-
Die
Erfindung betrifft ein Verfahren zum Überprüfen einer sicheren Übermittlung
eines bereitgestellten Dokumentes an ein Datenschutzmodul. Die Erfindung
betrifft weiterhin ein Verfahren und eine Vorrichtung zum sicheren Überprüfen einer
Authentizität
eines empfangenen geschützten
Dokumentes.
-
Dokumente
werden zunehmend in digitaler Form erstellt und elektronisch zum
Beispiel über
das Internet übertragen.
Die Übertragung
erfolgt in der Regel über
unsichere Verbindungen, sodass wichtige Dokumente verschlüsselt und/oder
signiert werden.
-
Beim
Verschicken von elektronischen Dokumenten von einem Sendecomputer
zu einem Empfangscomputer erfolgt das Verschlüsseln und/oder Signieren des
elektronischen Dokuments in dem Sendecomputer in einem Datenschutzmodul,
das dort als Softwareprogramm, als Hardwaremodul, das beispielsweise über einen
USB-Anschluss anschließbar
ist, oder als Netzwerkrechner im Netzwerk implementiert ist. Von
dem Datenschutzmodul wird das durch die Verschlüsselung und/oder die Signatur geschützte Dokument
an den Empfängercomputer übertragen.
Dort wird das geschützte
Dokument ebenfalls an eine dort befindliche (in Software oder Hardware
ausgeführten)
Datenschutzeinheit bereitgestellt, die entsprechend das geschützte Element entschlüsselt und/oder
die Signatur bezüglich
des empfangenen geschützten
Elementes überprüft.
-
Obwohl
das Dokument zwischen dem Sendecomputer und dem Empfängercomputer
geschützt übertragen
wird, ist der gesamte Ü bertragungsweg als
ungeschützt
zu betrachten, da der Übertragungsweg
Abschnitte enthält,
in denen das Dokument ungeschützt übertragen
wird. Da in der Regel die Endgeräte, üblicherweise
handelsübliche
Desktop-Computer und dergleichen, aufgrund ihrer Anfälligkeit
für Viren,
Trojanern, Phishing-Angriffe
oder fehlerhafte Bedienung und Verwaltung unsicher sind, kann mit einem
solchen System ein elektronisches Dokument nicht sicher von einem
Sender zu einem Empfänger übertragen
werden. Das zu übertragende
Element kann in dem Sendecomputer beispielsweise nach dem Bereitstellen,
beispielsweise eine Eingabe über die
Tastatur auf den Weg zum Datenschutzmodul manipuliert werden, sodass
ein manipuliertes Dokument in dem Datenschutzmodul verschlüsselt und/oder
signiert wird, ohne dass dies dem Sender oder Empfänger auffallen
kann. Der Empfänger
geht bei Empfang eines solchen manipulierten Dokuments davon aus,
dass dieses Dokument dem Dokument entspricht, das der Sender an
den Empfänger senden
wollte.
-
Auf
gleiche Weise wird ein in dem Empfängercomputer empfangenes geschütztes Dokument entschlüsselt und/oder
dessen Signatur überprüft. Anschließend kann
das von dem Datenschutzmodul in dem Empfängercomputer bereitgestellte
entschlüsselte
und/oder überprüfte Dokument
manipuliert werden, sodass ein manipuliertes Dokument an dem Empfängercomputer
ausgegeben wird, ohne dass der Empfänger die Manipulation bemerken kann.
-
Die
Integrität
und Authentizität
digitaler Dokumente können
gewährleistet
werden, wenn der gesamte Weg von der Eingabe bis zur Ausgabe, d.h. vom
Sendercomputer bis zum Empfängercomputer vor
Angriffen sicher ist. Dies ist beispielsweise bei Geräten für elektronische
Zahlungen zum Beispiel mit EC- oder
Kreditkarten der Fall, die mit einer eigenen kleinen Anzeigeeinheit
und einer Tastatur ausgestattet sind und als gesamtes Gerät von glaubwürdiger Stelle
als sicher zertifiziert sind.
-
Üblicherweise
werden jedoch Dokumente auf nicht zertifizierten Desktopcomputern
erstellt und der Schutz der Daten des Dokumentes kann durch ein
sicheres Softwaremodul oder ein sicheres Hardwaremodul, das an diesen
Desktopcomputer angeschlossen werden kann, erfolgen. Da der Desktopcomputer
insbesondere aufgrund der Anbindung an ein Netzwerk anfällig ist
für externe
Angriffe, bei denen beispielsweise von einem Benutzer unbemerkt ein
Schadprogramm installiert werden kann, ist jedoch der Weg des vom
Benutzer bereitgestellten elektronischen Dokumentes zu dem Datenschutzmodul
als unsicher zu betrachten.
-
Die
Druckschrift
US 5,915,022 offenbart
ein Verahren zum Authentifizieren einer elektronischen Transaktion
zwischen zwei Parteien, wobei eine Transaktionsidentifikationsangabe
auf einer Empfangsseite verschlüsselt
wird und an eine Senderseite übertragen
wird. Die verschlüsselte
Transaktionsidentifikation dient lediglich als digitale Empfangsbestätigung,
nachdem die Transaktion durchgeführt wurde.
-
Aus
der Druckschrift
US
2005/0021480 A1 ist ein Verfahren zum Bereitstellen von
digitalen Empfangsbestätigungen
für elektronische
Transaktionen offenbart. Die digitalen Empfangsbestätigungen
werden an einen Teilnehmer der digitalen Transaktion gesendet und
enthalten nicht sicherheitsrelevante Daten der elektronischen Transaktion,
d.h. nur einen Teil der bei der Transaktion übertragenen Daten, sowie eine
wahrnehmbare Information, in der eine Transaktionsidentifikation
verschlüsselt
enthalten ist.
-
Die
Druckschrift
WO
2004/033227 A1 betrifft einen folienförmigen Gegenstand mit auf beiden
Seiten angeordneten sich zu einem Gesamtbild überlagernden Bildteilen.
-
Es
ist daher Aufgabe der vorliegenden Erfindung ein Verfahren zum Überprüfen einer
sicheren Übermittlung
eines bereitgestellten Dokuments an ein Datenschutzmodul sowie ein
Verfahren zum sicheren Überprüfen einer
Authentizität
eines empfangenen geschützten
Dokumentes zur Verfügung
zu stellen. Weiterhin ist es Aufgabe der vorliegenden Erfindung
eine Sendevorrichtung zum Überprüfen einer sicheren Übermittlung
eines bereitgestellten Dokumentes sowie eine Empfangsvorrichtung
zum sicheren Überprüfen einer
Authentizität
eines empfangenen geschützten
Dokuments zur Verfügung
zu stellen.
