DE102011077513A1 - Verfahren zur sicheren Verarbeitung von Daten - Google Patents

Verfahren zur sicheren Verarbeitung von Daten Download PDF

Info

Publication number
DE102011077513A1
DE102011077513A1 DE102011077513A DE102011077513A DE102011077513A1 DE 102011077513 A1 DE102011077513 A1 DE 102011077513A1 DE 102011077513 A DE102011077513 A DE 102011077513A DE 102011077513 A DE102011077513 A DE 102011077513A DE 102011077513 A1 DE102011077513 A1 DE 102011077513A1
Authority
DE
Germany
Prior art keywords
safe
data
user
record
owner
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011077513A
Other languages
English (en)
Inventor
Christian Breitenstrom
Jens Klessmann
Andreas Penski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Original Assignee
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV filed Critical Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority to DE102011077513A priority Critical patent/DE102011077513A1/de
Publication of DE102011077513A1 publication Critical patent/DE102011077513A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • G06F16/1824Distributed file systems implemented using Network-attached Storage [NAS] architecture
    • G06F16/1827Management specifically adapted to NAS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur sicheren Verarbeitung von Daten, insbesondere in einem elektronischen Safe (10) gespeicherten Daten durch mindestens einen Safe-Nutzer (2), wobei a) ein Client, insbesondere ein Safe-Client (100, 201, 202) einem Nutzer, insbesondere einem Safe-Nutzer (2) einen ersten Autorisierungsdatensatz (20) automatisch zur Verfügung stellt, b) dem der Nutzer auf einer vom Client (100, 201, 202) getrennten Authentifizierungsvorrichtung (22) automatisch einen zweiten Autorisierungsdatensatz (21) zur Verfügung stellt, so dass c) ein Vergleich zur Authentifizierung des Clients (100, 201, 202) zwischen dem ersten und zweiten Autorisierungsdatensatz (20, 21) für den Nutzer (2) ermöglicht wird.

