[go: up one dir, main page]

DE10340064A1 - Anordnung und Verfahren zur Erfassung biometrischer Daten - Google Patents

Anordnung und Verfahren zur Erfassung biometrischer Daten Download PDF

Info

Publication number
DE10340064A1
DE10340064A1 DE10340064A DE10340064A DE10340064A1 DE 10340064 A1 DE10340064 A1 DE 10340064A1 DE 10340064 A DE10340064 A DE 10340064A DE 10340064 A DE10340064 A DE 10340064A DE 10340064 A1 DE10340064 A1 DE 10340064A1
Authority
DE
Germany
Prior art keywords
biometric data
data
processing unit
access
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10340064A
Other languages
English (en)
Inventor
Werner Kampert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Priority to DE10340064A priority Critical patent/DE10340064A1/de
Publication of DE10340064A1 publication Critical patent/DE10340064A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/32Individual registration on entry or exit not involving the use of a pass in combination with an identity check
    • G07C9/37Individual registration on entry or exit not involving the use of a pass in combination with an identity check using biometric data, e.g. fingerprints, iris scans or voice recognition
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61BDIAGNOSIS; SURGERY; IDENTIFICATION
    • A61B5/00Measuring for diagnostic purposes; Identification of persons
    • A61B5/0002Remote monitoring of patients using telemetry, e.g. transmission of vital signals via a communication network
    • A61B5/0031Implanted circuitry
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61BDIAGNOSIS; SURGERY; IDENTIFICATION
    • A61B5/00Measuring for diagnostic purposes; Identification of persons
    • A61B5/24Detecting, measuring or recording bioelectric or biomagnetic signals of the body or parts thereof

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Databases & Information Systems (AREA)
  • Biophysics (AREA)
  • Pathology (AREA)
  • Human Computer Interaction (AREA)
  • Heart & Thoracic Surgery (AREA)
  • Molecular Biology (AREA)
  • Surgery (AREA)
  • Animal Behavior & Ethology (AREA)
  • Public Health (AREA)
  • Veterinary Medicine (AREA)
  • Storage Device Security (AREA)

Abstract

Anordnung, insbesondere medizinisches Gerät, zum Erfassen biometrischer Daten eines Individuums (1) mit einer ersten Erfassungseinrichtung (2) zur Erfassung erster biometrischer Daten und einer mit der ersten Erfassungseinrichtung (2) verbundenen Sicherheitseinrichtung (3), die eine Verarbeitungseinheit (3.1) und einen damit verbundenen ersten Speicher (3.2) umfasst, wobei in dem ersten Speicher (3.2) eine dem Individuum (1) zugeordnete erste Identifikation gespeichert ist und die Verarbeitungseinheit (3.1) zum manipulationssicheren Verknüpfen der ersten biometrischen Daten mit der ersten Identifikation ausgebildet ist. Verfahren zur Konfiguration einer solchen Anordnung sowie entsprechendes Verfahren zum Erfassen biometrischer Daten eines Individuums (1).

Description

  • Die vorliegende Erfindung betrifft eine Anordnung, insbesondere ein medizinisches Gerät, zum Erfassen biometrischer Daten eines Individuums mit einer ersten Erfassungseinrichtung zur Erfassung erster biometrischer Daten und einer mit der ersten Erfassungseinrichtung verbundenen Sicherheitseinrichtung, die eine Verarbeitungseinheit und einen damit verbundenen ersten Speicher umfasst. Sie betrifft weiterhin ein entsprechendes Verfahren zum Erfassen biometrischer Daten sowie ein Verfahren zur Konfiguration einer solchen Anordnung.
  • Im human- bzw. veterinärmedizinischen Bereich werden häufig biometrische Daten eines Individuums, also eines Menschen oder eines Tieres, erfasst, gespeichert und gegebenenfalls zur weiteren Verwendung aufbereitet. Insbesondere in der modernen Diagnostik gewinnt dabei die einfache Verfolgung und schnelle bzw. frühzeitige Erkennung von Veränderungen solcher wiederholt erfasster biometrischer Daten immer größere Bedeutung. So lassen beispielsweise Veränderungen im Elektrokardiogramm (EKG) eines Patienten über einen bestimmten Zeitraum auf bestimmte Krankheitsbilder schließen. Je früher diese erkannt werden, desto früher kann eine geeignete Therapie eingeleitet werden.
  • Der Begriff biometrische Daten soll dabei im Sinne der vorliegenden Anmeldung jegliche Daten umfassen, die für einen physiologischen Zustand des betreffenden Individuums charakteristisch sind. Hierbei kann es sich sowohl um Daten handeln, die aus direkt am Körper des Individuums abgegriffenen Signalen generiert wurden, wie dies beispielsweise bei EKG-Daten aber auch bei Aufnahmen mittels Computertomografie (CT) oder Magnetresonanztomografie (MRT) der Fall ist. Ebenso kann es sich aber auch um Daten handeln, die aus der Analyse von Proben ermittelt wurden, die dem Individuum entnommen wurden, wie dies beispielsweise bei Messungen des Blutzuckerspiegels aus Blutproben der Fall ist.
  • Eine gattungsgemäße Anordnung zum Erfassen biometrischer Daten ist beispielsweise aus der US 6,587,945 B1 bekannt. Bei dieser Anordnung werden unter anderem biometrische Daten, wie beispielsweise Elektrokardiogramme, CT- oder MRT-Scans oder dergleichen, von der die biometrischen Daten erfassenden Erfassungseinheit über einen sicheren Kanal an einen sicheren Server übermittelt. Der Server verknüpft diese biometrischen Daten dann manipulationssicher mit einer Identifikation der Erfassungseinheit, welches diese Daten er stellt hat. Hierzu kombiniert er die biometrischen Daten mit der Identifikation der Erfassungseinheit zu einem Datensatz, aus dem mittels einer so genannten Hash-Funktion ein so genannter Nachrichtenkern generiert wird. Aus diesem Nachrichtenkern wird eine digitale Signatur gebildet, indem er mit einem geheimen Schlüssel des Servers verschlüsselt wird. Diese digitale Signatur kann zu einem späteren Zeitpunkt unter Verwendung des zugehörigen öffentlichen Schlüssels des Servers in bekannter Weise verifiziert werden. Wurden zwischenzeitlich die zugehörigen biometrischen Daten oder die zugehörige Identifikation der Erfassungseinheit beabsichtigt oder unbeabsichtigt verändert, schlägt diese Verifikation fehl. Mit der Hilfe der digitalen Signatur ist somit erkennbar, ob Manipulationen an den Daten vorgenommen wurden.
  • Die bekannte Anordnung weist allerdings den Nachteil auf, dass die Zuordnung der biometrischen Daten zum jeweiligen Patienten, sofern überhaupt, erst zu einem vergleichsweise späten Zeitpunkt über entsprechende Konkordanzlisten oder dergleichen erfolgt. Hier besteht ein vergleichsweise hohes Fehler- bzw. Manipulationsrisiko, welches nicht akzeptabel ist. Insbesondere besteht für den Fall des Verlusts einer solchen Konkordanzliste das Risiko, dass eine große Anzahl biometrischer Daten, die für unterschiedliche Patienten erfasst wurden, nicht mehr den Patienten zugeordnet werden kann.
    •
  • Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde, eine Anordnung bzw. ein Verfahren der eingangs genannten Art zur Verfügung zu stellen, welche bzw. welches die oben genannten Nachteile nicht oder zumindest in geringerem Maße aufweist und insbesondere eine einfache und zuverlässige Zuordnung der erfassten biometrischen Daten zu dem zugehörigen Individuum ermöglichen.
  • Die vorliegende Erfindung löst diese Aufgabe ausgehend von einer Anordnung gemäß dem Oberbegriff des Anspruchs 1 durch die im kennzeichnenden Teil des Anspruchs 1 angegebenen Merkmale. Sie löst diese Aufgabe weiterhin ausgehend von einem Verfahren gemäß dem Oberbegriff des Anspruchs 25 durch die im kennzeichnenden Teil des Anspruchs 25 angegebenen Merkmale. Sie löst diese Aufgabe weiterhin ausgehend von einem Verfahren gemäß dem Oberbegriff des Anspruchs 43 durch die im kennzeichnenden Teil des Anspruchs 43 angegebenen Merkmale.
  • Der vorliegenden Erfindung liegt die technische Lehre zu Grunde, dass man eine einfache und zuverlässige Zuordnung der erfassten biometrischen Daten zu dem zugehörigen Individuum erzielt, wenn die Sicherheitseinrichtung eine dem Individuum zugeordnete erste Identifikation manipulationssicher mit den ersten biometrischen Daten verknüpft. Hierdurch ist in vorteilhafter Weise zu einem beliebigen Zeitpunkt möglich, die Zuordnung zwischen den biometrischen Daten und dem jeweiligen Individuum zuverlässig nachzuvollziehen.
  • Bei der erfindungsgemäßen Anordnung ist hierzu vorgesehen, dass in dem ersten Speicher eine dem Individuum zugeordnete erste Identifikation gespeichert ist und die Verarbeitungseinheit zum manipulationssicheren Verknüpfen der ersten biometrischen Daten mit der ersten Identifikation ausgebildet ist.
  • Bei den erfassten biometrischen Daten kann es sich um einzelne Erfassungswerte einer bestimmten biometrischen Erfassungsgröße handeln, die von der Erfassungseinrichtung erfasst werden und jeweils mit der ersten Identifikation verknüpft werden. So kann es sich beispielsweise um einen einzelnen Körpertemperaturwert handeln, der zu einem bestimmten Zeitpunkt gemessen und mit der ersten Identifikation verknüpft wird. Um den Berechnungsaufwand und das Datenvolumen gering zu halten, können aber auch zeitliche Sequenzen solcher biometrischer Erfassungswerte in einem gemeinsamen Datensatz zusammengefasst werden, der dann mit der ersten Identifikation verknüpft wird.
  • Die manipulationssichere Verknüpfung der biometrischen Daten mit der ersten Identifikation kann grundsätzlich in beliebiger geeigneter Weise erfolgen. Vorzugsweise ist die Verarbeitungseinheit zum manipulationssicheren Verknüpfen der ersten biometrischen Daten mit der ersten Identifikation unter Verwendung kryptographischer Mittel ausgebildet. Hier können z. B. so genannte MACs (Message Authentification Codes) Anwendung finden. Hierbei wird beispielsweise aus den biometrischen Daten, der ersten Identifikation und einem Geheimnis, in der Regel einem geheimen Schlüssel der Sicherheitseinrichtung, ein Datensatz gebildet, aus dem dann mit einem Hash-Algorithmus (z. B. SHA-1, SHA-2, MD-5, HAVAL etc.) ein den MAC bildender Nachrichtenkern generiert wird.
  • Wegen des einfacheren Schlüsselmanagements im Rahmen so genannter Public-Key-Infrastrukturen (PKI) finden jedoch bevorzugt digitale Signaturen Anwendung. So wird vorzugsweise über einem ersten Datensatz, der die ersten biometrischen Daten und die erste Identifikation enthält, eine erste digitale Signatur gebildet, wie dies eingangs bereits erläutert wurde.
  • Bei bevorzugten Varianten der erfindungsgemäßen Anordnung ist vorgesehen, dass in dem ersten Speicher eine für die erste Erfassungseinrichtung charakteristische erste Erfassungseinrichtungskennung gespeichert ist. Weiterhin ist die Verarbeitungseinheit zum Verknüpfen der ersten biometrischen Daten mit der ersten Erfassungseinrichtungskennung ausgebildet. Hierdurch ist in vorteilhafter Weise nicht nur die dauerhafte Zuordnung der biometrischen Daten zu dem jeweiligen Individuum sondern auch zu der Erfassungseinrichtung gewährleistet, welche die biometrischen Daten erfasst hat.
  • Die Verknüpfung erfolgt auch hier vorzugsweise wieder manipulationssicher. Dies kann bei besonders einfach zu realisierenden Varianten der Erfindung einfach dadurch erzielt werden, dass die erste Erfassungseinrichtungskennung in den oben genannten ersten Datensatz einbezogen wird, über den dann die erste digitale Signatur erstellt wird. Hierbei kann weiterhin auch eine Kennung für die biometrische Erfassungsgröße aufgenommen werden, welche von der ersten Erfassungseinrichtung erfasst wird.
  • Bei weiteren vorteilhaften Ausgestaltungen der erfindungsgemäßen Anordnung wird wenigstens ein bei der Erfassung der ersten biometrischen Daten vorherrschender Erfassungsparameter erfasst und mit den ersten biometrischen Daten verknüpft. Hierzu ist eine Parametererfassungseinrichtung zur Erfassung wenigstens eines bei der Erfassung der ersten biometrischen Daten vorherrschenden Erfassungsparameters vorgesehen. Weiterhin ist die Verarbeitungseinheit zum Verknüpfen der ersten biometrischen Daten mit dem Erfassungsparameter ausgebildet.
