Speichervorrichtung, Datenübertragungsvorrichtung und Verfahren zum Übertragen von Daten

Die Erfindung betrifft eine Speichervorrichtung, eine Datenübertragungsvorrichtung und ein Verfahren zum Übertragen von Daten zwischen mindestens zwei Rechenvorrichtungen, die unterschiedlichen Netzwerkzonen zugeordnet sind.

In speziellen Bereichen, wie Behördenkommunikation, in denen hohe Sicherheitsanforderungen gelten und in denen eine Sicherheits-Klassifikation von Dokumenten und Informationen vorliegen, sind sogenannte Cross-Domain-Lösungen bekannt, durch die ein automatisierter und sicherer Austausch von Dokumenten und Nachrichten, beispielsweise E-Mails, zwischen Sicherheitszonen mit unterschiedlich hohem Sicherheitsgrad realisiert sind. Für die Kopplung von industriellen Steuerungsnetzen, wie beispielsweise Automatisierungsnetzen, mit einem Büronetzwerk, dem öffentlichen Internet oder anderen Steuerungsnetzwerken werden bisher herkömmliche Firewalls verwendet, die die Da ^¬ tenkommunikation filtern. Eine Datenkommunikation wird dabei abhängig von der Adresse der Kommunikationspartner und dem verwendeten Kommunikationsprotokoll zugelassen oder geblockt. Auch ist es üblich, eine Netzwerkverbindung über einen Appli- kations-Proxyserver zu führen, der die TCP-Verbindung terminiert .

In der WO 2012/170485 wird eine Cross-Domain-Security-Lösung auf Basis einer Virtualisierungslösung realisiert, bei der eine virtuelle Maschine einen Informationstransfer zwischen zwei Informationsdomänen mit unterschiedlichen Sicherheits- stufen kontrolliert.

Aus der EP 2981926 ist ein datenvalidierender Dual Port- Speicher bekannt, bei dem Daten auf einem ersten Port einge- lesen werden und auf einem zweiten Port eines Dual Port- Speicherbausteins die Daten nur dann sichtbar sind, nachdem der Dateninhalt erfolgreich validiert wurde. Es sind des Weiteren Halbleiterlaufwerke, sogenannte SSD-

Festplatten, bekannt, die zwei Schnittstellen aufweisen. Diese Festplatten sind für Anwendungen mit hohen Verfügbarkeitsanforderungen gedacht, bei denen zwei redundante Rechner auf die gleiche Festplatte zugreifen.

Es sind des Weiteren Datenschleusen als Security Gateways für die Übertragung von Daten zwischen verschiedenen klassifizierten Sicherheitszonen und den Austausch zwischen physisch getrennten Netzen bekannt. Dies wird durch die Verwendung ei- nes Zwischenspeichers ermöglicht, so dass zwei Schnittstellen der Datenschleuse nur wechselseitig aktiviert werden. Dabei ist sichergestellt, dass nie eine direkte Verbindung zwischen den verschiedenen Netzen aufgebaut wird. Für den Datenaustausch zwischen einem Büronetz und einem

Steuerungsnetzwerk sind aufwändige Lösungen mit zwischenge ^¬ schalteten Firewalls oder Virtualisierungslösungen nicht praktikabel, wenn eine Echtzeit-Kommunikation innerhalb des Steuernetzwerks durch einen Datentransfer nicht verzögert werden darf. Des Weiteren muss eine rückwirkungsfreie Daten ^¬ übertragung gewährleistet sein, das heißt, es dürfen durch die Datenübertragung keinerlei neue oder geänderte Daten in das Netzwerk, von dem Daten ausgelesen werden, eingebracht werden .

Es ist somit die Aufgabe der vorliegenden Erfindung, eine einfach realisierbare und einfach anwendbare Lösung zur rückwirkungsfreien Datenübertragung zwischen Netzen mit unterschiedlicher Sicherheitsanforderung oder allgemein zwischen zwei Netzwerkzonen bereitzustellen.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der erfindungsgemäßen Speichervorrichtung dargestellt.

Die erfindungsgemäße Speichervorrichtung zum Übertragen von Daten zwischen mindestens zwei Rechenvorrichtungen, die unterschiedlichen Netzwerkzonen zugeordnet sind, enthält mindestens eine Speichereinheit zum Speichern von Daten, mindes ^¬ tens zwei nach extern führende Schnittstellen, an die jeweils eine der externen Rechenvorrichtungen zum Lesen und/oder Schreiben von Daten anschließbar ist, und mindestens eine

Steuereinheit, die derart ausgebildet ist, Zugriffsrechte auf die Daten der Speichereinheit abhängig von mindestens zwei der nach extern führenden Schnittstellen einzurichten. Dies ermöglicht es, dass von jeder der mindestens zwei exter ^¬ nen Rechenvorrichtungen Daten auf die Speichervorrichtung geschrieben oder gelesen bzw. sowohl geschrieben oder gelesen werden können. Durch die Steuereinheit sind Zugriffsrechte einer jeden Schnittstelle auf die Daten der Speichereinheit einrichtbar und durchsetzbar. Somit kann beispielsweise eine Datenübertragung ausschließlich von einer ersten Rechenvorrichtung zu einer zweiten Rechenvorrichtung eingerichtet werden, indem die erste Rechenvorrichtung mit einer ersten

Schnittstelle und die zweite Rechenvorrichtung mit der zwei- ten externen Schnittstelle der Speichervorrichtung verbunden wird und als Zugriffsrecht für die erste externe Schnittstel ^¬ le lediglich schreibender Zugriff und für die zweite externe Schnittstelle ausschließlich lesender Zugriff auf die Daten der Speichereinheit in der Steuereinrichtung eingerichtet ist. Damit ist eine rückwirkungsfreie Übertragung sicherge ^¬ stellt. Die Zugriffsrechte sind zudem einfach strukturiert und einfach einzurichten.