-
Diese
Aufgaben werden durch das Verfahren nach Anspruch 1 und Anspruch
11 sowie durch die Sendevorrichtung nach Anspruch 20 sowie durch
die Empfangsvorrichtung nach Anspruch 29 gelöst.
-
Weitere
vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
-
Gemäß einem
ersten Aspekt ist ein Verfahren zum Überprüfen einer sicheren Übermittlung
eines bereitgestellten Dokuments an ein Datenschutzmodul vorgesehen.
Das Verfahren umfasst die Schritte des Übermittelns des Dokuments an
das Datenschutzmodul, des Schützens
des Dokuments in dem Datenschutzmodul, um ein geschütztes Dokument
zu erhalten, des Generierens eines Überprüfungsdokuments in dem Datenschutzmodul
anhand des bereitgestellten Dokuments und anhand einer bereitgestellten
wahrnehmbaren Information und des Ausgebens des Überprüfungsdokuments.
-
In
einem Sendegerät,
in dem beispielsweise ein von einem Benutzer erstelltes oder auf
sonstige Weise bereitgestelltes Dokument vorliegt und an das ein
Datenschutzmodul angeschlossen ist, besteht eine Problematik darin,
das bereitgestellte Dokument auf sichere Weise an das Datenschutzmodul
zu übertragen.
Da es sich bei dem Sendegerät
in der Regel um einen handelsüblichen
Personalcomputer und dergleichen handeln kann, kann das Dokument
auf vielfältige
Weise manipuliert werden, z.B. durch vom Benutzer unbemerkte Schadprogramme
wie Viren, Trojaner und dergleichen. Dadurch ist es möglich, dass
das bereitgestellte Dokument auf dem Weg in das Datenschutzmodul,
das als Software oder als anschließbare Hardware zur Verfügung gestellt
wird, abgefangen und manipuliert wird. In diesem Fall würde dies
der Benutzer nicht merken, da das manipulierte Dokument anschließend in
dem Datenschutzmodul signiert und/oder verschlüsselt wird und dann an einen
Empfänger
an einem entfernt angeordneten Empfangsgerät übermittelt wird.
-
Um
festzustellen, ob die Übertragung
des Dokuments an das Datenschutzmodul ordnungsgemäß stattgefunden
hat oder ob eine Manipulation erfolgt ist, wird nun in dem Datenschutzmodul
neben dem Schützen
des Dokuments (Signieren und/oder Verschlüsseln) auch ein Überprüfungsdokument
generiert. Das Überprüfungsdokument
enthält
dabei das bereitgestellte Dokument und eine weitere bereitgestellte
wahrnehmbare Information, wie beispielsweise ein sichtbares Symbol
in Form eines Wasserzeichens, eines beweglichen Ikons, oder eine Klangfolge
und dergleichen. Dieses Überprüfungsdokument
wird wieder ausgegeben, sodass zum Beispiel ein Benutzer oder eine
sonstige Vorrichtung erkennen kann, ob es sich um das ursprünglich bereitgestellte
Dokument handelt und ob die wahrnehmbare Information vollständig ist
und einer erwarteten wahrnehmbaren In formation entspricht. Die Überprüfung beider
Aspekte ist vorteilhaft, da sowohl der Übertragungsweg zum Datenschutzmodul
als auch der Übertragungsweg
vom Datenschutzmodul zur Ausgabe des Überprüfungsdokuments unsicher sind.
-
Die
wahrnehmbare Information ist vorzugsweise so gestaltet, dass sie
nicht ohne weiteres mit einem vertretbaren Aufwand aus den Überprüfungsdokument
extrahiert werden kann und in ein anderes (manipuliertes) Dokument übertragen
werden kann. Somit erhält
beispielsweise ein Benutzer oder eine sonstige Vorrichtung mit der
Ausgabe des Überprüfungsdokuments
einen Hinweis darauf, ob das bereitgestellte Dokument ordnungsgemäß und ohne
Manipulation in dem Datenschutzmodul eingetroffen ist.
-
Nach
dem Schützen
des Dokuments in dem Datenschutzmodul kann das geschützte Dokument an
einen Empfänger übermittelt
werden. Alternativ kann das geschützte Dokument an einen Empfänger übermittelt
werden, wenn die Authentizität
des Überprüfungsdokuments
zuvor durch den Benutzer oder eine sonstige Vorrichtung bestätigt wurde.
-
Gemäß einer
weiteren Ausführungsform kann
das Überprüfen anhand
des Überprüfungsdokuments
durchgeführt
werden, indem eine Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird,
um ein weiteres Überprüfungsdokument zu
erhalten, wobei weiterhin überprüft wird,
ob in dem weiteren Überprüfungsdokument
das Dokument unverändert
enthalten ist und ob die wahrnehmbare Information einer erwarteten
wahrnehmbaren Information entspricht.
-
Vorzugsweise
wird die Vorlage mit einem unregelmäßigen Pixelmuster bereitgestellt,
wobei das Pixelmuster in einer Anordnung von verschieden transparenten
Pixeln vorgesehen ist, wobei das Überprüfungsdokument in ein erstes
Halbbild und in ein zweites Halbbild aufgeteilt wird, wobei das
erste Halbbild ein Muster aufweist, das dem Pixelmuster entspricht
und das zweite Halbbild als Überprüfungsdokument
bereitgestellt wird.
-
Insbesondere
kann das Überprüfen anhand des Überprüfungsdokuments
durchgeführt
werden, in dem die Vorlage als transparente Folie ausgebildet ist
und auf der Ausgabe des weiteren Überprüfungsdokuments angeordnet wird,
wobei die Authentizität des
Dokuments bestätigt
wird, wenn bei einer Augenscheinprüfung das Dokument und die wahrnehmbare Information
erscheint.
-
Gemäß einem
weiteren Aspekt ist ein Verfahren zum sicheren Überprüfen einer Authentizität eines
empfangenen geschützten
Elementes vorgesehen. Das Verfahren umfasst die Schritte des Empfangens
des geschützten
Dokuments in einer Datenschutzeinheit, des Dekodierens des geschützten Dokuments
um ein Dokument bereitzustellen, des Generierens eines Überprüfungsdokuments
in der Datenschutzeinheit anhand des bereitgestellten Dokuments
und anhand einer wahrnehmbaren Information und des Ausgebens des Überprüfungsdokuments.
