-
Die
Erfindung betrifft ein Computersystem, das mit einem Netzwerk in
Verbindung steht.
-
Bei
solchen Computersystemen kann es häufig vorkommen, dass diese
von Computerviren befallen werden. Beispielsweise kann über das
Netzwerksystem, beispielsweise über
das Internet, eine E-Mail-Nachricht empfangen werden, in der ein
Virus enthalten ist. Beim Öffnen
dieser E-Mail-Nachricht wird das Computersystem mit dem Virus infiziert
und dadurch beschädigt.
-
Im
Stand der Technik sind hierzu vielfältige Abwehrmaßnahmen
vorgesehen worden. Das Spektrum reicht vom andauernden vollständigen Abtrennen
des Computers vom Internet, indem erst gar keine Netzwerkkarte oder
kein Modem vorgesehen wird, bis hin zum Vorsehen von komplizierten
Virenscan-Programmen, die die vom Computer abgesandten Nachrichten
und empfangenen Nachrichten auf gefährliche Inhalte untersuchen
und gegebenenfalls Warnungen senden und Gegenmaßnahmen treffen. Alle Software-Verfahren bergen
den Nachteil in sich, dass deren Wirksamkeit von einer regelmäßigen Aktualisierung
der Virendatenbank abhängig
ist. Jedoch ist keine vollständige
Sicherheit gegeben, auch bei einer regelmäßigen Aktualisierung der Virendatenbank
kann es noch zu unerwünschtem
Virenbefall und daraus resultierenden Schäden kommen.
-
Es
ist die Aufgabe der Erfindung, ein Computersystem bereitzustellen,
dass einen erhöhten Schutz
gegen die Auswirkungen eines Virenbefalls bietet.
-
Diese
Aufgabe wird durch den Gegenstand der unabhängigen Patentansprüche gelöst. Vorteilhafte
Weiterbildungen ergeben sich aus den jeweiligen abhängigen Patentansprüchen.
-
Die
Erfindung lässt
sich besonders einfach auf einem Computersystem ausführen, das
eine Zentraleinheit mit einem flüchtigen
Speicher und mit einem dauerhaften Speichermedium, beispielsweise einer
Festplatte, aufweist. Solche Computersysteme weisen in der Regel
eine Netzwerkverbindungseinheit, wie eine Netzwerkkarte oder eine
Modemkarte, und eine Tastatur als Betätigungseinrichtung auf. Erfindungsgemäß ist ein
Programm auf dem Computersystem vorgesehen, das beim Ablauf überwacht,
ob eine vorbestimmte Taste oder ein vorbestimmter Schalter von einem
Benutzer des Computersystems betätigt
wird. Bei einem Abtasten einer solchen Betätigung können mehrere Aktionen vorgesehen
sein. So ist es möglich,
dass die Netzwerkverbindungseinheit von einem übergeordneten Netzwerk abgetrennt wird.
Dabei ist der Begriff "Abtrennen" in dem Sinn zu verstehen,
dass der Computer so verändert
wird, dass kein Datenaustausch über
die Netzwerkverbindungseinheit mehr erfolgen kann. Im einfachsten
Fall wird ein solcher Datenaustausch so eingeschränkt, dass
Schäden
durch unerwünschtes
Absetzen von Daten vermieden werden.
-
Anders
als die im Stand der Technik bekannten Virenschutz- und Virenreinigungsprogramme
ist durch eine solche Ausgestaltung ein manueller Eingriff eines
Benutzers möglich.
