EP4052440A1 - Übertragungsvorrichtung zum übertragen von daten - Google Patents

Übertragungsvorrichtung zum übertragen von daten

Info

Publication number
EP4052440A1
EP4052440A1 EP20828978.5A EP20828978A EP4052440A1 EP 4052440 A1 EP4052440 A1 EP 4052440A1 EP 20828978 A EP20828978 A EP 20828978A EP 4052440 A1 EP4052440 A1 EP 4052440A1
Authority
EP
European Patent Office
Prior art keywords
network
real
transmission device
simulation
rnw1
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP20828978.5A
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Christina Otto
Heiko Patzlaff
Martin Wimmer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of EP4052440A1 publication Critical patent/EP4052440A1/de
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Definitions

  • Transmission device for transmitting data
  • the present invention relates to a transmission device for transmitting data between a real first network and a real second network.
  • transmission devices For secure communication between a safety-critical network, such as a production network or a railroad safety network, and an open network, such as a local network or the Internet, transmission devices such as data diodes or firewalls are conventionally used to ensure unidirectional data transmission between to enable the security-critical network and the open network. These transmission devices are, for example, set up to ensure that no arbitrary data can be transmitted from the open network to the security-critical network and, in particular, are also set up to protect the security-critical network from attacks and intrusion attempts protect.
  • a transmission device for transmitting data between a real first network and a real second network.
  • the transmission device has a first network port for coupling to the real first network and a second network port for coupling to the real second network and further comprises: a simulation unit connected to the first network port, which is set up for this purpose , network-specific data from the real first network via the first network port to provide a virtual simulation network from the real first network as a function of the network-specific data obtained, and to provide the provided virtual simulation network via the second network port for access to the provided virtual simulation network from the real second network .
  • the transmission device makes it possible to provide a virtual simulation network from the real first network via the second network port using real network-specific data, for example from real participants in the real first network.
  • real network-specific data for example from real participants in the real first network.
  • This targeted misleading of the attacker has the advantage that the security against access or attacks from the real second network to the real first network is increased and consequently the reliability and security of the data transmission between the real first network and the real second network are increased becomes.
  • the term “real” is understood in particular to mean that the first network and the second network are designed as an existing network in reality.
  • the existing network can be a physical network, for example implemented in hardware, or a virtual (virtualized) network, for example implemented using virtual machines and / or virtual switches, or a hybrid network (partially virtualized network).
  • a virtualized network, such as a virtual first network is, for example, a network which is set up virtually or is designed as a network virtualization.
  • the term “virtual” is preferably understood to mean that the simulation network simulates or virtually maps the first real network.
  • the virtual simulation network simulates in particular at least parts or participants of the real first network. In particular, their function and effect are simulated by the virtual simulation network.
  • a simulated subscriber can also be referred to as a so-called "honeypot” and the simulation of a real network can be referred to as a simulation of a "honeypot network", also referred to as a honeynet.
  • the simulation unit can also be set up to create a plurality V of virtual simulation networks from a plurality N of real first networks and to provide this plurality V via the second network port.
  • connection and “connected” is understood here in particular to mean that a unit, for example the simulation unit, directly or indirectly via at least one other component or another component with, for example, the first network port or other components of the Transmission device is connected.
  • a network port such as the first or the second network port, is designed in particular as a physical network port.
  • the physical network port preferably has an RJ-45 connection, an M12 connection or a single-pair Ethernet connection in order to be connected or coupled to the real first network or the real second network.
  • the transmission device can, for example, comprise further network ports in addition to the first and second network ports.
  • the first and / or the second network port can also be part of a network address, which allows the assignment of TCP connections ("Transmission Control Protocol") and UDP connections ("User Datagram Protocol”) and data packets to the server and / or Cli- ent, which are arranged in the real first and / or real second network, enables.
  • the simulation unit is set up to simulate the real first network when the virtual simulation network is provided.
  • the provision by the simulation unit preferably includes a simulation of the real first network.
  • the access is in particular an access by a participant or an attack by an attacker from the real second network via the second network port to the virtual simulation network.
  • the attack can be a software attack, especially a hacker attack.
  • a software attack is in particular an attack on the virtual simulation network via the second network port from the real second network.
  • the attack can also include an attempt to attack and / or an attempt to intrude on the transmission device.
  • the simulation unit is also set up to simulate the virtual simulation network as a function of at least three different simulation levels.
  • the simulation unit is set up, depending on the network-specific data obtained, the virtual simulation network in a first simulation level of the at least three different simulation levels using at least one network topology of the real first network, in a second simulation level of the at least three different ones Simulation stages using at least one layer of a network protocol and / or a display of a service based on the real first network and, in a third simulation stage, simulating the at least three different simulation stages using at least one content-plausible website based on the real first network.
  • simulating the virtual simulation network using different simulation levels it is advantageously possible to provide the attacker from the real second network with only certain data from the real first network, which depend on the respective simulation level, or for this to display the virtual simulation network.
  • the virtual simulation network With each increase in the simulation level, for example when the virtual simulation network is increased from the first to the second simulation level, further data from the real first network can be made available to the attacker by the virtual simulation network. As a result, each time the simulation level is increased, the virtual simulation network is mapped more and more precisely in relation to the real first network. In other words, with each increase in the simulation level, the virtual simulation network includes further data from the real first network.
  • This increases the probability that the attacker will access the virtual simulation network or want to attack it, and thus the probability that the attacker will be misled increases.
  • This has the advantage that the security against access from the real second network to the real first network is increased and, as a result, the reliability and security in the data transmission between the real first network and the real second network is increased.
  • a network topology of the real first network includes, in particular, one or more end points of the real first network.
  • An end point is in particular an interface of a participant in the real first network.
  • a participant is, for example, a computer such as a server, a client or a router.
  • the network topology includes in particular the arrangement of the participants and the connection between the participants in the real first network. The same applies to the real second network.
  • One layer of a network protocol is in particular part of the TCP / IP reference model (“Transmission Control Protocol” / “Internet Protocol”), which maps a group of network protocols using different layers.
  • the first simulation stage includes, in particular, the simulation of the network topology, the network ports present in the network topology and, in addition, which network ports can be reached and which are inaccessible.
  • the first simulation level can in particular be assigned to layers 1 - 3 according to the OSI / ISO layer model, so that preferably the physical participants of the real first network and their media access control address (MAC) and / or Internet protocol Address (IP address) can be simulated in the virtual simulation network in the first simulation stage.
  • MAC media access control address
  • IP address Internet protocol Address
  • Using the only first simulation stage has the particular advantage that the simulation of the virtual simulation network requires little memory and computing effort, since the simulation effort is low due to the simulated network topology with the network ports.
  • the second simulation stage includes in particular the simulation of a layer of a network protocol or a display of a service.
  • a service is, for example, the simulation of a TCP / UDP port ("User Datagram Protocol") or a response he generated to an HTTP request ("Hypertext Transfer Protocol”) by a randomly generated empty website.
  • the third simulation stage preferably includes the simulation of a content-plausible website.
  • a website with plausible content can correspond to a website in which the graphical user interface, for example PLC software (programmable logic controller), is displayed.
  • PLC software programmable logic controller
  • measured values such as pressure or temperature of a real PLC, which controls a real machine in the real first network, can then be displayed.
  • the measured values can also be simulated in such a way that they change as required over time.
  • These measured values can also be changed as a reaction to an attack by the attacker in such a way that the attacker assumes that he has successfully attacked the real system or the PLC of the real first network.
  • the third simulation stage also includes, in particular, the simulation of an application logic of the first network.
  • the application logic preferably includes algorithms and / or rules for describing functions of end points, such as subscribers, of the first network.
  • the virtual simulation network precisely simulates the real first network and its technical processes.
  • the virtual simulation network or the honeypot is designed to be particularly realistic. forms. This particularly realistic training can also be referred to as a "digital twin".
  • the different simulation levels correspond in particular to the layers of the OSI / ISO layer model.
  • the transmission device further comprises a configuration unit which is set up to receive network-specific data from the real first network via the first network port, to analyze them and to use the analyzed network-specific data as configuration data for configuring the virtual simulation network.
  • the configuration unit is also set up to use the configuration data to automatically configure the virtual simulation network at least at a specific point in time, the at least one specific point in time including a point in time during operation of the simulation unit.
  • the transmission device comprises, in particular, a CPU (“Central Processing Unit”) in which the simulation unit and the configuration unit are implemented.
  • a CPU Central Processing Unit
  • the respective unit for example the simulation unit or the configuration unit, can be implemented in terms of hardware and / or also in terms of software.
  • the respective unit can be designed as a device or as part of a device, for example as a computer or as a microprocessor or as a control computer of a vehicle.
  • the respective unit can be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.
  • the configuration data include, in particular, the network-specific data of the real first network.
  • the configuration Ration data include at least the network topology of the real first network, the IP addresses of the participants in the real first network and the services that are carried out on the real first network.
  • the configuration unit makes it possible in an advantageous manner to configure the virtual simulation network by means of the configuration data.
  • a "configuration” is understood in particular to mean that the configuration unit of the simulation unit, in particular the simulated, virtual simulation network, has already preprocessed data from the real first network, for example network topologies with the participants, network Ports or IP addresses of participants. This means that there is no need to extract or process the network-specific data obtained by the simulation unit. This in particular reduces the configuration effort when setting up the virtual simulation network for the first time or when it is set up again.
  • the configuration unit can learn the network topology or the layout of the real first network by means of an algorithm for machine learning, for example by means of neural networks. This also reduces the effort involved in setting up or configuring the virtual simulation network for the first time or repeatedly.
  • the specific point in time includes, in particular, a point in time during operation of the simulation unit, when the simulation unit is started, when the simulation level is changed and / or a specific point in time that is given by an operator or administrator of the transmission device.
  • the transmission device is set up to run the simulation unit and the configuration unit in parallel.
  • This embodiment has the advantage that the simulation unit and the configuration unit are carried out simultaneously or in parallel or are active or in operation at the same time.
