-
Die Erfindung betrifft eine Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung, die anhand vorbestimmter Regeln zum Unterscheiden zwischen einem erlaubten und einem unerlaubten Datenverkehr in Richtung eines Datenempfängers sowie zum Blockieren von unerlaubtem Datenverkehr und zum Durchlassen von erlaubtem Datenverkehr ausgebildet ist.
-
Ferner betrifft die Erfindung ein Verfahren zum Überprüfen von wenigstens einer Firewall-Einrichtung, bei dem in einem Datenverkehr in Richtung eines Datenempfängers anhand vorbestimmter Regeln zwischen einem erlaubten und einem unerlaubten Datenverkehr unterschieden wird sowie unerlaubter Datenverkehr blockiert und erlaubter Datenverkehr durchgelassen wird.
-
Sicherheitskritische Anlagen, wie beispielsweise das Signalnetz einer Eisenbahnanlage oder ein Netzwerk innerhalb eines Atomkraftwerks, haben häufig besondere Sicherheitszonen, auf die kein direkter Datenzugriff möglich ist. Trotzdem besteht zunehmender Bedarf an einem Fernzugriff auf die in diesen Sicherheitszonen befindlichen Anlagenelemente, beispielsweise für eine Fernwartung. Daher besteht ein Wunsch an einer Vernetzung sicherheitsrelevanter Anlagen mit herkömmlichen IT-Systemen. Um einen solchen sicheren Zugriff auf sicherheitskritische Anlagen zu ermöglichen, sind Firewall-Einrichtungen bekannt, die einen unerlaubten Datenverkehr in Richtung eines innerhalb einer sicherheitskritischen Anlage befindlichen Datenempfängers blockieren. Da in sicherheitsrelevanten Bereichen andere Überwachungsanforderungen gelten als im normalen IT-Bereich oder im Bereich der Office-IT-Security, sind bekannte Firewall-Einrichtungen für den Datenverkehr mit Datenempfängern in einem sicherheitsrelevanten Bereich nicht ausreichend.
-
Daher ist es die Aufgabe der vorliegenden Erfindung, eine Anordnung und ein Verfahren der eingangs genannten Art bereitzustellen, durch die ein in einem sicherheitsrelevanten Bereich befindlicher Datenempfänger durch eine Firewall-Einrichtung geschützt und die Anforderungen eines sicherheitsrelevanten Bereichs erfüllt sind.
-
Die vorliegende Erfindung löst diese Aufgabe dadurch, dass die eingangs genannte Anordnung wenigstens eine Erfassungseinrichtung, die zum Erfassen des von der Firewall-Einrichtung durchgelassenen Datenverkehrs ausgebildet ist, und wenigstens eine Auswerteeinrichtung, die zum Überprüfen des von der Erfassungseinrichtung erfassten Datenverkehrs anhand der vorbestimmten Regeln ausgebildet ist, aufweist.
-
Für das eingangs genannte Verfahren löst die Erfindung die Aufgabe dadurch, dass der durchgelassene Datenverkehr erfasst wird und auf vorhandenen unerlaubten Datenverkehr überprüft wird.
-
Die erfindungsgemäße Lösung hat den Vorteil, dass durch eine Überprüfung des durch die Firewall-Einrichtung durchgelassenen Datenverkehrs ein Nachweis der Funktion der Firewall-Einrichtung gegeben ist und so auch ein Einsatz für sicherheitsrelevante Bereiche zulässig ist.
-
Zwar ist beispielsweise in der
DE 10 2013 221 955 A1 ein Security-Gateway mit einer Ausfalloffenbarung beschrieben. Darin findet eine Überprüfung statt, ob die Eingangs- und Ausgangsdaten eines VPN-Gateways fehlerhaft gleich sind, d. h. eine Verschlüsselung nicht stattfindet. Eine Analyse, ob die Firewall selbst durch einen Angriff umkonfiguriert wurde, kann hiermit aber nicht erfolgen.
-
Die erfindungsgemäße Lösung kann durch vorteilhafte Ausgestaltungen weiterentwickelt werden, die im Folgenden beschrieben sind.
