FAQ
Häufig gestellte Fragen
Antworten auf die wichtigsten Fragen zu Funktion, Einsatzbereichen und Compliance von Datendioden. Tippen oder klicken Sie auf eine Frage, um die Antwort zu öffnen.
Was ist eine Datendiode?+
Eine Datendiode ist ein hardwarebasiertes Sicherheitssystem, das den Datenfluss physisch auf exakt eine Richtung begrenzt – vergleichbar mit einem Rückschlagventil. Die Einbahn-Kommunikation wird auf Signalebene erzwungen, ganz ohne Inhaltsprüfung oder softwarebasierte Logik. Ein Rückkanal ist damit technisch ausgeschlossen.
Das schützt in beide Richtungen: Die Integrität und Verfügbarkeit des abgeschotteten Netzes bleiben gewahrt, und zugleich wird unerwünschter Datenabfluss – etwa durch Schadsoftware oder Insider – wirksam verhindert.
Eingesetzt wird der Ansatz in OT-Umgebungen (z. B. Energie, Öl & Gas, Fertigung) ebenso wie in IT-Netzen: für sicheren Datenexport, die Segmentierung hochsensibler Bereiche oder die Anbindung von Auswertungssystemen und Clouds. Die Datendiode liefert damit eine protokollunabhängige, deterministische Barriere zwischen Domänen – ausgelegt auf maximale Trennung statt „Trust by Inspection".
Wie funktioniert eine hardwarebasierte Datendiode?+
Eine hardwarebasierte Datendiode besteht aus einem Sendemodul (TX) und einem Empfangsmodul (RX), die über eine physische optische Einbahnverbindung gekoppelt sind. Es gibt keinen Rückkanal, keine Inhaltsprüfung und keine umprogrammierbare Logik – die Richtungssicherheit entsteht allein durch die Hardware.
Da viele Protokolle (z. B. TCP) Rückbestätigungen erwarten, wird die Datendiode in der Regel gemeinsam mit Proxy-Servern betrieben:
- Upstream-Proxy (vor der Diode): nimmt Daten aus dem Quellnetz an, entkoppelt die Rückkanal-Abhängigkeiten und bereitet die Information für die einseitige Übertragung auf (z. B. als Files, Streams oder Store-and-Forward).
- Downstream-Proxy (hinter der Diode): stellt die Daten im Zielnetz protokollkonform bereit – etwa durch Rekonstruktion von Sessions oder Ausgabe als Dateien und Events an Zielsysteme.
- Integrität & Verfügbarkeit: Prüfungen wie Checksummen und Sequenzen sowie die Pufferung erfolgen außerhalb der Datendiode in den Proxys.
Worin unterscheidet sich eine Datendiode von einer Firewall?+
Eine Datendiode erzwingt den Datenfluss physisch als Einbahnstraße und schließt Rückkanäle technisch aus – ohne Inhaltsprüfung und ohne umprogrammierbare Logik. Eine Firewall steuert Verkehr dagegen softwarebasiert über Regeln und Inspektion.
| Kriterium | Datendiode | Firewall |
|---|---|---|
| Richtungssicherheit | Physisch erzwungene Einbahnstraße; Rückkanal technisch ausgeschlossen | Bidirektional; Richtung per Regelwerk und Policies |
| Softwareabhängigkeit | Ohne Inhaltsprüfung, keine umprogrammierbare Logik | Software-/Policy-basiert; Signaturen und Updates erforderlich |
| Angriffsfläche | Kein Gegenkanal, sehr geringe Angriffsfläche | Risiko durch Fehlkonfiguration, Exploits, komplexe Policies |
| Protokollbezug | Protokollunabhängig; Rückbestätigungen werden durch Proxys abgefangen | Protokoll- und Inhaltsinspektion, Termination, Weiterleitung |
| Schutzziel | Harte Domänentrennung, wirksamer Exfiltrationsschutz | Zugriffskontrolle, Segmentierung |
| Betrieb | Stabiler Dauerbetrieb; Proxys übernehmen Format- und Session-Handling | Laufende Pflege von Regeln und Updates |
| TCO / Betriebskosten | Niedrig: schlanke Hardware, seltene Änderungen, geringe Pflege | Höher: Policy-Pflege, Patches, Signaturen, kontinuierliche Anpassung |
Fazit: Die Datendiode liefert eine unveränderliche, physische Trennung und verhindert Rückkanäle; die Firewall ergänzt durch flexible, inhaltsbezogene Kontrolle. Gemeinsam steigt das Sicherheitsniveau deutlich.
Für welche Branchen und Anwendungen eignen sich Datendioden?+
Datendioden eignen sich überall dort, wo eine verlässliche, hardwarebasierte Einbahnverbindung zwischen Domänen gefordert ist – zur strikten Trennung, für sicheren Datenaustausch und wirksamen Exfiltrationsschutz. Typische Einsatzfelder:
- Militär, Nachrichtendienste & Behörden: Cross-Domain-Szenarien zwischen unterschiedlichen Geheimhaltungsstufen.
