Einrichtung und Verfahren zur Sicherung und Überwachung von geschützten Daten
Technisches Gebiet
Die Erfindung betrifft eine Einrichtung zur Sicherung und Überwachung von geschützten
Daten in einem flüchtigen und oder nichtflüchtigen Datenspeicher einer Datenverarbeitungseinheit vor unbefugtem Zugriff, wobei
(a) Zugangsmittel vorgesehen sind, über die nur mit einem Berechtigungscode auf die geschützten Daten in dem Datenspeicher zugegriffen werden kann,
(b) Mittel zum Erfassen der Anzahl der Berechtigungscodeeingaben enthalten sind, (c) Mittel zur Beschrärikung des Zugriffs auf die geschützten Daten vorgesehen sind, wobei eine Beschrärikung erfolgt, wenn die Anzahl der Berechtigungscodeeingäben innerhalb eines bestimmten Zeitintervalls einen diesem Zeitintervall zugeordneten Referenzwert überschreitet,
Ferner betrifft die Erfindung ein Verfahren zur Sicherung und Überwachung von geschützten Daten (12) vor unbefugtem Zugriff mit einer Einrichtung (10) gemäß einem der vorherigen Ansprüche, wobei
(a) die Anzahl der Berechtigungscodeeingaben für den Zugriffe auf die geschützten Daten (12) innerhalb eines bestimmten Zeitintervalls (36) ermittelt wird und
(b) diese Anzahl der Versuche innerhalb des bestimmten Zeitintervalls (36) mit einem Referenzwert verglichen wird, wobei
(c) der Zugriff auf die geschützten Daten beschränkt oder verhindert wird, wenn die Anzahl der Eingaben innerhalb des Zeitintervalls größer als der Referenzwert ist.
Stand der Technik
Digitale Daten werden zur Sicherung und zur Verhinderung vor unbefugten Zugriffen nach kryptograpfischen Verfahren geschützt. Unter Kryptographie wird grundsätzlich die Wissenschaft zur Erforschung und Realisierung von Verfahren zur Verschlüsselung bzw. Entschlüsselung von Daten verstanden, bei denen entweder das Verschlüsselungsverfahren oder (bei Anwendung einheitlicher
Verschlüsselungsverfahren) die verwendeten Schlüsselbegriffe geheim gehalten werden. Durch Ändern, Vertauschen oder Hinzufügen von Zeichen nach bestimmten Regeln wird ein Klartext in einen Schlüsseltext verwandelt und umgekehrt. Solche kryptographischen Verfahren sind z.B. bei der Speicherung von Daten und der Datenübertragung anwendbar. Dies ist derzeit das wirksamste Mittel des Datenschutzes, um Informationen, die in falsche Hände gelangt sind, wertlos zu machen. Neben der Vertraulichkeit durch die Verschlüsselung von Klartext kann mit den Methoden der Kryptographie auch die Authentizität einer Nachricht sowie die Integrität einer Datei sichergestellt werden, wobei unter letzterem, der Integrität einer Datei, die Gewissheit zu verstehen ist, eine Datei in unveränderter Form zu empfangen.
Angriffe auf kryptographisch geschützte Daten können nur durch extrem häufige Zugriffe auf die geschützten Daten erfolgen. Dabei werden die verschiedensten
kryptografischen Zeichenkombinationen ausprobiert, bis schließlich eine Kombination passt, um auf die Daten zugreifen zu können. Diese Zugriffe zur unerlaubten Entschlüsselung sind, je nach Schlüssellänge (digitaler Code) und verwendetem kryptographischen Algorithmus, sehr zeitaufwendig. Wenn ein Angreifer ausreichend Zeit hat kann er theoretisch einen solchen Code knacken.