Description

  • Die Erfindung betrifft ein Verfahren zur sicheren Verarbeitung von Daten mit den Merkmalen des Anspruchs 1.
  • Durch Systeme elektronischer Datenverarbeitung werden Geschäfts- und Verwaltungsprozesse beschleunigt und vereinfacht. Mit einer eher prozessorientierten Abarbeitung von Dienstleistungen – also der sinnvollen Bündelung einzelner Services zu bedarfsgerechten Paketen – kann eine höhere Qualität der im Internet angebotenen Dienste entstehen. Zunächst steht jedoch zu Beginn jedes Prozesses die Erhebung der Daten des Nutzers (z. B. eines Antragstellers oder eines Kunden und/oder eines Safe-Nutzers (in der folgenden Terminologie).
  • Da keine einzelne Leistung beauftragt wird, sondern u. U. mehrere Einzelaufträge abzuwickeln sind, entsteht ein sehr großer Aufwand bei der Erfassung von Daten, insbesondere durch die wiederkehrende Erfassung derselben Daten für mehrere Aufträge, was häufig zu einem Abbruch der begonnenen Transaktionen führt.
  • Bisher ist der gesamte Prozess relativ ineffizient und zudem unsicher.
  • 1) Erfassung:
  • Zunächst müssen die Daten für die Verwendung durch einen Geschäfts- oder Verwaltungsprozess erfasst werden. Dies erfolgt üblicherweise von Eingabeportal zu Eingabeportal unterschiedlich. Nahezu jedes Formular an einem Eingabeportal reagiert unterschiedlich und folgt anderen gestalterischen Gesichtspunkten. Häufige Software-Updates z. B. der PDF-Reader, Flash-Viewer sind erforderlich, um Sicherheitslücken zu beheben. Dies schafft Inkompatibilitäten. Es ist nicht transparent, welche Software sich wo einmal eingegebene Daten merkt und ggf. wieder auslesen kann. Update-Vorgänge geschehen auf völlig unterschiedliche Art und Weise.
  • 2) Client-Sicherheit:
  • Im Prozess der Datenerfassung müssen die Daten vom Client des Nutzers an das Eingabeportal des Anbieters der Dienstleistung übertragen werden. Die Vielzahl der täglich in Umlauf kommenden Computerviren macht es für den Nutzer problematisch, die im Internet angebotenen Dienstleistungen zu nutzen. Die Dienstleistungsanbieter, insbesondere öffentliche Stellen, können nicht davon ausgehen, dass der Nutzer immer in der Lage ist, seinen heimischen PC frei von Schadsoftware zu halten.
  • 3) Vertrauen, Transparenz:
  • Nachdem die sensiblen Daten des Nutzers an den Anbieter übertragen wurden, werden sie als Entscheidungsgrundlage häufig an vielen verschiedenen Stellen aufbewahrt, ohne dass der Nutzer als Eigentümer der Daten die Kontrolle darüber hat. Der Eigentümer der Daten kann die Haltung, die Verwertung und das Löschen der Daten de facto nicht prüfen oder beeinflussen.
  • Die Weitergabe der fallbezogenen sensiblen personenbezogenen Daten innerhalb von Institutionen als auch zwischen unterschiedlichen Institutionen erfolgt meist ohne Steuerungsmöglichkeit bzw. Benachrichtigung des Nutzers. Die nicht abreißende Folge von Datenverlusten bei öffentlichen und privaten Stellen zeigt: die Aufbewahrung sensitiver Daten beim Anbieter ist zumeist unsicher.
  • Daraus ergibt sich eine diffuse Unsicherheit gegenüber kooperativen elektronischen Dienstleistungsprozessen, weil der Nutzer nicht einschätzen kann, wo seine Daten sicher aufgehoben sind und wo nicht. Durch die oben beschriebene Komplexität der Datensicherheit kann der Nutzer nicht sicher sein, dass seine Daten nicht weitergegeben, auf USB-Sticks kopiert oder per E-Mail versendet werden, ohne dass er zugestimmt hat.
  • 4) Datenverlust beim Nutzer:
  • Aber auch, wenn man die Probleme der Aufbewahrung sensitiver Daten beim Anbieter zu vermeiden versucht: Die streng dezentrale Aufbewahrung der digitalen Daten beim Nutzer beinhaltet die Möglichkeit des Datenverlustes. Deshalb erfordert die dezentrale Aufbewahrung digitaler Daten entsprechende Datensicherungen und/oder Konvertierungen etc., deren Komplexität oftmals die Fähigkeiten des Nutzers übersteigt.
  • 5) Verarbeitung:
  • In sehr vielen Institutionen wird die eigentliche Dienstleistung direkt auf Basis der in den Prozess eingespeisten Daten erbracht. Dabei werden die Daten durch Softwaresysteme verarbeitet, aggregiert, Berechnungen ausgeführt etc. Die Daten sind somit nicht gegen unerlaubte Weitergabe, Kopieren oder Verfälschen geschützt.
  • 6) Kosten:
  • Schließlich entstehen in den beschriebenen Prozessen für die elektronische Verarbeitung von Daten und Dokumenten in Geschäftsprozessen erhebliche Kosten. Die Aufbewahrung sensibler Daten (im Verwaltungsbereich z. B. nach SGB II) muss die Kriterien Verfügbarkeit, Integrität und Vertraulichkeit erfüllen. Damit werden die umzusetzenden Mechanismen sehr teuer. Oftmals existieren bei öffentlichen Einrichtungen eigene IT-Abteilungen, weil argumentiert wird, dass die gesetzlichen Anforderungen anders nicht erfüllt werden können.
  • Somit erfolgt die Einbeziehung von Dokumenten oder Daten in Prozesse meist so, dass diese Daten bzw. Dokumente auf zentralen Speicherstrukturen zumindest zeitweise unverschlüsselt vorliegen.
  • Grundlegende Prinzipien des Identity-Managements beinhalten Identity- bzw. Attribute-Provider, die bestimmte sensitive Daten nur nach Zustimmung des Eigentümers herausgeben. Diese Daten liegen jedoch aufgrund dieser Prinzipien zumindest zeitweise beim Identity- bzw. Attribute-Provider im Klartext vor.
  • Das Abspeichern der Daten bei Unternehmen und Verwaltungen geschieht in Datenbanken, die teils Klartext, teils verschlüsselte Daten beinhalten. Für Administratoren sind diese Daten jedoch meist im Zugriff.
  • Um das Problem des „Vertrauens in die Anzeige” (Trusted Display) zu lösen wurde in Dirk Weber, Arnd Weber, Stephone Lo Presti, "Requirements and Design Guidelines for a Trusted Hypervisor Interface", p. 178–189, erschienen in "Future of Trust in Computing", Proc. of the First International Conference Future of Trust in Computing 2008, vorgeschlagen, auf dem Bildschirm des Nutzers mit einem sichtbaren Wasserzeichen kenntlich zu machen, wenn er mit einem vertrauenswürdigen System arbeitet. Das Wasserzeichen wird jedoch auf dem PC selbst angezeigt und ist deshalb nicht geeignet, mit Sicherheit zu vermitteln, dass der Nutzer tatsächlich einen „vertrauenswürdigen Bereich” (Trusted Compartment) bearbeitet.
  • Für die oben genannten Problemstellungen wurde ein Modell aus verschiedenen Komponenten und Services entwickelt, das als elektronischer Safe für Daten und Dokumente bezeichnet wird. Grundsätzlich sind seit der Mitte der neunziger Jahre technische Mittel als elektronische Safes für Dokumente bekannt.
  • Leistungsfähigkeit und Fehlertoleranz sind Gegenstand von Paul, A. et al. (2007), "e-SAFE: An Extensible, Secure and Fault Tolerant Storage System", Proc. IEEE Self-Adaptive and Self-Organizing Systems, (SASO '07), IEEE Press, pp. 257–268, doi: 10.1109/SASO.2007.21,
  • Die Vertraulichkeit in verteilten, nicht vertrauenswürdigen Speicherumgebungen wird in folgenden Veröffentlichungen diskutiert:
    Zhang, et al. (2008), „Towards A Secure Distribute Storage System", Advanced Communication Technology, (ICACT 2008), IEEE Press, Apr. 2008, pp. 1612–1617, doi: 10.1109/ICACT.2008.4494090), ( US-A 7,349,987 ), (Iyengar, A. et al. (1998), "Design and Implementation of a Secure Distributed Data Repository", In Proc. of the 14th IFIP Internat. Information Security Conf., pp. 123–135.) (Kubiatowicz et al. (2000), "Oceanstore: An architecture for global-scale persistent storage", Proc. of the ninth international conference on Architectural support for programming languages and operating systems (ASPLOS '00), ACM SIGARCH Computer Architecture News, Dec. 2000, pp. 190–201, ISSN: 0163–5964), as distributed p2p systems (US Patent Application 20060078127), as smart card extension ( US-A 7,206,847 ), as backup.
  • Dieses Modell und die dazugehörigen Kommunikationsprotokolle ermöglichen es jedoch nicht, dass Daten aktiv vom Eigentümer versendet werden oder dass diese Daten – wie bei prozessorientierter Vorgehensweise üblich – von Stelle zu Stelle weitergegeben werden können: Daten werden geändert, ergänzt oder neu erstellt.
