Verfahren und Vorrichtung zur Datensicherung

Die Erfindung betrifft ein Verfahren zur Datensicherung nach dem Oberbegriff des Anspruchs 1 sowie auf eine Vorrichtung zur Durchführung des Verfahrens nach dem Oberbegriff des Anspruchs 12.

Die US 2019/0073313 A1 beschreibt ein Verfahren und eine Vorrichtung zur Datensicherung, wobei Daten von zumindest einem Host-Computer mittels eines oder mehrerer Controller auf eine Vielzahl von Speichereinheiten gespeichert werden. Die Controller sind derart konfiguriert, dass für jeden Schreibzugriff zu einer bestimmten Zeit eine eindeutige Kennung festgelegt wird und somit auch mehrere Schreibzugriffe auf die Speichereinheiten ermöglicht werden. Jeder Controller ist für einen bestimmten Speicherbereich einer Speichereinheit zuständig.

Zudem sind Verfahren bekannt, wobei Daten einer Datenquelle zur Datensicherung auf mehrere Speichereinheiten, wie zum Beispiel Festplatten, gespeichert werden. Dabei werden die Daten gleichzeitig auf mehrere Speichereinheiten gesichert, um eine Redundanz zu erzielen. Die Speichereinheiten sind nach dem Stand der Technik permanent „online“, d. h. bereit für einen Schreib- und/oder Lesezugriff. Dadurch besteht die Gefahr, dass die Speichereinheiten durch externes Laden von Schadsoftware beschädigt werden, was zu Datenverlust fuhren kann. Davon ausgehend liegt der vorliegenden Erfindung die Aufgabe zu Grunde ein Verfahren und eine Vorrichtung zur Datensicherung der eingangs genannten Art derart weiterzubilden, dass die Sicherheit der gespeicherten Daten erhöht wird.

Die Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 gelöst.

Gemäß der Erfindung ist vorgesehen, dass nur einzelne Speichereinheiten oder Gruppen von Speichereinheiten mittels eines Controllers mit der Datenquelle, wie zum Beispiel einem Server, verbunden werden, während ein Schreibzugriff auf die weiteren Speichereinheiten verhindert wird.

Der Erfindung liegt der Gedanke zugrunde, dass zu keinem Zeitpunkt mehr als eine Speichereinheit oder eine Gruppe von Speichereinheiten für den Schreibzugriff zur Verfügung steht.

Bevorzugt ist vorgesehen, dass insbesondere in einem Betriebsmodus, zumindest ein Schreibzugriff auf eine einzige Speichereinheit der Vielzahl von Speichereinheiten aktiviert und gleichzeitig ein Schreibzugriff auf die weiteren Speichereinheiten der Vielzahl der Speichereinheiten deaktiviert wird. Durch die Deaktivierung des Schreibzugriffs auf die Speichereinheiten, die zur Datensicherung nicht aktiv sind, wird verhindert, dass diese Speichereinheiten durch Laden und Ausfuhren von Schadsoftware beschädigt werden.

Besonders bevorzugt werden die Speichereinheiten selektiv, basierend auf Events oder zeitgesteuert nacheinander durch Schalten einer Datenverbindung und/oder Schalten der einzelnen Speichereinheit ein- und ausgeschaltet

Eine Eventsteuerung kann z. B. dadurch realisiert werden, dass initial ein Event: „OnDataStreamOpen()“ ausgelöst wird, um eine erste Speichereinheit der Vielzahl von Speichereinheiten in der Konfiguration zu aktivieren. Die erste Speichereinheit bleibt so lange aktiv, bis ein Kopiervorgang erfolgreich durchgelaufen ist. Anschließend, d. h. nach Beendigung des Kopiervorgangs, wird ein Event: „OnDataStreamClose()“ aufgerufen. Das Event deaktiviert die aktive Speichereinheit (z. B. Speichereinheit SP1). Optional werden zeitgleich alle weiteren Speichereinheiten deaktiviert, um die Sicherheit zu erhöhen. Anschließend wird erneut das Event „OnDataStreamOpen()“ aufgerufen und die nächste Speichereinheit, z. B. Speichereinheit SP2, entsprechend der Konfiguration aktiviert. Optional können zwischen dem Aufruf der Events Zeitabstände definiert werden, um die Sicherheit zu erhöhen. So könnte bspw. zwischen dem ersten ,,OnDataStreamOpen()“ und dem nächsten „OnDataStreamOpen()“ ein Zeitabstand von 24 Stunden definiert werden.