  • Bei dem Erfassungsparameter kann es sich um einen beliebigen Parameter handeln, der die Gegebenheiten bei der Erfassung der biometrischen Daten kennzeichnet. So kann es sich um einen beliebigen Zustandsparameter der ersten Erfassungseinrichtung handeln. Ebenso kann es sich um einen Zustandparameter der Umgebung des Individuums bei der Erfassung handeln, wie beispielsweise Temperatur, Luftdruck etc. Schließlich kann es sich bei den Erfassungsparameter aber auch um den Standort der ersten Erfassungseinrichtung und damit des Individuums handeln. Dieser kann über geeignete Mittel, wie ein GPS-Modul oder dergleichen, erfasst werden. Insbesondere im Zusammenhang mit der medizinischen Überwachung von Tieren, beispielsweise bei Tiertransporten aber auch im Zusammenhang mit dem Herkunftsnachweis, kann die zusätzliche Protokollierung des Standortes besondere Bedeutung haben.
  • Es versteht sich, dass es gegebenenfalls ausreichen kann, wenn nur ein einzelner Wert dieses Erfassungsparameters mit den ersten biometrischen Daten verknüpft wird. In der Regel werden jedoch Erfassungsparametersequenzen über einem bestimmten Zeitraum erfasst und in ein entsprechendes Erfassungsparameterprotokoll geschrieben, welches dann mit den ersten biometrischen Daten verknüpft wird. Es versteht sich natürlich, dass auch mehrere unterschiedliche Erfassungsparameter erfasst und dann, in der Regel kombiniert mit einer entsprechenden Kennung für den jeweiligen Erfassungsparameter, mit den ersten biometrischen Daten verknüpft werden können.
  • Die Protokollierung und Verknüpfung solcher Erfassungsparameter kann in vorteilhafter Weise bei der Beurteilung der Qualität der biometrischen Daten und damit bei deren Bewertung herangezogen werden. Herrschten beispielsweise bei der Erfassung der biometrischen Daten extreme Umgebungsbedingungen, beispielsweise extreme klimatische Bedingungen, so sind die biometrischen Daten in der Regel anders zu bewerten als im Fall des Vorherrschens von Normbedingungen.
  • Die Verknüpfung erfolgt auch hier vorzugsweise wieder manipulationssicher. Dies kann wiederum einfach dadurch erzielt werden, dass der Erfassungsparameter bzw. das Erfassungsparameterprotokoll in den oben genannten ersten Datensatz einbezogen wird, über den dann die erste digitale Signatur erstellt wird.
  • Bei einer dauerhaften Zuordnung der Anordnung zu dem jeweiligen Individuum, beispielsweise bei einer über den Lebenszyklus der Anordnung dauernden Zuordnung, kann die erste Identifikation unveränderbar in dem ersten Speicher gespeichert sein, der hierzu beispielsweise nicht überschreibbar ausgebildet ist. Eine derartige Konstellation ergibt sich häufig bei Implantaten, wie Herzschrittmachern oder dergleichen.
  • Vorzugsweise kann die Zuordnung der Anordnung zu dem jeweiligen Individuum jedoch verändert werden. Dieses besonders bei Anordnungen von Vorteil, die bei wechselnden Individuen Einsatz finden, deren Lebenszyklus also länger ist als die Zuordnung zum jeweiligen Individuum. Hierzu ist vorgesehen, dass die Sicherheitseinrichtung eine mit der Verarbeitungseinheit verbundene erste Schnittstelleneinrichtung zum Zugreifen auf den ersten Speicherumfasst, über welche zumindest die erste Identifikation veränderbar ist.
  • Es versteht sich jedoch, dass über die Schnittstelleneinrichtung auch noch andere Veränderungen an der Sicherheitseinrichtung vorgenommen werden können. So kann beispielsweise vorgesehen sein, dass beispielsweise die erste Erfassungseinrichtungskennung verändert werden kann. Dies ist insbesondere bei einer modular aufgebauten Anordnung von Vorteil, bei der die Sicherheitseinrichtung mit unterschiedlichen ersten Erfassungseinrichtungen betrieben werden kann.
  • Um unbefugte bzw. unbeabsichtigte Veränderungen zu verhindern, kann die Schnittstelleneinrichtung entsprechend physikalisch abgesichert sein, sodass beispielsweise nur mit einem bestimmten Schlüssel oder dergleichen Zugriff auf die Schnittstelleneinrichtung erlangt werden kann. Bevorzugt ist jedoch wenigstens eine logische Absicherung der Sicherheitseinrichtung vorgesehen. Vorzugsweise ist hierzu die Verarbeitungseinheit zur Überprüfung der Zugriffsberechtigung auf die Sicherheitseinrichtung ausgebildet.
  • Bevorzugt wird jedenfalls die Zugriffsberechtigung auf den ersten Speicher überprüft, um den unberechtigten Zugriff auf die gespeicherte erste Identifikation zu verhindern. Es versteht sich jedoch, dass bei bestimmten Varianten der erfindungsgemäßen Anordnung der Zugriff auf den ersten Speicher auch ohne besondere Zugriffsberechtigung zugelassen sein kann, wenn die erste Identifikation in einer Weise gespeichert ist, dass nicht autorisierte Manipulationen an der gespeicherten ersten Identifikation erkennbar sind. So kann die erste Identifikation beispielsweise zusammen mit einer Authentifizierungsinformation, wie beispielsweise einem MAC (Message Authentification Code), einer digitalen Signatur oder dergleichen, gespeichert werden, die in einem Bereich der Sicherheitseinrichtung erzeugt wird, für den die Zugriffsberechtigung, sofern der Zugriff überhaupt möglich ist, überprüft wird.
  • Durch die vorgenannten Maßnahmen wird in vorteilhafter Weise erreicht, dass eine unbefugte Manipulation der gespeicherten ersten Identifikation entweder mangels Zugriff auf den gespeicherten Erfassungswert überhaupt nicht möglich ist oder bei einer Überprüfung zumindest nicht unerkannt bleibt.
  • Die Überprüfung der Zugriffsberechtigung kann grundsätzlich in beliebiger geeigneter Weise erfolgen. So ist es beispielsweise möglich, ein Passwortsystem oder dergleichen zu implementieren. Ebenso kann vorgesehen sein, dass die Überprüfung der Zugriffsberechtigung über einen Datenträger, beispielsweise eine Chipkarte oder dergleichen erfolgt, der in eine geeignete Schnittstelleneinrichtung der Sicherheitseinrichtung, beispielsweise einen Kartenleser etc., Bevorzugt ist vorgesehen, dass die Verarbeitungseinheit zur Überprüfung der Zugriffsberechtigung unter Einsatz kryptographischer Mittel ausgebildet ist. Hierbei können beispielsweise digitale Signaturen und kryptographische Zertifikate zur Anwendung kommen. Dies ist von besonderem Vorteil, da derartige kryptographische Verfahren einen besonders hohen Sicherheitsstandard gewährleisten. Solche digitalen Signatur bzw. kryptographischen Zertifikate können beispielsweise auf der oben genannten Chipkarte gespeichert sein und bei der Überprüfung der Zugriffsberechtigung verifiziert werden.
  • Es versteht sich, dass auch mehrere Berechtigungsstufen vorgesehen sein können, die mit unterschiedlich weit gehenden Zugriffsrechten verbunden sind. Bevorzugt sind wenigstens zwei unterschiedliche Zugriffsberechtigungsstufen vorgesehen, die mit unterschiedlichen Zugriffsrechten auf die Sicherheitseinrichtung verknüpft sind. So lässt sich in einfacher Weise zum einen eine hierarchische Struktur mit unterschiedlich weit gehenden Zugriffsrechten implementieren. So kann beispielsweise einem Benutzer der Anordnung, beispielsweise also einem Patienten, auf der untersten Zugriffsberechtigungsstufe als einzige Zugriffshandlung erlaubt sein, bestimmte Daten aus dem ersten Speicher auszulesen. Bedienern der Anordnung auf einer höheren Zugriffsberechtigungsstufe, beispielsweise dem Praxispersonal in einer Arztpraxis, kann darüber hinaus erlaubt sein, die erste Identifikation oder die erste Erfassungseinrichtungskennung zu verändern. Schließlich kann einem Administrator auf einer noch höheren Zugriffsberechtigungsstufe, beispielsweise einem Arzt in einer Arztpraxis, neben dem Auslesen von Daten aus dem ersten Speicher und der Modifikation der ersten Identifikation bzw. der ersten Erfassungseinrichtungskennung auch die Modifikation weiterer Komponenten der Sicherheitseinrichtung etc. ermöglicht sein.
  • Weiterhin lässt sich über die Zugriffsberechtigungsstufen auf derselben Hierarchieebene aber auch der Zugriff auf unterschiedliche Bereiche der Sicherheitseinrichtung steuern. Die Anzahl der Zugriffsberechtigungsstufen oder Klassen richtet sich dabei nach der jeweiligen Verwendung der Anordnung und der Komplexität der mit der erfindungsgemäßen Anordnung realisierbaren Anwendungen.
  • Bei der Schnittstelleneinrichtung kann es sich um eine beliebige Schnittstelle handeln, über die eine Kommunikation mit der Verarbeitungseinheit und damit ein Zugriff auf die Daten der Sicherheitseinrichtung möglich ist. Es versteht sich, dass bei gewissen Varianten der erfindungsgemäßen Anordnung auch mehrere derartige Schnittstelleneinrichtungen vorgesehen sein können. Sofern über diese die Kommunikation mit sicherheitsrelevanten Bereichen der Sicherheitseinrichtung möglich ist, erfolgt dann gegebenenfalls für jede dieser Schnittstelleneinrichtungen eine Überprüfung der Zugriffsberechtigung.
  • Die erste Identifikation kann weiterhin grundsätzlich in beliebiger Weise aufgebaut sein. Es ist lediglich erforderlich, dass sie eine eindeutige Identifizierung des Individuums ermöglicht. So kann sie beispielsweise den Namen, das Geburtsdatum und den Geburtsort sowie gegebenenfalls weitere individualisierende Angaben zu einem Individuum, beispielsweise einem Patienten, umfassen.
  • Die erste Identifikation kann zudem in beliebiger geeigneter Weise verändert werden. So kann beispielsweise vorgesehen sein, dass ein Bediener der Anordnung die erste Identifikation über eine erste Schnittstelleneinrichtung in Form einer Tastatur in die Sicherheitseinrichtung eingibt. Bevorzugt kann vorgesehen sein, dass die erste Identifikation auf einem Datenträger, beispielsweise einer Chipkarte oder dergleichen gespeichert ist, der in eine geeignete Schnittstelleneinrichtung der Sicherheitseinrichtung, beispielsweise einen Kartenleser etc., eingeführt werden muss, um die erste Identifikation in die Sicherheitseinrichtung einzugeben. Hierbei kann beispielsweise die in der Regel ohnehin vorhandene Chipkarte des Patienten verwendet werden, die er von seiner Sozial- bzw. Krankenversicherung erhält. Diese enthält in der Regel ohnehin eine ausreichend individualisierende Identifikation des Patienten.
  • Schließlich kann vorgesehen sein, dass die Sicherheitseinrichtung anhand für das Individuum vorhandener charakteristischer biometrischer Daten und aktuell erfasster biometrischer Daten eine Plausibilitätsprüfung durchführt, ob es sich bei dem Individuum, dessen biometrische Daten aktuell erfasst werden, um das durch die erste Identifikation identifizierte Individuum handeln kann. Liegt eine entsprechend starke Abweichung zwischen den aktuell erfassten biometrischen Daten und den vorhandenen charakteristischen biometrischen Daten vor, so kann die Sicherheitseinrichtung entsprechende Maßnahmen einleiten, beispielsweise eine Fehlermeldung oder dergleichen ausgeben. Die charakteristischen biometrischen Daten können beispielsweise in der Sicherheitseinrichtung verknüpft mit der ersten Identifikation gespeichert sein. Hierbei können sie zusammen mit der ersten Identifikation in die Sicherheitseinrichtung eingebracht worden sein.
