-
Die Erfindung betrifft ein Verfahren zum geschützten Wiederherstellen von Daten, welche in einem Backup-Computersystem gespeichert sind, auf einem Quell-Computersystem. Ferner betrifft die Erfindung ein Computerprogrammprodukt, enthaltend ein Computerprogramm, welches bei Ablauf auf einem Computersystem ein derartiges Verfahren durchführt. Zudem betrifft die Erfindung ein Computersystem, welches ausgebildet ist, ein derartiges Verfahren durchzuführen.
-
Systembetreuer oder Administratoren verfügen über Zugriffsmöglichkeiten auf die Hardware bzw. Zugriffsrechte auf die Software eines Computersystems, um das Computersystem zu warten und zu verwalten, sodass ein fehlerfreier Betrieb des Computersystems bzw. eine fehlerfreie Benutzung des Computersystems durch Endnutzer gewährleistet ist. Problematisch ist, dass die erweiterten Zugriffsrechte von Systembetreuern oder Administratoren generell auch einen Zugriff auf persönliche bzw. vertrauliche Daten ermöglichen, die auf dem betriebenen Computersystem gespeichert sind. So haben Administratoren beispielsweise die Möglichkeit, vertrauliche Daten von Endnutzern zu lesen.
-
Übliche Ansätze, um die Vertraulichkeit von Informationen bzw. den Datenschutz im Allgemeinen zu gewährleisten, sind dadurch gegeben, dass bestimmte Vorschriften (Prozesse, die eingehalten werden sollen) und Regeln (Ge- bzw. Verbote) zwischen den einzelnen Benutzergruppen eines Computersystems zum Beispiel vertraglich festgelegt sind. Problematisch bei diesen Ansätzen ist jedoch, dass Benutzergruppen mit erweiterten Zugriffsrechten, zum Beispiel Mitarbeiter eines Software-Dienstleistungsunternehmens, kriminell sein können, erpresst oder bestochen werden. Somit sind technische Maßnahmen erforderlich, welche den Zugriff auf vertrauliche Daten innerhalb eines Computersystems verhindern.
-
Insbesondere können Systemdaten oder Benutzerdaten, welche in einem Backup-Computersystem gespeichert sind, Gegenstand eines unerlaubten Zugriffs durch Systembetreuer oder Administratoren sein. Führen Systembetreuer oder Administratoren zum Beispiel einen Wiederherstellungsprozess zum Wiederherstellen der genannten Daten auf einem ursprünglichen Quell-Computersystem durch, so haben sie generell Zugriff auf derartige Daten. Es sollte also verhindert werden, dass Systemdaten von einem Systembetreuer oder Administrator verändert bzw. manipuliert werden oder vertrauliche Benutzerdaten gelesen werden.
-
Technische Maßnahmen einer Verschlüsselung derartiger Daten erlauben nur einen begrenzten bzw. umgehbaren Zugriffsschutz, weil die Daten durch kundige Benutzer entschlüsselt bzw. rekonstruiert werden können oder durch geeignete Maßnahmen Verarbeitung (beispielsweise im Prozessorkern des Backup-Computersystems) oder während ihrer Rücksicherung im Quell-Computersystem in unverschlüsselter Form vorliegen. Maßnahmen einer Verschlüsselung der Daten sind folglich alleine nicht ausreichend, um einen erhöhten Datenschutz zu gewährleisten.
-
Der Erfindung liegt somit die Aufgabe zugrunde, ein Verfahren, ein Computerprogrammprodukt sowie ein Computersystem aufzuzeigen, welche durch technische Maßnahmen ein geschütztes Wiederherstellen von Daten, die in einem Backup-Computersystem gespeichert sind, auf einem Quell-Computersystem ermöglichen und einen verbotenen Zugriff auf diese Daten unterbinden.
-
Diese Aufgabe wird in einem ersten Aspekt durch ein Verfahren der eingangs genannten Art gelöst, wobei eine Zugriffssteuerung bereitgestellt wird, welche Zugriffsinformationen einer Benutzergruppe zum Zugriff auf einen Wiederherstellungsprozess abfragt, jedoch einen Zugriff der Benutzergruppe auf die Daten bzw. Dateninhalte (z.B. im Backup- und/oder Quell-Computersystem) verbietet. Der Wiederherstellungsprozess kann dabei durch einen Benutzer der Benutzergruppe angewiesen werden, wenn die abgefragten Zugriffsinformationen mit hinterlegten Zugriffsinformationen der Benutzergruppe übereinstimmen, wobei der angewiesene Wiederherstellungsprozess ein Rückschreiben ausgewählter Daten vom Backup-Computersystem in das Quell-Computersystem umfasst.
-
Ein derartiges Verfahren erlaubt einem Benutzer der Benutzergruppe lediglich den Zugriff auf einen Wiederherstellungsprozess zum Wiederherstellen von Daten aus dem Backup-Computersystem in ein Quell-Computersystem. Ein Zugriff auf die Daten sowohl im Backup-Computersystem als auch im Quell-Computersystem als auch während ihrer Verarbeitung bei einem laufenden Rückschreibe- bzw. Wiederherstellungsprozess (z.B. vermittels der Zugriffssteuerung) ist dem Benutzer der Benutzergruppe jedoch durch die Zugriffssteuereinheit verboten. Das bedeutet, dass ein Benutzer bei erfolgreicher Autorisierung über die Zugriffssteuerung durch Abfrage hinterlegter Zugriffsinformationen lediglich den Wiederherstellungsprozess durchführen, anweisen bzw. auslösen kann. Ein Rückschreiben ausgewählter Daten vom Backup-Computersystem in das Quell-Computersystem kann automatisiert durchgeführt werden. Die Zugriffssteuerung stellt eine Sicherheitshürde dar, sodass auf die Daten nicht zugegriffen werden kann, sondern nur deren Wiederherstellung auf einem Quell-Computersystem ausgelöst werden kann.