Eine Zeitsteuerung kann z. B. dadurch realisiert werden, dass basierend auf Zeitvorgaben eine Schaltung der Speichereinheiten stattfindet. In einem Beispielszenario mit einer täglichen Datensicherung würde Speichereinheit SP1 um 00:00 bis 23:58 aktiv werden und bleiben. Um 23:59 wird die aktive Speichereinheit deaktiviert. Optional werden zeitgleich alle Speichereinheiten deaktiviert, um die Sicherheit zu erhöhen. Basierend auf der Konfiguration wird die nächste Speichereinheit um 00:00 aktiviert.

Die Aktivierung oder Deaktivierung des Schreibzugriffs und/oder eines Lesezugriffs auf eine einzige Speichereinheit umfasst vorzugsweise die Aktivierung oder Deaktivierung des Schreibzugriffs und/oder eines Lesezugriffs auf eine Gruppe von Speichereinheiten, wobei eine Gruppe von Speichereinheiten separate physische Speichereinheiten, wie Festplatten, USB-Sticks, oder Speicherbereiche, wie Partitionen einer Festplatte, sein kann.

Eine besonders hohe Datensicherheit wird erreicht, wenn die Aktvierung oder Deaktivierung des Schreibzugriffs und/oder des Lesezugriffs durch eine Berechtigungslogik gesteuert wird, mittels der einem Benutzer oder einem Programm Rechte zum Durchfuhren von Schreibvorgängen und/oder Lesevorgängen auf die einzelnen Speichereinheiten gewährt oder entzogen, oder durch Aktivieren oder Deaktivieren jeweils einer Datenverbindung zwischen der Datenquelle und der jeweiligen Speichereinheit und/oder durch Aktivieren oder Deaktivieren der jeweiligen Speichereinheiten zugewiesen werden.

Durch die Berechtigungslogik wird die Möglichkeit eröffnet, einem Benutzer oder einem Programm Rechte derart zuzuweisen, dass z. B. ein Schreibvorgang zu einer bestimmten Zeit nur auf eine bestimmte Speichereinheit der Vielzahl der Speichereinheiten erlaubt wird. Ein Benutzer darf immer nur auf eine zugewiesene einzige Speichereinheit schreiben, während alle weiteren Speichereinheiten der Vielzahl der Speichereinheiten für den Benutzer oder das Programm gesperrt sind.

Die Aktivierung oder Deaktivierung der Datenverbindung oder der zumindest einen Speichereinheit kann mittels eines physischen oder logischen Schaltelementes erfolgen. Des Weiteren ist der Controller derart konfiguriert, dass der Schreibzugriff auf die einzelnen Speichereinheiten vorzugsweise im Betriebsmodus in zeitlicher Reihenfolge nacheinander erfolgt, wobei zu keinem Zeitpunkt mehr als eine einzige Speichereinheit für einen Schreibzugriff und/oder einen Lesezugriff aktiviert wird. Dadurch ist sichergestellt, dass während einer Datenspeicherung maximal eine der Vielzahl der Speichereinheiten angreifbar ist.

Zur weiteren Verbesserung der Sicherheit ist vorgesehen, dass nach einer Deaktivierung des Schreibzugriffs auf die einzige Speichereinheit optional alle Speichereinheiten deaktiviert werden, und dass erst nach der Deaktivierung aller Speichereinheiten entsprechend der Konfiguration des Controllers auf der Basis des Events oder der Zeitsteuerung ein neuer Schreibzugriff auf eine einzige Speichereinheit aktiviert wird.

Bei einer zeitgesteuerten, z. B. täglichen, Datensicherung ist vorgesehen, dass die Schreibzugriffe und/oder Lesezugriffe auf die jeweils einzige Speichereinheit zirkulierend gemäß der Konfiguration des Controllers aktiviert oder deaktiviert werden.