  • Bei bevorzugten Varianten der erfindungsgemäßen Anordnung ist die Sicherheitseinrichtung zum vor unbefugtem Zugriff gesicherten Speichern der biometrischen Daten ausgebildet. Dies kann durch die oben beschriebene physikalisch und logische Absicherung der Sicherheitseinrichtung, insbesondere die geschilderte Überprüfung der Zugriffsberechtigung, erzielt werden. Zusätzlich oder alternativ können durch entsprechende Ausbildung der Sicherheitseinrichtung die biometrischen Daten vor unbefugter Einsicht gesichert gespeichert werden. Dies kann in einfacher Weise auch in einem allgemein zugänglichen Speicher dadurch realisiert werden, dass die biometrischen Daten durch entsprechende kryptographische Mittel abgesichert gespeichert werden, d. h. beispielsweise in verschlüsselter Form gespeichert werden. Auf diese verschlüsselten biometrischen Daten kann dann zwar zugegriffen werden, sie können jedoch durch einen nicht autorisierten Zugreifer, der nicht im Besitz des entsprechenden Entschlüsselungsschlüssels ist, nicht eingesehen und damit nicht interpretiert werden.
  • Es versteht sich, dass nicht nur die biometrischen Daten, sondern auch alle anderen sensitiven Daten, beispielsweise sicherheitsrelevante oder datenschutzrelevante Daten, entsprechend abgesicherter Form gespeichert sein können. Hierzu zählen unter anderem sämtliche vorstehend oder nachfolgend beschriebenen Identifikationen sowie sämtliche vorstehend oder nachfolgend beschriebenen Protokolle im Bezug auf Daten, die von der Anordnung erfasst werden.
  • Bei bevorzugten Varianten der Erfindung wird für einen Zugriff auf die Sicherheitseinrichtung eine Quittung erstellt, um in vorteilhafter Weise zumindest jeweils den letzten Zugriff auf die Sicherheitseinrichtung, vorzugsweise zumindest eine bestimmte Anzahl von Zugriffen auf die Sicherheitseinrichtung, nachvollziehen zu können. Hierdurch ist es möglich, den Zugriff auf die Sicherheitseinrichtung zu dokumentieren und gegebenenfalls zu einem späteren Zeit punkt auszuwerten. Bevorzugt ist hierzu vorgesehen, dass die Sicherheitseinrichtung ein mit der Verarbeitungseinheit verbundenes Quittungsmodul mit einem zweiten Speicher umfasst und die Verarbeitungseinheit zur Erstellung einer Quittung für einen Zugriff auf die Sicherheitseinrichtung, und zum Speichern der Quittung in dem zweiten Speicher ausgebildet ist.
  • Es versteht sich, dass auch hier wieder ein vor unbefugtem Zugriff gesichertes Speichern der Quittung sowie die Absicherung der Quittung durch kryptographische Mittel vorgesehen sein kann, wie sie bereits oben ausführlich beschrieben wurden, sodass an dieser Stelle nur auf die obigen Ausführungen verwiesen werden soll.
  • Die erstellte und gespeicherte Quittung kann im späteren Verlauf mit den erfassten biometrischen Daten verknüpft werden, um in vorteilhafter Weise bei der späteren Auswertung der biometrischen Daten Rückschlüsse auf den Zustand der Anordnung bei Erfassung der biometrischen Daten und damit die Bewertung bzw. Gewichtung der biometrischen Daten zu ermöglichen.
  • Vorzugsweise umfasst die Quittung eine für den Zugreifer charakteristische Zugreiferkennung. Hiermit ist es in einfacher Weise möglich, die im Rahmen solcher Zugriffe vorgenommenen Modifikationen der Anordnung, insbesondere der Sicherheitseinrichtung einzelnen Zugreifern zuzuordnen. Dies ist vor allem unter Haftungsgesichtspunkten von besonderem Vorteil.
  • Die Zugreiferkennung kann grundsätzlich beliebig gestaltet sein, sie sollte lediglich eine eindeutige Identifikation des Zugreifers ermöglichen. Ist der Zugreifer einer bestimmten Organisation, beispielsweise einer Arztpraxis, zugeordnet, so kann die Zugreiferkennung aus einer Kennung der Organisation sowie einer individuellen Kennung des Zugreifers zusammengesetzt sein. Auch dies kann unter Haftungsgesichtspunkten von Vorteil sein, da dann die Organisation, die in der Regel für die Handlungen ihrer Mitglieder haftet, unmittelbar anhand der Zugreiferkennung identifiziert werden kann.
  • Die Zugreiferkennung kann beispielsweise von dem Zugreifer bei der Überprüfung der Zugriffsberechtigung eingegeben und in geeigneter Weise zwischengespeichert werden, um sie dann in die Quittung einzubeziehen: Bei wegen ihrer Bedienerfreundlichkeit besonders vorteilhaften Varianten der erfindungsgemäßen Anordnung, erfolgt die Überprüfung der Zugriffsberechtigung unter Verwendung eines Datenträgers, beispielsweise einer Chipkarte, auf dem die Zugreiferkennung gespeichert ist, die dann in der beschriebenen Weise ausgelesen und in die Quittung einbezogen wird.
  • Bei besonders günstigen Varianten der erfindungsgemäßen Anordnung ist vorgesehen, dass die Quittung eine für den Zugriffszeitpunkt charakteristische Zugriffszeitkennung umfasst. Hierbei kann die Quittung auch mit einem so genannten Zeitstempel versehen sein, der eine manipulationssichere Verknüpfung des Quittungsinhalts mit der Zugriffszeitkennung sicherstellt. Dies kann insbesondere sinnvoll sein, wenn die Quittung, die in der Regel vor der Erfassung der biometrischen Daten erstellt wird, zwischen ihrer Erstellung und der Verknüpfung mit den biometrischen Daten andernfalls Manipulationen ausgesetzt sein könnte.
  • Es versteht sich jedoch, dass es bei anderen Varianten der Erfindung ohne derartige Zugriftszeitkennung auch ausreichen kann, wenn lediglich durch geeignete Maßnahmen sichergestellt ist, dass die Chronologie der Zugriffe nachvollziehbar ist. So können dem jeweiligen Zugriffe beispielsweise fortlaufende Nummern zugeordnet werden, um dieses Ziel zu erreichen.
  • Die Ermittlung der Zugriffszeit und damit der Zugriffszeitkennung kann auf beliebige geeignete Weise erfolgen. Bei bevorzugten Varianten der erfindungsgemäßen Anordnung umfasst die Sicherheitseinrichtung zur Ermittlung der Zugriffszeitkennung ein mit der Verarbeitungseinheit verbundenes Zeiterfassungsmodul. Hierbei kann es sich um eine mit der Verarbeitungseinheit verbundene integrierte Echtzeituhr handeln oder ein Modul, das über eine geeignete Kommunikationsverbindung zu einer oder mehreren entsprechenden Instanzen die Echtzeit abfragt und hieraus die Zugriffszeitkennung ermittelt. Die integrierte Echtzeituhr kann dabei gegebenenfalls von Zeit zu Zeit mit einer entsprechend genauen Zeitquelle synchronisiert werden.
  • Bei besonders vorteilhaften Varianten der erfindungsgemäßen Anordnung ist die Verarbeitungseinheit zum Erstellen eines Quittungsprotokolls ausgebildet. Dieses Quittungsprotokoll umfasst zumindest eine Quittung mit einer Zugreiferkennung desjenigen Zugreifers, der zuletzt verändernd, insbesondere unter Veränderung des Inhalts des ersten Speichers, auf die Sicherheitseinrichtung zugegriffen hat. Weiterhin ist die Verarbeitungseinheit zum Verknüpfen der ersten biometrischen Daten mit dem Quittungsprotokoll ausgebildet. Hiermit ist es bei der späteren Weiterverarbeitung der biometrischen Daten möglich, zumindest den letzten zustandsverändernden Zugriff auf die Sicherheitseinrichtung nachzuvollziehen und beispielsweise bei der Bewertung der biometrischen Daten zu berücksichtigen. Es versteht sich, dass auch hier die Verknüpfung wieder ähnlich der oben beschriebenen Weise manipulationssicher erfolgen kann. Dies kann wiederum beispielsweise durch Aufnahme des Quittungsprotokolls in den oben beschriebenen ersten Datensatz erfolgen.
  • Vorzugsweise umfasst das Quittungsprotokoll ein Protokoll sämtlicher Zugriffe ab einem bestimmten Zeitpunkt. Bei diesem Zeitpunkt kann es sich beispielsweise um den Zeitpunkt der Initialisierung der gesamten Anordnung oder der Sicherheitseinrichtung handeln. Ebenso kann es sich um den Zeitpunkt der letzten Zuordnung zu einem bestimmten Individuum handeln, also den Zeitpunkt der letzten Modifikation der ersten Identifikation.
  • Bevorzugt ist die Verarbeitungseinheit wie oben bereits erwähnt zum Absichern der Quittung durch kryptographische Mittel ausgebildet. Zusätzlich oder alternativ kann sie auch zum Absichern der Zugreiferkennung und/oder der Zugriffszeitkennung durch kryptographische Mittel ausgebildet sein. Die Absicherung kann dabei wiederum in der oben beschriebenen Weise erfolgen.
  • Bei weiteren bevorzugten Ausgestaltungen der Erfindung werden die ersten biometrischen Daten mit einer für den Erfassungszeitpunkt der ersten biometrischen Daten charakteristischen Erfassungszeitkennung verknüpft. Für die erfindungsgemäße Anordnung ist hierzu vorgesehen, dass die Verarbeitungseinheit zum Verknüpfen der ersten biometrischen Daten mit einer für den Erfassungszeitpunkt der ersten biometrischen Daten charakteristischen Erfassungszeitkennung ausgebildet ist.
  • Hiermit lassen sich in vorteilhafter Weise eine Reihe von Überprüfungen und statistischen Auswertungen bei der Weiterverarbeitung der biometrischen Daten vornehmen. Die mit den erfassten biometrischen Daten verknüpfte Erfassungszeitkennung ermöglicht es, den Zustand des Individuums, beispielsweise eines Patienten, zum Zeitpunkt der Erfassung zu charakterisieren. Werden die biometrischen Daten unregelmäßig oder regelmäßig, beispielsweise bei jährlichen Routineuntersuchungen, erfasst, so lassen sich anhand der jeweiligen Erfassungszeitkennung Aussagen über die zeitlichen Veränderungen des Zustands des Individuums treffen. Weiterhin lässt sich hiermit auch anhand in der Vergangenheit ermittelter statistischer Daten eine Plausibilitätsprüfung für die Erfassung einzelner oder mehrerer biometrischen Erfassungswerte durchführen. Diese Plausibilitätsprüfung kann sowohl zur Funktionsüberwachung der Erfassungseinrichtung, welche die biometrischen Daten aufnimmt, als auch zur Erfassung von Betrugsversuchen oder dergleichen herangezogen werden.
  • Insbesondere kann durch geeignete Maßnahmen sichergestellt sein, dass die Kontinuität der biometrischen Erfassungswerte nachprüfbar ist, d. h. erkennbar ist, ob eine lückenlose Reihe der biometrischen Erfassungswerte vorliegt oder einzelne biometrische Erfassungswerte – sei es infolge einer Fehlfunktion oder eines Betrugsversuchs – fehlen. Dies kann in einfacher Weise z. B. dadurch realisiert sein, dass den biometrischen Erfassungswerten fortlaufende Nummern zugeordnet werden, die dann bevorzugt ebenfalls wieder entsprechender Weise durch kryptographische Mittel abgesichert sind. Sofern die Erfassung der biometrischen Erfassungswerte in vorgegebenen Zeitintervallen erfolgt, kann hierzu aber auch beispielsweise der Zeitstempel ausreichen.
  • Die Verknüpfung der Erfassungszeitkennung mit den biometrischen Daten erfolgt auch hier vorzugsweise wieder manipulationssicher. Dies kann wiederum einfach dadurch erzielt werden, dass die Erfassungszeitkennung in den oben genannten ersten Datensatz einbezogen wird, über den dann die erste digitale Signatur erstellt wird.
  • Die Ermittlung der Erfassungszeit und damit der Erfassungszeitkennung kann auf beliebige geeignete Weise erfolgen. Insbesondere kann dies analog zur oben beschriebenen Ermittlung der Zugriffszeitkennung erfolgen. Bevorzugt umfasst die Sicherheitseinrichtung zur Ermittlung der Erfassungszeitkennung ein mit der Verarbeitungseinheit verbundenes Zeiterfassungsmodul. Dieses kann wie das oben beschriebene Zeiterfassungsmodul zur Ermittlung der Zugriffszeitkennung ausgebildet sein. Insbesondere kann es sich um ein und dasselbe Zeiterfassungsmodul handeln.
