DE102009009276A1 - Verfahren zum Missbrauchsschutz von Adressendateien - Google Patents

Verfahren zum Missbrauchsschutz von Adressendateien Download PDF

Info

Publication number
DE102009009276A1
DE102009009276A1 DE102009009276A DE102009009276A DE102009009276A1 DE 102009009276 A1 DE102009009276 A1 DE 102009009276A1 DE 102009009276 A DE102009009276 A DE 102009009276A DE 102009009276 A DE102009009276 A DE 102009009276A DE 102009009276 A1 DE102009009276 A1 DE 102009009276A1
Authority
DE
Germany
Prior art keywords
address
destination
file
data carrier
addressee
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102009009276A
Other languages
English (en)
Inventor
Wolfgang Dipl.-Math. Hüffer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AZ Direct GmbH
Original Assignee
AZ Direct GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AZ Direct GmbH filed Critical AZ Direct GmbH
Priority to DE102009009276A priority Critical patent/DE102009009276A1/de
Publication of DE102009009276A1 publication Critical patent/DE102009009276A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Abstract

Verfahren zum Missbrauchsschutz von Adressendateien (12), die auf maschinenlesbaren Datenträgern (10, 22) gespeichert sind und jeweils Adressdaten für eine Anzahl verschiedener Adressaten enthalten, dadurch gekennzeichnet, dass in in einer Adressendatei (12) auf einem ersten maschinenlesbaren Datenträger (10) für jeden Adressaten anstelle seiner Adresse nur eine verschlüsselte Zielortkennung (18) gespeichert wird und dass auf einem von dem ersten Datenträger (10) getrennten zweiten maschinenlesbaren Datenträger (22) eine Zielortdatei (20) unterhalten wird, die jeder Zielortkennung (18) eine Adresse (26) zuordnet.