Es sind Einrichtungen, z.B. Computer, mit solchen kryptographischen Verfahren bekannt, die zur Sicherung von geschützten Daten dienen, so dass Unbefugte nicht auf die Daten zugreifen können. Die kryptographisch geschützten Daten liegen dazu beispielsweise in einem flüchtigen Datenspeicher, beispielsweise einem RAM (=
Random Access Memory) oder einem nichtflüchtigen Datenspeicher, vor, z. B. Festplatte, CD-ROM und EPROM (= Erasable Programable Read Only Memory). Nur mit einem geeigneten digitalen Code kann auf die Daten zugegriffen werden. Der Code kann beispielsweise auf einem Magnetstreifen oder einem Chip einer "Scheckkarte" gespeichert sein und wird mittels geeigneten Lesegeräts für den Zugriff auf die geschützten Daten ausgewertet. Erst wenn die Codeübe riifung erfolgreich war, d.h. die Daten können nun insbesondere mit dem Schlüsselcode entschlüsselt werden. Dann kann auf die Daten zugegriffen werden. Bei anderen Einrichtungen muss der Schlüsselcode über eine Tastatur eingegeben werden. Probleme können bei solchen Einrichtungen entstehen, indem ein Unbefugter beliebig oft versuchen kann, den Schlüsselcode zu knacken. Mit dem Schlüsselcode hat er schließlich unautorisierten Zugriff auf die geschützten Daten und kann unter Umständen erheblichen Schaden damit anrichten.
Das deutsche Patent DE 198 39 041 C2 beschreibt ein Verfahren zum Identifizieren und Darstellen von Zuständen eines Fehlbedienungszählers. Der Fehlbedienungszähler ist auf einem intelligenten Datenträger installiert. Bei einer definierten Anzahl von Fehlversuchen bei der Eingabe eines Identifikationsmerkmals wird der Zugriff auf den intelligenten Datenträger automatisch gesperrt. Eine Anpassung an den Benutzer bei der Eingabe des Identifikationsmerkmals erfolgt nicht.
Aus der europäischen Patentanmeldung EP 1 209 551 A2 ist ein Verfahren bekannt, um den Zugriff auf einem Computer zu kontrollieren. Dabei wird ein Passwort überprüft. Der Zugriff wird nur erlaubt, wenn das Passwort gültig ist. Wird eine bestimmte Anzahl
bei der Eingabe eines falschen Passworts innerhalb eines Zeitintervalls erreicht, so wird der Zugang verhindert. Nachteil bei diesem Verfahren ist, dass sich die Passworteingabe nicht an das Verhalten von Benutzern anpasst. Beispielsweise bei älteren Menschen oder Kindern besteht vermehrt die Gefahr, dass wiederholt falsche Passworte innerhalb eines Zeitintervalls eingegeben werden.
Bisher gibt ein Anwender eine PIN (= Personal Identification Number) oder ein alphanumerischen Code als Berichtigungscode für den Zugang zu den geschützten Daten oder Funktionen ein. Damit war er autorisiert, auf die geschützten Daten oder Funktionen zugreifen zu können. Bei Mobilfunkendgeräten wird eine PIN zur Identifikation eingegeben. Diese Identifikation wird mit der SIM-Karte abgeglichen. Wenn die PIN korrekt war, wird der Benutzer des Mobilfunkendgeräts in ein Mobilfunknetz eingebucht. In diesem Mobilfunknetz gilt er fortan weitestgehend als autorisiert.
Hacker, damit sind solche Personen gemeint, die aus unterschiedlichsten Motiven versuchen an geschützte Daten heranzukommen. Die Hacker handeln zumeist einerseits aus einer kriminellen Energie heraus, z.B. um an einen Bankzugang heranzukommen oder um Werksspionage bzw. Sabotage zu betreiben, andererseits aus einer rein sportlichen Natur heraus.
Für einen Hacker besteht nun theoretisch die Möglichkeit auch ohne die SIM-Karte auf die geschützten Daten oder Funktionen zuzugreifen. Mit geeigneten Equipment kann er versuchen über andere Kanäle, beispielsweise mit einem weiteren Mobilfunkendgerät und einer bereits autorisierten SIM-Karte auf die geschützten Daten zu zugreifen. Dafür benötigt er nicht notwendigerweise die PIN.
Offenbarung der Erfindung
Aufgäbe der Erfindung ist es daher, eine Einrichtung zu schaffen, die die Nachteile des Standes der Technik vermeidet und verhindert, dass ein Angriff auf die geschützten Daten durch beliebige Versuche erfolgen kann, die sich aber an den Bedürfnissen der Benutzer orientiert.