  • Die Daten wieder in den elektronischen Safe zurückzuschreiben und vom folgenden Teilnehmer anfordern zu lassen ist eine Möglichkeit, die mehrere Nachteile hat:
    • • Der Safe-Eigentümer wird involviert, obwohl er nicht immer involviert werden möchte.
    • • Der Prozess kommt durch die fällige Freigabe ins Stocken.
    • • Für jegliche Daten, die so ausgetauscht werden, ist das Safe-Datenmodell zu erweitern, um die Daten über die bisherigen Mittel abfragen zu können. Der Safe-Eigentümer sieht sich damit unnötiger Komplexität gegenüber, die ihn überhaupt nicht betrifft.
  • Es wurde stattdessen nach einem neuen Modell mit dazugehörigen Kommunikationsprotokollen gesucht, das zur flexiblen, vertrauenswürdigen Weitergabe von Daten geeignet ist und das zusätzlich die folgenden Bedingungen erfüllt:
    • 1. Der Safe-Eigentümer soll in der Lage sein, Teilnehmern des Prozesses Daten für ihren Prozessschritt zur Verfügung stellen.
    • 2. Ad-hoc-Prozesse sollen möglich sein. Somit ist nicht davon auszugehen, dass zu Beginn des Prozesses alle Teilnehmer des Prozesses (Safe-Nutzer) bekannt sind.
    • 3. Der Safe-Eigentümer soll immer in der Lage sein, die transferierten Daten zu sehen.
    • 4. Der Safe-Eigentümer soll in der Lage sein, seine Sicherheitseinstellungen zu ändern, während der Prozess schon läuft. Der Safe-Eigentümer muss in der Lage sein, den Zugriff auf transferierte Daten zu stoppen.
    • 5. Der Safe-Eigentümer soll in der Lage sein, unter verschiedenen Sicherheits-Niveaus zu wählen.
    • 6. Der Safe-Eigentümer soll sehen können, wer wann auf welche Daten zugegriffen hat.
    • 7. Die Kommunikation über den Safe soll unbeobachtbar sein.
    • B. Der Safe-Eigentümer soll in der Lage sein, Safe-Nutzer nach verschiedenen Kriterien zu suchen.
    • 9. Der Prozess darf nicht stoppen, wenn ein Teilnehmer des Prozesses im Urlaub oder nicht mehr anwesend ist. Sendende Safe-Nutzer und/oder ein vom Safe-Nutzer entsprechend, für bestimmte Bereiche autorisierter Prozessadministrator muss in der Lage sein, den Zugriff auf Daten einem anderen Empfänger zuzuordnen.
  • Gegenstand dieser Erfindung sind Verfahren zur sicheren und effizienten Erfassung, Bearbeitung und Weitergabe von Daten und Dokumenten entlang einer Prozesskette.
  • Verschiedene Ausführungsformen der Verfahren und der Vorrichtung werden im Folgenden beispielhaft dargestellt. Dabei zeigt
  • 1 einen Überblick über das Zusammenwirken von Safe-Eigentümer und Safe-Nutzer, über Komponenten des Safe und solche zur Überprüfung der Authentizität des safe-Client;
  • 2 eine schematische Übersicht über die logische Gliederung des elektronischen Safes;
  • 3 eine Darstellung einer Initialisierung des elektronischen Safes;
  • 4 Ausschnitt eines Bildschirms mit einer Ausführungsform für eine Überprüfung der Authentizität des Safe-Client mit einem mobilen Gerät;
  • 57 Sequenzdiagramme für die nutzerseitig initiierten Datentransfers bei Ausführungsformen.
  • Das im Folgenden skizzierte Verfahren umfasst mehrere Teile, mit denen die zuvor dargestellten Probleme gelöst werden können. In 1 ist eine zusammenfassende Darstellung des Verfahrens und des Systems gegeben. In 2 wird der grundsätzliche Aufbau eines elektronischen Safes 10 beschrieben. In der dargestellten Ausführungsform des elektronischen Safes 10 sind drei Bereiche für die Speicherung von Datensätzen vorgesehen: ein Bereich für eingehende Daten (inbox) 101, ein Bereich für ausgehende Daten (outbox) 102, sowie ein Bereich für die eigentlichen Inhalte 103 des elektronischen Safes 10. Des Weiteren enthält der elektronische Safe 10 noch einen Speicherbereich 104 mit gespeicherten Prozessen, die für die Verarbeitung der Daten im Zusammenhang mit dem elektronischen Safe 100 eine Rolle spielen.
  • Safe Verifikation ohne Störung der Arbeitsabläufe
  • Dem Safe-Eigentümer 1 (z. B. ein Bürger, ein Kunde, ein Antragsteller) oder dem mindestens einen Safe-Nutzer 2 (In 1 werden 1 bis n Safe-Nutzer angegeben) soll eine Einschätzung zur Sicherheit seines jeweiligen Safe Clients 100, 201, 202 gegeben werden. Safe Clients 100, 201, 202 sind Programme, die auf Rechnern des Safe-Eigentümers 1 und/oder der Safe Nutzer 2 laufen, um die Arbeit mit dem elektronischen Safe 10 zu ermöglichen. Typische Safe-Nutzer 2 können z. B. Mitarbeiter von Behörden oder Firmen sein.
  • Der elektronische Safe 10 ist hier schematisch mit einigen seiner Eigenschaften (z. B. einer Safe Transferbox 12) dargestellt, die im Folgenden erläutert werden.
  • Es liegt in der Natur der Sache, dass es dem Safe-Eigentümer 1 oder Safe-Nutzer 2 nicht möglich ist, anhand eines Bildschirmes zu erkennen, ob er die Ausgabe seiner Anwendung (z. B. Web-Browsers) sieht oder ein von einem heimtückischen Virus erzeugtes digitales Bildschirmabbild, das so aussieht, als ob es von eben diesem Programm (Web-Browser) stammen würde. Einem bösartigen Programm ist es möglich, die Bildschirmausgabe eines anderen Programms so zu ändern, dass z. B. Geldbeträge verändert sind, Willenserklärungen unvollständig dargestellt sind etc. Für den elektronischen Safe wäre dies ein starker Vertrauensverlust.
  • Deshalb wird in einer Ausführungsform folgendes Verfahren eingesetzt:
    Ein Attestierungsprotokoll zwischen Safe-Client 100, 201, 202 und Safe-Provider sieht vor, bei jeder erfolgreichen Attestierung des Safe-Clients 100, 201, 202 gegenüber dem Safe-Provider den Namen, den Index in einer Liste und/oder einen Link eines safe-spezifischen, in seiner Gültigkeit zeitlich, begrenzten Bildes, d. h. eines ersten Autorisierungsdatensatzes 20 (Zeitraum z. B. 10 min) an den Safe-Client zu übermitteln.
  • Dieses Bild 20 ist eine Auswahl aus einer genügend großen Anzahl von Bildern, die am Safe-Client 100, 201, 202 verfügbar sind. Es wird z. B. vom Safe-Client 100, 201, 202 an prädestinierter Stelle angezeigt.
  • Durch die prädestinierte Platzierung kann der Safe-Nutzer 2 sicherer sein, dass diese Art der Authentifizierung korrekt ist; ein falsch platzierter erster Autorisierungsdatensatz 20 würde sein Misstrauen wecken.
  • In der vorliegenden Ausführungsform ist der erste Autorisierungsdatensatz 21 ein Bild. Alternativ oder zusätzlich kann auch eine Sounddatei abgespielt werden. Es ist auch möglich, dass eine Animation auf dem Safe-Client 100, 201, 202 erzeugt wird, die den Nutzer nicht von der eigentlichen Arbeit ablenkt, wie z. B. ein vorübergehende farbliche Änderung am Bildschirmrand. Der erste Autorisierungsdatensatz 20 kann auch ein formatierter oder unformatierter Text sein, der sich leicht und schnell mit einem anderen Text vergleichen lässt.
  • Der Nutzer des Safe-Clients 100, 201, 202 erhält zusätzlich die Möglichkeit, über den Safe-Client 100, 201, 202 weitere Authentifizierungsvorrichtungen 22 zur Kontrolle des ersten Autorisierungsdatensatzes 21 einzurichten. Mit Hilfe eines mobilen Safe-Clients kann der Safe-Nutzer 2 dieses zeitlich sich ändernde Bild verifizieren, wann immer er möchte.
  • Er kann z. B. sein Smart Phone mit einer Authentifizierungsvorrichtung 22 neben seinen Bildschirm stellen und gelegentlich auf die Übereinstimmung der Bilder achten. Die Authentifizierungsvorrichtung 22 ist z. B. eine Software auf einem Smartphone.
  • Somit kann ein Angreifer nicht wissen, wann der Zustand des Safe-Clients 100, 201, 202 überwacht wird, und diese zusätzliche Sicherheit stört die gewohnten Arbeitsabläufe in keiner Weise. Wichtig ist, dass nur Safe-Client und/oder Authentifizierungsvorrichtungen 22, die vom Server als vertrauenswürdig eingestuft werden, Zugriff auf das richtige – gerade aktuelle – Bild (d. h. die Autorisierungsdatensätze 20, 21) erhalten.
  • In 4 ist eine Ausführungsform in Zusammenhang mit einem elektronischen Safe beschrieben. Grundsätzlich ist es aber möglich, die Überprüfung der Authentizität eines Client mit Autorisierungsdatensätzen 20, 21 auch ohne einen elektronischen Safe zu betreiben.