-
Der Vorteil des erläuterten Verfahrens besteht darin, dass Systembetreuer oder Administratoren keine relevanten Daten verändern oder manipulieren, geschweige denn öffnen und lesen können. Dennoch können Systembetreuer bzw. Administratoren ihren Aufgaben einer Systembetreuung gerecht werden, indem sie ein gezieltes Wiederherstellen von Daten auf einem Quell-Computersystem (von dem diese Daten stammen) auslösen oder durchführen, sodass beispielsweise ein Backup des Quell-Computersystems erneut dort aufgespielt und ein bestimmter Fehlerzustand behoben werden kann.
-
Die Daten im Backup-Computersystem können jegliche Daten eines Systems sein, zum Beispiel Benutzerdaten, Konfigurationsdaten, Festplatten-Image-Daten, etc.
-
Der Begriff „Quell-Computersystem“ umfasst jegliche Art Computersystem, welches Daten der obigen Art über einen Backup-Prozess im Backup-Computersystem vermittels eines Computernetzes ablegen kann. Somit stammen Daten, welche im Backup-Computersystem gespeichert sind, von zumindest einem derartigen Computersystem als deren Quelle. Es ist auch denkbar, dass das Quell-Computersystem und das Backup-Computersystem als ein Gesamtsystem eingerichtet sind. In diesem Falle werden Backup-Daten innerhalb dieses Gesamtsystems über einen Backup-Prozess in einem Backup-Speicher abgelegt und können aus diesem wiederhergestellt werden.
-
Der Begriff „Zugriff auf Daten“ umfasst in diesem Kontext jeglichen Lese- und/oder Schreibzugriff auf Daten bzw. Dateninhalte. Der Begriff „Daten“ kann dabei als Informationen (Rohdaten in unverschlüsselter Form) verstanden werden. Ein Schreibzugriff (Schreibrechte) auf das Quell- und/oder Backup-Computersystem an sich kann vermittels der Zugriffssteuerung erlaubt sein, um Daten vom Backup-Computersystem auf das Quell-Computersystem zurückzuschreiben.
-
Vorteilhaft schränkt der Wiederherstellungsprozess ein Rückschreiben der Daten auf ein vorbestimmtes Quell-Computersystem ein. Dies hat den Vorteil, dass die Daten nicht auf ein beliebiges Computersystem zurückgeschrieben werden können, welches unter Umständen nicht das tatsächliche Quell-Computersystem der Daten darstellt. Auf diese Weise kann unterbunden werden, dass ein Systembetreuer bzw. Administrator die Daten auf ein für diese Daten nichtautorisiertes Computersystem überspielt. So wird insbesondere der Fall unterbunden, dass ein Systembetreuer bzw. Administrator vertrauliche Daten eines ersten Benutzers aus dem Backup-Computersystem an ein Computersystem eines zweiten Benutzers überspielt, welcher nicht für einen Zugriff auf die vertraulichen Daten des ersten Benutzers autorisiert ist.
-
Vorteilhaft löst ein angewiesener Wiederherstellungsprozess somit nur ein Rückschreiben der Daten auf das Quell-Computersystem aus, von welchem die Daten tatsächlich ursprünglich stammen. Die rückzuschreibenden Daten können beispielsweise bestimmte Informationen über das Quell-Computersystem (z.B. IP- oder MAC-Adresse oder Pfadinformationen, etc.) enthalten, die ein vorbestimmtes Quell-Computersystem eindeutig kennzeichnen. Es können aber auch sogenannte Hardlinks (I-Nodes) eingerichtet und vergeben werden, um ein Archivieren (Backup) bzw. Rückschreiben (Wiederherstellen) von Daten bzw. Dateien (inklusive ihrer Attribute bzw. Metadaten) zu organisieren.
-
Das erläuterte Verfahren kann beispielsweise vermittels einer Zugriffssteuerung in einem Computersystem durchgeführt werden, welche als Systemsoftware oder aber auch innerhalb eines Microcontroller-Bausteins als logisches Ablaufprogramm oder als eine Kombination von beidem implementiert ist. Die Zugriffssteuerung kann als Zugriffssteuereinheit in einem Gesamtsystem (vereintes Quell- und Backup-System) integriert sein. Es ist aber auch denkbar, dass die Zugriffssteuerung mehrere Teilprogramme oder Software-Agenten oder Microcontroller umfasst, die auf mehreren Computersystemen innerhalb einer Computernetz-Infrastruktur eingerichtet sind, um ein Wiederherstellen der Daten vom einem Computersystem als Backup-Computersystem in ein anderes Computersystem als Quell-Computersystem zu ermöglichen. Die Zugriffssteuerung kann auch auf einem eigens dafür eingerichteten Computersystem neben einem Backup-Computersystem und einem Quell-Computersystem eingerichtet sein. Es ist denkbar, dass die Zugriffssteuerung einem Benutzer einen Schreibzugriff auf das Quell-Computersystem zum Rückschreiben der Daten einräumt, allerdings einen Lese- und/oder Schreibzugriff auf die Daten sowohl im Quell-Computersystem als auch im Backup-Computersystem verbietet.