-
Analog
zu dem erfindungsgemäßen Verfahren
bezüglich
des ersten Aspekts sieht das Verfahren gemäß einem weiteren Aspekt vor,
die Authentizität eines
empfangenen geschützten
Dokuments zu überprüfen. So
wird zunächst
ein geschütztes
Dokument, das zuvor empfangen wurde, in einem Datenschutzmodul dekodiert,
d.h. entschlüsselt
bzw. deren Signatur überprüft, um das
dem Benutzer zuzuführende
Dokument in eine wahrnehmbare, d.h. sichtbare oder hörbare Information überzuführen. Um
zu überprüfen, ob
das in dem Datenschutzmodul dekodierte Dokument ordnungsgemäß bereitgestellt
ist, wird das Überprüfungsdokument
in der Datenschutzeinheit anhand des bereitgestellten Dokuments
anhand einer wahrnehmbaren Information generiert. Das Überprüfungsdokument
wird ausgegeben, so dass anhand der eingebetteten wahrnehmbaren
Information festgestellt werden kann, dass das Dokument auf dem
Weg zwischen dem Datenschutzmodul und z.B. einem Benutzer nicht
manipuliert wurde.
-
Gemäß einer
weiteren Ausführungsform
der Erfindung wird überprüft, ob die
wahrnehmbare Information in dem Überprüfungsdokument
einer erwarteten wahrnehmbaren Information entspricht, und daraufhin
die Authentizität
des Überprüfungsdokuments abhängig von
dem Ergebnis des Überprüfens bestätigt.
-
Das Überprüfen kann
anhand des Überprüfungsdokuments
durchgeführt
werden, indem eine Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird,
um ein weiteres Überprüfungsdokument
zu erhalten. Dabei wird weiterhin überprüft, ob in dem weiteren Überprüfungsdokument
die wahrnehmbare Information einer erwarteten wahrnehmbaren Information
entspricht.
-
Vorzugsweise
kann die Vorlage mit einem unregelmäßigen Pixelmuster bereitgestellt
werden, wobei das Pixelmuster eine Anordnung von verschiedenen transparenten
Punkten aufweist, wobei das Überprüfungsdokument
in ein erstes Halbbild und in ein zweites Halbbild aufgeteilt wird,
wobei das erste Halbbild ein Muster aufweist, das dem Pixelmuster entspricht,
und das zweite Halbbild als Überprüfungsdokument
bereitgestellt wird.
-
Gemäß einer
Ausführungsform
der Erfindung kann das Überprüfen anhand
des Überprüfungsdokuments
durchgeführt
werden, indem die Vorlage mit einem transparenten Material ausgebildet
ist, das auf der Ausgabe des Überprüfungsdokuments
angeordnet wird, wobei als resultierendes weiteres Überprüfungsdokument
das Dokument und die wahrnehmbare Information erscheint.
-
Gemäß weiteren
Ausführungsformen
der Erfindung kann eine Zeitinformation bereitgestellt werden, wobei
die Authentizität
des Überprüfungsdokuments
abhängig
von der Zeitinformation geprüft
wird. Insbesondere kann die Zeitinformation abhängig vom Zeitpunkt des Generierens
des Überprüfungsdokuments bereitgestellt
werden, wobei die Authentizität des Überprüfungsdokuments
abhängig
von der Zeitinformation überprüft wird.
Vorzugsweise kann die Authentizität des Überprüfungsdokuments abhängig von
einem Vergleich der Zeitinformation einer bereitgestellten weiteren
Zeitinformation überprüft werden. Dadurch
ist es einem Benutzer möglich,
anhand einer Zeitinformation festzustellen, welche Übertragungszeit
das Überprüfungsdokument
von seiner Generierung bis zu seiner Ausgabe benötigt hat. Anhand der Zeitinformation
kann dann bestimmt werden, ob sich diese Zeit im Rahmen der üblichen Übertragungszeit
eines Dokuments zwischen dem Datenschutzmodul und einem weiteren
Gerät befindet
oder nicht. Dies kann insbesondere durch den Vergleich mit einer
bereitgestellten weiteren Zeitinformation erfolgen, die beispielsweise
eine auf einer Uhr des Benutzers abgelesene Uhrzeit sein kann. Ist
die daraus bestimmte Zeitdauer zwischen dem Generieren des Überprüfungsdokuments
und dessen Ausgabe zu groß,
kann der Benutzer die Authentizität des Überprüfungsdokuments anzweifeln bzw.
die Bestätigung
der Authentizität
des Überprüfungsdokuments verweigern.
-
Gemäß einem
weiteren Aspekt ist ein Verfahren zum Übermitteln eines Dokuments
von einem Sender an einen Empfänger
vorgesehen, wobei der Sender das Dokument gemäß einem Verfahren zum Überprüfen einer
sicheren Übermittlung
eines bereitgestellten Dokuments an ein Datenschutzmodul überprüft und das
geschützte
Dokument an den Empfänger übermittelt,
wobei der Empfänger
die Authentizität
des empfangenen geschützten
Dokuments gemäß einem
erfindungsgemäßen Verfahren zum
sicheren Überprüfen einer
Authentizität
eines empfangenen geschützten
Dokuments überprüft.
-
Gemäß einem
weiteren Aspekt ist eine Sendevorrichtung zum Überprüfen einer sicheren Übermittlung
eines Dokuments an ein Datenschutzmodul vorgesehen. Die Sendevorrichtung
umfasst ein Datenschutzmodul mit einer Datenschutzeinheit zum Schützen des
Dokuments und mit einer Ü berprüfungseinheit
zum Generieren eines Überprüfungsdokuments
anhand des bereitgestellten Dokuments und anhand einer wahrnehmbaren
Information. Die Sendevorrichtung umfasst weiterhin eine Benutzereinheit
mit einer Bereitstellungseinheit zum Bereitstellen des Dokuments,
mit einer Schnittstelle zum Übermitteln
des Dokuments eines Datenschutzmodul und zum Empfangen eines Überprüfungsdokuments
und mit einer Ausgabeeinheit zum Ausgeben des Überprüfungsdokuments.
