DE10008153A1 - Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff - Google Patents

Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff

Info

Publication number
DE10008153A1
DE10008153A1 DE2000108153 DE10008153A DE10008153A1 DE 10008153 A1 DE10008153 A1 DE 10008153A1 DE 2000108153 DE2000108153 DE 2000108153 DE 10008153 A DE10008153 A DE 10008153A DE 10008153 A1 DE10008153 A1 DE 10008153A1
Authority
DE
Germany
Prior art keywords
data
data field
operator
record
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2000108153
Other languages
English (en)
Inventor
Hermann Bottenbruch
Michael Mertens
Felizitas Hesse-Wagner
Thomas Luetcke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Primasoft GmbH
Original Assignee
Primasoft GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Primasoft GmbH filed Critical Primasoft GmbH
Priority to DE2000108153 priority Critical patent/DE10008153A1/de
Publication of DE10008153A1 publication Critical patent/DE10008153A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Gegenstand der Erfindung ist ein Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff. Dabei liegen die Daten jeweils als aus einzelnen Datenfeldern bestehende Datensätze vor. Ausgewählten Datensätzen werden ein oder mehrere Sicherheitsdatenfelder hinzugefügt, welche Zugriffsmöglichkeiten und/oder Zugriffsrechte zur gegebenenfalls bedienerabhängigen Manipulation des betreffenden Datensatzes definieren.

