-
Die Erfindung betrifft eine Vorrichtung zur mechanischen und/oder datentechnischen Verbindung von wenigstens zwei Datenverarbeitungsmodulen mit einem Daten zwischen den Datenverarbeitungsmodulen übertragenden Datenkabel und mit dem Datenkabel an gegenüberliegenden Endseiten desselben zugeordneten Verbindungselementen zur Befestigung des Datenkabels an den Datenverarbeitungsmodulen.
-
Die Erfindung betrifft ferner ein Verfahren zum Schutz einer Datenübertragung vor Manipulation, wobei Daten von einem ersten Datenverarbeitungsmodul über ein Datenkabel an ein zweites Datenverarbeitungsmodul übertragen werden.
-
In sicherheitsrelevanten Umgebungen, zum Beispiel in Geldautomaten, ist es notwendig, sensible Daten von einem ersten Datenverarbeitungsmodul an ein zweites Datenverarbeitungsmodul zu übertragen. Hierzu wird beispielsweise eine Schnittstellenleitung genutzt, welche ein Datenkabel zur Übertragung der Daten sowie Verbindungselemente zur Befestigung des Datenkabels an den beiden Datenverarbeitungsmodulen aufweist. Die sensiblen, beispielsweise persönlichen oder vertraulichen Daten, welche über das Datenkabel übertragen werden, müssen hierbei gegen unberechtigte Zugriffe geschützt werden. Eine Methode zum Schutz der sensiblen Daten besteht in der Verschlüsselung derselben. Dies ist jedoch insbesondere bei älteren Systemen nachträglich oft nicht möglich, da die Voraussetzungen für eine Verschlüsselung nicht vorliegen. Eine Nachrüstung der Komponenten verursacht üblicherweise einen unverhältnismäßig hohen Aufwand und ist daher in vielen Fällen wirtschaftlich nicht geboten. Demzufolge werden insbesondere bei älteren Systemen die Daten unverschlüsselt über Schnittstellenleitungen übertragen. Hierbei kann es zu Manipulationen kommen. Beispielsweise kann durch das unautorisierte Anbringen eines Zwischensteckers an dem Schnittstellenkabel und die Verbindung des Schnittstellenkabels über den Zwischenstecker mit einer elektronischen Steuerung, einem Rechner oder dergleichen die Möglichkeit zum Mitlesen bzw. Manipulieren der übertragenen Daten geschaffen werden. Um einen derartigen Zwischenstecker zu installieren, müssen die Verbindungselemente typischerweise von wenigstens einem Datenverarbeitungsmodul gelöst oder das Datenkabel durchtrennt werden. Während das Lösen der Verbindungselemente von dem Datenverarbeitungsmodul bzw. das Durchtrennen des Datenkabels im Betrieb noch erkannt werden können, ist dies bei einem ausgeschalteten System nicht möglich.
-
Aufgabe der vorliegenden Erfindung ist es daher, eine Schnittstellenleitung manipulationsgeschützt auszuführen und ein Verfahren zur manipulationsgeschützten Übertragung sensibler Daten anzugeben.
-
Zur Lösung dieser Aufgabe ist die erfindungsgemäße Vorrichtung dadurch gekennzeichnet, dass eine dem Datenkabel zugeordnete Überwachungseinheit vorgesehen ist zur Detektion einer zumindest vorübergehenden Unterbrechung wenigstens der datentechnischen Verbindung der Datenverarbeitungsmodule, wobei die Überwachungseinheit eine von der Energieversorgung der Datenverarbeitungsmodule unabhängige Energieversorgung aufweist.
-
Der besondere Vorteil der Erfindung besteht darin, dass durch des Vorsehen der dem Datenkabel zugeordneten Überwachungseinheit Manipulationen während des Betriebs der Datenverarbeitungsmodule und bei ausgeschalteten Datenverarbeitungsmodulen erkannt werden können. Die Überwachungseinheit wird getrennt von den Datenverarbeitungsmodulen bzw. sonstigen Funktionskomponenten des Systems mit Energie versorgt. Beispielsweise besitzt die Überwachungseinheit eine interne Energieversorgung (z. B. Akku) oder ist separat von den Datenverarbeitungsmodulen mit dem öffentlichen Stromnetz verbunden. Aus diesem Grund kann die Überwachungseinheit eine zumindest vorübergehende Unterbrechung der datentechnischen und/oder mechanischen Verbindung der Datenverarbeitungsmodule auch dann erkennen, wenn die Datenverarbeitungsmodule außer Betrieb sind. Hierdurch wird die Sicherheit des Systems signifikant erhöht und einer Manipulation wirkungsvoll vorgebeugt.