Description

  • Die Erfindung betrifft ein Verfahren zum Mißbrauchsschutz von Adressendateien, die auf maschinenlesbaren Datenträgern gespeichert sind und jeweils Adressdaten für eine Anzahl verschiedener Adressaten enthalten.
  • Durch die Verwendung von elektronisch auf Datenträgern wie DVDs, Festplatten, USB-Speichersticks und dergleichen gespeicherten Adressendateien werden zahlreiche administrative Vorgänge in der Wirtschaft und in der öffentlichen Verwaltung erheblich vereinfacht, beispielsweise die Versendung von Rundschreiben, die Auftragsbearbeitung und dergleichen. Insbesondere bieten die elektronischen Speichermedien den Vorteil, daß sich die Adressen einer Vielzahl von Personen oder Unternehmen, zumeist in Verbindung mit anderen Informationen über die betreffenden Personen und Unternehmen, in kompakter Form speichern lassen und sich außerdem leicht kopieren und über elektronische Netzwerke übermitteln lassen, so daß sie den Sachbearbeitern, die die Adressendaten benötigen, leicht zugänglich gemacht werden können. Die leichte Kopierbarkeit und Übertragbarkeit der Daten und die Kompaktheit der Datenträger erhöht jedoch auch die Gefahr des Diebstahls oder des unautorisierten Kopierens der Daten und damit des Datenmißbrauchs.
  • Aufgabe der Erfindung ist es, ein Verfahren anzugeben, das es erlaubt, Adressendaten besser gegen Mißbrauch zu schützen.
  • Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß in einer Adressendatei auf einem ersten maschinenlesbaren Datenträger für jeden Adressaten anstelle seiner Adresse nur eine verschlüsselte Zielortkennung gespeichert wird und daß auf einem von dem ersten Datenträger getrennten zweiten maschinenlesbaren Datenträger eine Zielortdatei unterhalten wird, die jeder Zielortkennung eine Adresse zuordnet.
  • Unter Zielorten sind in diesem Zusammenhang geographische Orte zu verstehen, die normalerweise durch eine Adresse gekennzeichnet werden, also beispielsweise Grundstücke und Gebäude. Durch die Zielortkennungen werden die in Betracht kommenden Zielorte in eindeutiger Weise identifiziert. Die Zielortkennungen sind jedoch insofern verschlüsselt, als die Kennung selbst es ohne Zuhilfenahme zusätzlicher Informationen nicht erlaubt, den Zielort aufzusuchen oder die Adresse des betreffenden Adressaten zu rekonstruieren. Dazu bedarf es vielmehr des Zugriffs auf die Zielortdatei, die jedoch getrennt von der eigentlichen Adressendatei gespeichert ist.
  • Wenn eine Adressendatei, auf die in einem Unternehmen oder einer Behörde zumeist eine relativ große Anzahl von Personen Zugriff haben muß, gestohlen oder unerlaubt kopiert wird, so ist der Dieb oder Raubkopierer nicht in der Lage, die Adresseninformation für seine Zwecke auszuwerten, da ihm dazu die getrennt gespeicherte Zielortdatei fehlt. Umgekehrt enthält die Zielortdatei zwar die Zielortkennungen und die zugehörigen Adressen, doch enthält sie keine Information über die Personen oder Firmen oder sonstigen Adressaten, die unter dieser Adresse zu erreichen sind (als ”Adresse” soll hier nur die Information verstanden werden, die zum Aufsuchen des Zielortes benötigt wird, also beispielsweise Ort, Straße und Hausnummer oder auch GPS-Koordinaten, während der Name des Adressaten nicht als Bestandteil dieser ”Adresse” betrachtet werden soll).
  • Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.
  • Die Zielortdatei kann von einem Dienstleistungsunternehmen erstellt und mehreren Benutzern (Unternehmen, Behörden, etc.) zur Verfügung gestellt werden, wobei vorzugsweise für jeden Benutzer ein anderes Verschlüsselungssystem zur Verschlüsselung der Zielortkennungen verwendet wird. Dadurch ist sichergestellt, daß die Adressendatei eines Benutzers auch für andere Benutzer desselben Verfahrens wertlos ist, da diese die Zielortkennungen nicht entschlüsseln können.
  • Die Zielortdatei kann den jeweiligen Benutzern auf einem geeigneten Datenträger, z. B. einer DVD, zur Verfügung gestellt werden, ggf. zusammen mit einer geeigneten Abfragesoftware.
  • In einer anderen Ausführungsform wird die Zielortdatei vom Anbieter auf einem Server bereitgehalten, und die Benutzer können online auf diese Datei zugreifen, wobei sie allerdings ihre Zugriffsberechtigung durch Eingabe eines Paßwortes oder mit Hilfe einer Signaturkarte oder durch sonstige Mittel nachweisen müssen.
