Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Speichermediums ge- maß dem Oberbegriff von Anspruch 1, ein Speichermedium gemäß Anspruch 10, wobei das Speichermedium so ausgebildet ist, dass das erfindungsgemäße Verfahren implementierbar ist, sowie ein Endgerät gemäß Anspruch 13 mit einem entsprechendem Speichermedium.

Unter Speichermedium sollen im Folgenden beispielsweise Festplatten, insbesondere aber kompakte portable Speichermedien verstanden werden, mittels welchen ein Benutzer und/oder ein Endgerät digitale Daten abspeichern, und die ein Benutzer bequem mit sich führen kann. Besonders kompakte Speichermedien sind dabei die Speicherkarten, welche in mobilen Endgeräten wie Mobiltelefone, Digitalkameras, MP3-Playern, Video-, Bild- und Tonabspielgeräten eingesetzt werden können. Entsprechende Speicherkarten sind vorzugsweise Security Digital Memory Cards (SD-Speicherkarten) oder Micro SD Cards mit Flash-Spei- ehern. Unter Flash-Speichern sind dabei digitale Speicherchips zu verstehen, welche auf der EEPROM-Speichertechnologie (Electrically Erasable Frogrammable Read - Only Memory) basieren, aber noch schnellere Schreibzugriffe erlauben. Mittels dieser Flash-EEPROM- Technologie wird ein schneller, nicht-flüchtiger elektronischer Speicherbaustein generiert, der in eine Flash-Speicherkarte integrierbar ist.

Der große Vorteil von bisher bekannten portablen Speichermedien wie Speicherkarten ist eine sehr flexible Nutzbarkeit, da unterschiedlichste Typen von Endgeräten die jeweilige Speicherkarten erkennen und daraufhin in Daten abspeichern bzw. von ihnen Daten auslesen können. Diese Flexibilität birgt jedoch gleichzeitig die Gefahr in sich, dass unbefugte Personen sich Zugang zu abgespeicherten sensitiven Daten verschaffen können. Je nach Sensitivität solcher Daten kann es daher notwendig sein, den unbefugten Zugriff auf die Daten zu verhindern. Natürlich könnte man den unbefugten Zugriff auf sensitive Daten dadurch blockieren, dass sämtliche Schreib- und Lesezugriffe auf Daten eines entsprechenden Speichermediums nur beim Vorliegen einer Authentisierung eines Nutzers freigegeben wird. Im Folgenden soll unter„Nutzer" ein Benutzer im herkömmlichen Sinne, also eine benutzende Person oder aber auch ein Endgerät verstanden werden. Eine Authentisierung kann beispielsweise über die Eingabe einer PIN-Nummer vorgenommen werden. Nachteilig an einer solchen grundsätzlichen Blockierung aller Zugriffe auf die Speicherkarte für den Fall wenn keine Authentisierung vorliegt ist jedoch, dass dann Endgeräte wie beispielsweise Kameras, welche die Eingabe einer PIN-Nummer oder eine andere Art der Authentisierung gar nicht ermögli- chen, mit solchen Speichermedien nicht arbeiten könnten, da die Endgeräte in der Regel zu- mindest auf bestimmte Datentypen des Speichermediums zugreifen können müssen. Daher ist das was in manchen Fällen wünschenswert, dass Schreib- und/oder Lesezugriffe auf bestimmte Daten auch ohne das Vorliegen einer Authentisierung möglich sind, während auf andere Daten solche Zugriffe nur beim Vorliegen einer Authentisierung möglich sein sollen. Die US 2008/0276065 A1 beschreibt ein Speichermedium, welches einen Speicherbereich aufweist, der in mehrere Partitionen aufgeteilt ist. Dabei kann beispielsweise eine Partition realisiert sein, die vor Zugriffen grundsätzlich geschützt ist. Auf die Daten einer weiteren Partition kann nur bedingt zugegriffen werden, also beispielsweise wenn entsprechende Zugriffsrechte vorliegen, die durch eine Authentisierung bestätigt werden. Eine weitere Partition ist dagegen frei zugänglich. Somit sind Daten unterschiedlicher Sensitivität in unterschiedliche Bereiche auf dem Speichermedium abgelegt.