-
Die
erfindungsgemäße Sendevorrichtung hat
den Vorteil, dass die Datenübertragung
auf Übertragungswegen
zwischen einer Benutzereinheit und einem sicheren Datenschutzmodul
anhand eines Überprüfungsdokuments überprüft werden
kann. Das Überprüfungsdokument
enthält
das ursprünglich bereitgestellte
Dokument sowie eine wahrnehmbare Information anhand derer ein Benutzer
feststellen kann, ob in dem Datenschutzmodul das bereitgestellte
Dokument in einem ordnungsgemäßen Zustand vorliegt.
-
Weiterhin
kann eine Datenübertragungseinheit
vorgesehen sein, um das geschützte
Dokument an eine Empfängervorrichtung
zu übermitteln.
-
Weiterhin
kann die Benutzereinheit eine Bestätigungseinheit umfassen, um
die Authentizität
des Überprüfungsdokuments
abhängig
von einem Ergebnis eines Überprüfens zu
bestätigen,
wobei beim Überprüfen festgestellt
wird, ob das Dokument unverändert
im Überprüfungsdokument
enthalten ist und ob die wahrnehmbare Information einer erwarteten
wahrnehmbaren Information entspricht.
-
Insbesondere
kann die Datenübertragungseinheit
mit der Bestätigungseinheit
verbunden sein, um das geschützte
Dokument an einen Empfänger zu übermitteln,
wenn die Authentizität
des Überprüfungsdokuments
an der Bestätigungseinheit
bestätigt wurde.
-
Gemäß einer
Ausführungsform
der Erfindung ist die Datenschutzeinheit gestaltet, um das Dokument
zu schützen,
indem das Dokument signiert und/oder verschlüsselt wird.
-
Ferner
kann eine Vorlage vorgesehen sein, mit der das ausgegebene Überprüfungsdokument verknüpfbar ist,
um ein weiteres Überprüfungsdokument
zu erhalten. Mit Hilfe der Bestätigungseinheit
ist die Authentizität
des Überprüfungsdokuments
bestätigbar,
indem bei dem Überprüfen festgestellt
wird, ob in dem weiteren Überprüfungsdokument
das Dokument unverändert
enthalten ist und ob die wahrnehmbare Information einer erwarteten
wahrnehmbaren Information entspricht.
-
Vorzugsweise
ist die Vorlage als ein unregelmäßiges Pixelmuster
vorgesehen, wobei das Pixelmuster eine Anordnung von verschiedenen
transparenten und nicht-transparenten Punkten aufweist, wobei die Überprüfungseinheit
so gestaltet ist, dass das Überprüfungsdokument
in ein erstes Halbbild und ein zweites Halbbild aufgeteilt wird,
wobei das erste Halbbild dem Pixelmuster entspricht und das zweite
Halbbild als Überprüfungsdokument
bereitgestellt wird.
-
Gemäß einer
weiteren Ausführungsform
der Erfindung ist eine Zeitangabeeinheit vorgesehen, die die Zeitinformation
abhängig
von einem Zeitpunkt des Generierens des Überprüfungsdokuments in der Überprüfungseinheit
bereitstellt. Insbesondere kann eine weitere Zeitangabeeinheit vorgesehen
sein, um eine weitere Zeitinformation bereitzustellen, um die Authentizität des Überprüfungsdokuments
abhängig von
einem Vergleich der Zeitinformation und einer weiteren Zeitinformation
zu bestätigen.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung ist eine Empfangsvorrichtung
zum sicheren Überprüfen einer
Authentizität
eines empfangenen geschützten
Elementes vorgesehen. Die Empfangsvorrichtung umfasst ein Datenschutzmodul mit
einer Datenschutzeinheit zum Dekodieren des Dokuments und mit einer Überprüfungseinheit,
um ein Überprüfungsdokument
anhand des dekodierten Dokuments und anhand einer wahrnehmbaren
Information zu generieren. Es ist ferner eine Benutzereinheit mit
einer Empfangseinheit zum Empfangen des geschützten Dokuments und mit einer
Ausgabeeinheit für
eine wahrnehmbare Ausgabe des Überprüfungsdokuments
vorgesehen. Die erfindungsgemäße Empfangsvorrichtung
sorgt dafür,
dass der Weg zwischen der Benutzereinrichtung und dem Datenschutzmodul
gesichert werden kann, indem mit Hilfe des ausgegebenen Überprüfungsdokumentes
der Empfänger
des übertragenen
Dokuments feststellen kann, ob eine Manipulation auf dem Weg zwischen dem
Datenschutzmodul und der Benutzereinheit in der Empfangsvorrichtung
aufgetreten ist.
-
Vorzugsweise
kann die Benutzereinheit eine Bestätigungseinheit aufweisen, um
die Authentizität des Überprüfungsdokuments
abhängig
von einem Ergebnis eines Überprüfens zu
bestätigen,
wobei bei dem Überprüfen festgestellt
wird, ob die wahrnehmbare Information in dem Überprüfungsdokument einer erwarteten
wahrnehmbaren Information entspricht. Abhängig von der Bestätigung an
der Bestätigungseinheit
kann dann das empfangene Dokument verworfen oder in sonstiger Weise
in der Benutzereinheit bereitgestellt werden.
-
Gemäß einer
weiteren Ausführungsform
der Erfindung ist eine Vorlage vorgesehen, um das Überprüfen des Überprüfungsdokuments
durchzuführen, indem
die Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird,
um ein weiteres Überprüfungsdokument
zu erhalten, wobei im ordnungsgemäßen Fall die wahrnehmbare Information einer
erwarteten wahrnehmbaren Information entspricht.
-
Vorzugsweise
wird die Vorlage mit einem unregelmäßigen Pixelmuster vorgesehen,
wobei das Pixelmuster eine Anordnung von verschiedenen transparenten
Punkten aufweist, wobei die Überprüfungseinheit
gestaltet ist, um das Überprüfungsdokument
in ein erstes Halbbild und zweites Halbbild aufzuteilen, wobei das
erste Halbbild ein Muster aufweist, das dem Pixelmuster entspricht,
und wobei das zweite Halbbild als Überprüfungsdokument bereitgestellt
wird.
-
Gemäß einer
Ausführungsform
der Erfindung kann die Ausgabeeinheit vorgesehen sein, um eine Zeitinformation
insbesondere abhängig
von einem Zeitpunkt des Generierens des Überprüfungsdokuments in der Überprüfungseinheit
bereitzustellen. Insbesondere kann eine weitere Zeitangabeeinheit
vorgesehen sein, um eine weitere Zeitinformation bereitzustellen,
um die Authentizität
des Überprüfungsdokuments
abhängig
von einem Vergleich der Zeitinformation und der weiteren Zeitinformation
zu bestätigen.