-
So kann die Anordnung wenigstens eine Abschalteinrichtung aufweisen, die zum Unterbrechen des Datenverkehrs in Richtung des Datenempfängers ausgebildet und wenigstens von der Auswerteeinrichtung aktivierbar ist. Dies hat den Vorteil, dass der Datenverkehr zum Datenempfänger unterbrochen werden kann, wenn die Auswerteeinrichtung eine Fehlfunktion der Firewall-Einrichtung erkennt. Diese Fehlfunktion äußert sich durch unerlaubten Datenverkehr in dem von der Firewall-Einrichtung durchgelassenen Datenverkehr in Richtung des Datenempfängers, der von der Auswerteeinrichtung erfasst und überprüft wird. Durch die Abschalteinrichtung kann der Datenempfänger vor unerlaubtem Datenverkehr effektiv geschützt werden. Bei sicherheitsrelevanten Systemen ist es eine Basisanforderung, dass Ausfälle und Fehlfunktionen nicht gefährlich werden dürfen. Durch die von der Auswerteeinrichtung aktivierbare Abschalteinrichtung ist dies gewährleistet. Ausfälle der Firewall-Einrichtung können somit nicht dazu führen, dass die Filterung des Datenverkehrs aufhört und damit unzulässige Nachrichten zum Datenempfänger gelangen können. Im sicherheitsrelevanten Bereich, beispielsweise einer Bahnanwendung, ist ein expliziter Sicherheitsnachweis zu führen, mit dem für alle Ausfälle unter anderem zu zeigen ist, dass sie zu einem sicheren Zustand führen. Diese Anforderung wird durch die erfindungsgemäße Lösung dieser Ausführungsform gewährleistet. Durch diese Ausführungsform der Erfindung können auch Komponenten der Office-IT-Security, beispielsweise die Firewall-Einrichtung, für eine Netzwerkanbindung zwischen einem sicheren Netz und einem unsicheren Netz eingesetzt werden.
-
In einer weiteren vorteilhaften Ausgestaltung kann die Anordnung wenigstens eine mit der Auswerteeinrichtung verbundene Überwachungseinrichtung aufweisen, die zur Überwachung einer Betriebsbereitschaft der Auswerteeinrichtung ausgebildet ist. Dies hat den Vorteil, dass ein Ausfall der Auswerteeinrichtung nicht unbemerkt bleibt, sondern von der Überwachungseinrichtung erfasst wird und entsprechende Maßnahmen eingeleitet werden können. So kann in einer vorteilhaften Weiterbildung die Überwachungseinrichtung zum Aktivieren der Abschalteinrichtung bei festgestellter nicht bestehender Betriebsbereitschaft ausgestaltet sein. So ist bei einer festgestellten Fehlfunktion das Abschalten des Datenverkehrs zum Datenempfänger gewährleistet, was die Erfüllung der sogenannten „Fail Close“-Anforderung darstellt.
-
Um eine besonders sichere Ausführungsform der Erfindung herzustellen, kann die Überwachungseinrichtung als eine von der Auswerteeinrichtung separate Einheit ausgestaltet sein. Dabei sind beispielsweise mindestens die Überwachungseinrichtung und die Auswerteeinrichtung auf unabhängigen Hardware-Komponenten realisiert. Ferner kann die Überwachungseinrichtung zum Auslösen eines Neustarts der Auswerteeinrichtung bei festgestellter nichtbestehender Betriebsbereitschaft ausgebildet sein. Dies hat den Vorteil, dass die Sicherheit weiter erhöht wird. Die Überwachungseinrichtung kann beispielsweise als ein sogenannter Watch-Dog-Timer ausgebildet sein, der von den internen Prozessen der Auswerteeinrichtung in regelmäßigen Abständen zurückgesetzt wird. Geschieht dieses Zurücksetzen nicht innerhalb einer vorbestimmten Zeit, einer sogenannten Time-Out-Zeit, wird ein Alarm ausgelöst, der beispielsweise zentral signalisiert wird und die Abschalteinrichtung auslösen und damit den Datenverkehr zum Datenempfänger unterbrechen kann. Danach wird die Auswerteeinrichtung auf sichere Weise neu gestartet (Secure-Boot). Ein Programmcode und eine Konfiguration der Auswerteeinrichtung kann in einem nur lesbar eingerichteten Speicher abgelegt sein, so dass beim Neustart der Ausgangszustand wieder hergestellt und damit eine vorherige Manipulation oder Fehlfunktion der Auswerteeinrichtung rückgängig gemacht wird. Während dieses Neustarts und der Fehlererkennung durch die Überwachungseinrichtung ist der Datenverkehr zum Datenempfänger vorteilhafterweise durch die Abschalteinrichtung unterbrochen. Ein Neustart der Auswerteeinrichtung kann darüber hinaus auch in regelmäßigen Abständen und/oder bei erkannten Anomalien durchgeführt werden, um die Sicherheit der Anordnung weiter zu erhöhen.