  • Safe-Formulare Erfassung und Verarbeitung von Daten direkt über den Safe
  • Safe-Formulare 11 sind ein Mittel zur Erfassung und Bearbeitung von Daten im elektronischen Safe 10.
  • Anstatt die Daten dort zu erfassen, wo sie benötigt werden (z. B. bei Anträgen an die öffentliche Verwaltung im Verwaltungsportal, bei e-Business-Anwendungen auf der Firmen-Website), werden die Daten immer im elektronischen Safe 10 erfasst und von dort aus in den Prozess verteilt.
  • Alle für öffentliche und nichtöffentliche Dienstleister notwendigen Daten, die bisher über Formulare oder Webanwendungen erfasst werden, lassen sich auf Daten abbilden, die der Eigentümer im Safe gespeichert hat. Die im Safe gespeicherten Daten lassen sich so häufig wiederverwenden.
  • Der elektronische Safe 10 beinhaltet die Möglichkeit, durch Dritthersteller Abbildungen von Antragsdaten zu Safe-Daten einzuspeisen. Somit müssen Portale öffentlicher Verwaltungen keine Formulare bereitstellen, um Anträge online zu erfassen.
  • Der Safe-Eigentümer 1 hat eine grafische Benutzeroberfläche, mit der er theoretisch alle Verwaltungen erreichen kann.
  • Diese eine Benutzeroberfläche reagiert immer auf bekannte Art und Weise, was die gefühlte Sicherheit des Safe-Eigentümers 1 erhöht.
  • Die Erfassung der Daten lässt sich unterbrechen und beliebig fortsetzen und ist komfortabler als gängige Web-Anwendungen.
  • Dem Bearbeiter der Daten ist es möglich, sich virtuell in einen Teil des elektronischen Safes 10 zu begeben (Kopie des Safe-Inhaltes), dort alle Daten zu sehen und im Sinne eines Bescheides zu bearbeiten. Dabei kann der Bearbeiter (z. B. ein Safe Nutzer) keine Daten aus dem Safe herausnehmen, im Dateisystem ablegen, per E-Mail versenden etc. Die Ausführung als minimales Trusted Compartment verhindert, dass die einmal eingegebenen Daten über Drittanwendungen (es gibt keine) unbemerkt weitergegeben werden.
  • Safe-Regeln – automatisierte Erstellung von Vorbewertungen und Bescheiden im Safe, Einbindung in unsichere Prozesse Wie oben beschrieben, wird der Safe-Client 100, 201, 202 selbst zur vertrauenswürdigen Instanz, da er sich gegen die Serverinfrastruktur und die SmartCard attestieren muss.
  • Auf dieser Grundlage werden die vom Safe-Eigentümer 1 editierten Daten vom Safe Client 100, 201, 202 nach vordefinierten Safe-Regeln 13 verarbeitet. Da der Safe-Client 100, 201, 202 nachweislich unverändert ist, kann die Software Bewertungen der Datenlage erstellen, und diese dann signieren. Die signierte Bewertung (Vorbewertung) geht in pseudonymisierter Form in nachfolgende Stationen eines Workflows ein, ohne dass dabei vom Safe-Client 100, 201, 202 identifizierende Merkmale der Daten des Safe-Eigentümers 1 weitergereicht werden. Somit ist der Schutzbedarf der resultierenden Vorbewertung wesentlich unkritischer als der Schutzbedarf der ursprünglichen Daten.
  • Aus der Vorbewertung wird in automatisierbaren Prozessen eine Autorisierung (Bescheid) abgeleitet, die dem Safe-Eigentümer 1 direkt wieder in den elektronischen Safe 10 eingestellt wird. Wenn der Bescheid auf Basis eines Pseudonyms erteilt wurde, generiert der elektronische Safe 10 daraus einen personalisierten Bescheid, da er über die identifizierenden Daten verfügt und kryptographisch nachweisen kann, dass der Safe-Eigentümer über das im Bescheid angegebene Pseudonym verfügt.
  • Für die Verarbeitung sensibler Daten durch Drittsysteme werden die Daten aus dem Safe 10 ebenfalls pseudonymisiert freigegeben. Der Fall bleibt über das Pseudonym und eine Fall-Identifikation zuordenbar, die identifizierenden Daten des Safe-Eigentümers 1 werden jedoch entfernt. Wo es bisher notwendig war, die persönliche Adresse für die Zustellung des Bescheides anzugeben, ist es jetzt möglich, einen Transportservice (z. B. Post) unter Angabe der Kombination aus Pseudonym und Fall-Identifikation zu ermächtigen, den Bescheid beim Dienstleister abzuholen und zum Eigentümer zu befördern. Somit bleiben die Falldaten unverkettbar zur Person des Eigentümers.
  • Safe-Transferbox Übergabe von Daten über den Safe Der vorgesehene Ansatz wird stark verallgemeinert, indem der Mechanismus des Übergabedatensatzes 12 (im Folgenden auch als Transferbox bezeichnet) eingeführt wird. Die Transferbox 12 stellt eine Kopplung von verschiedenen Datensätzen dar, die z. B. Inhalte (z. B. Textdokumente) mit Zusatzdaten (z. B. Zugangserlaubnissen, Anweisungen für die Durchführung von Prozessen im Folgenden etc.) verbindet. In der Funktion ist die Transferbox 12 eine Art Postfach, das mit bestimmten Regeln verknüpft ist.
  • Die Transferbox 12 dient sowohl dem Austausch von Daten und Dokumenten zwischen Safe-Nutzern 2 untereinander als auch zwischen Safe-Eigentümer 1 und Safe-Nutzern 2.
  • Ein Datensatz 15, der/die in einer Transferbox 12 abgelegt ist, muss für den Empfänger (d. h. einen Safe-Nutzer 2) und immer auch für den Safe-Eigentümer 1 entschlüsselbar sein. Wenn im Folgenden von dem Ablegen oder Speichern eines Datensatzes 15 in einer Transferbox 12 gesprochen wird, so ist dies so zu verstehen, dass die Transferbox 12 einem mit dem elektronischen Safe 10 gekoppelten Übergabedatensatz 12 entspricht, der Bedingungen 16 enthält, die den Zugriff auf den Datensatz 15 regeln. Diese Bedingungen betreffen z. B. Abfragen, deren Wahrheitsgehalt (wahr/nicht wahr) sich erst nach dem Aufstellen der Bedingungen 16 feststellen lässt. So lässt sich eine Bedingung 16 formulieren, die sagt, dass der Datensatz 15 erst dann bearbeitet werden kann, wenn von extern ein weiterer Datensatz zur Verfügung gestellt wird, dessen Existenz die Abfrage wahr werden lässt.
  • Eine Erweiterung der Transferbox 12 ist ein Zusammenarbeitsfach (Collaborationbox (CB)), das gemeinschaftliches Arbeiten an einem Dokument erlaubt.
  • Zu jedem Prozess, in den der Safe-Eigentümer 1 oder Safe Nutzer 2 einbezogen ist, gibt es einen Block an Informationen ”process information” (siehe 2), in dem z. B. die Transferboxen 12 des Prozesses vermerkt sind Der Safe-Eigentümer 1 sieht alle Transferboxen 12, wenn der Prozess von ihm initiiert wurde; als Safe Nutzer 2 sieht man nur die, auf die man Zugriff hat.
  • Die Transferboxen 12 sind immer an den Prozess gebunden, und der – vertrauenswürdige – Safe-Client 100, 201, 202 bewirkt, dass sie nur innerhalb der Bearbeitung dieses Prozesses benutzbar sind, indem stets nur ein Safe-Client 100, 201, 202 in einem System aktiv sein kann, nur ein Prozess im aktiven Safe-Client 100, 201, 202 in Bearbeitung sein kann und der Safe-Client 100, 201, 202 nur auf Daten des aktuellen Prozesses zugreift und diese nicht außerhalb des Safe-Client 100, 201, 202 und nicht über die Bearbeitung des aktuellen Prozesses hinaus speichert. Nur ein authentifizierter Nutzer erhält Zugang zu einem Safe-Client 100, 201, 202.
  • Eine einzelne Transferbox 12 ist über eine Safe_ID, box_ID vollständig bezeichnet. Des Weiteren sind in den process information eine Vielzahl von TANs (Transaktionsnummern) enthalten, die man nur innerhalb des Prozesses verwenden kann. Die TANs können z. B. dazu verwendet werden, dass ein Safe-Nutzer 2 autonom, restriktiv Zugriff auf bestimmte Daten (weiter) vergeben kann.
  • Als Infrastruktur-Dienst wird ein SafeDirectoryService (SDS) eingeführt. Er verzeichnet
    • • alle Safe-Nutzer 2, deren Rollen und Positionen,
    • • alle bekannten Prozess-Typen mit deren Rollen,
    • • Berechtigungen für Safe-Nutzer 2 an Transferboxen 12.
  • Der SafeDirectoryService kann z. B. dazu dienen, dass für einen Prozess (z. B. eine Antragstellung) festgelegt wird, wer wann in welchem Umfang Zugriff auf die Daten in der Transferbox 12 erhält.
  • Der Dienst ist ein stark replizierter Verzeichnisdienst, der administrativ getrennt von den Safe-Providern arbeitet. Er bietet u. a. folgende logische Funktionen:
    • • retrieveTANList()- bezieht vom SDS eine Liste von neuen Transaktionsnummern {TANs)