-
Eine Anwendungsmöglichkeit des erläuterten Verfahrens ist vorteilhaft innerhalb einer abgesicherten bzw. geschützten Computernetz-Infrastruktur, so genannte „Sealed Infrastructure“, möglich. In einer derartigen Infrastruktur kann ein Backup-Computersystem (alternativ oder ergänzend dazu auch Quell-Computersysteme) generell derart eingekapselt sein, dass ein Zugriff auf bestimmte oder alle Daten bzw. Dateninhalte in einem derartigen Computersystem (das heißt ein logischer Zugriff auf das Computersystem) und/oder ein mechanischer Zugriff auf die Hardware des Computersystems (das heißt ein physischer Zugriff) nicht oder nur eingeschränkt möglich sind. Derartige Systeme können so eingerichtet sein, dass nur vorbestimmte Daten und Informationen vom System unidirektional nach außen innerhalb einer Netzwerk-Struktur weitergegeben werden. Insbesondere das Vorhalten von Daten innerhalb des Backup-Computersystems, was bisher die Gefahr eines unerlaubten Zugriffs auf die Daten mit sich brachte, kann auf diese Weise durch das erläuterte Verfahren verbessert werden, weil der Zugriff auf vorbestimmte Informationen im Backup-Computersystem Benutzern der Benutzergruppe nur eingeschränkt erlaubt oder verboten ist.
-
Bevorzugt werden die Daten beim Rückschreiben vom Backup-Computersystem in das Quell-Computersystem automatisch an eine vorbestimmte Speicheradresse bzw. einen vorbestimmten Speicherort (das kann auch ein bestimmter Adressraum sein) im Quell-Computersystem geschrieben. Dies hat für einen Benutzer des Quell-Computersystems den Vorteil, dass nach einem erfolgreich gefahrenen Wiederherstellungsprozess die ursprünglichen Daten an einer vorbestimmten Stelle, z.B. wieder an der ursprünglichen Stelle, im Datensystem des Quell-Computersystems vorhanden sind. Auf diese Weise kann ein Benutzer des Quell-Computersystems die Daten schnell auffinden. Es wäre theoretisch auch denkbar, sämtliche Verknüpfungen und Pfade wiederhergestellter Dateien auf einfache Weise derart zu rekonstruieren, dass der Benutzer des Quell-Computersystems ohne große Anpassungsschwierigkeiten weiterarbeiten kann.
-
Vorteilhaft verbietet die Zugriffssteuerung einen Zugriff der Benutzergruppe, deren Benutzer den Wiederherstellungsprozess im Backup-Computersystem anweisen können, auf Daten bzw. Dateninhalte im Quell-Computersystem oder einen generellen Zugriff auf das Quell-Computersystem an sich (gegebenenfalls vorbehaltlich eines Schreibzugriffs, um Daten auf das Quell-Computersystem zurückzuschreiben). Das bedeutet allgemein, dass Benutzer der Benutzergruppe, welche eine Wiederherstellung von Daten von Backup-Computersystem in das Quell-Computersystem anweisen können, nicht der Benutzergruppe der Benutzer zuzuordnen sind, die gleichzeitig uneingeschränkten Zugriff auf das Quell-Computersystem haben. Beispielsweise könnte die Benutzergruppe, welche den Wiederherstellungsprozess im Backup-Computersystem anweisen kann, durch Systembetreuer oder Administratoren gebildet sein. Diesen wird allerdings ein Zugriff auf Daten bzw. Dateninhalte im Quell-Computersystem verboten. Allein eine Benutzergruppe von Endnutzern des Quell-Computersystems hat uneingeschränkten Zugriff auf Daten bzw. Dateninhalte des Quell-Computersystems.
-
Es ist allerdings denkbar, dass es neben der Benutzergruppe, welche den Wiederherstellungsprozess im Backup-Computersystem anweisen kann, jedoch keinen Zugriff auf die Daten im Backup-Computersystem hat, noch eine weitere Benutzergruppe gibt, die den Wiederherstellungsprozess im Backup-Computersystem ebenfalls anweisen kann, allerdings im Unterschied zur ersten Benutzergruppe auch Zugriff auf ausgewählte Daten im Backup-Computersystem hat. In diesem Fall kann die Zugriffssteuerung vorteilhaft zusätzlich Zugriffsinformationen der zumindest einen weiteren Benutzergruppe zum Zugriff auf den Wiederherstellungsprozess abfragen und einen Zugriff der zumindest einen weiteren Benutzergruppe auf ausgewählte Daten im Backup-Computersystem zulassen. Wie bereits erläutert, kann der Wiederherstellungsprozess dabei durch einen Benutzer der zumindest einen weiteren Benutzergruppe angewiesen werden, wenn die abgefragten Zugriffsinformationen mit hinterlegten Zugriffsinformationen der zumindest einen weiteren Benutzergruppe übereinstimmen. Ein Wiederherstellungsprozess kann somit durch den letztgenannten Benutzer dann angewiesen werden, wenn er sich analog zum bereits erläuterten Fall der ersten Benutzergruppe erfolgreich am Backup-Computersystem authentifiziert bzw. autorisiert hat. Beispielsweise ist es denkbar, dass Endnutzer eines Quell-Computersystems persönlich Zugriff auf Daten im Backup-Computersystem besitzen, diese Daten also lesen können und gleichzeitig vom Backup-Computersystem in ihr Quell-Computersystem zurückschreiben lassen können, um eine Datenwiederherstellung durchzuführen.
