Was ist eine OPC UA Datendiode? Einweg-Netzwerke erklärt
OPC UA ist ein bidirektionales Protokoll. Ein Client verbindet sich mit einem Server, durchsucht den Adressraum, liest Werte, schreibt Befehle, abonniert Änderungen und ruft Methoden auf. Dieses Anfrage/Antwort-Modell ist das, was OPC UA für die industrielle Automatisierung so leistungsfähig macht.
Doch manche Umgebungen erlauben keinerlei bidirektionale Kommunikation. Nicht aufgrund einer Richtlinie — sondern aufgrund der Physik.
Das Problem: Wenn Bidirektionalität zur Bedrohung wird
In Verteidigungsanlagen, Kernkraftwerken, klassifizierten Netzwerken und kritischen Infrastrukturen gilt ein fundamentales Sicherheitsprinzip: Daten dürfen eine sichere Zone verlassen, aber nichts darf zurückfließen.
Die Logik ist einfach. Wenn ein Angreifer ein einziges Paket in ein sicheres Netzwerk senden kann — selbst eine fehlerhafte Antwort auf eine legitime Anfrage — hat er einen Brückenkopf. Firewalls helfen, aber Firewalls haben Fehler. Software hat Schwachstellen. Die einzige Möglichkeit zu garantieren, dass keine Daten zurückfließen, ist, es physisch unmöglich zu machen.
Das ist die Domäne der Datendiode (Data Diode): ein Hardwaregerät, das streng unidirektionale Kommunikation auf der physikalischen Schicht erzwingt. Typischerweise handelt es sich um eine Glasfaserverbindung, bei der die Empfangsfaser auf der sicheren Seite physisch durchtrennt oder nicht vorhanden ist. Kein Signal kann in die Gegenrichtung gelangen. Kein Exploit kann ein fehlendes Kabel umgehen.
Die Herausforderung mit OPC UA
Die Standard-Kommunikation OPC UA Client/Server ist inhärent bidirektional:
- Der Client sendet eine Anfrage („lies den Wert der Temperatur")
- Der Server sendet eine Antwort („42,7 °C, Qualität Good, Zeitstempel 08:15:32")
Selbst Abonnements — bei denen der Server Daten an den Client pusht — erfordern einen initialen Handshake, den Aufbau einer Sitzung und periodische Keep-alive-Nachrichten vom Client. All das erfordert einen Rückkanal.
Platziert man eine Datendiode zwischen einen OPC UA Client und Server, funktioniert nichts mehr. Der Client sendet eine Anfrage, aber die Antwort kann nie zurückkommen.
| OPC UA Modus | Bidirektional? | Funktioniert durch eine Datendiode? |
|---|---|---|
| Client/Server (Lesen/Schreiben) | Ja | Nein |
| Client/Server (Abonnements) | Ja | Nein |
| Methodenaufrufe | Ja | Nein |
| PubSub (UDP Multicast) | Nein — Fire and Forget | Ja |
| PubSub (MQTT, Broker auf Sendeseite) | Abhängig von Topologie | Mit Vorsicht |
Die Antwort liegt in den letzten beiden Zeilen.
Die Lösung: OPC UA PubSub + Datendiode
OPC UA PubSub, definiert in Teil 14 der Spezifikation, führt ein grundlegend anderes Kommunikationsmuster ein. Statt Anfrage/Antwort sendet ein Publisher Daten an einen Transport (UDP Multicast, MQTT, AMQP), ohne eine Antwort zu erwarten. Subscriber empfangen die Daten — oder nicht. Der Publisher weiß es nicht und kümmert sich nicht darum.
Dieses „Fire and Forget"-Modell ist inhärent unidirektional. Und genau das macht es kompatibel mit Datendioden.
Die Architektur
Sichere Zone (Hochsicherheitsseite):
Ein OPC UA Server sammelt Daten von SPS-Steuerungen, Sensoren und Leitsystemen. Er betreibt außerdem einen OPC UA PubSub Publisher, der ausgewählte Daten als PubSub-Nachrichten kodiert — einschließlich der vollständigen OPC UA Semantik (Typen, Einheiten, Zeitstempel, Qualitätscodes) — und als UDP-Multicast-Pakete versendet.
Datendiode (Hardware):
Die UDP-Pakete durchqueren die Datendiode in nur einer Richtung. Die Dioden-Hardware übernimmt die physikalische Schicht. Einige fortgeschrittene Dioden beinhalten einen Protokoll-Proxy, der UDP-Ströme rekonstruiert, Paketverluste behandelt und Vorwärtsfehlerkorrektur bereitstellt.