-
Gemäß einer
weiteren Ausführungsform
der Erfindung kann die Datenschutzeinheit eine Designiereinheit
zum Bestätigen
der Authentizität
des Dokuments und/oder eine Entschlüsselungseinheit aufweisen.
-
Bevorzugte
Ausführungsformen
der Erfindung werden nachfolgend anhand der beigefügten Zeichnungen
ausführlich
erörtert.
-
In
der einzigen Figur ist ein Übertragungssystem 1 zum
sicheren Übertragen
eines Dokuments dargestellt. Das Übertragungssystem 1 umfasst
eine Sendevorrichtung 2 und eine Empfängervorrichtung 3 wobei
ein Dokument von der Sendevorrichtung 2 an die Empfängervorrichtung 3 übertragen
werden soll.
-
Ein
Dokument in diesem Kontext kann beispielsweise ein Textdokument,
ein Bilddokument oder ein sonstiges graphisch darstellbares Dokument sein.
Ein Dokument kann weiterhin auch eine Bildfolge, wie beispielsweise
ein Video eine Animation und dergleichen, oder eine akustische Klangfolge
sein, wie beispielsweise eine Aufnahme von gesprochenen Text. Im
folgenden wird das Dokument als grafisch darstellbares Dokument
ansehen. Die nachfolgend beschriebenen Ausführungsformen kön nen jedoch
analog auch mit akustisch ausgebbaren Dokumenten gebildet werden.
-
Die
Sendevorrichtung 2 umfasst als eine Benutzereinheit einen
herkömmlichen
Personalcomputer 4, nachfolgend auch Sendecomputer genannt. Die
Benutzereinheit kann im wesentlichen auch als sonstiges beliebiges
Gerät ausgebildet
sein, das frei programmierbar ist und das daher unsicher ist. Der Sendecomputer 4 umfasst
eine Anzeigeeinheit 5 und eine Eingabeeinheit 6,
um Dokumente zu erstellen bzw. zu bearbeiten. Um ein auf dem Sendecomputer 4 bereitgestelltes
bzw. erstelltes Dokument an die Empfängervorrichtung 3 auf
sichere Weise senden zu können,
ist der Sendecomputer 4 mit einem ersten Datenschutzmodul 10,
das als Hardwaremodul ausgeführt
ist oder das als weiterer Netzwerkcomputer in einem lokalen Netzwerk
vorgesehen ist, verbunden. In einer alternativen Ausführungsform
wird in dem Sendecomputer 4 wird ein zertifiziertes Softwareprogramm
betrieben, dem das bereitgestellte Dokument zur Verfügung gestellt
wird, um dieses in vorbestimmter Weise zu schützen. Das erste Datenschutzmodul 10 generiert
aus dem Dokument ein geschütztes
Dokument, das an die Empfängervorrichtung übertragen
wird.
-
Der
Sendecomputer 4 weist weiterhin eine erste Übertragungsschnittstelle 11 auf, über die
das geschützte
Dokument an die Empfängervorrichtung übertragen
wird. Die Übertragung
kann beispielsweise über
eine beliebige Datenverbindung zum Beispiel über das Internet oder eine
sonstige Netzwerkverbindung erfolgen. Obwohl im dargestellten Beispiel
die erste Übertragungsschnittstelle 11 als
Teil des Sendecomputers 4 vorgesehen ist, kann die Übertragungsschnittstelle 11 alternativ
auch in dem ersten Datenschutzmodul 10 vorgesehen sein.
Ferner ist es selbstverständlich
auch möglich
die Übertragung durch
ein sonstiges Mittel durchzuführen,
wie z.B. mit einem Kurier, per Post, wobei das geschützte Dokument
auf einem beliebigen Datenträger
gespeichert oder aufgezeichnet sein kann.
-
Das
erste Datenschutzmodul 10 umfasst eine erste Datenschutzeinheit 13,
die ein über
eine erste Datenschnittstelle 15 des Sendecomputers 4 an
das erste Datenschutzmodul 10 bereitgestelltes Dokument
schützt
und als geschütztes
Dokument bereitstellt. Weiterhin umfasst die erste Datenschutzeinheit 10 eine Überprüfungseinheit 14,
mit deren Hilfe ein Überprüfungsdokument
generiert wird, das an den Sendecomputer 4 übermittelt
wird.
-
Auf
gleiche Weise umfasst die Empfängervorrichtung 3 einen
Personalcomputer 7, der nachfolgend Empfängercomputer
genannt wird, mit einer entsprechenden Anzeigeeinheit 8 (z.B.
einem Bildschirm) und einer Eingabeeinheit 9 (z.B. eine
Tastatur). Der Empfängercomputer 7 weist
eine zweite Übertragungsschnittstelle 18 auf, über die
der Empfängercomputer 7 mit
dem Sendecomputer 4 in Verbindung steht. Über die
zweite Übertragungsschnittstelle 18 wird
von dem Sendecomputer 4 das geschützte Dokument empfangen, das über eine
zweite Datenschnittstelle 19 an eine zweite mit dem Empfängercomputer
verbundene Datenschutzmodul 20 weitergeleitet wird. Das
zweite Datenschutzmodul 20 kann auf gleiche Weise wie das
erste Datenschutzmodul 10 oder auf andere Weise realisiert
sein. Im gezeigten Ausführungsbeispiel
weist das zweite Datenschutzmodul 20 eine zweite Datenschutzeinheit 21 auf,
die das geschützte
Dokument in geeigneter Weise dekodiert, um ein lesbares d.h. grafisch
anzeigbares (oder über
eine entsprechende Lautsprecherausgabe hörbares) Dokument bereitzustellen. Weiterhin
weist das zweite Datenschutzmodul 20 eine zweite Überprüfungseinheit 22 auf,
um ein Überprüfungsdokument
zu erzeugen, das über
die zweite Datenschnittstelle 19 an den Empfängercomputer 7 übermittelt
wird.