Bei den Rechenvorrichtungen handelt es sich insbesondere um eigenständige, von der Speichervorrichtung getrennte Vorrichtungen. Schnittstellen-abhängige Zugriffsrechte sind dabei beispielsweise eine Berechtigung zum Lesezugriff oder

Schreibzugriff oder Lese- und Schreibzugriff von der Rechen- Vorrichtung auf Daten der Speichervorrichtung über die betrachtete nach extern führende Schnittstelle. Die Rechenvor ^¬ richtung ist dabei über eine der nach extern führenden

Schnittstellen mit der Speichervorrichtung verbunden. Dabei kann nur lesender Zugriff, nur schreibender, oder Lese- und Schreibzugriff über die betrachtete Schnittstelle auf die Speichereinheit freigegeben sein. Es können an den mindestens zwei Schnittstellen der Speichervorrichtung unterschiedliche Schreib-Lese-Berechtigungen vorliegen. Der Begriff „externe Schnittstelle" wird gleichbedeutend mit „einer nach extern führenden Schnittstelle" verwendet. Ebenso wird der Begriff „Port" gleichbedeutend wie „Schnittstelle" verwendet.

In einer vorteilhaften Ausführungsform ist die Speicherein- heit derart ausgebildet, Daten in verschiedenen Daten- Strukturen zu speichern und die Steuereinheit ist derart aus ^¬ gebildet, Schnittstellen-abhängig Zugriffsrechte für eine solche Daten-Struktur einzurichten. Daten-Strukturen sind dabei beispielsweise eine Partition, ein Verzeichnis oder eine Datei. In jeder dieser Daten- Strukturen ist beispielsweise eine unterschiedlich große Menge an Daten speicherbar. Der Zugriff auf Daten über die jeweilige Schnittstelle kann somit granulär auf die entspre- chende Daten-Struktur eingerichtet werden. Somit können auch für unterschiedliche Daten-Strukturen unterschiedliche Zu ^¬ griffsrechte eingerichtet sein. So können beispielsweise Da ^¬ ten einer bestimmten Partition ausschließlich von einer ersten externen Schnittstelle zur zweiten externen Schnittstelle übertragen werden, wohingegen auf eine zweite Partition ausschließlich Daten von der zweiten Schnittstelle geschrieben und über die erste Schnittstelle ausgelesen werden und somit ein Datentransfer in die umgekehrte Richtung möglich ist. Es ist ebenfalls möglich, auf eine der Daten-Strukturen ledig- lieh von einer ersten Schnittstelle aus einen lesenden sowie einen schreibenden Zugriff einzurichten und keinen Zugriff über die zweite Schnittstelle auf diese Daten-Struktur zuzu- lassen, so dass die Speichervorrichtung auch zur „Lagerung von Daten verwendet werden kann.

In einer vorteilhaften Ausführungsform werden die Zugriffs- rechte durch eine Schnittstellen-abhängige Berechtigungsin ^¬ formation in einem Dateisystem der Speichervorrichtung durchgesetzt.

Dies hat den Vorteil, dass Zugriffsrechte einfacher und schneller änderbar sind gegenüber einer direkten Durchsetzung der Zugriffsrechte auf den Schnittstellen.

In einer vorteilhaften Ausführungsform sind die Zugriffsrechte durch eine Konfiguration der externen Schnittstellen selbst durchgesetzt.

Bei einer Konfiguration der externen Schnittstellen der Speichervorrichtung wird beispielsweise eine Schnittstelle als Nur-Lese-Schnittstelle konfiguriert. Somit kann eine anders geartete Übertragung mit sehr hoher Wahrscheinlichkeit ausge ^¬ schlossen werden. Eine Steuerung der Zugriffsrechte durch zusätzliche Abfragen in beispielsweise der Steuereinheit ist nach einer solchen Konfiguration nicht mehr notwendig. Somit sind derart durchgesetzte Zugriffsrechte sehr zuverlässig ge- genüber Rückwirkungsfreiheit und Übertragungssicherheit, so ^¬ wie sehr schnell in Bezug auf Übertragungssicherheit.

In einer vorteilhaften Ausführungsform sind die Zugriffsrechte durch Kurzschlussbrücken oder durch DIP-Schalter ausgebil- det.

Dadurch kann eine Einwegkommunikation mit hoher Verlässlich- keit realisiert werden. Für eine Durchsetzung der Zugriffsrechte durch eine Kombina ^¬ tion aus Konfigurationen der Schnittstellen und einer Berechtigungsinformation in einem Dateisystem werden Attribute zu einer Datei-Struktur, die auf einem Dateisystem abgelegt sind bei einem Zugriff auf die Datei-Struktur überprüft. So kann einer bestimmten Dateistruktur eine Berechtigungsinformation wie Nur-Lese- oder Nur-Schreib- oder Lese-und-Schreib-Berech- tigungen durch den ersten Port und Nur-Schreib- oder Nur- Lese- oder Lese-und-Schreib-Berechtigungen durch den zweiten externen Port zugeordnet sein. Eine Berechtigungsinformation kann auch durch weitere Attribute, die an die verschiedenen Lese- und/oder Schreib-Berechtigungen geknüpft sind, erweitert werden.