Überwachungszone (Niedrigsicherheitsseite):
Ein OPC UA PubSub Subscriber empfängt die UDP-Pakete und rekonstruiert die OPC UA Daten. Er kann einen lokalen OPC UA Server befüllen, einen Historian speisen, ein Dashboard ansteuern oder die Daten an Cloud-Analytik weiterleiten. Diese Seite hat keine Möglichkeit, irgendetwas an die sichere Zone zurückzusenden.
Was die Diode durchquert
Die PubSub-Nachrichten tragen das vollständige OPC UA Datenmodell:
- DataSetMessages mit Feldwerten, Zeitstempeln und Qualitätscodes
- DataSetMetaData mit der Beschreibung der Struktur (Variablennamen, Typen, Einheiten)
- Publisher und Writer Group IDs für Routing und Filterung
Der Subscriber weiß genau, was jeder Wert bedeutet — ohne sich jemals mit dem ursprünglichen OPC UA Server zu verbinden. Die Metadaten reisen mit den Daten.
Anwendungsfälle
Verteidigung und klassifizierte Netzwerke
Militärische Einrichtungen und Nachrichtendienste betreiben Netzwerke auf verschiedenen Geheimhaltungsstufen (z. B. OFFEN, GEHEIM, STRENG GEHEIM). Daten müssen oft von einer niedrigeren Geheimhaltungsstufe zu einer höheren fließen (oder von einem Steuerungssystem zu einem Überwachungsnetzwerk), aber niemals in die Gegenrichtung.
OPC UA PubSub über eine Datendiode ermöglicht die Echtzeit-Überwachung betrieblicher Systeme von einem höher klassifizierten Netzwerk aus, ohne einen Rückkanal zu schaffen, der ausgenutzt werden könnte.
Nuklear und Energie
Kernkraftwerke unterliegen strengen regulatorischen Rahmenbedingungen (z. B. NRC in den USA, ASN in Frankreich), die eine physische Isolation sicherheitskritischer Leitsysteme vorschreiben. Dennoch müssen Anlagenbetreiber diese Systeme von der Leitwarte und von externen Ingenieurzentren aus überwachen.
Eine Datendiode mit OPC UA PubSub ermöglicht Echtzeit-Telemetrie vom Sicherheitssystem zum Überwachungsnetzwerk — kein Rückkanal, kein Risiko einer Fernmanipulation.
Wasser, Gas und kritische Infrastrukturen
Die EU-Richtlinie NIS2 und der Cyber Resilience Act stellen strenge Cybersicherheitsanforderungen an Betreiber wesentlicher Dienste. Datendioden sind eine akzeptierte — und in manchen Fällen geforderte — Maßnahme zur Isolation kritischer OT-Netzwerke, die gleichzeitig Überwachung und Compliance-Berichterstattung ermöglicht.
Industrielle DMZ (Purdue Level 3.5)
Auch in weniger extremen Umgebungen empfiehlt das ISA/IEC 62443-Modell eine demilitarisierte Zone (DMZ) zwischen OT- und IT-Netzwerken. Eine Datendiode an dieser Grenze stellt sicher, dass Produktionsdaten zum Unternehmensnetzwerk für Analytik, ERP und MES fließen — ohne das OT-Netzwerk Bedrohungen von der IT-Seite auszusetzen.
Was Sie verlieren
Einwegkommunikation hat ihren Preis. Durch eine Datendiode können Sie nicht:
- Auf den OPC UA Server schreiben. Keine Sollwertänderungen aus der Ferne, keine Befehle.
- Den Adressraum durchsuchen. Der Subscriber muss sich auf vorkonfigurierte Metadaten oder die in PubSub-Nachrichten eingebetteten Metadaten verlassen.
- Methoden aufrufen. Keine Remote Procedure Calls über die Diode.
- Empfangsbestätigungen erhalten. Der Publisher weiß nicht, ob der Subscriber die Daten empfangen hat. Vorwärtsfehlerkorrektur und redundante Übertragung mildern dies ab.
- Subscriptions nutzen. Das Client/Server-Abonnementmodell erfordert einen Rückkanal für Keep-alive und erneute Veröffentlichung. PubSub ersetzt dies.
Diese Einschränkungen sind beabsichtigt. In Umgebungen, die Datendioden erfordern, ist die Unmöglichkeit, zurückzuschreiben, kein Fehler — es ist der gesamte Zweck.
Überlegungen zur Implementierung
Protokollwahl. UDP Multicast ist die sauberste Lösung für Datendioden — rein unidirektional, kein Handshake. MQTT kann funktionieren, wenn der Broker auf der Sendeseite steht, aber der Subscriber benötigt dennoch eine TCP-Verbindung zum Broker, was den Diodenaufbau verkompliziert.