  • Die erfindungsgemäße Anordnung kann als unveränderbares Modul aufgebaut sein, bei dem die Sicherheitseinrichtung untrennbar mit einer oder mehreren bestimmten Erfassungseinrichtungen verbunden ist. Sie kann aber auch modular aufgebaut sein, sodass die Sicherheitseinrichtung mit unterschiedlichen Erfassungseinrichtungen betrieben werden kann. Vorzugsweise ist sie so aufgebaut, dass die Sicherheitseinrichtung mit mehreren unterschiedlichen oder gleichartigen Erfassungseinrichtungen gleichzeitig betrieben werden kann. Vorzugsweise ist daher wenigstens eine zweite Erfassungseinrichtung zur Erfassung zweiter biometrischer Daten vorgesehen. Die mit dieser zweiten Erfassungseinrichtung verbundene Sicherheitseinrichtung ist dann zum manipulationssicheren Verknüpfen der zweiten biometrischen Daten mit der ersten Identifikation ausgebildet. Hierdurch können die oben im Zusammenhang mit den ersten biometrischen Daten beschriebenen Vorteile auch für diese zweiten biometrischen Daten erzielt werden.
  • Insbesondere kann die Verarbeitungseinheit dann wiederum zum Verknüpfen der zweiten biometrischen Daten mit einer für die zweite Erfassungseinrichtung charakteristischen zweiten Erfassungseinrichtungskennung ausgebildet sein, um eine eindeutige Zuordnung der biometrischen Daten zu der jeweiligen Erfassungseinrichtung zu ermöglichen. Im Übrigen kann die Verknüpfung der zweiten biometrischen Daten mit anderen Daten sowie die Verarbeitung der zweiten biometrischen Daten in der oben im Zusammenhang mit den ersten biometrischen Daten beschriebenen Weise erfolgen.
  • Bei bevorzugten Varianten der erfindungsgemäßen Anordnung ist vorgesehen, dass die Sicherheitseinrichtung ein mit der Verarbeitungseinheit verbundenes Kryptographiemodul umfasst. Dieses ist dazu ausgebildet, der Verarbeitungseinheit unter Verwendung wenigstens erster Kryptographiedaten kryptographische Mittel für wenigstens eine Sicherheitsanwendung zur Verfügung zu stellen. Dabei sind die ersten Kryptographiedaten in einem dritten Speicher des Kryptographiemoduls gespeichert. Die ersten Kryptographiedaten umfassen dabei einen ersten kryptographischen Algorithmus. Hierdurch ist in einfacher Weise eine entsprechend zuverlässige Absicherung sowohl zu speichernder Daten als auch zu übertragender Daten möglich. Unter Nutzung des Kryptographiemoduls können dann die für die unterschiedlichen Module (Zeiterfassungsmodul, Quittungsmodul etc) und Funktionen der Sicherheitseinrichtung beschriebenen kryptographischen Mittel zur Verfügung gestellt werden.
  • So kann das Kryptographiemodul zum einen zur Verschlüsselung zu speichernder Daten verwendet werden als auch zur Verschlüsselung zu sendender Daten. Beispielsweise können die Daten, die über die erste Schnittstelle ausgelesen bzw. Übertragen werden durch ein entsprechendes kryptographisches Verfahren mit einem entsprechenden kryptographischen Algorithmus verschlüsselt werden. Es versteht sich, dass je nach Anwendung, also beispielsweise je nachdem, ob Daten versandt oder gespeichert werden sollen, auch unterschiedliche kryptographische Verfahren angewendet werden können.
  • Neben dem kryptographischen Algorithmus und einem oder mehreren entsprechenden kryptographischen Schlüsseln umfassen die Kryptographiedaten bevorzugt weitere Daten, wie beispielsweise ein oder mehrere kryptographische Zertifikate entsprechender Zertifizierungsinstanzen sowie gegebenenfalls ein oder mehrere eigene kryptographische Zertifikate der Sicherheitseinrichtung.
  • Bei bevorzugten Varianten der erfindungsgemäßen Anordnung ist die Sicherheitseinrichtung zum Austausch wenigstens eines Teils der ersten Kryptographiedaten ausgebildet, um in vorteilhafter Weise eine einfache und dauerhaft zuverlässige Sicherung der Daten zu gewährleisten. Hierbei kann insbesondere vorgesehen sein, dass neben den kryptographischen Schlüsseln und kryptographischen Zertifikaten auch der jeweils verwendete kryptographische Algorithmus ausgetauscht werden kann, um das System in einfacher Weise an geänderte Sicherheitsanforderungen anpassen zu können.
  • Die Implementierung und der Austausch der Kryptographiedaten erfolgt unter Nutzung der ersten Schnittstelleneinrichtung oder einer weiteren Schnittstelleneinrichtung bevorzugt im Rahmen einer so genannten Public Key Infrastructure (PKI), wie sie hinlänglich bekannt ist und daher an dieser Stelle nicht weiter beschrieben werden soll. Es versteht sich insbesondere, dass eine entsprechende Routine zur Überprüfung der Validität der verwendeten kryptographischen Zertifikate vorgesehen ist. Geeignete derartige Überprüfungsroutinen sind ebenfalls hinlänglich bekannt und sollen daher hier nicht näher beschrieben werden Bei weiteren bevorzugten Varianten der erfindungsgemäßen Anordnung sind die erste Erfassungseinrichtung und die Sicherheitseinrichtung in einer vor unbefugtem Zugriff geschützten sicheren Umgebung angeordnet, um in vorteilhafter Weise den unbefugten Zugriff nicht nur auf die Daten der Sicherheitseinrichtung sondern auch auf die Daten, die von und zu der ersten Erfassungseinrichtung geliefert werden, wirksam zu unterbinden.
  • Die sichere Umgebung kann dabei physisch durch ein oder mehrere entsprechend gesicherte Gehäuse hergestellt werden. Diese Gehäuse sind dann bevorzugt mit entsprechenden, hinlänglich bekannten Mitteln zur Erfassung von Manipulationen am Gehäuse ausgestattet. Bevorzugt erfolgt die Sicherung jedoch auch logisch durch ein entsprechend abgesichertes Kommunikationsprotokoll zwischen der ersten Erfassungseinrichtung und der Sicherheitseinrichtung. So kann beispielsweise vorgesehen sein, dass bei jeder Kommunikation zwischen der ersten Erfassungseinrichtung und der Sicherheitseinrichtung über eine entsprechend starke gegenseitige Authentifizierung ein gesicherter Kommunikationskanal aufgebaut wird. Es versteht sich, dass die erste Erfassungseinrichtung in diesem Fall über entsprechende Kommunikationsmittel verfügt, welche die beschriebene Sicherheitsfunktionalität zur Verfügung stellen.
  • Es versteht sich weiterhin, dass die sichere Umgebung durch solche logischen Sicherungsmechanismen auf einen beliebig großen Raum erstreckt werden kann. So können die erste Erfassungseinrichtung und die Sicherheitseinrichtung bei solchen Ausführungen innerhalb der sicheren Umgebung weit voneinander entfernt angeordnet sein. Es versteht sich weiterhin, dass die sichere Umgebung durch solche logischen Sicherungsmechanismen auch auf andere Komponenten, beispielsweise ein Datenzentrum oder dergleichen, ausgeweitet werden kann, von dem die Daten des ersten Speichers zur Weiterverarbeitung ausgelesen werden.
  • Es versteht sich, dass sämtliche der oben beschriebenen Module und Funktionen der Sicherheitseinrichtung durch entsprechend gestaltete Hardwaremodule realisiert sein können. Bevorzugt sind sie jedoch zumindest zum Teil als Softwaremodule gestaltet, auf welche die Verarbeitungseinheit zugreift, um die entsprechende Funktion zu realisieren. Weiterhin versteht es sich, dass die einzelnen Speicher nicht durch getrennte Speichermodule realisiert sein müssen. Vielmehr handelt es sich bevorzugt um entsprechend logisch getrennte Speicherbereiche eines einzigen Speichers, beispielsweise eines einzigen Speichermoduls.
  • Die erfassten biometrischen Daten können bereits in der jeweiligen Erfassungseinrichtung oder der Sicherheitseinrichtung weiterverarbeitet bzw. aufbereitet werden. Um die durch die Erfassungseinrichtung bzw. die Sicherheitseinrichtung zur Verfügung zu stellenden Ressourcen bzw. Kapazitäten in einem angemessenen Rahmen zu halten, kann jedoch auch vorgesehen sein, dass die biometrischen Daten durch die Erfassungseinrichtung bzw. die Sicherheitseinrichtung nur als so genannte Rohdaten bereitgestellt werden. Die weitere Aufbereitung bzw. Verarbeitung dieser Rohdaten kann dann erst später durch andere Einrichtungen erfolgen.
  • Bei weiteren bevorzugten Varianten ist daher vorgesehen, dass die erfassten biometrischen Daten an eine entfernte Datenzentrale oder dergleichen zur weiteren Aufbereitung bzw. Verarbeitung übermittelt werden. Die Übermittlung kann über einen oder mehrere geeignete Datenträger erfolgen, auf dem bzw. denen die erfassten biometrischen Daten verknüpft mit den oben beschriebenen Identifikationen, Kennungen bzw. Protokollen gespeichert sind. Bei der erfindungsgemäßen Anordnung ist hierzu bevorzugt eine mit der Verarbeitungseinheit über eine Schnittstelleneinrichtung verbindbare entfernte Datenzentrale vorgesehen. Weiterhin ist die Verarbeitungseinheit zum Übermitteln der erfassten biometrischen Daten über die Schnittstelleneinrichtung an die entfernte Datenzentrale ausgebildet. Die Übermittlung erfolgt dabei wiederum bevorzugt in entsprechend abgesicherter Weise, beispielsweise über einen kryptographisch abgesicherten Kommunikationskanal, um die übermittelten Daten, insbesondere die biometrischen Daten, vor unbefugtem Einsicht bzw. unbefugtem Zugriff zu schützen.
  • Vorzugsweise werden die zu übermittelnden Daten vor der Übermittlung anonymisiert. Hierzu ist die Verarbeitungseinheit zum Anonymisieren der erfassten biometrischen Daten vor der Übermittlung an die Datenzentrale ausgebildet. Zusätzlich oder alternativ können die zu übermittelnden Daten vor der Übermittlung in nicht interpretierbare Datensegmente segmentiert werden, welche dann getrennt übermittelt werden. Hierzu ist die Verarbeitungseinheit dann zum Segmentieren der erfassten biometrischen Daten in nicht interpretierbare Datensegmente und zum getrennten Übermitteln der Datensegmente an die Datenzentrale ausgebildet.
  • Vor der weiteren Aufbereitung bzw. Verarbeitung werden die übermittelten Daten in der Datenzentrale dann bevorzugt auf ihre Integrität überprüft, um sicherzustellen, dass nur fehlerfrei übertragene und nicht manipulierte Daten weiterverarbeitet werden. Erfindungsgemäß ist hierzu vorgesehen, dass die Datenzentrale zum Verifizieren der übermittelten biometrischen Daten ausgebildet ist.
  • Werden die biometrischen Daten in der Datenzentrale aufbereitet bzw. weiterverarbeitet, erstellt diese vorzugsweise ein Protokoll über diese Weiterverarbeitung. Dieses Protokoll wird dann bevorzugt in entsprechend abgesicherter Weise gespeichert, um die Weiterverarbeitung auch zu einem späteren Zeitpunkt nachvollziehen zu können. Zusätzlich oder alternativ kann vorgesehen sein, dass dieses Weiterverarbeitungsprotokoll analog zu dem oben beschriebenen Vorgehen mit den weiterverarbeiteten biometrischen Daten verknüpft wird. Auch hier erfolgt Verknüpfung bevorzugt in entsprechend manipulationssicherer Weise. Ein solches Vorgehen ist insbesondere unter Haftungsgesichtspunkten von besonderem Vorteil.
  • Vorzugsweise werden die weiterverarbeiteten biometrischen Daten mit einer für den Verarbeitungszeitpunkt der biometrischen Daten charakteristischen Verarbeitungszeitkennung verknüpft. Hierzu ist die Datenzentrale zum, insbesondere manipulationssicheren, Verknüpfen der weiterverarbeiteten biometrischen Daten mit einer für den Verarbeitungszeitpunkt der biometrischen Daten charakteristischen Verarbeitungszeitkennung ausgebildet. Die Datenzentrale umfasst dabei zur Ermittlung der Verarbeitungszeitkennung bevorzugt ein zweites Zeiterfassungsmodul. Auch hier kann die Verarbeitungszeitkennung wiederum analog zum oben beschriebenen Vorgehen durch kryptographische Mittel abgesichert sein.
  • Die so weiterverarbeiteten biometrischen Daten können in der Datenzentrale dann zu weiteren Verwendung vorgehalten werden. Bevorzugt werden sie dabei in entsprechend abgesicherter Weise, beispielsweise in einer entsprechend abgesicherten Datenbank, gespeichert. Hierbei können sie beispielsweise erneut verschlüsselt werden.