In einer vorteilhaften Ausführungsform sind getrennte Daten- Strukturen für verschiedene Zugriffsrechte ausgebildet oder es können unterschiedliche Zugriffsrechte für eine einzige Daten-Struktur ausgebildet sein.

Getrennte Daten-Strukturen für verschiedene Zugriffsrechte haben beispielsweise den Vorteil, dass ein fehlerhafter Zu ^¬ griff auf Daten minimiert wird. Eine beispielsweise für eine erste Schnittstelle nur leseberechtigte Daten-Struktur bzw. bezüglich der zweiten Schnittstelle nur schreibberechtigte Datenstruktur enthält keine Daten, die von der ersten

Schnittstelle geschrieben wurden. Unterschiedliche Zugriffs ^¬ rechte für eine einzige Daten-Struktur haben den Vorteil, dass bei einer Übertragung einer großen Datenmenge der ver- fügbare Speicherplatz optimiert genutzt werden kann, da keine separate Daten-Struktur und damit beispielsweise eine feste Datenkapazität für eine beispielsweise andere Kommunikations ^¬ richtung reserviert ist. In einer vorteilhaften Ausführungsform sind getrennte Daten- Strukturen für verschiedene Zugriffsrechte ausgebildet oder es sind unterschiedliche Zugriffsrechte für eine einzige Da ^¬ ten-Struktur ausgebildet. Verwaltungsdaten sind dabei beispielsweise Informationen, wann eine Datei in eine Daten-Struktur geschrieben wurde oder die Information, dass die Datei zur Abholung bereitliegt. Weitere Verwaltungsdaten sind beispielsweise Informationen, dass eine bereitliegende Datei gelesen wurde und daher bei ^¬ spielsweise vom Einstellenden wieder gelöscht werden kann. Es können als Verwaltungsdaten des Weiteren Informationen zu aufgetretenen Fehlern, beispielsweise beim Lesen der Daten abgelegt sein. Werden diese Verwaltungsdaten in einer eigenen Daten-Struktur abgelegt, so ist eine versehentliche Übertra ^¬ gung solcher Verwaltungsdaten anstelle von Nutzdaten minimiert . In einer vorteilhaften Ausführungsform überprüft die Steuereinheit Daten vor der Weitergabe an eine externe Schnittstel ^¬ le gegenüber einer PrüfVorschrift .

Insbesondere ein Prüfen der Daten mittels Prüfsummen auf kor- rekte Übertragung bzw. zur Integritätsprüfung kann in der

Steuereinheit vorgenommen werden. Dies ist insbesondere sinn ^¬ voll, wenn eine der externen Schnittstellen mit einer Zone verbunden ist, in der potenziell Malware vorkommen kann. In diesem Fall kann die Steuereinheit dazu genutzt werden, die Daten in den jeweiligen Daten-Strukturen zu prüfen, bevor der Zugriff durch die jeweils andere Schnittstelle freigegeben wird .

In einer vorteilhaften Ausführungsform überprüft eine erste Steuereinheit die an einer Schnittstelle eingehenden Daten gegenüber Eingangsregeln und eine zweite Steuereinheit überprüft die an einer Schnittstelle ausgehenden Daten gegenüber Ausgangsregeln . Die genannten Eingangs- oder Ausgangsregeln werden häufig auch als Zugriffspolicy für die erste bzw. zweite externe Schnittstelle bezeichnet.

In einer vorteilhaften Ausführungsform ist in der Steuerein- heit zusätzlich zu einer Lese- und/oder Schreib-Berechtigung ein Zugriffsrecht abhängig von einer Rolle der lesenden bzw. schreibenden externen Rechenvorrichtung einrichtbar. Dies hat den Vorteil, dass das Zugriffsrecht einer Rechenvor ^¬ richtung, die an einen ersten nach extern führenden Port angeschlossen ist, abhängig von der Rolle der Rechenvorrichtung unterschiedlich ausgebildet sein kann.

In einer vorteilhaften Ausführungsform ist in der Steuereinrichtung ein Zugriffsrecht abhängig von einem Informationspfad der in die Speichereinheit geschriebenen Daten bzw. aus der Speichereinheit ausgelesenen Daten einrichtbar und/oder überprüfbar.

Ein Informationspfad ist dabei als eine Anzahl von Informati ^¬ onen definiert, die Angaben über beispielsweise Komponenten der Rechenvorrichtung angeben, die die Daten vor dem Schrei- ben auf die Speichervorrichtung durchlaufen haben. Dies sind beispielsweise Informationen über den Nutzer der Daten. So können beispielsweise Daten, die zum Booten einer Hardware verwendet werden, als solche gekennzeichnet sein. Entspre ^¬ chend können Daten, die beispielsweise das Betriebssystem ei- ner Rechenvorrichtung betreffen, als solche gekennzeichnet sein oder auch Daten für eine Applikation als solche gekennzeichnet sein und als Angabe im Informationspfad enthalten sein. Im Informationspfad sind des Weiteren eine Kennung der Rechenvorrichtung oder beispielsweise eine Kennung der exter- nen Schnittstelle, über die die Daten in die Speichervorrichtung eingelesen werden, enthalten. In der Steuereinheit wird ein Zugriffsrecht auf eine externe Schnittstelle abhängig von den genannten Angaben eingerichtet. Bei einem Zugriff einer Rechenvorrichtung über eine externe Schnittstelle der Spei- chervorrichtung werden ein Informationspfad, das heißt die genannten Angaben in die Speichervorrichtung eingelesen und von der Steuereinheit gegenüber den Zugriffsrechten geprüft und resultierende Rechte zugewiesen. Dies erlaubt es, sehr flexibel und abhängig von unterschiedlichen Eigenschaften bzw. Randbedingungen Zugriffsrechte zu steuern.