Description

Die Erfindung betrifft ein Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff, wonach die Daten jeweils als aus einzelnen Datenfeldern bestehende Datensätze vorliegen.
Derartige Sicherungsverfahren führen in der Praxis ein stiefmütterliches Dasein. Üblicherweise wird hier so vorgegangen, dass einer (berechtigten) Bedienperson, einem User, bestimmte "Pfade" durch eine aus den Datensätzen gebildete Datenbank vorgegeben werden. Die Auswahl der bedienerabhängigen Pfade erfolgt nach komplizierten Verfahren. Letztlich bemessen sich die Zugriffsrechte nach dem physikalischen Speicherplatz, welcher von dem betref­ fenden Datensatz eingenommen wird. Hierdurch versucht man mit großem Aufwand, nicht zugriffsberechtigte Bediener bzw. User von den für sie nicht bestimmten Daten fernzuhalten. - Derartige Vorgehensweisen können von ihrer Flexibilität und der umfangreichen Datenbehandlung her nicht überzeugen.
Der Erfindung liegt das technische Problem zugrunde, ein einfaches Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff anzugeben, welches eine flexible Anpassung an bestimmte Zugriffsmöglichkeiten unter Berücksichtigung wechselnder Zugriffsrechte ermöglicht.
Zur Lösung dieses technischen Problems ist Gegenstand der Erfindung ein Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff, wonach die Daten jeweils als aus einzelnen Datenfeldern bestehende Datensätze vorliegen, und wonach ausgewählten Datensätzen ein oder mehrere Sicher­ heitsdatenfelder programmtechnisch und automatisch hinzu­ gefügt werden, welche Zugriffsmaglichkeiten und/oder Zugriffsrechte zur gegebenenfalls bedienerabhängigen Bearbeitung bzw. Manipulation des betreffenden Datensatzes definieren. Folglich geschieht die Flankierung der bestehenden (ausgewählten) Datensätze mittels der Sicher­ heitsdatenfelder im Rahmen eines hierfür (speziell) entwickelten (Rechner-)Programms - gleichsam automatisch.
Unter einem Datenfeld ist nach allgemeinem Verständnis ein Informationsträger zu verstehen, welcher Informationen derselben Art speichert. Bei einer Adressdatenbank sind beispielsweise eigene Datenfelder für den Vornamen, den Nachnamen, und die Adresse usw. der hierin gespeicherten Personen verwirklicht. Im Rahmen industrieller Abläufe können in einzelnen Datenfeldern auch sämtliche für die Realisierung eines bestimmten Projektes erforderlichen Informationen abgelegt werden. Ja es ist sogar denkbar, mit einzelnen Datenfeldern bzw. Datensätzen Dateien zu identifizieren, die nach (berechtigtem) Zugriff auf den entsprechenden Datensatz gelesen und gegebenenfalls bearbeitet werden können.
Mehrere Datenfelder sind zu einem Datensatz zusammen­ gefasst, welcher sich durch einen Schlüssel oder auch einen Namen eindeutig identifizieren lässt. Bei einer Adress­ datenbank lässt sich ein solcher Datensatz beispielsweise mit dem Nachnamen der Person, deren Daten hier gespeichert sind, kennzeichnen. Bei den vorerwähnten projektbezogenen Daten ist es denkbar, hier auf einen Projektnamen zurückzugreifen. In (Konto-)Buchungsdatenbanken können als Namen auch Vorgangsnummern vergeben werden.
Selbstverständlich empfiehlt es sich im Rahmen der Erfindung, nur die Datensätze mit einem oder mehreren Sicherheitsdatenfeldern zu flankieren, die tatsächlich gegenüber unbefugtem Zugriff zu schützen sind. Allgemein verbindliche Mitteilungen, wie beispielsweise datumsab­ hängige Geburtstagsgrüße oder andere unsensible Daten lassen sich hiervon grundsätzlich ausnehmen. Es ist aber eine Auswahl sensibler Datensätze möglich und auch gewollt.
Im Einzelnen schlägt die Erfindung vor, dass zumindest ein Sicherheitsdatenfeld in Form eines Buchungsdatenfeldes vorgesehen ist, welches ab dem Zeitpunkt seiner Festlegung bzw. Erstellung Änderungen an dem hiermit flankierten Datensatz unterbindet. Das belegte Buchungsdatenfeld sorgt also dafür, dass Änderungen oder Manipulationen an dem hiermit flankierten Datensatz nicht (mehr) vorgenommen werden können. Der solchermaßen "gebuchte" Datensatz verbleibt also (nach Belegung des Buchungsdatenfeldes) unverändert in der Datenbank.
Es sei denn, dieser Datensatz wird "storniert", was durch die Belegung zumindest eines weiteren Sicherheitsdaten­ feldes in Form eines Stornierungsdatenfeldes möglich ist. Denn dieses Stornierungsdatenfeld sorgt ab dem Zeitpunkt seiner Festlegung dafür, dass der hiermit flankierte Datensatz für allgemeine Zugriffe gesperrt ist. D. h. im Umkehrschluss, dass der "stornierte" Datensatz bei einem speziellen Zugriff unverändert wenigstens ausgelesen werden kann. Dies lässt sich bedienerabhängig festlegen.