Vorzugsweise ist der Controller derart konfiguriert, dass vorzugsweise in einem Konfigurationsmodus und/oder vorzugsweise einem abgesicherten Modus ein Schreibzugriff und/oder ein Lesezugriff auf zumindest eine Speichereinheit der Vielzahl der Speichereinheiten durch eine Benutzerinteraktion manuell aktiviert wird.

Zur Konfiguration und/oder für den abgesicherten Modus wird vorzugsweise eine persönliche Bestätigung und/oder eine Authentifizierung eines Benutzers abgefragt, vorzugsweise eine interaktive Bestätigung und/oder Authentifizierung aus der Gruppe umfassend Erkennung biometrischer Eigenschaften des Benutzers, wie Gesichtserkennung, Fingererkennung, Iriserkermung oder Eingabe einer Kennung, wie TAN-Generator, ggf. in Verbindung mit einer Betätigung eines Schalters wie Schlüsselschalters oder RFID-Karte, Signaturkarte, Authentifizierungs-Applikationen.

Des Weiteren betrifft die Erfindung eine Vorrichtung zur Datensicherung, umfassend zumindest einen Controller, der ausgebildet ist, eine Datenkommunikation zwischen zumindest einer Datenverarbeitungseinheit, wie zum Beispiel einem Datenserver, und einer Vielzahl von Speichereinheiten oder Controllern zu steuern.

Dabei ist der Controller ausgebildet, entsprechend einer Konfiguration interne oder externe Schalteinheiten derart zu steuern, dass vorzugsweise in einem Betriebsmodus ein Schreibzugriff auf eine einzige Speichereinheit nur dann aktivieret ist, wenn gleichzeitig ein Schreibzugriff auf die weiteren Speichereinheiten der Vielzahl der Speichereinheiten deaktiviert ist.

Die interne oder externe Schalteinheit kann eine physische Schalteinheit sein, wie z. B. ein Schalter, mittels der die Datenkommunikation zu und/oder von der Speichereinheit physisch unterbrochen wird.

Alternativ kann der Controller eine Berechtigungslogik aufweisen, die ausgebildet ist, einem Benutzer oder einem Programm Rechte zuzuweisen, mittels der die Schreibvorgänge und/oder Lesevorgänge zu der Speichereinheit logisch gesteuert, insbesondere zugelassen oder gesperrt werden.

Auch besteht die Möglichkeit, dass die interne oder externe Schalteinheit eine Schalteinheit ist, mitels der die Speichereinheit selbst aktiviert oder deaktiviert wird. Folglich wird nicht die Datenverarbeitung an sich, sondern die Speichereinheit deaktiviert, so dass ein Schreib- und/oder Lesezugriff unmöglich ist.

Zur Aktivierung von verschiedenen Modi des Controllers, wie z. B. Betriebsmodus, Konfigurationsmodus und/oder abgesicherter Modus, ist vorgesehen, dass der Controller eine Authentifizierungseinheit zur Authentifizierung eines Benutzers aufweist, wobei der Controller nach Authentifizierung des Benutzers aus einem Betriebsmodus z. b. in einen Konfigurationsmodus und/oder einen abgesicherten Modus schaltbar ist, in dem ein Schreibzugriff und/oder ein Lesezugriff auf eine einzige Speichereinheit oder eine Vielzahl von Speicherelementen aktiviert werden kann.

Vorzugsweise ist die Speichereinheit ein Verbund mehrerer Datenträger, ein einziger Datenträger und/oder zumindest eine Teilmenge oder zumindest eine Partition eines Datenträgers, wie zum Beispiel eine Festplatte, ein USB-Stick, eine Speicherkarte, ein Magnetband, eine Partition eines Speichermediums oder RAID (Redundant Array of Identical Disks).

Weitere Einzelheiten, Vorteile und Merkmale der Erfindung ergeben sich nicht nur aus den Ansprüchen, den diesen zu entnehmenden Merkmalen - für sich und/oder in Kombination sondern auch aus der nachfolgenden Beschreibung eines der Zeichnungen zu entnehmenden bevorzugten Ausführungsbeispiels.