  • Die vorliegende Erfindung betrifft weiterhin ein Verfahren zur Erfassung biometrischer Daten eines Individuums mit einer ersten Erfassungseinrichtung zur Erfassung erster biometrischer Daten und einer damit verbundenen Sicherheitseinrichtung. Erfindungsgemäß ist vorgesehen, dass die Sicherheitseinrichtung eine dem Individuum zugeordnete erste Identifikation manipulationssicher mit den ersten biometrischen Daten verknüpft.
  • Mit diesem Verfahren lassen sich die oben im Zusammenhang mit der erfindungsgemäßen Anordnung beschriebenen Vorteile und Ausgestaltungen in derselben Weise realisieren, sodass hier lediglich auf die obigen Ausführungen verwiesen wird.
  • Die vorliegende Erfindung betrifft schließlich ein Verfahren zur Konfiguration einer Anordnung zur Erfassung biometrischer Daten eines Individuums mit einer ersten Erfassungsein richtung zur Erfassung erster biometrischer Daten und einer damit verbundenen Sicherheitseinrichtung. Erfindungsgemäß wird dabei in die Sicherheitseinrichtung eine dem Individuum zugeordnete erste Identifikation eingebracht.
  • Durch die gemäß diesem Verfahren erfolgende Einbringung der erste Identifikation in die Sicherheitseinrichtung lassen sich die oben im Zusammenhang mit der erfindungsgemäßen Anordnung beschriebenen Vorteile und Ausgestaltungen in derselben Weise realisieren, sodass auch in diesem Zusammenhang lediglich auf die obigen Ausführungen verwiesen wird.
    •
  • Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen bzw. der nachstehenden Beschreibung eines bevorzugten Ausführungsbeispiels, welche auf die beigefügten Zeichnungen Bezug nimmt. Es zeigen
  • 1 eine schematische Darstellung einer bevorzugten Ausführungsform der erfindungsgemäßen Anordnung zur Durchführung der erfindungsgemäßen Verfahren;
  • 2 ein schematisches Ablaufdiagramm einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zur Konfiguration der Anordnung aus 1;
  • 3 ein schematisches Ablaufdiagramm einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zur Erfassung biometrischer Daten mit der Anordnung aus 1;
  • 4 eine schematische Darstellung einer weiteren bevorzugten Ausführungsform der erfindungsgemäßen Anordnung.
  • 1 zeigt eine schematische Darstellung einer bevorzugten Ausführungsform der erfindungsgemäßen Anordnung zur Erfassung biometrischer Daten eines Patienten 1. Die Anordnung umfasst eine erste Erfassungseinrichtung 2 und einer damit verbundenen Sicherheitseinrichtung 3.
  • Die erste Erfassungseinrichtung 2 umfasst einen im Körper des Patienten 1 implantierten Herzschrittmacher 2.1 und ein externes Patientengerät 2.2, welches über eine Kommunikationsverbindung 2.3 mit dem Herzschrittmacher 2.1 kommunizieren kann. Die erste Erfassungseinrichtung 2 dient zur Erfassung erster biometrischer Daten in Form von Herzsignalen des Patienten 1, weiche von dem Herzschrittmacher 2.1 mittels seiner im Herz 1.1 des Pati enten 1 platzierten Elektroden 2.4 detektiert werden. Diese Herzsignale werden über die Kommunikationsverbindung 2.3 an das externe Patientengerät 2.2 weitergegeben.
  • Die Sicherheitseinrichtung 3 umfasst eine zentrale Verarbeitungseinheit 3.1, die mit einem ersten Speicher 3.2 verbunden ist. In dem ersten Speicher 3.2, in dem eine dem Patienten 1 zugeordnete erste Identifikation gespeichert ist. Die erste Identifikation ist einmalig und dem Patienten 1 eindeutig zugeordnet. In dem ersten Speicher 3.2 ist weiterhin eine der ersten Erfassungseinrichtung 2 zugeordnete erste Erfassungseinrichtungskennung gespeichert. Auch diese erste Erfassungseinrichtungskennung ist einmalig und der ersten Erfassungseinrichtung 2 eindeutig zugeordnet.
  • Die Sicherheitseinrichtung 3 umfasst eine mit der Verarbeitungseinheit 3.1 verbundene erste Schnittstelleneinrichtung in Form einer ersten Schnittstelle 3.3, über welche ein Bediener auf die Sicherheitseinrichtung 3, insbesondere auf den ersten Speicher 3.2, zugreifen kann. Sie umfasst weiterhin eine zweite Schnittstelle 3.4, über welche die Verarbeitungseinheit 3.1 mit dem externen Patientengerät 2.2 verbunden ist. Die Sicherheitseinrichtung 3 umfasst schließlich ein Quittungsmodul 3.5 mit einem zweiten Speicher 3.51, ein Kryptographiemodul 3.6 mit einem dritten Speicher 3.61, ein erstes Zeiterfassungsmodul 3.7, eine dritte Schnittstelle 3.8 und eine vierte Schnittstelle 3.9, die jeweils mit der Verarbeitungseinheit 3.1 verbunden sind und deren Funktion im Folgenden noch näher erläutert wird.
  • Über die dritte Schnittstelle 3.8 ist die Sicherheitseinrichtung 3 mit einer Parametererfassungseinrichtung 5 verbunden, welche zur Erfassung wenigstens eines Erfassungsparameters dient, der bei der Erfassung der ersten biometrischen Daten vorherrscht. Im vorliegenden Fall ist die Parametererfassungseinrichtung eine Klimamesseinrichtung 5, welche als ersten Erfassungsparameter die Temperatur und als zweiten Erfassungsparameter die Luftfeuchtigkeit in der Umgebung des Patienten 1 erfasst.
  • Über die vierte Schnittstelle 3.9 kann die Sicherheitseinrichtung über ein Datennetz 6 mit einer entfernten Datenzentrale 7 verbunden werden. Wie später noch eingehend erläutert wird, können über diese Verbindung die erfassten biometrischen Daten zur weiteren Aufbereitung bzw. Verarbeitung von der Sicherheitseinrichtung an die entfernten Datenzentrale 7 übermittelt werden.
  • Das Quittungsmodul 3.5 dient, wie später noch näher erläutert wird, dazu, Zugriffe, vor allen Dingen zustandsverändernde Zugriffe, auf die Sicherheitseinrichtung 3 zu protokollieren und in einem Quittungsprotokoll in dem zweiten Speicher 3.51 zu speichern.
  • Das Kryptographiemodul 3.6 ist dazu ausgebildet, der Verarbeitungseinheit 3.1 unter Verwendung wenigstens erster Kryptographiedaten kryptographische Mittel für wenigstens eine Sicherheitsanwendung zur Verfügung zu stellen. Die ersten Kryptographiedaten sind dabei in dem dritten Speicher 3.61 des Kryptographiemoduls 3.6 gespeichert. Die ersten Kryptographiedaten umfassen einen ersten kryptographischen Algorithmus, und einen oder mehrere kryptographischen Schlüssel sowie ein oder mehrere kryptographische Zertifikate entsprechender Zertifizierungsinstanzen sowie ein oder mehrere eigene kryptographische Zertifikate des Sicherheitsmoduls 3.
  • Das Kryptographiemodul 3.6 kann zum einen zur Verschlüsselung zu speichernder Daten verwendet werden als auch zur Verschlüsselung zu sendender Daten. Beispielsweise können die Daten, die über die vierte Schnittstelle 7 ausgelesen bzw. übertragen werden, durch ein entsprechendes kryptographisches Verfahren mit dem gespeicherten kryptographischen Algorithmus verschlüsselt werden. Es versteht sich, dass je nach Anwendung, also beispielsweise je nachdem, ob Daten versandt oder gespeichert werden sollen, auch unterschiedliche kryptographische Verfahren angewendet werden können.
  • Die erste Erfassungseinrichtung 2, die Sicherheitseinrichtung 3, die Parametererfassungseinrichtung 5 und die Datenzentrale 7 sind in einer vor unbefugtem Zugriff geschützten sicheren Umgebung 8 angeordnet, um den unbefugten Zugriff nicht nur auf die Daten der Sicherheitseinrichtung 3 sondern auch auf die Daten, die von und zu der ersten Erfassungseinrichtung 2, der Parametererfassungseinrichtung 5 und der Datenzentrale 7 geliefert werden, wirksam zu unterbinden.
  • Die sichere Umgebung 8 wird zum einen physisch durch sichere Gehäuse des Patientengeräts 2.2, der Sicherheitseinrichtung 3 und der Parametererfassungseinrichtung 5 hergestellt, die mit hinlänglich bekannten Mittel zur Erfassung von Manipulationen am Gehäuse ausgestattet sind. Weterhin ist auch eine entsprechende physische Absicherung der Datenzentrale 7 vorgesehen.
  • Zum anderen wird die sichere Umgebung 8 logisch durch ein entsprechend abgesichertes Kommunikationsprotokoll zwischen dem Herzschrittmacher 2.1 und dem Patientengerät 2.2, zwischen dem Patientengerät 2.2 und der Sicherheitseinrichtung 3 sowie zwischen der Sicherheitseinrichtung 3 und der Datenzentrale 7 hergestellt. So wird bei jeder Kommunikation zwischen den genannten Komponenten über eine entsprechend starke gegenseitige Authentifizierung ein gesicherter Kommunikationskanal aufgebaut. Es versteht sich, dass die jeweilige Komponente hierzu über entsprechende Kommunikationsmittel verfügt, welche die be schriebenen Sicherheitsfunktionalitäten zur Verfügung stellen. Bei der Sicherheitseinrichtung 3 wird hier beispielsweise wiederum auf das Kryptographiemodul 3.6 zurückgegriffen.
  • Die logische Absicherung betrifft weiterhin auch sämtliche Schnittstellen, über die auf die betreffende Komponente der Anordnung, beispielsweise die Sicherheitseinrichtung 3, zugegriffen werden könnte. Bei einem Zugriff über eine dieser Schnittstellen, beispielsweise eine der Schnittstellen 3.3, 3.4, 3.8 oder 3.9 der Sicherheitseinrichtung 3, erfolgt hierzu jeweils eine Überprüfung der Zugriffsberechtigung.
  • Es versteht sich hierbei, dass bei anderen Varianten der erfindungsgemäßen Anordnung die Erfassungseinrichtung zusammen mit der Sicherheitseinrichtung und der Parametererfassungseinrichtung in einem gemeinsamen sicheren Gehäuse angeordnet sein kann, sodass gegebenenfalls die Kommunikation zwischen diesen Komponenten ohne entsprechende Absicherung ablaufen kann.
  • Im Folgenden soll unter Bezugnahme auf die 1 und 2 die erfindungsgemäße Konfiguration der Anordnung aus 1 näher erläutert werden.
  • In einem ersten Konfigurationsschritt 9.1 wird die Konfiguration gestartet. Dies erfolgt durch eine entsprechende Eingabe eines Bedieners, also eines Zugreifers, über die erste Schnittstelle 3.3 an der Sicherheitseinrichtung 3. Die erste Schnittstelle 3.3 umfasst dazu eine entsprechende Eingabeeinrichtung, beispielsweise eine Tastatur, über welche der Bediener Eingaben vornehmen kann.
  • Es versteht sich jedoch, dass die erste Schnittstelle bei anderen Varianten der Erfindung auch anderweitig gestaltet sein kann. So kann die erste Schnittstelle eine einfache Steckbuchse oder dergleichen sein, über die eine entsprechende Eingabeeinrichtung mit Tastatur und Display, beispielsweise ein herkömmlicher PC, mit der Sicherheitseinrichtung 3 verbunden werden kann. Ebenso kann sie aber auch beispielsweise eine entsprechende Leseeinrichtung für Speichermedien wie Chipkarten oder dergleichen sein, über die eine solche Eingabe vorgenommen werden kann.
  • In einem zweiten Konfigurationsschritt 9.2 erfolgt durch die Verarbeitungseinheit 3.1 eine Überprüfung der Zugriffsberechtigung des Bedieners auf die Sicherheitseinrichtung 2. Die Überprüfung der Zugriffsberechtigung durch die Verarbeitungseinheit 3.1 erfolgt im vorliegenden Beispiel durch eine Passwortüberprüfung. Hierzu gibt der Benutzer über die Tastatur der ersten Schnittstelle 3.3 zunächst eine einmalige, ihm eindeutig zugeordnete Zugreiferkennung ein. Über ein entsprechendes Display der ersten Schnittstelle 3.3 wird er anschlie ßend aufgefordert, ein zugehöriges Passwort einzugeben. Sobald die Eingabe erfolgt ist, überprüft die Verarbeitungseinheit 3.1 unter Zugriff auf einen entsprechenden ersten Speicherbereich des ersten Speichers 3.2 die Zugriffsberechtigung des Bedieners durch Vergleich der eingegebenen Daten mit dort gespeicherten Daten.
