Häufig gestellte Fragen

Eine Datendiode ist ein hardwarebasiertes Sicherheitssystem, das den Datenfluss physisch auf exakt eine Richtung begrenzt – vergleichbar mit einem Rückschlagventil. Ohne jegliche Inhaltsprüfung oder softwarebasierte Logik erzwingt sie die Einbahn-Kommunikation auf Signalebene und schließt jeden Rückkanal technisch aus. Dadurch bleiben Integrität und Verfügbarkeit des sendenden Netzes gewahrt, während zugleich unerwünschter Datenabfluss aus dem Zielnetz verhindert wird. Der Ansatz wird in OT-Umgebungen (z. B. Energie, Öl & Gas, Fertigung) ebenso wie in IT-Netzen eingesetzt – etwa für sicheren Datenexport, Segmentierung hochsensibler Bereiche, Anbindung von Auswertungssystemen/Clouds oder die Abwehr von Datenexfiltration durch Schadsoftware und Insider. Die Datendiode liefert damit eine protokollunabhängige, deterministische Barriere zwischen Domänen ohne inhaltliche Filterung, ausgelegt auf maximale Trennung statt „Trust by Inspection“.

Eine hardwarebasierte Datendiode erzwingt den Datenfluss strikt in eine Richtung. Sie besteht aus einem Sendemodul (TX) und einem Empfangsmodul (RX), die über eine physische Einbahnverbindung (optisch) gekoppelt sind; es gibt keinen Rückkanal, keine Inhaltsprüfung und keine umprogrammierbare Logik – die Richtungssicherheit entsteht allein durch die Hardware.
Da viele Protokolle (z. B. TCP) Rückbestätigungen erwarten, wird die Datendiode oftmals gemeinsam mit Proxy-Servern betrieben, die vor und hinter der Datendiode betrieben werden.

• Upstream-Proxy (vor der Datendiode): nimmt Daten aus dem Quellnetz an, entkoppelt die Rückkanal-Abhängigkeiten und verpackt die Information für die einseitige Übertragung (z. B. Files/Streams/Store-and-Forward).
• Downstream-Proxy (hinter der Datendiode): stellt die Daten im Zielnetz protokollkonform bereit (z. B. Rekonstruktion von Sessions oder Ausgabe als Dateien/Events an Zielsysteme).
• Integrität und Verfügbarkeit: Prüfungen (Checksummen, Sequenzen) sowie Pufferung erfolgen außerhalb der Datendiode in den Proxys.

Eine Datendiode erzwingt den Datenfluss physisch als Einbahnstraße und schließt Rückkanäle technisch aus – ohne Inhaltsprüfung und ohne umprogrammierbare Logik. Firewalls steuern Verkehr hingegen softwarebasiert über Regeln und Inspektion. In hochkritischen Domänen bietet die Datendiode damit harte Domänentrennung und wirksamen Schutz vor Datenexfiltration; Firewalls ergänzen dies um flexible Zugriffs- und Inhaltskontrollen.

Fazit: Die Datendiode liefert unveränderliche, physische Trennung und verhindert Rückkanäle; die Firewall ergänzt durch flexible, inhaltsbezogene Kontrolle. Gemeinsam steigt das Sicherheitsniveau deutlich.