-
Vorteilhaft lässt die Zugriffssteuerung ein Löschen oder Umbenennen, aber kein Öffnen von Dateien zu, in denen die Daten im Backup-Computersystem zusammengefasst sind bzw. welche die Daten im Backup-Computersystem repräsentieren. Dieser Aspekt gilt insbesondere für die erste Benutzergruppe, welche lediglich einen Wiederherstellungsprozess im Backup-Computersystem anweisen kann, aber kein Zugriff auf die Daten selbst hat. Für diese Benutzergruppe kann es gemäß einem anderen Aspekt zudem erlaubt sein, Dateien auch im Quell-Computersystem umzubenennen oder zu löschen. Beide genannten Aspekte haben den Vorteil, dass Daten, welche erkennbar nicht mehr wiederhergestellt werden müssen oder können oder veraltete Informationen darstellen, beispielsweise durch einen Systembetreuer oder Administrator gelöscht werden können. Dateien können auch im Quell-Computersystem umbenannt werden, um zum Beispiel ein Überschreiben von Dateien während des Rückschreibens vom Backup-Computersystem auf das Quell-Computersystem zu verhindern. Dies erhöht die Flexibilität beim Rückschreiben. Durch die Möglichkeit, Dateien zu löschen oder umzubenennen, ist zwar eine Manipulation von Daten gegeben, diese berührt aber einen erhöhten Datenschutz nicht negativ, weil auf die zu schützenden Informationen dennoch nicht zugegriffen werden kann.
-
Generell ist es auch denkbar, Dateinamen insbesondere der ersten Benutzergruppe nur verschlüsselt oder alternativ in einen Hash-Wert umgewandelt anzuzeigen. Dies ist beispielsweise sinnvoll, wenn vorbestimmte Dateipakete wiederhergestellt werden sollen, deren Dateinamen bereits private oder vertrauliche Informationen enthalten können. Dies ist jedoch nur dann sinnvoll, wenn eine Wiederherstellung eines Dateipakets angewiesen werden soll, ohne dass spezifische Dateien anhand ihres Dateinamens ausgewählt werden müssen. Es ist beispielsweise denkbar, dass ein Endnutzer seine persönlichen Dateien oder ganze Verzeichnisse über einen vorbestimmten Hash-Algorithmus (z.B. MD5) in einen Hash-Wert umwandelt und in dieser Form einem Benutzer, der nur einen Wiederherstellungsprozess anweisen kann (z.B. Administrator) übermittelt. Letzterer sieht anstelle der tatsächlichen Kombination aus Dateipfad und Dateinamen nur Hash-Werte. Über die Zugriffssteuereinheit kann dann mithilfe der Hash-Werte eine Auswahl und gegebenenfalls Wiederherstellung dieser Dateien oder Verzeichnisse durchgeführt werden, ohne dass vertrauliche Informationen innerhalb der Dateipfade oder Dateinamen sichtbar sind. Alternativ oder ergänzend hierzu wäre auch die Implementierung eines Vier-Augen-Prinzips denkbar, wobei ein Bearbeiten von Dateinamen nur von einem Administrator durchgeführt werden kann, wenn es durch einen entsprechenden Benutzer vorher freigeschaltet oder verifiziert wurde.
-
In einem weiteren Aspekt wird die Erfindung durch ein Computerprogrammprodukt sowie ein Computersystem gelöst. Das Computerprogrammprodukt enthält ein Computerprogramm, welches bei Ablauf auf einem Computersystem ein Verfahren der erläuterten Art durchführt.
-
Das Computersystem weist eine Zugriffssteuereinheit zum Steuern des Zugriffs auf einen Wiederherstellungsprozess zum Wiederherstellen von Daten im Computersystem oder in einem anderen Computersystem auf, wobei die Zugriffssteuereinheit dazu ausgebildet ist, ein Verfahren der erläuterten Art durchzuführen.
-
Weitere vorteilhafte Ausgestaltungen sind in den Unteransprüchen sowie in der nachfolgenden Figurenbeschreibung offenbart. Die Erfindung wird anhand mehrerer Zeichnungen nachfolgend näher erläutert.
-
Es zeigen:
-
1 eine schematisierte Darstellung einer Computernetz-Infrastruktur zur Implementierung eines erfindungsgemäßen Verfahrens und
-
2 eine schematisierte Darstellung einer Computernetz-Infrastruktur zur alternativen Implementierung eines erfindungsgemäßen Verfahrens.
-
1 zeigt eine schematisierte Darstellung einer Computernetz-Infrastruktur umfassend mehrere Computersysteme. Insbesondere sind in 1 ein Backup-Computersystem 1, ein Administrator-Computersystem 4 sowie mehrere Quell-Computersysteme A, B und C dargestellt. Diese Konfiguration ist lediglich beispielhaft, wobei die Computernetz-Infrastruktur noch weitere Computersysteme, insbesondere weitere Quell-Computersysteme, umfassen oder eine andere Konfiguration aufweisen kann.
