Systeme zum Schutz der Stationen einer Datenverarbeitungsein- richtung vor unberechtigtem Zugriff bzw. zur ausschließlichen Nutzung durch einen autorisierten Benutzer sind bereits be- kannt. Unter dem Begriff der Datenverarbeitungseinrichtung sind dabei allgemein EDV-Anlagen zu verstehen, unter anderem Personal-Computer als Einzelgeräte oder auch Arbeitsplätze (work stations) als eine von mehreren Stationen eines Netz- werkes, bei welchem die Stationen mit einem zentralen Hauptrechner (server) vernetzt sind.

Zum Schutz von Datenverarbeitungssystemen vor unberechtigtem Zugriff ist durch das Dokument DE 40 15 482 Cl (Spalte 1, Zeilen 12-41) ein LOGON-Verfahren bekannt, bei welchem an einer Datenendeinrichtung des Datenverarbeitungssystems, bei- spielsweise über eine Eingabetastatur, Paßwörter eingegeben werden, die dem autorisierten Benutzer einerseits und dem Da- tenverarbeitungssystem andererseits bekannt sind. Das Daten- verarbeitungssystem kann den Benutzer anhand seines eingege- benen Paßwortes identifizieren und ihm an der benutzten Da- tenendeinrichtung die zugewiesenen Zugriffsrechte gewähren.

Diese Lösung weist jedoch Schwächen auf, durch welche ein Paßwort verhältnismäßig leicht umgangen werden kann, da simple Paßworte in der Praxis leicht aufdeckbar sind und lan- ge Paßworte von dem autorisierten Benutzer leicht vergessen werden können. Im letzteren Fall werden die Paßworte häufig schriftlich aufgezeichnet, wobei die Gefahr besteht, daß sie von unberechtigten Dritten erkannt und aufgedeckt werden kön- nen. Im übrigen können Paßworte bei der Eingabe über die Ein- gabetastatur auch durch Beobachtung der Finger des Benutzers und der Bedienung der Eingabetastatur ausgespäht werden, so daß ein optimaler Schutz des Datenverarbeitungssystems vor unberechtigten Nutzern nicht gewährleistet ist.

In dem Dokument DE 40 15 482 Cl (Spalte 1, Zeile 48 bis Spal- te 2, Zeile 23) ist außerdem ein Sicherheitssystem UNISES be- schrieben, welches auf eine manuelle Eingabe von Paßwörtern verzichtet und statt dessen eine automatische Autorisierung des Benutzers ermöglicht. Dazu ist ein gesonderter integrier- ter Schaltkreis erforderlich, der im Personal-Computer einge- baut und mit Verschlüsselungsfunktionen versehen ist. Zusätz- lich wird ein Hochfrequenzsender benötigt, den der Benutzer mit sich trägt, und der eine persönliche Kennung aktiv ab- strahlt, wobei die Funkverbindung durch Verschlüsselungsalgo- rithmen geschützt ist. Wenn der Personal-Computer einen be- rechtigten Nutzer identifiziert, wird aus einem weiterhin vorgesehenen Identifikationsträger die Kennung in den im Per- sonal-Computer eingebauten integrierten Schaltkreis übertra- gen, und es stehen dann außer den Standardfunktionen des Per- sonal-Computers auch die geschützten Datenbereiche zur Verfü- gung.

Nachteilig bei diesem Sicherheitssystem ist einerseits das Erfordernis eines batteriebetriebenen und daher nicht war- tungsfreien, sowie vergleichsweise voluminösen Hochfrequenz- senders und andererseits der Umstand, daß eine spezielle Hardware in den Personal-Computer eingebaut werden muß.

Um die Sicherheit von Datenverarbeitungssystemen weiter zu verbessern, wird in dem genannten Dokument DE 40 15 482 Cl ein System beschrieben, bei welchem der Benutzer einen Iden- tifikationsträger nach Art eines Transponders mit sich trägt, der innerhalb einer vorbestimmten Entfernung berührungslos von einem Abstandsleser abgefragt werden kann. Dabei kann ein passiver Identifikationsträger verwendet werden, und die Au- thentisierung des Benutzers erfolgt dadurch, daß der Ab- standsleser die persönliche Nutzerkennung auf dem passiven Identifikationsträger liest.

Zusätzlich sieht dieses bekannte System vor, daß ein geson- dertes Schreibgerät zu vorgegebenen Zeitpunkten-z. B. täg- lich-eine neue persönliche Nutzerkennung auf dem Identifi- kationsträger bzw. auf dem Transponder einprogrammiert und gleichzeitig auch an das Datenverarbeitungssystem übermit- telt. Der Transponder wird dabei in der Nähe des Handgelenks des Benutzers angebracht.

