Mit Verschlüsselung und Zugriffskontrolle:

Soft'er Datenschutz

11.03.1977

NEUSS - Die Einsatzschwerpunkte des von dem EDV-Beratungsunternehmen Apollo entwickelten Datensicherungssystems APOS liegen bei der Realisierung der gesetzlich vorgeschriebenen Maßnahmen bezüglich der automatischen Verarbeitung personenbezogener Daten sowie bei der Berechtigungsprüfung, Protokollierung, Verschlüsselung, Programm-Folgekontrolle und Erstellung von Abfrage-Statistiken. Der Apollo-Geschäftsführer Jaster glaubt mit seinem Programm zwei Drittel der Forderungen abdecken zu können, die in der Anlage zu Paragraph 6 des BDSG und in den BDSG- Vorschriften bezüglich Benachrichtigung, Auskunft, Berichtigung, Sperrung, Löschung, Kostenermittlung, Übersichtserstellung, Verpflichtung und Schulung, Überwachung der ordnungsgemäßen Anwendung der DV-Programme sowie der Meldepflicht enthalten sind.

Pseudo-Zufall und Schlüsselverzeichnis

Grundlage des Systems ist eine index-sequentielle Datei, die vier unterschiedliche Satzarten für jeweils ein Programm-, Datei-, Benutzer- und Protokoll-Verzeichnis enthält. Um unbefugte Kenntnisnahme und Veränderungen zu verhindern, ist die Datei nach folgendem Verfahren verschlüsselt: Aus einem vierstelligen Code, den der Anwender im Datei-Verzeichnis festlegt, wird eine Pseudo-Zufallszahl in der Länge des zu verschlüsselnden Datenbereiches generiert und dafür eingesetzt. Die verschlüsselten Daten werden dann in einer 250stelligen Tabelle übersetzt. Das Programm-Verzeichnis enthält für jedes Anwendungsprogramm, das mit gesicherten Daten arbeitet eine Eintragung mit Angaben wie Aufruf-Namen, Passwords, Verweis auf das Datei-Verzeichnis, Verschlüsselungsblöcke und einen Programm-Informtionsbereich. In das Datei-Verzeichnis werden für jede gesicherte Datei Verschlüsselungsblöcke, Aufrufname des benutzenden Programmes sowie Datum und Uhrzeit des letzten Aufrufes geschrieben. Im Benutzer-Verzeichnis wird für jeden Benutzer der Name und andere persönliche Angaben sowie ein Password notiert. Für jeden Lauf eines Anwendungsprogrammes, das mit gesicherten Dateien arbeitet und für jeden Aufrufversuch wird ein Eintrag im Protokoll-Verzeichnis vorgenommen. Eingetragen werden beispielsweise Benutzer- und Anwendungsprogrammname, Datum und Uhrzeit des Auftrages, logischer Terminalname sowie unberechtigte Aufrufversuche.

Zugriffskontrolle mit Ausweisverfahren

Der Zugriff zu gesicherten Daten ist nur nach positivem Ergebnis der Zugriffskontrolle möglich, die mit Hilfe eines Ausweisverfahrens durchgeführt wird. Ein "Ausweis" besteht aus den drei Elementen Zugriffsebene, dazugehörige Prüfziffer sowie den Zugriffsebenen frei zuzuordnende Passwords. Bei der Prüfziffernvergabe zur entsprechenden Zugriffsebene wird von einem hierarchisch aufsteigenden Schwierigkeitsgrad ausgegangen, so daß beispielsweise dem Datenschutzbeauftragten die höchste Zugriffsebene 9 zugeordnet werden kann.

APOS ist in Assembler geschrieben, läuft unter den Betriebssystemen BS 1000, OS, DOS und benötigt selbst 30 KB Hauptspeicher beziehungsweise 4 KB Hauptspeicher für jeden Lauf eines Anwendungsprogrammes. Der Preis für die OS beziehungsweise BS 1000 (über 256 KB) Version beträgt 44 400 Marks. Die DOS beziehungsweise BS 1000 (unter 256 KB) Version kostet 26 640 Mark. Die Module für DB-Anwendungen und Zugriffsstatistiken kosten 16 650/11 100 Mark. uk