Hierzu kann üblicherweise ein additives Bedienerdatenfeld realisiert werden, welches bedienerabhängig bestimmte Zugriffsrechte mit einstellbarer Priorität definiert. So ist es denkbar, dass ein übergeordneter Bediener, ein sogenannter "Supervisor", uneingeschränkten Zugriff auch auf "stornierte" Datensätze hat. Selbstverständlich sind auch zwei oder mehr übergeordnete Bediener denkbar. In diesem Zusammenhang kann die Sicherheit programmtechnisch noch weiter gesteigert werden, indem bestimmte Änderungen oder Vorgänge nur dann vollführt werden, wenn z. B. beide übergeordneten Bediener zustimmen. Dies kann voneinander abhängig oder unabhängig geschehen. Folglich wird im Rahmen der Erfindung wahlweise eine Manipulation an dem betreffenden Datensatz nur dann durchgeführt, wenn die entsprechenden Bediener gemeinsam zugestimmt haben.
Dagegen sind diese Datensätze für die meisten Anwender nicht (mehr) lesbar und werden auch in normale Anwendungen, wie Kalkulationen, Buchungen etc. nicht (mehr) eingefügt. Die "stornierten" Datensätze liegen also - wenn man so will - nur mehr noch virtuell vor. Jedenfalls kann beispielsweise über ein zusätzliches Bedienerdatenfeld selbst ein "stornierter" Buchungssatz unverändert gelesen werden. Ein Überschreiben oder Ändern wird man dabei vernünftigerweise nicht zulassen, wenngleich eine solche Option natürlich denkbar ist.
Darüber hinaus schlägt die Erfindung wenigstens ein weiteres Sicherheitsdatenfeld in Form eines Löschungs­ datenfeldes vor. Dieses Löschungsdatenfeld arbeitet in gewisser Hinsicht wie das Stornierungsdatenfeld. Denn auch in diesem Fall werden ab dem Zeitpunkt der Festlegung des Löschungsdatenfeldes der oder die hiermit flankierten Datensätze für allgemeine Zugriffe gesperrt. Zusätzlich führt die Belegung des Löschungsdatenfeldes jedoch noch dazu, dass nach einem festgelegten Zeitablauf eine (zwangsweise) Löschung des betreffenden Datensatzes veran­ lasst wird. Hierin unterscheidet sich das belegte Löschungsdatenfeld von dem Stornierungsdatenfeld, welches grundsätzlich nicht - oder nicht sofort - zu einer Löschung des hiermit flankierten Datensatzes korrespondiert.
Dadurch, dass selbst ein "gelöschter" Datensatz zumindest innerhalb des festgelegten Zeitablaufes wenigstens "virtuell" noch zur Verfügung steht, lässt sich auch dessen Inhalt (noch) auslesen, und zwar wiederum nur von bestimmten Bedienern, beispielsweise dem Supervisor. Ein typischer Wert für den betreffenden Zeitablauf liegt bei vier Wochen. Dieser Zeitablauf kann sich ab der Erstellung des mit dem Löschungsdatenfeld flankierten Datensatzes bemessen. Grundsätzlich wird jedoch so vorgegangen, dass der Zeit-Nullpunkt für den angesprochenen Zeitablauf mit der Belegung des Löschungsdatenfeldes zusammenfällt.
Darüber hinaus liegt es im Rahmen der Erfindung, jeden einzelnen ausgewählten Datensatz optional mit einem Buchungsdatenfeld und/oder einem Stornierungsdatenfeld und/oder einem Löschungsdatenfeld zu flankieren. Dabei kann natürlich unterschiedlichen Datenfeldinhalten Rechnung getragen werden. In der Regel wird man jedoch jeden ausgewählten Datensatz mit sämtlichen vorerwähnten Sicher­ heitsdatenfeldern ausrüsten, um eine möglichst umfassende und einfach zu handhabende Funktionalität zu erreichen.
Ein Beispiel hierfür ist ein unzutreffender Adressdaten­ satz. Wenn beispielsweise ein Fehler in der Adresse der zugehörigen Person und/oder Firma bemerkt wird, so eröffnet die Erfindung grundsätzlich zweierlei Möglichkeiten, diesen Datensatz zu korrigieren. Zum einen kann der Datensatz "storniert" werden, was dazu führt, dass bei eventuellen Unsicherheiten hinsichtlich der neuen Adresse zumindest der Supervisor noch die stornierte "alte" Adresse auslesen kann.
Wenn jedoch eine endgültige Änderung ohne verbleibenden Zweifel gewünscht wird, wird man den entsprechenden Datensatz "löschen". Denn dies führt zwangsläufig dazu, dass nach dem bereits erwähnten Zeitablauf die falschen Daten auch physikalisch aus dem Speicher entfernt werden.
Anhand dieses Beispieles wird deutlich, dass jeder Datensatz je nach dessen Inhalt einem gleichsam zwei­ stufigen Löschungsvorgang unterzogen werden kann. Seine Stornierung führt lediglich zu einem vordergründigen Ausschluss aus der Datenbank, wobei der Datensatz zumindest virtuell und für bestimmte Bedienpersonen unverändert noch ausgelesen werden kann. Eine Löschung erreicht einen ähnlichen Zustand, allerdings nur für eine eng begrenzte Zeit mit anschließender physikalischer Entfernung.
Um in der vorhandenen Datenbank gleichsam Selbstreinigungs­ kräfte wirken zu lassen, schlägt die Erfindung ferner zumindest ein Lebensdauerdatenfeld vor, welches zusätzlich zu dem wenigstens einen Sicherheitsdatenfeld realisiert ist. Dieses Lebensdauerdatenfeld definiert einen bestimmten Zeitraum zwischen einer Erstellung des hiermit flankierten Datensatzes und seiner obligatorischen Löschung. Mit anderen Worten werden die mit dem Lebensdauerdatenfeld ausgerüsteten Datensätze zwangsweise gelöscht, und zwar nach dem angesprochenen Zeitraum.