Eine vergleichbare Lösung ist durch das Dokument EP 0 496 344 Al bekannt, welches eine Einrichtung zur Berechtigung der Be- dienung eines Gerätes mit einer Betätigungseinheit be- schreibt. Die Bedienungsberechtigungsschaltung ist durch die Verwendung eines an der berechtigten Person angebrachten Transponders einerseits sowie eines Lesegerätes andererseits zweigeteilt, und sowohl der Transponder als auch das Lesege- rät weisen jeweils eine Sende-Empfangseinheit zum berührungs- losen Signalaustausch auf, so da$ die Annäherung des Trans- ponders an den Leser bzw. an die Bedienungseinheit eine Be- rechtigung herstellt und die Entfernung des Transponders die Berechtigung beendet.

Durch das Dokument EP 0 777 171 A1 ist schließlich noch eine vergleichbare Sicherheitseinrichtung als Zugangskontrolle für einen Computer bekannt, bei welcher die Benutzung nur mit ei- nem Zugangscode ermöglicht wird, und bei welcher ebenfalls ein Transponder und ein Lesegerät verwendet werden. Dabei muß der Benutzer den Zugangscode nicht unbedingt kennen. Das Le- segerät für den Zugangscode kann auf einer äußeren Einheit wie der Maus zur Bedienung des Computers montiert sein.

Die bekannten Systeme werden allerdings den gestiegenen Si- cherheitsanforderungen nicht gerecht, und sofern zusätzliche Maßnahmen an dem Computer selbst bzw. an der Datenverarbei- tungseinrichtung erforderlich sind, wirkt sich dies wegen der damit verbundenen Kosten nachteilig aus. Ein wesentlicher Mangel besteht darin, daß bei den Systemen mit einem berüh- rungslos abfragbaren Transponder im Grunde genommen nur über- prüft wird, ob sich der Transponder im Wirkungsbereich des zugeordneten Lesegerätes befindet, welches die im Transponder gespeicherten Daten liest. Weitere Sicherungsmaßnahmen sind nicht vorgesehen. Es ist also für die Datenverarbeitungsein- richtung nicht erkennbar, welche Person den Transponder mit sich trägt und in den Wirkungsbereich des Lesegerätes bringt.

Es ist daher ohne weiteres möglich, daß eine nicht berechtig- te Person Zugriff zu der Datenverarbeitungseinrichtung er- langt, sofern diese Person nur im Besitz des betreffenden Transponders ist. Die Sicherung von Datenverarbeitungsein- richtungen vor unberechtigtem Zugriff ist bei den bekannten Systemen daher erheblich eingeschränkt.

Der Erfindung liegt die. Aufgabe zugrunde, das im Oberbegriff des Patentanspruchs 1 genannte System wesentlich sicherer zu gestalten und den Schutz vor unberechtigtem Zugriff zu erhö- hen, ohne daß hierfür wesentliche Veränderungen an der Stati- on der Datenverarbeitungseinrichtung oder auch Eingriffe in die Station erforderlich sind.

Die Lösung dieser Aufgabe erfolgt durch die im kennzeichnen- den Teil des Patentanspruchs 1 angegebenen Merkmale.

Gemäß der Erfindung ist das Lesegerät in die Bedienungsvor- richtung, die Station selbst oder in ein sonstiges der Stati- on zugeordnetes Peripheriegerät integriert. Als Bedienungs- vorrichtung kommen vorzugsweise Tastatur oder Maus in Be- tracht. Darüberhinaus sind unter Bedienungsvorrichtung aber auch Eingabetabletts, Lichtgriffel, Mikrofone oder Berüh- rungsbildschirme zu verstehen, also alle Geräte, mit denen die Datenverarbeitungseinrichtung vom Benutzer gesteuert wer- den kann.

Das Lesegerät kann auch in die Station selbst integriert wer- den, z. B. in Form einer Steckkarte, die über einen Steckkar- tenbus verbunden oder in Form eines Einschubs, der an den Da- tenbus für Laufwerke angeschlossen wird. Dabei kann es sich um ein Kombigerät handeln, das neben seiner konventionellen Funktion auch das Lesegerät aufnimmt, als auch um eine geson- dertes Zusatzgerät. Schließlich ist auch die Integration in sonstige Peripheriegeräte möglich, die Daten zur Station übertragen. Es kommen hier Eingabegeräte, wie Bildscanner, kombinierte Ein-und Ausgabegeräte, wie Modems, externe Lauf- werke, aber auch reine Ausgabegeräte mit bidirektionaler Schnittstelle, wie Monitore, Drucker in Frage.

