Die Erfindung betrifft eine Schaltungsanordnung zum Schreibschutz für einen externen Massenspeicher, der über einen Massenspeichercontroller über einen Systembus mit einem Digitalrechner in der Weise verbunden ist, daß die Steueranweisungen vom Digitalrechner an den Massenspei¬ cher von einer Kontrolleinrichtung überwacht werden und die Schreibanweisung von dieser bei Schreibschutz für die angesprochene Massenspeicherzuordnungseinheit unterbunden wird.

Eine solche Schaltungsanordnung ist aus GB 2 222899 A be¬ kannt.

Die Anzahl der bekannten Computerviren nimmt stetig zu, ein Ende dieser Entwicklung ist nicht abzusehen. Die Viren werden immer raffinierter und für den einfachen Nutzer immer gefährlicher. Konnte man am Anfang Computer¬ viren noch mit Hilfe von einfachen Scancodes identifi¬ zieren, so kann heute bei Viren eine eindeutige Tendenz zur Selbstmodifikation und Codierung festgestellt werden. Parallel zu dieser Entwicklung werden immer mehr Daten auf Rechnern verarbeitet und die Anzahl der Rechner, die in Netzwerke eingebunden sind, nimmt auch immer mehr zu. Das Risiko, daß das eigene System von einem Computervirus befallen wird, steigt damit stetig an.

Weiterhin hat sich durch die zunehmende Vernetzung der Rechner eine neue Sicherheitslücke aufgetan, so versuchen Hacker mit Hilfe von Trojanischen Pferden die Systemherr¬ schaft über ganze Rechnernetze zu erlangen, indem sie spezifische Systemdateien modifizieren.

In vielen Behörden und Unternehmen werden große Mengen

ERSATZBLÄΓT,

von sensiblen Daten verarbeitet. Wenn diese Daten von unbe¬ rechtigten Personen absichtlich oder unabsichtlich modifi¬ ziert werden, kann es teilweise zu schwerwiegenden Schäden kommen (z. B. wenn anhand der Daten strategische Entschei¬ dungen in den Unternehmen gef llt werden) . Oft wird wegen der Größe der Datenmengen eine Manipulation erst zu spät entdeckt. Desweiteren kann auch ein Datenverlust durch unsachgemäße Handhabung des Systems erfolgen oder durch eventuelle Pro¬ grammfehler bei der Neuentwicklung von Programmen. Wenn un¬ geschultes Personal unbeabsichtigt eine wichtige Datei oder ein Programm löscht, so gibt es kein Verfahren oder keine Methode die mit entsprechend rationellem Aufwand eine Da- tenrückführung ermöglicht.

Zur Verhinderung von destruktiven und zufälligen Schäden mit Hilfe der oben genannten Manipulationsmaßnahmen sind Lösungen bekannt, wie z. B. Scannen oder Checksummer. Diese können jedoch den Bediener meist erst nach einem Be- fall durch den Virus warnen. Viele der Schutzprogramme sind nur in der Lage, nach schon bekannten Viren zu suchen. Tritt ein Virus auf, der dem Scanner oder einem ähnlichen Schutz¬ programm nicht bekannt ist, so wird dieser einfach igno¬ riert und nicht erkannt. Durch Checksummer und Programme, die auf der Finger bdruckmethode basieren, kann auch nur eine relative Sicherheit vor der Modifikation der Daten oder Programme gewährleistet werden. Da diese Programme selbst aus Software bestehen, bilden sie für eine andere Software (z. B. den Virus oder ein Trojanisches Pferd) eine Angriffsfläche. Es ist bekannt, daß man zu einer Software immer eine "Antisoftware" entwickeln kann. Offensichtlich kann ein Softwareschutz niemals eine optimale Sicherheit gegen eine Modifikation von Daten und Programmen durch de¬ struktive Software bieten.

Weiterhin ist ein Verfahren zur Verhinderung von Computer-

viren nach DE OS-3736760 bekannt, in dem durch ein einmalig beschreibbares Speichermedium ( z. B. optische Platte ) , welches auf einem Netzwerk oder einem Einzelrechner den Da¬ tenfluß aufzeichnen kann, eine Restaurierung nach der In- fektion ermöglicht wird. Speziell ist dieses Verfahren zur Sicherstellung der Systemdateien vor eventueller Modifika¬ tion durch einen Virus gedacht. Dies wird erreicht, indem das Betriebssystem einmal in einer virenfreien Version auf ein nur einmal beschreibbares Speichermedium aufgebracht wird.

