-
Die Erfindung bezieht sich auf eine Rechenvorrichtung und ein Verfahren zur Gewinnung und sicheren Speicherung sicherheitsrelevanter Daten in einer Rechenvorrichtung mit Anwendungsprogrammen und einem Betriebssystem, die Sicherheitsmeldungen generieren, und Hardware-Komponenten zur Ausführung und Speicherung der Anwendungsprogramme.
-
Zur Überwachung und Erkennung von bösartigen Eingriffen in eine Rechenvorrichtung werden unterschiedliche sicherheitsrelevante Daten beispielsweise durch Anwendungsprogramme generiert und in ein Dateisystem des Betriebssystems gespeichert. Beispiele für solche sicherheitsrelevanten Daten und Sicherheitsmeldungen sind beispielsweise Protokollierungs-Daten, auch als Log-Daten bezeichnet, oder Zeitstempel von Dateisystemobjekten. Ein Rechte-basierter Zugriffsschutz auf diese Daten, der normalerweise im Betriebssystem implementiert ist, kann durch Angreifer oder Schadsoftware häufig umgangen und die sicherheitsrelevanten Daten modifiziert werden, um Spuren eines unerlaubten bzw. bösartigen Zugriffs zu verwischen. Werden solche Sicherheitsmeldungen beziehungsweise sicherheitsrelevanten Daten modifiziert oder gar gelöscht, sind die Entdeckung und besonders die detaillierte Untersuchung eines unerlaubten Zugriffs auf die Rechenvorrichtung oft erheblich erschwert.
-
Um sicherheitsrelevante Daten gegen Modifikationen durch Angreifer zu schützen, wird typischerweise ein Rechte-basierter Zugriffskontrollmechanismus im Betriebssystem implementiert. Eine Protokollierungskomponente hat dabei spezielle Zugriffsrechte, insbesondere Schreibrechten. Andere Anwendungen haben nur eine Lese-Berechtigung, aber keine Schreibrechte auf die generierten Sicherheitsdaten. Nichtsdestotrotz ist es versierten Angreifern möglich, gespeicherte Sicherheitsmeldungen und sicherheitsrelevanten Daten über das Dateisystem im Betriebssystem auszulesen, zu modifizieren oder auch zu löschen und somit einen unberechtigten Zugriff auf die Rechnervorrichtung zu verschleiern.
-
Eine weitere bekannte Methode zum Schutz sicherheitsrelevanter Daten ist es, diese auf ein externes, für einen Angreifer nicht zugängliches, System zu übertragen und dort zu speichern. Aber auch diese Sicherheitsmechanismen lassen sich, beispielsweise durch Abstecken des externen Gerätes, einfach umgehen.
-
Es ist somit die Aufgabe der vorliegenden Erfindung, die Möglichkeiten von Angreifern zum Löschen und Ändern von sicherheitsrelevanten Daten oder Sicherheitsereignissen zu beschränken.
-
Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.
-
Die erfindungsgemäße Rechenvorrichtung mit Anwendungsprogrammen und einem Betriebssystem, die Sicherheitsmeldungen generieren, und mit Hardware-Komponenten zur Ausführung und Speicherung beispielsweise der Anwendungsprogramme umfasst des Weiteren einen geschützten Speicherbereich, der derart ausgebildet ist, vorbestimmte Sicherheitsmeldungen und weitere sicherheitsrelevante Daten der Anwendungsprogramme und des Betriebssystems zu speichern und eine Sicherheitseinrichtung, die auf einer Firmware-Einheit eine Hardware-Komponente derart ausgebildet ist, um eine Zugriffsverwaltung für den geschützten Speicherbereich auszuführen.