Es ist Aufgabe der vorliegenden Erfindung, ein alternatives Verfahren zur Verfügung zu stellen, bei welchem Daten mit unterschiedlichen Zugriffsrechten in einem Speicherbereich eines Speichermediums gespeichert werden können, ohne dass unterschiedliche physikalisch ge- trennte Partitionen realisiert werden müssen.

Diese Aufgabe wird gelöst durch ein Verfahren gemäß Anspruch 1, wobei bei einem Verfahren zum Speichern von Daten auf einem Speichermedium, welches einen Controller aufweist, ein Interface sowie einen Speicherbereich zum Speichern von Daten, die Daten in Clustern gespeichert werden. Erfindungsgemäß ordnet der Controller die einzelnen Cluster jeweils einem von mindestens zwei unterschiedlichen Clustertypen zu, wobei unterschiedliche Clus- tertypen einen unterschiedlichen Zugriffsschutz aufweisen. Der Controller gibt dabei Zugriffe auf einen ungeschützten Clustertyp frei. Schreibzugriffe auf einen geschützten Clustertyp werden durch den Controller beschränkt, indem er gegenüber einem Endgerät schreibgeschützte Cluster gar nicht oder als belegt anzeigt, falls nicht eine festgelegte Authentisierung vorliegt. Somit ist ein entsprechend schreibgeschützter Cluster durch ein Endgerät nicht allokierbar. Schreibzugriffe auf einen geschützten Clustertypen, die auf Interfaceebene erfolgen, werden durch den Controller verweigert bzw. blockiert. Unter einem solchen Zugriff auf Interfaceebene soll insbesondere ein Zugriff mittels eines Geräts verstanden werden, welches kein herkömmliches Endgerät ist. Ein Beispiel für einen Zugriff auf Interfaceebene ist der mittels eines Debuggers, der unmittelbar über die Kontakte eines Speichermediums (wie beispielsweise einer Speicherkarte) direkt auf Adressen des Mediums zugreift.

Erfindungsgemäß wird weiterhin der Lesezugriff auf einem geschützten Clustertyp beschränkt, indem der Controller gegenüber einem Endgerät lesegeschützte Cluster gar nicht anzeigt, falls nicht eine festgelegte Authentisierung vorliegt. Unter dem Vorliegen einer Authentisierung und dem Begriff„nach einer Authentisierung" soll damit im Folgenden so verstanden werden, dass der Nutzer eine Authentiseriung erfolgreich vorgenommen hat und er somit zu entsprechenden Zugriffen autorisiert ist. Die Autorisierung bleibt so lange bestehen, bis sie zurückgenommen wird. Die Zurücknahme kann durch das Speichermedium automatisch erfolgen, beispielsweise nach Ablauf einer bestimmten Zeit und/oder einer bestimmten Anzahl von Zugriffen und/oder einem Power-Cycle der Karte. Sie kann aber auch von außen durch ein entsprechendes Ereignis (zum Beispiel Kommando an das Speichermedium) ausgelöst werden. Auf diese Weise könnte sich beispielsweise der Benutzer explizit 'ausloggen ¹ , wenn er keinen autorisierten Zugriff mehr benötigt, oder ein End- gerät kann das Speichermedium sperren, zum Beispiel wenn ein Screen-Lock aktiviert wird oder es ein Signal von einem Hintergrund-Server bekommt.

Im Falle eines Lesezugriffs auf Interfaceebene wird eine Fehlermeldung oder werden alternativ Dummy-Daten ausgegeben und somit wiederum über den Controller der Lesezugriff auf Interfaceebene auf einen geschützten Clustertyp blockiert.