-
Zur Überwachung der datentechnischen Kopplung der Datenverarbeitungsmodule kann während des Betriebs beispielsweise das über das Datenkabel übertragene so genannte Handshake-Signal von der Überwachungseinheit deaktiviert werden. Wenn wenigstens ein Datenverarbeitungsmodul ausgeschaltet ist, kann zur Überprüfung der datentechnischen Kopplung beispielsweise ein Prüfsignal, insbesondere ein elektrisches Signal (Messströme), von der Überwachungseinheit auf das Datenkabel aufgeprägt werden. Aus dem Antwortverhalten kann dann auf den Verbindungszustand geschlossen und eine unzulässige Unterbrechung der Kopplung festgestellt werden.
-
Die Überwachungseinheit kann insbesondere als eine elektrische bzw. elektronische Schaltung ausgebildet sein. Beispielsweise kann die Überwachungseinheit dem Datenkabel mittelbar im Bereich eines Verbindungselements zugeordnet oder in einem der Verbindungselemente integriert sein. Bevorzugt ist die Überwachungseinheit dem Datenkabel unmittelbar zugeordnet, wobei die Überwachungseinheit zwischen einem Verbindungselement und dem Datenkabel oder zwischen zwei Datenkabelabschnitten angeordnet ist.
-
Nach einer bevorzugten Ausführungsform der Erfindung weist die Überwachungseinheit Mittel zur Detektion einer durchgehenden Masseverbindung von der Überwachungseinheit zu jeder der Datenverarbeitungsmodule auf. Vorteilhaft kann durch die Überwachung der Masseverbindung die kontinuierliche datentechnische Kopplung auch bei ausgeschalteten Datenverarbeitungsmodulen in besonders einfacher und zuverlässiger Weise überwacht werden. Abweichungen von einem elektrischen Referenzpotential indizieren hierbei die Unterbrechung der Verbindung.
-
Nach einer Weiterbildung der Erfindung weist die Überwachungseinheit Mittel auf zur zumindest vorübergehenden Trennung wenigstens einer Daten übertragenden Ader des Datenkabels. Vorteilhaft kann hierdurch ein Datentransfer unterbrochen werden, sobald von der Überwachungseinheit eine Manipulation an der Vorrichtung erkannt wird. Demzufolge ist ein Schutz vor einem fortwährenden Missbrauch gegeben.
-
Die Trennung kann beispielsweise softwaretechnisch realisiert sein, indem die Übertragung von Daten durch die Überwachungseinheit blockiert wird. Beispielsweise kann ein Schalter oder ein anderes schaltbares Bauelement zur hardwareseitigen Trennung vorgesehen sein.
-
Nach einer Weiterbildung der Erfindung weist die Überwachungseinheit Mittel auf zur Aufhebung der Trennung der Daten übertragenden Ader nach dem Empfang und der Verifikation eines Autorisierungscodes. Vorteilhaft kann die Vorrichtung in den Ausgangszustand zurückversetzt werden. Ein Austausch der Vorrichtung nach der Trennung der Daten übertragenden Ader des Datenkabels ist demzufolge entbehrlich. Der Autorisierungscode kann beispielsweise von einem Servicemitarbeiter an die Überwachungseinheit gesendet werden. Beispielsweise kann der Autorisierungscode mittels einer speziellen Freischaltfunktion an die Überwachungseinheit gesendet werden, wobei die Freischaltfunktion als eine Programmroutine beispielsweise auf einem der Datenverarbeitungsmodule ausgeführt wird. Beispielsweise kann die Freischaltfunktion auf einer zu Servicezwecken nur temporär mit der Überwachungseinheit verbundenen Serviceeinheit ausgeführt werden. Zur Verifikation kann der Autorisierungscode mit einem in der Überwachungseinheit gespeicherten Referenzcode verglichen werden.