  • the parallel execution of the configuration unit in combination with the simulation unit leads to the technical effect that during operation the virtual simulation network can be adapted on the one hand by means of the simulation unit in the respective simulation stages, and on the other hand the initial and / or repeated setup This is facilitated by a better database based on the configuration data of the configuration unit and since the configuration effort is reduced with it.
  • the level of detail of the virtual simulation network can be increased.
  • the probability increases, in particular, that potential attackers will be distracted from accessing the real first network, so that security can thus be increased.
  • the reliability and security of the data transmission between the real first network and the real second network are increased.
  • Parallel is understood in particular to mean that the transmission device is set up to execute or operate the simulation unit and the configuration unit simultaneously or simultaneously.
  • the transmission device is set up to receive data from the real first network via a network switch arranged between the real first network and the first network port, with at least one input of the network switch for the transmission of data is connected to the real first network and a mirroring port formed as an output of the network switch for the transmission of data is connected to the first network port.
  • a network switch with a mirror port it is advantageously possible, please include to provide the entire data traffic of the real first network at the first network port for the transmission device. This advantageously enables the transmission device to receive and analyze the data traffic of each participant in the real first network.
  • a first connection section is arranged between the real first network and the network switch, a second connection section between the network switch and the transmission device, and a third connection section between the transmission device and the real second network.
  • the first connection section in particular establishes a connection between the real first network and the network switch.
  • the second connection section preferably establishes a connection between the network switch and the transmission device.
  • the third connection section establishes, for example, a connection between the real second network and the transmission device.
  • the first, second and / or third connection section is in particular wired, for example in the form of at least one copper line or an aluminum line, and / or optically in the form of at least one glass fiber line.
  • the network switch can also be referred to as a switch.
  • the mirroring port of the network switch is used in particular to mirror the network traffic of the real first network in order to provide the entire data and / or network traffic of the real first network of the transmission device at the first network port.
  • the transmission device is set up to facilitate the transmission of data between the real first network and the real second network work in a transmission layer, layer 2 according to the OSI / ISO layer model.
  • the real first network comprises a control network, in particular a production network or a railway safety network
  • the real second network comprises a diagnosis network, a local network or the Internet.
  • the real first network is designed in particular as a safety-critical network, while the real second network is designed as an open network.
  • the real first network can also be referred to as a network with a high security requirement, while the real second network is referred to as a network with a low security requirement.
  • a production network is used in particular in a production facility.
  • the production plant comprises several machines and computers connected to one another via the production network.
  • a railway safety network preferably comprises control and safety technology for a rail infrastructure.
  • the control network includes, in particular, a road safety network which has control and safety technology for a road infrastructure.
  • a local network includes, for example, a LAN (“Local Area Network”) and / or a WLAN (“Wireless Local Area Network”).
  • LAN Local Area Network
  • WLAN Wireless Local Area Network
  • the real first network and the real second network each include in particular at least one end point, which is designed as a respective participant.
  • the real first network and / or the real second network in particular each comprise a plurality of participants that are connected to one another and thereby form the respective network.
  • the transmission device is partially or completely designed as a unidirectional data diode, as a firewall or as a gateway.
  • a unidirectional data diode is, in particular, a one-way communication device which enables the real first network and the real second network to be separated physically without interference.
  • the unidirectional data diode is designed as a "data capture unit” (DCU).
  • DCU data capture unit
  • a "physical" reaction-free separation is present in particular when the reaction-free separation physically separates the real first and the real second network due to physical components in the unidirectional data diode.
  • a firewall is in particular a component which is implemented in hardware and / or software, in particular in software, and which is set up to establish a connection between a real first and a real second network.
  • the firewall can also be designed as a unidirectional firewall, which enables a logically reaction-free separation of the real first network and the real second network.
  • the term “logical”, reaction-free separation is understood in the present case in particular when the reaction-free separation takes place by means of an application of algorithms, in the case when the firewall is implemented in software.
  • a gateway is in particular a component which is implemented in hardware and / or software and which is set up to establish a connection between a real first and a real second network.
  • the gateway can also be designed as a unidirectional gateway, which enables a physical or logical reaction-free separation of the real first network and the real second network.
  • the unidirectional data diode, the unidirectional firewall and the unidirectional gateway are set up in particular to allow only released and / or specially marked data for transmission from the real second network into the real first network.
  • reaction-free separation is understood in particular to mean that changes or attempts at attack from the real second network have no influence on the real first network.
  • the term “partially” is understood in particular to mean that the transmission device includes further components in addition to the unidirectional data diode, the firewall or the gateway.
  • the unidirectional data diode is part of the transmission device, the transmission device also having further components.
  • the term “complete” is understood in particular to mean that the transmission device in its entirety is designed as a unidirectional data diode, as a firewall or as a gateway.
  • the transmission device is set up to provide the real second network with a routing table comprising a plurality A of IP addresses of participants in the real first network.
  • the routing table is, in particular, a table that provides information about which subscribers in a network, such as the real first network, can be reached via which IP addresses or which IP addresses are assigned to the subscribers.
  • Another network such as the real second network, thus has information about the IP address via which a subscriber in the real first network can be reached from the real second network.
  • the transmission device is set up to provide the real second network with at least one specific IP address of a specific subscriber of the real first network.
  • the routing table provided provides at least one specific IP address of a specific subscriber from the real first network to the real second network.
  • This specific IP address provided is advantageously used, in particular, as a trap that has a technical endpoint. If, for example, an attacker wants to attack the specific subscriber via the transmission device using the specific IP address assigned to him, the attack ends in the technical end point.
  • the technical end point is in particular designed to be isolated from the real first and real second network. The attacker is thus deliberately misled by means of the determined IP address and the routing table in order to increase the security and reliability when operating the transmission device and the real first network.
  • the network-specific data include measured values, such as pressure and / or temperature of participants in the real first network, at least a number T of participants in the real first network, operating states of participants in the real first network and / or a technical one Process which is carried out by at least one participant in the real first network.
  • At least the simulation unit, the configuration unit, the first network port and the second network port are implemented in a common housing.
  • the components listed in this embodiment, including the transmission device itself, are implemented in particular in a common housing.
  • a housing or a common housing is designed in particular as a housing of a processor or a computer chip, for example in the form of an integrated circuit ("Integrated Circuit" (IC)). Furthermore, a housing or a common housing is preferably designed as a common housing of a device or, for example, as a common implementation on an FPGA (Field Programmable Gate Array).
  • IC integrated circuit
  • FPGA Field Programmable Gate Array
  • FIG. 1 shows a schematic block diagram of a first embodiment of a transmission device for transmitting data
  • FIG. 2 shows a schematic block diagram of a second embodiment of a transmission device for transmitting data.
  • elements that are the same or have the same function have been given the same reference symbols, unless otherwise stated.
  • Fig. 1 shows a schematic block diagram of a first embodiment of a transmission device 1 for transmitting data between a real first network RNW1, for example comprising a production network, and a real second network RNW2, for example comprising a local network.
  • a real first network RNW1 for example comprising a production network
  • a real second network RNW2 for example comprising a local network.
  • This transmission of data is carried out in particular in a transmission layer, layer 2 according to the OSI / ISO layer model.
  • the real first network RNW1 can comprise a railway safety network
  • the real second network RNW2 comprises the Internet.
  • the transmission device 1 is designed entirely as a unidirectional data diode.
  • the transmission device 1 can be designed partially or completely as a firewall (not shown) or as a gateway (not shown).
  • the transmission device 1 has a first network port PI for coupling to the real first network RNW1 and a second network port P2 for coupling to the real second network RNW2.
  • the transmission device 1 also includes a simulation unit 2.
  • the simulation unit 2 is connected to the first network port PI and is set up to receive network-specific data from the real first network RNW1 via the first network port PI, depending on the network-specific data received, a virtual simulation network VSN from the real first network RNW1 and to provide the provided virtual simulation network VSN via the second network port P2 for access to the provided virtual simulation network VSN from the real second network RNW2.
  • the network-specific data include, in particular, measured values, such as pressure and / or temperature of participants in the real first network RNW1 or at least a number T of participants in the real first network RNW1.
  • the network-specific data also preferably include operating states of participants in the real first network RNW1 or a technical process which is carried out by at least one participant in the real first network RNW1.
  • the simulation unit 2 is set up to simulate the virtual simulation network VSN as a function of at least three different simulation levels.
  • the simulation unit 2 is set up, depending on the network-specific data obtained, the virtual simulation network VSN in a first simulation stage using at least one network topology of the real first network RNW1 and in a second simulation stage using at least one layer of a network protocol and / or to simulate a display of a service based on the real first network RNW1.
  • the simulation unit 2 is also set up to simulate the virtual simulation network VSN in a third simulation stage based on the real first network RNW1 based on the real first network RNW1 as a function of the network-specific data obtained.
  • a network switch 4 is also arranged between the real first network RNW1 and the first network port PI.
  • the transmission device 1 is set up to receive the data from the real first network RNW1 via the network switch 4. At least one input of the network switch 4 is for the transmission of data with the real connected to the first network RNW1. A mirroring port SP designed as an output of the network switch 4 for transmitting data is connected to the first network port PI.
  • the transmission device 1 is preferably set up to provide the real second network RNW2 with a routing table comprising a plurality A of IP addresses of participants from the real first network RNW1.
  • the transmission device 1 is also set up to provide the second network RNW2 with at least one specific IP address of a specific subscriber from the real first network RNW1.
  • FIG. 2 shows a schematic block diagram of a second embodiment of a transmission device 1 for transmitting data.
  • the second embodiment includes all of the features of the first embodiment.
  • the transmission device 1 of the second embodiment in FIG. 2 comprises a configuration unit 3 which is connected to the simulation unit 2 and a CPU 5 in which the simulation unit 2 and the configuration unit 3 are implemented .
  • the configuration unit 3 is set up to receive network-specific data from the real first network RNW1 via the first network port PI, to analyze them and to use the analyzed network-specific data as configuration data for configuring the virtual simulation network VSN.
  • the transmission device 1 including at least the simulation unit 2, the configuration unit 3, the first network port PI and the second network port P2 are implemented in a common housing 6.
  • the configuration unit 3 is also set up to use the configuration data to automatically configure the virtual simulation network VSN at least at a specific point in time.
  • the specific point in time includes, in particular, a point in time during the operation of the simulation unit 2.
  • the transmission device 1 is preferably set up to run the simulation unit 2 and the configuration unit 3 in parallel.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Communication Control (AREA)