-
Das Backup-Computersystem 1 bildet das zentrale System der Infrastruktur. Das Backup-Computersystem 1 kann beispielsweise ein Datenserver eines Dienstleistungsunternehmens umfassen, wobei eine Zugriffssteuereinheit 2 im Backup-Computersystem 1 eingerichtet ist, deren Aufgaben weiter unten näher erläutert werden.
-
Zudem umfasst das Backup-Computersystem 1 einen Backup-Speicher 31, in dem Backup-Daten D_A, D_B, D_C einzelner Quell-Computersysteme A, B, C gespeichert sind. Die Backup-Daten D_A, D_B, D_C wurden beispielsweise im Rahmen eines Backup-Prozesses von einzelnen Quell-Computersystemen A, B, C an das Backup-Computersystem 1 übertragen und vermittels der Zugriffssteuereinheit 2 im Backup-Speicher 31 abgelegt. Der Einfachheit halber ist dieser Vorgang jedoch in 1 nicht dargestellt. In 1 wird davon ausgegangen, dass Backup-Daten D_A, D_B, D_C in irgendeiner Form in Backup-Speicher 31 vorgehalten werden zur Wiederherstellung dieser Daten auf wenigstens einem der Quell-Computersysteme A, B, C.
-
Das Backup-Computersystem 1 ist gemäß der Konfiguration in 1 als geschütztes bzw. eingekapseltes System (gekennzeichnet durch ein Schloss-Symbol) ausgeführt. Das Backup-Computersystem 1 kann beispielsweise Bestandteil einer so genannten „Sealed Infrastructure“ sein. Das bedeutet, dass ein Zugriff von Nutzern innerhalb des Gesamtsystems (zum Beispiel vermittels des Administrator-Computersystems 4 oder eines der Quell-Computersysteme A, B, C) von außen auf das geschützte Backup-Computersystem 1, insbesondere auf Backup-Daten D_A, D_B, D_C im Backup-Speicher 31 nicht möglich ist. So kann beispielsweise ein Zugriff auf den Backup-Speicher 31 von außen generell verboten sein. Einzig ein beschränkter Zugriff auf eine Funktionalität der Zugriffssteuereinheit 2 des Backup-Computersystems 1 ist erlaubt.
-
Es ist alternativ oder ergänzend auch möglich, dass nur die Zugriffssteuereinheit 2 Bestandteil des eingekapselten Systems ist (dann wäre nur die Zugriffssteuereinheit 2 mit einem Schlosssymbol versehen). Der Backup-Speicher 31 kann außerhalb des eingekapselten Systems, insbesondere außerhalb des Backup-Computersystems 1 eingerichtet sein. In diesem Falle liegen sämtliche Backup-Daten D_A, D_B, D_C im Backup-Speicher 31 vorteilhaft in verschlüsselter Form vor, sodass ein Zugriff auf die Backup-Daten D_A, D_B, D_C als solche (d.h. auf zu schützende Information) trotz eines Zugriffs auf den Backup-Speicher 31 (z.B. für eine Wiederherstellung, Replikation, etc.) nicht möglich ist. Eine Verschlüsselung kann vermittels der Zugriffssteuereinheit 2 erfolgen.
-
Ein Wiederherstellungsprozess von Backup-Daten D_A, D_B, D_C aus dem Backup-Speicher 31 an eines der Quell-Computersysteme A, B, C ist gemäß 1 folgendermaßen durchführbar. Über ein Administrator-Tool 6 im Administrator-Computersystem 4 kann zunächst eine Authentifizierung eines autorisierten Benutzers des Administrator-Computersystems 4 an der Zugriffssteuereinheit 2 im Backup-Computersystem 1 erfolgen. Hierzu gibt ein Benutzer beispielsweise einen Benutzernamen und/oder ein Benutzerpasswort, allgemein vorbestimmte Zugriffsinformationen, über das Administrator-Tool 6 im Administrator-Computersystem 4 ein. Das Administrator-Tool 6 kann jegliche Form einer Mensch-Maschine-Schnittstelle sein.
-
Die Zugriffsinformationen werden über Kommunikationsschnittstellen 5 an die Zugriffssteuereinheit 2 übertragen und innerhalb der Zugriffssteuereinheit 2 mit vorgespeicherten Zugriffsinformationen verglichen, sodass eine positive Authentifizierung eines Benutzers des Administrator-Computersystems 6 erlaubt ist, wenn die eingegebenen Zugriffsinformationen mit in der Zugriffssteuereinheit 2 hinterlegten Zugriffsinformationen übereinstimmen. Andernfalls verweigert die Zugriffssteuereinheit 2 jeglichen Zugriff auf Komponenten des Backup-Computersystems 1 durch das Administrator-Computersystem 4.
-
Gegebenenfalls kann die Zugriffssteuereinheit 2 auch Informationen bzw. Befehle an das Administrator-Tool 6 im Administrator-Computersystem 4 senden (siehe bidirektionale Verbindung zwischen dem Backup-Computersystem 1 und dem Administrator-Computersystem 4). So kann z.B. im Falle einer nicht erfolgreichen Authentifizierung eines Benutzers eine Fehlermeldung oder Warnung an das Administrator-Computersystem 4 ausgegeben werden.