Paketverlust. UDP über eine Datendiode kann Paketverluste erleiden, insbesondere bei hohen Datenraten. Gegenmaßnahmen umfassen Vorwärtsfehlerkorrektur (FEC), redundante Publisher und Wiederholungsübertragung auf Anwendungsebene auf Publisher-Seite (mehrfaches Senden jeder Nachricht).
Metadaten-Verteilung. Der Subscriber muss die Struktur des DataSets kennen. OPC UA PubSub kann Metadaten in den Datenstrom einbetten (MetaDataMessage), oder Sie können sie vorab außerhalb des Kanals bereitstellen. Ersteres ist für Diodenszenarien robuster.
Sicherheit. Auch wenn die Diode Rückverkehr verhindert, sollten Sie PubSub-Nachrichten dennoch mit OPC UA Security signieren. Dies verhindert Manipulation auf der Niedrigsicherheitsseite und bietet Garantien für die Datenintegrität.
Wichtigste Erkenntnisse
- Standard OPC UA Client/Server funktioniert nicht durch eine Datendiode — es erfordert bidirektionale Kommunikation.
- OPC UA PubSub (Teil 14) verwendet ein Fire-and-Forget-Modell, das inhärent unidirektional und mit Datendioden kompatibel ist.
- PubSub-Nachrichten tragen die vollständige OPC UA Semantik — der Subscriber erhält typisierte, kontextualisierte Daten ohne Rückkanal.
- Datendioden werden in Verteidigung, Nukleartechnik, Energiewirtschaft und kritischen Infrastrukturen eingesetzt, um physisch unidirektionalen Datenfluss durchzusetzen.
- Der Kompromiss ist klar: Man erhält Überwachung ohne Steuerungsmöglichkeit — und genau das verlangen diese Umgebungen.
Die Data-Diode-Lösung von Sterfive
Das ist keine Theorie. Sterfive hat eine funktionierende OPC UA Data-Diode-Lösung entwickelt und in Betrieb genommen.
Unser Ansatz nutzt eine dedizierte Emitter-Komponente auf der sicheren Seite. Sie verbindet sich mit Ihren bestehenden OPC UA Servern, wählt die zu replizierenden Daten aus, kodiert sie als kompakte verschlüsselte Datagramme mit vollständigen OPC UA Metadaten und überträgt sie per UDP oder TCP — bereit, jede Hardware-Datendiode zu durchqueren.
Auf der Überwachungsseite rekonstruiert ein dedizierter Receiver den OPC UA Adressraum als vollständig navigierbaren, lokalen OPC UA Server. Clients auf der Niedrigsicherheitsseite sehen einen Standard-OPC-UA-Server — sie müssen nicht wissen, dass sich eine Datendiode dazwischen befindet.
Die Lösung bewältigt:
- Automatische Metadaten-Replikation — Variablennamen, Typen, Einheiten und Struktur durchqueren die Diode mit den Daten.
- Konfigurierbare Datenauswahl — wählen Sie genau aus, welche Teile des Adressraums repliziert werden sollen.
- Redundante Übertragung — jede Nachricht wird mehrfach gesendet, um UDP-Paketverluste abzumildern.
- AES-256-GCM-Verschlüsselung — Datenintegrität und Vertraulichkeit über die Diode hinweg.
- Hardware-Unabhängigkeit — funktioniert mit jeder Hardware-Datendiode auf dem Markt (Advenica, Fox-IT, Waterfall Security, Owl Cyber Defense, OPSWAT oder einfache Glasfaser-Enforcer).
Wenn Sie Data-Diode-Architekturen für Ihre OPC UA Infrastruktur evaluieren, kontaktieren Sie uns — wir besprechen gerne Ihren Anwendungsfall.
Whitepaper herunterladen
Dieser Artikel behandelt die Konzepte. Für den vollständigen technischen Deep-Dive — Architekturdiagramme, Konfigurationsbeispiele, Hardware-Dioden-Kompatibilitätsmatrix und Deployment-Checkliste — laden Sie unser Whitepaper herunter.
Referenzen
- OPC Foundation — OPC UA Part 14: PubSub. opcfoundation.org
- IEC 62443 — Industrial communication networks – Network and system security. iec.ch
- Europäische Kommission — NIS2-Richtlinie. digital-strategy.ec.europa.eu
- ANSSI (Frankreich) — Recommandations pour les architectures de systèmes industriels. cyber.gouv.fr
- NIST — SP 800-82: Guide to ICS Security. nist.gov