  • Auf Seiten des Benutzers braucht der Zugriff auf die Adressendateien nicht besonders beschränkt zu werden, da diese Dateien keine vollständigen Adressen sondern nur die nicht ohne weiteres entschlüselbaren Zielortkennungen enthalten. Auf die Zielortdatei braucht hingegen nur der im allgemeinen relativ kleine Kreis derjenigen Mitarbeiter Zugriff zu haben, die in irgendeiner Form in Kontakt mit der Außenwelt treten und dazu die Adressen in Klarschrift benötigen, beispielsweise Mitarbeiter in Postausgangsstellen, Versandabteilungen und dergleichen. Nur diesen Mitarbeitern braucht deshalb ein Datenträger mit der Zielortdatei bzw. ein Paßwort für den online-Zugriff auf diese Datei zur Verfügung gestellt zu werden.
  • Um die Datensicherheit weiter zu erhöhen, kann auch für den berechtigten Personenkreis der Zugriff auf die Zielortdatei noch zusätzlichen Beschränkungen unterliegen. Beispielsweise kann die Anzahl der pro Tag erlaubten Abfragen begrenzt werden, um zu verhindern, daß ein untreuer Mitarbeiter systematisch die Klaradressen sämtlicher Adressaten abfragt, die in der Adressendatei gespeichert sind.
  • Wenn eine Adressendatei erstellt oder um neue Einträge ergänzt werden soll, ist ebenfalls ein Zugriff auf die Zielortdatei erforderlich, damit die entsprechenden Zielortkennungen in die Adressendatei eingetragen werden können. Diese Zugriffe lassen sich auf diejenigen Personen beschränken, die mit der Pflege der Adressendateien befaßt sind. Dabei ist nicht für jeden neuen Eintrag in die Adressendatei ein gesonderter Zugriff auf die Zielortdatei erforderlich, sondern es ist beispielsweise auch ein Batch-Betrieb denkbar, bei dem für eine größere Anzahl von neuen Adressaten, beispielsweise für alle Adressaten, die im Laufe eines Tages in die Adressendatei aufgenommen werden, zunächst die Klaradressen auf einem vorzugsweise flüchtigen Speichermedium gespeichert werden und dann mit einem einzigen Zugriff auf die Zielortdatei sämtliche Klaradressen durch die entsprechenden Zielortkennungen ersetzt und nichtflüchtig auf dem Datenträger gespeichert werden. Im Fall einer externen Zielortdatei kann dieser Zugriff beispielsweise des Nachts über eine sichere Datenverbindung und einen sFTP-Server erfolgen.
  • Im folgenden werden Ausführungsbeispiele der Erfindung anhand der Zeichnungen näher erläutert.
  • Es zeigen:
  • 1 ein Blockdiagramm eines Speichersystems, das zur Durchführung des erfindungsgemäßen Verfahrens geeignet ist;
  • 2 ein Beispiel einer Eingabemaske für die Neuaufnahme eines Adressaten in eine Adressendatei;
  • 3 ein Flußdiagramm eines Verfahrens zur Aktualisierung der Adressendatei;
  • 4 ein Beispiel einer Eingabemaske für den Abruf einer Klaradresse;
  • 5 ein Flußdiagramm eines Verfahrens zum Abruf der Klaradresse;
  • 6 ein Blockdiagramm eines Systems zur Adressierung von Versandgütern; und
  • 7 ein Blockdiagramm eines Zustellsystems, das auf dem erfindungsgemäßen Verfahren basiert.
  • 1 zeigt schematisch einen ersten maschinenlesbaren Datenträger 10, beispielsweise eine Festplatte eine Arbeitsplatzrechners oder eines Servers in einem lokalen Datennetzwerk (LAN) eines Unternehmens oder einer Behörde, die das erfindungsgemäße Verfahren benutzt (im folgenden als ”Benutzer” bezeichnet). Auf diesem Datenträger 10 ist mindestens eine Adressendatei 12 des Benutzers abgelegt. Die Adressendatei 12 umfaßt mehrere Datensätze 14. Der Mindestinhalt eines solchen Datensatzes ist in 1 wiedergegeben und umfaßt eine Adressatenkennung 16 und eine Zielortkennung 18.
  • Die Adressatenkennung 16 dient zur eindeutigen Identifizierung des betreffenden Adressaten und kann beispielsweise durch den Namen des Adressaten gebildet werden. Die Zielortkennung 18 dient zur eindeutigen Identifizierung des Zielortes, beispielsweise der Wohnung oder des Geschäftssitzes, an dem der betreffende Adressat zu erreichen ist. Anders als bei herkömmlichen Adressendateien besteht diese Zielortkennung jedoch nicht aus der Klaradresse, die durch Ort, Straße und Hausnummer gebildet wird, sondern aus einem verschlüsselten Code, beispielsweise einer Ziffernfolge, die diesem Zielort eindeutig zugeordnet ist, diesen jedoch nicht unmittelbar erkennen läßt.
  • Um die vollständige Adresse des betreffenden Adressaten zu rekonstruieren, wird deshalb eine weitere Datei, eine sogenannte Zielortdatei 20 benötigt, die jedoch nicht auf dem Datenträger 10 gespeichert ist, sondern vielmehr auf einem davon getrennten maschinenlesbaren Datenträger 22.