Abstract

Es wird eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem realen ersten Netzwerk und einem realen zweiten Netzwerk vorgeschlagen. Die Übertragungsvorrichtung weist einen ersten Netzwerk-Port zum Koppeln an das reale erste Netzwerk und einen zweiten Netzwerk-Port zum Koppeln an das reale zweite Netzwerk auf und umfasst ferner: eine an dem ersten Netzwerk-Port verbundene Simulations-Einheit, die dazu eingerichtet ist, über den ersten Netzwerk-Port von dem realen ersten Netzwerk netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten ein virtuelles Simulationsnetzwerk von dem realen ersten Netzwerk bereitzustellen, und das bereitgestellte virtuelle Simulationsnetzwerk über den zweiten Netzwerk-Port für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk von dem realen zweiten Netzwerk aus bereitzustellen. Durch die bereitgestellte Übertragungsvorrichtung wird eine gezielte Irreführung eines Angreifers bewirkt, welche in vorteilhafter Weise die Sicherheit vor Zugriffsversuchen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk erhöht.

Description

Beschreibung
Übertragungsvorrichtung zum Übertragen von Daten
Die vorliegende Erfindung betrifft eine Übertragungsvorrich tung zum Übertragen von Daten zwischen einem realen ersten Netzwerk und einem realen zweiten Netzwerk.
Zur sicheren Kommunikation zwischen einem sicherheitskriti schen Netzwerk, wie beispielsweise einem Produktionsnetzwerk oder einem Bahnsicherungsnetzwerk, und einem offenen Netz werk, wie beispielsweise einem lokalen Netzwerk oder dem In ternet, werden herkömmlicherweise insbesondere Übertragungs vorrichtungen, wie Datendioden oder Firewalls eingesetzt, um eine unidirektionale Datenübertragung zwischen dem sicher- heitskritischen Netzwerk und dem offenen Netzwerk zu ermögli chen. Diese Übertragungsvorrichtungen sind beispielsweise da zu eingerichtet sicherzustellen, dass von dem offenen Netz werk keine beliebigen Daten an das sicherheitskritische Netz werk übermittelt werden können und sind insbesondere ferner dazu eingerichtet, das sicherheitskritische Netzwerk vor An griffen und Eindringversuchen (engl. "Intrusion attempts") zu schützen.
Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, eine verbesserte Übertragungsvorrichtung be reitzustellen.
Gemäß einem ersten Aspekt wird eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem realen ersten Netz werk und einem realen zweiten Netzwerk vorgeschlagen. Die Übertragungsvorrichtung weist einen ersten Netzwerk-Port zum Koppeln an das reale erste Netzwerk und einen zweiten Netz werk-Port zum Koppeln an das reale zweite Netzwerk auf und umfasst ferner: eine an dem ersten Netzwerk-Port verbundene Simulations- Einheit, die dazu eingerichtet ist, über den ersten Netzwerk- Port von dem realen ersten Netzwerk netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspe zifischen Daten ein virtuelles Simulationsnetzwerk von dem realen ersten Netzwerk bereitzustellen, und das bereitge stellte virtuelle Simulationsnetzwerk über den zweiten Netz werk-Port für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk von dem realen zweiten Netzwerk aus be reitzustellen.
Durch die bereitgestellte Übertragungsvorrichtung ist es mög lich, ein virtuelles Simulationsnetzwerk von dem realen ers ten Netzwerk über den zweiten Netzwerk-Port mittels realer netzwerkspezifischer Daten, von beispielsweise realen Teil nehmern des realen ersten Netzwerkes, bereitzustellen. Infol gedessen, wenn nun ein Angreifer von dem realen zweiten Netz werk aus auf das vermeintlich erste reale Netzwerk, nämlich das virtuelle Simulationsnetzwerk, zugreifen oder dieses an greifen will, greift der Angreifer in Wirklichkeit das virtu elle Simulationsnetzwerk anstelle des realen ersten Netzwerks an, oder greift auf dieses zu.
Diese gezielte Irreführung des Angreifers hat den Vorteil, dass sich die Sicherheit vor Zugriffen oder Angriffen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk er höht und infolgedessen die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk erhöht wird.
Unter dem Begriff "real" wird vorliegend insbesondere ver standen, dass das erste Netzwerk und das zweite Netzwerk in der Realität als ein existierendes Netzwerk ausgebildet sind. Das existierende Netzwerk kann ein physikalisches Netzwerk sein, beispielsweise realisiert in Hardware, oder ein virtu elles (virtualisiertes) Netzwerk sein, beispielsweise reali siert mittels virtueller Maschinen und/oder virtuellen Swit ches, oder ein hybrides Netzwerk (teil-virtualisiertes Netz werk) sein. Ein virtualisiertes Netzwerk, wie ein virtuelles erstes Netzwerk, ist beispielsweise ein Netzwerk, welches virtuell aufgesetzt wird oder als eine Netzwerk- Virtualisierung ausgebildet ist.
Unter dem Begriff "virtuell" wird vorliegend vorzugsweise verstanden, dass das Simulationsnetzwerk das erste reale Netzwerk simuliert oder virtuell abbildet. Das virtuelle Si mulationsnetzwerk simuliert insbesondere zumindest Teile oder Teilnehmer des realen ersten Netzwerkes. Dabei wird insbeson dere deren Funktion und Wirkung durch das virtuelle Simulati onsnetzwerk simuliert. Ein simulierter Teilnehmer kann auch als ein sogenannter "Honeypot" und die Simulation eines rea len Netzwerks kann als eine Simulation eines "Honeypot- Netzwerkes" bezeichnet werden, auch als Honeynet bezeichnet. Die Simulations-Einheit kann auch dazu eingerichtet sein, ei ne Mehrzahl V von virtuellen Simulationsnetzwerken von einer Mehrzahl N von realen ersten Netzwerken zu erstellen und die se Mehrzahl V über den zweiten Netzwerk-Port bereitzustellen.
Unter dem Begriff "verbinden" und "verbunden" wird vorliegend insbesondere verstanden, dass eine Einheit, beispielsweise die Simulations-Einheit, unmittelbar oder mittelbar über zu mindest eine andere Komponente oder ein anderes Bauteil mit beispielsweise dem ersten Netzwerk-Port oder anderen Kompo nenten der Übertragungsvorrichtung verbunden ist.
Ein Netzwerk-Port, wie der erste oder der zweite Netzwerk- Port, ist insbesondere als ein physikalischer Netzwerk-Port ausgebildet. Der physikalische Netzwerk-Port weist vorzugs weise eine RJ-45-Verbindung, eine M12-Verbindung oder eine Single-Pair- Ethernet-Verbindung auf, um jeweils mit dem rea len ersten Netzwerk oder dem realen zweiten Netzwerk verbun den oder gekoppelt zu werden. Die Übertragungsvorrichtung kann beispielsweise weitere Netzwerk-Ports, zusätzlich zu dem ersten und dem zweiten Netzwerk-Port, umfassen. Auch kann der erste und/oder der zweite Netzwerk-Port ein Teil einer Netz werkadresse sein, der die Zuordnung von TCP-Verbindungen ("Transmission Control Protocol") und UDP-Verbindungen ("User Datagram Protocol") und Datenpaketen zu Server und/oder Cli- ents, die in dem realen ersten und/oder realen zweiten Netz werk angeordnet sind, ermöglicht.
Insbesondere ist die Simulations-Einheit dazu eingerichtet, bei dem Bereitstellen des virtuellen Simulationsnetzwerkes das reale erste Netzwerk zu simulieren. In anderen Worten um fasst das Bereitstellen durch die Simulations-Einheit vor zugsweise ein Simulieren des realen ersten Netzwerkes.