-
Nach einer Weiterbildung der Erfindung ist eine zentrale Steuereinheit vorgesehen, die datentechnisch mit wenigstens einer Überwachungseinheit gekoppelt ist. Vorzugsweise ist die zentrale Steuereinheit mit zwei oder mehr Überwachungseinheiten verbunden. Vorteilhaft reduziert sich der Überwachungsaufwand durch das Vorsehen der zentralen Steuereinheit, da die zentrale Steuereinheit Daten von einer Vielzahl von Überwachungseinheiten empfängt, auswertet und Manipulationen an das Servicepersonal, den Systembetreiber oder eine andere autorisierte Institution meldet.
-
Nach einer Weiterbildung der Erfindung ist der Überwachungseinheit ein Speicherelement zugeordnet zur Speicherung einer eindeutigen Datenkabelidentnummer, wobei die Überwachungseinheit derart gestaltet ist, dass die Datenkabelidentnummer von wenigstens einem Datenverarbeitungsmodul über das Datenkabel aus dem Speicherelement auslesbar ist. Vorteilhaft wird hierdurch die Möglichkeit geschaffen, den nicht autorisierten, manipulativen Austausch der gesamten Vorrichtung zu erkennen. Beispielsweise wird die Datenkabelidentnummer bei der Inbetriebnahme der Datenverarbeitungsmodule oder in regelmäßigen bzw. unregelmäßigen Zeitintervallen aus dem Speicherelement ausgelesen und mit einer in dem Datenverarbeitungsmodul gespeicherten Referenznummer verglichen. Die Referenznummer wird beispielsweise bei der Installation oder Wartung des Systems in den Datenverarbeitungsmodulen gespeichert und identifiziert die bei der Installation bzw. bei einer nachfolgenden Wartung installierte Vorrichtung eindeutig. Dem unautorisierten Austausch der Originalvorrichtung gegen eine manipulierte Vorrichtung ist somit vorgebeugt.
-
Zur Lösung der Aufgabe ist das erfindungsgemäße Verfahren in Verbindung mit dem Oberbegriff des Patentanspruchs 8 dadurch gekennzeichnet, dass die datentechnische Kopplung des ersten Datenverarbeitungsmoduls mit dem zweiten Datenverarbeitungsmodul fortwährend überwacht und das Datenkabel für eine Datenübertragung gesperrt wird, sofern die datentechnische Kopplung des ersten Datenverarbeitungsmoduls und des zweiten Datenverarbeitungsmoduls zumindest vorübergehend unterbrochen worden ist.
-
Der besondere Vorteil der Erfindung besteht darin, dass bei einer auch nur vorübergehenden Unterbrechung der datentechnischen Kopplung des ersten Datenverarbeitungsmoduls mit dem zweiten Datenverarbeitungsmodul keine Daten übertragen werden. Demzufolge ist es nicht möglich, sensible Daten zu manipulieren oder während der Übertragung mitzulesen.
-
Nach einer bevorzugten Ausführungsform der Erfindung wird bei einer Inbetriebnahme des ersten Datenverarbeitungsmoduls und/oder des zweiten Datenverarbeitungsmoduls und/oder in regelmäßigen bzw. unregelmäßigen Zeitintervallen eine dem Datenkabel zugeordnete Datenkabelidentnummer an das erste Datenverarbeitungsmodul und/oder das zweite Datenverarbeitungsmodul übertragen und mit einer in dem ersten Datenverarbeitungsmodul und/oder dem zweiten Datenverarbeitungsmodul gespeicherten Referenznummer verglichen. Nur bei einem positiven Vergleich von Datenkabelidentnummer und Referenznummer werden Daten über das Datenkabel übertragen. Vorteilhaft wird hierdurch der unautorisierte Austausch der gesamten Vorrichtung zu Manipulationszwecken erkannt, sofern als Referenznummer die Datenkabelidentnummer des rechtmäßig installierten Datenkabels gespeichert wird. Ein Austausch der Originalvorrichtung gegen eine manipulierte Vorrichtung wird zuverlässig erkannt. Vorzugsweise ist die Datenkabelidentnummer dauerhaft in einem dem Datenkabel zugeordneten Speicherelement gespeichert. Die in wenigstens einem Datenverarbeitungsmodul gespeicherte Referenznummer wird vorzugsweise von einem autorisierten Servicemitarbeiter bei der Installation des Systems oder nach dem Austausch des Datenkabels in einem wiederbeschreibbaren oder austauschbaren Speicher abgelegt.