Für eine Freigabe werden sowohl die im Transponder gespei- cherten Autorisierungsdaten als auch zusätzliche benutzerspe- zifische Identifikationsdaten ausgewertet. Wenn sowohl die Autorisierungsdaten als auch die Identifikationsdaten dabei als richtig erkannt werden, ist die Station zur Benutzung freigegeben, wobei sich diese Freigabe bei Bedarf auf be- stimmte Programme und Speicher, also auf bestimmte dem jewei- ligen Benutzer zugewiesene Zugriffsrechte beziehen kann.

Der grundlegende Gedanke der Erfindung besteht darin, durch die Verwendung sowohl von Autorisierungsdaten als auch von Identifikationsdaten und durch deren gemeinsame Auswertung einen doppelten Sicherheitsschutz vorzusehen. Es genügt also nicht mehr, daß sich der Transponder im Wirkungsbereich des Lesegerätes befindet, um die Benutzung der Station freizuge- ben, vielmehr muß sich der Benutzer zusätzlich auch noch durch Identifikationsdaten zu erkennen geben, wobei diese Identifikationsdaten vergleichbar einem Fingerabdruck einma- lig sind und nur für den betreffenden Benutzer gelten können.

Die Prüfung von Autorisierungsdaten und Identifikationsdaten bietet auch die Voraussetzung, individuelle Identifikations- daten, wie biometrische Merkmale unter Praxisbedingungen ver- werten zu können. Bei individuellen Identifikationsdaten be- steht nämlich das Problem, solche Merkmale auszuwerten, die eine Person möglichst eindeutig zu identifizieren erlauben.

Ist diese Bedingung nicht. erfüllt, so erhöhen diese Identifi- kationsdaten die Sicherheit nicht wesentlich, da die Identi- fikationsdaten vielen Personen gemeinsam ist und somit auch andere Personen Zugang erhalten können. Andererseits dürfen die Identifikationsdaten, insbesondere biometrische Merkmale nicht so eng toleriert werden, daß bei natürlichen Verände- rungen der Merkmale oder Abweichungen bei der Erfassung den berechtigten Personen der Zugang verwehrt wird.

Bei der gemeinsamen Kontrolle von Identifikationsdaten und Autorisierungsdaten kann ohne Einbuße an Gesamtsicherheit bei der Prüfung der Übereinstimmung der individuellen Identifika- tionsdaten eine größere Toleranz zugelassen werden, als bei einer ausschließlich Verwendung individueller Identifikati- onsdaten. Dadurch wird die Abweiserate berechtigter Personen aufgrund vermeintlich fehlender Übereinstimmungen der erfaß- ten Merkmale mit den gespeicherten Daten sehr gering.

Das erfindungsgemäße System kann in einigen seiner Varianten ohne irgendwelche Veränderungen der Hardware an oder in der Station installiert werden, denn es lassen sich vorhandene Schnittstellen und Verbindungsleitungen verwenden. Für die Realisierung des Systems ist es also nicht erforderlich, die Station, also beispielsweise den Computer, extra zu öffnen und besondere Schaltungen einzubauen. Vielmehr kann der ge- wöhnliche Computerbenutzer das Schutzsystem in einfacher Wei- se mit den vorhandenen Bedienungsvorrichtungen installieren bzw. einrichten und auch selbst bedienen.

Gemäß einer ersten alternativen Ausgestaltung der Erfindung werden die Autorisierungsdaten und die Identifikationsdaten zur Station übertragen und beide Arten von Daten innerhalb der Station der Datenverarbeitungseinrichtung, welcher sowohl die Autorisierungsdaten als auch die Identifikationsdaten be- kannt sind, ausgewertet. Wenn sowohl die Autorisierungsdaten als auch die Identifikationsdaten dabei als richtig erkannt werden, ist die Station zur Benutzung freigegeben.

Gemäß einer zweiten alternativen Ausgestaltung der Erfindung werden die Autorisierungsdaten und die Identifikationsdaten im Transponder selbst oder im Lesegerät auf Übereinstimmung geprüft. Bei Übereinstimmung werden dann Freigabedaten zur Station übertragen werden, die mit dort gespeicherten Ver- gleichsdaten verglichen werden. Diese Variante verlagert ei- nen Teil des Vergleichs der gespeicherten Identifikationsda- ten mit tatsächlichen Identifikationsmerkmalen in den Trans- ponder oder das Lesegeråt.