In einer vorteilhaften Ausführungsform ist die Speichervorrichtung als Massenspeicher, insbesondere als Halbleiterlauf- werk SSD, als Magnetplattenspeicher HDD, als redundante Anordnung unabhängiger Speicherplatten RAID oder als direkt angeschlossener Speicher DAS ausgebildet. Durch die Verwendung von beispielsweise kommerziell verfügba ^¬ ren Dual-Port-SSD-Laufwerken kann eine erfindungsgemäße Speichervorrichtung kostengünstig und mit lediglich geringem Modifikationsaufwand bereitgestellt werden.

Des Weiteren wird die Verwendung einer Speichervorrichtung mit den beschriebenen Eigenschaften als eine Datenübertragungsvorrichtung, häufig als Datengateway bezeichnet, zur Übertragung von Daten zwischen verschiedenen Zonen eines Netzwerks beansprucht. Die erfindungsgemäße Datenübertra ^¬ gungsvorrichtung zum Übertragen von Daten zwischen unterschiedlichen Netzwerkzonen enthält

- mindestens zwei Rechenvorrichtungen, die jeweils unterschiedlichen Netzwerkzonen zugeordnet sind, und

- eine Speichervorrichtung mit mindestens zwei nach extern führenden Schnittstellen,

wobei die mindestens zwei Rechenvorrichtungen mit unter ^¬ schiedlichen nach extern führenden Schnittstellen der Speichervorrichtung verbunden sind, und

die Speichervorrichtung derart ausgebildet ist, Zugriffsrechte auf Daten der Speichervorrichtung abhängig von der zugreifenden Schnittstelle einzurichten.

Das erfindungsgemäße Verfahren zum Übertragen von Daten zwischen mindestens zwei Rechenvorrichtungen, die unterschiedli- chen Netzwerkzonen zugeordnet sind, wobei eine erste Rechen ^¬ vorrichtung mit einer ersten nach extern führenden Schnittstelle einer Speichervorrichtung verbunden ist und eine zweite Rechenvorrichtung mit einer von der ersten verschiedenen zweiten nach extern führende Schnittstelle der Speichervor- richtung verbunden ist, weist die folgenden Verfahrensschrit ^¬ te auf:

- Einrichten von Schnittstellen-abhängigen Zugriffsrechten auf die Daten der Speichervorrichtung abhängig von den min- destens zwei der nach extern führenden Schnittstellen der Speichervorrichtung,

- Schreiben von Daten von einer externen Rechenvorrichtung über eine erste nach extern führende Schnittstelle der Spei- chervorrichtung abhängig von den eingerichteten Zugriffsrechten für die erste nach extern führende Schnittstelle,

- Auslesen von Daten durch eine zweite Rechenvorrichtung über eine zweite nach extern führende Schnittstelle abhängig von den eingerichteten Zugriffsrechten für die zweite nach extern führende Schnittstelle.

Durch das Verfahren können Schnittstellen-abhängige Zugriffs ^¬ rechte an einer Speichervorrichtung mit mindestens zwei ex ^¬ ternen Schnittstellen eingerichtet und für nachfolgend ein- oder ausgelesene Daten angewandt werden. Dadurch wird eine solche Speichervorrichtung zum Übertragen von Daten zwischen Zonen unterschiedlicher Sicherheitsrelevanz eines Netzwerks verwendbar . In einer vorteilhaften Ausführungsform werden die Zugriffsrechte zusätzlich abhängig von einem Informationspfad einge ^¬ richtet und der Informationspfad über die nach extern führen ^¬ de Schnittstelle bereitgestellt wird. Insbesondere weist der Informationspfad zusätzlich mindestens eine der folgenden An- gaben auf: eine Angabe zur Rolle der Rechenvorrichtungen, eine Angabe zum Typ der Datenquelle bzw. Datensenke der Rechen ^¬ vorrichtung und eine Kennung der Datensenke bzw. Datenquelle.

Durch diese zusätzlichen Angaben im Informationspfad können Zugriffsrechte sehr flexibel gestaltet und eingerichtet wer ^¬ den. Dabei handelt es sich nicht um eine abschließende Liste von Angaben, die ein Informationspfad enthalten kann. Weitere naheliegende Angaben zur Datenquelle bzw. Datensenke bzw. zu dem von den Daten durchlaufenen Pfad sind im Schutzumfang enthalten. Eine Angabe zur Rolle der Datenquelle ist bei ^¬ spielsweise die Verwendung der Rechenvorrichtung als Serviceterminal. Angaben zum Typ der Datenquelle sind beispielsweise Angaben, ob es sich um Hardware, Software oder applikations- bezogene Daten handelt. Dies kann auch in Form einer Attes ^¬ tierung durch ein vertrauenswürdiges Modul (Trusted Platform Module, TPM) angegeben sein. Bei einer Kennung der Datensenke bzw. Datenquelle kann es sich beispielsweise um eine Prozes- sorkennung oder einer EPID (Enhanced Privacy Identity)

Authentisierung oder einer Schnittstellenkennung einer Speichervorrichtung in der Rechenvorrichtung handeln.