-
Durch die Ausbildung eines geschützten Speicherbereichs werden die Sicherheitsmeldungen und sicherheitsrelevanten Daten an einem vom üblichen Speicherbereich für das Betriebssystem-Dateisystem unterschiedlichen Speicherort abgespeichert, den ein Angreifer nicht erwartet. Des Weiteren wird durch die Auslagerung der Zugriffsverwaltung auf diesen geschützten Bereich auf eine Firmware-Einheit einer Hardware-Komponente ein Zugriff auf den geschützten Bereich über das Betriebssystem in der üblichen Weise nicht mehr möglich. Ein Angreifer kann also nicht durch einen unerlaubten Zugriff auf das Betriebssystem und auf das dort implementierte Dateisystem die Sicherheitsereignisse und sicherheitsrelevanten Daten im geschützten Speicherbereich unwiederbringlich löschen oder modifizieren. Somit bleibt eine Manipulation der Rechenvorrichtung erkennbar und die manipulierten Komponenten oder Anwendungen der Rechenvorrichtung können ermittelt und analysiert werden.
-
In einer vorteilhaften Ausführungsform der erfindungsgemäßen Rechenvorrichtung sind die Sicherheitseinrichtung auf einer Firmware-Einheit einer ersten Hardware-Komponente und der geschützte Speicherbereich auf der gleichen ersten Hardware-Komponente der Rechenvorrichtung ausgebildet.
-
Dies ermöglicht einen raschen und direkten Zugriff der Sicherheitseinrichtung auf dem geschützten Speicherbereich und ermöglicht einen schnellen Zugriff auf die im geschützten Speicherbereich abgelegten Daten.
-
In einer weiteren vorteilhaften Variante ist die Sicherheitseinrichtung auf einer Firmware-Einheit einer zweiten Hardware-Komponente und der geschützte Speicherbereich auf einer ersten, von der zweiten verschiedenen Hardware-Komponente der Rechenvorrichtung ausgebildet.
-
Somit ist es möglich, die Sicherheitseinrichtung und den geschützten Speicherbereich auch physikalisch zu trennen. Dies erschwert die Lokalisierung des Speichers der Sicherheitsereignisse und damit die Modifikation derselben. Andererseits können vorhandene Ressourcen effektiv genutzt werden, insbesondere wenn beispielsweise in einer ersten Komponente Speicherkapazität, aber keine Firmware zur Implementierung der Zugriffsverwaltung vorhanden ist. So könnte hier eine erste Komponente auch eine lediglich einmal beschreibbare Kompaktdisk, auch CD-R genannt, sein. In diesem Fall kann die Zugriffsverwaltung auf Firmware einer von der ersten Hardware-Komponente unterschiedlichen zweiten Hardware-Komponente ausgebildet werden. Es muss lediglich sichergestellt sein, dass die erste und die zweite Hardware-Komponente durch eine Kommunikationsverbindung miteinander verbunden sind und somit kommunizieren können.
-
In einer vorteilhaften Ausführungsform ist die erste Hardware-Komponente eine Datenspeichereinheit, eine Grafikkarte oder eine Netzwerkkarte.
-
Alle genannten Hardware-Komponenten umfassen sowohl einen Speicherbereich als auch Prozessoren beziehungsweise programmierbare Speicherbausteine, wie bspw. EPOMs, und andere Firmware, die zur Implementierung der Sicherheitseinrichtung verwendet werden können. Insbesondere eignen sich Datenspeichereinheiten, wie ein Festplattenlaufwerk oder ein Halbleiterlaufwerk, auch als SSD für Solid State Drive bezeichnet. Aber auch Grafikkarten oder Netzwerkkarten verfügen über Speicherkapazität und Firmware-Einheiten, sodass dort sowohl die Sicherheitseinrichtungen als auch der geschützte Speicherbereich implementiert werden kann und eine schnelle Kommunikation ohne zusätzliche Protokollmeldungen über externe Kommunikationswege notwendig sind.
-
In einer vorteilhaften Ausführungsform weist die Sicherheitseinrichtung eine Konfigurations-Schnittstelle auf, die derart ausgebildet ist, Konfigurationsdaten zur Art der in dem geschützten Speicherbereich zu speichernden bzw. gespeicherten Sicherheitsmeldungen und zur Art der zu speichernden bzw. gespeicherten anderen sicherheitsrelevanten Daten zu übertragen.