  • Die Zielortdatei 20 umfaßt eine Vielzahl von Datensätzen 24 für eine Auswahl von möglichen Zielorten, beispielsweise für alle Gebäude eines Ortes, einer bestimmten Region oder eines Landes. Jeder Zielort wird in der Zielortdatei 20 durch einen einzelnen Datensatz 24 repräsentiert, der eine umkehrbar eindeutige Zuordnung zwischen der Zielortkennung 18 und der Klaradresse 26 des betreffenden Zielortes herstellt, beispielsweise der postalischen Adresse, die es erlaubt, das betreffende Gebäude aufzusuchen. Im gezeigten Beispiel enthält jeder Datensatz 24 zusätzlich noch die geographischen Koordinaten 28 des Zielortes, die beispielsweise in ein Navigationssystem eingegeben werden können, um den Zielort aufzusuchen.
  • In der Praxis wird die Zielortdatei 20 nicht nur diejenigen Zielortkennungen enthalten, die auch in der speziellen Adressendatei 12 auftreten, sondern mindestens die Zielortkennungen sämtlicher Adressendateien des betreffenden Benutzers oder, benutzerunabhängig, die Zielortkennungen und Klaradressen sämtlicher Zielorte der betreffenden Region.
  • Bei den Adressendateien 12 des Benutzers kann es sich um Dateien handeln, die zu verschiedenen Zwecken in unterschiedlichen Abteilungen des Unternehmens oder der Behörde unterhalten werden, beispielsweise um Kundendateien, Lieferantendateien, eine Patientenkartei und dergleichen. Im allgemeinen werden diese Dateien neben der Adressatenkennung 16 und der Zielortkennung 18 auch noch andere Informationen über die betreffenden Adressaten enthalten, beispielsweise deren Alter oder sonstige Merkmale, die für das Unternehmen oder die Behörde von Interesse sind.
  • Wenn der Datenträger 10, auf dem sich die Adressendatei 12 befindet, gestohlen wird oder wenn die Adressendatei 12 unerlaubt kopiert wird, besteht deshalb die Gefahr des Datenmißbrauchs. Diese Gefahr wird jedoch bei der hier vorgestellten Speicherarchitektur dadurch gemildert, daß die Adressendatei 12 nicht die Klaradresse des Adressaten enthält, wodurch es dem mißbräuchlichen Benutzer unmöglich gemacht oder zumindest erschwert wird, Kontakt zu dem betreffenden Adressaten aufzunehmen. Eine solche Kontaktaufnahme wäre erst dann möglich, wenn der mißbräuchliche Nutzer auch Zugriff auf die Zielortdatei 20 hätte.
  • Um die Adressaten gegen Mißbrauch ihrer Daten zu schützen, ist es deshalb nicht erforderlich, jede der unter Umständen sehr zahlreichen Adressendateien 12 des Unternehmens oder der Behörde gegen unbefugten Zugriff zu schützen, sondern es genügt, wenn die Zielortdatei 20 gegen unbefugten Zugriff geschützt wird. Die Gefahr, daß ein unbefugter Dritter Zugriff sowohl auf die Adressendatei 12 als auch auf die Zielortdatei 20 erlangt, wird schon allein dadurch erheblich reduziert, daß diese Dateien auf getrennten Datenträgern abgelegt sind. Die Datenträger 10 und 22 sollten jedenfalls in dem Sinne ”getrennt” sein, daß der Zugriff auf den Inhalt des Datenträgers 22 nicht in der gleichen Weise erlangt werden kann wie der Zugriff auf den Datenträger 10. Beispielsweise wird es zur Erleichterung der Betriebsabläufe in dem Unternehmen oder der Behörde zweckmäßig sein, wenn jeder Mitarbeiter die Möglichkeit hat, die von ihm benötigten Adressendateien 12 auf seinen persönlichen Arbeitsplatzrechner, sein Notebook oder dergleichen zu kopieren. Der Datenträger 22 sollte dagegen so konfiguriert sein, daß ein vollständiges Kopieren der Zielortdatei 20 nicht oder jedenfalls nicht ohne besondere Autorisierung möglich ist. Das schließt nicht aus, daß die Adressendatei 12 und die Zielortdatei 20 auch auf derselben Festplatte eines einzigen Servers abgelegt sind.
  • Die Zielortdatei 20 kann beispielsweise von einem hierauf spezialisierten Dienstleistungsunternehmen bereitgestellt werden und kann den Benutzern auf einem transportablen Speichermedium wie einer DVD oder dergleichen zur Verfügung gestellt werden.
  • In einer anderen Ausführungsform ist die Zielortdatei 20 auf einem Server des Dienstleistungsunternehmens abgelegt, und der oder die Benutzer können online auf diesen Server zugreifen.
  • 2 und 3 illustrieren die Arbeitsabläufe bei der Erstellung eines neuen Datensatzes 14. Auf einem Rechner des für die Pflege der Adressendatei 12 zuständigen Sachbearbeiters wird eine Benutzersoftware installiert, die beispielsweise von dem Dienstleistungsunternehmen bereitgestellt wird, das auch die Zielortdatei 20 liefert. Beispielsweise kann sich diese Benutzersoftware auf der DVD befinden, auf der auch die Zielortdatei gespeichert ist, oder sie kann vom Server des Dienstleistungsunternehmens heruntergeladen werden. Wenn der Sachbearbeiter die Benutzersoftware aufruft, erscheint auf seinem Computerbildschirm eine Eingabemaske 30, wie sie in 2 gezeigt ist. Der Sachbearbeiter trägt hier in einem Feld 32 die Adressatenkennung ein, also beispielsweise den Namen des neu aufzunehmenden Adressaten. In einem Feld 34 wird dann die Klaradresse des Adressaten eingetragen. Anschließend gibt der Benutzer den Befehl ”speichern”, beispielsweise durch Anklicken eines entsprechenden Knopfes 36 in der Eingabemaske.