  • Es versteht sich auch hier, dass die Überprüfung der Zugriffsberechtigung des Bedieners auf die Sicherheitseinrichtung auch anderweitig erfolgen kann. So kann als erste Schnittstelle beispielsweise eine Leseeinrichtung für Speichermedien wie Chipkarten oder dergleichen vorgesehen sein, über welche die Überprüfung der Zugriffsberechtigung abgewickelt wird. Hierzu kann beispielsweise auf entsprechende Autorisierungsdaten zugegriffen werden, die auf einem in die Leseeinrichtung eingeführten Speichermedium gespeichert sind. Weiterhin versteht es sich, dass eine solche Überprüfung der Zugriffsberechtigung über ein Speichermedium gegebenenfalls auch mit dem oben geschilderten Passwortsystem kombiniert sein kann, um die Sicherheit zu erhöhen.
  • Im Fall einer positiv verlaufenen Überprüfung der Zugriffsberechtigung gibt der Bediener in einem dritten Konfigurationsschritt 9.3 über die Tastatur der ersten Schnittstelle 3.3 die dem Patienten 1 zugeordnete erste Identifikation ein. Diese erste Identifikation wird in einem zweiten Speicherbereich des ersten Speichers 3.2 gespeichert. Hierbei können eventuell vorhandene Identifikationen vorheriger Patienten überschrieben oder zumindest deaktiviert werden. Weiterhin kann vorgesehen sein, dass vor dem Speichern der neuen ersten Identifikation automatisch eine Initialisierung der Sicherheitseinrichtung und gegebenenfalls auch der angeschlossenen Erfassungseinrichtung erfolgt.
  • Auch hier versteht es sich, dass die Eingabe der ersten Identifikation in die Sicherheitseinrichtung auch anderweitig erfolgen kann. So kann als erste Schnittstelle wiederum eine Leseeinrichtung für Speichermedien vorgesehen sein, über welche die Eingabe abgewickelt wird. Hierzu kann beispielsweise auf eine erste Identifikation zugegriffen werden, die auf einem in die Leseeinrichtung eingeführten Speichermedium gespeichert ist. Bei dem Speichermedium kann es sich beispielsweise um die Chipkarte des Patienten handeln, die er üblicherweise von seiner Krankenversicherung erhalten hat.
  • In einem vierten Konfigurationsschritt 9.4 wird über die zweite Schnittstelle 3.4 die der ersten Erfassungseinrichtung zugeordnete erste Erfassungseinrichtungskennung in die Sicherheitseinrichtung 3 geladen. Das Laden der ersten Erfassungseinrichtungskennung erfolgt automatisch, indem die Verarbeitungseinheit 3.1 über die zweite Schnittstelle 3.4 die im Patientengerät 2.2 gespeicherte erste Erfassungseinrichtungskennung von dem Patientengerät 2.2 anfordert und anschließend erhält. Die erste Erfassungseinrichtungskennung wird in einem dritten Speicherbereich des ersten Speichers 3.2 gespeichert. Hierbei können eventuell vorhandene Erfassungseinrichtungskennungen zuvor mit der Sicherheitseinrichtung 3 verbundener Erfassungseinrichtungen überschrieben oder zumindest deaktiviert werden.
  • Bei der Erfassungseinrichtungskennung handelt es sich im vorliegenden Fall um eine Kennung, die aus einer einmaligen und eindeutigen Kennung des Herzschrittmachers 2.1 und einer einmaligen und eindeutigen Kennung des Patientengeräts 2.2 zusammengesetzt ist. Die Kennung des Herzschrittmachers 2.1 ist im Herzschrittmacher 2.1 gespeichert und wird von dem Patientengerät 2.2 aus dem Herzschrittmacher 2.1 ausgelesen, bevor sie mit der im Patientengerät 2.2 gespeicherten Kennung des Patientengeräts 2.2 zur Bildung der Erfassungseinrichtungskennung zusammengesetzt wird. Die Abfrage der Kennung des Herzschrittmachers 2.1 durch das Patientengerät 2.2 erfolgt regelmäßig, beispielsweise bei jeder Kommunikation, sodass sichergestellt ist, dass bei einer Verwendung des Patientengeräts 2.2 mit einem anderen Herzschrittmacher eine neue Erfassungseinrichtungskennung generiert wird.
  • Das beschriebene Laden der Erfassungseinrichtungskennung kann automatisch in bestimmten Zeitabständen oder zu bestimmten Ereignissen erfolgen. So kann es beispielsweise bei jedem Hochfahren der Sicherheitseinrichtung erfolgen. Ebenso kann es erfolgen, sobald eine Unterbrechung der Verbindung zu ersten Erfassungseinrichtung detektiert wird. Es versteht sich jedoch, dass bei anderen Varianten auch vorgesehen sein kann, dass die Erfassungseinrichtungskennung über die Tastatur der ersten Schnittstelle 3.3 eingegeben werden kann.
  • Um Manipulationen vorzubeugen, erfolgt das Laden der ersten Erfassungseinrichtungskennung unter Einsatz kryptographischer Mittel. Hierbei erfolgt im Rahmen einer gegenseitigen Authentifizierung der Kommunikationspartner, also des Patientengerätes 2 und der Sicherheitseinrichtung 3, eine Überprüfung digitaler Signaturen des jeweiligen Partners unter Verwendung entsprechender kryptographischer Zertifikate. Dies ist von besonderem Vorteil, da derartige kryptographische Verfahren einen besonders hohen Sicherheitsstandard gewährleisten. Zur Authentifizierung greift die Verarbeitungseinheit 3.1 auf das Kryptographiemodul 3.6 zu.
  • In einem fünften Konfigurationsschritt 9.5 wird dann durch die Verarbeitungseinheit 3.1 unter Zugriff auf das Quittungsmodul 3.5 ein Quittungsprotokoll generiert. Dieses Quittungsprotokoll umfasst eine Quittung in Form eines Quittungsdatensatzes, welcher die zuletzt vorgenommenen Änderungen, also die Änderung der ersten Identifikation und die Änderung der Erfassungseinrichtungskennung, wiedergibt. Der Quittungsdatensatz umfasst weiterhin die Zugreiferkennung sowie eine für den Zeitpunkt des Zugriffs charakteristische Zugriffszeitkennung.
  • Die Zugriffszeitkennung wird dabei von der Verarbeitungseinheit 3.1 unter Zugriff auf das erste Zeiterfassungsmodul 3.7 generiert. Bei dem ersten Zeiterfassungsmodul 3.7 handelt es sich um eine interne Echtzeituhr. Diese kann von Zeit zu Zeit mit einer entsprechend zuverlässigen externen Echtzeitquelle synchronisiert werden. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch vorgesehen sein kann, dass die für die Generierung der Zugriftszeitkennung erforderliche Echtzeit auch über eine, gegebenenfalls entsprechend abgesicherte, Verbindung zu einer zuverlässigen externen Echtzeitquelle abgefragt wird.
  • Es versteht sich weiterhin, dass je nach den Anforderungen an die Genauigkeit der Echtzeitinformation bzw. der Relevanz der Zeitinformation bei einer späteren Auswertung der Daten entsprechend hohe Sicherheitsanforderungen an die Zeitquelle zu stellen sind. Gegebenenfalls kann es erforderlich sein, dass es sich bei dem Zeiterfassungsmodul 3.7 um eine entsprechend gegen Manipulationen abgesicherte, zertifizierte Zeitquelle handelt.
  • Um Manipulationen vorzubeugen, wird der Quittungsdatensatz durch kryptographische Mittel abgesichert. Hierzu erstellt die Verarbeitungseinheit 3.1 unter Zugriff auf das Kryptographiemodul 3.6 eine erste digitale Signatur über dem Quittungsdatensatz. Aus dem Quittungsdatensatz wird dabei mittels eines im dritten Speicher 3.61 gespeicherten Hash-Algorithmus (SHA-1, SHA-2, MD-5, HAVAL) ein erster Nachrichtenkern generiert. Aus diesem ersten Nachrichtenkern wird mit einem in dem dritten Speicher 3.61 gespeicherten asymmetrischen Verschlüsselungsalgorithmus (zum Beispiel RSA etc.) eine erste digitale Signatur gebildet, indem er mit einem im dritten Speicher 3.61 gespeicherten geheimen Schlüssel des Kryptographiemoduls 3.6 verschlüsselt wird.
  • Diese erste digitale Signatur kann zu einem späteren Zeitpunkt unter Verwendung des zugehörigen öffentlichen Schlüssels des Kryptographiemoduls 3.6 in bekannter Weise verifiziert werden. Wurden zwischenzeitlich der zugehörige Quittungsdatensatz beabsichtigt oder unbeabsichtigt verändert, schlägt diese Verifikation fehl. Mit der Hilfe der ersten digitalen Signatur ist somit erkennbar, ob Manipulationen an den Quittungsdatensatz vorgenommen wurden. Die erste digitale Signatur verknüpft mit anderen Worten die in dem Quittungsdatensatz enthaltenen Informationen in manipulationssichere Weise miteinander.
  • Nach Erstellung der ersten digitalen Signatur wird der Quittungsdatensatz zusammen mit der ersten digitalen Signatur in dem zweiten Speicher 3.51 des Quittungsmoduls 3.5 gespeichert, bevor die Konfiguration in einem sechsten Konfigurationsschritt 9.6 beendet wird.
  • Werden im Folgenden durch Zugriffe auf die Sicherheitseinrichtung 3, insbesondere über die erste Schnittstelle 3.3, oder in anderer Weise Modifikationen an der Sicherheitseinrichtung 3 vorgenommen, so wird bei jeder Modifikation der fünfte Konfigurationsschritt 9.5 wiederholt, wobei das Quittungsprotokoll jeweils um eine neue, die jeweilige Modifikation protokollierende Quittung ergänzt wird. Dem Quittungsprotokoll ist demgemäß die Historie der an der Sicherheitseinrichtung 3 vorgenommenen Änderungen zu entnehmen.
  • Wird dabei eine Modifikation der ersten Identifikation vorgenommen, d. h. wird ein neuer Patient zugeordnet, so wird ein neues Quittungsprotokoll in der oben beschriebenen Weise generiert.
  • Wird hingegen eine Änderung der Erfassungseinrichtungskennung erfasst, wird eine durch einen Bediener zu beantwortende Abfrage gestartet, ob es sich nach wie vor um den Patienten 1 handelt. Der Bediener muss diese entweder bestätigen oder eine neue erste Identifikation eingeben, worüber jeweils eine entsprechende Quittung in der oben beschriebenen Weise generiert wird.
  • Im Folgenden wird unter Bezugnahme auf die 1 und 3 der Ablauf bei der erfindungsgemäßen Erfassung der Herzsignale des Patienten 1 erläutert.
  • Zunächst wird die Erfassung der Herzsignale, also der ersten biometrischen Daten, in einem ersten Erfassungsschritt 10.1 durch ein entsprechendes Startsignal, beispielsweise die Betätigung eines entsprechenden Schalters am Patientengerät 2.2 oder dergleichen, initiiert.
  • In einem zweiten Erfassungsschritt 10.2 werden über einen bestimmten vorgegebenen Zeitraum durch den Herzschrittmacher 2.1 die Herzsignale des Patienten 1 erfasst und in einem Herzsignaldatensatz zusammengefasst. Der Herzsignaldatensatz wird dann über die Kommunikationsverbindung 2.3 an das Patientengerät 2.2 übermittelt. Dieses übermittelt den Herzsignaldatensatz dann an die Verarbeitungseinheit 3.1.
  • Parallel und synchron zur Erfassung der Herzsignale durch den Herzschrittmacher 2.1 werden für den vorgegebenen Zeitraum in der oben beschriebenen Weise über die Klimamesseinrichtung die Temperatur und die Luftfeuchtigkeit in der Umgebung des Patienten 1 erfasst. Der Temperaturverlauf und der Luftfeuchtigkeitsverlauf werden jeweils mit einer entsprechenden Kennung versehen und von der Klimamesseinrichtung zu einem Parameterdatensatz zusammengefasst, der anschließend ebenfalls an die Verarbeitungseinheit 3.1 übermittelt wird.