-
Dies hat den Vorteil, dass die Sicherheitseinrichtung flexibel konfigurierbar ist und beispielsweise abhängig von der Art der Verwendung der Recheneinrichtung unterschiedliche Sicherheitsmeldungen und sicherheitsrelevanten Daten von den Anwendungen bzw. vom Betriebssystem abgreifen kann. Insbesondere können die in den geschützten Speicherbereich abgespeicherten Daten von den im Dateisystem bzw. einem zugehörigen Speicherbereich im Betriebssystem aufgezeichneten Sicherheitsereignissen und sicherheitsrelevanten Daten abweichen. Über die Sicherheitseinrichtung können dann die entsprechenden Daten vom Betriebssystem angefordert werden.
-
In einer vorteilhaften Weiterbildung weist die Sicherheitseinrichtung eine Ausgabeschnittstelle auf, die derart ausgebildet ist, Daten aus dem geschützten Speicherbereich auszugeben.
-
Durch diese separate Schnittstelle können die im geschützten Speicherbereich abgelegten Daten ausgelesen werden, ohne dass ein Angreifer durch das Dateisystem im Betriebssystem darauf aufmerksam gemacht wird.
-
In einer vorteilhaften Variante ist die Sicherheitseinrichtung derart ausgebildet, lediglich lesenden Zugriff auf die dort gespeicherten Daten zu gewähren, aber nicht ein Modifizieren oder Löschen der auf dem geschützten Speicherbereich gespeicherten Daten zu gewähren.
-
Dies hat den großen Vorteil, dass einmal im geschützten Speicherbereich gespeicherte Daten weder verändert noch gelöscht werden können. Sie zeigen somit eine vollständige Historie der Sicherheitsereignisse auf und geben auch bei einem Kompromittieren des Dateisystems und der im zugehörenden Speicherbereich gespeicherten Sicherheitsereignisse und sicherheitsrelevanten Daten, Hinweise auf die durchgeführten Manipulationen.
-
In einer vorteilhaften Variante, in der das Betriebssystem Sicherheitsmeldungen und andere sicherheitsrelevante Daten in einem eigenen Dateisystem verwaltet und in einem zweiten von dem geschützten Speicherbereich verschiedenen Speicherbereich ablegt, ist die Sicherheitseinrichtung derart ausgebildet, Zugriffe auf den zweiten Speicherbereich zu überwachen und Zugriffsinformationen auf dem zweiten Bereich im geschützten Speicherbereich zu speichern.
-
Dadurch können Manipulationsversuche am Dateisystem des Betriebssystems dediziert überwacht und protokolliert werden und somit analysiert und nachvollzogen werden. Dies erlaubt es, einen durchgeführten Manipulationsversuch genau nachzuvollziehen und dadurch gleichartige Manipulationsversuche im selben oder auch in anderen Rechenvorrichtungen zu verhindern.
-
In einer vorteilhaften Weiterbildung der Rechenvorrichtung ist die Sicherheitseinrichtung derart ausgebildet, selbst generierte Daten abzuspeichern.
-
Dies können beispielsweise Zeitstempel beim Ablegen neuer Sicherheitsereignisse auf dem geschützten Speicherbereich, aber auch sonstige Metadaten von durch die Manipulation geänderten Daten sein.
-
Das erfindungsgemäße Verfahren zur Gewinnung und sicheren Speicherung sicherheitsrelevanter Daten in einer Rechenvorrichtung mit einem Betriebssystem und Anwendungsprogrammen, die Sicherheitsmeldungen generieren, und mit Hardware-Komponenten zur Ausführung und Speicherung der Anwendungsprogramme umfasst als Verfahrensschritte ein Bereitstellen eines geschützten Speicherbereichs auf einer Hardware-Komponente, ein Implementieren eines Sicherheitseinrichtung mit einer Zugriffsverwaltung für den geschützten Speicherbereich auf einer Firmware-Einheit einer Hardware-Komponente und ein Speichern von vorbestimmten Sicherheitsmeldungen und weiteren sicherheitsrelevanten Daten im geschützten Speicherbereich.
-
Durch das Abspeichern von sicherheitsrelevanten Daten und Sicherheitsereignissen auf einen eigenen geschützten Speicherbereich und einer Zugriffskontrolle auf diesen geschützten Speicherbereich, der durch eine Sicherheitseinrichtung, die auf einer Firmware-Einheit einer Hardware-Komponente der Rechenvorrichtung implementiert ist, können diese Daten vor einem Zugriff durch Unbefugte geschützt und insbesondere eine unerwünschte Modifikation oder ein Löschen dieser Daten verhindert werden.