-
Die
erste Datenschutzeinheit 13 in dem ersten Datenschutzmodul 10 ist
vorzugsweise als Verschlüsselungs-
und Signiereinheit ausgestaltet. Dabei wird das Dokument entsprechend
einem sicheren Verschlüsselungsverfahren
verschlüsselt
und/oder signiert, d.h. mit einer Signatur versehen, die den Absender
eindeutig kennzeichnet. Die zweite Datenschutzeinheit 21 ist
entsprechend gestaltet, um das geschützte d.h. verschlüsselte und
signierte Dokument zu empfangen und anhand einer vorliegenden Signatur
das geschützte
(signierte) Dokument zu entschlüsseln,
um die Authentizität
des Dokumentes anhand der Signatur zu bestätigen.
-
Damit
ist eine sichere Übertragung
von Dokumenten in beide Übertragungsrichtungen
möglich ist,
sind sowohl die erste als auch das zweite Datenschutzmodul 10, 20 gleichartig
aufgebaut, d.h. die erste und die zweite Datenschutzeinheit 13, 21 können sowohl
verschlüsseln
bzw. signieren sowie entschlüsseln
bzw. die Authentizität
bestätigen.
-
Während im
Folgenden angenommen wird, dass nach dem Verschlüsseln und/oder Signieren des
Dokuments das Dokument in sicherer Weise an den Empfängercomputer übertragen
werden kann, ist jedoch nicht gewährleistet, dass auf dem Weg
von dem Sendercomputer 4 zum ersten Datenschutzmodul 10 das
bereitgestellte Dokument nicht manipuliert wird. Auf ähnliche
Weise ist es zwar wahrscheinlich, dass das geschützte Dokument in dem zweiten
Datenschutzmodul 10 auf sichere Weise eintrifft, jedoch ist
nicht gewährleistet,
dass das dekodierte Dokument in dem Empfängercomputer 7 bzw.
dessen Anzeigeeinheit 8 nicht manipuliert wird, so dass
der Empfänger
zwar ein ordnungsgemäßes Dokument erhält, dieses
Dokument jedoch auf dem Empfängercomputer 7 verändert wird.
-
Im
Folgenden wird ein Verfahren zur sicheren Übertragung des in dem Sendecomputer 4 bereitgestellten
Dokuments in das erste Datenschutzmodul 10 beschrieben.
Zunächst
wird das bereitgestellte Dokument über die erste Datenschnittstelle 15 an das
erste Datenschutzmodul 10 übertragen. Dort wird das bereitgestellte
Dokument in der ersten Überprüfungseinheit 14 mit
einem visuellen Symbol, z.B. einem Wasserzeichen, einem Icon, einer
Animation oder einem sonstigen visuellen Muster, versehen, das als Überprüfungsdokument
an den Sendecomputer 4 zurückgeschickt wird. Das Überprüfungsdokument
wird auf der Anzeigeeinheit 5 des Sendecomputers 4 ausgegeben,
sodass der Benutzer des Sendecomputers 4 oder eine sonstige
geeignete technische Vorrichtung überprüfen kann, ob der Inhalt des Überprüfungsdokumentes
dem ursprünglich
bereitgestellten Dokument entspricht und ob das eingebettete Symbol
einem erwarteten Symbol entspricht. Entspricht das Symbol dem erwarteten
Symbol, so kann der Benutzer eine geeignete Bestätigung entweder am Sendecomputer 4 oder
an dem ersten Datenschutzmodul 10 vornehmen oder durch
eine sonstige Maßnahme
beispielsweise einen Telefonanruf beim Empfänger tätigen oder über eine sonstige separate
Signalleitung die Korrektheit des in dem ersten Datenschutzmodul 10 vorliegenden
Dokuments dem Empfänger
bestätigen.
Auf gleichen Wegen kann der Benutzer des Sendecomputers oder die entsprechende
technische Vorrichtung auch eine Abweichung zwischen dem Symbol
und dem erwarteten Symbol in dem Überprüfungsdokument signalisieren.
-
Im
Falle eines Audiodokuments wird dem Benutzer als Überprüfungsdokument
eine Klangfolge vorgespielt, die die ursprüngliche Klangfolge des Dokuments
und eine überlagerte Überprüfungsklangfolge
enthält,
die dem Benutzer bekannt ist.
-
Die
erste Datenschutzeinheit 10 kann weiterhin einen Speicher 16 aufweisen,
um verschiedene Symbole, insbesondere Wasserzeichen, Icons oder Animationen,
zu speichern, so dass bei mehreren übertragenen Dokumenten verschiedene
Symbole bzw. verwendet werden. Anhand einer dem Benutzer vorliegenden
Liste kann dieser dann überprüfen, ob das
jeweilige in dem Überprüfungsdokument
eingebettete Symbol dem zu erwartenden Symbol gemäß der Liste
entspricht. Auf diese Weise wird verhindert, dass ein Schadprogramm,
das ohne Wissen des Benutzers in dem Sendecomputer 4 installiert
ist, anhand von mehreren Überprüfungsdokumenten
ein Symbol erkennt, dieses extrahiert und nach einer Manipulation
eines bereitgestellten Dokuments einem manipulierten Dokument hinzufügen kann.
-
Neben
dem Generieren des Überprüfungsdokumentes
kann die erste Datenschutzeinheit 13 das Schützen d.h.
das Verschlüsseln
und das Signieren des bereitgestellten Dokumentes durchführen und
dieses entweder sofort an den Empfängercomputer 7 übertragen
(wenn sie eine eigene Datenverbindung zu dem Empfängercomputer 7 hat)
oder nach einer Bestätigung
durch den Benutzer des Sendecomputers 4 an den Empfängercomputer 7 übertragen.
Wird das geschützte
Dokument ohne Bestätigung
an den Empfängercomputer übertragen,
so muss der Benutzer des Sendecomputers nachdem er eine Manipulation
des Dokuments festgestellt hat, dem Empfängercomputer bzw. dem Benutzer
des Empfängercomputers über die
Manipulation auf geeigneten Weg z.B. telefonisch oder ein sonstiges Kommunikationssystem
in geeigneter Weise benachrichtigen.
-
Der
Empfängercomputer 7 empfängt das
geschützte
Dokument und leitet dies in der Regel unmittelbar oder nach Wunsch
des Benutzers an die zweite Datenschutzeinheit 21 weiter.