Der Nachteil dieses Verfahrens besteht darin, daß sich eine Realisierung für Einzelrechner und kleinere Rechnernetze als zu unökonomisch gestaltet. Weiterhin ist dieses Ver¬ fahren nicht für Betriebssysteme anwendbar, die Teile ihres eigenen Systems selbst modifizieren (z. B. unter DOS 5.0 das SETVER Kommando).

Desweiteren kann dieses System keinen Schutz vor der Ab¬ speicherung eines schon von dem Virus infizierten Program- mes gewährleisten. Auch Anwenderprogramme können Träger von Viren sein. Wenn ein solches infiziertes Programm' einmal auf das nur einmal beschreibbare Speichermedium aufgebracht wurde, kann ein solches virulentes Programm von diesem Speichermedium auch nicht mehr heruntergelöscht werden. Des¬ halb muß dann dieser Einsatz (Platte) aus dem Speichermedi- um entfernt werden, dies ist mit nicht unerheblichen Kosten verbunden. Sollten ständig veränderliche Datenmengen auf dem Rechnernetz oder Einzelrechner vorhanden sein, so muß bei jeder Modifikation dieser Daten eine Mitschrift auf das nur einmal beschreibbare Speichermedium getätigt werden, um eine effektive Sicherheit bei einer möglichen Zerstörung auf dem nicht gesicherten Speichermedium zu gewährleisten. Deshalb ist dieses Verfahren nur zum zeitweiligen Backup von Daten auf Festplatten oder anderen wiederbeschreibbaren Medien geeignet. Die Daten, die zwischen der letzten Si- cherung auf dem nur einmal beschreibbaren Speichermedium und einer eventuellen Vernichtung der Daten liegen, werden

unweigerlich gelöscht.

Desweiteren existiert ein Verfahren zum Diagnostizieren einer von Computerviren befallenen Datenverarbeitungsanlage

105 nach EP 0304 033 A2, wonach Computerviren in einem Datenverarbeitungssystem durch Starten eines bekannten Wirtsprogrammes und der eventuellen Modifikation an diesem Wirtsprogramm erkannt werden sollen. Mit diesem Verfahren können Computerviren erst nach dem Befall eines Systems

110 erkannt werden. Desweiteren erhebt diese Methode keinen An¬ spruch auf einen Schutz im herkömmlichen Sinne. Sie kann nur die Information vermitteln, ob eventuell ein Computer¬ virus aktiv ist. Dieses Verfahren ist zur Aufspürung von Trojanischen Pferden oder destruktiven Bedienern ungeeig-

115 net und funktioniert bei Computerviren nur dann, wenn diese ausführbare Dateien befallen. Außerdem bietet dieses Ver¬ fahren keine Möglichkeit, den Bediener vor eventuellen lo¬ gischen Bomben oder Trojanern zu warnen.

In der WO 90/13084 wird eine Lösung dargestellt, nach der

120 auf wiederbeschreibbare Speichermedien (wie z. B. Fest¬ platten) ein priorisierter Schreib- und Lesezugriff ermög¬ licht wird. In diesem System erfolgt durch die Vergabe von verschiedenen Paßwörtern eine Einstufung der Nutzer, und je nach ihren Rechten können sie Dateien und Programme le-

125 sen oder schreiben. Wer welche Dateien lesen darf und eventuelle Modifikationen an den geschützten Dateien voll¬ führen kann, wird durch eine priorisierte Person ( Super User) zum Zeitpunkt des Systemstartes an das Dateischreib¬ schutzsystem mitgeteilt. Der Super User hat mit Hilfe ei-

130 _nes i _m Regelfall nur ihm bekannten Paßwortes die Möglich¬ keit, den geschützten Dateien und Programmen verschiedene Lese- und Schreibprioritäten für die einzelnen Bediener zuzuordnen. Durch einen komplizierten Mechanismus werden dann die Daten vor einem unberechtigten Schreib- oder Le-