Dies kann zweckmäßig sein, wenn bei einem Netzwerk mit einer Vielzahl von Stationen und Benutzern auch eine Vielzahl von Vergleichsdatensätzen gespeichert sein muß. Bei Identifikati- onsdaten in Form von biometrischen Daten würde dies zu um- fangreichen Datenbanken und einer hohen Rechenzeit allein für die Zugangskontrolle führen, was durch eine Vorauswahl durch dezentralen Vergleich vermeidbar ist.

Bei Integration des Lesegerät in eine von der Station örtlich abgesetzte Bedienungsvorrichtung oder in ein sonstiges der Station zugeordnetes Peripheriegerät kann dieselbe vorhandene Übertragungsstrecke und Schnittstelle zwischen der Bedie- nungsvorrichtung bzw. dem Peripheriegerät einerseits und der Station andererseits auch für die Datenübertragung vom Lese- gerät zur Station genutzt werden.

Diese Lösung vermeidet zusätzliche störende Kabelverbindungen und gleichzeitig auch Änderungen oder Ergänzungen der Hard- ware der Station. Die ursprüngliche und eigentliche Funktion der Bedienungsvorrichtung oder des Peripheriegerätes bleibt dabei natürlich erhalten.

Die Datenkommunikation kann zwischen dem Lesegerät und der Station durch einen modifizierten Gerätetreiber der vorhande- nen Bedienungsvorrichtung oder des vorhandenen Peripheriege- rätes oder durch einen zusätzlichen Gerätetreiber hergestellt werden. Es lassen sich so die zusätzlichen Hardwarekomponen- ten ohne Veränderung der Hardware und des Betriebssystems der Station an das vorhandene Betriebssystem anpassen und auf diese Weise das Schutzsystem funktionell einbinden.

Vorzugsweise umfaßt das Gehäuse der Bedienungsvorrichtung oder des Peripheriegerätes eine Aufnahme-und Halterungsvor- richtung für den Transponder. Der Benutzer braucht dann den Transponder nicht mit sich zu tragen, sondern kann ihn in die Aufnahme-und Halterungsvorrichtung stecken. Das Lesegerät liest berührungslos die Daten des Transponders und sendet diese aber die vorhandenen Anschlußleitungen an die Station, wo sie an die LOGIN-Prozedur des Betriebssystems übergeben werden können.

Im einfachsten Fall können die Identifikationsdaten durch Eingabe eines Paßwortes auf der Eingabetastatur erzeugt wer- den.

Gemäß einer weiteren vorteilhaften Ausgestaltung der Erfin- dung werden die Identifikationsdaten des Benutzers durch den Benutzer einzig charakterisierende biometrische Daten er- zeugt. Hierfür sind mehrere biometrische Merkmale geeignet, die rein äußerlich über Sensoren erfaßt werden können.

So kann mit Hilfe einer elektronischen Kamera, welche an der betreffenden Station installiert ist, das Gesicht des Benut- zers erfaßt werden. Aus den elektrischen Signalen der Kamera bzw. aus dem elektronischen Bild des Gesichtes lassen sich dann die Identifikationsdaten ableiten und dem Betriebssystem zuführen.

Zweckmäßig kann es auch sein, die biometrischen Daten des Be- nutzers von seiner Stimme abzuleiten und dafür an der Station ein Mikrofon anzuordnen. Aus den elektrischen Signalen des Mikrofons werden danach die Identifikationsdaten abgeleitet.

Eine weitere vorteilhafte Möglichkeit besteht darin, die Identifikationsdaten von mindestens einem Fingerabdruck oder der Hand des Benutzers abzuleiten, der damit wirklich einzig- artig identifiziert ist, da jede Person einen anderen Finger- oder Handabdruck besitzt.

Die erforderlichen Sensoren können an der Station oder in ei- nem mit der Station verbundenen Gerät oder auch am Transpon- der angeordnet sein.

Besonders zweckmäßig ist es, wenn in weiterer Ausgestaltung der Erfindung die Identifikationsdaten durch Kombination min- destens zweier auf unterschiedliche Art ermittelten biometri- schen Daten des Benutzers bestimmt werden. So lassen sich beispielsweise die Bildsignale der Kamera und die Stimmsigna- le des Mikrofons und/oder auch die den Fingerabdruck charak- terisierenden Signale miteinander kombinieren, um daraus ein- deutig die Identifikationsdaten des Benutzers zu erzeugen.

Dabei genügt es, für die einzelnen Anteile etwa der Bilder- kennung oder der Stimmerkennung vergleichsweise wenig Daten zu verwenden, auch wenn diese wenigen Daten das Gesicht bzw. die Stimme oder auch den Fingerabdruck nicht vollständig ge- nau definieren. Es wird nämlich die Erkenntnis ausgenutzt, daß durch Kombination der vergleichsweise wenigen Bild-oder Stimmdaten gleichwohl eine hohe Identifikationssicherheit er- zielt wird, und zwar weil eben diese Daten miteinander kombi- niert werden. Der Vorteil liegt darin, daß die Identifizie- rung des Benutzers schneller erfolgen kann, als wenn man sämtliche Stimm-, Gesichts-oder Fingerabdruckdaten heran- zieht, denn dies dauert wegen der erheblichen Datenfülle län- ger.