Es wird des Weiteren ein Computerprogrammprodukt beansprucht, das direkt in einen Speicher eines programmierbaren Speicherbausteins ladbar ist, umfassend Computercodeteile, die dazu geeignet sind, die Schritte des Verfahrens wie beschrieben durchzuführen. Es wird des Weiteren ein Datenträger beansprucht, der das Computerprogrammprodukt speichert.

Ausführungsbeispiele des erfindungsgemäßen Verfahrens sowie der erfindungsgemäßen Speichervorrichtung und der Verwendung der Speichervorrichtung als Datenübertragungsvorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:

Figur 1 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens als Ablaufdiagramm; Figur 2 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens mit einer Übergabe von Pfadinformationen an ein erstes Ausführungsbeispiel einer erfindungsgemä ^¬ ßen Speichervorrichtung in schematischer Darstellung;

Figur 3 ein Ausführungsbeispiel einer erfindungsgemäßen Datenübertragungsvorrichtung in einem beispielhaften Anwendungszenario in schematischer Darstellung; Figur 4 ein erstes Ausführungsbeispiel einer erfindungsgemä ^¬ ßen Speichervorrichtung in Blockdarstellung; Figur 5 ein zweites Ausführungsbeispiel einer erfindungsge ^¬ mäßen Speichervorrichtung mit einer PrüfVorschrift in Blockdarstellung; und

Figur 6 ein drittes Ausführungsbeispiel einer erfindungsge ^¬ mäßen Speichervorrichtung mit Überprüfung von Daten gegenüber Eingangs- bzw. Ausgangsregeln.

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen und besitzen, wenn nicht abweichend beschrieben, die gleiche Ausgestaltung.

Figur 1 zeigt das erfindungsgemäße Verfahren in schematischer Darstellung. Im Ausgangszustand 10 liegt eine Speichervor- richtung mit mindestens zwei externen Schnittstellen zum Lesen und/oder Schreiben von Daten vor. Jede der Schnittstellen ist mit einer direkt anschließbaren externen Rechenvorrichtung, die als Datensenke bzw. als Datenquelle fungiert, ver ^¬ bunden. Die beiden Rechenvorrichtungen können als Schleusen- rechner fungieren. Die erste Rechenvorrichtung ist beispielsweise mit einer sicherheitskritischen Zone eines Netzwerks verbunden. Die zweite Rechenvorrichtung bzw. der zweite

Schleusenrechner ist mit einer zweiten Zone des Netzwerks, die beispielsweise geringere Sicherheitsanforderungen auf- weist, verbunden. Die Speichervorrichtung übernimmt im beschriebenen Verfahren die Funktion einer Datenschleuse.

Dazu werden im Verfahrensschritt 11 Schnittstellen-abhängige Zugriffsrechte auf die Daten der Speichervorrichtung basie- rend auf mindestens einem Informationspfad eingerichtet. Der Informationspfad enthält dabei mindestens eine Angabe zur verwendeten externen Schnittstelle der Speichervorrichtung. Im einfachsten Fall kann beispielsweise für die erste

Schnittstelle lediglich ein Schreibzugriff auf die Daten der Speichervorrichtung, für die zweite externe Schnittstelle le ^¬ diglich ein Lesezugriff auf die Daten der Speichervorrichtung eingerichtet werden. Somit kann eine Datenübertragung von der ersten Schnittstelle zur zweiten Schnittstelle bzw. von der mit der ersten Schnittstelle direkt verbundenen ersten Rechenvorrichtung zur zweiten Rechenvorrichtung, die mit der zweiten externen Schnittstelle der Speichervorrichtung verbunden ist, stattfinden. Es kann aber auch für jede externe Schnittstelle sowohl ein lesendes als auch schreibendes Zu ^¬ griffsrecht eingerichtet sein. Insbesondere kann die Spei ^¬ chervorrichtung mehrere unterschiedliche Daten-Strukturen enthalten und Zugriffsrechte für jede dieser Daten-Strukturen Schnittstellen-abhängig eingerichtet werden.

Es können beispielsweise getrennte Daten-Strukturen für verschiedene Zugriffsrechte ausgebildet sein. Beispielsweise kann eine Daten-Struktur lediglich für einen Datentransfer in eine Richtung, und eine weitere Daten-Struktur für Datenüber- tragung in die entgegengesetzte Richtung eingerichtet werden. Dadurch wird eine asynchrone Behandlung der Durchlassrichtung der Speichervorrichtung erreicht. Eine Daten-Struktur kann eine Partition, ein Verzeichnis oder eine Datei sein. Je nach Konfiguration der Port-spezifischen Zugriffsrechte kann mit der Speichervorrichtung eine Einweg-Kommunikation oder eine Netztrennung realisiert werden. Alleine schon eine Netztrennung kann das Ausbreiten von netzwerkbasierten Angriffen verhindern . Es kann aber auch eine Daten-Struktur für verschiedene Zugriffsrechte ausgebildet sein, so dass eine Daten-Struktur für einen Datenaustausch in beide Richtungen verwendet werden kann. Alternativ kann eine Daten-Struktur nur Zugriffsrechte für eine Übertragungsrichtung aufweisen.