135 sezugriff geschützt. Das Paßwort wird nicht direkt in die

Einrichtung eingegeben, sondern durch einen zentralen MP durch ein TSR Programm von der Tastatur gelesen und in Form eines Codes an das Dateischutzsystem weitergeleitet. Dieses Verfahren hat den Nachteil, daß es für Systeme, die

140 ihre Fileoperationen nicht auf Fileebene tätigen (sondern z. B. auf Sektorbasis, also die einzelnen Teile der Da¬ teien nicht hintereinander geschrieben werden) nur sehr aufwendig realisierbar ist. Desweiteren haben Computer¬ viren die Möglichkeit, durch Mitschneiden der Operation

145 auf dem Datenbus (Modifizieren des TSR Programmes oder andere Methoden) bestimmte Paßwörter für Schreib- und Le¬ seprioritäten dennoch zu erlangen und so den gesamten Schutzmechanismus zu umgehen. Der Bediener kann nicht eindeutig identifiziert werden. So können Daten von privi-

150 legierten Bedienern trotzdem gelöscht werden. Bei der Rea¬ lisierung eines solchen Systems auf mittleren Computer¬ systemen und Personalcomputern (IBM PCs, ATs, PS/2, R 6000, R xxxx)wäre der Aufwand nicht vertretbar, da ein solches Zusatzsystem bisweilen mehr kosten würde als der ganze

155 Rechner. Ein solches, in der Patentschrift erläutertes Sys¬ tem, ist nur in Großrechenanlagen mit Betriebssystemen wie VMS oder UNIX realisierbar. Bei Kleinrechnern und Einzel¬ rechnern des Typs IBM PC, AT, PS/2, R 6000, R xxxx (Perso¬ nalcomputer oder verwandten Typen) ist eine Realisierung

160 unökonomisch.

Die Vorrichtung nach GB 2222899 A stellt einen Schreib¬ schutz von beliebigen Tracks auf Festplatten dar, wobei unter Zuhilfenahme von Paßwörtern Bereiche in das Sys¬ tem eingetragen werden können. 165 Die Paßwörter werden durch die normale Tastatur eingegeben und vom zentralen Prozessor des Rechners verarbeitet und dann an das Schutzsystem gesandt. Das Schutzsystem ist zwischen dem Massenspeichercontroller und dem Massenspei¬ cher positioniert.

170 Der Nachteil der Vorrichtung nach GB 2222899 A besteht da¬ rin, daß die Möglichkeit des Einsatzes eines solchen Schutz¬ systems eng durch die Anordnung der Vorrichtung begrenzt wird. Die meisten Betriebssysteme arbeiten sektororientiert, so ergibt sich nur die Möglichkeit, ganze logische Laufwer-

175 ke zu schützen. Mit dieser Lösung ist es nicht möglich, Fest¬ platten des Typs SCSI, IDE zu schützen, auch nicht MFM, SCSI, IDE-Festplatten in gecashter Form. Alle Systeme, die ihre Kontrolltätigkeit zwischen dem Massenspeichercontroller und dem Massenspeicher angesiedelt haben leiden unter demselben

180 Nachteil, sie müssen, um überhaupt funktionsfähig zu sein, für alle Aufzeichnungsverfahren (SCSI, MFM, RLL, IDE) geson¬ dert entwickelt und produziert werden. Diese Anordnung ver¬ sagt auch bei einem Schreibcash auf dem entsprechenden Mas¬ senspeichercontroller.

185 Dieses System ist mangels fehlender Unterscheidung, ob ein Mensch oder ein Programm auf das System zugreift, leicht um¬ gehbar.

Eine Handlung des Nutzers ist durch ein Paßwort nicht ein¬ deutig identifiziert, wie im folgenden bewiesen wird:

190 In der Vorrichtung nach GB 2222899 A werden die Paßwörter in einem EPROM abgelegt, welcher nicht vom Computer lesbar ist. Wenn man ein Paßwort eintragen möchte, dann nutzt man ein Masterpaßwort oder man ändert sein Paßwort, indem man ein schon bekanntes Paßwort eingibt. Wenn man alle Paßwörter

195 vergessen hat, dann werden die Paßwörter durch einen Jumper gelöscht, den man aber nur nach dem Öffnen des Rechners be¬ tätigen kann.