Benutzer des Computers können
wesentlich sensibler auf Verhaltensäußerungen eines Computersystems
reagieren, als dies automatisiert beispielsweise durch ein Virenüberwachungsprogramm
möglich
ist. Auf dieser Erkenntnis baut die Erfindung auf, indem sie eine
Möglichkeit
bereitstellt, wie der Benutzer besonders schädli che Auswirkungen von Computerwürmern und
Viren unterbinden kann. Häufig
veranlassen diese nämlich
einen Computer im Falle eines Virenbefalls dazu, Daten in Form von
Dateien von der Festplatte nach außen zu senden. Dies können beispielsweise
E-Mails sein, die
von einem Computerkriminellen zur Anonymisierung über einen
fremden Rechner dort abgelegt und anschließend versandt werden. Daneben
kommt es gelegentlich vor, dass Viren und Würmer zum Ausspähen von
Inhalten von Computern eingesetzt werden. Wenn ein Benutzer eines Computersystems
das Vorhandensein eines solchen Virenprogramms bemerkt oder auch
nur vermutet, kann er durch Betätigen
der dafür
vorgesehenen Taste oder eines Schalters die schädlichen Aktionen des Computers
rasch und zuverlässig
unterbinden. Dadurch wird Folgeschäden vorgebeugt.
-
Dazu
kann auch noch das Starten einer Virenscan- oder Virenbehandlungsprozedur,
beispielsweise in Form eines Virenscanners, vorgesehen sein. Solche
Virenscanner sind inzwischen sehr weit entwickelt, so dass Viren
zuverlässig
aufgespürt
und entfernt werden können,
wenn diese einmal erkannt worden sind. Mit der Erfindung ist es
möglich,
die sensiblen Wahrnehmungsmöglichkeiten
eines Computerbenutzers zum Auslösen
dieses Vorgangs zu verwenden.
-
Im
Ergebnis wird dadurch eine Funktion erreicht, bei der auf den Druck
einer frei definierbaren Taste auf einer Computertastatur reagiert
wird. Dabei werden alle Internetzverbindungen getrennt und ein Virenkomplettscan
des Computers gestartet.
-
In
einer besonders vorteilhaften Ausführungsform wird die erfindungsgemäße Funktion
mittels eines systemweiten Keyboard- Hooks auf den Druck einer frei definierbaren
Taste realisiert. Die Internetverbindungen werden dabei durch RAS-API-Funktionen
ausgeführt,
die vom Hersteller des Betriebssystems des Computers bereitgestellt werden.
Danach wird ein Virenkomplettscan des Rechners gestartet.
-
In
der Benutzung äußert sich
die Erfindung dadurch, dass zunächst
eine Taste der Tastatur des Computers festgelegt wird, mit der per "Hotkey"-Funktion gestartet
wird. Unter einem Betriebssystem der Firma Microsoft wird dazu eine
Windows-API mit Namen "SetWindowsHookEx()" aufgerufen.
-
Alle
Tastatureingaben des Computers werden daraufhin in der Hook-Rückruffunktion
(Callback-Funktion) empfangen und ausgewertet.
-
In
einer sehr einfachen Ausführung
der Erfindung brauchen nicht irgendwelche Ports einer Internetverbindung
geschlossen werden. Dabei brauchen nur alle derzeit offenen RAS-Verbindungen, die
sich wie ganz normale DFÜ-Internetverbindungen
verhalten, aufgezählt
und beendet werden.
-
Die
Erfindung lässt
sich an einem Computer auf viele Weisen verwirklichen, wobei je
nach Ausstattung des Computers und Aufbau dessen Betriebssystem
mehr durch Software-Maßnahmen
bzw. oder mehr durch Hardware-Maßnahmen das Ziel der Erfindung
erreicht werden kann. In einer besonders einfachen Ausgestaltung
der Erfindung werden ausschließlich
Betriebssystemfunktionen verwendet, die für Anwendungsprogramme als Schnittstelle
zur Verfügung
gestellt werden. Solche genormten Programmierschnittstellen werden
in der Fachsprache als "API" bezeichnet. Über diese
hat der Programmierer einen einfachen Zugriff auf Funktionen des
Betriebssystems oder der Benutzeroberfläche des Computers. Dadurch
wird die Programmierung von Applikationen stark vereinfacht, und
zwar gerade bei den derzeit gängigen
Windows-Betriebssystemen.