Erfindungsgemäß wird die Aufgabe dadurch gelöst, dass bei einer Einrichtung zur Sicherung von geschützten Daten der eingangs genannten Art, (d) Mittel vorgesehen sind, mit denen unabhängig von der Eingabe des Berechtigungscodes die Anzahl der Zugriffe auf die geschützten Daten und/oder Funktionen in dem flüchtigen bzw. nichtflüchtigen Datenspeicher innerhalb eines bestimmten Zeitintervalls ermittelt wird.
Weiterhin wird die Aufgabe durch ein Verfahren der eingangs genannten Art mit einer
Einrichtung gelöst, bei dem
(d) unabhängig von der Eingabe des Berechtigungscodes die Anzahl der Zugriffe auf die geschützten Daten und/oder Funktionen in dem flüchtigen bzw. nichtflüchtigen Datenspeicher innerhalb eines bestimmten Zeitintervalls ermittelt wird.
Die Erfindung beruht auf dem Prinzip, die Anzahl der Zugriffe auf die geschützten Daten innerhalb eines Zeitintervalls zu überwachen. Es wird bei der vorliegenden Erfindung davon ausgegangen, dass ein berechtigter Benutzer durchaus auch Fehler bei der Eingabe des Berechtigungscodes macht. Durch die vorgeschlagene Maßnahme wird verhindert, dass ein Unberechtigter beliebige Versuche hat, den Berechtigungscode zu ermitteln. Die erfindungsgemäße Einrichtung liefert dem berechtigten Benutzer zudem ein Zeitfenster, in dem er mit einer bestimmten Häufigkeit auf die geschützten Daten zugreifen kann. Dafür ist erforderlich, dass die Zugriffe auf die geschützten Daten in dem Zeitintervall gezählt werden. Dabei kann sich das System geschickt an den Benutzer anpassen. Jemand der üblicherweise z. B. fünf Zugriffe während eines Zugangvorgangs zu den verschlüsselten Daten benötigt, wird auch weiterhin fünf Zugriffe innerhalb eines Zeitintervalls haben, da sich die Einrichtung an den Benutzer anpasst.
Dies erfolgte, indem ein Referenzwert sich an vorherigen Zeitintervallen orientiert, in denen der Benutzer auf die geschützten Daten zugegriffen hat. Weicht das
Zugriffsverhalten von vorherigen Zeitintervallen ab, so wird der Zugang zu den gesicherten Daten beschränkt bzw. vollständig verhindert.
Ein vorteilhafter Aspekt der Erfindung ist, dass die Datenverarbeitungseinheit einen Taktgeber für den Arbeitstakt enthält, wobei das Zeitintervall durch eine bestimmte
Anzahl von Taktzyklen des Taktgebers vorgebbar ausgebildet ist. Diese Maßnahme kann ein Gerät weitestgehend von externen Zeitgebern unabhängig machen, da die Anzahl der Taktzyklen ein Zeitintervall bestimmen.
Als vorteilhafte Ausgestaltung der Erfindung hat sich ferner erwiesen, wenn die Mittel zur Erfassung der Zugriffe auf die geschützten Daten einen Zähler enthalten, welcher die Anzahl der Zugriffe innerhalb des Zeitintervalls zählt. Anhand des Zählerstandes kann überprüft werden, ob noch ein weiterer Zugriff auf die geschützten Daten möglich ist, oder ob jegliche Zugangsmöglichkeit zunächst gesperrt wird.
Eine bevorzugte Ausbildung der Erfindung ergibt sich dadurch, dass Mittel zum Zurücksetzen des Zählers vorgesehen sind, welche den Zähler bei einem berechtigten Zugriff auf Null setzen. Damit kann der Zähler beispielsweise nach Ablauf einer vordefinierten Zeitspanne zurückgesetzt werden, um die Möglichkeit zu haben, erneut auf die geschützten Daten zugreifen zu können. Vorteilhafterweise sind die Mittel zur
Beschränkung der Zugriffe auf die geschützten Daten dynamisch eingestellt. Dadurch kann die Beschränkung ggf. auf bestimmte Benutzerprofile angepasst werden. Bei Personen, bei denen häufiger auf die geschützten Daten zugegriffen wird, wird die Anzahl der erlaubten Zugriffe auf die geschützten Daten innerhalb des Zeitintervalls für die Anzahl der möglichen Zugriffe höher liegen, als bei Personenkreisen, bei denen eine solche hohe Anzahl nicht vorkommt. Es ist daher vorteilhaft, wenn die Mittel zur Beschränkung der Zugriffe auf die geschützten Daten auf einen Anwender einstellbar ausgebildet sind.