    • • createAccessGrant{TAN/permissions/sender/receiverIprocessstep_id} getAccessGrant(TAN/permissions/sender/receiverIprocessstep_id}
  • Der SDS entkoppelt die Zugriffssteuerung auf die Transferboxes 12 vom Safe-Provider. Safe-Eigentümer 1 und Safe-Nutzer 2 vergeben Rechte (z. B. durch die Vergabe von TANs) auf die von ihnen geschaffenen Transferboxen 12 und hinterlegen diese beim SDS.
  • Der SDS erhält lediglich TANs in Verbindung mit Zugriffrechten, so dass er keine zusammenhängenden Prozesse rekonstruieren kann. Auch wird ihm nicht bekannt gegeben, welche Transferboxen 12 in einem Safe 10 vorhanden sind. Der SDS prüft letztlich nur die gewünschten Bedingungen 16 – „conditions” – die der Ersteller (der Safe-Eigentümer) der Transferbox 12 gesetzt hat.
  • Wenn ein Safe-Nutzer 2 vom SDS kein Recht erhält, auf eine Transferbox 12 zuzugreifen, die er für seinen Prozessschritt benötigt, muss er auf herkömmlichen Weg eine Release Order (Freigabeanforderung) an den Safe-Eigentümer 1 stellen, um z. B. bestimmte Daten freizugeben. Damit gerät der Prozess potentiell ins Stocken.
  • Wenn ein Safe-Nutzer 2 (im Folgenden: VN – vertrauenswürdiger Nutzer) vom Safe-Eigentümer 1 als so vertrauenswürdig eingestuft wird, dass er die Daten an jegliche andere Safe-Nutzer 2 weiterleiten darf, wird diese Genehmigung direkt innerhalb des elektronischen Safes 10 gesetzt, so dass VN nicht den SDS kontaktieren muss. Dies hat den Vorteil, dass der SDS noch weniger Wissen über die Kommunikationsteilnehmer erhält, selbst wenn er sie nicht einzelnen Safes oder Prozessen zuordnen kann.
  • Der VN erzeugt im elektronischen Safe 10 eine Transferbox 12, die so gekennzeichnet ist, dass daraus lesende Safe-Nutzer 2 keine Authentifizierung benötigen. Der VN übergibt dem empfangenen Safe Nutzer 2 die ID der Transferbox 12 und eine TAN.
  • Als allgemeine Fälle gelten:
    • • Im Fall (1) bezeichnet der Safe-Eigentümer 1 alle anderen Safe-Nutzer 2 als vertrauenswürdig, er möchte den Prozess in jedem Fall weiterlaufen lassen, nahezu jegliche Übergaben werden vom Eigentümer auf Kosten seiner Privatsphäre erlaubt.
    • • Im Fall (2) traut der Safe-Eigentümer 1 der Übergabe von einem ersten Safe-Nutzer 2 zu einem zweiten Safe-Nutzer 2.
    • • Im Fall (3) traut der Safe-Eigentümer 1 dem Empfänger, egal, wer diesem die Daten übergibt.
    • • Im Fall (4) traut der Safe-Eigentümer 1 einer Übergabe von exakt einem Sender zu einem Empfänger im Rahmen eines Prozessschrittes, der Teil eines definierten Prozesses ist.
    • • Im Fall (5) traut der Safe-Eigentümer 1 Sender und Empfänger genau dann, wenn der SDS feststellt, dass beide „eingetragene” Safe Nutzer 2 ohne besondere Vorkommnisse sind.
  • Detaillierung (Abläufe)
  • Zu Beginn eines Prozesses werden alle die Transferboxes 12 angelegt, in die der Safe-Eigentümer 1 Daten für den Prozess einstellt. Damit wird ermöglicht, dass die Teilnehmer (z. B. die Safe-Nutzer 2) nur wirklich die Daten erhalten, die sie entsprechend ihrer Aufgabe benötigen.
  • Alternativ müsste man dem ersten Prozessschritt alle in den folgenden Schritten erforderlichen Daten mitgeben, um weitere Anfragen zu vermeiden. Stattdessen werden die voraussichtlich notwendigen Daten bereits beim Start in den Transferboxes 12 hinterlegt, so dass keine Unterbrechung des Prozesses erforderlich wird.
  • Des Weiteren werden TANs eingestellt, mit denen die Safe Nutzer 1 eigene Datenübergaben organisieren können. Die TANs werden im Speicherbereich für processInformation (siehe 2) hinterlegt, bzw. den Safe-Nutzern 2 direkt in ihren Safe 10 zugestellt, wenn nur sie Zugriff erhalten sollen. Danach folgt der Mechanismus zum lesenden Zugriff auf die Transferboxen 12 in folgender Reihenfolge
  • • Abfragen der Berechtigung beim SDS, wenn man nicht als VN eingestuft ist
  • • Abfragen der Transferbox 12 beim Safe-Provider
  • • Abholen der Daten bei einem CloudSpaceProvider
  • Für das Schreiben der Daten werden weitere Berechtigungen benötigt, der Mechanismus ist derselbe:
  • • Abfragen der Berechtigung zum Erzeugen einer Transferbox 12 beim SDS (kann entfallen, wenn in der processInformation steht, dass eine bereits vom Safe-Eigentümer 1 erzeugte Transferbox 12 genutzt werden soll oder eine Einstufung als VN vorliegt)
    • • Abfragen der Berechtigung zum Schreiben beim SDS, wenn man nicht als VN eingestuft ist
    • • Schreiben der Daten beim CloudSpaceProvider
    • • Beschreiben der Transferbox 12 beim Safe Provider.
  • In 3 ist die Initialisierung des Prozesses dargestellt, wobei Daten, die der Safe-Eigentümer erhält, aus Gründen der Übersichtlichkeit nicht dargestellt sind. Dabei richtet der Safe-Eigentümer 1 zuerst seine allgemeinen und besonderen Sicherheitseinstellungen ein, bevor er einen konkreten Prozesstyp instantiiert, die Transferboxen 12 erstellt und die Rechte entsprechend setzt. Dann wird dem Safe Nutzer 2 des ersten Prozessschrittes eine Berechtigung zum Zugriff auf eine Transferbox 12 in dessen Safe 10 gestellt. Damit hat der Prozess begonnen.
  • Der Safe-Eigentümer 1 verwendet seinen Safe-Client 100 um eine Transferbox 12 zu initialisieren. Dazu gibt er gegenüber dem SDS an, welchen Prozess er durchführen will. Der SDS gibt die Daten zurück, welche Personen in welchen Rollen involviert sind. Damit ist der Safe-Eigentümer in der Lage, eine Transferbox 12 zu konfigurieren, indem er festlegt, wer wann welche Zugriffsrechte auf die in der Transferbox 12 gespeicherten Daten haben darf.
  • Anschließend wird die Transferbox 12 beim Provider des elektronischen Safes 10 eingerichtet. Es wird eine TAN Liste vom SDS erfragt. Die TANs werden dann im elektronischen Safe 10 und/oder der Transferbox 12 gespeichert.
  • Anschließend werden die Zugriffsrechte auf die Transferbox 12 und dann die Transferbox 12 selbst eingerichtet (loop createAccessGrants).
  • Dann werden Datensätze vom Safe-Eigentümer 1 beim Safe-Provider gespeichert, aus denen dann, u. U. erst nach längerer Zeit, die Datensätze 15 für die Transferbox 12 ausgewählt werden (loop fillTransferBoxes).
  • In 3 ist u. a. ein CloudSpaceProvider aufgeführt, d. h. ein Speicherbetreiber.
  • In dem Sequenzdiagramm der 5 gilt, dass der Safe Nutzer 2 eine Referenz auf Process Ps_id/TransferBox box_id und das Zertifikat cert_ds vom SafeDirectoryService erhalten hat. Der Safe-Nutzer gilt nicht als so genannter Trusted User (auch als vertrauenswürdiger Nutzer VN bezeichnet).
  • In dem Sequenzdiagramm der 6 gilt, dass der Safe-Nutzer 2 eine Referenz auf Process ps_id/TransferBox box_id und das Zertifikat cert_TU bereits hat. Der Safer Nutzer gilt als so genannter Trusted User (auch als vertrauenswürdiger Nutzer VN bezeichnet).
  • In dem Sequenzdiagram der 7 gilt, dass der Safe-Nutzer 2 eine Referenz auf Process Ps_id/TransferBox box_id und das Zertifikat cert_ds vom SafeDirectoryService erhalten hat. Der Safe-Nutzer gilt nicht als so genannter Trusted User (auch als vertrauenswürdiger Nutzer VN bezeichnet).
  • Der Safe-Eigentümer kann Zugriffsrechte (AccessGrants) zwischenspeichern. In diesem Fall kann auf den Aufruf von getAccessGrant verzichtet werden.
  • Sind beim createAccessGrant TAN, Sender und/oder Empfänger (Receiver) angegeben, müssen diese auch beim getAccessGrant in übereinstimmender Form angegeben werden. Ansonsten sind sie optional.
  • Die detaillierte Parameterliste von storeSafeObject umfasst safe_id, cert_ds, box_id und den zu speichernden Inhalt.
  • In 5 und 6 umfasst writeTransferBox selbstverständlich auch die Übergabe des zu speichernden Inhalts.
  • Cert_ds, safe_id und box_id (3 und 7) sind Rückgabewerte von getAccessGrant. Cert_TU erhält der vertrauenswürdige Nutzer der Transferbox direkt vom Safe-Eigentümer 1 (wie auch safe_id und box_id) oder aus der processInformation.
  • Der Safe-Eigentümer 1 hat Zugriff auf alle seine Transferboxen, wenn er über seinen Safe zugreift.
  • Im Folgenden werden die wichtigsten Vorteile beschrieben:
    • • Strukturell höhere Sicherheit in der Erfassung von Daten, deren Weitergabe und Pflege.