Der Zugriff ist insbesondere ein Zugriff eines Teilnehmers oder ein Angriff eines Angreifers von dem realen zweiten Netzwerk aus über den zweiten Netzwerk-Port auf das virtuelle Simulationsnetzwerk. Der Angriff kann ein Software-Angriff, insbesondere ein Hacker-Angriff sein. Ein Software-Angriff ist insbesondere ein Angriff auf das virtuelle Simulations netzwerk über den zweiten Netzwerk-Port von dem realen zwei ten Netzwerk aus. Der Angriff kann auch einen Angriffsversuch und/oder einen Eindringversuch auf die Übertragungsvorrich tung umfassen.
Gemäß einer Ausführungsform ist die Simulations-Einheit fer ner dazu eingerichtet, das virtuelle Simulationsnetzwerk in Abhängigkeit von zumindest drei unterschiedlichen Simulati onsstufen zu simulieren.
Gemäß einer weiteren Ausführungsform ist die Simulations- Einheit dazu eingerichtet, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk in einer ersten Simulationsstufe der zumindest drei unter schiedlichen Simulationsstufen mittels zumindest einer Netz werktopologie des realen ersten Netzwerkes, in einer zweiten Simulationsstufe der zumindest drei unterschiedlichen Simula tionsstufen mittels zumindest einer Schicht eines Netzwerk protokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes und in einer dritten Simulati onsstufe der zumindest drei unterschiedlichen Simulationsstu fen mittels zumindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes zu simulieren. Durch das Simulieren des virtuellen Simulationsnetzwerkes mittels unterschiedlicher Simulationsstufen ist es in vor teilhafter Weise möglich, dem Angreifer von dem realen zwei ten Netzwerk aus nur bestimmte Daten des realen ersten Netz werkes, die von der jeweiligen Simulationsstufe abhängen, zur Verfügung zu stellen oder für diesen durch das virtuelle Si mulationsnetzwerk anzeigen zu lassen. Durch eine jede Erhö hung der Simulationsstufe, beispielsweise wenn das virtuelle Simulationsnetzwerk von der ersten auf die zweite Simulati onsstufe erhöht wird, können weitere Daten des realen ersten Netzwerkes dem Angreifer durch das virtuelle Simulationsnetz werk bereitgestellt werden. Infolgedessen wird das virtuelle Simulationsnetzwerk bei jeder Erhöhung der Simulationsstufe immer genauer in Bezug auf das reale erste Netzwerk abgebil det. In anderen Worten umfasst bei jeder Erhöhung der Simula tionsstufe das virtuelle Simulationsnetzwerk weitere Daten des realen ersten Netzwerkes.
Dadurch erhöht sich die Wahrscheinlichkeit dafür, dass der Angreifer auf das virtuelle Simulationsnetzwerk zugreifen o- der dieses angreifen will und somit erhöht sich die Wahr scheinlichkeit der Irreführung des Angreifers. Dies hat den Vorteil, dass sich die Sicherheit vor Zugriffen von dem rea len zweiten Netzwerk aus auf das reale erste Netzwerk erhöht und infolgedessen die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk erhöht wird.
Eine Netzwerktopologie des realen ersten Netzwerkes umfasst insbesondere einen oder mehrere Endpunkte des realen ersten Netzwerkes. Ein Endpunkt ist insbesondere eine Schnittstelle eines Teilnehmers des realen ersten Netzwerkes. Ein Teilneh mer ist beispielsweise ein Computer, wie ein Server, ein Cli ent oder ein Router. Die Netzwerktopologie umfasst insbeson dere die Anordnung der Teilnehmer und die Verbindung der Teilnehmer untereinander in dem realen ersten Netzwerk. Ent sprechendes gilt für das reale zweite Netzwerk. Eine Schicht eines Netzwerkprotokolls ist insbesondere Teil des TCP/IP-Referenzmodells ("Transmission Control Proto- col "/"Internet Protocol"), welches eine Gruppe von Netzwerk protokollen mittels unterschiedlicher Schichten abbildet.
Die erste Simulationsstufe umfasst insbesondere die Simulati on der Netzwerktopologie, der in der Netzwerktopologie vor handenen Netzwerk-Ports und darüber hinaus welche Netzwerk- Ports erreichbar und welche unerreichbar sind. Die erste Si mulationsstufe kann insbesondere den Schichten 1 - 3 gemäß dem OSI/ISO- Schichtmodell, zugeordnet werden, so dass vor zugsweise die physikalischen Teilnehmer des realen ersten Netzwerkes sowie deren Media-Access-Control- Adresse(MAC) und/oder Internetprotokoll-Adresse (IP-Adresse) in dem virtu ellen Simulationsnetzwerk in der ersten Simulationsstufe si muliert werden können.
Die Verwendung der ausschließlich ersten Simulationsstufe hat insbesondere den Vorteil, dass bei der Simulation des virtu ellen Simulationsnetzwerkes ein geringer Speicher- sowie Re chenaufwand anfällt, da der Simulationsaufwand aufgrund der simulierten Netzwerktopologie mit den Netzwerk-Ports gering ausfällt.
Die zweite Simulationsstufe umfasst insbesondere die Simula tion einer Schicht eines Netzwerkprotokolls oder eine Anzeige eines Service. Ein Service ist beispielsweise die Simulation eines TCP/UDP-Ports ("User Datagram Protocol") oder eine er zeugte Antwort auf eine HTTP-Anfrage ("Hypertext Transfer Protocol") durch eine zufällig generierte inhaltsleere Web seite.
Die dritte Simulationsstufe umfasst vorzugsweise die Simula tion einer inhaltsplausiblen Webseite. Eine inhaltsplausible Webseite kann einer Webseite entsprechen, in der die grafi sche Oberfläche, beispielsweise einer SPS-Software (Speicher programmierbaren Steuerung), angezeigt wird. Auf dieser gra- fischen Oberfläche der inhaltsplausiblen Webseite können dann Messwerte, wie Druck oder Temperatur einer realen SPS, welche eine reale Maschine des realen ersten Netzwerkes ansteuert, angezeigt werden. Die Messwerte können auch so simuliert wer den, dass sich diese über die Zeit beliebig verändern. Auch können diese Messwerte als eine Reaktion auf einen Angriff durch den Angreifer derart verändert werden, dass der Angrei fer davon ausgeht, er habe erfolgreich die reale Anlage oder die SPS des realen ersten Netzwerkes angegriffen. Ebenso kann die inhaltsplausible Webseite als eine statische Webseite ausgebildet sein, welche ihre grafische Oberfläche nicht ver ändert. Die dritte Simulationsstufe umfasst ferner insbeson dere die Simulation einer Applikationslogik des ersten Netz werkes. Die Applikationslogik umfasst vorzugsweise Algorith men und/oder Regeln zur Beschreibung von Funktionen von End punkten, wie beispielsweise Teilnehmern, des ersten Netzwer kes.
Diese Möglichkeiten der Simulation durch die dritte Simulati onsstufe führen dazu, dass der Angreifer davon ausgeht, er befinde sich auf der echten, realen Webseite des realen ers ten Netzwerkes oder greift auf das reale erste Netzwerk zu. Dies erhöht signifikant die Wahrscheinlichkeit der Irrefüh rung des Angreifers. Dies hat den Vorteil, dass sich die Si cherheit vor Zugriffen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk erhöht und infolgedessen die Zu verlässigkeit und Sicherheit bei der Datenübertragung zwi schen dem realen ersten Netzwerk und dem realen zweiten Netz werk erhöht wird.
Zusätzlich ist denkbar, dass technische Prozesse von realen Maschinen des realen ersten Netzwerkes in der dritten Simula tionsstufe oder in einer weiteren, numerisch höheren Simula tionsstufe simuliert werden können. Insbesondere in einer nu merisch sehr hohen Simulationsstufe simuliert das virtuelle Simulationsnetzwerk exakt das reale erste Netzwerk und dessen technische Prozesse. Infolgedessen ist das virtuelle Simula tionsnetzwerk oder der Honeypot besonders realitätsnah ausge- bildet. Diese besonders realitätsnahe Ausbildung kann auch als eine "Digitaler Zwilling" bezeichnet werden.