Eine weitere vorteilhafte Ausgestaltung der Erfindung ergibt sich dadurch, dass der
Datenspeicher auf einer SIM-Karte vorgesehen ist. Damit lässt sich eine solche Einrichtung auch beispielsweise in Mobilfunkendgeräten oder Telematikgeräten in geeigneter Weise verwenden. Dabei sind Mobilfunkendgeräte und Telematikgeräte
vorteilhafterweise als Datenverarbeiti gseinheit ausgebildet. Alternativ dazu ist die Datenverarbeitungseinheit in einer weiteren Ausgestaltung der Erfindung als Computer ausgebildet. Eine bevorzugte Ausbildung der Erfindung ergibt sich durch Alarmmittel, welche bei Überschreiten einer Anzahl von unberechtigten oder Fehlzugriffen ein Alarmsignal erzeugen. Damit kann signalisiert werden, dass unter Umständen ein
Unbefugter sich an den geschützten Daten zu schaffen macht.
In einer Ausgestaltung des erfindungsgemäßen Verfahrens wird die Anzahl der Zugriffe auf die geschützten Daten innerhalb eines bestimmten Zeitintervalls mit einem Zähler erfasst. Durch diese Maßnahme wird erreicht, dass die Anzahl der Zugriffe festgehalten werden, um bei Überschreiten einer Anzahl in dem Zeitintervall ein Ereignis eintreten zu lassen. Ein solches Ereignis besteht in einer weiteren bevorzugten Ausbildung des erfindungsgemäßen Verfahrens zur Sicherung und Überwachung von geschützten Daten, nämlich, wenn der Zugriff auf die geschützten Daten beschränkt wird. Dies erfolg z.B. bei Überschreitung eines Referenzwertes für die Anzahl der Zugriffe auf die geschützten
Daten innerhalb eines bestimmten Zeitintervalls.
Weiterhin kann in einer besonderen Ausgestaltung des erfindungsgemäßen Verfahrens der Zähler zum Zählen der Anzahl der Zugriffe bei einem korrekten Zugriff zurückgesetzt werden. Dadurch ist gewährleistet, dass nach Fehlzugriffen ein
Berechtigter wieder auf die geschützten Daten zugreifen kann.
Unterschiedliche Benutzer haben ein eigenes Benutzerprofil. So kann es sein, dass beispielsweise im Fall von Mobilfunkendgeräten z.B. ältere Personen und ggf. Kinder eine höhere Fehlerquote beim Zugriff auf die geschützten Daten haben. Es ist daher eine vorteilhafte Ausgestaltung, wenn die Anzahl der Zugriffe für die Beschränkung eingestellt und/oder an einen Anwender angepasst werden kann.
Eine vorteilhafte Ausbildung des erfindungsgemäßen Verfahrens ergibt sich femer, wenn die Anzahl der . Zugriffe für die Beschrärikung über ein Netzwerk, insbesondere
Mobilfunknetzwerk, eingestellt und/oder an einen Anwender angepasst wird. Damit muss der Anwender mit seiner Einrichtung nicht notwendigerweise zu einem Service gehen, der ihm die Einrichtung auf seine Bedürfnisse einstellt.
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens zur Sicherang von geschützten Daten vor unbefugtem Zugriff ergibt sich fe er dadurch, dass bei Überschreiten eines Wertes für die Anzahl der Zugriffe auf die geschützten Daten ein geeignetes Alarmsignal erzeugt wird. Vorteilhafterweise ist das Alarmsignal für den auf die geschützten Daten Zugreifenden nicht erkennbar. Dadurch kann der Unberechtigte ggf. auf "frischer Tat" gefasst werden.
In einer geeigneten Ausgestaltung des erfindungsgemäßen Verfahrens wird bei Überschreiten eines Wertes für die Anzahl der Zugriffe auf die geschützten Daten der weitere Zugriff innerhalb eines Zeitintervalls auf die Daten verweigert. Damit wird Zugang auf die geschützten Daten nur für einen bestimmten Zeitraum gesperrt, so dass es beispielsweise "Hacker-Programme" von Unberechtigten schwer haben, in ein solches System einzubrechen. Sie können nämlich nicht beliebig viele Versuche starten, sondern müssen immer wieder den Zeitraum abwarten, bis sie erneut wieder auf die geschützten
Daten zugreifen können.