Dort wird das Dokument dekodiert, d.h. entschlüsselt und/oder die Signatur
bezüglich
des geschützten
Dokumentes überprüft, um zu
bestätigen,
ob das Dokument ordnungsgemäß in dem
Sendecomputer 7 signiert worden ist. Das so dekodierte
Dokument wird nun in der zweiten Überprüfungseinheit 22 ebenso
wie mit Bezug auf die erste Überprüfungseinheit 14 beschrieben
mit einem Symbol versehen und an den Empfängercomputer 7 über die
zweite Datenschnittstelle 19 als Überprüfungsdokument weitergeleitet,
wo das Überprüfungsdokument
zunächst
dem Benutzer des Empfängercomputers 7 über die
entsprechende zweite Anzeigeeinheit 8 ausgegeben wird.
Der Benutzer des Empfängercomputers 7 überprüft das Symbol
des Überprüfungsdokumentes,
indem er dieses mit einem zu erwartenden Symbol vergleicht. Ebenso
wie zuvor mit Bezug auf die erste Datenschutzeinheit 10 beschrieben,
kann es sich um ein gleichbleibendes Symbol als auch eines aus einer
Liste von Symbolen handeln. Eine solche Liste von Symbolen kann
beispielsweise in einem zweiten Speicher 23 in dem zweiten
Datenschutzmodul 20 vorgesehen sein.
-
Der
Benutzer des Empfängercomputers 7 kann
somit anhand des Überprüfungsdokuments feststellen,
ob zwischen dem Empfängercomputer 7 und
dem zweiten Datenschutzmodul 20 eine Manipulation von Daten
auftritt.
-
Ein
Angreifer, der den unsicheren Kanal zwischen dem Benutzer und dem
Datenschutzmodul kontrolliert, könnte
versuchen, einen Angriff in dem Sendecomputer 4 oder dem
Empfängercomputer 7 durchzuführen. Beim
Sendecomputer 4 könnte
er versuchen, das Dokument zu manipulieren, bevor es das Datenschutzmodul 10 erreicht.
Damit würde
im Namen des Senders ein anderes Dokument signiert als vom Sender
gewünscht,
ohne dass dieser es erfährt.
In dem Empfängercomputer 7 könnte der
Angreifer mit Hilfe einer geeignete Software oder dergleichen versuchen,
das empfangene geschützte Dokument
zu manipulieren, bevor es dargestellt wird, und ungeachtet dessen,
was das zweite Datenschutzmodul 20 ausgibt, anzeigen, dass
die Signatur zu dem geschützten
Dokument gültig
ist. Wenn man annimmt, dass der Inhalt des übertragenen Dokuments dem Angreifer
bekannt ist, könnte
der Angreifer das Symbol, das von dem Datenschutzmodul an den jeweiligen
Computer zur Ausgabe geschickt wird, abfangen mit dem Dokument vergleichen
und versuchen, das Symbol zu erkennen. Dann könnte er sein eigenes Dokument
erzeugen und das Symbol einbetten, so dass es der Benutzer nicht
bemerkt, dass das Dokument manipuliert ist. Bei Verwendung von bewegten
Symbolen in Form von Animationen und dergleichen benötigt der
Angreifer jedoch einige Teilbilder, um mit der Analyse zur Extraktion
des entsprechenden Symbol zu starten. Da außerdem eine solche Animation
komplex ist, ist es für
ein Mustererkennungsverfahren, dem keine Vorabinformation über das
zu erwartende Muster vorgegeben ist, in Echtzeit nicht möglich, das
entsprechende Symbol aus dem Überprüfungsdokument
zu extrahieren. Ferner ist es sinnvoll, wie zuvor beschrieben, für jedes zu übertragende
Element verschiedene Symbole zu verwenden, so dass dem Angreifer
keine Möglichkeit gegeben
wird, durch Vergleich von mehreren Überprüfungsdokumenten zu dem Symbol
zu gelangen.
-
Als
weitere Sicherungsmaßnahme
kann vorgesehen sein, dass das erste Datenschutzmodul 10 eine
erste Zeitangabeeinheit 30 und/oder das zweite Datenschutzmodul 20 eine
zweite Zeitangabeeinheit 31 aufweisen. Die erste Zeitangabeeinheit 30 bestimmt
den Zeitpunkt, zudem die erste Überprüfungseinheit 14 das Überprüfungsdokument
generiert und gibt eine entsprechende erste Zeitangabe über den Sendecomputer 4 an
den Benutzer oder eine sonstige möglichst von dem Sendecomputer 4 unabhängige Einrichtung
aus. Der Benutzer kann nun mit Hilfe einer dritten von dem Sendecomputer 4 getrennten Zeitangabeeinheit 33,
z.B. eine auf die erste Zeitangabeeinheit des ersten Datenschutzmoduls 10 synchronisierte
Armbanduhr, einen Vergleich einer weiteren Zeitangabe der Armbanduhr
und der von dem Datenschutzmodul 10 gelieferten Zeitangabe
vornehmen. Stellt der Benutzer anhand der ersten Zeitangabe fest,
dass die Zeitdauer zwischen dem Bereitstellen des Überprüfungsdokuments
in dem ersten Datenschutzmodul 10 und der Ausgabe des Überprüfungsdokuments
auf dem Sendecomputer 4 einen bestimmten Grenzwert übersteigt,
kann der Benutzer mit einiger Sicherheit annehmen, dass eine Manipulation
des Überprüfungsdokuments
auf dem Weg zwischen dem ersten Datenschutzmodul 10 und der
entsprechenden Anzeigeeinheit 5 vorgenommen worden ist.
Beispielsweise kann eine solche Zeitdauer eine Sekunde betragen,
während
der es mit heutiger Technik nicht möglich ist, aus einem Überprüfungsdokument
ein entsprechendes Wasserzeichen oder Symbol zu extrahieren und
einem anderen, zuvor manipulierten Dokument hinzuzufügen.
-
Die
Zeitangaben können
unverschlüsselt oder
in einer entsprechenden dem Sender bekannten Weise kodiert bereitgestellt
werden. Beispielsweise kann dafür
der Benutzer des Sendecomputers mit einem entsprechenden Codeschlüsselgerät ausgestattet
sein, das abhängig
von der aktuellen Uhrzeit einen bestimmten Zahlencode bereitstellt.
Beim Vergleich eines entsprechenden von dem Zeitpunkt des Generierens
des Überprüfungsdokuments
abhängigen
Zahlencodes, der von der entspre chenden Zeitangabeeinheit des Datenschutzmoduls
bereitgestellt wird, und dem Zahlencode, der dem Benutzer von der
entsprechenden Codeschlüsseleinheit
bereitgestellt wird, kann der Benutzer auf die Zeitdauer zwischen
dem Generieren des Überprüfungsdokumentes
und der Ausgabe des Überprüfungsdokumentes bestimmen
bzw. bestimmen, ob diese Zeitdauer angemessen oder zu groß ist.