-
Daneben
können
auch sehr Hardware-orientierte Maschinenprogrammroutinen eingesetzt
werden, mit der man einen sogenannten "Hotkey" auf der Tastatur oder sonst wo am Computer
definiert. Beispielhaft wird hierzu auf die
US 6 356 965 B1 verwiesen,
die einen Hotkey für
das Booten eines Computers zeigt. Dieses Wissen kann mit der Lehre
der Erfindung dafür
eingesetzt werden, Netzwerkverbindungen aufzutrennen, beispielsweise
solche, wie sie in der
US
6 473 803 B1 gezeigt werden.
-
In
einer Weiterbildung der Erfindung können Netzwerkverbindungen auch
durch Betätigungen
von Relais beendet werden, die auf einer Netzwerkkarte des Computers
oder in einem dort eingesteckten Dongl vorgesehen sind. Der Dongle
kann durch eine weitere Schnittstelle des Computersystems (seriell, parallel,
Firewire, USB) angesteuert werden. Dann ist es vorteilhaft, wenn
die Ansteuerung über
APIs erfolgt, die mit der Netzwerksteuerung nichts zu tun haben,
so dass Hacker nicht auf die richtige Spur geführt werden. Mit einem solchen
Relais kann beispielsweise die Stromversorgung der Netzwerkkarte unterbunden
werden oder auch die Daten-Anschlussleitungen, mit denen der Computer
an einem übergeordneten
Netzwerk angeschlossen ist.
-
In
einer weiteren Ausgestaltung der Erfindung kann beim Abtasten einer
Betätigung
einer vorbestimmten Taste oder eines vorbestimmten Schalters auch
vorgesehen sein, dass der/die Trei ber einer im System installierten
Funknetzkarte (WLan) durch den Aufruf von APIs deinstalliert bzw.
deaktiviert werden Bei den Virenscan- und Virenbehandlungsprogrammen
kann auf handelsübliche
Programme zurückgegriffen
werden, die das dauerhafte Speichermedium des Computers und dessen
flüchtigen
Speicher nach bestimmten Mustern durchsuchen.
-
In
einer weiteren Ausgestaltung der Erfindung kann beim Abtasten einer
Betätigung
einer vorbestimmten Taste oder eines vorbestimmten Schalters auch
vorgesehen sein, dass Löschoperationen auf
dem dauerhaften Speichermedium bzw. der Festplatte des Computers
unterbunden werden. Dadurch können
Beschädigungen
durch das Einwirken von Viren auf den Computer zuverlässig verhindert
werden. In einer weiteren Ausgestaltung der Erfindung können die
Löschoperationen
zwar zugelassen werden, jedoch werden diese so ausgeführt, dass
sie zu einem späteren
Zeitpunkt selektiv wieder rückgängig gemacht
werden können.
Bei einer solchen Ausgestaltung können zwar schadensverursachende
Dateien vom Computer heruntergelöscht
werden, jedoch können
solche Löschoperationen,
die dabei oder durch einen Virus unerwünschter Weise vorgenommen wurden,
wieder rückgängig gemacht
werden. Dies ist beispielsweise dadurch möglich, dass gelöschte Dateien
nicht vollständig
vom Computer entfernt werden, sondern dass der Löschprozess nicht mit dem Löschbefehl
des Betriebssytems sondern mit einem besonderen Befehl ausgeführt wird, der
eine Sicherungskopie der gelöschten
Datei mit Informationen über
deren ursprünglichen
Speicherort anlegt.
-
Die
Erfindung ist auch in einem Computerprogrammprodukt bzw. in einem
entsprechenden Computerprogramm verwirklicht, wobei sich die Erfindung
auch auf das Herunterladen eines solchen Computerprogramms aus einem
Datennetz bezieht.
-
Die
Erfindung ist in der Figur anhand eines Ausführungsbeispiels näher veranschaulicht.
-
1 eine schematische Übersicht über die Komponenten
eines erfindungsgemäßen Computersystems,
-
2 zeigt mehrere erfindungsgemäße Computersysteme,
die an ein übergeordnetes
Netzwerk angeschlossen sind, und
-
3 zeigt einen Programmablaufplan,
der das erfindungsgemäße Verfahren
veranschaulicht,
-
4 eine schematische Übersicht über die Komponenten
eines weiteren erfindungsgemäßen Computersystems.