Es zeigen:

Fig. 1 ein Blockschaltbild eines Back-up-Systems im Konfigurationsmodus,

Fig.2 eine Tabelle mit Schaltzuständen der Speichereinheiten zu verschiedenen Zeitpunkten,

Fig.3 ein Blockschaltbild des Back-up-Systems im Zeitpunkt t=0,

Fig.4 ein Blockschaltbild des Back-up-Systems zum Zeitpunkt t=1 ,

Fig.5 ein Blockschaltbild des Back-up-Systems zum Zeitpunkt t=3 und

Fig. 6 ein Blockschaltbild des Back-up-Systems im abgesicherten Modus.

Fig. 1 zeigt rein schematisch eine Vorrichtung DSV zur Datensicherung, umfassend eine Steuereinheit SE mit zumindest einem Controller bzw. Speichercontroller SC, der ausgebildet ist, eine Datenkommunikation zwischen zumindest einer Datenverarbeitungseinheit DVE, wie zum Beispiel einem Datenserver, und einer Vielzahl von Speichereinheiten S1 .... S7 zu steuern. Der Speichercontroller SC ist gemäß der Erfindung ausgebildet, entsprechend einer Konfiguration interne oder externe Schalteinheiten SEI ... SE7 derart zu steuern, dass in einem Betriebsmodus ein Schreibzugriff W und/oder ein Lesezugriff R auf eine einzige Speichereinheit nur dann aktivieret ist, wenn gleichzeitig ein Schreibzugriff W und/oder ein Lesezugriff R auf die weiteren Speichereinheiten der Vielzahl der Speichereinheiten S1 ... S7 deaktiviert ist. Die Datenverarbeitungseinheit DVE ist über eine Datenverbindung DV mit einem Dateneingang DE des Speichercontrollers SC gekoppelt. Die Datenverbindung DV kann kabelgebunden oder kabellos ausgebildet sein. An dem Dateneingang DE des Speichercontrollers SC sind eine Vielzahl von physischen oder logischen Schalteinheiten SE1 ... SE7 gekoppelt, über die jeweils eine Datenverbindung DV1 ... DV7 zu jeweils einer Speichereinheit S1 ... S7 aktivierbar oder deaktivierbar ist. In diesem Zusammenhang ist anzumerken, dass eine Speichereinheit S1 ... S7 aus einer Gruppe einzelner Speichereinheiten bestehen kann. Die Gruppe der Speichereinheiten kann wiederum mittels eines Speichercontrollers (nicht dargestellt) gesteuert werden. Die Speichereinheit kann ein Speichermedium, wie zum Beispiel eine Festplatte, ein USB-Stick, eine Speicherkarte, ein Magnetband oder eine Partition eines Speichermediums sein.

Die interne oder externe Schalteinheit SE1 ... SE7 ist im Ausfuhrungsbeispiel eine physische Schalteinheit, wie z. B. ein Schalter, mittels der die Datenkommunikation zu und/oder von der Speichereinheit S1 ... S7 physisch unterbrochen wird. Alternativ kann die interne oder externe Schalteinheit auch eine logische Schalteinheit sein, in der z. B. die Berechtigungslogik implementiert ist, mittels der die Datenkommunikation zu und/oder von der Speichereinheit logisch auf der Basis einer Berechtigung gesteuert, insbesondere zugelassen oder gesperrt wird.

Jeder Speichereinheit S1 .... S7 ist eine der Schalteinheiten SEI .... SE7 zugeordnet, die in dem Speichercontroller SC angeordnet sind. Der Speichercontroller SC ist eingerichtet, entsprechend einer Konfiguration die Schalteinheiten SEI ... SE7 zu steuern. Die Steuerung kann auf der Basis von Ereignissen (Events) oder zeitgesteuert erfolgen.

Gemäß der Erfindung ist der Speichercontroller SC ausgebildet, einen Speicherzugriff W und/oder einen Lesezugriff L auf eine einzige der Speichereinheiten S1 ... S7 zu aktivieren, während gleichzeitig ein Speicherzugriff W und/oder ein Lesezugriff R auf die weiteren Speichereinheiten deaktiviert ist. Mit anderen Worten ist vorgesehen, dass eine einzige Speichereinheit mit dem Datenserver verbunden ist und parallele Verfügbarkeiten, insbesondere Speicherzugriffe auf mehrere Speichereinheiten zum gleichen Zeitpunkt untersagt sind. Gemäß der Erfindung werden die Speichereinheiten S1 ... S7 nacheinander, basierend auf Ereignissen oder zeitgesteuert mittels der Schalteinheiten SEI ... SE7 ein- und ausgeschaltet. Ferner weist die Steuereinheit SE eine Betätigungs- und/ Authentifizierungseinrichtung BAE auf, mittels der der Speichercontroller SC in verschiedene Betriebsmodi, beispielsweise Konfigurationsmodus, Betriebsmodus oder abgesicherter Modus, geschaltet werden kann.