Weitere Vorteile ergeben sich aus dem Gegenstand der Unteransprüche sowie der Zeichnung mit der dazugehörigen Beschreibung.
Kurze Beschreibung der Zeichnung
Fig. 1 zeigt in einer Prinzipskizze eine erfindungsgemäße Einrichtung zur Sicherung und Überwachung von geschützten Daten.
Bevorzugtes Ausführungsbeispiel
In Fig. 1 wird in einer Prinzipskizze ein bevorzugtes Ausfuhrungsbeispiel einer erfindungsgemäßen Einrichtung 10 zur Sicherung und Überwachung von geschützten Daten 12 dargestellt. Die geschützten Daten 12 befinden sich in einem Datenspeicher 14 der Einrichtung 10 und sind durch gekreuzte Schraffur gekennzeichnet. Die Daten 12
liegen nach einem kryptographischen Verfahren in codierter bzw. verschlüsselter Form vor. Der Datenspeicher 14 ist im vorliegenden Ausführungsbeispiel ein nichtflüchtiger Speicher, der auch auf eine SIM-Karte (= Sübscriber Identification Modul) vorgesehen sein kann.
Die erfindungsgemäße Einrichtung 10 befindet sich im vorliegenden Ausführungsbeispiel in einer nicht explizit dargestellten Datenverarbeitungseinheit, beispielsweise einem Computer oder einem vergleichbaren prozessorgesteuertes Gerät, wie Mobilfunkendgeräte oder Telematikgeräte mit üblichen standardisierten Schnittstellen 16, die für den Datenzugriff ausgebildet sind.
Über Zugangsmittel 18, beispielsweise eine Computertastatur, kann ein Berechtigungscode 20 als ein digitaler Schlüssel eingegeben werden, der darum symbolisch als Schlüssel dargestellt ist. Der Berechtigungscode 20 wird an eine Prüfeinheit 22 geleitet. Die Prüfeinheit 22 befindet sich wiederum in einem
Berechtigungsapparat 23. Eine Dechiffriereinheit 26 decodiert bei korrektem Berechtigungscode 20 die geschützten Daten 12 des Datenspeichers 14 und gibt sie an eine Ausgabeschnittstelle 28. Der Berechtigungscode 26 kann unter Umständen ganz oder teilweise für die Dechiffrierung der geschützten Daten 12 durch die Dec ffriereinheit 26 erforderlich sein.
An der Ausgabeschnittstelle 28 kann beispielsweise ein nicht dargestellter Monitor, Drucker oder ein anderer Computer bzw. Speicherlaufwerk vorgesehen sein, um die entschlüsselten Daten 12 darzustellen oder zu speichern. Die Daten- bzw. Berechtigungscodeübertragung zwischen den einzelnen Einheiten 18, 22, 26, bzw. Schnittstellen 16, 28 erfolgt über einen Datenbus 30. Die Steuerung der Abläufe in der Einrichtung 10 erfolgen mit Hilfe eines Prozessors 32 (CPU), der mit einem Taktgeber 34 getaktet wird.
Der Taktgeber 34 dient femer dazu, ein Zeitmaß 36 für den Berechtigungsapparat 23 zu definieren. Eine mittels Stellmittel 38 einstellbare Anzahl von Taktzyklen des Taktgebers 34 bildet ein Zeitintervall. Ein Zähler 40 zählt die Versuche der unkorrekten Eingaben für den Berechtigungscode 20, um an die geschützten Daten 12 gelangen zu können.
Wenn innerhalb eines eingestellten Zeitintervalls 36 eine vorgegebene Anzahl von Zugriffen für die Eingabe durch die Prüfeinheit 22 festgestellt wird, werden keine weiteren Zugriffe über diese Schnittstelle 16 auf die geschützten Daten 12 mehr zugelassen. Dieser Referenzwert für die Anzahl der möglichen Zugriffe berechnet sich aus Zeitintervallen 36, vorheriger Eingabeversuche. Beispielsweise, indem die durchschnittliche Anzahl von früheren Berechtigungscodeeingaben pro Zeitintervall 36 festgehalten wird. Durch die Verwendung eines Referenzwertes, der sich aus früheren Eingabeversuchen berechnet, wird eine höhere Flexibilität für den Benutzer erzielt.