Im Vergleich zu dem mit dem Löschungsdatenfeld vorgegebenen Zeitablauf sorgt die Erfindung darüber hinaus dafür, dass dieser Zeitablauf geringer als der vom Lebensdauerdatenfeld festgelegte Zeitraum bemessen ist. Dies ist vernünftig und sinnvoll, weil "gelöschte" Datensätze selbstverständlich einen deutlich geringeren Verfallzeitraum als die übrigen Datensätze aufweisen sollen. Ansonsten wäre die Funktion "Löschen" sinnlos.
Schließlich wird vorzugsweise zusätzlich zu dem wenigstens einen Sicherheitsdatenfeld ein Bedienerdatenfeld reali­ siert, wie es bereits angesprochen wurde. Dieses Bedienerdatenfeld definiert bedienerabhängig vorgegebene Zugriffsrechte mit einstellbarer Priorität. D. h., im Rahmen dieses Bedienerdatenfeldes kann festgelegt werden, welcher Bediener bzw. User auf den betreffenden Datensatz überhaupt zugreifen darf.
Im einfachsten Fall gelingt dies durch eine entsprechende Ablage der zugriffsberechtigten Usernummern. Zusätzlich eröffnet die Erfindung noch die Möglichkeit, bestimmte Prioritäten bei den Zugriffsrechten festzulegen. So kann für Sachbearbeiter vereinbart werden, dass diese lediglich den entsprechenden Datensatz erstellen und gegebenenfalls auch ändern dürfen. Dagegen ist es beispielsweise ihrem Vorgesetzten, dem Abteilungsleiter, vorbehalten, zusätzlich den besagten Datensatz löschen zu können. Die Festlegung der Lebensdauer des besagten Datensatzes obliegt dagegen beispielsweise dem zuständigen Direktor oder EDV-Leiter. Schließlich verfügen z. B. nur die Vorstandsmitglieder einer Firma über die Berechtigung, auch stornierte und gelöschte Datensätze lesen zu können. Dies alles wird im Rahmen des Bedienerdatenfeldes mit den vorgegebenen Zugriffsrechten einstellbarer Priorität festgelegt.
Üblicherweise sind zur Verarbeitung der mit dem oder den Sicherheitsdatenfeld(ern) bzw. Zusatzdatenfeld(ern) (Lebensdauerdatenfeld, Bedienerdatenfeld, etc.) flankierten Datensätze (Rechner)Programme vorgesehen, welche programm­ technisch und automatisch zur Interpretation der betref­ fenden Datenfelder in die Lage versetzt werden. D. h. nichts anderes, als das den auf die unveränderte Datenbank zugreifenden Programmen per eigenem, speziellem Programm Befehle hinzugefügt werden, welche die zusätzlichen Datenfelder (Sicherheitsdatenfelder, Zusatzdatenfelder) interpretieren und in dem beschriebenen Sinn manipulieren. Hierdurch ist eine besonders einfache Anpassung der Software möglich. Mit anderen Worten berücksichtigen die vorgenannten Befehle im Einzelnen die beschriebenen Verfahrensweisen (bei ohnehin schon vorhandenen Programmen, die auf die unveränderte Datenbank bzw. Datenbasis arbeiten).
Folglich werden nicht nur die beschriebenen Sicherheits­ datenfelder und Zusatzdatenfelder von einem speziellen Programm hinzugefügt, sondern auch erforderliche Befehle in vorhandene Programme eingefügt, damit die zusätzlichen Datenfelder sinngemäß und im Rahmen des beschriebenen Verfahrens genutzt und interpretiert werden können.
Im folgenden wird die Erfindung anhand eines Beispieles näher erläutert.
Die anliegende Tabelle 1 zeigt beispielhaft einen Datensatz, wie er im Rahmen der Erfindung erzeugt wird, um ausgewählte Datensätze gegen unbefugten Zugriff zu sichern. Dieser Datensatz ist in einer digitalen Verarbei­ tungseinheit abgelegt und kann mittels eines dortigen (Rechner-)Programms abgerufen werden.
Im Einzelnen schlägt sich der ausgewählte Datensatz in den Feldern bzw. Datenfeldern 1 bis 10 nieder und ist als "eigentlicher" Datensatz unter der Rubrik "Feldinhalt" verzeichnet.
Neben diesem eigentlichen Datensatz in den Datenfeldern 1 bis 10 finden sich erfindungsgemäß noch ein Erstellungs­ datenfeld 11, Änderungsdatenfeld 13, Buchungsdatenfeld 15, Stornierungsdatenfeld 17, Löschungsdatenfeld 19, Lebensdauerdatenfeld 21 und Bedienerdatenfeld 23. Diese sind den jeweiligen Feldern mit den zugehörigen Feldinhalten zuge­ ordnet. Die Datenfelder 11 bis 24 gemäß Tabelle 1 werden im Rahmen eines eigenen speziellen (Rechner-)Programmes erzeugt bzw. dem "eigentlichen" Datensatz in den Daten­ feldern 1 bis 10 hinzugefügt. Ein weiteres spezielles (Rechner-)Programm sorgt dafür, dass den auf die "eigent­ lichen" Datensätze zugreifenden Softwareprogrammen Befehle hinzugefügt werden, welche in der Lage sind, die zusätzlichen Datenfelder 11 bis 24 zu interpretieren.
Auf diese Weise werden die "eigentlichen" Datensätze in den jeweiligen Datenfeldern 1 bis 10 automatisch und programm­ technisch um die zusätzlichen Datenfelder 11 bis 24 erweitert. Entsprechendes geschieht mit den auf die "eigentlichen" Datensätze in den Datenfeldern 1 bis 10 zugreifenden Programme. Denn diese werden mit Hilfe eines wiederum eigenständigen und speziellen Programmes in die Lage versetzt, die entsprechenden (zusätzlichen) Daten­ felder 11 bis 24 - wie beschrieben - interpretieren zu können. Auch eine Manipulation dieser besagten Datenfelder ist programmtechnisch und automatisch möglich. Hier ist es beispielsweise denkbar, für die entsprechenden Feldinhalte zu sorgen.