  • In einem dritten Erfassungsschritt 10.3 wird eine für den Erfassungszeitpunkt der Herzsignale charakteristische Erfassungszeitkennung ermittelt. Hierbei greift die Verarbeitungseinheit 3.1 auf das Zeiterfassungsmodul 3.7 zu und geht in derselben Weise vor, wie dies oben im Zusammenhang mit der Ermittlung der Zugriffszeit beschrieben wurde. Je nach den Anforderungen an die Genauigkeit der Bestimmung des Erfassungszeitpunkts können hierbei auch gegebenenfalls die Signallaufzeiten zwischen der Erfassung der Signale und der Ermittlung der Erfassungszeitkennung berücksichtigt werden.
  • In einem vierten Erfassungsschritt 10.4 werden die Herzsignale, also die ersten biometrischen Daten, die im ersten Speicher 3.2 gespeicherte erste Identifikation, die im ersten Speicher 3.2 gespeicherte erste Erfassungseinrichtungsidentifikation, die Erfassungsparameter, das im zweiten Speicher 3.51 gespeicherte Quittungsprotokoll und die Erfassungszeitkennung miteinander manipulationssicher verknüpft. Hierzu wird ein erster Datensatz generiert, der folgendes umfasst:
    • – den Herzsignaldatensatz,
    • – die erste Identifikation,
    • – die erste Erfassungseinrichtungsidentifikation,
    • – den Parameterdatensatz,
    • – das Quittungsprotokoll (mit den jeweiligen Quittungen mit der Zugreiferidentifikation, der zugehörigen Zugriffszeitidentifikationen und der ersten digitalen Signatur),
    • – die Erfassungszeitkennung.
  • Anschließend erstellt die Verarbeitungseinheit 3.1 unter Zugriff auf das Kryptographiemodul 3.6 eine zweite digitale Signatur über dem ersten Datensatz. Aus dem ersten Datensatz wird dabei mittels eines im dritten Speicher 3.61 gespeicherten Hash-Algorithmus (SHA-1, SHA-2, MD-5, HAVAL etc.) ein zweiter Nachrichtenkern generiert. Aus diesem zweiten Nachrichtenkern wird mit einem in dem dritten Speicher 3.61 gespeicherten asymmetrischen Verschlüsselungsalgorithmus (zum Beispiel RSA etc.) eine zweite digitale Signatur gebildet, indem er mit einem im dritten Speicher 3.61 gespeicherten geheimen Schlüssel des Kryptographiemoduls 3.6 verschlüsselt wird.
  • Diese zweite digitale Signatur kann zu einem späteren Zeitpunkt unter Verwendung des zugehörigen öffentlichen Schlüssels des Kryptographiemoduls 3.6 in bekannter Weise verifiziert werden. Wurde der erste Datensatz zwischenzeitlich beabsichtigt oder unbeabsichtigt verändert, schlägt diese Verifikation fehl. Mit der Hilfe der zweiten digitalen Signatur ist somit erkennbar, ob Manipulationen an den Komponenten des ersten Datensatzes vorgenommen wurden. Die zweite digitale Signatur verknüpft mit anderen Worten die in dem ersten Datensatz enthaltenen Informationen in manipulationssicherer Weise miteinander.
  • Es versteht sich hierbei, dass der erste Datensatz bei anderen Varianten der Erfindung nicht notwendigerweise das Quittungsprotokoll umfassen muss. So kann es zur Reduktion des zu verarbeitenden Datenvolumens ausreichen, dass der erste Datensatz einen so genannten Pointer, also einen entsprechenden Zeiger umfasst, der auf den Speicherort des Quittungsprotokolls im zweiten Speicher 3.51 des Quittungsmoduls 3.5 verweist.
  • In einem fünften Erfassungsschritt 10.5 wird der erste Datensatz zusammen mit der zweiten digitalen Signatur in einem dritten Speicherbereich des ersten Speichers 3.2 gespeichert. Durch die Anordnung der Sicherheitseinrichtung 3 in der sicheren Umgebung 8 ist dabei sichergestellt, dass der erste Datensatz und die zweite digitale Signatur vor unbefugtem Zugriff gesichert gespeichert sind.
  • In einem sechsten Erfassungsschritt 10.6 wird der erste Datensatz zusammen mit der zugehörigen zweiten digitalen Signatur über einen entsprechend abgesicherten Kommunikationskanal vor unbefugtem Zugriff gesichert an die Datenzentrale 7 übermittelt. Gegebenenfalls können auch mehrere, über die Zeit generierte erste Datensätze zusammen mit der jeweiligen zweiten digitalen Signatur zur Datenzentrale 7 übertragen werden.
  • Es versteht sich hierbei, dass bei anderen Varianten ohne derart abgesicherte Kommunikation zwischen der Sicherheitseinrichtung 3 und der Datenzentrale 7 auch vorgesehen sein kann, dass der erste Datensatz vor der Übertragung anonymisiert, in nicht interpretierbare Datensegmente zerlegt und dann segmentweise getrennt übertragen wird. Hierbei kann als zusätzliche Absicherung auch vorgesehen sein, dass die zu übertragenden Datensegmente verschlüsselt werden.
  • In einem siebten Erfassungsschritt 10.7 wird derjeweilige übermittelte erste Datensatz anhand der zweiten digitalen Signatur in bekannter Weise verifiziert. Hierzu wird aus dem übertragenen ersten Datensatz mittels des zuvor für die Generierung des zweiten Nachrichtenkerns verwendeten Hash-Algorithmus ein dritter Nachrichtenkern generiert. Weiterhin wird zur Rekonstruktion des zweiten Nachrichtenkerns die zweite digitale Signatur mit dem zugehörigen öffentlichen Schlüssel der Sicherheitseinrichtung 3 entschlüsselt. Entspricht der dritten Nachrichtenkern in dem zweiten Nachrichtenkern, ist sichergestellt, dass der erste Datensatz nicht verändert wurde.
  • In einem achten Erfassungsschritt 10.8 wird der erste Datensatz mit dem Herzsignalen dann in der erforderlichen Weise aufbereitet und weiterverarbeitet, wobei ein modifizierter erster Datensatz generiert wird. Dabei wird weiterhin ein Verarbeitungsprotokoll über die Aufbereitung und Weiterverarbeitung erstellt, aus dem die an dem ersten Datensatzes vorgenommenen Veränderungen ersichtlich sind.
  • Weiterhin wird in dem achten Verfassungsschutz 10.8 in der Datenzentrale 7 unter Zugriff auf ein zweites Zeiterfassungsmodul 7.1 eine den Zeitpunkt der Aufbereitung bzw. Weiterverarbeitung des ersten Datensatzes kennzeichnende Verarbeitungszeitkennung generiert, die ebenfalls in das Verarbeitungsprotokoll aufgenommen wird. Die Generierung der Verarbeitungszeitkennung erfolgt dabei analog zu der oben beschriebenen Generierung der Zugriffszeitkennung bzw. Erfassungszeitkennung, sodass diesbezüglich auf die obigen Ausführungen verwiesen wird. Weiterhin entspricht das zweite Zeiterfassungsmodul 7.1 in seiner Funktion und seinem Aufbau dem ersten Zeiterfassungsmodul 3.7, sodass auch diesbezüglich auf die obigen Ausführungen verwiesen wird.
  • In einem neunten Erfassungsschritt 10.9 wird das Verarbeitungsprotokoll manipulationssicher mit dem modifizierten ersten Datensatz verknüpft, indem die Datenzentrale 7 über einem zweiten Datensatz analog zu der oben beschriebenen Vorgehensweise eine dritte digitale Signatur erstellt. Der zweite Datensatz umfasst dabei den modifizierten ersten Datensatz, die zweite digitale Signatur und das Verarbeitungsprotokoll. Der zweite Datensatz, das Verarbeitungsprotokoll und die zugehörige dritte digitale Signatur werden dann in einer Datenbank 7.2 der Datenzentrale in entsprechend verknüpfter Weise für die weitere Verwendung gespeichert, bevor der Ablauf in einem zehnten Schritt 10.10 endet. Die Speicherung erfolgt dabei je nach der Sensitivität der Daten, d. h. je nach den zu erfüllenden Sicherheits- bzw. Datenschutzanforderungen, in entsprechend abgesicherter Weise.
  • Es versteht sich hierbei im Übrigen, dass der zweite Datensatz bei anderen Varianten der Erfindung nicht notwendigerweise das Verarbeitungsprotokoll umfassen muss. So kann es zur Reduktion des zu verarbeitenden Datenvolumens ausreichen, dass der zweite Datensatz einen so genannten Pointer, also einen entsprechenden Zeiger umfasst, der auf den Speicherort des Verarbeitungsprotokolls in der Datenbank 7.2 verweist.
  • 4 zeigt eine schematische Darstellung einer weiteren bevorzugten Ausführungsform der erfindungsgemäßen Anordnung, die im Zusammenhang mit der Untersuchung von Schlafzuständen eines Patienten 11 in einer Arztpraxis eingesetzt wird. Die Anordnung umfasst eine Sicherheitseinrichtung 3' und die Parametererfassungseinrichtung 5 aus 1 sowie eine Reihe von Erfassungseinrichtungen 12.1, 12.2, 12.3, 12.4, 12.5 und 12.6 mit ent sprechenden Sensoren zur Erfassung unterschiedlicher biometrischer Daten des Patienten 11. Die Sicherheitseinrichtung 3' entspricht in ihrem Aufbau und ihrer Funktion weit gehend der Sicherheitseinrichtung 3 aus 1, sodass identische Komponenten mit identischen Bezugszeichen versehen sind und im Folgenden lediglich auf die Unterschiede eingegangen werden soll. Die Sicherheitseinrichtung 3', die Parametererfassungseinrichtung 5 und die Erfassungseinrichtungen 12.1 bis 12.6 sind wiederum in einer sicheren Umgebung 13 angeordnet, welche in der oben beschriebenen Weise analog zur sicheren Umgebung 8 realisiert wird.
  • Die erste Schnittstelle 3.3' ist im vorliegenden Fall von einer einfachen Steckbuchse gebildet, an die zumindest zeitweise ein externer Praxiscomputer 14 mit Tastatur und Bildschirm angeschlossen ist. An den Praxiscomputer 14 ist ein Chipkartenleser 15 angeschlossen, in den Chipkarten 16 und 17 eingeführt werden können. Bei der Chipkarte 16 handelte sich dabei um eine Bedienerkarte eines Mitglieds der Arztpraxis, auf der neben der Zugreiferkennung des Bedieners auch in entsprechend abgesicherter Weise ein dem Bediener zugeordnetes Passwort sowie ein kryptographisches Zertifikat gespeichert ist. Bei der Chipkarte 17 handelt es sich um die Krankenversicherungskarte des Patienten 11.
  • Die Überprüfung der Zugriffsberechtigung in dem oben beschriebenen zweiten Konfigurationsschritt 9.2 erfolgt bei dieser Ausführung durch eine Kombination aus der oben beschriebenen Passwortüberprüfung und einer Verifizierung eines kryptographischen Zertifikats, das auf der Bedienerkarte 16 gespeichert ist. Hierzu führt der Benutzer zunächst die Bedienerkarte 16 in den Chipkartenleser 15 ein und gibt dann nach einer entsprechenden Aufforderung, die über den Bildschirm des Praxiscomputers 14 ausgegeben wird, über die Tastatur des Praxiscomputers 14 ein ihm zugeordnetes Passwort ein. Sobald die Eingabe erfolgt ist und sämtliche Daten über die Schnittstelle 3.3' an die Sicherheitseinrichtung 3' weitergegeben wurden, überprüft die Verarbeitungseinheit 3.1 unter Zugriff auf einen entsprechenden ersten Speicherbereich des ersten Speichers 3.2 die Zugriffsberechtigung des Bedieners durch Verifizierung des übermittelten kryptographischen Zertifikats und Vergleich der eingegebenen Daten mit den von der Bedienerkarte gelesenen Daten.
  • Im Fall einer positiv verlaufenen Überprüfung der Zugriffsberechtigung wird in dem oben beschriebenen dritten Konfigurationsschritt über den Chipkartenleser 15 die dem Patienten 1 zugeordnete erste Identifikation eingegeben. Hierzu wird nach entsprechender Aufforderung über den Bildschirm des Praxiscomputers 14 die Krankenversicherungskarte 17 in den Chipkartenleser 15 eingeführt. Von der Krankenversicherungskarte 17 wird dann die erste Identifikation gelesen, über die erste Schnittstelle 3.3' an die Sicherheitseinrichtung 3' weitergegeben und in einem zweiten Speicherbereich des ersten Speichers 3.2 gespeichert. Vor dem Speichern der ersten Identifikation erfolgt automatisch eine Initialisierung der Sicherheitseinrichtung und der angeschlossenen Erfassungseinrichtungen 12.1 bis 12.6.
