This website is available in German language. Please use Google Translate to view this website in your preferred language.
  • Network Taps mit Data Diodes als Datenlieferant für IT-Sicherheitssysteme


Daten aus kritischen Netzen sicher an IDS weiterleiten

Mit Inkrafttreten des neuen IT-Sicherheitsgesetzes 2.0 am 28. Mai 2021 wurde auch die KRITIS-Regelung signifikant erweitert. Diese beinhaltet nun deutlich mehr Pflichten für die Betreiber und mehr Befugnisse für den Staat. So müssen KRITIS-Betreiber bis spätestens 01. Mai 2023 jetzt auch Systeme und Prozesse zur kontinuierlichen Angriffserkennung etablieren.

Dazu gehören die Einrichtung eines SOC (Security Operation Center) und eines SIEM (Security Information and Event Management).
In diesem Zuge muss nun eine Security-Monitoring-Lösung dauerhaft Datenpakete analysieren, um eventuelle Bedrohungen zu erkennen. Diese Pakete werden der Security-Monitoring-Lösung meist als Datenkopie über SPAN-Ports zur Verfügung gestellt.

Doch leider wird dabei häufig nicht berücksichtigt, dass bei der Verwendung von SPAN-Ports ein Rückfluss von Daten nicht gänzlich ausgeschlossen werden kann. Da die Security-Monitoring-Lösung, wie meist üblich, im zentralen IT-Netz positioniert ist, das eine Verbindung zum Internet hat, kann der Switch anfällig für Angriffe von Hackern werden. Somit ist die einst isolierte OT-Umgebung aber auch eine kritische IT-Infrastruktur nun indirekt einer Bedrohung von außen ausgesetzt.
Diese Gefahr kann aber durch den Einsatz von TAPs (Test Access Points) mit Data Diode Technologie ausgeräumt werden.

Daten aus kritischen Netzen sicher an IDS weiterleiten
Zwischen dem Netz von OT oder kritischer IT-Infrastruktur und IT-Netz wird ein Data Diode Tap geschaltet. Dieses lässt den Verkehr zwischen dem besonders sensiblen Bereich und IT vollständig transparent passieren. Würde man ausschließlich auf eine Firewall setzen, könnten durch Fehlkonfigurationen oder Bugs ungewollt Daten in das Netz von OT & kritischer Infrastruktur gelangen.


Bei Data-Dioden-TAPs handelt es sich um speziell entwickelte Hardware, mit der Datenpakete ausschließlich in eine Richtung übertragen werden können. Diese TAPs erstellen eine exakte, kontinuierliche Kopie des Verkehrsflusses, wobei die Pakete nicht verändert oder verzögert werden. Zudem sind sie passiv, was bedeutet, dass der Datenverkehr weiter fließt, falls die Stromversorgung ausfällt.