-
Die Auswerteeinrichtung kann zusätzlich am Eingang eine Überwachungsfunktion aufweisen, die sicherstellt, dass auch absichtlich in der Länge oder anderweitig veränderte Pakete im Datenverkehr die Auswerteeinrichtung nicht in ihrer Funktion beeinträchtigen. Dabei wird die Datenpaketlänge von der Auswerteeinrichtung erfasst und bei Überschreitung einer parametrierbaren Maximallänge und/oder auch bei einer Überschreitung einer Minimallänge ein Alarm ausgelöst und der Datenverkehr durch die Abschalteinrichtung unterbrochen. Weiterhin kann das Vorhandensein und die Sinnfälligkeit der Protokollelemente des Datenpakets überprüft werden.
-
In einer weiteren vorteilhaften Ausgestaltung kann die Anordnung wenigstens einen Testdatengenerator aufweisen, der zum Erzeugen eines einen unerlaubten Datenverkehr aufweisenden Test-Datenverkehrs in Richtung des Datenempfängers ausgebildet ist. Dies hat den Vorteil, dass die Funktion der Auswerteeinrichtung auch bei korrekt arbeitender Firewall-Einrichtung geprüft wird. Der Test-Datenverkehr kann der Auswerteeinrichtung vom Testdatengenerator gemeldet und angezeigt und daher von der Auswerteeinrichtung erwartet werden, so dass kein Alarm oder eine andere Schutzreaktion ausgelöst werden muss. Der Test-Datenverkehr kann beispielsweise in regelmäßigen Abständen in den Datenstrom zum Datenempfänger eingefügt werden und überprüft die korrekte Funktion der Auswerteeinrichtung. Die Erkennung des Test-Datenverkehrs kann einen weiteren Watch-Dog-Timer der Überwachungseinrichtung zurücksetzen, der bei Nichterkennen oder Ausbleiben des erwarteten Test-Datenverkehrs einen Alarm auslöst und/oder die Abschalteinrichtung aktiviert und damit den Datenverkehr zum Datenempfänger unterbricht.
-
Die Erfindung betrifft weiterhin eine Schutzvorrichtung zum Schutz wenigstens eines zu einem Netzwerk mit hoher Sicherheitsanforderung gehörigen Datenempfängers vor unerlaubtem Datenverkehr, mit wenigstens einer Firewall-Einrichtung, die anhand vorbestimmter Regeln zum Unterscheiden zwischen einem erlaubten und einem unerlaubten Datenverkehr in Richtung des Datenempfängers sowie zum Blockieren von unerlaubten Datenverkehr und zum Durchlassen von erlaubtem Datenverkehr ausgebildet ist. Um eine hohe Sicherheit zu gewährleisten und Anforderungen eines sicherheitsrelevanten Bereichs zu erfüllen, weist die Schutzvorrichtung wenigstens eine Anordnung nach einer der oben genannten Ausführungsformen auf.
-
Die Erfindung betrifft außerdem eine Netzwerkverbindung zwischen einem Datensender und einem Datenempfänger, wobei der Datenempfänger zu einem Netzwerk mit hoher Sicherheitsanforderung und der einen Datenverkehr sendende Datensender zu einem Netzwerk niedriger Sicherheitsanforderung gehört. Um die Sicherheit zu erhöhen und Anforderungen eines sicherheitsrelevanten Bereichs zu erfüllen, ist es erfindungsgemäß vorgesehen, dass die Netzwerkverbindung wenigstens eine Schutzvorrichtung nach der oben genannten Ausführungsform aufweist.