Es können auch Daten-Strukturen ausgebildet sein, die lediglich Verwaltungsdaten bzw. lediglich Nutzdaten speichern. Des Weiteren können PrüfVorschriften von einer Steuereinheit der Speichervorrichtung überprüft werden. Lediglich bei positivem Prüfergebnis wird die Datenübertragung entsprechend der Zu ^¬ griffsrechte ausgeführt. Insbesondere können die Schnittstel ^¬ len-abhängigen Zugriffsrechte abhängig von weiteren Angaben insbesondere eines Informationspfades eingerichtet werden. Solche Angaben eines Informationspfades sind die Rolle der Datenquelle bzw. der Datensenke, Angaben zum Typ der Datenquelle, die Art der übertragenen Daten selbst und eine Ken ^¬ nung der Datensenke bzw. Datenquelle. Das Einrichten der Zu- griffsrechte kann bei Inbetriebnahme einer Speichervorrich ^¬ tung durchgeführt werden. Zugriffsrechte können geändert oder gelöscht und neue Zugriffsrechte hinzugefügt werden. Dies kann auf bestimmte Betriebsmodi der Speichervorrichtung be ^¬ schränkt oder während des laufenden Betriebs möglich sein.

Beim Einlesen von Daten, siehe Verfahrensschritt 12, von einer externen Rechenvorrichtung über eine externe Schnittstelle werden die eingerichteten Zugriffsrechte für diese

Schnittstelle geprüft. Neben der Schnittstelle, die die Daten bereitstellt, können die Daten selbst und der Informations ^¬ pfad der Speichervorrichtung bereitgestellt werden. Die Zugriffsrechte für die zugeordneten Daten werden anhand dieser Angaben ausgewählt. Die Daten werden nun entsprechend der ermittelten Zugriffsrechte in die Speichervorrichtung geschrie- ben. Im Verfahrensschritt 13 werden vor dem Auslesen von Daten über eine zweite externe Schnittstelle an eine zweite ex ^¬ terne Rechenvorrichtung die Zugriffsrechte der zweiten

Schnittstelle auf die Speichervorrichtung geprüft. Auch hier können Pfadinformationen zur auslesenden Datensenke geprüft werden. Die Datensenke ist hier die zweite Rechenvorrichtung bzw. eine in der zweiten Rechenvorrichtung eingerichtete Anwendung. Bei positivem Prüfergebnis liest die zweite Rechen ^¬ vorrichtung die Daten aus. Somit können über die Speichervorrichtung Daten zwischen zwei Netzwerkzonen kontrolliert wei- tergeleitet werden. Damit endet die pfadbasierte Datenüber ^¬ tragung durch die Speichervorrichtung, siehe Zustand 14.

Figur 2 zeigt den Verfahrensschritt 12, das heißt das Einle ^¬ sen von Daten in eine Speichervorrichtung 30 unter Verwendung einer Pfadinformation 20. Die Speichervorrichtung 30 umfasst eine erste externe Schnittstelle 31 sowie eine zweite externe Schnittstelle 32. Die Speichervorrichtung 30 umfasst eine Speichereinheit 37 aus zwei logischen Daten-Strukturen 34 und 35. Die Zugriffsrechte 33 in einer Steuereinheit 36 sind da ^¬ bei derart eingerichtet, dass von der ersten Schnittstelle 31 ein Schreibzugriff auf die Daten-Struktur 34 erlaubt ist. Über die erste externe Schnittstelle 31 kann andererseits le- diglich lesend auf die Daten-Struktur 35 zugegriffen werden. Die Zugriffsrechte für die zweite Schnittstelle 32 sind im dargestellten Beispiel derart eingerichtet, dass lediglich ein lesender Zugriff auf die Daten-Struktur 34 erlaubt ist und ein schreibender Zugriff auf die Daten-Struktur 35 mög- lieh ist.

Zusammen mit den zu übertragenden Daten 21 wird ein Informationspfad 20 an die erste externe Schnittstelle 31 bereitge ^¬ stellt. Die Steuereinheit 36 überprüft nun anhand der Zu- griffsrechte 33 die Angaben im Informationspfad 20 und spei ^¬ chert die bereitgestellten Daten entsprechend der ermittelten Zugriffsrechte. Wird ein Lesezugriff über eine zweite externe Schnittstelle 32 angefordert, so werden die Zugriffsrechte der zweiten externen Schnittstelle 32 auf die Daten anhand der eingerichteten Zugriffsrechte geprüft. Auch hier kann

Pfadinformation von der zweiten Rechenvorrichtung bereitgestellt und bei der Prüfung der Zugriffsrechte berücksichtigt werden. Ist der Lesezugriff erlaubt, werden die Daten über die zweite Schnittstelle 32 ausgegeben. Die Daten werden so- mit von einer ersten Rechenvorrichtung zu einer zweiten Rechenvorrichtung weitergeleitet.

Neben der Information über welche externe Schnittstelle die Daten eingelesen werden, umfasst der Informationspfad 20 bei- spielsweise Angaben zur Rolle R, zum Typ T oder auch eine Kennung ID der Datenquelle.