Gemäß einer bevorzugten Ausführungsform der Erfindung weist das Speichermedium ein FAT-Dateisystem (File Allocation Table) auf mit einem Benutzerbereich, einem„Partition Boot Record" (PER) und einem Master Boot Record (MBR) auf. Ein solches FAT-Dateisystem ist ein gängiges System zur Datenverwaltung auf unterschiedlichsten Speichermedien.

Vorzugsweise wird ein Lesezugriff auf den MBR oder den PBR unabhängig von einer Authentisierung durch einen Nutzer freigegeben. Somit ist gewährleistet, dass ein Endgerät das Speichermedium auch unabhängig von einer Authentisierung zumindest in gewissen vorgegebenen Grenzen benutzen kann. Ohne einen Lesezugriff auf den MBR und/oder den PBR bestünde für ein Endgerät ohne Authentisierung keinerlei Nutzungsmöglichkeit für das Speichermedium.

Umgekehrt kann vorgesehen sein, dass ein Schreibzugriff auf den MBR und PBR außer für eine Formatierung des Speichermediums unabhängig von einer Authentisierung gesperrt wird. Somit wird beispielsweise verhindert, dass geschützte Cluster in ungeschützte Clustertypen umdefiniert werden, wodurch unter Umständen ein unberechtigter Lese- oder Schreibzugriff auf eigentlich zu schützende austertypen möglich wäre.

Es kann aber auch vorgesehen sein, dass ohne eine Authentisierung Schreibzugriffe auf den MBR, den PBR und die FAT blockiert werden.

Bei einer bevorzugten Ausführungsform der Erfindung gibt der Controller während einer Authentisierung mit Lesefreigabe Lesezugriffe zumindest auf bestimmte geschützte Cluster frei, während Schreibzugriffe auf geschützte Cluster blockiert werden. Damit wird ermög- licht; dass beim Vorliegen einer bestimmten Authentisierutigsstufe Daten von bestimmten Clustern einem Nutzer zur Verfügung gestellt werden, ein Benutzer mit dieser Authentisierung kann jedoch diese oder andere Daten nicht ändern.

Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ändert der Controller die FAT-Einträge der bestimmten Cluster so, dass nach einer Authentisierung mit Lesefreigabe für das Endgerät neue Daten und/oder Verzeichnisse sichtbar werden, über die der Host diese Cluster lesen kann. Dabei wird vorzugsweise eine weitere Veränderung der FAT-Einträge blockiert, sodass diese Cluster nach der Authentisierung lesbar bleiben.

Weiterhin kann vorgesehen sein, dass der Controller nach einer Authentisierung mit Schreibfreigabe, welche typischerweise eine Authentisierung einer höheren Stufe darstellt gegenüber einer Authentisierung mit lediglich einer Lesefreigabe (und die in der Regel die Lesefreigabe umfasst), Schreibzugriffe auf bestimmte geschützte Clustertypen freigibt. Auch hier kann wiederum vorgesehen sein, dass der Controller FAT-Einträge auf bestimmten Clustertypen so ändert, dass für den Host neue Daten und/oder Verzeichnisse sichtbar werden, über die der Host diese Cluster beschreiben kann, wobei vorzugsweise eine weitere Veränderung der FAT- Einträge blockiert wird, sodass diese Cluster nach der Authentisierung beschreibbar bleiben.

Zusammenfassend wird daher realisiert, dass für einen Host bestimmte, geschützte Clustertypen quasi versteckt oder getarnt werden, da entsprechende Dateien und/oder Verzeichnisse nur beim Vorliegen einer Authentisierung überhaupt sichtbar werden. Umgekehrt werden schreibgeschützte Cluster (egal ob es sich um freie Cluster handelt oder um Cluster handelt, die nicht überschrieben werden sollen) dahingehend„getarnt" dass sie als belegt und damit als nicht allokierbar angezeigt werden.