Im Rahmen des Ausführungsbeispieles ist zu jedem zusätz­ lichen Sicherheitsdatenfeld 15, 17, 19 auch der jeweilige Bediener in einem eigenen Feld abgelegt, wenngleich dies natürlich nicht zwingend ist. Vergleichbares gilt für die übrigen Zusatzdatenfelder 11, 13, 21 und 23. So beinhaltet beispielsweise das Erstellungsdatenfeld 11 den Zeitpunkt der Erstellung des "eigentlichen" Datensatzes in den Datenfeldern 1 bis 10. Dieser ist im Datenfeld 11 abgelegt. Der die Erstellung durchführende Bediener findet sich im Datenfeld 12.
Das Änderungsdatenfeld 13 dokumentiert den Zeitpunkt der letzten Änderung der Datenfelder 1 bis 10. Im zugehörigen Feld Nr. 14 ist der ändernde Bediener verzeichnet. Anhand dieses Änderungsdatenfeldes 13 ist erfindungsgemäß eine Kontrolle dergestalt möglich, ob es sich bei dem vorangestellten Datensatz insgesamt um einen solchen handelt, der gebucht, storniert oder gelöscht worden ist. Denn ein solcher Datensatz kann und darf nicht geändert werden.
Im Rahmen des Buchungsdatenfeldes 15 wird u. a. der Zeit­ punkt der Buchung festgelegt. Die Belegung dieses Feldes bzw. Datenfeldes hat zur Folge, dass Änderungen an dem "eigentlichen" Datensatz in den Feldern 1 bis 10 nicht (mehr) vorgenommen werden können. Ein Zugriff auf das Änderungsdatenfeld 13 bei "gebuchtem" Datensatz führt also dazu, dass hier, im Änderungsdatenfeld 13, eine ent­ sprechende Fehlermeldung erzeugt wird bzw. an den Bediener übermittelt wird.
Im Rahmen der Buchung lassen sich grundsätzlich Prozesse jeglicher Art genehmigen, die ab dem betreffenden Buchungs­ zeitpunkt zuverlässig zur Verfügung stehen (sollen). Der "gebuchte" Datensatz verbleibt also unverändert in der Datenbank, und zwar theoretisch einen unendlichen Zeitraum lang, sofern keine begrenzte Lebensdauer im Rahmen des nachfolgend noch zu diskutierenden Lebensdauerdatenfeldes 21 vereinbart ist. Auch das Buchungsdatenfeld 15 ist von einem Feld 16 flankiert, in welchem der buchende Bediener abgelegt wird.
Mit Hilfe des Stornierungsdatenfeldes 17 lässt sich erreichen, dass der "eigentliche" Datensatz in den Datenfeldern 1 bis 10 bei üblichen Abfragen in Formularen und Berichten nicht (mehr) erscheint. Dennoch können die Datenfelder 1 bis 10 ausgelesen werden, allerdings nur von einer Person mit spezieller Berechtigung. Über diese verfügt im Rahmen des Ausführungsbeispiels der zuvor bereits angesprochene Supervisor. Eventuell sind auch zwei (oder mehr) übergeordnete Bediener denkbar, die beispielsweise durch (voneinander abhängige oder unabhängige) Zustimmung für eine entsprechende Feldbelegung oder eine gewünschte Manipulation sorgen. Auf diese Weise lässt sich im Sinne einer gleichsam Doppelschlüsselsicherung ein besonders ausgeprägter Datenschutz erreichen. - Auch das Stornierungsdatenfeld 17 ist von einem Feld 18 flankiert, in dem die den stornierenden Bediener betreffenden Daten abgelegt sind.
Mit Hilfe des Löschungsdatenfeldes 19 gelingt eine ver­ gleichbare Funktionalität wie beim Stornierungsdatenfeld 17. Mit anderen Worten sorgt eine entsprechende Belegung dieses Feldes dafür, dass der "eigentliche" Datensatz nicht mehr von einem normalen Bediener gelesen oder auch geändert werden kann. Stornierungs- und/oder Löschungsbefehle führen also dazu, dass die Datenfelder 1 bis 10 in eine Art virtuellen Speicher überführt werden. Auch hier wird dem Supervisor unverändert ein Leserecht eingeräumt.
Im Unterschied zum Stornierungsdatenfeld 17 wird bei Belegung des Löschungsdatenfeldes 19 zusätzlich noch ein Zeitablauf T1 festgelegt. Nach Beendigung dieses Zeitab­ laufes T1 erfolgt eine Löschung des gesamten dargestellten Datensatzes. Selbstverständlich ist auch das Löschungs­ datenfeld 19 mit einer entsprechenden Angabe über den löschenden Bediener im Feld 20 ausgerüstet.
Insgesamt sorgen also Belegungen des Stornierungs- und/oder Löschungsdatenfeldes 17, 19 dafür, dass der betreffende Datensatz markiert und in einem virtuellen Speicher abgelegt wird. Das physikalische Löschen eines stornierten Datensatzes wird am Ende dessen Gesamtlebensdauer vorgenommen, während ein gelöschter Datensatz bereits nach der Zeit T1 physikalisch aus dem Speicher entfernt wird. Dieser Zeitraum T1 kann mehrere Wochen, beispielsweise vier Wochen, betragen. Grundsätzlich ist es möglich, einen gelöschten - aber nicht einen stornierten - Datensatz (natürlich innerhalb des Zeitraumes T1) wiederzubeleben.
Dies ist ein weiterer Unterschied zum Stornierungsvorgang. Das Lebensdauerdatenfeld 21 sorgt für eine obligatorische Einstellung des Verfallsdatums des gesamten Datensatzes. Dieser wird also nach der eingestellten Lebensdauer bzw. einem zugehörigen Zeitraum T2 mit T1 < T2 zwangsweise gelöscht. Selbstverständlich wird das Lebensdauerdatenfeld 21 nur optional bei solchen Datensätzen belegt, die beispielsweise zeitabhängige Daten enthalten, welche nach einem gewissen Zeitraum mit Sicherheit überholt sind. Hierbei kann es sich um Nachrichten handeln, die temporäre Ereignisse, wie z. B. Messen od. dgl. betreffen.