Fig. 1 zeigt den Speichercontroller SC in einem Konfigurationsmodus. In diesem Modus können Konfigurationseinrichtungen, die für die Ansteuerung der einzelnen Speichereinheiten S1 ... S7 relevant sind, durchgeführt werden. Die Ansteuerung der einzelnen Speichereinheiten kann auch als Speicherkapselung bezeichnet werden. Zur Konfigurationseinrichtung ist eine persönliche Betätigung der Betätigungs- und/oder Authentifizierungseinrichtung BAE durch einen Benutzer erforderlich. Die Betätigungseinrichtung kann beispielsweise ein Schalter, wie beispielsweise Schlüsselschalter, sein. Alternativ oder zusätzlich zu der persönlichen Betätigung eines Hardwareschalters kann eine Authentifizierungseinheit vorgesehen sein, mittels der zusätzlich eine Mehrfaktor- Authentifizierung durchführbar ist. Die Authentifizierung kann auf biometrischen Daten des Benutzers, wie beispielsweise Finger-, Gesichts- oder Iriserkennung, basieren oder durch Eingabe oder Lesen einer persönlichen ID.

Im Konfiguration-Modus kann eine oder mehrere Datenverbindungen DV1 ... DV7 zu einer oder mehreren der Speichereinheiten S1 ... S7 durch den Benutzer durch manuelles Schalten der Schalteinheiten SEI ... SE7 aktiv bzw. online geschaltet werden, so dass ein Lese- und/oder ein Schreibzugriff möglich ist.

Fig. 2 zeigt rein beispielhaft eine Zeitsteuerung der Speichereinheiten S1 ... S7 zu den Zeitpunkten t = 0 bis t = 14, wobei die Datenverbindungen DV1 ... DV7 zwischen dem Speichercontroller SC und den einzelnen Speichereinheiten S1 ... S7 bzw. der Status der einzelnen Speichereinheiten S1 ... S7 mit „offline“ bzw. „online“ bezeichnet sind. „Offline“ bedeutet, dass auf die Speichereinheit S1 ... S7 ein Lese- und Schreibzugriff nicht möglich ist. „Online“ bedeutet, dass ein Lese- und Schreibzugriff auf die entsprechende Speichereinheit S1 ... S7 möglich ist.

Fig. 3 zeigt den Speichercontroller SC zum Zeitpunkt t-0, zu dem alle Speichereinheiten S1 ... S7 „offline“ geschaltet sind. Fig. 4 zeigt den Speichercontroller SC zum Zeitpunkt t=1, zu dem ausschließlich die Speichereinheit S1 „online“ geschaltet ist. Gemäß der Erfindung ist vorgesehen, dass in dem Betriebsmodus ausschließlich ein Schreibzugriff auf eine einzige Speichereinheit S1 möglich ist, während die weiteren Speichereinheiten S2 ... S7 „offline“ geschaltet sind. Die Speichereinheit S1 ist über den Speichercontroller SC und die Schalteinheit SEI mit der Datenverarbeitungseinheit DVE verbunden. Ein von der Datenverarbeitungseinheit DVE über die Datenverbindung DV gesendeter Datenstrom wird durch den Speichercontroller SC verwaltet. Während im Ausgangszustand zum Zeitpunkt t = 0 gemäß Fig. 2 alle Speichereinheiten S1 ... S7 offline sind mit der Folge, dass der Datenstrom die Speichereinheiten S1 ... S7 nicht erreichen kann, weder lesend noch schreibend.

Auf der Basis von Ereignissen (Events) bzw. gemäß einer Konfiguration werden die Schalteinheiten SE1 ... SE7 des Speichercontrollers SC geschaltet, um die einzelnen Speichereinheiten S1 ... S7 mit dem Datenserver DS zu verbinden.