-
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens kann der Datenverkehr zum Datenempfänger unterbrochen werden, wenn der durchgelassene Datenverkehr unerlaubten Datenverkehr aufweist. Dies hat den Vorteil, dass eine sogenannte Fail-Save-Funktion erfüllt ist, die bei erhöhten Sicherheitsanforderungen gewährleistet sein muss, wie oben bereits beschrieben.
-
Ferner kann der Datenverkehr zum Datenempfänger unterbrochen werden, wenn das Durchlassen und Überprüfen des durchgelassenen Datenverkehrs nicht innerhalb einer vorbestimmten Zeit erfolgt. Durch diese oben bereits beschriebene Watch-Dog-Timer-Funktion wird die ordnungsgemäße Funktion des erfindungsgemäßen Verfahrens regelmäßig überprüft, wie ebenfalls oben bereits beschrieben.
-
Um die Sicherheit des erfindungsgemäßen Verfahrens weiter zu erhöhen, kann ein durchgelassener Test-Datenverkehr, der unerlaubten Datenverkehr aufweist, erzeugt werden und geprüft werden, ob der unerlaubte Datenverkehr erkannt wird. Ferner kann der Datenverkehr zum Datenempfänger unterbrochen werden, wenn der unerlaubte Datenverkehr des Test-Datenverkehrs innerhalb einer vorbestimmten Zeit nicht erkannt wird oder der Test-Datenverkehr innerhalb einer vorbestimmten Zeit nicht erzeugt wird. Durch diese Watch-Dog-Timer-Funktion werden Manipulationen erkannt und führen zum automatischen Unterbrechen des Datenverkehrs.
-
Schließlich kann der Datenverkehr mit einer Ende-zu-Ende-Verschlüsselung übertragen werden, um die inhaltliche Integrität der übertragnen Daten und ggf. deren Vertraulichkeit sicher zu stellen. Die Entschlüsselung findet dabei im Datenempfänger statt, der zusätzlich den Inhalt auf Plausibilität prüfen kann. Bei Ende-zu-Ende-verschlüsselten Daten kommt der Vorteil der erfindungsgemäßen Lösung besonders zum Tragen, da solche Nachrichten beispielsweise mit bekannten Security-Gateways nicht genutzt werden können.
-
Im Folgenden wird die Erfindung mit Bezug auf die beigefügte Zeichnung und die darin dargestellte beispielhafte Ausführungsform beschrieben.
-
Die Figur zeigt eine schematische Darstellung einer beispielhaften Ausführungsform einer erfindungsgemäßen Netzwerkverbindung.
-
Eine erfindungsgemäße Netzwerkverbindung 1 verläuft von einem Datensender 2 zu einem Datenempfänger 3. Die Netzwerkverbindung 1 umfasst ein IP-Netzwerk 4 und eine erfindungsgemäße Schutzvorrichtung 5, die vor dem Datenempfänger 3 angeordnet ist und diesen vor unerlaubtem Datenverkehr schützt.
-
Die Schutzvorrichtung 5 umfasst eine Firewall-Einrichtung 6 und eine erfindungsgemäße Anordnung 7, die zum Überprüfen der Firewall-Einrichtung 6 ausgebildet ist.
-
Die erfindungsgemäße Anordnung 7 weist einen Test-Datengenerator 8, ein Verteilmittel 9, eine Erfassungseinrichtung 10, eine Abschalteinrichtung 11, eine Auswerteeinrichtung 12 und eine Überwachungseinrichtung 13 auf.
-
Bei der in der Figur dargestellten beispielhaften Ausführungsform ist der Datenempfänger 3 innerhalb einer Sicherheitszone 14, einer sicherheitskritischen Anlage 15 angeordnet. Die sicherheitskritische Anlage 15 ist beispielsweise eine eisenbahntechnische Anlage oder ein Kraftwerk und die Sicherheitszone 14 ist ein Bereich, in dem eine erhöhte Sicherheit im Datenverkehr gilt. Für einen möglichen Fernzugriff von außen auf diesen Bereich gelten beispielsweise die Anforderungen der Norm IEC 62443-3-3.