-
In einer vorteilhaften Variante werden Konfigurationsdaten zur Art der in dem geschützten Speicherbereich zu speichernden Sicherheitsmeldungen und zur Art der zu speichernden anderen sicherheitsrelevanten Daten über eine Konfigurations-Schnittstelle an die Sicherheitseinrichtung übertragen.
-
Somit ist eine Definition der zu speichernden Daten unabhängig von den Daten möglich, die in dem Dateisystem beziehungsweise in dem zugehörenden Speicherbereich des Betriebssystems gespeichert werden.
-
In einer vorteilhaften Variante des erfindungsgemäßen Verfahrens werden die Daten aus dem geschützten Speicherbereich lediglich mittels einer Ausgabeschnittstelle der Sicherheitseinrichtung ausgelesen.
-
Somit ist einem Angreifer die Schnittstelle zu diesem geschützten Speicherbereich nicht verfügbar und über das Dateisystem des Betriebssystems nicht notwendigerweise erkennbar.
-
Eine vorteilhafte Variante ist es, dass lediglich lesender Zugriff auf die im geschützten Speicherbereich gespeicherten Daten gewährt wird, dagegen ein Modifizieren oder Löschen der im geschützten Speicherbereich gespeicherten Daten nicht möglich ist.
-
Dadurch wird eine vollständige Historie an Sicherheitsmeldungen garantiert.
-
In einer vorteilhaften Ausführungsform werden Zugriffe auf Sicherheitsmeldungen und andere sicherheitsrelevante Daten, die das Betriebssystem in einem eigenen Dateisystem verwaltet und in einem zweiten von dem geschützten Speicherbereich verschiedenen Speicherbereich ablegt, von der Sicherheitseinrichtung überwacht und Zugriffsinformation auf den zweiten geschützten Speicherbereich im geschützten Speicherbereich, der von der Sicherheitseinrichtung verwaltet wird, gespeichert.
-
Somit werden auch Verschleierungsversuche sichtbar, die ein Angreifer durch Löschen oder Modifizieren von Einträgen in einem zweiten Speicherbereich vornimmt, registrier- und analysierbar.
-
In einer vorteilhaften Variante werden zusätzlich von der Sicherheitseinrichtung selbst generierte Daten im geschützten Speicherbereich abgespeichert.
-
Des Weiteren wird ein Computerprogrammprodukt beansprucht mit Programmbefehlen zur Durchführung des beschriebenen Verfahrens.
-
Ausführungsbeispiele der erfindungsgemäßen Rechenvorrichtung und des erfindungsgemäßen Verfahrens sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:
-
1 eine Rechenvorrichtung gemäß dem Stand der Technik in Blockdarstellung;
-
2 ein Ausführungsbeispiel einer erfindungsgemäßen Rechenvorrichtung in Blockdarstellung; und
-
3 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens als Flussdiagramm.
-
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
-
In 1 wird eine Rechenvorrichtung gemäß dem Stand der Technik beschrieben, um damit die Unterschiede zu einer erfindungsgemäßen Ausführungsform einer Rechenvorrichtung, wie sie beispielsweise in 2 dargestellt ist, zu verdeutlichen.
-
Eine typische Ausführungsform einer Rechenvorrichtung 10 gemäß dem Stand der Technik umfasst eine Applikationsebene 11, in der unterschiedliche Anwendungsprogramme 11.1, ..., 11.i, ..., 11.n ablaufen. Die einzelnen Anwendungsprogramme 11.1, ..., 11.i, ..., 11.n werden durch ein Betriebssystem 12 gesteuert, das heißt es wird beispielsweise eine Laufzeitüberwachung der einzelnen Anwendungsprogramme durchgeführt, der Zugriff auf eine Hardwareebene 13 der Rechenvorrichtung 10 koordiniert und Schutzfunktionen wie zum Beispiel Zugriffsbeschränkungen verwaltet und durchgeführt.