Vorzugsweise werden die Autorisierungsdaten und die Identifi- kationsdaten oder die Freigabedaten durch ein Benutzerverwal- tungsprogramm im Betriebssystem der Datenverarbeitungsein- richtung geprüft. Dadurch lassen sich die vom benutzen Be- triebssystem verwendeten Anmelderoutinen nutzen ohne zusätz- lich in das Betriebssystem eingreifen zu müssen. Der Verzicht auf Eingriffe in das Betriebssystem erleichtert einmal die Anpassung der Gerätetreiber an unterschiedliche Betriebssy- steme und Versionen und vermeidet eine sonst mögliche Inkom- patibilität mit Anwendungsprogrammen.

Bei einer mit dem Betriebssystem"Windows NT"ausgestatteten Datenverarbeitungseinrichtung wird die Prüfung der Autorisie- rungsdaten und der Identifikationsdaten oder der Freigabeda- ten durch das für die Anmeldeprozedur zuständige Sicherheits- subsystem oder den"Security Manager"des Betriebssystems vorgenommen.

Durch den Programmteil"Security Manager"im Betriebssystem werden alle LOGIN-Vorgänge überwacht und alle Rechteverwal- tungen und-vergaben geprüft und ausgeführt. Somit kann die LOGON-Prozedur durch einen angepaßten Gerätetreiber an den "Security Manager"des Betriebssystems übergeben und von dort aus die Freigabe der entsprechenden Rechte im Betriebssystem einschließlich der installierten Anwendungsprogramme erfol- gen. Die hohe Sicherheit gegen Manipulationsmöglichkeiten, die dieses Betriebssystem auszeichnet, wird so in einfacher Weise für das erfindungsgemäße System mit ausgenutzt.

Nach einer anderen zweckmäßigen Ausgestaltung der Erfindung werden die Autorisierungsdaten kontinuierlich gelesen und so- mit wird die stetige Anwesenheit des Benutzers bzw. des Transponders im Wirkungsbereich des Lesegerätes überwacht.

Solange die Autorisierungsdaten gelesen werden, bleibt die Zugriffsberechtigung für den Benutzer erhalten.

Eine andere zweckmäßige Ausgestaltung der Erfindung sieht ei- ne als Timer arbeitende Zeitschaltung vor, durch welche die kontinuierliche Überwachung auf eine wählbare Zeitdauer be- schränkt ist. Dadurch besteht die Möglichkeit, dem Benutzer die Nutzung der Station nur für eine zuvor gewählte Zeitdauer zu ermöglichen.

Nach einer anderen vorteilhaften Weiterbildung der Erfindung ist der Transponder berührungslos mit Zusatzdaten program- mierbar, welche Bestandteil der Autorisierungsdaten sind.

Zweckmäßigerweise kommen als Zusatzdaten Zeitdaten in Be- tracht, durch welche die Benutzungsdauer der Station vorgege- ben ist, und welche auch zur Berechnung von Gebühren dienen können, wenn die betreffende Station gegen Zahlung eines Ge- bührenbetrages benutzt werden darf.

Die Station ist nur solange zur Benutzung freigegeben, wie vom Lesegerät die Autorisierungsdaten des Transponders gele- sen werden können, wobei in zweckmäßiger Weise sowohl passive als auch aktive Transponder mit eigener Energieversorgung verwendet werden können. Bei den aktiven Transpondern ergibt sich der Vorteil, da$ ein größerer Abstand zwischen dem Lese- gerät und dem Benutzer möglich ist, wenn dieser den aktiven Transponder mit sich trägt.

Die größeren möglichen Abstände von bis zu mehreren Metern bringen den Vorteil, da$ die Station nicht immer zwischen- durch gesperrt wird, wenn der Benutzer sich aufgrund anderer zwischenzeitlicher Tätigkeiten geringfügig von der Station bzw. von der Maus entfernt.

Die stetige Anwesenheit des Benutzers bzw. die kontinuierli- che Überwachung des Transponders durch das Lesegerät ist ein wichtiger Aspekt für die durch die Erfindung geschaffene dop- pelte Sicherheit vor unberechtigtem Zugriff. Wenn der Trans- ponder außerhalb des Wirkungsbereiches des Lesegerätes ge- langt, so da$ keine Autorisierungsdaten mehr vom Lesegerät gelesen werden können, wird die Station für eine weitere Be- nutzung automatisch gesperrt.