-
Das
oben beschriebene Verfahren kann mit Hilfe der zweiten Zeitangabeeinheit 31 in
der zweiten Datenschutzeinheit 20 auch auf Seite des Empfängercomputers 7 vorgesehen
sein.
-
In
einer weiteren Variante der Erfindung kann in einer Überprüfungseinheit
der entsprechenden Datenschutzmodule 10, 20 das
bereitgestellte Dokument nicht nur mit dem entsprechenden Symbol
versehen werden, sondern weiterhin das mit dem Symbol versehene
Dokument in ein erstes und ein zweites Halbbild aufgeteilt werden,
aus denen sich jeweils das mit dem Symbol versehene Dokument nicht mehr
erkennen lässt.
Das erste Halbbild entspricht einer zufälligen Pixelanordnung mit weißen und schwarzen
Pixeln, die beim Betrachten den Eindruck einer grauen Fläche vermittelt.
Das erste Halbbild ist dem Benutzer anhand einer Vorlage z.B. als
transparente Folie mit transparenten (weißen) und nicht transparenten
(schwarzen) Pixeln zur Verfügung
gestellt. Das als erstes Halbbild bereitgestellte Pixelmuster wird
aus dem mit dem Symbol versehenen Dokument mit Hilfe einer ersten
Verknüpfung
herausgerechnet und das so erhaltene zweite Halbbild als Überprüfungsdokument
dem Benutzer zur Verfügung gestellt.
Das zweite Halbbild zeigt dann in der Regel ebenfalls keine wiedererkennbare
Struktur und ist ohne die dem Benutzer bereitgestellte Vorlage nicht zu
dekodieren. Das zweite Halbbild wird ermittelt, indem das mit dem
Symbol versehene Dokument mit dem ersten Halbbild verknüpft wird,
so dass bei Anwendung einer geeigneten zweiten (Umkehr-) Verknüpfung (Veroderung)
zwischen dem ersten und zweiten Halbbild das Dokument wiederherstellbar
ist. Insbesondere wird bei mehreren Möglichkeiten, das zweite Halbbild
gemäß der ersten
Verknüpfung
zu generieren, ein Pixelmuster so gewählt, dass es keine erkennbare
Struktur zeigt.
-
Die
Vorlage, die dem Benutzer zur Verfügung gestellt ist, kann beispielsweise
als bedruckte transparente Folie 35, 36 vorgesehen
sein, die das erste Halbbild als Pixelmuster enthält. Diese
Folie kann entweder auf eine Bildschirmanzeige des zweiten Halbbildes
oder auf einen Ausdruck des zweiten Halbbildes (gleiche Größen vorausgesetzt)
gelegt werden, wodurch das ursprüngliche
Dokument und das darin enthaltene Symbol erkennbar sind. Im wesentlichen
werden bei dieser Vorgehensweise das erste und das zweite Halbbild
miteinander Pixel für Pixel
miteinander verodert. Auch andere Verfahren sind denkbar das Pixelmuster
mit der Ausgabe des Überprüfungsdokumentes
zu verknüpfen,
z.B. durch Projektion des Pixelmusters der Vorlage auf eine Darstellung
des Überprüfungsdokuments
und dergleichen.
-
Ein
solches Überprüfungsverfahren
kann unabhängig
von dem Ort der Überprüfungseinheit durchgeführt werden.
Die Überprüfungseinheit
des jeweiligen Datenschutzmoduls kann auch so gestaltet sein, dass
abhängig
von einem Wunsch des Benutzers, z.B. abhängig von einer entsprechenden vorgegebenen
Sicherheitsstufe, entweder als Überprüfungsdokument
das lediglich mit dem Symbol versehene Dokument oder das Überprüfungsdokument, das
lediglich das zweite Halbbild des wie oben beschrieben zerlegten
mit dem Symbol versehenen Dokument enthält, zur Ausgabe an den entsprechenden Computer 4, 7 zurückgesendet
wird. Im letzteren Fall kann der Benutzer mit Hilfe einer entsprechenden Vorlage,
z.B. der Folie, das Ursprungsdokuments und das eingebettete Symbol
erkennbar machen.
-
Das
Verfahren der Zerlegung des Überprüfungsdokumentes
in Halbbilder, um das Überprüfungsdokument
zu erzeugen, kann auch mit mehreren verschiedenen Pixelmustern vorgesehen
sein, die in den Speichern 16, 23 der Datenschutzmodule vorgesehen sind.
Eines der in dem jeweiligen Speicher bereitgestellten Pixelmuster
wird dabei entsprechend einem Schema ausgewählt (wechselweise, der Reihe
nach usw.) mit dem entsprechenden Dokument verknüpft, um das Überprüfungsdokument
zu erzeugen. Anhand eines Vorlagensatzes weiß der Benutzer des jeweiligen
Computers 4, 7, welche Vorlage (Folie mit Pixelmuster)
zur Wiederherstellung des Überprüfungsdokumentes
verwendet werden muss. Bei Verwendung des Vorlagensatzes mit verschiedenen
Halbbildern kann die Sicherheit noch weiter erhöht werden, da es einem potentiellen
Angreifer nicht möglich
ist, das entsprechende Halbbild bzw. das Pixelmuster der Vorlage
durch die Analyse mehrerer derart geschützter Dokumente zu ermitteln. Das
zuvor beschriebene Verfahren der Zerlegung des Überprüfungsdokumentes in zwei Halbbilder
und das Wiederherstellen des Überprüfungsdokument mit
einer oder einer von mehreren Vorlagen kann sowohl nur in einem
der Vorrichtungen 2,3 als auch in beiden der Vorrichtungen 2,3 verwendet
werden Ein solches Verfahren lässt
sich auch mit den bezüglich der
ersten Ausführungsform
beschriebenen Merkmalen in beliebiger Weise kombinieren, insbesondere lässt es sich
mit dem Verfahren zur Überprüfung der ordnungsgemäßen Übertragung
des Überprüfungsdokuments
zwischen der entsprechenden Datenschutzeinheit und dem entsprechenden
Computer mit Hilfe des Zeitvergleichs kombinieren.