- Kritische Infrastrukturen (Energie, Öl & Gas, Wasser, Verkehr, Kerntechnik): physische Isolation von SCADA-/ICS-Steuerungsnetzen bei gleichzeitig sicherer Übertragung von Betriebsdaten – etwa Turbinen-Statusmeldungen, Pipeline-Sensorik oder Messwerte aus Kernkraftwerken – an Leitstände und SIEM-Plattformen.
- Industrie & Fertigung: abgesicherte Übergabe von Qualitäts- und Zustandsdaten an MES/ERP oder Cloud-Analytik.
- Gesundheitswesen & Pharmaforschung: kontrollierter Transfer sensibler Mess- und Studiendaten.
- Finanzsektor & Rechenzentren: Segmentierung hochvertraulicher Zonen.
- Luft- & Raumfahrt, Sicherheitsindustrie: Telemetrie-, Prüf- und Missionsdaten.
Auch bei Cloud- und Analytics-Anbindungen dienen Datendioden als einseitiges Einspeisemedium – und bei Update- und Zulieferpfaden ermöglichen sie das kontrollierte Einspielen in gekapselte Bereiche über getrennte, definierte Einwegstrecken, ohne die Richtungssicherheit zu kompromittieren.
Welche Zertifizierungen besitzt die Sentyron DataDiode?+
Die Sentyron DataDiode ist nach den führenden internationalen Sicherheitsstandards zertifiziert:
- Common Criteria EAL7+ – die höchste Evaluierungsstufe nach Common Criteria
- NATO COSMIC TOP SECRET
- Deutsch bis GEHEIM (BSI VSA)
- TEMPEST SDIP-27 Level A sowie Zone 1 nach dem BSI-Zonenmodell
Wie unterstützen Datendioden NIS2- und DORA-Compliance?+
Die EU-Richtlinien NIS2 und DORA verlangen strikte Netztrennung, hohe Verfügbarkeit und belastbare Prozesse für Cyberresilienz. Datendioden zahlen direkt auf diese Anforderungen ein:
- Physische Netzwerksegmentierung: ungewollte Rückkanäle sind konstruktionsbedingt ausgeschlossen.
- Hohe Verfügbarkeit: Mehrere Datendioden lassen sich parallel betreiben – automatische Failover-Mechanismen ermöglichen eine Uptime von 99,99 %.
- Nachweisbare technische Sicherheit: Zertifizierungen wie Common Criteria EAL7+ erfüllen die höchsten Anforderungen.
- Kontrollierte Update-Pfade: Software-Updates und Patches gelangen über die Diode kontrolliert in sensible Zonen – ein wesentliches Element für NIS2- und DORA-Compliance.
Wie lassen sich Datendioden in OT-Umgebungen einsetzen?+
An der Schnittstelle zwischen Operational Technology (OT) und IT bildet die Datendiode eine zuverlässige, hardwarebasierte Einbahnverbindung: Daten verlassen das abgeschottete Steuerungsnetz, ohne dass je ein Rückkanal entsteht. Informationen aus SCADA-, SPS- oder Prozessleitnetzen fließen so sicher an Leitstände, SIEM/SOC, Historian- und IT-Datenbanken oder Cloud-Analysen – während das OT-Netz vor externen Angriffen geschützt bleibt.
Typische Anwendungen:
- Kontinuierliches Ausleiten von Überwachungs- und Prozessdaten für industrielle Analytik, Predictive Maintenance und Anomalieerkennung
- Weitergabe von Echtzeit-Statusmeldungen sowie Sensor- und Produktionsdaten – z. B. aus Turbinen, Pumpstationen, Pipelines oder Reaktoren
- Manipulationssicherer Export von Log-Daten und Berichten zur Erfüllung regulatorischer Vorgaben wie NIS2 und IEC/ISA 62443
So läuft die Umsetzung: Zunächst werden die relevanten OT-Daten definiert, dann wird die Datendiode zwischen OT- und IT-Domäne eingebunden und die Gegenstelle auf IT-Seite konfiguriert. Abschließend wird der unidirektionale Datenfluss verifiziert.
Ein Praxisbeispiel: Auf einer Offshore-Bohrplattform übertrug eine Sentyron-Datendiode Steuerungsdaten über rund 100 km sicher in die Zentrale. Die Diode besitzt weder IP- noch MAC-Adressen und ist im Netzwerk damit nicht adressierbar. Das Ergebnis: stabile Echtzeit-Übertragung, geringere Angriffsfläche, weniger Abhängigkeit von Wechseldatenträgern und spürbare Kostensenkungen durch vermiedene Ausfälle. Für besonders kritische Netze lassen sich mehrere Datendioden parallel betreiben, um bei Hardware-Fehlern automatisch umzuschalten und die Verfügbarkeit weiter zu erhöhen.
Noch Fragen offen?
Unser Expertenteam berät Sie gern.
Wir beantworten Ihre individuellen Fragen und entwickeln maßgeschneiderte Sicherheitskonzepte – von der ersten Anforderung bis zum laufenden Betrieb.
Kontakt aufnehmen →