Figur 3 stellt ein Anwendungsszenario für die beschriebene Speichervorrichtung 30 und eine Datenübertragungsvorrichtung 48 dar. Eine erste Zone 40 eines Datennetzwerks ist bei ^¬ spielsweise ein Automatisierungsnetz. Darin sind Komponenten 41, 42, 43, beispielsweise Feldgeräte, verbunden. Eine solche erste Netzwerkzone 40 hat üblicherweise besonders hohe Anforderungen bezüglich der Datensicherheit, insbesondere, wenn diese als Sicherungssystem beispielsweise für die Zug ^¬ steuerung oder Zugsignalsteuerung oder auch in Energieanlagen verwendet werden. Eine solche erste Netzwerkzone 40 ist übli- cherweise als abgeschlossenes Netzwerk ausgebildet und ein Datentransfer von einer weniger sicheren zweiten Netzwerkzone 45 in die erste Netzwerkzone 40 oder auch die Übertragung von Daten aus der ersten Netzwerkzone in die zweite Netzwerkzone 45 ist nur unter strengen Auflagen möglich. Dazu muss insbesondere bei einer Datenübertragung von der ersten Zone 40 in die zweite Zone 45 sichergestellt sein, dass keine Da ^¬ ten aus der zweiten Zone 45 in die erste Zone eingebracht werden oder Daten aus der ersten Zone 40 verändert und zurück in die erste Zone 40 übertragen werden. Insbesondere zur Aus- wertung von Diagnosedaten der Komponenten der ersten Netzwerkzone 40 ist eine einfache Möglichkeit zum Ausschleusen von Daten in eine zweite Netzwerkzone 45 interessant.

Die Speichervorrichtung 30 dient hierbei als Datenschleuse und bildet zusammen mit zwei Rechenvorrichtungen 44, 47 als Schleusenrechner eine Datenübertragungsvorrichtung 48, die auch als Daten-Gateway bezeichnet wird.

Die erfindungsgemäße Speichervorrichtung 30 ist hier verein- facht dargestellt und entspricht der in Figur 4 detailliert dargestellten Speichervorrichtung 30. Sie umfasst eine erste externe Schnittstelle 31, an die eine erste Rechenvorrichtung 44 der ersten Netzwerkzone angeschlossen ist. Als externe Schnittstelle ist dabei eine Schnittstelle bezeichnet, über die Daten von außerhalb der Datenschleuse in die Datenschleu ^¬ se eingelesen werden oder Daten von der Datenschleuse nach außerhalb in eine angeschlossene Rechenvorrichtung ausgelesen werden können. Eine zweite externe Schnittstelle 32 der Spei ^¬ chervorrichtung 30 ist nun mit der zweiten Netzwerkzone 45, beispielsweise einer Rechenvorrichtung 47 verbunden. Über die erste bzw. zweite Schnittstelle 31, 32 kann jeweils auf Da ^¬ ten, die auf einer Speichereinheit 37 abgelegt sind, zuge ^¬ griffen werden. Durch die in der Speichervorrichtung 30 aus- gebildeten Zugriffsrechte für die erste bzw. zweite Schnitt ^¬ stelle ist nicht nur eine Netztrennung, sondern auch ein kontrollierter Datenaustausch zwischen der ersten Zone 40 und der zweiten Zone 45 möglich. Ist beispielsweise für die erste Schnittstelle 31 lediglich ein schreibender Zugang auf die Speichereinheit 37 eingerichtet, so können aus der ersten Netzwerkzone 40 Daten auf die Speichereinheit 37 geschrieben werden. Ist für die zweite Schnittstelle 32 lediglich ein le ^¬ sender Zugriff auf die Speichereinheit 37 erteilt, kann bei- spielsweise ein Diagnoserechner 46, der über ein Büronetz mit der zweiten Schnittstelle 32 verbunden ist, Diagnosedaten in die zweite Zone 45 auslesen.

Es wird somit kein offener Datenkanal zum Datenaustausch ver- wendet, sondern die Datenübertragung wird durch eine Zwi- schenspeicherung der Daten in der Speichervorrichtung und die Schnittstellen-abhängigen Zugriffsrechte auf die Speichereinheit ermöglicht. Die Speichervorrichtung 30 wird mit jeweils einem Schleusenrechner, der mit jeweils einer der externen Schnittstellen 31, 32 der Speichervorrichtung verbunden ist, betrieben. Beide Schleusenrechner 44, 47 haben Zugriff auf ein gemeinsames Dateisystem, das physikalisch in der Speichereinheit 37 der Speichervorrichtung abgebildet ist. Ein Schleusenrechner 44, der mit der Schnittstelle 31 verbunden ist, kann zum Beispiel Diagnosedaten von den Feldgeräten 41, 42, 43 abfragen und das Ergebnis als Datei auf der Speichereinheit 37 der Speicher ^¬ vorrichtung abspeichern. Dort kann die Datei von einem

Schleusenrechner 47, der mit der zweiten Schnittstelle 32 verbunden ist, ausgelesen werden und zum Beispiel über Internet 45 an einen Cloud-Service 46 zur Auswertung übertragen werden. Ebenso kann in Gegenrichtung zum Beispiel ein Firmware-Update von der zweiten Zone 45 in das Automatisierungsnetz 40 kontrolliert übertragen werden. Innerhalb der Speichervorrichtung 30 kann nun über eine Steuereinheit 36 sicherge ^¬ stellt werden, dass die Speichereinheiten bzw. auf der Spei- chereinheit eingerichtete Daten-Strukturen 34, 35, nur je ^¬ weils von einer Richtung lesbar oder schreibbar sind.