Gelangt danach der Transponder bzw. die den Transponder mit sich tragende Person wieder in den Wirkungsbereich des Lese- gerätes, so da$ die Autorisierungsdaten gelesen und zum Be- triebssystem der Station geführt werden, mu$ zur Erzielung einer großen Sicherheit erneut das Paßwort vom Benutzer ein- gegeben werden. Es ist im Rahmen der Erfindung auch möglich, den Fall vorzusehen, daß es ausreichend ist, wenn der Trans- ponder wieder in den Wirkungsbereich des Lesegerätes gelangt, um die Station wieder freizugeben.

Zur Erhöhung des Sicherheitsschutzes sieht eine vorteilhafte Weiterbildung der Erfindung vor, daß das System nach Ablauf einer definierbaren Zeitdauer eine Aufforderung an den Benut- zer veranlaßt, zumindest das Paßwort erneut einzugeben bzw. seine biometrischen Daten erneut erfassen zu lassen. So mu$ sich der Benutzer beispielsweise alle 30 Minuten erneut mit seinen Identifikationsdaten zu erkennen geben, damit die Sta- tion freigeschaltet bleibt.

Alternativ sieht eine andere zweckmäßige Ausgestaltung der Erfindung vor, daß die Benutzung der Station auch dann frei- gegeben bleibt, wenn sich der Transponder, den der Benutzer mit sich trägt, lediglich innerhalb einer kürzeren definier- baren Zeitdauer außerhalb des Wirkungsbereiches des Lesegerä- tes befindet und die Autorisierungsdaten während dieser Zeit- dauer nicht gelesen und der Station nicht zugeführt werden können.

Diese Alternative ist insbesondere in Großraumbüros zweckmä- $ig, denn dort tritt häufig der Fall ein, da$ sich der Benut- zer für kurze Zeit so weit räumlich von seinem Arbeitsplatz und der Station entfernt, da$ der von dem Benutzer getragene Transponder den Wirkungsbereich des Lesegerätes verläßt. Wenn der Transponder kurze Zeit später wieder in diesen Wirkungs- bereich gelangt, kann die Prozedur einer erneuten Erkennung durch Eingabe des Paßwortes entfallen.

Eine zweckmäßige Ausgestaltung der Erfindung sieht vor, da$ die tatsächliche freigegebene Benutzungdauer in der Station protokolliert und gespeichert wird und auch als Beleg ausge- druckt werden kann. Somit läßt sich ein Benutzer-Protokoll erstellen, welches auch zum Zwecke einer Gebührenberechnung herangezogen werden kann.

Eine andere vorteilhafte Ausgestaltung der Erfindung besteht darin, da$ der Transponder zusätzlich zu den Autorisierungs- daten auch noch die Identifikationsdaten des Benutzers er- hält, und in besonders zweckmäßiger weiterer Ausgestaltung ist der Transponder mit einem biometrischen Sensor zur elek- tronischen und automatischen Erfassung eines Fingerabdruckes des Benutzers versehen.

Dadurch, da$ der Transponder sowohl die Autorisierungsdaten als auch die Identifikationsdaten enthält, wird die Sicher- heit des Systems weiter verbessert, denn nach wie vor muß der Benutzer sich neben seinem Transponder zusätzlich mit seinen Identifikationsdaten zu erkennen geben, beispielsweise durch Eingabe seines Paßwortes. Nur wenn das Paßwort mit den im Transponder vorhandenen Identifikationsdaten, die zusammen mit den Autorisierungsdaten der Station zugeführt werden, übereinstimmt, wird die Station zur Benutzung freigegeben.

Denkbar ist aber auch eine alleinige Identifizierung durch den Fingerabdruck. Wenn der Benutzer z. B. sein Paßwort ver- gessen hat, kann es ausreichend sein, daß er seinen Fingerab- druck von dem biometrischen Sensor des Transponders lesen läßt. Bei Übereinstimmung, wenn also der berechtigte Benutzer seinen Fingerabdruck auf dem Transponder abgegeben hat, wird die Station freigeschaltet, ohne daß es noch der Eingabe ei- nes Paßwortes bedarf.

Andere vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung sind den Unteransprüchen angegeben.

