Signalmuster basierend auf einer Protokollumwandlung mit einem von den Computernetzwerken verschiedenen proprietären Protokoll übertragen wird.

Figur 3 zeigt eine Ausführungsform, bei der die Sendeeinheit 23 der ersten Computereinrichtung 20 als Bildschirm ausgebildet ist, während die Empfangseinheit 33 der zweiten Computereinrichtung 30 als Kamera ausgebildet ist. Die in der ersten Computereinrichtung 20 extrahierten Nutzdaten werden dabei in ein optisches Signalmuster umgewandelt, welches dann auf dem Bildschirm 23 angezeigt wird. Der Inhalt des Bildschirms 23 wird dann durch die Kamera 33 der zweiten Computereinrichtung 30 aufgenommen und die in den aufgenommenen Kameradaten enthaltenen Signalmuster erkannt und die Nutzdaten aus diesen Signalmuster extrahiert.

Ein solches Signalmuster kann dabei beispielsweise ein 2D-optoelektronischer Code sein, bei dem die Nutzdaten in einer zweidimensionalen Fläche durch Symbole, Formen und/oder Farben kodiert werden. Darüber hinaus ist es denkbar, dass in einer zeitlichen Abfolge eine Vielzahl von Teilmuster als ein Signalmuster angezeigt werden, deren Inhalt jeweils einen Teil der Nutzdaten abbildet, wobei durch die zweite Computereinrichtung 30 dann die einzelnen Teile extrahiert und zusammengesetzt werden, um die entsprechenden Nutzdaten zu erhalten.

So ist es bei digitalen Bilddaten bzw. digitalen Dokumentendaten denkbar, dass der visuelle Inhalt der Nutzdaten in einen Speicher oder in einen Grafikspeicher der ersten Computereinrichtung 20 übertragen wird, indem die extrahierten Nutzdaten, die basierend auf dem spezifischen Datenformat entsprechend kodierten, in eine visuelle Ausgabe umgewandelt werden. Dies kann beispielsweise durch Öffnen der digitalen Bilddaten bzw. der digitalen Dokumentendaten durch ein spezielles Programm, welches auf der ersten Computereinrichtung ausgeführt wird, erfolgen. Durch das Öffnen der digitalen Bilddaten bzw. der digitalen Dokumentendaten werden unter Kenntnis des spezifischen Datenformates die digitalen Daten in den Speicher eingelesen und anschließend die Nutzdaten aus den Strukturdaten gegebenenfalls unter Zuhilfenahme der Strukturdaten extrahiert. Diese visuelle Ausgabe muss dabei nicht zwingend auf einem Bildschirm erfolgen, sondern können auch ausschließlich in dem Datenspeicher geladen werden. Anschließend kann aus dieser visuellen Ausgabe, die in dem Datenspeicher vorliegt, dass Signalmuster erzeugt werden. Sollten die ursprünglichen digitalen Bilddaten bzw. Dokumentendaten kompromittiert sein, so wird hierbei lediglich die erste Computereinrichtung 20 in Mitleidenschaft gezogen. Im einfachsten Fall werden die Bildinformationen bzw. Dokumenteninformationen aus den digitalen Bilddaten bzw. Dokumentendaten direkt als Signalmuster verwendet.

Selbiges gilt selbstverständlich auch für digitale Videodaten und digitale Audiodaten. Auch diese können als digitale Ausgabe im Speicher hinterlegt werden, sodass die Nutzdaten aus dem digitalen Daten entsprechend extrahiert sind.

Figur 4 zeigt ein Ausführungsbeispiel, bei dem die Sendeeinheit 23 der ersten Computereinrichtung 20 ein Lautsprecher ist, während die Empfangseinheit 33 der zweiten Computereinrichtung 30 ein Mikrofon darstellt. Das zu übertragene Signalmuster ist hierbei ein akustisches Signalmuster, welches durch den Lautsprecher der Computereinrichtung 20 ausgegeben und durch das Mikrofon der Computereinrichtung 30 empfangen wird. So ist es beispielsweise denkbar, dass ein Bit oder ein Byte durch eine bestimmte akustische Tonfolge oder Schallwelle kodiert wird, sodass die Nutzdaten vorliegend in Bits und Bytes durch eine so kodierte Tonfolge zinslose Schallwelle übertragen werden können.

Schließlich zeigt Figur 5 ein Ausführungsbeispiel, bei dem die Sendeeinheit 23 und die Empfangseinheit 33 das Signalmuster in Form von elektrischen Stromimpulsen senden und empfangen können. Die Stromimpulse sind dabei insbesondere von dem Kommunikationsprotokoll der Computernetzwerke 11 und 12 verschieden und weisen hierbei keine Gemeinsamkeiten auf.

Bezuqszeichenliste

10 Sicherheitsvorrichtung

11 Erstes Com puternetzwerk

12 Zweites Corn puternetzwerk

13a digitale Daten vom ersten Computernetzwerk

13b digitale Daten in das zweite Computernetzwerk

14 Gehäuse

15 Signalmuster

20 erste Computereinrichtung

21 erste Datenschnittstelle der ersten Computereinrichtung

22 erste Recheneinheit der ersten Computereinrichtung

23 Sendeeinheit der ersten Computereinrichtung

30 zweite Computereinrichtung

31 zweite Datenschnittstelle der zweiten Computereinrichtung

32 zweite Recheneinheit der zweiten Computereinrichtung

33 Empfangseinheit der zweiten Computereinrichtung

220 - 230 Verfahrensabläufe der ersten Computereinrichtung

300 - 330 Verfahrensabläufe der zweiten Computereinrichtung