    • • Benutzerkomfort bei der Erfassung von Daten
    • • Besserer Schutz der Privatsphäre durch das automatisierte Vorverarbeiten von Daten des
    • • Antragstellers, wodurch Folgeschritte mit pseudonymisierten Daten arbeiten können.
    • • Der elektronische Safe 10 steht unter voller Kontrolle des Safe-Eigentümers 1, er kann genau verfolgen, wer seine Daten anfordert und wie lange diese Daten aufbewahrt werden. Der Nutzer als Souverän seiner Daten ist umso wichtiger als dass die umfassende Erhebung von Daten im Internet der Dinge immer engmaschiger wird.
    • • Die Qualität der Daten, die in Workflows/Prozesse über den Safe eingespeist werden, ist höher als bisher. Wenn im Safe Zertifikate von Behörden gespeichert sind, sind diese Daten qualitativ hochwertiger als manuelle Eingaben des Eigentümers in Formulare.
    • • Erhöhte Benutzerakzeptanz durch Vereinheitlichung der Datenerfassung ist möglich.
    • • Die Freigabeaufforderungen erfolgen immer auf dieselbe Art und Weise.
    • • Unabhängigkeit von IT-Dienstleistern und Software-Herstellern. Es kann nach diesem Modell für jede Rolle viele Anbieter geben, es wird viele Safeprovider, viele Storageprovider und
    • • viele verschiedene Anbieter von Safe Clients 100, 201, 202 geben. Zusätzlich sind viele Dienstanbieter von
    • • Formular-Abbildungen denkbar.
  • Folgende festzustellende Eigenschaften eines Verfahrensproduktes geben Hinweise darauf, dass das hier beschriebene Safe-Verfahren verwendet wurde:
    • • Ein Produkt zur Speicherung von Daten und Dokumenten erlaubt es, mehrere unabhängige Dienstleister zum Abspeichern von Daten/Dokumenten einbinden, insbesondere, wenn Teile von Daten und Dokumenten bei jeweils unterschiedlichen Anbietern gespeichert werden.
    • • Ein Produkt verifiziert das Trusted Compartment mit zeitlich gültigen Kennzeichen unter Verwendung eines externen Devices.
    • • Der herkömmliche Ansatz der Erfassung von Daten über Formulare jeglicher Art wird durch die Erfassung der Daten in einem einzigen Tool abgelöst.
  • Der elektronische Safe 10 für Daten und Dokumente ist in der elektronischen Kommunikation zwischen Bürger und Behörde sowie in der elektronischen Kommunikation zwischen Unternehmen und Kunden sinnvoll. Auch im privaten Gebrauch, zur verfügbaren Bereitstellung der persönlichen Dokumenten und Daten ist er anwendbar. Soziale Netzwerke ohne zentrale Vermittlerinstanz auf Basis von Safes sind denkbar.
  • Im Folgenden wird ein Beispiel für die Verwendung einer Ausführungsform gegeben.
  • Im Rahmen der Umsetzung der EU-Dienstleistungsrichtlinie in den einzelnen Mitgliedsstaaten werden sogenannte einheitliche Ansprechpartner eingerichtet. Diese sollen Unternehmen bei der Interaktion mit der öffentlichen Verwaltung im Fall von Anträgen bspw. zur Gründung einer neuen Filiale unterstützen. Im Idealfall übernehmen diese Ansprechpartner eine Mittlerrolle zwischen den vielen beteiligten Behörden und dem Antragsteller. Dabei agieren sie im Auftrag des jeweiligen Unternehmens und können mit entsprechenden Rechten ausgestattet werden. In diesem Szenario kann der elektronische Safe eingesetzt werden.
  • Wenn z. B. ein Unternehmer (Safe-Eigentümer 1) eine neue Filiale seiner Bäckereikette gründen will, wendet er sich dazu an einen einheitlichen Ansprechpartner (EPA) in der Gemeinde Neustadt.
  • Zur Vorbereitung lädt er die notwendigen Formulare (Safe-Formulare 11) von einer Einrichtung (dies kann der EPA selbst oder ein Dienstleister sein), welche diese bereitstellt, in seinen elektronischen Safe 10. Der Unternehmer 1 füllt die Safe-Formulare 11 mit Hilfe seines Safes-Clients 100, 201, 202 aus, dabei kann er auf die bereits im elektronischen Safe 10 vorliegenden Informationen zurückgreifen.
  • Teile des Safe-Formulars 11 werden vorausgefüllt. Mit Hilfe der mitgeladenen Verarbeitungsregeln (Safe-Regeln 13) werden die Eingaben soweit möglich auf Plausibilität, Korrektheit und Vollständigkeit geprüft. Im Zwischenergebnis erfolgt eine automatisierte Vorbewertung des gestellten Antrags.
  • Aus dem SafeDirectoryService werden alle zur Bearbeitung notwendigen Safe-Nutzer 2 und deren Rollen im Prozess ermittelt.
  • Zur Umsetzung der einzelnen Bearbeitungsschritte müssen bspw. die lokalen Einrichtungen für Wirtschaftsförderung, Bauplanung, Katasterinformationen und Umwelt einbezogen werden. Da zu Beginn des Prozesses noch nicht alle Teilnehmer bekannt sind, die eventuell involviert werden müssen, übernimmt der EPA eine Steuerungsfunktion und wird vom Unternehmer berechtigt, die Daten des Unternehmers weiterzureichen.
  • Entsprechend ihrer jeweiligen Rolle werden automatisiert Übergabedatensätze 12 (Transferboxes) für den Prozess eingerichtet.
  • Der EPA findet in der Prozessinformation TAN-Nummern vor, die es ihm ermöglichen in späteren Prozessschritten weitere Einrichtungen ohne Rücksprache mit dem Unternehmer einzubinden.
  • Der Genehmigungsprozess mit unterschiedlichen beteiligten Behörden kann so ohne weitere Anfragen an den Unternehmer durchgeführt werden. Der Prozess kommt folglich zum Ziel, auch wenn der Unternehmer offline ist oder nicht gestört werden möchte.
  • Das Beispiel ist natürlich ohne weiteres auf andere Situationen übertragbar, in denen ein Safe-Eigentümer 1 vertrauliche Informationen bereit stellt, die sachlich und/oder zeitlich in besonderer Weise verarbeitet werden müssen.
  • Somit weist eine Ausführungsform des Verfahrens drei Bestandteile auf:
    • – Eine Transferbox 12 mit Kopien von Teilen des elektronischen Safes 10 (oder Referenzen auf die tatsächlich benötigten Daten), wobei die Kopien auf den tatsächlich benötigten Bedarf reduziert sind.
    • – Safe Clients 100, 201, 202, die verhindern, dass unbefugt Zugriff auf Daten im elektronischen Safe 10 ermöglicht wird.
    • – Der SDS, d. h. eine vertrauenswürdige Komponente, die den Zugriff auf die Transferboxen 12 für nicht vertrauenswürdige Safe-Nutzer 2 steuert.
  • Bezugszeichenliste
    • 1
    Safe-Eigentümer
    2
    Safe-Nutzer
    10
    elektronischer Safe
    11
    Safe-Formulare
    12
    Übergabedatensatz (Transferbox)
    13
    Safe-Regeln
    15
    Datensatz
    16
    Bedingung
    20
    erster Autorisierungsdatensatz
    21
    zweiter Autorisierungsdatensatz
    22
    Authentifizierungsvorrichtung
    100
    Safe Client (Safe Eigentümer)
    101
    Speicherbereich für eingehende Daten (inbox)
    102
    Speicherbereich für ausgehende Daten (outbox)
    103
    Inhalte des elektronischen Safes
    104
    Speicherbereich mit gespeicherten Prozessen
    201
    Safe Client (Safe Nutzer)
    202
    Safe Client (Safe Nutzer)
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 7349987 A [0019]
    • US 7206847 A [0019]
  • Zitierte Nicht-Patentliteratur
    • Dirk Weber, Arnd Weber, Stephone Lo Presti, ”Requirements and Design Guidelines for a Trusted Hypervisor Interface”, p. 178–189 [0016]
    • ”Future of Trust in Computing”, Proc. of the First International Conference Future of Trust in Computing 2008 [0016]
    • Paul, A. et al. (2007), ”e-SAFE: An Extensible, Secure and Fault Tolerant Storage System”, Proc. IEEE Self-Adaptive and Self-Organizing Systems, (SASO '07), IEEE Press, pp. 257–268, doi: 10.1109/SASO.2007.21 [0018]
    • Zhang, et al. (2008), „Towards A Secure Distribute Storage System”, Advanced Communication Technology, (ICACT 2008), IEEE Press, Apr. 2008, pp. 1612–1617, doi: 10.1109/ICACT.2008.4494090) [0019]
    • Iyengar, A. et al. (1998), ”Design and Implementation of a Secure Distributed Data Repository”, In Proc. of the 14th IFIP Internat. Information Security Conf., pp. 123–135. [0019]
    • Kubiatowicz et al. (2000), ”Oceanstore: An architecture for global-scale persistent storage”, Proc. of the ninth international conference on Architectural support for programming languages and operating systems (ASPLOS '00), ACM SIGARCH Computer Architecture News, Dec. 2000, pp. 190–201, ISSN: 0163–5964 [0019]