Damit ist einzig und allein sichergestellt, daß ein Virus nicht alle Paßwörter löschen kann und so Zugang zum System 200 bekommt. Der Virus kann aber vorhandene Paßwörter ohne Pro¬ bleme verwenden und auch umschreiben, denn der Virus hat

die Möglichkeit, sich Zugang zu den bestehenden Paßwörtern zu verschaffen, da die Eingabe der Paßwörter über die Rech¬ nertastatur erfolgt und dann über den zentralen Prozessor

205 im Rechner an die Kontrolleinheit weitergeleitet wird. In diesem Augenblick kann sich der Virus in den Fluß einbinden und alle bestehenden Paßwörter mit aufzeichnen und dann selbständig ein Paßwort ändern oder es einfach in seiner be¬ stehenden Form verwenden. Der Virus muß also gar nicht die

210 Paßwörter im System ändern, es reicht, wenn er sie bei der Eingabe des Bedieners abfängt und speichert, um sie dann selbst zu benutzen. Der Bediener wird nicht vermuten, daß sich in seinem als sicher geltenden Bereich ein Virus ein¬ genistet hat, und er ändert seine Verhaltensweise, weil er

215 sich in einer vermeintlichen Sicherheit befindet. Er kopiert mehr und benutzt eher fremde Software, ohne sie zu prüfen.

Das aus der GB 2231 418 A bekannte Verfahren beschränkt sich auf den Schutz des Bootsektors und der Partitionstabelle. Deshalb wird standardmäßig der erste Zylinder eines Massen- 220 Speichers geschützt und die Systemdateien werden dahin ver¬ legt. Die Schutzeinheit befindet sich zwischen dem Massen¬ speichercontroller und dem Massenspeicher.

Der Nachteil des Verfahrens besteht darin, daß es nicht in der Lage ist, variable Bereiche zu schützen. Es kann nicht

225 flexibel programmiert werden. Für eine Änderung muß der Rechner geöffnet werden und ein Schalter oder Jumper betä¬ tigt werden, um ein Umschreiben der Bereiche zu gewährleis¬ ten, die geschützt sind. Diese Anordnung ist nicht vom Rech¬ ner frei programmierbar, sie ist nur für einen festen Be-

230 reich geschaffen, da sich Computerviren immer seltener auf Boot- und Partitionssektoren verbreiten und vorrangig aus¬ führbare Programme auf der Festplatte infizieren. Das System ist nicht in der Lage, eine solche Infektion zu unterbinden, weil es nur die beiden Systembereiche zu schützen versucht.

235 Auf einem Rechner können auch mehrere Bootsektoren und Par-

titionstabellen vorhanden sein. Diesem Problem wird die in der Patentschrift beschriebene Lösung nicht gerecht, weil hier nur von einem Partitionsrecord und einem Bootsektor ge¬ sprochen wird (Anspruch 1). Desweiteren gibt es Betriebs-

240 Systeme und Bootweichen, die unbedingt diesen Sektor schrei¬ ben müssen, um ein Umbooten des Systems zu ermöglichen. Da¬ zu müßte man bei jeder Operation den Rechner öffnen, ein Umbooten starten und dann den Rechner wieder schließen, um den Boot- oder Partitionsbereich freizuschalten. Dennoch

245 kann eine virulente Software installiert werden, sie darf nur den Boot- und Partitionssektor nicht infizieren. Weiter¬ hin befindet sich das gesamte System zwischen dem Massen¬ speichercontroller und dem Massenspeicher, was zu den oben genannten Nachteilen nach GB 2222899 A führt.

250 Aus der Zeitschrift PC-Praxis 6/91, Seite 104 bis 105, ist eine Karte bekannt ("Thunderbyte"), die einen zusammenhän¬ genden Schreibschutz von Bereichen auf der Festplatte er¬ laubt. Die Karte ist für den Einsatz in Systemen mit MFM/ RLL-Festplatten für IBM-PC und kompatible Rechner konzi-

255 piert und soll sowohl unter MS-DOS als auch unter Novell lau fähig sein.