-
Die Hardwareebene 13 sind Hardware-Komponenten 14, 15 wie beispielsweise Recheneinheiten mit Prozessoren zur Berechnung beziehungsweise Durchführung der Anwendungsprogramme oder beispielsweise Festplatten, Netzwerkkarten, Graphikkarten, CD-Laufwerk, etc. Viele dieser Hardware-Komponente 14, 15 umfassen Speicherbereiche aber auch Steuerungseinheiten, die häufig als Firmware ausgebildet ist. Dabei werden als Firmware programmierbare Speicherbausteine bezeichnet, in die Software eingespielt und gespeichert, aber bei Bedarf auch aktualisiert, überschrieben oder gelöscht werden kann. Durch die eingespielte Software werden bestimmte Funktionalitäten bereitgestellt. Die Applikationsebene 11, das Betriebssystem 12 sowie die Hardwareebene 13 sind durch interne Kommunikationsverbindungen, wie beispielsweise einen Datenbus, miteinander verbunden.
-
Üblicherweise werden unterschiedliche Sicherheitsereignisse oder sicherheitsrelevante Daten durch Anwendungsprogramme 11.1, ..., 11.n generiert an ein Dateisystem 16 des Betriebssystems 12 weitergegeben und in einem dem Dateisystem 16 zugewiesenen Speicherbereich 17 gespeichert. Sicherheitsereignisse sind beispielsweise Protokolldaten einer Überwachungsfunktion eines Anwendungsprogramms, sicherheitsrelevante Daten können Zeitstempel und sonstige Metadaten von Dateisystemobjekten sein. Dateisystemobjekte sind jede Art von Dateien, die oftmals Metadaten wie zum Beispiel den Besitzer, die Größe des Dateiobjektes, aber auch Zugriffszeitpunkt, Löschzeitpunkt etc. und insbesondere Zugriffskontrolllisten umfassen.
-
Diese werden im Dateisystem 16 verwaltet und in dem dem Dateisystem zugewiesenen Speicherbereich 17 gespeichert. Der Speicherbereich 17 kann direkt im Betriebssystem 12 oder aber ausgelagert in beispielsweise eine erste Hardware-Komponente 14 implementiert sein. Der Speicherbereich 17 zum Dateisystem 16 kann aber auch kombiniert sowohl im Betriebssystem 12 als auch auf einer Hardware-Komponente 14, 15 verteilt implementiert werden.
-
Im Dateisystem 16 des Betriebssystems 12 werden insbesondere die Zugriffsrechte auf die Metadaten und insbesondere auch auf sicherheitsrelevante Daten und Sicherheitsereignisse verwaltet. So kann beispielsweise durch rechtebasierte Zugriffskontrollmechanismen im Betriebssystem 12 eine Protokollierungskomponente spezielle Rechte zum Schreiben der Ereignisse aufweisen. Andere Anwendungen haben jedoch nur Leserechte, aber keine Schreibrechte auf die gespeicherten Sicherheitsereignisse oder sicherheitsrelevanten Daten.
-
Dieser im Betriebssystem 12 implementierte, rechtebasierte Zugriffsschutz auf die Sicherheitsereignisse und sicherheitsrelevanten Daten kann durch Angreifer über die Schnittstelle 18 oder auch durch Schadsoftware umgangen und die Daten modifiziert oder gelöscht werden, um Spuren eines unerlaubten Zugriffs auf die Rechenvorrichtung zu verwischen.
-
Um die Möglichkeiten von Angreifern zum Löschen und Ändern dieser sicherheitsrelevanten Daten zu beschränken, wird nun erfindungsgemäß, wie in 2 dargestellt, eine Sicherheitseinrichtung 22 auf einer Firmware-Einheit 25 beispielsweise eine ersten Hardware-Komponente 14 eingerichtet. Die Sicherheitseinrichtung 22 weist dabei eine Konfigurationsschnittstelle 23 auf, die eine Konfiguration der durch die Sicherheitseinrichtung 22 zu schützenden Objekte, insbesondere Sicherheitsereignisse und sicherheitsrelevante Daten sowie evtl. weiterer Metadaten, durch das Betriebssystem 12 erlaubt. Eine entsprechende Konfigurationsschnittstelle 23´, 24´ kann zwischen Betriebssystem 12 und einem Nutzer beziehungsweise dem Dateisystem des Betriebssystems 16 und einem Nutzer, beispielsweise einem Administrator, vorhanden sein. Die entsprechend konfigurierten zu schützenden Objekte, hier also die bestimmte Sicherheitsereignisse und sicherheitsrelevanten Daten, die beispielsweise im Speicherbereich 17 im Betriebssystem 12, gespeichert werden, werden daraufhin in einen geschützten Speicherbereich 21 in beispielsweise der ersten Hardware-Komponente 14 kopiert.