-
Der Datensender 2 befindet sich außerhalb der Sicherheitszone 14 der sicherheitskritischen Anlage 15 in einem Bereich mit einer niedrigeren Sicherheitsanforderung als sie in der Sicherheitszone 14 gilt. Die erfindungsgemäße Netzwerkverbindung 1 zwischen dem Datensender 2 und dem Datenempfänger 3 wird beispielsweise für eine Fernwartung der sicherheitskritischen Anlage 15 verwendet. Das IP-Netzwerk 4, über das die Netzverbindung 1 hergestellt wird, ist beispielsweise das Internet oder ein anderes Datennetzwerk.
-
Um den Datenempfänger 3 vor einem unerlaubten Datenverkehr zu schützen, ist in dem Datenverkehr in Richtung des Datenempfängers 3 vor dem Datenempfänger 3 die Firewall-Einrichtung 6 angeordnet.
-
Die Firewall-Einrichtung 6 unterscheidet anhand vorbestimmter Regeln zwischen einem erlaubten und einem unerlaubten Datenverkehr, wobei der unerlaubte Datenverkehr zum Schutz des Datenempfängers von der Firewall-Einrichtung 6 blockiert und somit herausgefiltert wird. Der übrige, erlaubte Datenverkehr wird durchgelassen und kann zum Datenempfänger 3 gelangen. Der Datenverkehr 16 enthält hier bei der beispielhaften Ausführungsform Ende-zu-Ende-verschlüsselte Daten 17 für den Datenempfänger 3. Der erlaubte Datenverkehr umfasst Daten 17, die von einer oder mehreren erlaubten IP-Adressen an genau eine oder mehrere erlaubte IP-Adressen beim Datenempfänger 3 gesendet werden dürfen. Die für die Übertragung erforderlichen Protokollelemente befinden sich unverschlüsselt am Anfang und am Ende der Daten 17, um eine standardkonforme Übertragung über das IP-Netzwerk 4 sicherzustellen, und zusätzlich verschlüsselt im Innern der Daten 17. Die vorbestimmten Regeln, anhand derer die Firewall-Einrichtung 6 zwischen erlaubten und unerlaubten Datenverkehr unterscheidet, sind somit hier zulässige IP-Adressen für den Datensender 2 und den Datenempfänger 3. Die Firewall-Einrichtung 6 lässt bei korrekter Konfiguration also nur erlaubten Datenverkehr in Richtung des Datenempfängers 3 in die Sicherheitszone 14 zu. Allerdings kann die Firewall-Einrichtung 6 beispielsweise durch einen feindseligen Angriff unzulässig verändert worden sein, so dass diese auch unerlaubten Datenverkehr durchlässt. Ein solcher Fehlerfall der Firewall-Einrichtung 6 ist möglich und soll daher erfindungsgemäß verhindert werden.
-
Erfindungsgemäß ist zwischen der Firewall-Einrichtung 6 und dem Datenempfänger 3 die erfindungsgemäße Anordnung 7 vorgesehen, die die korrekte Funktion der Firewall-Einrichtung 6 überprüft.
-
Der von der Firewall-Einrichtung 6 durchgelassene Datenverkehr 18 wird innerhalb der Anordnung 7 zunächst von der Erfassungseinrichtung 10 erfasst. Die Erfassungseinrichtung 10 ist beispielsweise als eine Mithöreinrichtung, ein sogenannter Tap, ausgebildet, die den durchgelassenen Datenverkehr 18 rückwirkungsfrei mithört. Der mitgehörte durchgelassene Datenverkehr 18 wird von der mit der Erfassungseinrichtung 10 verbundenen Auswerteeinrichtung 12 überprüft. Bei der Überprüfung durch die Auswerteeinrichtung 12 wird kontrolliert, dass der durchgelassene Datenverkehr 18 keinen unerlaubten Datenverkehr enthält. Falls unerlaubter Datenverkehr, also unerlaubte IP-Absenderadressen oder unerlaubte IP-Zieladressen, Portnummern, etc. erkannt werden, kann nur eine Fehlfunktion der Firewall-Einrichtung 6 die Ursache sein. In einem solchen Fehlerfall aktiviert die Auswerteeinrichtung 12 die Abschalteinrichtung 11 über ein entsprechendes Abschaltsignal 19.