-
Zur Kommunikation mit dem Administrator-Computersystem 4 kann die Zugriffssteuereinheit 2 und/oder das Administrator-Tool 6 beispielsweise eine grafische Benutzeroberfläche vorhalten, über die ein Benutzer des Administrator-Computersystems 4 Eingaben bzw. Einstellungen oder Abfragen vornehmen kann.
-
Nach erfolgreicher Authentifizierung des Administrator-Computersystems 4 an der Zugriffssteuereinheit 2 kann von einem Benutzer des Administrator-Computersystems 4 (also von einem Systembetreuer oder Administrator) ein Befehl zum Anweisen eines Wiederherstellungsprozesses Recover gegeben werden. In 1 wird beispielhaft ein Befehl zum Anweisen eines Wiederherstellungsprozesses Recover_ABC zum Wiederherstellen von Backup-Daten D_A, D_B, D_C aus dem Backup-Speicher 31 an die einzelnen Quell-Computersysteme A, B, C gegeben. Hierzu wird der Befehl Recover_ABC an die Zugriffssteuereinheit 2 im Backup-Computersystem 1 übertragen, wobei bei positiver Authentifizierung in der Zugriffssteuereinheit 2 ein Wiederherstellungsprozess ausgelöst wird.
-
Dieser Wiederherstellungsprozess verursacht einen Zugriff der Zugriffssteuereinheit 2 auf den Backup-Speicher 31 im Backup-Computersystem 1, wobei Backup-Daten D_A, D_B, D_C aus dem Backup-Speicher 31 an die Zugriffssteuereinheit 2 übergeben werden. Die Backup-Daten D_A, D_B, D_C können beispielsweise in verschlüsselter Form im Backup-Speicher 31 vorliegen und innerhalb der Zugriffssteuereinheit 2 zur weiteren Verarbeitung entschlüsselt werden. Ein Zugriff auf die entschlüsselten Backup-Daten D_A, D_B, D_C wird durch die Zugriffssteuereinheit 2 aber verboten.
-
Anschließend werden die Backup-Daten D_A, D_B, D_C über Schnittstellen 5 an die einzelnen Quell-Computersysteme A, B, C in der Computernetz-Infrastruktur übertragen. Dies erfolgt vorteilhaft nach erneuter Verschlüsselung innerhalb der Zugriffssteuereinheit 2. Im Einzelnen werden die Daten D_A an das Quell-Computersystem A, die Daten D_B an das Quell-Computersystem B und die Daten D_C an das Quell-Computersystem C übertragen. Das bedeutet, jedes Quell-Computersystem erhält die für dieses System vorbestimmten Backup-Daten. Die einzelnen Quell-Computersysteme A, B, C sind vorteilhaft ebenfalls eingekapselte Systeme (siehe jeweils Schloss-Symbol). Es ist denkbar, dass die Systeme A, B, C neben dem System 1 oder alternativ nur neben der Zugriffssteuereinheit 2 Teilsysteme eines geschützten Gesamtsystems bilden oder eigenständige eingekapselte Systeme bilden. Somit ist es nicht autorisierten Benutzern verboten, auf Daten D_A, D_B, D_C (insbesondere in unverschlüsselter Form) in den jeweiligen Systemen A, B, C zuzugreifen. Nur ein Schreibzugriff auf die Systeme A, B, C kann erlaubt sein, um ein Wiederherstellen von Backup-Daten D_A, D_B, D_C auf den Systemen A, B, C zu ermöglichen.
-
Die Backup-Daten D_A, D_B, D_C können gespeicherte Informationen (z.B. IP- oder MAC-Adresse, Pfadinformationen, I-Nodes, etc.) darüber enthalten, an welches Ziel die Daten entsprechend zu senden sind. Diese Informationen können in der Zugriffsspeichereinheit 2 interpretiert werden, wobei die Backup-Daten D_A, D_B, D_C dann entsprechend verteilt werden.
-
Alternativ zu der in 1 dargestellten Konfiguration ist es auch denkbar, eine zusätzliche Steuerkomponente im Backup-Computersystem 1 vorzusehen, um die Daten aus dem Backup-Speicher 31 an die einzelnen Quell-Computersysteme A, B, C zurückzuschreiben. Eine derartige Zusatzkomponente hat den Vorteil, dass die Backup-Daten D_A, D_B, D_C nicht an die Zugriffssteuereinheit 2 selbst, sondern an die zusätzliche Komponente übergeben werden. Dadurch kann verhindert werden, dass ein Benutzer des Administrator-Computersystems 4 durch Manipulationen an der Zugriffssteuereinheit 2 unmittelbar Zugriff auf die Backup-Daten D_A, D_B, D_C erhält.