-
In der Sicherheitseinrichtung 22 werden nun die Zugriffsrechte auf den geschützten Speicherbereich 21 verwaltet. Die Zugriffsverwaltung ist dabei so konfiguriert, dass eine nachträgliche Modifikation oder ein Löschen der im geschützten Speicherbereich 21 gespeicherten Sicherheitsereignisse oder sicherheitsrelevanten Daten nicht möglich ist.
-
Neben den Sicherheitsereignissen und sicherheitsrelevanten Daten, die aus dem Speicherbereich 17 kopiert werden, werden auch Zugriffe auf die Daten im Speicherbereich 17 protokolliert und in den geschützten Speicherbereich 21 umgeleitet und gespeichert. Der geschützte Speicherbereich 21 ist über eine Standardschnittstelle, wie beispielsweise S-ATA, für den Datenaustausch zwischen einem Prozessor und einer Festplatte nicht sichtbar.
-
Die Sicherheitseinrichtung 22 weist des Weiteren eine Ausgabeschnittstelle 24 auf, die einen kontrollierten, lesenden Zugriff auf die im geschützten Bereich 21 gespeicherten Daten ermöglicht. Über die Ausgabeschnittstelle 24, 24´ kann via Betriebssystem 16 und beispielsweise über das zwischengeschaltete Dateisystem 16 des Betriebssystems 12 ein lesender Zugriff auf die Sicherheitsereignisse und auch die genannten Zugriffe, Zugriffsversuche etc. auf das Dateisystem 17 durch einen unberechtigten Nutzer ausgelesen werden. Die Ausgabeschnittstelle 24´´, gestrichelt dargestellt, kann aber auch direkt ohne Zugriff auf das Dateisystem 16 ausgelesen werden, um deren Vorhandensein besser zu verschleiern. In gleicher Weise kann auch die Konfigurationsschnittstelle 23´´, gestrichelt dargestellt, direkt an der Firmware-Einheit 25 ausgebildet sein und nicht über das Betriebssystem 12 führen.
-
Die Sicherheitseinrichtung 22, ausgebildet in der Firmware 25 einer ersten Hardware-Komponente 14, überwacht Zugriffe auf Dateisystemobjekte des Dateisystem 16 und schreibt diese Ereignisse ebenfalls in den geschützten Bereich 21. Der geschützte Bereich 21 ist dabei nach außen über übliche Standardschnittstellen nicht sichtbar. Die Daten können lediglich über die Ausgabeschnittstelle 24 nach außen übermittelt werden.
-
Die Sicherheitseinrichtung 22 sowie der geschützte Speicherbereich 21 können auf der gleichen Hardware-Komponente implementiert sein. Eine besonders geeignete erste Hardware-Komponente ist dabei eine Datenspeichereinheit wie beispielsweise ein Festplattenlaufwerk oder ein Halbleiterlaufwerk. Es kann aber auch eine Graphikkarte oder eine Netzwerkkarte als erste Hardware-Komponente 14 verwendet werden. Auch andere Hardware-Komponenten können verwendet werden, vorausgesetzt, diese umfassen zum einen Firmware-Einheiten, das heißt programmierbare Hardware-Einheiten, sowie Speicherkapazität, beispielsweise in Form von Speicherbausteinen.
-
Die Sicherheitseinrichtung 22 und der geschützte Speicherbereich 21 können aber auch auf unterschiedlichen Hardware-Komponenten, die miteinander kommunizieren können, implementiert werden. Die Sicherheitseinrichtung 22 kann beispielsweise auf einer Firmware-Einheit einer zweiten Hardware-Komponente 15 und der geschützte Speicherbereich 21 auf einer ersten, von der zweiten verschiedenen Hardware-Komponente 15 verschiedenen Hardware-Komponente 14 ausgebildet sein. Eine solche verteilte Konfiguration erschwert es einem Angreifer noch weiter, die Sicherheitsereignisse und sicherheitsrelevanten Daten zu finden und zu modifizieren.