Datendioden eignen sich überall dort, wo eine verlässliche, hardwarebasierte Einbahnverbindung zwischen Domänen gefordert ist – zur strikten Trennung, für sicheren Datenaustausch und wirksamen Exfiltrationsschutz. Sie werden in militärischen, nachrichtendienstlichen und behördlichen Netzen für Cross-Domain-Szenarien eingesetzt, in kritischen Infrastrukturen (Energie, Öl und Gas, Wasser, Verkehr, Kerntechnik) isolieren sie zur OT-zu-IT-Bereitstellung Steuerungsnetze (SCADA/ICS) physisch von IT‑Netzen und ermöglichen dennoch die sichere Übertragung von Betriebsdaten – etwa Statusmeldungen von Turbinen, Sensor‑ und Produktionsdaten aus Pipelines oder Messwerte aus Kernkraftwerken – zu Leitständen oder SIEM‑Plattformen. In Industrie und Fertigung sorgen sie für die abgesicherte Übergabe von Qualitäts- und Zustandsdaten an MES/ERP oder Cloud-Analytik, im Gesundheitswesen und in der Pharmaforschung für den kontrollierten Transfer sensibler Mess- und Studiendaten, im Finanzsektor und in Rechenzentren zur Segmentierung hochvertraulicher Zonen sowie in Luft- und Raumfahrt bzw. der Sicherheitsindustrie für Telemetrie-, Prüf- und Missionsdaten. Auch bei Cloud-/Analytics-Anbindungen dienen sie als einseitiges Einspeisemedium und bei Update- bzw. Zulieferpfaden ermöglichen sie ein kontrolliertes Einspielen in gekapselte Bereiche über getrennte, definierte Einwegstrecken – ohne die Richtungssicherheit zu kompromittieren.

Die Sentyron DataDiode ist nach führenden Sicherheitsstandards zertifiziert, darunter Common Criteria EAL7+, NATO COSMIC TOP SECRET, Deutsch bis GEHEIM (BSI VSA), TEMPEST SDIP‑27 Level A und ZONE 1 nach dem BSI‑Zonenmodell.

Die EU‑Richtlinien NIS2 und DORA verlangen eine strikte Netztrennung, hohe Verfügbarkeit und belastbare Prozesse für Cyberresilienz. Datendioden ermöglichen eine physische Netzwerksegmentierung und verhindern jegliche ungewollte Rückkanäle. In hochverfügbaren Setups lassen sich mehrere Datendioden parallel betreiben, sodass automatische Failover‑Mechanismen eine Uptime von 99,99 % gewährleisten. Dank Zertifizierungen wie Common Criteria EAL7+ erfüllen sie die höchsten Anforderungen an technische Sicherheit. Darüber hinaus lassen sich Software‑Updates oder Patches in sensible Zonen durch den Einsatz einer Datendiode kontrolliert einspielen – ein wesentliches Element für NIS2‑ und DORA‑Compliance.

Datendioden bilden an der Schnittstelle zwischen Operational Technology (OT) und IT eine zuverlässige, hardwarebasierte Einbahnverbindung: Daten verlassen das abgeschottete Steuerungsnetz, ohne dass ein Rückkanal entsteht. So können Informationen aus SCADA-, SPS- oder Prozessleitnetzen sicher an Leitstände, SIEM/SOC, Historian-/IT-Datenbanken oder Cloud-Analysen fließen, während das OT-Netz vor externen Angriffen geschützt bleibt. Typische Anwendungen sind das kontinuierliche Ausleiten von Überwachungs- und Prozessdaten für industrielle Analytik, Predictive-Maintenance und Anomalieerkennung, das Weitergeben von Echtzeit-Statusmeldungen und Sensor- bzw. Produktionsdaten (z. B. aus Turbinen, Pumpstationen, Pipelines oder Reaktoren) sowie der manipulationssichere Export von Log-Daten und Berichten zur Erfüllung regulatorischer Vorgaben wie NIS2 und ISA 62443. In der Umsetzung werden zunächst die relevanten OT-Daten definiert, die Datendiode zwischen OT- und IT-Domäne eingebunden und die Gegenstelle auf IT-Seite konfiguriert; anschließend wird der unidirektionale Datenfluss verifiziert. Ein Praxisbeispiel: Auf einer Offshore-Bohrplattform übertrug eine Sentyron-Datendiode Steuerungsdaten über rund 100 km sicher in die Zentrale. Die Diode besitzt weder IP- noch MAC-Adressen und ist damit im Netzwerk nicht adressierbar. Das Ergebnis: stabile Echtzeit-Übertragung, geringere Angriffsfläche, weniger Abhängigkeit von Wechseldatenträgern und spürbare Kostensenkungen durch vermiedene Ausfälle. Für besonders kritische Netze lassen sich mehrere Datendioden parallel betreiben, um bei Hardware-Fehlern automatisch umzuschalten und die Verfügbarkeit weiter zu erhöhen.