Vordergründig wird aber vor allem verhindert, dass insbesondere Computerprogramme von unberechtigten Benutzern verschiedenste Codekombinationen austesten, bis der richtige Berechtigungscode erreicht wird. Durch die Beschränkung der Zugriffe wird ein "Hacken" des Berechtigungscodes 20 nahezu verhindert. Der Zugriff auf die geschützten Daten 12 wird bei Überschreiten der vorgegebenen Anzahl für die Eingabe des
Berechtigungscodes 20 innerhalb des Zeitintervalls 36 für einen bestimmten Zeitraum oder sogar vollständig gesperrt. Dabei kann auch ein Alarmsignal erzeugt werden, um zu signalisieren, dass die Anzahl der Fehlversuche zur Eingäbe des Berechtigungscodes überschritten wurde
Lediglich ein "Administrator" kann mit einer geeigneten "Reset-Funktion" 42 den Zähler 40 für die Fehlversuche ggf. zurückstellen. Alternativ wird der Zähler 40 nach Ablauf einer vordefinierten Zeitspanne zurückgestellt. Die Zeitspanne für die Zugangsbeschränkung kann auch dynamisch auf die möglichen Benutzergewohnheiten eingestellt werden.
Ein Hacker 100 kann beispielsweise zum Zwecke der Spionage oder Sabotage versuchen, über eine weitere Schnittstelle 102 auf die geschützten Daten 12 zu gelangen und zwar unabhängig von der zuvor beschriebenen Berechtigungscodeemgabe. Um die geschützten Daten 12 zu dechiffrieren muss er jedoch DecMfMeralgorithmus 104 kennen. Um diesen herauszubekommen wird er über Datenbus 106 auf die geschützten Daten 12 zugreifen. Dabei liegt Häufigkeit der Zugriffe pro Zeitintervall 108 wahrscheinlich erheblich höher, als es bei einem berechtigten Anwender der Fall ist. Um die Zugriffe auf die geschützten
Daten zu kontrollieren ist eine Kontrolleinheit 110 vorgesehen. Die Kontrolleinheit 110 enthält einen Zähler 112, der die Anzahl der Zugriffe auf die geschützten Daten 12 zählt. Femer enthält die Kontrolleinheit 110 Stellmittel 114. Mit den Stellmitteln 114 wird über den Taktgeber 34, ein Zeitmaß 116 für die Kontrolleinheit 110 festgelegt. Eine mittels Stellmittel 114 einstellbare Anzahl von Taktzyklen des Taktgebers 34 bildet ein
Zeitintervall 108. Ein Zähler 118 zählt die Anzahl der Zugriffe auf die geschützten Daten 12.
Wenn innerhalb eines eingestellten Zeitintervalls 108 eine vorgegebene Anzahl von Zugriffen für die Eingabe durch Prüfeinheit 120 festgestellt wird, werden keine weiteren
Zugriffe die geschützten Daten 12 mehr zugelassen. Dieser Referenzwert für die Anzahl der möglichen Zugriffe berechnet sich aus Zeitintervallen 108, vorheriger Zugriffe. Beispielsweise, indem die durchschnittliche Anzahl von früheren Zugriffen auf die geschützten Daten 12 pro Zeitintervall 108 festgehalten wird. Durch die Verwendung eines Referenzwertes, der sich aus früheren Zugriffen pro Zeitintervall berechnet, wird eine höhere Flexibilität für den Benutzer erzielt.
Stellt die Prüfeinheit 120 fest, dass die Anzahl der Zugriffe auf die geschützten Daten erhöht sind, wird ein Alarm 122 ausgelöst. Sind die Zugriffe innerhalb eines Zeitintervalls unterhalb eines Referenzwertes, wird der Zähler 112 zurückgesetzt.
Der "Administrator" kann mit der "Reset-Funktion" 42 auch den Zähler 112 für die Zugriffe auf die geschützten Daten 112 zurückstellen. Alternativ wird der Zähler 112 nach Ablauf einer vordefinierten Zeitspanne zurückgestellt.