Im Rahmen des Bedienerdatenfeldes 23 wird die bereits angesprochene Festlegung des Zugriffs auf den Datensatz als solche festgelegt. Im einfachsten Fall können hier Usernummern hinterlegt werden, die zu Bedienern korrespondieren, welche auf den entsprechenden Datensatz zugreifen dürfen. Eine weitere Diversifizierung in diesem Zusammenhang ist durch das Datenfeld 24 möglich, welches prioritätsabhängige Zugriffsrechte definiert. Diese sind in der Tabelle 2 ("prioritätsabhängige" Zugriffsrechte) im Einzelnen aufgelistet.
Man erkennt hier, dass die geringste Priorität dem Erstellen des "eigentlichen" Datensatzes zukommt. Dieses Recht wird man zumeist sämtlichen zugriffsberechtigten Bedienern einräumen. Mögliche Änderungen des Datensatzes stellen die nächste Stufe dar und dürfen nur von einer demgegenüber geringeren Personenzahl durchgeführt werden. Dies gilt erst recht für das "Löschen" des Datensatzes, welches zumeist nur Vorgesetzten vorbehalten bleibt, beispielsweise dem Leiter der Buchhaltung. Den weiteren in der Liste angegebenen Tätigkeiten, wie "Buchen" und "Stornieren" kommt naturgemäß eine nochmals erhöhte Priorität zu.
Im Rahmen der Priorität 6 lässt sich das Recht an dem Datensatz vergeben. Denkbar ist es hier, dass ein Vorge­ setzter einem Untergebenen auf diese Weise den Zugriff auf eigentlich nur für ihn bestimmte Datensätze ermöglicht. D. h., der Rechtsinhaber kann das Zugriffsrecht weitergeben, allerdings nur im Rahmen seiner Zugriffsmöglichkeiten. Selbstverständlich kann dieses Weitergaberecht auf bestimmte Rechte und/oder Datensätze beschränkt werden. So ist es denkbar, dass der Leiter der Buchhaltung nur bestimmte Buchungssätze überhaupt an seine Mitarbeiter im Rahmen der Rechtevergabe nach der Priorität 6 weiterleiten darf.
Noch höher einzustufen ist das Recht, die Lebensdauer setzen und ändern zu können, wie dies im Rahmen der Priorität 7 zum Ausdruck kommt. Darüber ist nur noch das Eigentums- und Leserecht angesiedelt. Im erstgenannten Fall kann der Bediener das "Eigentum" an dem entsprechenden Datensatz erklären, so dass ihm hiermit automatisch alle nachgeordneten Rechte 1 bis 7 zur Verfügung stehen. Dies hat zur Folge, dass kein anderer Bediener entsprechende (Eigentums-)Rechte an diesem Datensatz (mehr) geltend machen kann.
Das Leserecht ermöglicht schließlich dem Rechtsinhaber den lesenden Zugriff auf sämtliche Datensätze, also auch solche, die storniert und/oder gelöscht sind. Einem Bediener, der über die Rechte bzw. Prioritäten 1 bis 8 verfügt, wird automatisch auch das Leserecht nach der Ziffer 9 eingeräumt.
Insgesamt lässt sich durch die beschriebenen und im Rahmen der Erfindung definierten prioritätsabhängigen Zugriffs­ rechte erreichen, dass beispielsweise im Rahmen der Ziffer 6 ein Abteilungsleiter seinem Mitarbeiter einen Brief zur Kenntnis bringen kann, der normalerweise nicht für den Mitarbeiter bestimmt ist. Der Mitarbeiter kann diesen Brief allerdings selber nicht weitergeben, weil ihm hierfür das Zugriffsrecht bzw. die Priorität 6 fehlt.
Das Eigentumsrecht nach der Ziffer 8 ermöglicht es beispielsweise einem (Abteilungs-)Leiter, einen bestimmten (nur für ihn vorgesehenen) Termin in der Datenbank abzulegen, ohne dass irgendein anderer Bediener diesen Termin bzw. den dahinterstehenden Datensatz überhaupt zur Kenntnis nehmen kann. Selbstverständlich sind dann auch keine Änderungen od. dgl. Manipulationen an diesem Datensatz möglich, da bekanntlich nur der Eigentümer über diesen Datensatz, sprich den Termin, verfügen kann. Im einfachsten Fall ermöglichen also die Datenfelder 23 und 24 die bedienerabhängige Eingrenzung des Zugriffs auf den "eigentlichen" Datensatz in den Feldern 1 bis 10, wobei dieses Zugriffsrecht noch durch die der jeweiligen Usernummer zugeordnete und in Tabelle 2 abgelegte Priorität beschränkt bzw. vorgegeben ist.
Jedenfalls lässt sich durch die erfindungsgemäß dem "eigentlichen" Datensatz hinzugefügten Felder, insbesondere Sicherheitsdatenfelder 15, 17 19 und Zusatzfelder 11, 13, 21 und 23, erreichen, dass der Datensatz mit Leben gefüllt wird, welcher eine Abbildung der zumeist komplexen Wirklichkeit darstellt. So können Anforderungen wie "Herr A darf den Datensatz lesen" problemlos im Rahmen des Bedienerdatenfeldes umgesetzt werden, indem dem Bediener A das entsprechende Zugriffsrecht eingeräumt wird.
Daneben sind aber auch Einschränkungen dergestalt denkbar, dass beispielsweise der Lebenssachverhalt "Herr A darf nur Datensätze lesen, die ein bestimmtes Kriterium erfüllen" problemlos abgebildet werden kann. Hierfür muss zunächst das Bedienerdatenfeld 23 für den entsprechenden Zugriff von Herrn A sorgen. Außerdem ist es denkbar, dass Herr A die für ihn bestimmten Datensätze lediglich erstellen darf. Dies wird im Rahmen der prioritätsabhängigen Zugriffsrechte durch die entsprechend eingestellte Priorität 1 gemäß Tabelle 2 bewerkstelligt.
Tabelle 2
Prioritätsabhängige Zugriffsrechte