Die unterschiedlichen Simulationsstufen korrespondieren ins besondere mit den Schichten des OSI/ISO-Schichtenmodells.
Gemäß einer weiteren Ausführungsform umfasst die Übertra gungsvorrichtung ferner eine Konfigurations-Einheit, die dazu eingerichtet ist, über den ersten Netzwerk-Port von dem rea len ersten Netzwerk netzwerkspezifische Daten zu erhalten, diese zu analysieren und die analysierten netzwerkspezifi schen Daten als Konfigurationsdaten zum Konfigurieren des virtuellen Simulationsnetzwerkes zu verwenden.
Gemäß einer weiteren Ausführungsform ist die Konfigurations- Einheit ferner dazu eingerichtet, mittels der Konfigurations daten das virtuelle Simulationsnetzwerk zumindest zu einem bestimmten Zeitpunkt automatisch zu konfigurieren, wobei der zumindest eine bestimmte Zeitpunkt einen Zeitpunkt während des Betriebes der Simulations-Einheit umfasst.
Die Übertragungsvorrichtung umfasst insbesondere eine CPU ("Central Processing Unit"), in welcher die Simulations- Einheit und die Konfigurations-Einheit implementiert sind.
Die jeweilige Einheit, zum Beispiel die Simulations-Einheit oder die Konfigurations-Einheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Ein heit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steu errechner eines Fahrzeuges ausgebildet sein. Bei einer soft waretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Rou tine, als Teil eines Programmcodes oder als ausführbares Ob jekt ausgebildet sein.
Die Konfigurationsdaten umfassen insbesondere die netzwerk spezifischen Daten des realen ersten Netzwerkes. Die Konfigu- rationsdaten umfassen zumindest die Netzwerktopologie des re alen ersten Netzwerkes, die IP-Adressen der Teilnehmer des realen ersten Netzwerkes und die Services, die auf dem realen ersten Netzwerk ausgeführt werden.
Die Konfigurations-Einheit ermöglicht es in vorteilhafter Weise, mittels der Konfigurationsdaten das virtuelle Simula tionsnetzwerk zu konfigurieren. Unter einem "Konfigurieren" wird vorliegend insbesondere verstanden, dass die Konfigura tions-Einheit der Simulations-Einheit, insbesondere dem simu lierten, virtuellen Simulationsnetzwerk bereits durch die Konfigurations-Einheit vorverarbeitete Daten aus dem realen ersten Netzwerk, beispielsweise Netzwerktopologien mit den Teilnehmern, Netzwerk-Ports oder IP-Adressen von Teilnehmern, zukommen lässt. Dadurch entfällt ein Extrahieren oder ein Aufbereiten der erhaltenen netzwerkspezifischen Daten durch die Simulations-Einheit. Damit verringert sich insbesondere der Konfigurationsaufwand beim erstmaligen oder beim wieder holten Einrichten des virtuellen Simulationsnetzwerkes.
Insbesondere kann die Konfigurations-Einheit mittels eines Algorithmus zum maschinellen Lernen, beispielsweise mittels neuronalen Netzen, die Netzwerktopologie oder das Layout des realen ersten Netzwerkes lernen. Damit verringert sich ebenso der Aufwand bei der erstmaligen oder wiederholten Einrichtung oder Konfiguration des virtuellen Simulationsnetzwerkes.
Der bestimmte Zeitpunkt umfasst insbesondere einen Zeitpunkt während des Betriebes der Simulations-Einheit, beim Starten der Simulations-Einheit, bei einem Wechsel der Simulations stufe und/oder einen bestimmten Zeitpunkt, der durch einen Bediener oder Administrator der Übertragungsvorrichtung vor gegeben wird.
Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, die Simulations-Einheit und die Konfigurations-Einheit parallel auszuführen. Diese Ausführungsform hat den Vorteil, dass die Simulations- Einheit und die Konfigurations-Einheit gleichzeitig oder pa rallel ausgeführt werden oder gleichzeitig aktiv oder im Be trieb sind. Die parallele Ausführung der Konfigurations- Einheit in Kombination mit der Simulations-Einheit führt zu dem technischen Effekt, dass während des Betriebes das virtu elle Simulationsnetzwerk einerseits mittels der Simulations- Einheit in den jeweiligen Simulationsstufen anpassbar ist, und andererseits das erstmalige und/oder wiederholte Einrich ten durch eine bessere Datenbasis auf Basis der Konfigurati onsdaten der Konfigurations-Einheit erleichtert wird und da mit der Konfigurationsaufwand reduziert wird. Zusätzlich kann damit der Detailgrad des virtuellen Simulationsnetzwerkes er höht werden. Durch die möglichst realistische Simulation des realen ersten Netzwerkes steigt insbesondere die Wahrschein lichkeit, dass potentielle Angreifer von einem Zugriff auf das reale erste Netzwerk abgelenkt werden, so dass sich damit die die Sicherheit erhöhen lässt. Infolgedessen werden die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwi schen dem realen ersten Netzwerk und dem realen zweiten Netz werk erhöht.
Unter parallel wird insbesondere verstanden, dass die Über tragungsvorrichtung dazu eingerichtet ist, die Simulations- Einheit und die Konfigurations-Einheit gleichzeitig oder si multan auszuführen oder zu betreiben.
Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, über einen zwischen dem realen ersten Netzwerk und dem ersten Netzwerk-Port angeordneten Netzwerk-Switch Daten von dem realen ersten Netzwerk zu emp fangen, wobei zumindest ein Eingang des Netzwerk-Switches zur Übertragung von Daten mit dem realen ersten Netzwerk verbun den ist und ein als ein Ausgang des Netzwerk-Switches ausge bildeter Spiegelungs-Port zur Übertragung von Daten mit dem ersten Netzwerk-Port verbunden ist. Durch die Verwendung eines Netzwerk-Switches mit Spiegelungs- Port (engl, "mirror port") ist es in vorteilhafter Weise mög lich, den gesamten Datenverkehr des realen ersten Netzwerkes an dem ersten Netzwerk-Port für die Übertragungsvorrichtung bereitzustellen. Dadurch wird es in vorteilhafter Weise der Übertragungsvorrichtung ermöglicht, den Datenverkehr jedes Teilnehmers des realen ersten Netzwerkes zu erhalten und zu analysieren.
Insbesondere ist zwischen dem realen ersten Netzwerk und dem Netzwerk-Switch ein erster Verbindungsabschnitt, zwischen dem Netzwerk-Switch und der Übertragungsvorrichtung ein zweiter Verbindungsabschnitt und zwischen der Übertragungsvorrichtung und dem realen zweiten Netzwerk ein dritter Verbindungsab schnitt angeordnet. Der erste Verbindungsabschnitt stellt insbesondere eine Verbindung zwischen dem realen ersten Netz werk und dem Netzwerk-Switch her. Der zweite Verbindungsab schnitt stellt vorzugsweise eine Verbindung zwischen dem Netzwerk-Switch und der Übertragungsvorrichtung her. Der dritte Verbindungsabschnitt stellt beispielsweise eine Ver bindung zwischen dem realen zweiten Netzwerk und der Übertra gungsvorrichtung her. Der erste, zweite und/oder dritte Ver bindungsabschnitt ist insbesondere drahtgebunden, beispiels weise in Form zumindest einer Kupferleitung oder einer Alumi niumleitung, und/oder optisch in Form zumindest einer Glasfa serleitung ausgebildet. Der Netzwerk-Switch kann auch als Switch bezeichnet werden.
Der Spiegelungs-Port des Netzwerk-Switches dient insbesondere dazu, den Netzwerkverkehr des realen ersten Netzwerkes zu spiegeln, um damit den gesamten Daten- und/oder Netzwerkver kehr des realen ersten Netzwerkes der Übertragungsvorrichtung an dem ersten Netzwerk-Port bereitzustellen.
Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, eine Übertragung von Daten zwi schen dem realen ersten Netzwerk und dem realen zweiten Netz- werk in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO-Schichtmodell, durchzuführen.
Gemäß einer weiteren Ausführungsform umfasst das reale erste Netzwerk ein Steuerungsnetzwerk, insbesondere ein Produkti onsnetzwerk oder ein Bahnsicherungsnetzwerk, und das reale zweite Netzwerk ein Diagnosenetzwerk, ein lokales Netzwerk oder das Internet.
Das reale erste Netzwerk ist insbesondere als ein sicher- heitskritisches Netzwerk ausgebildet, während das reale zwei te Netzwerk als ein offenes Netzwerk ausgebildet ist. Auch kann das reale erste Netzwerk als ein Netzwerk mit einer ho hen Sicherheitsanforderung bezeichnet werden, während das re ale zweite Netzwerk als ein Netzwerk mit geringer Sicher- heitsanforderung bezeichnet wird.
Ein Produktionsnetzwerk wird insbesondere in einer Produkti onsanlage verwendet. Die Produktionsanlage umfasst insbeson dere mehrere über das Produktionsnetzwerk miteinander verbun dene Maschinen und Computer.
Ein Bahnsicherungsnetzwerk umfasst vorzugsweise Leit- und Si cherheitstechnik für eine Schieneninfrastruktur.
Das Steuerungsnetzwerk umfasst insbesondere ein Straßensiche rungsnetzwerk, welches Leit- und Sicherheitstechnik für eine Straßeninfrastruktur aufweist.
Ein lokales Netzwerk umfasst beispielsweise ein LAN ("Local Area Network") und/oder ein WLAN ("Wireless Local Area Net work").
Das reale erste Netzwerk und das reale zweite Netzwerk umfas sen jeweils insbesondere zumindest einen Endpunkt, welcher als ein jeweiliger Teilnehmer ausgebildet ist. Das reale ers te Netzwerk und/oder das reale zweite Netzwerk umfassen ins besondere jeweils mehrere Teilnehmer, die miteinander verbun den sind und dadurch das jeweilige Netzwerk ausbilden. Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung teilweise oder vollständig als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebil det.
Eine unidirektionale Datendiode ist insbesondere eine Einweg- Kommunikationseinrichtung, die eine physikalisch rückwir kungsfreie Trennung des realen ersten Netzwerkes und des rea len zweiten Netzwerkes ermöglicht. Insbesondere ist die un idirektionale Datendiode als eine "Data Capture Unit" (DCU) ausgebildet. Eine "physikalisch" rückwirkungsfreie Trennung liegt insbesondere dann vor, wenn die rückwirkungsfreie Tren nung aufgrund von physikalischen Bauelementen in der unidi- rektionalen Datendiode das reale erste und das reale zweite Netzwerk physikalisch trennt.
Eine Firewall ist insbesondere eine Komponente, welche in Hard- und/oder Software, insbesondere in Software, implemen tiert ist und welche dazu eingerichtet ist, zwischen einem realen ersten und einem realen zweiten Netzwerk eine Verbin dung herzustellen. Die Firewall kann ebenso als eine unidi rektionale Firewall ausgebildet sein, welche eine logisch rückwirkungsfreie Trennung des realen ersten Netzwerkes und des realen zweiten Netzwerkes ermöglicht. Unter dem Begriff einer "logisch" rückwirkungsfreien Trennung wird insbesondere vorliegend verstanden, wenn die rückwirkungsfreie Trennung mittels einer Anwendung von Algorithmen erfolgt, in dem Fall, wenn die Firewall in Software implementiert ist.
Ein Gateway ist insbesondere eine Komponente, welche in Hard- und/oder Software implementiert ist und welche dazu einge richtet ist, zwischen einem realen ersten und einem realen zweiten Netzwerk eine Verbindung herzustellen. Das Gateway kann ebenso als ein unidirektionales Gateway ausgebildet sein, welches eine physikalisch oder logisch rückwirkungs freie Trennung des realen ersten Netzwerkes und des realen zweiten Netzwerkes ermöglicht. Weiterhin ist jeweils die unidirektionale Datendiode, die un- idirektionale Firewall und das unidirektionale Gateway insbe sondere dazu eingerichtet, nur freigegebene und/oder speziell markierte Daten für die Übertragung aus dem realen zweiten Netzwerk in das reale erste Netzwerk zuzulassen.
Unter dem Begriff einer "rückwirkungsfreien Trennung" wird insbesondere verstanden, dass Änderungen oder Angriffsversu che aus dem realen zweiten Netzwerk keinen Einfluss auf das reale erste Netzwerk haben.
Unter dem Begriff "teilweise" wird vorliegend insbesondere verstanden, dass die Übertragungsvorrichtung noch weitere Komponenten zusätzlich zu der unidirektionalen Datendiode, der Firewall oder dem Gateway umfasst. Beispielsweise ist die uni-direktionale Datendiode Teil der Übertragungsvorrichtung, wobei die Übertragungsvorrichtung noch weitere Komponenten aufweist.
Unter dem Begriff "vollständig" wird vorliegend insbesondere verstanden, dass die Übertragungsvorrichtung in ihrer Gesamt heit als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebildet ist.
Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, dem realen zweiten Netzwerk eine Routing-Tabelle umfassend eine Mehrzahl A von IP-Adressen von Teilnehmern des realen ersten Netzwerkes bereitzustellen.
Die Routing-Tabelle ist insbesondere eine Tabelle, die Auf schluss darüber gibt, welche Teilnehmer eines Netzwerkes, wie dem realen ersten Netzwerk, über welche IP-Adressen erreich bar sind oder welche IP-Adressen den Teilnehmern zugeordnet sind. Damit hat ein anderes Netzwerk, wie das reale zweite Netzwerk, Informationen darüber, über welche IP-Adresse ein Teilnehmer des realen ersten Netzwerkes von dem realen zwei ten Netzwerk aus erreichbar ist. Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, dem realen zweiten Netzwerk zu mindest eine bestimmte IP-Adresse eines bestimmten Teilneh mers des realen ersten Netzwerkes bereitzustellen.
Durch die bereitgestellte Routing-Tabelle wird zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers aus dem re alen ersten Netzwerk dem realen zweiten Netzwerk bereitge stellt.
Diese bereitgestellte bestimmte IP-Adresse wird in vorteil hafter Weise insbesondere als eine Falle, die einen techni schen Endpunkt aufweist, verwendet. Wenn beispielsweise ein Angreifer über die Übertragungsvorrichtung den bestimmten Teilnehmer mittels der ihm zugeordneten bestimmten IP-Adresse angreifen will, endet der Angriff in dem technischen End punkt. Der technische Endpunkt ist insbesondere von dem rea len ersten und realen zweiten Netzwerk isoliert ausgebildet. Somit wird eine gezielte Irreführung des Angreifers mittels der bestimmten IP-Adresse und der Routing-Tabelle bewirkt, um die Sicherheit und die Zuverlässigkeit bei dem Betreiben der Übertragungsvorrichtung und des realen ersten Netzwerkes zu erhöhen.
Gemäß einer weiteren Ausführungsform umfassen die netzwerk spezifischen Daten Messwerte, wie beispielsweise Druck und/oder Temperatur von Teilnehmern des realen ersten Netz werkes, zumindest eine Anzahl T von Teilnehmern des realen ersten Netzwerkes, Betriebszustände von Teilnehmern des rea len ersten Netzwerkes und/oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes ausgeführt wird.
Gemäß einer weiteren Ausführungsform sind zumindest die Simu lations-Einheit, die Konfigurations-Einheit, der erste Netz werk-Port und der zweite Netzwerk-Port in einem gemeinsamen Gehäuse implementiert. Somit sind die in dieser Ausführungsform aufgeführten Kompo nenten inklusive der Übertragungsvorrichtung selbst insbeson dere in einem gemeinsamen Gehäuse implementiert.