-
Weitere Vorteile der Erfindung ergeben sich aus den weiteren Unteransprüchen.
-
Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnungen näher erläutert.
-
Es zeigen:
-
1 eine erfindungsgemäße Vorrichtung zur Verbindung von zwei Datenverarbeitungsmodulen mit einer Überwachungseinheit und
-
2 eine Mehrzahl der erfindungsgemäßen Vorrichtung gemäß 1, wobei die Überwachungseinheiten der Vorrichtungen mit einer zentralen Steuereinheit datentechnisch verbunden sind.
-
Eine erfindungsgemäße Vorrichtung 1 nach 1 dient der mechanischen und/oder datentechnischen Verbindung eines ersten Datenverarbeitungsmoduls 2 mit einem zweiten Datenverarbeitungsmodul 3. Die Vorrichtung 1 weist hierzu als wesentliche Komponenten ein Datenkabel 4, zwei an gegenüberliegenden Enden des Datenkabels 4 angeordnete Verbindungselemente 5 zur Verbindung des Datenkabels 4 mit den Datenverarbeitungsmodulen 2, 3 sowie eine Überwachungseinheit 6 auf. Die Überwachungseinheit 6 ist dem Datenkabel 4 derart zugeordnet, dass das Datenkabel 4 durch die Überwachungseinheit 6 in einen ersten Datenkabelabschnitt 4' und einen zweiten Datenkabelabschnitt 4'' geteilt wird. Die Verbindungselemente 5 können beispielsweise in entsprechend gestalteten Schnittstellen der Datenverarbeitungsmodul 2, 3 eingesteckt und zur mechanischen Verbindung mit den Datenverarbeitungsmodulen 2, 3 verschraubt werden.
-
Die Vorrichtung 1 wird vorzugsweise in sicherheitsrelevanten Umgebungen, beispielsweise in Geldautomaten, zur Gewährleistung einer sicheren und vor Manipulationen geschützten Übertragung sensibler Daten zwischen den Datenverarbeitungsmodulen 2, 3 eingesetzt. Als Datenverarbeitungsmodule 2, 3 können beispielsweise ein zentrales Rechnermodul, eine Kartenleseeinheit und/oder andere dezentrale Steuermodule des Geldautomaten dienen.
-
Kerngedanke der Erfindung ist es hierbei, Manipulationen an der Vorrichtung 1 durch die integrierte Überwachungseinheit 6 sowohl im Betrieb als auch bei ausgeschaltetem System zuverlässig zu erkennen und ein Mitlesen bzw. Verändern der sensiblen Daten bei der Übertragung derselben zu verhindern. Es wird somit eine selbstüberwachende Vorrichtung 1 geschaffen, welche gegen Manipulationen wesentlich besser geschützt ist als die üblicherweise eingesetzten, passiven Schnittstellenleitungen.
-
Die Überwachungseinheit 6 weist beispielsweise einen nicht dargestellten, internen Energiespeicher zur Realisierung einer internen Energieversorgung auf. Durch das Vorsehen des internen Energiespeichers ist die Energieversorgung der Überwachungseinheit 6 unabhängig von der Energieversorgung der Datenverarbeitungsmodule 2, 3. Die Überwachungseinheit 6 wird mittels des internen Energiespeichers mit Energie versorgt, wenn die Datenverarbeitungsmodule 2, 3 ausgeschaltet sind. Beispielsweise kann der interne Energiespeicher so dimensioniert sein, dass die Überwachungseinheit 6 nach dem Abschalten des Systems sechs, zwölf oder vierundzwanzig Stunden weiterbetrieben werden kann. Die Überwachungseinheit 6 kann somit Manipulationen an der Vorrichtung 1, insbesondere ein Trennen der Verbindungselemente 5 von den Datenverarbeitungsmodulen 2, 3 oder ein Durchtrennen des Datenkabels 4, nicht nur während des Betriebs der Datenverarbeitungsmodule 2, 3, sondern auch im ausgeschalteten Zustand des Systems erkennen. Hierdurch ist ein besonders effektiver Schutz vor Manipulationen realisiert.