Anhand des in der Zeichnung dargestellten Ausführungsbei- spiels wird die Erfindung nachfolgend näher erläutert. Es zeigen : Fig. 1 ein Prinzip-Blockschaltbild einer Station als Arbeitsplatz eines Netzwerkes, Fig. 2 das Prinzip-Blockschaltbild nach Fig. 1 mit einer Darstellung des Informations- flusses für das Betriebssystem Windows NT, Fig. 3 eine schematische Ansicht einer Station gemma$ Fig. 1 mit einer Eingabetastatur und einer Maus, Fig. 4 eine Maus mit einem Schlitz zur Aufnahme eines Transponders, Fig. 5 eine Maus mit einem biometrischen Sensor und einem Schlitz zur Aufnahme eines Transponders, Fig. 6 eine Tastatur mit einem Schlitz zur Auf- nahme eines Transponders und Fig. 7 eine Tastatur mit einem biometrischen Sensor und einem Schlitz zur Aufnahme ei- nes Transponders.

In Fig. 1 ist als schematisches Blockschaltbild eine Station 10 als Arbeitsplatz eines Computer-Netzwerkes dargestellt, wobei nur die im Rahmen des erfindungsgemäßen Systems rele- vanten Teile gezeigt sind. Die Station 10 besitzt eine übli- che Tastatur-Schnittstelle 12 sowie eine übliche Maus- Schnittstelle 14 mit Verbindungsleitungen 16 und 18. Die Sta- tion 10 arbeitet mit einem Betriebssystem 20, das einen Pro- zessor sowie mit diesem verbundene Seicher-und Ein/Ausgabe- einheiten steuert. Das Betriebssystem umfaßt Programmteile, die Zugriff auf gespeicherte Autorisierungsdaten 22 eines hier nicht dargestellten Transponders sowie Identifikations- daten 24 eines Benutzers haben. Ferner ist ein Programmteil vorhanden, der als Vergleicher 26 für die über die Schnitt- stellen 12 und 14 zugeführten Daten mit den gespeicherten Au- torisierungsdaten 22 und Identifikationsdaten 24 dient. Zu- sätzlich ist noch ein Programmteil als Timer 28 ausgebildet.

Fig. 2 zeigt das Prinzip-Blockschaltbild nach Fig. 1 mit ei- ner Darstellung des Informationsflusses für das Betriebssy- stem Windows NT. Der Programmteil"Security Manager"50 im Betriebssystem 20 überwacht alle LOGIN-Vorgänge. Dabei werden die während der Anmeldeprozedur eines Benutzers vom System angeforderten Daten mit gespeicherten Daten, die bestimmten Zugriffsrechten entsprechen, verglichen. Diese Zugriffsrechte können vom Systemverwalter, dem Administrator, bei der Ein- richtung des Systems vergeben werden, aber auch später verän- dert werden. Je nach den vergebenen Rechten und dem Ergebnis der Prüfung erhält der Benutzer nach Abschluß der Anmeldepro- zedur Zugriff auf Anwendungsprogramme 52.

Zur automatischen Einbindung der aber die Tastatur-Schnitt- stelle 12 und/oder die Maus-Schnittstelle 14 zugeführten Au- torisierungsdaten, Identifikationsdaten oder Freigabedaten in die Anmeldeprozedur dient ein Gerätetreiber, der die Kommuni- kation zwischen einem Lesegerät für den Transponder, einem optionalen Sensor für biometrische Daten und dem Betriebssy- stem herstellt. Dies kann hier ein modifizierter Tastatur und/oder Maustreiber 54 sein.

Fig. 3 zeigt in einer anderen Darstellung die Station 10 mit einem Gehäuse 30, einem Bildschirm 32 und Eingabevorrichtun- gen in Form einer Eingabetastatur 34 und einer Maus 36. Über die in Fig. 1 bereits dargestellte Verbindungsleitung 16 ist die Eingabetastatur 34 mit der Station 10 verbunden, und ebenso ist die Maus 36 aber die Verbindungsleitung 18 ange- schlossen. Innerhalb der Maus 36 befindet sich als integrier- ter Bestandteil ein Lesegerät 42, dessen gelesene Daten über die vorhandene Verbindungsleitung 18 und die Schnittstelle 14 zur Station 10 geführt werden. In das Gehäuse des Bildschir- mes 32 ist noch eine elektronische Kamera 38 integriert, und das Gehäuse 30 umfaßt zusätzlich oder alternativ ein Mikrofon 40. Sowohl die elektronische Kamera 38 als auch das Mikrofon 40 können zur Erzeugung von biometrischen Daten des Benutzers herangezogen werden.