  • Wie in 3 gezeigt ist, baut daraufhin die Benutzersoftware in einem Schritt S1 eine Verbindung zu dem Datenträger 22 auf und sendet die Klaradresse, die in das Feld 34 eingegeben wurde, an die Zielortdatei 20, genauer, an einen Rechner, die Zugriff auf diese Zielortdatei hat. In Schritt S2 wird dann in der Zielortdatei der Datensatz 24 aufgesucht, der diese Adresse enthält, und die zugehörige Zielortkennung 18 wird an den Rechner des Sachbearbeiters zurückgesendet. Dort wird schließlich in Schritt S3 die empfangene Zielortkennung zusammen mit der Adressatenkennung in einem neuen Datensatz 14 in der Adressendatei 12 gespeichert.
  • Diese Prozedur kann für jeden einzelnen neuen Adressaten ausgeführt werden.
  • In einer modifizierten Ausführungsform kann die Benutzersoftware jedoch auch so beschaffen sein, daß sie für eine Vielzahl neuer Adressaten die Eingaben in die entsprechenden Eingabemasken 30 sammelt, vorzugsweise in einem nichtflüchtigen Speicher, beispielsweise im Arbeitsspeicher des Rechners des Sachbearbeiters. Auf einen besonderen Befehl hin oder ggf. auch zu ei fern vorprogrammierten Zeitpunkt werden dann die in die Felder 34 eingegebenen Klaradressen der mehreren Adressaten an die Zielortdatei gesendet, die daraufhin die entsprechenden Zielortkennungen zurücksendet, und diese werden dann in den jeweils zugehörigen Datensätzen der Adressendatei gespeichert.
  • 4 und 5 illustrieren die Arbeitsabläufe, die auszuführen sind, wenn eine Klaradresse eines Adressaten rekonstruiert werden muß, beispielsweise weil ein Brief an den betreffenden Adressaten gesendet werden soll. Auch hierfür stellt die erwähnte Benutzersoftware auf dem Arbeitsplatzrechner des Sachbearbeiters eine Eingabemaske 38 zur Verfügung. Dieser Teil der Benutzersoftware kann wahlweise auch als Zusatzmodul zu einer kommerziellen Textverarbeitungssoftware konfiguriert sein, so daß die Eingabenmaske 38 die Form eines Brief-Formulars mit dem Briefkopf des Benutzers (z. B. ”XY GmbH”) annimmt. Der Sachbearbeiter gibt dann in ein Feld 40 den Namen oder die sonstige Kennung des Adressaten ein, an den der Brief gesendet werden soll, und aktiviert dann einen Befehl 42 ”Adresse holen”, der dann die in 5 dargestellte Prozedur auslöst.
  • In Schritt S10 wird zunächst, wie bei Textverarbeitungsprogrammen üblich, anhand des eingegebenen Namens des Adressaten der betreffende Datensatz 14 in der Adressendatei 12 aufgesucht. Diese Adressendatei enthält hier jedoch nicht die gewünschte Adresse, sondern nur die verschlüsselte Zielortkennung 18.
  • Diese Zielortkennung wird dann in Schritt S11 an die Zielortdatei 20 gesendet. Dabei bewirkt das Softwaremodul zugleich, daß ein Paßwort oder eine sonstige Autorisierung mitgesendet wird, die den Benutzer bzw. den Sachbearbeiter als jemanden ausweist, der zum Zugriff auf die Zielortdatei 20 berechtigt ist. In Schritt S12 wird dann auf Seiten der Zielortdatei diese Autorisierung geprüft und die Klaradresse wird an den Rechner des Sachbearbeiters zurückgesendet. In Schritt S13 wird dann die Klaradresse in das Adressenfeld im Brief-Formular der Textverarbeitungssoftware eingesetzt, und der Sachbearbeiter kann dann mit dem Schreiben des eigentlichen Briefes fortfahren.
  • Gemäß einer alternativen Ausführungsform kann auch diese Prozedur im Batch-Betrieb ausgeführt werden. In der Eingabemaske 38 wird dann an Stel le des Namens eines einzelnen Adressaten eine Datenquelle (Datei) angegeben, die die Namen oder sonstigen Kennungen für eine Vielzahl von Adressaten bereit hält. Die Software sorgt dann dafür, daß die Adressaten nacheinander abgerufen werden und jedem seine Klaradresse zugeordnet wird. Diese Variante eignet sich besonders für Massensendungen.
  • Eine andere mögliche Ausführungsvariante des Verfahrens ist in 6 dargestellt. Als Beispiel soll hier angenommen werden, daß die Versandabteilung des Benutzers eine Warenlieferung für einen Kunden zusammenstellen und an den Kunden versenden will. Die Ware wird zu eine Paket 44 gepackt und mit einem maschinenlesbaren Adressenetikett 46 versehen. Dieses Adressenetikett kann beispielsweise in Form eines Bar-Codes oder eines RFID-Chips haben, auf oder in den die Adresseninformation aus der Adressendatei 12 codiert ist, also insbesondere die Adressatenkennung und die Zielortkennung. In der Postversandstelle des Benutzers wird dann das Adressenetikett 46 mit einem Leser 48 gelesen. Die gelesene Information wird an einen Rechner 50 übermittelt, der daraufhin eine Abfrageprozedur analog zu 5 ausführt, um aus der Zielortkennung die Klaradresse des Adressaten zu gewinnen. Der Name und die Klaradresse des Adressaten werden dann mit Hilfe eines Druckers 52 auf einen Adressenaufkleber 54 gedruckt, der schließlich auf das Paket 44 aufgeklebt wird.