-
Die 1 zeigt ein Blockschaltbild
der Komponenten eines erfindungsgemäßen Computersystems 1,
von dem mehrere in 2 gezeigt
sind. Die Computersysteme 1 in 2 sind dabei an Netzwerksteckdosen 2 angeschlossen,
die mit dem Internet verbunden sind. Hierzu ist jeweils ein Netzwerkkabel 3 zwischen
dem Computersystem 1 und der Netzwerksteckdose 2 vorgesehen.
-
Das
Computersystem 1 gliedert sich in einen Bildschirm 4,
in ein Zentralgehäuse 5 und
in eine Tastatur 6, auf der eine vorbestimmte Taste als "Virustaste" 7 ausgebildet
ist. Weiterhin ist jeweils ein Virusschalter 8 am Zentralgehäuse vorgesehen.
-
Das
Computersystem 1 beinhaltet, wie man am besten in 1 sieht, eine CPU 102,
die über
einen CPU-Bus an eine Brückenlo gikeinrichtung 106 gekoppelt
ist. Die Brückenlogikeinrichtung 106 wird auch
als "North Bridge" bezeichnet, weil
sie am oberen Ende eines Computerlogikschaltbilds dargestellt ist.
Die North Bridge 106 ist über einen Memory-Bus an einen
Hauptspeicher 104 gekoppelt, und weiterhin ist ein Grafik-Controller 108 über einen
beschleunigten Grafik-Port-Bus (AGP) vorgesehen. Die North Bridge 106 verbindet
die CPU 102, den Speicher 104 und den Grafik-Controller 108 mit
anderen Peripherieeinrichtungen in dem System, und zwar über einen ersten
Expansionsbus (Bus A), der als PCI-Bus als Eisa-Bus ausgeführt sein
kann. An diesem Bus kann eine Audioeinrichtung 114, ein
IEEE-1394-Interface 116 und eine Netzwerkkarte (NIC) 118 angekoppelt sein.
Das System kann mehrere Netzwerkkarten aufweisen, dies ist durch
die Angabe der weiteren Netzwerkkarte NIC 119 verdeutlicht.
Alle diese Komponenten können
auf einem Motherboard des Computers 1 verwirklicht sein
oder sie können
durch Einsteckkarten in den Bus A ausgebildet sein.
-
Der
Computer 1 hat eine weitere Brückenlogikeinrichtung 112,
die hier "South
Bridge" 112 heißt, weil
sie im Bild untenseitig angeordnet ist. Diese South Bridge 112 wird
zum Ankoppeln des Sekundärerweiterungsbus
(Bus B) und der anderen Komponenten an die CPU verwendet. Hier sind
ein Hard-Disk-Controller 122, ein Flash-ROM 124,
ein Super-I/O-Controller 126 angeschlossen. Dieser Super-I/0-Controller 126 weist
einen Floppy-Controller 128,
einen Tastatur-Controller 130, einen Maus-Controller 132 und
einen Energie-Controller 134 auf.
-
Für weitere
Komponenten sind im Bus A und im Bus B Steckplätze 110 und Steckplätze 120 vorgesehen.
-
Zum
Betrieb der Komponenten des Computersystems 1 wird ein
in dieser Ansicht nicht veranschaulichtes Betriebssystem verwendet,
nämlich
ein Windows-kompatibles Betriebssystem der Firma Microsoft. Dieses
Betriebssystem weist mehrere Schichten auf, wobei sich die Schichten
in ihrer Nähe zu
der in 1 veranschaulichten
Hardware unterscheiden. So gibt es eine sehr Hardware-nahe Schicht,
in der die sogenannten "Treiber" angesiedelt sind,
also Programmteile, die zur Betätigung
der einzelnen Komponenten aus 1 vorgesehen
sind. In einer auf die Anwendungsprogramme hin ausgerichteten Schicht
des Betriebssystems sind sogenannte API-Schnittstellen vorgesehen,
die von einem Anwendungsprogramm angesprochen werden können.