-
Die Abschalteinrichtung 11 ist zum Unterbrechen des Datenverkehrs in Richtung des Datenempfängers 3 ausgebildet und arbeitet sinngemäß wie ein Schalter, der den Datenverkehr zum Datenempfänger 3 unterbricht, wenn er aktiviert wird. Durch das Abschaltsignal 19 von der Auswerteeinrichtung 12 ist gewährleistet, dass ein im durchgelassenen Datenverkehr 18 erkannter unerlaubter Datenverkehr nicht den Datenempfänger 3 und die Sicherheitszone 14 erreicht. Die Auswerteeinrichtung 12 ist in der beispielhaften Ausführungsform der Figur so ausgestaltet, dass sie nur lokal konfiguriert wird und keine zusätzliche bidirektionale Netzwerkanbindung besitzt. Dadurch werden die Angriffsmöglichkeiten gegen die Auswerteeinrichtung 12 minimiert und die Sicherheit durch die erfindungsgemäße Anordnung 7 erhöht.
-
Ferner ist die Überwachungseinrichtung 13 mit der Auswerteeinrichtung 12 verbunden, die auf einer von der Auswerteeinrichtung 12 unabhängigen Hardware ausgebildet ist. Die Überwachungseinrichtung 13 weist einen ersten Watch-Dog-Timer 20 auf, der durch die Auswerteeinrichtung 12, beispielsweise von deren internen Prozessen, in regelmäßigen Zeitabständen zurückgesetzt wird. Ist die Auswerteeinrichtung 12 beispielsweise durch einen feindseligen Angriff funktionsunfähig, wird der Watch-Dog-Timer 20 nicht zurückgesetzt und erreicht eine vorbestimmte sogenannte Time-Out-Zeit. Bei Erreichen dieser Time-Out-Zeit wird von der Auswerteeinrichtung 12 ein Alarm 21 ausgelöst und zusätzlich das Abschaltsignal 19 an die Abschalteinrichtung 11 ausgegeben. Dadurch führt der Fehlerfall der Auswerteeinrichtung 12 zur Unterbrechung des Datenverkehrs in Richtung des Datenempfängers 3 und somit vorteilhafterweise zu einem sicheren Zustand. Der Alarm 21 kann beispielsweise in einer Zentrale (nicht dargestellt) der sicherheitskritischen Anlage 15 ausgelöst werden.
-
Nach dem Auslösen des Alarms 21 erfolgt bei der Auswerteeinrichtung 12 in der in der Figur beispielhaft dargestellten Ausführungsform automatisch ein Neustart, um die Sicherheit des Systems wieder herzustellen. Die Auswerteeinrichtung 12 weist einen nur lesbar ausgebildeten Speicher 22 auf, der einen Programmcode und eine Konfiguration der Auswerteeinrichtung 12 enthält. Beim Neustart der Auswerteeinrichtung 12 wird dieser Programmcode und die Konfiguration aus dem Speicher 22 ausgelesen, so dass der Ausgangszustand der Auswerteeinrichtung 12 wieder hergestellt und damit eine vorherige Manipulation oder Fehlfunktion der Auswerteeinrichtung 12 rückgängig gemacht wird. Während der erkannten Fehlfunktion und des Neustarts der Auswerteeinrichtung 12 bleibt der Datenverkehr durch die Abschalteinrichtung 11 unterbrochen und wird erst nach Rücknahme des Abschaltsignals 23 durch den Watch-Dog-Timer 20 wieder freigegeben. Zusätzlich wird bei der beispielhaften Ausführungsform in der Figur der Neustart der Auswerteeinrichtung 12 in regelmäßigen Abständen und bei erkannten Anomalien automatisch durchgeführt.