Dabei wird in die 34polige Anschlußleitung der Festplatte (n) eine kurze Steckkarte "eingeschleift". Das heißt, das Steu¬ erkabel wird unterbrochen und die Informationen müssen zu-

260 nächst den Weg über die Steckkarte nehmen. Auf dieser Kar¬ te befinden sich ein EPR0M sowie diverse Logikgatter und PALs. Diese können verhindern, daß ein schreibender Zugriff auf die angeschlossene (n) Festplatte (n) erfolgt. Die "Thunderbyte-Karte" kann, nur die gesamte Festplatte aus-

265 oder anschalten. Dies kann nur über einen auf der Karte befindlichen DIP Schalter geschehen, wobei dieser nur be¬ tätigt werden kann, wenn der Rechner aufgeschraubt wird. Desweiteren ist die Funktion der Karte nicht betriebssystem¬ unabhängig. Die "Thunderbyte-Karte" versucht, einen Virus

270 durch virenspezifische Handlungen in Systembereichen zu er¬ kennen. Sie versucht zu unterscheiden, ob ein Programm "gut" oder "böse" ist, also ein Virus sein könnte. Dies geschieht durch die softwaremäßige Überwachung von Systembereichen und Interruptvektoren. Mittlerweile sind jedoch einige Viren be-

275 kannt, die die "Thunderbyte-Karte" und Karten, die nach ei¬ nem solchen Verfahren arbeiten ohne Probleme umgehen können. Das grundlegende Problem besteht in dem angewandten Verfah¬ ren, ein Programm anhand seiner Handlungen als "gut" oder "böse" zu identifizieren.

280 Um die oben genannten Nachteile des Standes der Technik zur Verhinderung der Verbreitung der Computerviren abzustellen, ist es Aufgabe der Erfindung, eine Schaltungsanordnung zu schaffen mit der eine Infektion eines Rechnersystems durch Computerviren auszuschließen ist und damit die Verbreitung

285 von Computerviren verhindert wird, sowie eine bedienerfreund¬ liche und preiswerte Lösung zu finden, die betriebssystem¬ unabhängig einsatzfähig ist, wobei alle Komponenten des Rechners genutzt werden und kein Arbeitsspeicher oder Re¬ chenzeit des Digitalrechners gebraucht wird und die Schal-

290 tungsanordnung auch nicht gezielt durch Computerviren umgeh¬ bar ist.

Erfindungsgemäß wird die Aufgabe durch die im Patentan¬ spruch 1 angegebenen Merkmale gelöst. Bevorzugte Weiterbil¬ dungen der Erfindung ergeben sich aus den Unteransprüchen.

295 Die Vorteile der Erfindung bestehen darin, daß man in einem Computersystem mit einem wiederbeschreibbaren Massenspeicher einen Schutz gegen destruktive Bediener, Computerviren oder Trojanische Pferde sowie gegen Programmfehler, die Datenver¬ lust nach sich ziehen, erzeugen kann. Durch den Schutz von

300 einzelnen Sektoren auf Massenspeichermedien, die zu Daten oder Programmen gehören und durch den Schutz von bestimmten Systembereichen (z. B. Bootsektor, Partitionsektor) ist den Computerviren die Infektionsgrundlage genommen. Desweiteren wird so ein betriebssystemunabhängiger Schutz erreicht, der

305 sehr preiswert realisierbar ist. Die Ressourcen des Rechners werden nicht belastet, die Kontrolleinrichtung benötigt kei¬ nen Hauptspeicher des Rechners und keine Rechenzeit. Beson¬ ders geachtet wurde auf die Benutzerfreundlichkeit des Sys¬ tems, so muß der Bediener keine Entscheidungen fällen, nach-

310 dem er in seinem System alle ausführbaren Dateien schreibge¬ schützt hat. Durch die Anordnung des Systems kann für mehre¬ re Controllertypen ein Schutzsystem verwandt werden, weil die Schnittstelle am Massenspeichercontroller genormt ist und so den einzelnen Protokollen der verschiedenen Aufzeich-

315 nungsverfahren keine Beachtung geschenkt werden muß. Deswei¬ teren sind auch Systeme, die Massenspeichercontroller mit Cash besitzen ohne Datenverlust schützbar.