  • Die gesamte Auftragsbearbeitung kann auf diese Weise in einer oder mehreren Abteilungen des Unternehmens erfolgen, ohne daß in diesen Abteilungen die Klaradresse des Kunden bekannt sein muß. Erst im letzten Bearbeitungsschritt, beim Postversand, wird die Klaradresse abgerufen.
  • 7 illustriert eine Anpassung des Verfahrens an ein Unternehmen, das einen Postzustelldienst zur Zustellung von Versandgütern 56 an die jeweiligen Adressaten betreibt. Bei den Absendern der Versandgüter 56 kann es sich dabei um verschiedene Unternehmen oder Behörden handeln, die jeweils durch eine Benutzerkennung 58 eindeutig identifiziert wird. Die Benutzerkennung 58 ist im gezeigten Beispiel sowohl als Zifferncode als auch in maschinenlesbarer Form, beispielsweise als Bar-Code, auf dem Versandgut 56 angebracht. Anstelle der üblichen Adresse sind auf dem Versandgut lediglich die Adressatenkennung 16 und die Zielortkennung 18 angegeben, die Adressatenkennung als Name des Adressaten in Klarschrift und die Zielortkennung als Zifferncode und zusätzlich als Bar-Code.
  • Die Benutzerkennung 58 und die Zielortkennung 18 werden mit Hilfe eines Lesers 60 gelesen und an einen Rechner 62 übermittelt, der Zugriff auf die Zielortdatei 20 hat. In der Zielortdatei 20 ist hier für jeden Zielort nicht nur eine einzige Zielortkennung gespeichert, sondern vielmehr eine Tabelle, die jedem Benutzer eine andere Zielortkennung zuordnet. Erst die Benutzerkennung erlaubt daher die richtige Interpretation der Zielortkennung und damit die Identifizierung der zugehörigen Klaradresse.
  • In einer alternativen Ausführungsform kann in der Zielortdatei 20 für jeden Zielort eine einzige Zielortkennung gespeichert sein, und die Benutzerkennungen dienen als Schlüssel, mit denen diese Zielortkennung jeweils auf benutzerspezifische Weise ver- und entschlüsselt wird. Wenn in der Adressendatei 12 eines Benutzers ein neuer Datensatz 14 angelegt wird, so muß die in 3 illustrierte Prozedur modifiziert werden. In Schritt S1 muß dann neben der Adresse auch die Benutzerkennung an die Zielortdatei gesendet werden, damit diese die Zielortkennung mit dem richtigen Schlüssel verschlüsseln und an den Benutzer zurücksenden kann. Entsprechend muß auch die Klaradressenabfrage in 5 modifiziert werden.
  • Nachdem im Rechner 62 die Zielorte für sämtliche Versandgüter 56 identifiziert wurden, läuft in diesem Rechner ein Routenplanungsprogramm, mit dem eine optimale Route für die Auslieferung der Versandgüter an die verschiedenen Adressaten berechnet wird. Dabei wird zugleich eine bestimmte Reihenfolge festgelegt, in der die Versandgüter auszuliefern sind. Entsprechend dieser Reihenfolge erhält jedes Versandgut 56 eine bestimmte Zustellnummer 64, die mit einem Drucker 66 ausgedruckt und auf die Versandgüter 56 aufgeklebt wird. Die Reihenfolge, in der die Zustellnummern gedruckt und aufgeklebt werden, entspricht dabei zweckmäßig der Reihenfolge, in der die Benutzer- und Zielortkennungen gelesen wurde. Zur Kontrolle kann auf dem Aufkleber, der die Zustellnummer angibt, zusätzlich noch einmal die Zielortkennung angegeben sein.
  • Die GPS-Koordinaten der Zielorte werden außerdem in ein tragbares Navigationsgerät 68 geladen, das dem Zusteller die von ihm abzufahrende Route an zeigt, auf der er die Versandgüter 56 in der Reihenfolge der Zustellnummern ausliefern kann.
  • Bei dieser Verfahrensvariante ist die Angabe der Klaradresse auf den einzelnen Versandgütern 56 entbehrlich.
  • Eine weitere Besonderheit dieses Verfahrens ist, daß auf dem Versandgut 56 die Benutzerkennung und die Zielortkennung angegeben sind. Das erleichtert die Verfolgung von Datenmißbrauch. Wenn sich ein mißbräuchlicher Nutzer widerrechtlich in den Besitz der Adressendatei 12 gebracht hat und diese dazu nutzt, unaufgefordert Postsendungen an die in dieser Adressendatei enthaltenen Adressaten zu senden, so läßt sich anhand der Benutzerkennung feststellen, von welchem rechtmäßigen Benutzer die Daten ursprünglich stammten. Zudem erlaubt es die Zielortkennung in Verbindung mit der Benutzerkennung dem Empfänger, nachzuprüfen, ob die Lieferung tatsächlich für ihn bestimmt war.