Erfindungsgemäß ist weiterhin ein Speichermedium zum Speichern von Daten vorgesehen, wobei das Speichermedium so ausgebildet ist, dass ein Verfahren, wie weiter oben beschrieben, auf ihm implementierbar ist. Vorzugsweise handelt es sich dabei um ein portables Spei- chermedium, insbesondere um eine Speicherkarte wie eine Flash-Speicherkarte oder um einen USB-Speicherstick. Bei einer bevorzugten Ausführungsform der Erfindung handelt es sich bei dem Speichermedium um eine SD-Speicherkarte oder um eine MicroSD-Speicherkarte. Eine weitere bevorzugte Ausführungsform der Erfindung betrifft ein Endgerät, welches ein erfindungsgemäßes Speichermedium beinhaltet, auf welchen wiederum ein erfindungsgemä- ßes Verfahren implementiert ist.

Im Folgenden wird die vorliegende Erfindung anhand der Figuren beispielshaft anhand eines Flash-Speichers näher erläutert. Dabei zeigt:

Fig. 1 ein FAT-basiertes Dateisystem, wie es Stand der Technik ist;

Fig. 2 eine typische Initialisierungssequenz mit einem einzigen PBR;

Fig. 3 jeweils ein Schema für einen Lese- und einen Schreibzugriff entsprechend dem erfindungsgemäßen Verfahren;

Fig. 4 ein Beispiel für eine FAT, bei welcher alle Dateien sichtbar sind; und

Fig. 5 eine FAT, bei welcher ein Ordner versteckt ist.

Bekannte Ablage- oder Dateisysteme eines Datenträgers bestehen aus Knoten, die in einer Baumstruktur organisiert sind. Ein Knoten ist entweder ein Ordner oder eine Datei. Ein Ordner-Knoten verweist auf weitere Unterknoten. Der oberste Knoten wird als Root bezeichnet.

Im Folgenden wird ein FAT-Dateisystem gemäß dem Stand der Technik erläutert.

In einem FAT-Dateisystem besteht jeder Knoten aus einem oder mehreren Clustern, die wiederum logische Zusammenfassung von einem oder mehreren Sektoren eines Datenträgers sind. Ein Sektor ist dabei die kleinste Speichereinheit die zwar aus mehreren einzelnen Speichereinheiten besteht, die aber dennoch nur auf einmal gelesen oder beschreiben werden kann.

Alle Cluster eines Knotens werden über die FAT verlinkt und bilden somit eine Kette. Jedem Cluster entspricht ein Eintrag in der FAT. Dieser FAT-Eintrag enthält den Index des folgen- den Clusters. Der FAT-Eintrag eines freien Clusters enthält den Wert 0. Wenn ein Cluster der letzte einer Kette ist (er hat also keinen Nachfolger), erhält sein FAT-Eintrag einen Sonderwert.

Wenn ein Knoten ein Ordner ist, enthält er die Liste seiner Unterknoten. Jeder Eintrag aus dieser Liste enthält unter anderem den Namen des Unterknoten, seine Länge, den Index seines ersten Clusters, und ein Kennung, ob der Knoten (u.a.) ein Ordner oder eine Datei ist. Wenn ein Knoten eine Datei ist, enthält er die Daten des Benutzers (die sog. Nutzdaten).

Ein FAT-Dateisystem weist die folgenden vier Bereichen auf (siehe Fig. 1):

• dem Benutzerbereich: er enthält die oben genannten Ordner und Dateien.

· der FAT selbst: die FAT besteht aus allen Einträgen, die der Verlinkung der Cluster dienen. • dem PBR: der Partition Boot Record bestimmt die Struktur des Dateisystems in der jeweiligen Partition, unter andrem ist hier abgelegt, wo sich die FAT befindet (Index ihres ersten Sektors), wie groß sie ist (Anzahl an Sektoren), und wo sich der Root-Ord- ner befindet (Index des ersten Clusters)

· dem MBR: Der Master Boot Record bestimmt wo sich die Partitionen befinden (Index der jeweiligen Sektoren, die die PBRs enthalten). Der SD Standard schreibt vor, dass nur eine Partition in einer SD Karte gestattet ist.