Ein Gehäuse oder ein gemeinsames Gehäuse ist insbesondere als ein Gehäuse eines Prozessors oder eines Computerchips, bei spielsweise in Form eines integrierten Schaltkreises (engl. "Integrated Circuit" (IC)) ausgebildet. Ferner ist ein Gehäu se oder ein gemeinsames Gehäuse vorzugsweise als ein gemein sames Gehäuse eines Gerätes oder beispielsweise als eine ge meinsame Implementierung auf einem FPGA (engl. "Field Pro- grammable Gate Array") ausgebildet.
Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der je weiligen Grundform der Erfindung hinzufügen.
Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfin dung sind Gegenstand der Unteransprüche sowie der im Folgen den beschriebenen Ausführungsbeispiele der Erfindung. Im Wei teren wird die Erfindung anhand von bevorzugten Ausführungs formen unter Bezugnahme auf die beigelegten Figuren näher er läutert.
Fig. 1 zeigt ein schematisches Blockdiagram einer ersten Ausführungsform einer Übertragungsvorrichtung zum Übertragen von Daten; und
Fig. 2 zeigt ein schematisches Blockdiagram einer zweiten Ausführungsform einer Übertragungsvorrichtung zum Übertragen von Daten. In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts Anderes angegeben ist.
Fig. 1 zeigt ein schematisches Blockdiagram einer ersten Aus führungsform einer Übertragungsvorrichtung 1 zum Übertragen von Daten zwischen einem realen ersten Netzwerk RNW1, bei spielsweise umfassend ein Produktionsnetzwerk, und einem rea len zweiten Netzwerk RNW2, beispielsweise umfassend ein loka les Netzwerk. Diese Übertragung von Daten wird insbesondere in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO- Schichtmodell, durchgeführt. In einer weiteren Ausführungs form kann das reale erste Netzwerk RNW1 ein Bahnsicherungs netzwerk umfassen, während das reale zweite Netzwerk RNW2 das Internet umfasst.
In der Fig. 1 ist die Übertragungsvorrichtung 1 vollständig als eine unidirektionale Datendiode ausgebildet. In einer weiteren Ausführungsform kann die Übertragungsvorrichtung 1 teilweise oder vollständig als eine Firewall (nicht gezeigt) oder als ein Gateway (nicht gezeigt) ausgebildet sein.
Die Übertragungsvorrichtung 1 weist einen ersten Netzwerk- Port PI zum Koppeln an das reale erste Netzwerk RNW1 und ei nen zweiten Netzwerk-Port P2 zum Koppeln an das reale zweite Netzwerk RNW2 auf. Ferner umfasst die Übertragungsvorrichtung 1 eine Simulations-Einheit 2.
Die Simulations-Einheit 2 ist an dem ersten Netzwerk-Port PI verbunden und ist dazu eingerichtet, über den ersten Netz werk-Port PI von dem realen ersten Netzwerk RNW1 netzwerkspe zifische Daten zu erhalten, in Abhängigkeit von den erhalte nen netzwerkspezifischen Daten ein virtuelles Simulations netzwerk VSN von dem realen ersten Netzwerk RNW1 bereitzu stellen und das bereitgestellte virtuelle Simulationsnetzwerk VSN über den zweiten Netzwerk-Port P2 für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk VSN von dem realen zweiten Netzwerk RNW2 aus bereitzustellen. Die netzwerkspezifischen Daten umfassen insbesondere Messwer te, wie beispielsweise Druck und/oder Temperatur von Teilneh mern des realen ersten Netzwerkes RNW1 oder zumindest eine Anzahl T von Teilnehmern des realen ersten Netzwerkes RNW1. Die netzwerkspezifischen Daten umfassen ferner vorzugsweise Betriebszustände von Teilnehmern des realen ersten Netzwerkes RNW1 oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes RNW1 ausgeführt wird.
Insbesondere ist die Simulations-Einheit 2 dazu eingerichtet, das virtuelle Simulationsnetzwerk VSN in Abhängigkeit von zu mindest drei unterschiedlichen Simulationsstufen zu simulie ren.
Dabei ist die Simulations-Einheit 2 dazu eingerichtet, in Ab hängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk VSN in einer ersten Simulati onsstufe mittels zumindest einer Netzwerktopologie des realen ersten Netzwerkes RNW1 und in einer zweiten Simulationsstufe mittels zumindest einer Schicht eines Netzwerkprotokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes RNW1 zu simulieren. Die Simulations-Einheit 2 ist ferner dazu eingerichtet, in Abhängigkeit von den er haltenen netzwerkspezifischen Daten das virtuelle Simulati onsnetzwerk VSN in einer dritten Simulationsstufe mittels zu mindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes RNW1 zu simulieren.
In Fig. 1 ist ferner zwischen dem realen ersten Netzwerk RNW1 und dem ersten Netzwerk-Port PI ein Netzwerk-Switch 4 ange ordnet.
Die Übertragungsvorrichtung 1 ist hierbei dazu eingerichtet, über den Netzwerk-Switch 4 die Daten von dem realen ersten Netzwerk RNW1 zu empfangen. Zumindest ein Eingang des Netz werk-Switches 4 ist zur Übertragung von Daten mit dem realen ersten Netzwerk RNW1 verbunden. Ein als ein Ausgang des Netz werk-Switches 4 ausgebildeter Spiegelungs-Port SP zur Über tragung von Daten ist mit dem ersten Netzwerk-Port PI verbun den.
Vorzugsweise ist die Übertragungsvorrichtung 1 dazu einge richtet, dem realen zweiten Netzwerk RNW2 eine Routing- Tabelle umfassend eine Mehrzahl A von IP-Adressen von Teil nehmern aus dem realen ersten Netzwerk RNW1 bereitzustellen. Die Übertragungsvorrichtung 1 ist ferner dazu eingerichtet, dem zweiten Netzwerk RNW2 zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers aus dem realen ersten Netzwerk RNW1 bereitzustellen.
Fig. 2 zeigt ein schematisches Blockdiagram einer zweiten Ausführungsform einer Übertragungsvorrichtung 1 zum Übertra gen von Daten. Die zweite Ausführungsform umfasst alle Merk male der ersten Ausführungsform. Darüber hinaus umfasst die Übertragungsvorrichtung 1 der zweiten Ausführungsform in Fig. 2 eine Konfigurations-Einheit 3, welche mit der Simulations- Einheit 2 verbunden ist und eine CPU 5, in welcher die Simu lations-Einheit 2 und die Konfigurations-Einheit 3 implemen tiert sind.
Die Konfigurations-Einheit 3 ist dazu eingerichtet, über den ersten Netzwerk-Port PI von dem realen ersten Netzwerk RNW1 netzwerkspezifische Daten zu erhalten, diese zu analysieren und die analysierten netzwerkspezifischen Daten als Konfigu rationsdaten zum Konfigurieren des virtuellen Simulations netzwerkes VSN zu verwenden.
In der zweiten Ausführungsform sind ferner die Übertragungs vorrichtung 1 umfassend zumindest die Simulations-Einheit 2, die Konfigurations-Einheit 3, den ersten Netzwerk-Port PI und den zweiten Netzwerk-Port P2 in einem gemeinsamen Gehäuse 6 implementiert . Die Konfigurations-Einheit 3 ist weiter dazu eingerichtet, mittels der Konfigurationsdaten das virtuelle Simulations netzwerk VSN zumindest zu einem bestimmten Zeitpunkt automa tisch zu konfigurieren. Der bestimmte Zeitpunkt umfasst ins- besondere einen Zeitpunkt während des Betriebes der Simulati ons-Einheit 2.
Vorzugsweise ist die Übertragungsvorrichtung 1 dazu einge richtet, die Simulations-Einheit 2 und die Konfigurations- Einheit 3 parallel auszuführen.
Obwohl die vorliegende Erfindung anhand von Ausführungsbei spielen beschrieben wurde, ist sie vielfältig modifizierbar.
Bezugszeichenliste
1 Übertragungsvorrichtung
2 Simulations-Einheit
3 Konfigurations-Einheit
4 Netzwerk-Switch
5 CPU
6 Gehäuse
PI erster Netzwerk-Port
P2 zweiter Netzwerk-Port
RNW1 reales erstes Netzwerk
RNW2 reales zweites Netzwerk
SP Spiegelungs-Port
VSN virtuelles Simulationsnetzwerk