-
Ferner kann über eine Überwachungsfunktion am Eingang der Auswerteeinrichtung 12 sichergestellt werden, dass auch absichtlich in der Länge oder anderweitig veränderte Daten 17 im durchgelassenen Datenverkehr 18 die Auswerteeinrichtung 12 nicht in ihrer Funktion beeinträchtigen. Dabei wird die Datenpaketlänge von der Auswerteeinrichtung 12 erfasst und bei Überschreitung einer parametrierbaren Maximallänge und/oder auch bei einer Überschreitung einer Minimallänge ein Alarm ausgelöst und der Datenverkehr durch die Abschalteinrichtung 11 unterbrochen. Weiterhin kann das Vorhandensein und die Sinnfälligkeit der Protokollelemente des Datenpakets überprüft werden.
-
Um die ordnungsgemäße Funktion der erfindungsgemäßen Anordnung 7 regelmäßig zu prüfen, ist der Testdatengenerator 8 erfindungsgemäß vorgesehen. Der Testdatengenerator 8 erzeugt in regelmäßigen Zeitabständen ein oder mehrere definierte Testdaten in einem Test-Datenverkehr 24. Der Test-Datenverkehr 24 wird mittels des Verteilmittels 9, das beispielsweise ein Switch ist, in den durchgelassenen Datenverkehr 18 in Richtung des Datenempfängers 3 eingespeist. Der Test-Datenverkehr 24 enthält unerlaubten Datenverkehr, der die Erfassungseinrichtung 10 erreicht. Dadurch kann die ordnungsgemäße Funktion der Erfassungseinrichtung 10 und der Auswerteeinrichtung 12 geprüft werden.
-
Der Testdatengenerator 8 ist direkt mit der Auswerteeinrichtung 12 verbunden und gibt ein Testdatensignal 25 aus, wenn der Test-Datenverkehr 24 in den durchgelassenen Datenverkehr 18 eingespeist wurde. Dadurch erwartet die Auswerteeinrichtung 12 den testweise eingespeisten unerlaubten Datenverkehr im durchgelassenen Datenverkehr 18 und löst daher keinen Alarm 21 aus und aktiviert die Abschalteinrichtung 11 nicht.
-
Der Test-Datenverkehr 24 wird beispielsweise in regelmäßigen Abständen von dem Testdatengenerator 8 erzeugt, um die korrekte Funktion der Auswerteeinrichtung 12 zu prüfen. Das Erkennen des Test-Datenverkehrs 24 durch die Auswerteeinrichtung 12 setzt einen weiteren Watch-Dog-Timer 26 der Überwachungseinrichtung 13 zurück. Wird der Test-Datenverkehr 24 von der Auswerteeinrichtung 12 nicht innerhalb einer festgelegten Time-Out-Zeit des Watch-Dog-Timers 26 erkannt, wird der Alarm 21 ausgelöst und zusätzlich oder alternativ ein Abschaltsignal 27 an die Abschalteinrichtung 11 übermittelt, durch das der Datenverkehr zum Datenempfänger 3 unterbrochen wird.
-
Die erfindungsgemäße Auswerteeinrichtung 12 kann sich weitgehend einem Angriff von außen entziehen, weil sie lediglich über die Erfassungseinrichtung 10 am Datenverkehr angeschlossen ist und dies auch nur durch einen unidirektionalen, lesenden Abgriff. Selbst wenn die Auswerteeinrichtung 12 durch einen geeigneten Datenverkehr deaktiviert wird, würde die Überwachungseinrichtung 13 über die Watch-Dog-Timer 20 und 26 die Abschalteinrichtung 11 auslösen. Wenn durch einen Angriff die Auswerteeinrichtung 12 deaktiviert werden würde, wird dies bereits beim nächsten Test-Datenverkehr 24 auffällig, was ebenfalls die Aktivierung der Abschalteinrichtung 11 bewirkt. Durch die erfindungsgemäße Anordnung 7 wird eine schadhafte Konfigurationsänderung der Firewall-Einrichtung 6 erkannt, weil ein durchgelassener unerlaubter Datenverkehr erkannt und durch die Abschalteinrichtung 11 blockiert wird. Vorteilhafterweise können über die erfindungsgemäße Netzwerkverbindung 1 auch Ende-zu-Ende-verschlüsselte Daten 17 übertragen werden.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102013221955 A1 [0008]
-
Zitierte Nicht-Patentliteratur
-
- Norm IEC 62443-3-3 [0026]