-
Ein
solches Anwendungsprogramm ist in 3 veranschaulicht. 3 veranschaulicht ein auf dem
Computer 1 ablaufendes Programm, das auf eine Benutzereingabe
wartet, bei der die Virustaste 7 oder der Virusschalter 8 betätigt wird.
Falls dies abgetastet wird, dann werden alle Internetverbindungen beendet.
Hierzu werden zwei Funktionen verwendet, nämlich die Funktion RasEnumConnections()
und RasHangUp(), aus dem Microsoft Windows API. Danach wird ein
Komplettvirenscan des gesamten Rechners gestartet, in dem die Windows-API-Funktion
WinExec verwendet wird. Hierzu wird das Programm AV2.exe gestartet,
und zwar mit dem Übergabeparameter "FullScan". Die beiden Funktionen
RasEnumConnections() und RasHangUp() sind durch die als Dokumente
zum Stand der Technik beigelegten aktuellen Ausdrucke von der entsprechenden
Microsoft-Homepage veranschaulicht.
-
Im
Betrieb verhält
sich das Computersystem 1 wie folgt. Wenn ein Benutzer
bei einer Arbeit mit dem Computersystem 1 feststellt, dass
sich dieses ungewöhnlich
verhält,
dann betätigt
er die Virustaste 7 oder den Virusschalter 8.
Daraufhin werden die Programmschritte ausgeführt, die in 3 erläutert sind.
Dabei werden die Netzwerkverbindungseinrichtungen NIC 118 sowie
NIC 119 getrennt, sodass keine Verbindung zwischen dem
Computersystem 1 und der zugehörigen Netzwerksteckdose 2 mehr
besteht. Eine Datenübertragung
wird dadurch verhindert.
-
4 zeigt eine schematische Übersicht über die
Komponenten eines weiteren erfindungsgemäßen Computersystems 1'. Das Computersystem 1' stimmt in vielen
Teilen mit dem Computersystem 1 überein. Gleiche Teile haben
dieselben Bezugsziffern.
-
Zusätzlich ist
eine USB-Schnittstelle 135 am ersten Expansionsbus (Bus
A) vorgesehen, in die ein Dongle 137 eingesteckt ist. Der
Dongle 137 beinhaltet ein steuerbares Relais, über das
das Netzwerkkabel 3 mit einem Verbindungskabel 136 und
mit der Netzwerkkarte 119 verbunden ist.
-
Im
Betrieb verhält
sich das Computersystem 1' wie
folgt. Wenn ein Benutzer bei einer Arbeit mit dem Computersystem 1' feststellt,
dass sich dieses ungewöhnlich
verhält,
dann betätigt
er die Virustaste 7 oder den Virusschalter 8.
Daraufhin werden die Programmschritte ausgeführt, die in 3 erläutert sind.
Dabei wird die USB-Schnittstelle 135 mit dem Dongle 137 betätigt, so
dass die Netzwerkverbindungseinrichtung NIC 119 vom Netz
getrennt wird, sodass keine Verbindung zwischen dem Computersystem 1 und
der zugehörigen
Netzwerksteckdose 2 mehr besteht. Eine Datenübertragung
wird dadurch verhindert.
-
- 1
- Computersystem
- 2
- Netzwerksteckdose
- 3
- Netzwerkkabel
- 4
- Bildschirm
- 5
- Zentralgehäuse
- 6
- Tastatur
- 7
- Virustaste
- 8
- Virusschalter
- 102
- CPU
- 104
- Hauptspeicher
- 106
- Brückenlogikeinrichtung/North
Bridge
- 108
- Grafik-Controller
- 110
- Steckplätze
- 112
- South
Bridge
- 114
- Audio-Einrichtung
- 116
- IEEE-1394-Interface
- 118
- NIC
- 119
- NIC
- 120
- Steckplätze
- 122
- Hard-Disk-Controller
- 124
- Flash-ROM
- 126
- Super-I/0-Controller
- 128
- Floppy-Controller
- 130
- Tastatur-Controller
- 132
- Maus-Controller
- 134
- Energie-Controller
- 135
- USB-Schnittstelle
- 136
- Verbindungskabel
- 137
- Dongle