-
In den jeweiligen Quell-Computersystemen A, B, C können die jeweilig zurückgeschriebenen Daten D_A, D_B, D_C in entsprechende Speicher 3A, 3B, 3C abgelegt werden. Auf diese Weise ist es beispielsweise möglich, System-, Konfigurations- oder Benutzerdaten aus dem Backup-Computersystem 1 in die ursprünglichen Quell-Computersysteme A, B, C zurückzuschreiben. Es ist denkbar, dass die Speicher 3A, 3B, 3C alternativ zu der in 1 dargestellten Konfiguration jeweils außerhalb der Systeme A, B, C eingerichtet sind. In diesem Fall liegen Daten D_A, D_B, D_C in den Speichern 3A, 3B, 3C nur in verschlüsselter Form (d.h. geschützt vor unerlaubtem Zugriff auf vertrauliche Informationen) vor. Eine entsprechende Verschlüsselung kann durch die Zugriffssteuereinheit 2 oder durch Komponenten innerhalb der Systeme A, B, C erfolgen.
-
Es ist vorteilhaft, wenn der Wiederherstellungsprozess ein Rückschreiben der jeweiligen Daten ausschließlich auf das ursprüngliche Quell-Computersystem einschränkt. Das bedeutet, dass beispielsweise die Backup-Daten D_A ausschließlich an das Quell-Computersystem A zurückgeschrieben werden können.
-
Eine entsprechend anderslautende Anweisung kann beispielsweise durch die Zugriffssteuereinheit 2 abgebrochen oder gänzlich verboten werden. Auf diese Weise wird verhindert, dass vertrauliche Daten, die nur für Benutzer eines bestimmten Quell-Computersystems zugänglich sein sollen, an ein anderes Quell-Computersystem übertragen werden.
-
Entscheidend bei der Konfiguration gemäß 1 ist, dass ein Benutzer des Administrator-Computersystems 4 ausschließlich einen Wiederherstellungsprozess Recover_ABC anweisen kann, wenn er sich erfolgreich an der Zugriffssteuereinheit 2 authentifiziert hat. Ein Zugriff auf die Backup-Daten D_A, D_B, D_C sind für das Administrator-Computersystem 4 jedoch verboten. Zudem besteht keine Möglichkeit, über das Administrator-Computersystem 4 auf die Quell-Computersysteme A, B, C zuzugreifen.
-
Auf diese Weise besteht für einen Systembetreuer oder Administrator lediglich die Möglichkeit, im Bedarfsfall einen Befehl an das Backup-Computersystem 1 zu versenden, wobei anschließend eine automatisierte Routine abläuft, um Backup-Daten D_A, D_B, D_C aus dem Backup-Computersystem 1 an die ursprünglichen Quell-Computersysteme A, B, C zurückzuschreiben.
-
Ein Zugriff auf Backup-Daten D_A, D_B, D_C im Backup-Speicher 31 des Backup-Computersystems 1 ist gemäß der Konfiguration in 1 keinem der Computersysteme A, B, C und 4 erlaubt. Die einzelnen Quell-Computersysteme A, B, C erhalten jedoch entsprechende Backup-Daten D_A, D_B, D_C, wenn der Wiederherstellungsprozess Recover_ABC angestoßen wurde.
-
Eine veränderte Situation ist in 2 dargestellt. Hier sind die einzelnen Komponenten der Computernetz-Infrastruktur im Wesentlichen gleich aufgebaut wie in 1 (es sind natürlich auch die im Zusammenhang mit 1 genannten Alternativkonfigurationen möglich), allerdings mit dem Unterschied, dass nun beispielhaft auch das Quell-Computersystem B über eine Möglichkeit verfügt, auf die Zugriffssteuereinheit 2 des Backup-Computersystems 1 zuzugreifen.
-
Dazu umfasst das Quell-Computersystem B eine Zugriffssteuereinheit 2B, welche mit der Zugriffssteuereinheit 2 im Backup-Computersystem 1 kommunizieren und interagieren kann. Auf diese Weise ist es einem Benutzer des Quell-Computersystems B möglich, sich über die Zugriffssteuereinheit 2B des Quell-Computersystems B an der Zugriffssteuereinheit 2 des Backup-Computersystems 1 zu authentifizieren. Ein entsprechender Prozess kann wie bereits im Zusammenhang mit 1 erläutert ablaufen. Bei erfolgreicher Authentifizierung eines Benutzers des Quell-Computersystems B am Backup-Computersystem 1 kann beispielsweise ein Befehl Recover_B zum gezielten Wiederherstellen von Backup-Daten D_B angewiesen werden. Dieser wird an die Zugriffssteuereinheit 2 übertragen, wobei analog zum Vorgehen gemäß 1 ein Wiederherstellungsprozess in der Zugriffssteuereinheit 2 ausgelöst wird. Der Wiederherstellungsprozess bewirkt ein Laden von Backup-Daten D_B aus dem Backup-Speicher 31. Die Backup-Daten D_B können dann von der Zugriffssteuereinheit 2 vermittels der Kommunikationsschnittstellen 5 an das Quell-Computersystem B übertragen werden und in diesem beispielsweise im Speicher 3B abgelegt werden, wie in 2 dargestellt.
-
Ein Benutzer des Systems B kann ein Endnutzer mit uneingeschränkten Zugriffsrechten auf das System B und auch auf Daten D_B im System B sein. Es ist aber auch denkbar, dass der Benutzer z.B. ein Administrator ist, welcher zwar einen Zugriff auf das System B hat, insbesondere auf eingeschränkte Funktionalitäten der Zugriffssteuereinheit B für einen Wiederherstellungsprozess Recover_B, dem aber ein Zugriff auf Daten D_B verboten ist.