In Figur 4 ist die Speichervorrichtung 30 vergrößert darge- stellt. Eine Steuereinheit 36 steuert die Zugriffsrechte der ersten bzw. zweiten Schnittstelle 31, 32 auf die Daten bzw. die Daten-Strukturen 34, 35. Die Steuereinheit 36 überwacht dabei die für die Schnittstellen 31 bzw. 32 festlegten Zugriffsrechte, die hier schematisch als Einheit 33 dargestellt sind. Die Zugriffsrechte können aber auch über Kurzschluss ^¬ brücken, auch als Jumper bezeichnet, oder als DIP-Schalter ausgebildet sein. Somit wird physikalisch das Zugriffsrecht durchgesetzt. Die Zugriffsrechte können aber auch durch ein Dateisystem, das in einer komplexen Steuereinheit der Spei- chervorrichtung oder in den angeschlossenen Rechenvorrichtungen 44, 47 aufgesetzt ist, vorgegeben werden. Dabei werden in dem Dateisystem Daten-Strukturen wie beispielsweise einer Partition oder einem Verzeichnis oder einer Datei Lese- bzw. Schreibrechte für eine Ausgabe zu der Schnittstelle der Spei- chervorrichtung 30 vorgegeben, überwacht und somit durchge ^¬ setzt. Zusätzlich können in der Speichereinheit 37 Bereiche für Verwaltungsdaten 38, 39 ausgebildet werden.

Die Speichervorrichtung 50 in Figur 5 zeigt eine weitere Aus- führungsform mit zwei Schnittstellen 31, 32, zwei Daten- Strukturen 34, 35 und einer Steuereinheit 51. Die Steuereinheit 51 umfasst zusätzlich eine Prüffunktion 52, die jeweils Daten vor dem Ein- bzw. Auslesen durch eine mit der Schnittstelle 31 bzw. 32 verbundene Rechenvorrichtung die Daten ge- genüber einer PrüfVorschrift überprüft. Dies ist insbesondere sinnvoll, wenn eine der Schnittstellen mit einer Netzwerkzone verbunden ist, in der potentiell Schadcode oder eine Manipu ^¬ lation vorkommen kann. In diesem Fall kann die Steuereinheit 51 dazu genutzt werden, die Daten in den jeweiligen Da- ten-Strukturen zu prüfen, bevor der Zugriff durch die jeweils andere Seite freigegeben wird. Als PrüfVorschrift kann bei ^¬ spielsweise eine Prüfsumme der Daten ausgewertet bzw. mit der über die Daten gebildeten aktuellen Prüfsumme verglichen werden .

Eine mit der Schnittstelle 31, 32 verbundene Rechenvorrich- tung kann eine Datei nach dem Lesen validieren, beispielsweise eine Formatprüfung durchführen, bevor die Rechenvorrichtung die Datei akzeptiert. Über eine Netzwerkschnittstelle können Daten von oder zu der Rechenvorrichtung in der jeweiligen Netzwerkzone geladen werden.

Figur 6 zeigt eine Speichervorrichtung 60, in der als alternative Realisierungsvariante zwei Steuereinheiten 61, 63 aus ^¬ gebildet sind, die jeweils eine Eingangs- bzw. Ausgangsregel 62, 64, auch Zugriffspolicy genannt, umsetzen. Ein Zugriff auf die Speichereinheit bzw. die Daten-Strukturen ist über die Steuereinheit nur möglich, soweit der Zugriff entspre ^¬ chend der jeweiligen Eingangs- bzw. Ausgangsregeln zugelassen ist. Eine Steuereinheit ist dabei in zwei separate Instanzen als eine Eingangssteuereinheit 63 und eine Ausgangssteuerein- heit 61 aufgeteilt, die jeweils auf die Speichereinheit 65 geschriebenen Daten gegenüber Eingangsregeln 64 prüfen. Die Ausgangssteuereinheit 61 überprüft die ausgelesenen Daten ge ^¬ genüber Ausgangsregeln 62, bevor diese über die Schnittstelle 31 an eine angebundene Rechenvorrichtung ausgegeben wer- den.

Somit ist eine verlässliche Schleusenlösung bzw. ein Daten- Gateway kostengünstig realisierbar. Dabei wird die Netzwerk ^¬ konnektivität zwischen einer ersten und zweiten Netzwerkzone unterbrochen. Über eine entsprechende Konfiguration, das heißt über die Zugriffsrechte, lassen sich die Lese- und Schreibrechte je nach Schnittstelle entsprechend einschrän ^¬ ken. Somit kann eine asynchrone Behandlung je Durchlassrichtung erreicht werden. Des Weiteren können Daten zwischenge- puffert und nach unterschiedlichen Kriterien geprüft bzw. validiert werden. Durch die Definition von Schnittstellen-ab ^¬ hängigen Berechtigungen auf Unterstrukturen der Speichereinheit, also durch das Einrichten von Partitionen, Verzeichnis- sen oder Dateien und darauf gerichtete Zugriffsrechte können flexibel Datenströme getrennt und nach verschiedenen Regeln weitergeleitet oder auch nur gespeichert werden. Durch ein Einbeziehen von Angaben, die den Bearbeitungs- bzw. Her- kunftspfad der eingelesenen bzw. geschriebenen Daten berücksichtigt, kann sehr flexibel die Übertragung verschiedener Arten von Daten berücksichtigt werden.

Alle beschriebenen und/oder bezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausfüh- rungsbespiele beschränkt.