Claims (8)

  1. Verfahren zum Mißbrauchsschutz von Adressendateien (12), die auf maschinenlesbaren Datenträgern (10, 22) gespeichert sind und jeweils Adressdaten für eine Anzahl verschiedener Adressaten enthalten, dadurch gekennzeichnet, daß in in einer Adressendatei (12) auf einem ersten maschinenlesbaren Datenträger (10) für jeden Adressaten anstelle seiner Adresse nur eine verschlüsselte Zielortkennung (18) gespeichert wird und daß auf einem von dem ersten Datenträger (10) getrennten zweiten maschinenlesbaren Datenträger (22) eine Zielortdatei (20) unterhalten wird, die jeder Zielortkennung (18) eine Adresse (26) zuordnet.
  2. Verfahren nach Anspruch 1, zum Mißbrauchsschutz von Adressendateien mehrerer Benutzer, dadurch gekennzeichnet, daß derselben Adresse (26) in der Zielortdatei (20) für jeden Benutzer eine andere Zielortkennung (18) zugeordnet wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Zielortdatei (20) auf einem transportablen Speichermedium gespeichert wird, das dann dem Benutzer zur Verfügung gestellt wird.
  4. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß der zweite Datenträger (22), auf dem sich die Zielortdatei (20) befindet, ein Server ist, auf den die Benutzer nach Autorisierung online zugreifen können.
  5. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die Adressen- und Zielortdateien (12, 20) zur Adressierung von Versandgütern (56) benutzt werden und daß die Zielortkennung (18) unmittelbar auf dem Versandgut angegeben wird.
  6. Verfahren nach den Ansprüchen 2 und 5, dadurch gekennzeichnet, daß auf dem Versandgut (56) zusätzlich eine Benutzerkennung (58) angegeben wird.
  7. Softwareprogrammprodukt zur Ausführung des Verfahrens nach einem der Ansprüche 1 bis 6, mit Programmcode, der, wenn er auf einem Rechner ausgeführt wird, den Rechner dazu veranlaßt, eine Eingabemaske (30) zur Eingabe einer Adressatenkennung (16) für einen neu in die Adressendatei (12) aufzunehmenden Adressaten und zur Eingabe der Adresse (26) dieses Adressaten zu präsentieren, nach Eingabe der Adresse (26) diese an die Zielortdatei (20) zu senden und eine zu dieser Adresse gehörende Zielortkennung (18) von der Zielortdatei (20) zu empfangen und in der Adressendatei (12) zu speichern.
  8. Softwareprogrammprodukt zur Ausführung des Verfahrens nach einem der Ansprüche 1 bis 6, mit Programmcode, der, wenn er auf einem Rechner läuft, den Rechner dazu veranlaßt, eine Eingabemaske (38) für die Eingabe einer Adressatenkennung (16) zu präsentieren, nach Eingabe der Adressatenkennung den zugehörigen Adressaten in der Adressendatei (12) aufzusuchen, die zugehörige Zielortkennung (18) an die Zielortdatei (20) zu übermitteln und eine dieser Zielortkennung entsprechende Adresse (26) von der Zielortdatei (20) zu empfangen.
DE102009009276A 2009-02-17 2009-02-17 Verfahren zum Missbrauchsschutz von Adressendateien Ceased DE102009009276A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009009276A DE102009009276A1 (de) 2009-02-17 2009-02-17 Verfahren zum Missbrauchsschutz von Adressendateien