Speicherbereiche dürfen sich zwischen dem MBR und dem PBR, und zwischen dem PBR und der FAT befinden. Sie dienen meistens systemspezifischen Zwecken, und beeinflussen die Logik des Dateisystems nicht.

Ausprägungen der dieser Grundprinzipien können sich von FAT-System- Varianten unterscheiden, wie z.B. Länge der FAT-Einträge in FAT12, FAT16, FAT32 oder exFAT. Die grundlegende Logik bleibt aber immer dieselbe.

Manche herkömmliche, standardisierte Speichermedien (zB microSD-Karten und SD-Karten) ermöglichen in Verbindung mit den üblichen standardkonformen Endgeräten keine Aufteilung des zur Verfügung gestellten Speichers in unterschiedliche„Partitionen" mit unterschiedlichen Zugriffsberechtigungen.

Mittels der vorliegenden Erfindung soll daher gewährleistet werden, dass der Speicherbereich so aufgeteilt werden kann, dass ein Benutzer beispielsweise freien Schreib- und Lesezugriff auf bestimmte Teile bekommt, auf andere Teile hingegen nur Lesezugriff oder nur Zugriff nach vorheriger Authentisierung. Soll beispielsweise eine Speicherkarte Musik oder Videos als„Bonusmaterial" enthalten, auf das der Nutzer nur dann Zugriff erhält, wenn er im Besitz einer entsprechenden Lizenz ist.

Neben den genannten Speichermedien, die eine Aufteilung in Partitionen gemäß Standard nicht zulassen, kann das erfindungsgemäße Verfahren auch für andere Datenträger vorteilhaft sein (z.B. USB Speicher-Sticks), wenn eine Aufteilung in zusätzliche Partitionen unerwünscht ist.

Entsprechend der vorliegenden Erfindung wird das Speichermedium mit einer Funktionalität ausgestattet, die Zugriffe auf die Nutz- und Verwaltungsdaten so beschränkt oder modifiziert, dass einerseits die gewünschten Zugriffsbeschränkungen (z.B. Lesen bestimmter Nutzdaten nur nach Nutzerauthentisierung) durchgesetzt werden, andererseits diese Zugriffsbeschränkungen aber nicht zu funktionsstörenden Konflikten auf dem Host-Device führen. Ferner bleibt das bestehende System aus Nutz- und Verwaltungsdaten (d.h. das Filesystem) stets intakt und konsistent. Ein Controller des Datenträgers steuert alle Lese- und Schreibezugriffe auf den Flashspeicher, also das Lesen von Daten aus bestimmten Sektor und das Schreiben von Daten in Sektoren hinein. Die Sektoren werden dabei mittels ihrer logischen Adressen (LSA) identifiziert. Eine typische Initialisierungssequenz (mit einem einzigen PBR) ist in der Fig. 2 dargestellt. An- hand der LSA eines Sektors erkennt der Controller des Datenträgers, ob es sich um den MBR handelt. Indem er den MBR auswertet, weiß dann der Controller wo (an welcher LSA) der oder die PBR der Partition(en) liegt oder liegen. Anhand der LSA der weiter gelesenen Sektoren, erkennt dann der Controller die PBR-Sektoren, wenn sie gelesen werden. Indem er die PBRs auswertet, kennt der Controller die Struktur (wo die FAT liegt, wie groß sie ist, wo sich der Root-Ordner befindet, usw.) der jeweiligen Partitionen. Anhand der LSA der weiter gelesenen Sektoren, erkennt der Controller wiederum, ob auf FAT-Einträge oder Sektoren aus dem Benutzerbereich gerade zugegriffen werden soll. Entsprechend wird beim Formatieren des Datenträgers vorgegangen, wo die MBR und PBRs beschrieben werden, anstatt gelesen zu werden.