-
Es ist auch denkbar, dass ein Endnutzer des Quell-Computersystems B gleichzeitig einen direkten Zugriff auf die Backup-Daten D_B im Backup-Speicher 31 des Backup-Computersystems 1 hat. Dies kann beispielsweise dadurch erfolgen, dass Zugriffsrechte auf die Backup-Daten D_B entsprechend der Zugriffsrechte im Quell-Computersystem B eingerichtet sind. Diese Alternative kann für einen Benutzer des Quell-Computersystems B den Vorteil haben, seine Backup-Daten D_B unmittelbar im Backup-Computersystem 1 zu bearbeiten, einzusehen, auszuwählen, usw.
-
Ein Zugriff auf den Backup-Speicher 31 im Backup-Computersystem 1 hängt jedoch von der Sicherheitsstufe und Konfiguration des eingekapselten Backup-Computersystems 1 ab. Die höchste Sicherheitsstufe ist natürlich dann gegeben, wenn ein derartiger Zugriff auf den Backup-Speicher 31 verboten oder schlicht nicht möglich ist. Dann kann ein Benutzer des Quell-Computersystems B ausschließlich einen Wiederherstellungsprozess Recover_B in der Zugriffssteuereinheit 2 anstoßen, sodass die entsprechenden Backup-Daten D_B an das Quell-Computersystem B zurückgeschrieben werden.
-
Analog zum Vorgehen gemäß 1 kann parallel zum erläuterten Vorgehen ein Administrator des Administrator-Computersystems 4 einen anderen Befehl Recover_A zum Wiederherstellen von Backup-Daten D_A aus dem Backup-Speicher 31 des Backup-Computersystems 1 auf das Quell-Computersystem A anweisen. Dieses Vorgehen ist analog zum bereits gemäß 1 beschriebenen Vorgehen. Ein entsprechender Wiederherstellungsprozess Recover_A bewirkt ein Laden der Backup-Daten D_A sowie ein Übertragen dieser Daten an das Quell-Computersystem A, wobei die Daten D_A beispielsweise in dem Speicher 3A abgelegt werden können. Auch bei dieser Konfiguration gemäß 2 ist entscheidend, dass die Benutzergruppe des Administrator-Computersystems 4 keinen Zugriff auf die Backup-Daten D_A, D_B, D_C im Backup-Speicher 31 des Backup-Computersystems 1 hat.
-
Das Quell-Computersystem C hat in der Situation gemäß 2 keine direkte Beteiligung. Auch bei der Ausführung gemäß 2 ist es möglich, neben der Zugriffssteuereinheit 2 eine weitere Komponente vorzusehen, über die Backup-Daten D_A, D_B, D_C aus dem Backup-Speicher 31 für eine Wiederherstellung geladen werden.
-
Eine Kommunikation mit der Zugriffssteuereinheit 2 kann in sämtlichen dargestellten Ausführungsformen beispielsweise über eine grafische Benutzeroberfläche, zum Beispiel browserbasiert, erfolgen. Dies hat den Vorteil, dass ein Benutzer, welcher einen Wiederherstellungsprozess Recover anweisen möchte, beispielsweise bestimmte Ordner (nicht deren Inhalt) anzeigen lassen kann, um Daten für den Wiederherstellungsprozess auszuwählen, ohne diese Daten einsehen zu können. Auch die Authentifizierung und gegebenenfalls zusätzliche Einstellungsmöglichkeiten an der Zugriffssteuereinheit 2 können über eine grafische Benutzeroberfläche komfortabel durchgeführt werden.
-
Die Zugriffssteuereinheit 2 kann beispielsweise als Computerprogramm ausgeführt sein, welches in einer Rechenkomponente des Backup-Computersystems 1 abläuft. Entsprechendes kann sich für die Zugriffssteuereinheit 2B des Quell-Computersystems B sowie für das Administrator-Tool 6 des Administrator-Computersystems 4 ergeben.
-
Ferner kann jegliche Übermittlung von Backup-Daten D_A, D_B, D_C in sämtlichen Ausgestaltungen verschlüsselt durchgeführt werden, um einen Zugriffsschutz gegen unerlaubten Zugriff auf die Backup-Daten D_A, D_B, D_C auch außerhalb des Backup-Computersystems 1 bzw. außerhalb der Systeme A, B, C zu erhöhen. Der Fachmann kann sich dabei sämtlicher denkbarer Kryptotechniken bzw. Verschlüsselungsalgorithmen bedienen.
-
Die dargestellten Ausführungsformen sind lediglich beispielhaft gewählt, wobei diverse alternative Ausgestaltungen denkbar sind, welche ebenfalls von dem erfindungsgemäßen Verfahren, Computerprogrammprodukt sowie Computersystem abgedeckt werden.
-
Bezugszeichenliste
-
- 1
- Backup-Computersystem
- 2
- Zugriffssteuereinheit
- 2B
- Zugriffssteuereinheit im Quell-Computersystem
- 31
- Backup-Speicher
- 3A, 3B, 3C
- Speicher im Quell-Computersystem
- 4
- Administrator-Computersystem
- 5
- Kommunikationsschnittstellen
- 6
- Administrator-Tool
- A, B, C
- Quell-Computersystem
- D_A, D_B, D_C
- Backup-Daten der Quell-Computersysteme
- Recover
- Befehl zum Anweisen eines Wiederherstellungsprozesses