Fig. 4 zeigt eine Maus 36 mit einem darin integrierten Lese- gerät 42, wobei die Maus 36 eine Aufnahme-und Halterungsvor- richtung 44 für einen passiven Transponder 46 umfaBt. Der Transponder 46 hat die Gestalt einer Scheckkarte und die Auf- nahme-und Halterungsvorrichtung 44 ist als Aufnahmeschlitz ausgebildet. Der Transponder 46 und das Lesegerät 42 befinden sich also örtlich dicht beieinander, so daß das Lesegerät 42 durch ein elektromagnetisches Feld den Transponder 46 mit Energie versorgen und ihn aktivieren kann und die im Trans- ponder 46 enthaltenen Autorisierungsdaten problemlos lesen und aber die Verbindungsleitung 18 der Station 10 zuführen kann.

Der Transponder 46 ist programmierbar ausgebildet, so daß die gewünschten Autorisierungsdaten mit einem hier nicht näher dargestellten Sende/Empfangsgerät berührungslos in den Trans- ponder 46 eingelesen und dort gespeichert werden können. Der Transponder 46 ist ferner mit einem biometrischen Sensor 48 auf seiner Oberfläche ausgestattet, der zur elektronischen und automatischen Erfassung eines Fingerabdruckes vorgesehen ist. Bei Berührung des Sensors 48 mit einem Finger werden aus dem Fingerabdruck Identifikationsdaten erzeugt.

Fig. 5 zeigt eine Maus ähnlich Fig. 4 mit einem Schlitz zur Aufnahme eines Transponders 46 und zusätzlich einem biometri- schen Sensor 48 im Gehäuse der Maus 36.

Fig. 6 zeigt eine Tastatur 34 mit einem darin integrierten Lesegerät 42, wobei die Tastatur 34 eine Aufnahme-und Halte- rungsvorrichtung 44 für einen passiven Transponder 46 umfaßt.

Der Transponder 46 hat die Gestalt einer Scheckkarte und die Aufnahme-und Halterungsvorrichtung 44 ist als Aufnahme- schlitz ausgebildet. Es wäre auch möglich, eine Ablagemulde vorzusehen, in der die Scheckkarte waagerecht abgelegt werden kann.

Fig. 7 zeigt eine Tastatur 34 ähnlich Fig. 6 mit einem Schlitz zur Aufnahme eines Transponders 46 und zusätzlich ei- nem biometrischen Sensor 48 im Gehäuse der Tastatur 34.

Die Wirkungsweise eines Ausführungsbeispiels der Erfindung ist wie folgt. Zum Betrieb des Systems ist zunächst eine In- stallation erforderlich, und zu diesem Zweck ist das Lesege- rät 42 des Transponders 64 anzuschließen und eine Software in üblicher Weise von Diskette oder CD zu laden. Die Anforderun- gen, die das Programm bzw. die Software erfüllen muß, ergeben sich von selbst aus den nachfolgenden Erläuterungen.

Wenn die Installationsdiskette von der Station 10, der als Arbeitsplatz eines Computer-Netzwerkes mit dem Betriebssystem Windows NT ausgestattet ist, gelesen wurde, ergeht eine Auf- forderung an den Benutzer, durch Koppelung des Transponders 46 mit dem Lesegerät 42 die Übermittlung der Transponderdaten zu ermöglichen sowie durch Eingabe eines Passwortes oder durch Einlesen biometrischer Daten die Übermittlung der Iden- tifikationsdaten zu ermöglichen. Ferner ergeht die Aufforde- rung an den Benutzer, die vom Administrator festgelegten und vom"Security Manager"für die LOGIN-Prozedur benötigten Da- ten einzugeben. Es erfolgt dann eine Zuordnung der Transpon- derdaten und der Identifikationsdaten zu den LOGIN-Daten und Speicherung dieser Daten.

Bei der Installation erfolgt so auch die Zuordnung der ein- zelnen Benutzer (user) zu den betreffenden Transpondern. Au- ßerdem können auch noch die Benutzerrechte und Levels in der Station 10 vergeben, da unterschiedliche Benutzer auch unter- schiedliche Zugriffsrechte zu verschiedenen Datenbanken und Speichern erhalten können. Sämtliche Daten können in der Sta- tion 10 oder bei Computernetzwerken auch in einer anderen zur selben Domäne gehörenden Station oder einem Server abgespei- chert werden, so da$ beim nächsten Einschalten der Station 10 das erfindungsgemäße System installiert ist.

Eine Deinstallation des Systems ist nur durch den Systembe- treuer möglich oder durch den Benutzer, wenn sowohl die Auto- risierungsdaten als auch die Identifikationsdaten eingegeben werden.

Nach der erfolgten Installation kann das System in der weiter oben beschriebenen Weise mit all seinen Vorteilen benutzt werden, wobei neben der hohen Sicherheit wegen der doppelten Prüfung vor allem auch die einfache Bedienung und Handhabung hervorzuheben ist.