-
Eine mögliche Beispielimplementierung wäre, die Sicherheitseinrichtung 22 auf der Firmware einer Festplatte zu implementieren, so dass diese auch auf das vom Betriebssystem 12 verwendete Dateisystem 16 und die dazugehörigen Daten im Speicherbereich 17 zugreifen kann, siehe 2. Über die Sicherheitseinrichtung 22 und die Konfigurationsschnittstelle 23 oder alternativ über eine direkte Schnittstelle 26 zwischen dem Speicherbereich 17 und dem geschützten Speicherbereich 21 werden die vorbestimmten Sicherheitsereignisse oder Metadaten in den geschützten Bereich 21 übertragen und somit geschützt, indem das Löschen oder Überschreiben dieser Daten durch die Sicherheitseinheit 21 verhindert wird.
-
Wird ein Löschen oder Überschreiben von Sicherheitsereignissen im Speicherbereich 17 initiiert, kann die Sicherheitseinrichtung 22 diesen Zugriff als weiteres sicherheitsrelevantes Ereignis auf den geschützten Speicherbereich 21, der von außen nicht direkt zugreifbar ist, umleiten. Über eine Standard-Dateisystem-Schnittstelle 18, in 2 der Übersicht halber nicht eingezeichnet aber vorhanden, werden in diesem Fall danach die modifizierten Daten sichtbar sein. Über eine separat implementierte Ausgabeschnittstelle 24´ bzw. 24´´ wäre hingegen ein lesender Zugriff auf die Original-Daten möglich. In dieser Form würde die Dateisystem-Semantik erhalten bleiben und es gäbe keine Kompatibilitätsprobleme mit existierender Software.
-
In 3 sind nur die einzelnen Schritte des erfindungsgemäßen Verfahrens 30 in Form eines Flussdiagramms dargestellt. Im Zustand 31, beispielsweise bei der Inbetriebnahme der Rechenvorrichtung oder auch zu einem späteren Zeitpunkt, liegt eine Rechenvorrichtung mit einem üblichen Dateisystem 16 und eine zugehörigen Speicherbereich 17 für das Dateisystem vor. Im ersten Verfahrensschritt 33 wird in einer ersten Hardware-Komponente 14 ein geschützter Speicherbereich 21 konfiguriert und zur Speicherung von Sicherheitsmeldungen beziehungsweise sicherheitsrelevanten Daten bereitgestellt. Im Verfahrensschritt 33 wird nun eine Sicherheitseinrichtung 22 mit einer Zugriffsverwaltung auf den geschützten Speicherbereich 21 auf einer Firmware-Einheit 25 einer zweiten Hardware-Komponente 15 implementiert. Dazu wird auf die Firmware 25 entsprechende Programmbefehle, die auf einem Computerprogrammprodukt lesbar von der Rechenvorrichtung 20 übernommen wurden, eingespielt und zur späteren Verwendung gespeichert.
-
Die Verfahrensschritte 32 und 33 können auch in umgekehrter Reihenfolge ausgeführt werden.
-
Im darauffolgenden Verfahrensschritt 34 werden vorbestimmte Sicherheitsmeldungen und weitere sicherheitsrelevante Daten im geschützten Speicherbereich 21 gespeichert. Durch eine Konfigurationsschnittstelle 23 der Sicherheitseinrichtung 22 können im nachfolgenden Verfahrensschritt 35 die relevanten Sicherheitsmeldungen angegeben werden. Durch eine Ausgabeschnittstelle 24 können nachfolgend die im geschützten Bereich 21 gespeicherten Sicherheitsmeldungen und sicherheitsrelevanten Daten ausgelesen und ausgewertet werden.
-
Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt. So können als erste Hardware-Komponenten solche Komponenten verwendet werden, die Firmware-Komponenten und/oder Speicherkapazität bereitstellen.