Zum Zeitpunkt t = 1 ist ausschließlich die Schalteinheit SE1 geschaltet, so dass die Datenverbindung zu der Speichereinheit S1 aktiv ist, d.h., die Speichereinheit S1 ist online geschaltet. Somit besteht eine Datenverbindung zwischen der Datenverarbeitungseinheit DVE über die Schalteinheit SEI zu der Speichereinheit S1. In diesem Zustand kann die Datenverarbeitungseinheit DVE auf die Speichereinheit S1 zugreifen und Lese- sowie Schreibaktionen durchführen. Alle weiteren Speichereinheiten S2 ... S7 sind zu diesem Zeitpunkt „offline“ bzw. deaktiviert bzw. es besteht keine Möglichkeit, Lese- oder Schreibaktionen auf diesen Speichereinheiten S2 ... S7 durchzuführen.

Wenn der Schreib- und/oder Lesezugriff auf die Speichereinheit S1 abgeschlossen ist, d.h. z.B. die Datensicherung eines Tages beendet ist, werden nach Auflösung des entsprechenden Events zunächst erneut alle Speichereinheiten S1 ... S7 offline geschaltet. Somit entspricht der Zustand zum Zeitpunkt t = 2 dem Zustand t = 0 gern. Fig. 3. Dadurch wird gewährleistet, dass zu keinem Zeitpunkt mehr als eine einzige der Speichereinheiten S1 ... S7 für den Speicherzugriff zur Verfügung steht.

Fig. 5 zeigt den Speichercontroller SC zu einem Zeitpunkt t = 3, in dem ausschließlich die Speichereinheit S2 online geschaltet ist. Dies erfolgt durch Aktivieren der Schalteinheit SE2 durch den Speichercontroller SC. Somit besteht eine Datenverbindung DV2 von der Datenverarbeitungseinheit DVE über die Schalteinheit SE2 des Speichercontrollers zur Speichereinheit S2. In diesem Zustand kann die Datenverarbeitungseinheit DVE auf die Speichereinheit S2 zugreifen und Lese- und/oder Schreibaktionen durchfuhren. Alle weiteren Speichereinheiten S1, S3 ... S7 sind zu diesem Zeitpunkt „offline“ bzw. es besteht keine Möglichkeit, Lese- und/oder Schreibaktionen auf diesen Speichereinheiten durchzufuhren.

Nach Abschluss des Schreib- und/oder Lesezugriffs auf die Speichereinheit S2 werden sämtliche Speichereinheiten S1 ... S7, wie in Fig. 3 dargestellt, offline geschaltet. Dadurch ist gewährleistet, dass zu keinem Zeitpunkt mehr als eine der Speichereinheiten S1 ... S7 für den Schreibzugriff zur Verfügung steht.

Nachdem die letzte Speichereinheit, beispielsweise die Speichereinheit S7, offline geschaltet wurde, wird das Verfahren wiederholt und startet bei dem Zustand zum Zeitpunkt t = 0 erneut. Dies bedeutet, dass die Speichereinheiten S1 ... S7 zirkulierend entsprechend der Schaltlogik online bzw. offline geschaltet werden und zur Verfügung stehen, wie dies in Fig. 2 dargestellt ist.

Fig. 6 zeigt den Speichercontroller SC in einem abgesicherten Modus. In diesem Modus sind die Schalteinheiten SE1 ... SE7 derart geschaltet, dass ein Lesezugriff auf alle Speichereinheiten S1 ... S7 aktiviert ist. Zur Aktivierung des abgesicherten Modus ist eine persönliche Betätigung der Betätigungs- und/oder Authentifizierungseinrichtung BAE erforderlich. Alternativ kann zusätzlich zu der persönlichen Betätigung eines Funktionstasters eine Authentifizierung erforderlich sein, beispielsweise aus der Gruppe Erkennung biometrischer Daten, wie Gesichtserkennung, Fingererkennung, Iriserkennung oder Eingabe einer Kennung, wie TAN-Generator, bzw. Authentifizierungstechniken wie RFID-Cards, Smartcards sowie Authentifizierungsapplikationen. Grundsätzlich besteht im abgesicherten Modus eine eingeschränkte Verbindung zu allen Speichereinheiten S1 ... S7 und es können lediglich Lesezugriffe durchgefuhrt werden.