Sollten dennoch die Datenstrukturen auf einer Festplatte zer¬ stört werden, so können diese als geschützt gekennzeichneten

320 Strukturen ohne erheblichen Aufwand durch ein Programm im BIOS-Erweiterungs-ROM wieder rekonstruiert werden. Außerdem kann kein Programm (z. B. Computervirus) eine Änderung an als geschützt markierten Bereichen vornehmen, da der Versuch eines Programmes (Computervirus oder Trojaner), Änderungen

325 an den Einträgen in der Kontrolleinrichtung vorzunehmen, ein¬ deutig als illegal klassifiziert wird. Der Bediener muß sich durch die benutzerspezifische Handlung erst identifizieren bevor der Zugriff auf priorisierte Daten im Schutzsystem er¬ folgen kann. Desweiteren muß bei der technischen Realisierung

330 dieser Lösung kein Element der bestehenden Hardware des Rech¬ ners verworfen werden.

Deshalb ist eine ökonomische Lösung auch auf Kleinrechnersys¬ temen und Personalcomputern möglich. Die Erfindung wird nachstehend anhand der Figur 1 erläutert.

335 zur Zeit sind die meisten Computerviren auf PC Rechnern zu finden, hier ist der Bedarf nach einem Schutzsystem also am akutesten. Im folgenden ist unter einem Sektor immer die kleinste Zu-

Ordnungseinheit des entsprechenden Massenspeichers zu ver-

340 stehen, auch wenn diese anders genannt wird.

Die in Figur 1 dargestellte Schaltungsanordnung zum Schreib¬ schutz für einen externen Massenspeicher wird zur Verdeut¬ lichung auf einem Rechner vom TYP IBM AT gezeigt. Es sei je¬ doch betont, daß diese Schaltungsanordnung auch auf anderen

345 Rechnern anwendwar ist. Das System besteht aus einer Hardwa¬ re in Form eines Mikrocontrollersystems 1; 2; 3; 4; 5; 6; 7; 8 (nachstehend 1 bis 8 ausgewiesen) und einer Verwaltungs¬ software, die auf dem IBM PC läuft. Diese Verwaltungssoftwa¬ re wird nur dann aktiviert, wenn einer Kontrolleinrichtung 1;

350 2; 3; 4; 5; 6; 7; 8; 10; 11 Änderungen bezüglich der ge¬ schützten Bereiche auf dem Datenträger mitgeteilt werden sollen.

Alle Leitungen des IBM Bussystems sind an die Kontrollein¬ richtung angeschlossen. Die Kontrolleinrichtung besteht aus

355 einem Microcontrollersystem 1 bis 8, das aus einer Kommuni¬ kationseinheit 1 zum PC, aus den SRAM's (CMOS) 2, die durch den Akku 3 gepuffert werden, aus einer Aktivierungseinheit 4 sowie aus dem internen ROM 5, auf dem eine Firmware gespei¬ chert ist, aus der internen CPU 6, aus einem BIOS-Erweite-

360 rungs-ROM 7 für den IBM AT, aus dem Gatter 8 und aus den An¬ schlüssen Adressbus a, Datenbus b, Signalbus c mit der IOW- Leitung d Cgehört standardmäßig in den Signalbus c, wobei den Systembus a; b; c; d die Gesamtheit aller Signallei¬ tungen (a; b; c; d) bilden]).

365 Die Kontrolleinrichtung befindet sich zwischen dem IBM AT Bussystem (Gesamtheit aller Leitungen auf dem PC Bus beste¬ hend aus: Adressbus a; Datenbus b; Signalbus c und IOW- Lei¬ tung d) und dem Massenspeichercontroller 9 des Speichermedi¬ ums (z. B. Festplatte, optisches Laufwerk, holografischer

370 Speicher). Alle Leitungen des IBM Adress- a, Daten- b und Signalbusses c werden ohne Unterbrechung an den Massenspei- hercontroller 9 bis auf das IOW-Signal d des IBM PC Signal¬ busses (oder ähnliche Signale, die auf dem Systembus a; b; c;

d Auskunft über eine Schreiboperation an I/O-Adressen geben)

375 weitervermittelt. Dieses Signal wird abgetrennt und mit dem Gatter 8 so verbunden, daß der Ausgang des Gatters 8 an den Massenspeichercontroller 9 weitergeleitet wird. Ein Eingang an das Gatter 8 erfolgt von der IOW-Leitung d des IBM PCs. Der andere Anschluß des Gatters erfolgt an die Kommunika-