Claims (10)

1. Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff, wonach die Daten jeweils als aus einzelnen Datenfeldern bestehende Datensätze vorliegen, und wonach ausgewählten Datensätzen ein oder mehrere Sicherheits­ datenfelder automatisch hinzugefügt werden, welche Zugriffsmöglichkeiten und/oder Zugriffsrechte zur gegebe­ nenfalls bedienerabhängigen Bearbeitung des betreffenden Datensatzes definieren.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zumindest ein Sicherheitsdatenfeld in Form eines Buchungs­ datenfeldes vorgesehen ist, welches ab dem Zeitpunkt seiner Festlegung Änderungen an dem hiermit flankierten Datensatz unterbindet.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn­ zeichnet, dass zumindest ein Sicherheitsdatenfeld in Form eines Stornierungsdatenfeldes vorgesehen ist, welches ab dem Zeitpunkt seiner Festlegung den hiermit flankierten Datensatz für allgemeine Zugriffe sperrt.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass zumindest ein Sicherheitsdatenfeld in Form eines Löschungsdatenfeldes vorgesehen ist, welches ab dem Zeitpunkt seiner Festlegung den hiermit flankierten Datensatz für allgemeine Zugriffe sperrt und zusätzlich nach einem festgelegten Zeitablauf (T1) eine Löschung des betreffenden Datensatzes veranlasst.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass ein Datensatz wahlweise mit einem Buchungsdatenfeld und/oder einem Stornierungsdatenfeld und/oder einem Löschungsdatenfeld flankiert wird.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass zumindest ein Lebensdauerdatenfeld zusätzlich zu dem wenigstens einen Sicherheitsdatenfeld vorgesehen ist, welches einen bestimmten Zeitraum (T2) zwischen einer Erstellung des hiermit flankierten Daten­ satzes und seiner obligatorischen Löschung definiert.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass der durch das Löschungsdatenfeld vor­ gegebene Zeitablauf (T1) geringer als der vom Lebensdauer­ datenfeld festgelegte Zeitraum (T2) bemessen ist, d. h., das gilt T1 < T2.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass zusätzlich zu dem wenigstens einen Sicherheitsdatenfeld ein Bedienerdatenfeld realisiert wird, welches bedienerabhängig vorgegebene Zugriffsrechte mit einstellbarer Priorität definiert.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass zur Verarbeitung der mit dem oder den Sicherheitsdatenfeld(ern) bzw. Zusatzdatenfeld(ern) (Lebensdauerdatenfeld, Bedienerdatenfeld, Erstellungs­ datenfeld, Änderungsdatenfeld, etc.) flankierten Daten­ sätze (Rechner-)Programme vorgesehen sind, welche programmtechnisch und automatisch zur Interpretation der betreffenden Datenfelder in die Lage versetzt werden.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass ein oder mehrere übergeordnete Bediener uneingeschränkten Zugriff auf sämtliche Datensätze haben, wobei wahlweise eine Manipulation an dem betreffenden Datensatz nur dann durchgeführt wird, wenn die Bediener gemeinsam zugestimmt haben.
DE2000108153 2000-02-22 2000-02-22 Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff Withdrawn DE10008153A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2000108153 DE10008153A1 (de) 2000-02-22 2000-02-22 Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2000108153 DE10008153A1 (de) 2000-02-22 2000-02-22 Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff

Publications (1)

Publication Number Publication Date
DE10008153A1 true DE10008153A1 (de) 2001-06-21

Family

ID=7631903

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2000108153 Withdrawn DE10008153A1 (de) 2000-02-22 2000-02-22 Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff

Country Status (1)

Country Link
DE (1) DE10008153A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10202286A1 (de) * 2002-01-22 2003-07-31 Siemens Ag Verwaltungsverfahren für Datensätze mit personenbezogenen Inhalten mittels einer Recheneinrichtung

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0407060A2 (de) * 1989-06-30 1991-01-09 Novell, Inc. Verfahren zur Versorgung der Sicherung von Datei-Zwangsheimlichkeit und -Integrität in einem Computersystem
US5689699A (en) * 1992-12-23 1997-11-18 International Business Machines Corporation Dynamic verification of authorization in retention management schemes for data processing systems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0407060A2 (de) * 1989-06-30 1991-01-09 Novell, Inc. Verfahren zur Versorgung der Sicherung von Datei-Zwangsheimlichkeit und -Integrität in einem Computersystem
US5689699A (en) * 1992-12-23 1997-11-18 International Business Machines Corporation Dynamic verification of authorization in retention management schemes for data processing systems

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10202286A1 (de) * 2002-01-22 2003-07-31 Siemens Ag Verwaltungsverfahren für Datensätze mit personenbezogenen Inhalten mittels einer Recheneinrichtung
US7926088B2 (en) 2002-01-22 2011-04-12 Siemens Aktiengesellschaft Method for managing data records with person-related contents by means of a computer system

Similar Documents

Publication Publication Date Title
DE60022767T2 (de) Mehrpunkten dateibank synchronisierungsprotokoll um datenverfalschung zu vermeiden.
DE69934894T2 (de) Verfahren und vorrichtung zur wahlweisen einstellung des zugangs zu anwendungsmerkmalen
EP0855062B1 (de) Informationssystem und verfahren zur speicherung von daten in einem informationssystem
DE10348371A1 (de) Mehrfachorganisationsdatenzugriffsüberwachungs- und -managementsystem
DE112014000408B4 (de) Sicheres Speichern und Zugreifen auf digitale Artefakte
WO1999067749A1 (de) Anwendungsübergreifendes arbeitszeitblatt
EP1637955A1 (de) Erzeugung aktualisierbarer anonymisierter Datensätze für Test- und Entwicklungszwecke
EP0910829A1 (de) Datenbanksystem
EP1425661A2 (de) Visualisierung eines vergleichsergebnisses mindestens zweier in verzeichnisbäumen organisierter datenstrukturen
DE102012100113A1 (de) Verfahren, Software und Computersystem zur Handhabung von angesammelten Daten
EP1637954A1 (de) Erzeugung anonymisierter Datensätze aus produktiven Anwendungen
EP1637956A1 (de) Erzeugung anonymisierter Datensätze zum Testen und Entwickeln von Anwendungen
EP3364257A1 (de) Verfahren zum betrieb eines engineering-systems für ein industrielles prozessautomatisierungssystem und steuerungsprogramm
EP1163776A2 (de) Anonymisierungsverfahren
DE10008153A1 (de) Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff
DE102013222274A1 (de) System und Verfahren zum Visualisieren und Simulieren von personenbezogenen Wissensstrukturen in einem Unternehmen
DE19632499A1 (de) Verfahren zur graphischen Darstellung von Prozessen
DE10249482A1 (de) Verfahren und Computersystem zum Projektportfoliomanagement
DE69333197T2 (de) Elektronisches Notizbuch und Planer
DE102010064167A1 (de) Dynamische Berichtserstellung
EP0484362B1 (de) Verfahren zur zuordnung von datensätzen zu zeitwerten einer zeitlichen reihenfolge
DE10339112B4 (de) Verfahren zum Erzeugen mindestens eines Projekt-Referenzmodells, Verfahren zur Generierung einer strukturierten Konfigurationsinformation mittels eines solchen Projekt-Referenzmodells sowie Vorrichtung zur Durchführung, Verwaltung und Organisation solcher Verfahren
DE10348665B4 (de) Computergestütztes Datenbanksystem und Verfahren zum Betrieb hiervon
DE10016337B4 (de) Verfahren und Vorrichtung zur Erzeugung und Verarbeitung von Daten durch einen aktiven Strukturbaum
DE19911373A1 (de) Einrichtung und Verfahren zum Betrieb von Geschäftsprozessen in einem verteilten Informationsnetz

Legal Events

Date Code Title Description
OAV Applicant agreed to the publication of the unexamined application as to paragraph 31 lit. 2 z1
OP8 Request for examination as to paragraph 44 patent law
8139 Disposal/non-payment of the annual fee