Erfindungsgemäße sortiert der Controller die Cluster mittels eines Algorithmus in verschiedene Clustertypen ein. Dazu kann der Controller jedem Clustertypen ein Sichtbarkeitsmerkmal zuordnen:„sichtbar" oder„versteckt". Sichtbare Clusters sind lesbar, beschreibbar, und dürfen in Ordnereinträge erscheinen. Versteckte Clusters sind weder lesbar, noch beschreibbar, und dürfen nicht in Ordnereinträge erscheinen.

Die Fig. 3 zeigt, wie der Controller Lese- und Schreibebefehle verarbeiten kann. Bei jedem Lese- oder Schreibebefehl, überprüft der Controller die LSA des zu lesenden bzw. schreibenden Sektors. Somit erkennt der Controller ob auf Nutzdaten, auf die FAT, oder auf die MBR/PBR zugegriffen wird. Wenn auf die Nutzdaten oder die FAT zugegriffen wird, dann leitet der Controller den Index des Cluster bzw. dessen FAT-Eintrag von der LSA ab. Wenn dieser Index auf einen nicht lesbaren bzw. beschreibbaren Cluster verweist, verweigert der Controller den Zugriff.

Darüber hinaus sind im Allgemeinen Lesezugriffe auf den MBR oder den PBR gestattet, um die Funktionalität des Speichermediums auch ohne Authentisierung zu gewährleisten. Schreibezugriffe auf den MBR oder den PBR sind - außer zum Zwecke einer Formatierung- grund- sätzlich nicht gestattet.

Der Controller bestimmt nach Nutzer-Authentisierung welche Bereiche geschützt werden. Drei Fälle A, B und C können betrachtet werden. Um die Integration in Geräte zu erleichtern sorgt der Controller dafür, dass das Host-Device nicht versucht, auf die versteckten Clusters zuzugreifen. Der Controller verändert die Ordnereinträge (oder PBR-Einträge), die auf solche Clusters verweisen, so, dass sie leer erscheinen. Belegte FAT-Einträge erscheinen immer als belegt. Die Figur 4 zeigt beispielhaft eine FAT, in der alle Dateien sichtbar sind. Die Fig. 5 zeigt eine FAT mit einer versteckten Datei.

Fall A: Keine Nutzer-Authentisierung liegt vor:

Die Verwaltungsdaten wurden anfangs so eingerichtet, dass der gesamte Speicherbereich des Datenträgers Dateien mindestens zweier Typen beinhaltet. Mindestens ein zu schützender Dateientyp wird als„versteckt" markiert, sodass die zugehörigen Clusters durch das Endgerät ohne Authentisierung nicht genutzt werden. Wenn nun der Controller des Datenträgers oder Speichermediums erkennt, dass FAT-Einträge gelesen werden, die sich auf Clusters beziehen, die nicht beschrieben werden dürfen, dann ändert der Controller die zu zurückliefernden Daten, sodass die Clusters als bereits belegt erscheinen (ohne dass der Inhalt des Speichers wirklich geändert wird). Die als belegt markierten Teilbereiche sollen im Folgenden vor unberechtigten Schreibezugriffen geschützt werden.

Das Speichermedium (konkret der Controller des Speichermediums)„hört" die Zugriffe auf die Speicherblöcke des Mediums mit und blockiert/modifiziert solche Zugriffe auf die Verwaltungsdaten (MBR, PBR oder FAT), die eine Veränderung der oben genannten Einteilung und Belegung der Speicherbereiche verursachen würden. Beispielsweise kann der Controller einen Schreibezugriff auf den MBR oder den PBR anhand der LSA des zu beschreibenden Sektors erkennen. Eine Änderung des MBRs oder des PBRs würde möglicherweise die Ein- teilung des Speichers verändern, und muss deswegen vom Controller blockiert werden.

Um Sicherheit vor unberechtigten Schreib-Zugriffen auch auf Interface-Ebene zu erreichen, kann der Controller Schreibzugriffe auf die versteckten Clusters direkt verhindern.