380 tionseinheit 1. So kann das Mikrocontrollersystem 1 bis 8 im Bedarfsfall die IOW-Leitung d desaktivieren, auch wenn sie auf dem PC Bus in aktiver Form anliegt. Die Aufgabe der Kom¬ munikationseinheit 1 besteht darin, alle Kommandos und Be¬ fehle, die an den Massenspeichercontroller 9 über das Bus-

385 system gesendet werden, mitaufzuzeichnen und bei der Akti¬ vierung von Befehlen, wie Sektor Write oder Format die ent¬ sprechenden Befehle an die interne CPU 6 weiterzusenden, um eine Überprüfung des zu schreibenden Bereiches einzuleiten. Ist der Bereich im internen SRAM 2 als geschützt gekenn-

390 zeichnet, auf den zugegriffen werden soll, so wird ein Flag von der Kommunikationseinheit 1 gesetzt und die IOW-Leitung d bleibt abgetrennt. Das bedeutet, daß der Massenspeicher¬ controller 9 diesen Befehl zum Schreiben einfach nicht er¬ hält. Wenn ein neuer Bereich geschützt wird, dann wird die-

395 ser zu schützende Bereich in die Liste der zu schützenden Be¬ reiche in die SRAM's 2 mit aufgenommen. Desweiteren erhält jeder geschützte Bereich eine besondere Kennung im SRAM 2, die Informationen über die Schreibberechtigung dieser Berei¬ che enthält. Anhand dieser Kennung dürfen diese Bereiche

400 von privilegierten Bedienern beschrieben werden, nachdem sie sich identifiziert haben. Die Identifikation setzt sich aus einem Identi ikationscode und einer Identifikationshandlung des privilegierten Bedieners zusammen. Dabei wird der Identi¬ fikationscode direkt an die Kontrolleinrichtung über das PC

405 Bussystem gesand. Ein solcher Code kann von einem Programm an die Kontrolleinrichtung gesandt werden. Bei der Bildung eines Codes zur Schreibberechtigung werden bestimmte Sicher¬ heitsregeln beachtet, die es einem Virus unmöglich machen, den Code in einem IBM AT, PS 2 oder R xxxx System zu erhal-

410 ten. Desweiteren muß sich der Bediener durch eine bestimmte Aktion identifizieren, die nur ihm zugänglich ist und durch kein Softwareprogramm erzeugt werden kann ( z. B. Umlegen eines Schalters 10). So kann sich kein Virus als Benutzer gegenüber der Kontrolleinrichtung ausgeben. Der SRAM 2 ist

415 in jedem Fall mit dem Akku 3 gepuffert und verliert seinen Inhalt auch nach dem Ausschalten des Rechners nicht. Wenn die Kontrolleinrichtung mit Spannung versorgt wird, lädt sich der Akku 3 automatisch auf.

Die Verarbeitungseinheit (CPU) 6 kann ein Mikroprozessor

420 sein, der mit einem internen ROM 5 ausgestattet ist. In diesem ROM 5 befinden sich die zur Kommunikation mit dem PC benötigten Programme sowie die Routinen zum Überprüfen und Aktualisieren der geschützten Bereiche. Wenn die Kontroll¬ einrichtung (z. B. in einen Massenspeichercontroller 9) in-

425 tegriert wird, dann fällt diese Einheit weg und wird durch eine einfache logische Schaltung im Massenspeichercontrol¬ ler 9 ersetzt, die nur nachprüft, ob der betreffende Sektor geschützt ist oder nicht. Die Kommunikation mit dem PC kann dann direkt über die Register des Massenspeichercontrollers

430 9 erfolgen. Der BIOS-Erweiterungs-ROM 7 wird aktiv, sobald der Rechner angeschaltet wird oder ein Warmstart durchge¬ führt wurde. Die Programme im BIOS-Erweiterungs-ROM 7 wer¬ den als erstes von der CPU ausgeführt. In dem BIOS-Erweite¬ rungs-ROM 7 wird der Anfangszustand der Kontrolleinheitüber-