-
Statt eines internen Energiespeichers kann die Überwachungseinheit 6 eine beliebige andere, von der Energieversorgung der Datenverarbeitungsmodule 2, 3 unabhängige Energieversorgung aufweisen. Beispielsweise kann die Überwachungseinheit 6 separat mit dem öffentlichen Stromnetz verbunden sein.
-
Die Überwachungseinheit 6 ist typischerweise als eine elektrische bzw. elektronische Schaltung ausgebildet. Die Überwachungseinheit 6 überwacht während des Betriebs beispielsweise das Handshake-Signal, welches von den miteinander verbundenen Datenverarbeitungsmodulen 2, 3 über das Datenkabel 4 übertragen wird. Um eine Unterbrechung der datentechnischen Kopplung der Datenverarbeitungsmodule 2, 3 auch im ausgeschalteten Zustand erkennen und einer Manipulation vorbeugen zu können, wird mittels der Überwachungseinheit 6 die Masseverbindung zu den Datenverarbeitungsmodulen 2, 3 überwacht. Ein Abfall des Referenzpotentials kennzeichnet hierbei die Unterbrechung der datentechnischen Kopplung.
-
Die Überwachungseinheit 6 weist zum Schutz vor Manipulationen zudem Mittel zur zumindest vorübergehenden Trennung einer Daten übertragenden Ader des Datenkabels 4 auf. Als Mittel zum Trennen der Daten übertragenden Ader können beispielsweise klassische elektrische Schalter oder elektronische Bauelemente, insbesondere Transistoren, MOSFETs, TRIACs, Thyristoren, Photorelays usw. eingesetzt werden. Die Daten übertragende Ader kann hierbei physikalisch getrennt werden. Ebenso kann die Trennung softwaretechnisch realisiert werden, wobei die Übertragung der Daten durch die Überwachungseinheit 6 blockiert bzw. gesperrt wird.
-
Die Überwachungseinheit 6 weist ferner Mittel zur Aufhebung der Trennung der Daten übertragenden Ader auf. Die Trennung kann beispielsweise aufgehoben werden, nachdem ein Autorisierungscode 7 von der Überwachungseinheit 6 empfangen und verifiziert wurde. Der Autorisierungscode 7 wird beispielsweise von einer zu Wartungszwecken an die Überwachungseinheit 6 angeschlossenen Serviceeinheit 8 an die Überwachungseinheit 6 übertragen. Die Serviceeinheit 8 ist beispielsweise als ein mobiler Rechner ausgebildet. Die Überwachungseinheit 6 vergleicht den Autorisierungscode 7 mit einem Referenzcode 9, der in einem Speicherelement 10 der Überwachungseinheit 6 abgelegt ist.
-
Im vorliegenden Ausführungsbeispiel der Erfindung ist die Serviceeinheit 8 lediglich exemplarisch mit der Überwachungseinheit 6 verbunden. Die Serviceeinheit 8 kann beispielsweise mit einem der Datenverarbeitungsmodule 2, 3 verbunden werden und über das Datenverarbeitungsmodul 2, 3 mit der Überwachungseinheit 6 kommunizieren. Ebenso ist es möglich, statt einer separaten Serviceeinheit 8 Dateneingabemittel des Datenverarbeitungsmoduls 2, 3 zur Eingabe des Autorisierungscodes 7 zu nutzen. Beispielsweise kann die Überwachungseinheit 6 selbst Eingabemittel zur Eingabe des Autorisierungscodes 7 aufweisen.