Claims (15)

  1. Verfahren zur sicheren Verarbeitung von Daten, insbesondere in einem elektronischen Safe (10) gespeicherten Daten durch mindestens einen Safe-Nutzer (2), wobei a) ein Client, insbesondere ein Safe-Client (100, 201, 202) einem Nutzer, insbesondere einem Safe-Nutzer (2) einen ersten Autorisierungsdatensatz (20) automatisch zur Verfügung stellt, b) dem der Nutzer auf einer vom Client (100, 201, 202) getrennten Authentifizierungsvorrichtung (22) automatisch einen zweiten Autorisierungsdatensatz (21) zur Verfügung stellt, so dass c) ein Vergleich zur Authentifizierung des Clients (100, 201, 202) zwischen dem ersten und zweiten Autorisierungsdatensatz (20, 21) für den Nutzer (2) ermöglicht wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste und/oder der zweite Autorisierungsdatensatz (20, 21) eine Bilddatei, eine Sounddatei, ein Link auf eine Datei, ein Barcode und/oder ein Matrixcode ist, der insbesondere von einem Provider oder Safe-Provider zur Verfügung gestellt wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass mindestens einer der Autorisierungsdatensätze (20, 21) einen Link enthält und der Vergleich zur Authentifizierung des Safe-Clients (100, 201, 202) anhand der Datensätze erfolgt, die nach Aufruf des Links geladen werden.
  4. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der erste und/oder der zweite Autorisierungsdatensatz (20, 21) zufällig aus einer vorbestimmten Menge ausgewählt wird.
  5. Verfahren nach mindestens einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der erste und/oder der zweite Autorisierungsdatensatz (20, 21) nur für eine vorbestimmte, insbesondere zufällig bestimmte Zeit dem Safe-Nutzer (2) gültig ist.
  6. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der erste und/oder der zweite Autorisierungsdatensatz (20, 21) an einer vorbestimmten Stelle eines Bildschirms des Safe-Nutzers (2) angezeigt wird oder das vom Autorisierungsdatensatz (20, 21) referenzierte Objekt angezeigt wird.
  7. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Authentifizierungsvorrichtung (22) ein mobiles Gerät, insbesondere ein Mobiltelefon ist.
  8. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Authentifizierungsvorrichtung (22) eine Kamera und/oder ein akustisches Aufnahmegerät aufweist, mit dem der erste Autorisierungsdatensatz (20) aufnehmbar ist und automatisch ein Vergleich mit dem zweiten Autorisierungsdatensatz (21) erfolgt.
  9. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass a) ein Safe-Eigentümer (1) mindestens einen Datensatz (15) in dem elektronischen Safe (10) speichert, b) der Safe-Eigentümer (1) den mindestens einen Datensatz (15) logisch mit einem Übergabedatensatz (12) koppelt, wobei der c) Übergabedatensatz (12) mindestens eine Bedingung (16) enthält, die zum Zeitpunkt der Erstellung des Übergabedatensatzes (12) noch nicht erfüllt ist und d) dass der mindestens eine Datensatz (15) nur dann bearbeitbar ist, wenn die zuvor vom Safe-Eigentümer (1) eingestellte Bedingung (16) erfüllt ist; e) ein Safe-Nutzer (2) zu einem späteren Zeitpunkt eine Bearbeitungsanforderung für den Übergabedatensatz (12) stellt, f) ein Rechnersystem automatisch ermittelt, ob die Bedingung (16) für den Übergabedatensatz (12) bereits erfüllt ist, und g) nur für den Fall, dass die Bedingung (16) bereits erfüllt ist, dem Safe-Nutzer (2) die Bearbeitung des mindestens einen Datensatzes (15), der mit dem Übergabedatensatz (16) gekoppelt ist, ermöglicht.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass eine Übertragung des Datensatzes (10) von einem ersten Safe-Nutzer (2) an einen zweiten Safe-Nutzer (2) nur möglich ist, wenn eine entsprechende, vom Safe-Eigentümer gesetzte Bedingung (16) erfüllt ist, wobei diese Bedingung (16) vor der Übertragung automatisch abgefragt wird.
  11. Verfahren nach Anspruch 9 oder 10, dadurch gekennzeichnet, das die Bedingung (16) das Vorliegen eines Bestimmten Dokuments, das Vorliegen einer Genehmigung und/oder der Ablauf eines vorbestimmten Zeitraums ist.
  12. Verfahren nach mindestens einem der Ansprüche 9 bis 12, dadurch gekennzeichnet, dass der Datensatz (15) durch den Safe-Eigentümer (1) verschlüsselt wird und von vorbestimmten Safe-Nutzern (2) entschlüsselbar ist.
  13. Verfahren nach mindestens einem der Ansprüche 9 bis 12, dadurch gekennzeichnet, dass der Datensatz (15) ein elektronisches Antragsformular einer Behörde ist.
  14. Verfahren nach mindestens einem der Ansprüche 9 bis 13, dadurch gekennzeichnet, dass ein ServiceDirectoryService automatisch Zugriffsrechte und/oder Prozessinformation für Safe-Nutzer (2) generiert und/oder Verwaltet.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die Rechtevergabe an der Transferbox (12) über Transaktionsnummner erfolgt.
DE102011077513A 2010-06-14 2011-06-14 Verfahren zur sicheren Verarbeitung von Daten Withdrawn DE102011077513A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102011077513A DE102011077513A1 (de) 2010-06-14 2011-06-14 Verfahren zur sicheren Verarbeitung von Daten