Claims

Patentansprüche
1. Übertragungsvorrichtung (1) zum Übertragen von Daten zwi schen einem realen ersten Netzwerk (RNW1) und einem realen zweiten Netzwerk (RNW2), wobei die Übertragungsvorrichtung (1) einen ersten Netzwerk-Port (PI) zum Koppeln an das reale erste Netzwerk (RNW1) und einen zweiten Netzwerk-Port (P2) zum Koppeln an das reale zweite Netzwerk (RNW2) aufweist und ferner umfasst: eine an dem ersten Netzwerk-Port (PI) verbundene Simula tions-Einheit (2), die dazu eingerichtet ist, über den ersten Netzwerk-Port (PI) von dem realen ersten Netzwerk (RNW1) netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten ein virtuelles Si mulationsnetzwerk (VSN) von dem realen ersten Netzwerk (RNW1) bereitzustellen, und das bereitgestellte virtuelle Simulati onsnetzwerk (VSN) über den zweiten Netzwerk-Port (P2) für ei nen Zugriff auf das bereitgestellte virtuelle Simulations netzwerk (VSN) von dem realen zweiten Netzwerk (RNW2) aus be reitzustellen.
2. Übertragungsvorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Simulations-Einheit (2) ferner dazu eingerichtet ist, das virtuelle Simulationsnetzwerk (VSN) in Abhängigkeit von zumindest drei unterschiedlichen Simulationsstufen zu si mulieren.
3. Übertragungsvorrichtung nach Anspruch 2, dadurch gekennzeichnet, dass die Simulations-Einheit (2) dazu eingerichtet ist, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk (VSN) in einer ersten Simu lationsstufe der zumindest drei unterschiedlichen Simulati onsstufen mittels zumindest einer Netzwerktopologie des rea len ersten Netzwerkes (RNW1), in einer zweiten Simulations stufe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer Schicht eines Netzwerkprotokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes (RNW1) und in einer dritten Simulationsstu fe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes (RNW1), zu simulieren.
4. Übertragungsvorrichtung nach einem der Ansprüche 1 - 3, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) ferner eine Konfigurati ons-Einheit (3) umfasst, die dazu eingerichtet ist, über den ersten Netzwerk-Port (PI) von dem realen ersten Netzwerk (RNW1) netzwerkspezifische Daten zu erhalten, diese zu analy sieren und die analysierten netzwerkspezifischen Daten als Konfigurationsdaten zum Konfigurieren des virtuellen Simula tionsnetzwerkes (VSN) zu verwenden.
5. Übertragungsvorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die Konfigurations-Einheit (3) ferner dazu eingerichtet ist, mittels der Konfigurationsdaten das virtuelle Simulati onsnetzwerk (VSN) zumindest zu einem bestimmten Zeitpunkt au tomatisch zu konfigurieren, wobei der zumindest eine bestimm te Zeitpunkt einen Zeitpunkt während des Betriebes der Simu lations-Einheit (2) umfasst.
6. Übertragungsvorrichtung nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, die Simulations-Einheit (2) und die Konfigurations-Einheit (3) parallel auszuführen.
7. Übertragungsvorrichtung nach einem der Ansprüche 1 - 6, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, über einen zwischen dem realen ersten Netzwerk (RNW1) und dem ersten Netzwerk-Port (PI) angeordneten Netzwerk-Switch (4) die Daten von dem realen ersten Netzwerk (RNW1) zu empfangen, wobei zumindest ein Eingang des Netzwerk-Switches (4) zur Übertragung von Daten mit dem realen ersten Netzwerk (RNW1) verbunden ist und ein als ein Ausgang des Netzwerk-Switches (4) ausgebildeter Spiegelungs-Port (SP) zur Übertragung von Daten mit dem ersten Netzwerk-Port (PI) verbunden ist.
8. Übertragungsvorrichtung nach einem der Ansprüche 1 - 7, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, eine Übertragung von Daten zwischen dem realen ersten Netz werk (RNW1) und dem realen zweiten Netzwerk (RNW2) in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO- Schichtmodell, durchzuführen.
9. Übertragungsvorrichtung nach einem der Ansprüche 1 - 8, dadurch gekennzeichnet, dass das reale erste Netzwerk (RNW1) ein Steuerungsnetzwerk, insbesondere ein Produktionsnetzwerk oder ein Bahnsicherungs netzwerk, umfasst und das reale zweite Netzwerk (RNW2) ein Diagnosenetzwerk, ein lokales Netzwerk oder das Internet um fasst.
10. Übertragungsvorrichtung nach einem der Ansprüche 1 - 9, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) teilweise oder vollstän dig als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebildet ist.
11. Übertragungsvorrichtung nach einem der Ansprüche 1 - 10, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, dem realen zweiten Netzwerk (RNW2) eine Routing-Tabelle um fassend eine Mehrzahl A von IP-Adressen von Teilnehmern des realen ersten Netzwerkes (RNW1) bereitzustellen.
12. Übertragungsvorrichtung nach einem der Ansprüche 1 - 11, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, dem realen zweiten Netzwerk (RNW2) zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers des realen ersten Netzwerkes (RNW1) bereitzustellen.
13. Übertragungsvorrichtung nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die netzwerkspezifischen Daten Messwerte, wie beispiels weise Druck und/oder Temperatur von Teilnehmern des realen ersten Netzwerkes (RNW1), zumindest eine Anzahl T von Teil nehmern des realen ersten Netzwerkes (RNW1), Betriebszustände von Teilnehmern des realen ersten Netzwerkes (RNW1) und/oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes (RNW1) ausgeführt wird, umfassen.
14. Übertragungsvorrichtung nach einem der Ansprüche 4 - 13, dadurch gekennzeichnet, dass zumindest die Simulations-Einheit (2), die Konfigurati ons-Einheit (3), der erste Netzwerk-Port (PI) und der zweite Netzwerk-Port (P2) in einem gemeinsamen Gehäuse (6) implemen- tiert sind.
EP20828978.5A 2019-12-19 2020-12-10 Übertragungsvorrichtung zum übertragen von daten Pending EP4052440A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019220246.2A DE102019220246A1 (de) 2019-12-19 2019-12-19 Übertragungsvorrichtung zum Übertragen von Daten
PCT/EP2020/085508 WO2021122298A1 (de) 2019-12-19 2020-12-10 Übertragungsvorrichtung zum übertragen von daten

Publications (1)

Publication Number Publication Date
EP4052440A1 true EP4052440A1 (de) 2022-09-07

Family

ID=74003808

Family Applications (1)

Application Number Title Priority Date Filing Date
EP20828978.5A Pending EP4052440A1 (de) 2019-12-19 2020-12-10 Übertragungsvorrichtung zum übertragen von daten

Country Status (6)

Country Link
US (1) US20230051229A1 (de)
EP (1) EP4052440A1 (de)
CN (1) CN114766087A (de)
AU (1) AU2020403757B2 (de)
DE (1) DE102019220246A1 (de)
WO (1) WO2021122298A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113489728A (zh) * 2021-07-08 2021-10-08 恒安嘉新(北京)科技股份公司 一种工业互联网的安全评估***及方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10241974B4 (de) * 2002-09-11 2006-01-05 Kämper, Peter Überwachung von Datenübertragungen
US20110122879A1 (en) * 2009-11-20 2011-05-26 D & S Consultants, Inc. System for seamless connection of real and virtual networks
DE102010054093A1 (de) * 2010-12-10 2011-08-25 Daimler AG, 70327 Verfahren zum Mitlesen und Versenden von Nachrichten sowie zur Simulation eines Netzwerkes eines Fahrzeuges
US9989958B2 (en) * 2013-05-09 2018-06-05 Rockwell Automation Technologies, Inc. Using cloud-based data for virtualization of an industrial automation environment
DE102013018596A1 (de) * 2013-11-07 2015-05-07 Phoenix Contact Gmbh & Co. Kg Netzwerksystem, Koppeleinheit und Verfahren zum Betreiben eines Netzwerksystems
US10372843B2 (en) * 2014-02-07 2019-08-06 The Boeing Company Virtual aircraft network
US10044675B1 (en) * 2014-09-30 2018-08-07 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter IP and peer-checking evasion techniques
EP3291501A1 (de) * 2016-08-31 2018-03-07 Siemens Aktiengesellschaft System und verfahren zur verwendung eines virtuellen honigtopfs in einem industriellen automatisierungssystem und cloud-verbinder
WO2018044410A1 (en) * 2016-09-01 2018-03-08 Siemens Aktiengesellschaft High interaction non-intrusive industrial control system honeypot
US10419243B2 (en) * 2016-09-09 2019-09-17 Johnson Controls Technology Company Smart gateway devices, systems and methods for providing communication between HVAC system networks
US10841277B2 (en) * 2017-08-14 2020-11-17 Ut-Battelle, Llc One step removed shadow network
CN109039913A (zh) * 2018-08-23 2018-12-18 郑州云海信息技术有限公司 虚拟路由装置和虚拟机通信***

Also Published As

Publication number Publication date
AU2020403757A1 (en) 2022-07-14
US20230051229A1 (en) 2023-02-16
CN114766087A (zh) 2022-07-19
AU2020403757B2 (en) 2023-08-31
WO2021122298A1 (de) 2021-06-24
DE102019220246A1 (de) 2021-06-24

Similar Documents

Publication Publication Date Title
EP3129888B2 (de) Übermittlung von daten aus einem gesicherten speicher
DE602004004942T2 (de) Virtuelle Netzwerkadressen
EP3388994A1 (de) Verfahren und vorrichtung zum rechnergestützten testen einer blockkette
EP3251012B1 (de) Prüfsystem zur prüfung eines computers eines computersystems in einem prüfnetzwerk
DE102020124426A1 (de) Verfahren, Systeme und computerlesbare Medien für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung
EP3192226B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE102020201988A1 (de) Vorrichtung zur Verarbeitung von Daten mit wenigstens zwei Datenschnittstellen und Betriebsverfahren hierfür
EP3646559A1 (de) Verfahren zur überprüfung von innerhalb eines industriellen automatisierungssystems übermittelten datagrammen und automatisierungs- und/oder kommunikationsgerät
DE102010038228A1 (de) Verfahren zum Aufbau einer VPN-Verbindung zwischen zwei Netzwerken
EP4052440A1 (de) Übertragungsvorrichtung zum übertragen von daten
EP3925192B1 (de) Verfahren und wiedergabeeinheit zur wiedergabe von gesicherten nachrichten
DE102019210224A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
EP3252990A1 (de) Verfahren und vorrichtung zum bereitstellen eines geheimnisses zum authentisieren eines systems und/oder komponenten des systems
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
DE102019210230A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
EP3627788A1 (de) Verfahren und vorrichtung zum konfigurieren eines zugangsschutzsystems
WO2002067532A1 (de) Verfahren zur übertragung von daten, proxy-server und datenübertragungssystem
WO2002054807A1 (de) Verfahren und kommunikationsendgerät zur generierung eines schlüssels
EP1665712A1 (de) Verfahren zum übermitteln von elektronischen daten über zwei unterschiedliche netzwerke zur erhöhung der internetsicherheit
EP3767910A1 (de) Verfahren zur konfiguration von firewall-einrichtungen für ein kommunikationsnetz und kommunikationsnetz-management-system
WO2014206451A1 (de) Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage
EP4115310B1 (de) Verfahren und vorrichtung zur erkennung von schädlichen diensten in einem netz
DE112018001624T5 (de) Datenanalysevorrichtung, -verfahren und -programm
WO2021121948A1 (de) Übertragungsvorrichtung zum übertragen von daten
DE102015212037A1 (de) Überwachen eines Übertragungsstreckenabschnitts zur Übertragung von Daten zwischen zwei Teilnehmern einer Kommunikationsverbindung

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20220601

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)