435 prüft. Sollte der Schalter 10 zum Zeitpunkt der Aktivierung des Schutzsystems im offenen Zustand sein, so wird der Be¬ diener durch eine Bildschirmausgabe darauf hingewiesen, denn im offenen Zustand des Schalters 10 kann man der Kontroll¬ einrichtung Modifikationen bezüglich der zu schützenden

440 Sektoren mitteilen. Im BIOS-Erweiterungs-ROM 7 wird außer¬ dem das Booten von einem externen Speichermedium optimal verboten. Desweiteren überprüft das Programm im BIOS-Erwei¬ terungs-ROM 7, ob Veränderungen an den Einträgen der Sys¬ temdateien und den Einträgen in der FAT ( File Allocations

445 Table) vorgenommen wurden. Ist dies nicht der Fall, so wird das System gestartet. Anderenfalls werden die defekten Be¬ reiche anhand der abgelegten Sicherungskopien der FAT auf den als schreibgeschützt gekennzeichneten Massenspeicherbe¬ reich wieder hergestellt und eine Warnungsmeldung wird an

450 den Anwender ausgegeben. Die Aktivierungseinheit 4 gibt der internen CPU 6 ein Signal, wenn ein Schreibzugriff auf die Kontrolleinrichtung erlaubt ist. Dabei muß eine eindeutige Aktion vom Bediener ausgeführt werden, die nicht durch Soft¬ ware reproduzierbar ist. Dies kann so geschehen, das nach

455 dem Booten ein Verwaltungsprogramm auf dem PC an die Kommu¬ nikationseinheit 1 der Kontrolleinrichtung eine Befehlsse¬ quenz sendet und mitteilt, daß gleich neue zu schützende Sektoren eingetragen werden sollen. Wenn die Kontrolleiriheit diesen Befehl erhalten hat, so fragt die interne CPU 6 bei

460 der Aktivierungseinheit 4 an, ob diese Operation auch wirk¬ lich vom Bediener getätigt wurde. Der Bediener kann sich eindeutig identifizieren, indem er den Schalter 10 an der Kontrolleinrichtung bedient. Desweiteren kann der Bediener, statt mit dem Schalter 10, über die direkt an die Kontroll-

465 einrichtung mitangeschlossene Tastatur eine Kennung (gleich¬ zeitiges Drücken einer komplizierten Tastenkombination) an die Aktivierungseinheit 4 über einen Tastatureingang 11 senden. Diese Methode funktioniert nur bei Tastaturen, die durch die zentrale CPU nicht programmierbar sind. Bei stan-

470 dardmäßigen IBM AT, PS/2, R xxxx System ist eine Program¬ mierung der Tastaturen in dieser Weise nicht möglich. So kann die Aktivierungseinheit 4 über den Tastatureingang 11 einen eindeutigen Identifikationscode senden, der von der zentralen CPU des Dateiverarbeitungssystems ( z . B. IBM PC)

475 nicht beeinflußt werden kann. Dabei erfolgt eine hardware¬ mäßige Umleitung der Tastatur in die Kontrolleinrichtungund von dieser aus geht dann eine Verbindung in den Tastatur- eingang des originalen IBM PCs,ATs, PS/2 Modells oder ähn¬ liche Fabrikate weiter.

480 Sollen nun neue Dateien oder Programme geschützt oder ent-

schützt werden, so wird mit Hilfe eines Systemstartes das Verwaltungsprogramm im Speicher des Rechners zur Ausführung gebracht. Das Verwaltungsprogramm befindet sich vor dem System im Rechner und erlaubt ein Schützen und Entschützen von Sektorbereichen des Massenspeichermediums. Das Verwal¬ tungsprogramm ist während der normalen Funktion der Kon¬ trolleinrichtung nicht aktiv. Die Kontrolleinrichtung arbei¬ tet ohne ein Programm im RAM der zentralen CPU des IBM PCs.

Verwendete Bezugszeichen in der Figur 1;

1 Kommunikationseinheit

2 SRAMS

3 Akku

4 Aktivierungseinheit

5 interner ROM 6 interne CPU

7 BIOS-Erweiterungs-ROM

8 Gatter

9 Massenspeichercontroller

10 Schalter 11 Tastatureingang a Adressbus b Datenbus c Signalbus d IOW-Leitung a; b; c; d Systembus