-
In dem Speicherelement 10 der Überwachungseinheit 6 ist neben dem Referenzcode 9 eine Datenkabelidentnummer 11 gespeichert. Die Datenkabelidentnummer 11 dient zur eindeutigen Identifizierung der Vorrichtung 1. Mittels der Datenkabelidentnummer 11 kann der (nicht autorisierte) Austausch der kompletten Vorrichtung 1 gegen eine manipulierte Vorrichtung erkannt werden. Zu diesem Zweck wird die der Überwachungseinheit 4 zugeordnete Datenkabelidentnummer 11 bei einer Inbetriebnahme des ersten Datenverarbeitungsmoduls 2 und/oder des zweiten Datenverarbeitungsmoduls 3 und/oder in regelmäßigen bzw. unregelmäßigen Zeitintervallen an das erste Datenverarbeitungsmodul 2 und/oder an das zweite Datenverarbeitungsmodul 3 übertragen und mit einer in dem ersten Datenverarbeitungsmodul 2 und/oder dem zweiten Datenverarbeitungsmodul 3 gespeicherten Referenznummer 12 verglichen. Nur bei einem positiven Vergleich werden sensible Daten über das Datenkabel 4 zwischen den Datenverarbeitungsmodulen 2, 3 ausgetauscht. Ansonsten wird die Datenverbindung getrennt und eine Datenübertragung unterbrochen bzw. blockiert.
-
Das Datenkabel 4 ist vorzugsweise als ein serielles Datenkabel 4 ausgeführt. Es kann beispielsweise als ein USB-Kabel, als ein Kabel für eine RS232-Schnittstelle oder als ein Kabel für eine RS485-Schnittstelle ausgebildet sein.
-
Weiterhin kann zum Schutz vor Manipulationen vorgesehen sein, dass die über das Datenkabel 4 übertragenen Daten von der Vorrichtung 1 verschlüsselt werden. Zu diesem Zweck kann im Bereich der Verbindungselemente 5 eine integrierte Ver- und/oder Entschlüsselung der sensiblen Daten durchgeführt werden. Den Verbindungselementen 5 sind zu diesem Zweck nicht dargestellte Codier- und Decodiermittel zugeordnet.
-
Nach einem Ausführungsbeispiel der Erfindung gemäß 2 sind eine Mehrzahl von Vorrichtungen 1 vorgesehen zur datentechnischen und/oder mechanischen Verbindung diverser Datenverarbeitungsmodule 2, 3. Die Überwachungseinheiten 6 der Vorrichtungen 1 sind hierbei datentechnisch mit einer zentralen Steuereinheit 13 verbunden. Von den dezentralen Überwachungseinheiten 6 festgestellte Manipulationen an den Vorrichtungen 1 werden der zentralen Steuereinheit 13 übermittelt.
-
Gleiche Bauteile und Bauteilfunktionen der Ausführungsbeispiele sind mit den gleichen Bezugsziffern versehen.
-
Die zentrale Steuereinheit 13 weist beispielsweise einen zentralen Energiespeicher 14 auf. Der Energiespeicher 14 dient zur Energieversorgung der zentralen Steuereinheit 13. Ferner dient der Energiespeicher 14 der Versorgung der Überwachungseinheiten 6 mit Energie. Zu diesem Zweck ist der Energiespeicher 14 der zentralen Steuereinheit 13 mit den dezentralen Überwachungseinheiten 6 verbunden. Die Energieversorgung der dezentralen Überwachungseinheiten 6 erfolgt beispielsweise über ein USB-Versorgungskabel 15, welches zugleich zur Übertragung von Daten von den dezentralen Überwachungseinheiten 6 an die zentrale Steuereinheit 13 genutzt werden kann. Die Stromversorgung der Überwachungseinheit 6 einerseits und die Datenübertragung von der Überwachungseinheit 6 an die zentrale Steuereinheit 13 andererseits können auch über getrennte Leitungen realisiert werden.
-
Bezugszeichenliste
-
- 1
- Vorrichtung
- 2
- Datenverarbeitungsmodul
- 3
- Datenverarbeitungsmodul
- 4
- Datenkabel
- 5
- Verbindungselement
- 6
- Überwachungseinheit
- 7
- Autorisierungscode
- 8
- Serviceeinheit
- 9
- Referenzcode
- 10
- Speicherelement
- 11
- Datenkabelidentnummer
- 12
- Referenznummer
- 13
- zentrale Steuereinheit
- 14
- Energiespeicher
- 15
- Versorgungskabel