Beispielweise kann der Controller einen Schreibezugriff auf die FAT anhand der LSA des zu beschreibenden Sektors erkennen. Dazu kann der Controller den Index des Clusters vom LSA ableiten, der beschrieben werden soll, oder dessen FAT-Eintrag beschrieben werden soll. Bezieht sich der Index auf einen versteckten Cluster, soll der Controller den Zugriff verweigern.

Falls die versteckten Clusters auch vor unberechtigtem Lesen zu schützen sind, verhindert der Controller zudem Lesezugriffe auf diese Clusters (z.B. Fehlermeldung bei Leseversuch oder Rückgabe von Default- Werten wie Nullen).

Beispielweise kann der Controller einen Lesezugriff auf die FAT anhand der LSA des zu beschreibenden Clusters erkennen. Dazu, kann der Controller den Index des Clusters vom LSA ableiten, der gelesen werden soll. Gehört der Index zu einem geschützten Bereich, soll der Controller den Zugriff verweigern. Durch diese Maßnahmen wird ein Schreiben und/oder sen auf die Speicherblöcke auf Interface-Ebene durch einen möglichen Angreifer wird verhindert, da die Zugriffe blockiert werden

Fall B: Nutzer- Authentisierung für das Lesen geschützter Bereiche liegt vor:

Die oben beschriebene Lese-Blockade der betroffenen Bereiche wird aufgehoben, die Schreib-Blockade wird beibehalten. Falls es mehrere geschützte Bereiche gibt, kann je nach Authentisierung die Blockade für andere geschützte Bereiche bestehen bleiben. Der Controller des Speichermediums kann die Verwaltungsdaten so verändern (direkte Modifikation im Speicher oder Modifikation„on-the-fly" oder Einblendung anderer, entsprechend vorbereite- ter Speicherblöcke), dass aus Sicht des zugreifenden Host-Devices neue Dateien und/oder Verzeichnisse sichtbar werden, über die die geschützten Daten lesbar werden. Der Controller kann eine weitere Veränderung der veränderten Verwaltungsdaten ganz oder teilweise blockieren, um sicherzustellen, dass die geschützten Daten„sichtbar" bleiben. Fall C: Nutzer-Authentisierung für das Lesen und Beschreiben geschützter Bereiche liegt vor:

Es wird vorgegangen wie unter Fall B beschrieben, jedoch erfolgt die Freigabe der geschützten Bereiche für Schreiben und Lesen. Der Controller des Speichermediums kann dabei beim Schreiben neuer Daten steuern, welche Daten in welchem der für Schreiben zugänglichen Speicherbereiche abgelegt wird. Beispielsweise kann es vorteilhaft sein, dass die beschriebe- nen Dateien stets vollständig in nur einem der Speicherbereiche abgelegt sind und nicht über mehrere freigegebene Speicherbereiche (geschützt oder ungeschützt) verteilt werden. Dies ist beispielsweise dann nützlich, wenn später die Autorisierung zum Beschreiben geschützter Bereiche wieder entzogen werden soll und die geschriebenen Dateien dann entweder vollständig in einem ungeschützten Bereich liegen und lesbar/schreibbar sein sollen oder in einem gesperrten Bereich liegen und nicht les- und/oder schreibbar sein sollen. Eine einfache Realisierung kann vorsehen, dass nach Authentisierung zum Beschreiben eines Bereiches nur dieser Bereich beschreibbar gemacht wird, alle anderen Bereiche dagegen gesperrt werden wie unter A) bzw B) für die geschützten Bereiche beschrieben

Erfindungsgemäß kann es mehrere Clustertypen geben für die unterschiedliche Stufen und Kombinationen der Authentisierung möglich sind: Je nach Authentisierung können jeweils nur einzelne oder mehrere oder alle Clustertypen zum Schreiben und/oder Lesen freigeschaltet werden. Es sind auch Konfigurationen denkbar, bei denen einige Clustertypen nur zum Lesen und gleichzeitig andere zum Lesen und Schreiben freigegeben sind.