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009009276A DE102009009276A1 (de) 2009-02-17 2009-02-17 Verfahren zum Missbrauchsschutz von Adressendateien

Publications (1)

Publication Number Publication Date
DE102009009276A1 true DE102009009276A1 (de) 2010-08-19

Family

ID=42338769

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009009276A Ceased DE102009009276A1 (de) 2009-02-17 2009-02-17 Verfahren zum Missbrauchsschutz von Adressendateien

Country Status (1)

Country Link
DE (1) DE102009009276A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009016419A1 (de) 2009-04-04 2010-10-07 Az Direct Gmbh Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten
EP2426617A1 (de) 2010-09-03 2012-03-07 Wolfgang Hüffer Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060106799A1 (en) * 2002-04-29 2006-05-18 Jyrki Maijala Storing sensitive information
US20080168047A1 (en) * 2007-01-04 2008-07-10 Embarq Holdings Company, Llc System and method for anonymous mail delivery services

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060106799A1 (en) * 2002-04-29 2006-05-18 Jyrki Maijala Storing sensitive information
US20080168047A1 (en) * 2007-01-04 2008-07-10 Embarq Holdings Company, Llc System and method for anonymous mail delivery services

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009016419A1 (de) 2009-04-04 2010-10-07 Az Direct Gmbh Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten
EP2426617A1 (de) 2010-09-03 2012-03-07 Wolfgang Hüffer Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten
DE102010037326A1 (de) 2010-09-03 2012-03-08 Wolfgang Hüffer Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten

Similar Documents

Publication Publication Date Title
White et al. Corporate codes of conduct
EP0821518A2 (de) Übergabevorrichtung und Distributionsvorrichtung
EP2735976A1 (de) Codebasiertes Informationssystem
Puspasari et al. Effectiveness of archive management on record system in national zakat agency in Indonesia
DE102009009276A1 (de) Verfahren zum Missbrauchsschutz von Adressendateien
DE102013107854A1 (de) System und Verfahren für den Versand von Postsendungen
DE19745641A1 (de) Postrationalisierung, - automatisierung, -modernisierung
DE19641005A1 (de) Automatisierung der Post-Sonderleistungen
DE102022103703B4 (de) System, insbesondere Lehr-/Unterrichtssystem, mit über wenigstens einen ersten QR-Code/Code definierter Zugangsberechtigung zu über zweite QR-Codes hinterlegten Inhalten sowie entsprechendes Verfahren, Computerprogrammprodukt und Verwendung
DE102021117202A1 (de) Verfahren zur computergestützten Abwicklung von Identifikationsvorgängen
DE102009016419B4 (de) Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten
WO1999027679A2 (de) Datenarchitektur und datentransfer der strukturierten informationen im internet
Hasanah et al. Assessing Record Management Practices: A Study of Compliance and Diversity in PTKIN
Black The Nazi Party: IBM & ‘Death’s Calculator,’
Yeo Record‐keeping at St Paul's cathedral
DE102007053761A1 (de) Globales Dokumentenpostfach
Williams Information Retrieval: A Practical Approach: Selection, implementation and achieving our aims in Records Automation
DE3939626A1 (de) Elektronisches versandverfahren und vorrichtung dafuer
Mnjama Records Management at the Kenya Railways Corporation
American Library Association Guidelines for the security of rare book, manuscript, and other special collections: A draft
DE102021118590A1 (de) Verfahren, system und computerprogramm zur verschlüsselung, verarbeitung, übertragung, speicherung und nachvollziehbarkeit der verschlüsselung von personenbezogenen daten
DE10304262A1 (de) System zum Vertreiben von Waren und/oder zum Zustellen und Empfangen von Sendungen
WO2006133756A1 (de) Verfahren und anordnung von vorrichtungen zur erzeugung von sendungen mit codes für den personalisierten zugriff auf internetseiten
Lovelace et al. Integrated Library System (ILS): Serials Check-In at the Army Library, Pentagon
Jacobs et al. Electronic Bulletin Boards: A New Resource for Law Enforcement

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R082 Change of representative

Representative=s name: TER MEER STEINMEISTER & PARTNER PATENTANWAELTE, DE

R002 Refusal decision in examination/registration proceedings
R006 Appeal filed
R008 Case pending at federal patent court
R003 Refusal decision now final
R011 All appeals rejected, refused or otherwise settled