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
EP10075257 2010-06-14
EP10075257.5 2010-06-14
DE102010023894.5 2010-06-16
DE102010023894 2010-06-16
DE102011077513A DE102011077513A1 (de) 2010-06-14 2011-06-14 Verfahren zur sicheren Verarbeitung von Daten

Publications (1)

Publication Number Publication Date
DE102011077513A1 true DE102011077513A1 (de) 2012-08-23

Family

ID=44628152

Family Applications (2)

Application Number Title Priority Date Filing Date
DE102011077512A Ceased DE102011077512A1 (de) 2010-06-14 2011-06-14 Verfahren zur sicheren Verarbeitung von in einem elektronischen Safe gespeicherten Daten
DE102011077513A Withdrawn DE102011077513A1 (de) 2010-06-14 2011-06-14 Verfahren zur sicheren Verarbeitung von Daten

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE102011077512A Ceased DE102011077512A1 (de) 2010-06-14 2011-06-14 Verfahren zur sicheren Verarbeitung von in einem elektronischen Safe gespeicherten Daten

Country Status (2)

Country Link
DE (2) DE102011077512A1 (de)
WO (1) WO2011157708A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9225770B2 (en) 2012-03-09 2015-12-29 Empire Technology Development Llc Cloud computing secure data storage
CN102843381A (zh) * 2012-09-14 2012-12-26 江苏乐买到网络科技有限公司 一种可保证账户安全的云计算系统
EP3215927A4 (de) * 2014-11-03 2018-07-04 Secured2 Corporation Gesicherte datenspeicherung auf einer festplatte
AT518910B1 (de) * 2016-08-04 2018-10-15 Ait Austrian Inst Tech Gmbh Verfahren zur Prüfung der Verfügbarkeit und Integrität eines verteilt gespeicherten Datenobjekts
CN106686008B (zh) * 2017-03-03 2019-01-11 腾讯科技(深圳)有限公司 信息存储方法及装置
US10735529B2 (en) 2017-12-07 2020-08-04 At&T Intellectual Property I, L.P. Operations control of network services
DE102017223898A1 (de) * 2017-12-31 2019-07-04 Bundesdruckerei Gmbh Sicheres Ablegen und Zugreifen von Dateien mit einer Webanwendung

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7206847B1 (en) 2000-05-22 2007-04-17 Motorola Inc. Smart card with back up
US7349987B2 (en) 2000-11-13 2008-03-25 Digital Doors, Inc. Data security system and method with parsing and dispersion techniques

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2412760B (en) * 2004-04-01 2006-03-15 Toshiba Res Europ Ltd Secure storage of data in a network
US20060078127A1 (en) 2004-10-08 2006-04-13 Philip Cacayorin Dispersed data storage using cryptographic scrambling
US20080060085A1 (en) * 2006-03-10 2008-03-06 Jan Samzelius Protecting Files on a Storage Device from Unauthorized Access or Copying
WO2007133791A2 (en) * 2006-05-15 2007-11-22 Richard Kane Data partitioning and distributing system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7206847B1 (en) 2000-05-22 2007-04-17 Motorola Inc. Smart card with back up
US7349987B2 (en) 2000-11-13 2008-03-25 Digital Doors, Inc. Data security system and method with parsing and dispersion techniques

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
"Future of Trust in Computing", Proc. of the First International Conference Future of Trust in Computing 2008
Dirk Weber, Arnd Weber, Stephone Lo Presti, "Requirements and Design Guidelines for a Trusted Hypervisor Interface", p. 178-189
Iyengar, A. et al. (1998), "Design and Implementation of a Secure Distributed Data Repository", In Proc. of the 14th IFIP Internat. Information Security Conf., pp. 123-135.
Kubiatowicz et al. (2000), "Oceanstore: An architecture for global-scale persistent storage", Proc. of the ninth international conference on Architectural support for programming languages and operating systems (ASPLOS '00), ACM SIGARCH Computer Architecture News, Dec. 2000, pp. 190-201, ISSN: 0163-5964
Paul, A. et al. (2007), "e-SAFE: An Extensible, Secure and Fault Tolerant Storage System", Proc. IEEE Self-Adaptive and Self-Organizing Systems, (SASO '07), IEEE Press, pp. 257-268, doi: 10.1109/SASO.2007.21
Zhang, et al. (2008), "Towards A Secure Distribute Storage System", Advanced Communication Technology, (ICACT 2008), IEEE Press, Apr. 2008, pp. 1612-1617, doi: 10.1109/ICACT.2008.4494090)

Also Published As

Publication number Publication date
WO2011157708A1 (en) 2011-12-22
DE102011077512A1 (de) 2012-03-01

Similar Documents

Publication Publication Date Title
EP3195556B1 (de) Verteilte datenspeicherung mittels berechtigungstoken
DE19960978B4 (de) Verfahren zum Steuern des Zugriffs auf in einem Datenarchivsystem gespeicherte elektronische Datendateien
DE60218615T2 (de) Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern
DE102011077513A1 (de) Verfahren zur sicheren Verarbeitung von Daten
DE112017002050B4 (de) Konfiguration für Multifaktorautorisierung
DE102021123128A1 (de) Mittels blockchains realisiertes datenmigrationsprüfprotokoll
DE112018006407T5 (de) Blockchain-validierungssystem
DE112011103164T5 (de) Datenverteilungsvorrichtung, Datenverteilungssystem, Client-Vorrichtung, Datenverteilungsverfahren, Datenempfangsverfahren, Programm und Datenträger,
DE112013002542T5 (de) Cloud-basierte Anwendungsressourcendateien
DE19960977A1 (de) System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Datenabruf
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE112021001413T5 (de) Verwaltung eines privilegierten zugriffs mit geringer vertrauenswürdigkeit
EP1209579A1 (de) System zur automatisierten Abwicklung von Transaktionen durch aktives Identitätsmanagement
DE112011103580B4 (de) Verfahren, sichere Einheit, System und Computerprogrammprodukt für das sichere Verwalten des Benutzerzugriffs auf ein Dateisystem
DE102012102867A1 (de) Vorrichtung und Verfahren zum Online-ID-Handling
DE60212969T3 (de) Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel
DE102021122557A1 (de) Konformitätsmechanismen in blockchain-netzwerken
DE112017002794T5 (de) Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network
EP3876127A1 (de) Gerätefernwartung auf basis verteilter datenspeicherung
DE112021001671T5 (de) Netzübergreifendes bereitstellen von identitäten
DE112021002053T5 (de) Verrauschte Transaktion zum Schutz von Daten
US20180349983A9 (en) A system for periodically updating backings for resource requests
DE60221861T2 (de) Server mit dateiverifikation
DE202018102306U1 (de) Systeme zur persönlichen Identifizierung und Verifizierung
DE112021005837T5 (de) Dezentrale sendeverschlüsselung und schlüsselerzeugungseinrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140101