  • Die erste Erfassungseinrichtung 12.1 erfasst als erste biometrische Daten ein EKG des Patienten. Die zweite Erfassungseinrichtung 12.2 erfasst als zweite biometrische Daten Signale, welche für die Brustatmung des Patienten repräsentativ sind. Die dritte Erfassungseinrichtung 12.3 erfasst als dritte biometrische Daten Signale, welche für die Muskelspannung des Patienten repräsentativ sind. Die vierte Erfassungseinrichtung 12.4 erfasst als vierte biometrische Daten Signale, welche für die nasale Atmung des Patienten repräsentativ sind. Die fünfte Erfassungseinrichtung 12.5 erfasst als fünfte biometrische Daten Signale, welche für die Augenbewegungen des Patienten repräsentativ sind. Die sechste Erfassungseinrichtung 12.6 erfasst schließlich als sechste biometrische Daten Signale, welche für die Hirnströme des Patienten repräsentativ sind.
  • Die Erfassungseinrichtungen 12.1 bis 12.6 sind mit der zweiten Schnittstelle 3.4 der Sicherheitseinrichtung 3' verbunden. Über einen bestimmten vorgegebenen Zeitraum werden die ersten bis sechsten biometrische Daten von der jeweiligen Erfassungseinrichtung 12.1 bis 12.6 erfasst und anschließend an die Sicherheitseinrichtung 3' übermittelt.
  • Die Sicherheitseinrichtung 3' verarbeitet die übermittelten biometrischen Daten jeweils in der oben im Zusammenhang mit den 1 bis 3 beschriebenen Weise, sodass diesbezüglich auf die obigen Ausführungen verwiesen wird. Insbesondere werden die jeweiligen erfassten biometrische Daten mit einer ersten Identifikation des Patienten 11 sowie einer Erfassungseinrichtungskennung der jeweiligen, sie erfassenden Erfassungseinrichtung 12.1 bis 12.6 in der oben beschriebenen Weise manipulationssicher verknüpft.
  • Dabei wird für die jeweiligen biometrischen Daten in der oben beschriebenen Weise ein gesonderter erster Datensatz sowie eine zugehörige zweite digitale Signatur generiert. Es werden mithin also sechs erste Datensätze sowie sechs zugehörige zweite digitale Signaturen erzeugt. Diese werden dann in dem ersten Speicher 3.2 gespeichert und können in entsprechend abgesicherter Weise über das Datennetz 6 zur Weiterverarbeitung versandt werden.
  • Es versteht sich jedoch, dass bei anderen Varianten der Erfindung für die ersten bis sechsten biometrischen Daten ein gemeinsamer erster Datensatz sowie eine zugehörige digitale Signatur generiert werden kann.

Claims (48)

  1. Anordnung, insbesondere medizinisches Gerät, zum Erfassen biometrischer Daten eines Individuums (1; 11) mit einer ersten Erfassungseinrichtung (2; 12.1) zur Erfassung erster biometrischer Daten und einer mit der ersten Erfassungseinrichtung (2; 12.1) verbundenen Sicherheitseinrichtung (3; 3'), die eine Verarbeitungseinheit (3.1) und einen damit verbundenen ersten Speicher (3.2) umfasst, dadurch gekennzeichnet, dass in dem ersten Speicher (3.2) eine dem Individuum (1; 11) zugeordnete erste Identifikation gespeichert ist und die Verarbeitungseinheit (3.1) zum manipulationssicheren Verknüpfen der ersten biometrischen Daten mit der ersten Identifikation ausgebildet ist.
  2. Anordnung nach Anspruch 1, dadurch gekennzeichnet, dass die Verarbeitungseinheit (3.1) zum manipulationssicheren Verknüpfen der ersten biometrischen Daten mit der ersten Identifikation unter Verwendung kryptographischer Mittel, insbesondere einer digitalen Signatur, ausgebildet ist.
  3. Anordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in dem ersten Speicher (3.2) eine für die erste Erfassungseinrichtung (2; 12.1) charakteristische erste Erfassungseinrichtungskennung gespeichert ist und die Verarbeitungseinheit (3.1) zum, insbesondere manipulationssicheren, Verknüpfen der ersten biometrischen Daten mit der ersten Erfassungseinrichtungskennung ausgebildet ist.
  4. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Parametererfassungseinrichtung (5) zur Erfassung wenigstens eines bei der Erfassung der ersten biometrischen Daten vorherrschenden Erfassungsparameters vorgesehen ist und dass die Verarbeitungseinheit (3.1) zum, insbesondere manipulationssicheren, Verknüpfen der ersten biometrischen Daten mit dem Erfassungsparameter ausgebildet ist.
  5. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Sicherheitseinrichtung (3; 3') eine mit der Verarbeitungseinheit (3.1) verbundene erste Schnittstelleneinrichtung (3.3; 3.3') zum Zugreifen auf den ersten Speicher (3.2) umfasst, über welche zumindest die erste Identifikation veränderbar ist.
  6. Anordnung nach Anspruch 5, dadurch gekennzeichnet, dass die Verarbeitungseinheit (3.1) zur Überprüfung der Zugriffsberechtigung auf die Sicherheitseinrichtung (3; 3'), insbesondere der Zugriffsberechtigung auf den ersten Speicher (3.2), ausgebildet ist.
  7. Anordnung nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die Sicherheitseinrichtung (3; 3') ein mit der Verarbeitungseinheit (3.1) verbundenes Quittungsmodul (3.5) mit einem zweiten Speicher (3.51) umfasst und die Verarbeitungseinheit (3.1) zur Erstellung einer Quittung für einen Zugriff auf die Sicherheitseinrichtung (3; 3'), insbesondere für einen Zugriff auf den ersten Speicher (3.2), und zum Speichern der Quittung in dem zweiten Speicher (3.51) ausgebildet ist.
  8. Anordnung nach Anspruch 7, dadurch gekennzeichnet, dass die Quittung eine für den Zugreifer charakteristische Zugreiferkennung umfasst.
  9. Anordnung nach einem der Ansprüche 5 bis 8, dadurch gekennzeichnet, – dass die Verarbeitungseinheit (3.1) zum Erstellen eines Quittungsprotokolls ausgebildet ist, das zumindest eine Quittung mit einer Zugreiferkennung umfasst, die für den Zugreifer charakteristisch ist, der zuletzt verändernd, insbesondere unter Veränderung des Inhalts des ersten Speichers (3.2), auf die Sicherheitseinrichtung (3; 3') zugegriffen hat, und – dass die Verarbeitungseinheit (3.1) zum, insbesondere manipulationssicheren, Verknüpfen der ersten biometrischen Daten mit dem Quittungsprotokoll ausgebildet ist.
  10. Anordnung nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass die Quitung eine für den Zugriffszeitpunkt charakteristische Zugriffszeitkennung umfasst.
  11. Anordnung nach Anspruch 10, dadurch gekennzeichnet, dass die Sicherheitseinrichtung (3; 3') zur Ermittlung der Zugriffszeitkennung ein mit der Verarbeitungseinheit (3.1) verbundenes erstes Zeiterfassungsmodul (3.7) umfasst.
  12. Anordnung nach einem der Ansprüche 7 bis 11, dadurch gekennzeichnet, dass die Verarbeitungseinheit (3.1) zum Absichern der Quittung und/oder der Zugreiferkennung und/oder der Zugriftszeitkennung durch kryptographische Mittel ausgebildet ist.
  13. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Verarbeitungseinheit (3.1) zum, insbesondere manipulationssicheren, Verknüpfen der ersten biometrischen Daten mit einer für den Erfassungszeitpunkt der ersten biometrischen Daten charakteristischen Erfassungszeitkennung ausgebildet ist.
  14. Anordnung nach Anspruch 13, dadurch gekennzeichnet, dass die Sicherheitseinrichtung zur Ermittlung der Erfassungszeitkennung ein mit der Verarbeitungseinheit (3.1) verbundenes Zeiterfassungsmodul (3.7) umfasst.
  15. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens eine zweite Erfassungseinrichtung (12.2) zur Erfassung zweiter biometrischer Daten vorgesehen ist und dass die Sicherheitseinrichtung (3; 3') zum manipulationssicheren Verknüpfen der zweiten biometrischen Daten mit der ersten Identifikation ausgebildet ist.
  16. Anordnung nach Anspruch 15, dadurch gekennzeichnet, dass die Verarbeitungseinheit (3.1) zum, insbesondere manipulationssicheren, Verknüpfen der zweiten biometrischen Daten mit einer für die zweite Erfassungseinrichtung (12.2) charakteristischen zweiten Erfassungseinrichtungskennung ausgebildet ist.
  17. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Sicherheitseinrichtung (3; 3') zum vor unbefugtem Zugriff gesicherten und/oder vor unbefugter Einsicht gesicherten Speichern der biometrischen Daten ausgebildet ist.
  18. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Sicherheitseinrichtung (3; 3') ein mit der Verarbeitungseinheit (3.1) verbundenes Kryptographiemodul (3.6) umfasst, welches dazu ausgebildet ist, der Verarbeitungseinheit (3.1) unter Verwendung wenigstens erster Kryptographiedaten kryptographische Mittel für wenigstens eine Sicherheitsanwendung zur Verfügung zu stellen, wobei die ersten Kryptographiedaten in einem dritten Speicher (3.61) des Kryptographiemoduls (3.6) gespeichert sind und einen ersten kryptographischen Algorithmus umfassen.
  19. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Erfassungseinrichtung (2; 12.1) und die Sicherheitseinrichtung (3; 3') in einer vor unbefugtem Zugriff geschützten sicheren Umgebung (8; 13) angeordnet sind.
  20. Anordnung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine mit der Verarbeitungseinheit (3.1) über eine Schnittstelleneinrichtung (3.9) verbindbare entfernte Datenzentrale (7) vorgesehen ist und dass die Verarbeitungseinheit (3.1) zum, insbesondere durch kryptographische Mittel abgesicherten, Über mitteln der erfassten biometrischen Daten über die Schnittstelleneinrichtung (3.9) an die entfernte Datenzentrale (7) ausgebildet ist.
  21. Anordnung nach Anspruch 20, dadurch gekennzeichnet, dass die Verarbeitungseinheit (3.1) – Anonymisieren der erfassten biometrischen Daten vor der Übermittlung an die Datenzentrale (7) ausgebildet ist und/oder – zum Segmentieren der erfassten biometrischen Daten in nicht interpretierbare Datensegmente und zum getrennten Übermitteln der Datensegmente an die Datenzentrale (7) ausgebildet ist.
  22. Anordnung nach Anspruch 20 oder 21, dadurch gekennzeichnet, dass die Datenzentrale (7) zum Verifizieren der übermittelten biometrischen Daten ausgebildet ist.
  23. Anordnung nach einem der Ansprüche 20 bis 22, dadurch gekennzeichnet, dass die Datenzentrale (7) zum Weiterverarbeiten der biometrischen Daten und zum Erstellen eines Protokolls über die Weiterverarbeitung ausgebildet ist.
  24. Anordnung nach Anspruch 23, dadurch gekennzeichnet, dass die Datenzentrale (7) zum, insbesondere manipulationssicheren, Verknüpfen der weiterverarbeiteten biometrischen Daten mit einer für den Verarbeitungszeitpunkt der biometrischen Daten charakteristischen Verarbeitungszeitkennung ausgebildet ist, wobei die Datenzentrale (7) zur Ermittlung der Verarbeitungszeitkennung insbesondere ein zweites Zeiterfassungsmodul (7.1) umfasst.
  25. Verfahren zur Erfassung biometrischer Daten eines Individuums (1; 11) mit einer ersten Erfassungseinrichtung (2; 12.1) zur Erfassung erster biometrischer Daten und einer damit verbundenen Sicherheitseinrichtung (3; 3'), dadurch gekennzeichnet, dass die Sicherheitseinrichtung (3; 3') eine dem Individuum zugeordnete erste Identifikation manipulationssicher mit den ersten biometrischen Daten verknüpft.
  26. Verfahren nach Anspruch 25, dadurch gekennzeichnet, dass die Sicherheitseinrichtung (3; 3') zum manipulationssicheren Verknüpfen der ersten biometrischen Daten mit der ersten Identifikation kryptographische Mittel, insbesondere eine digitale Signatur, verwendet.
  27. Verfahren nach Anspruch 25 oder 26, dadurch gekennzeichnet, dass die Sicherheitseinrichtung (3; 3') eine für die erste Erfassungseinrichtung (2; 12.1) charakteristische erste Erfassungseinrichtungskennung, insbesondere manipulationssicher, mit den ersten biometrischen Daten verknüpft.
  28. Verfahren nach einem der Ansprüche 25 bis 27, dadurch gekennzeichnet, dass wenigstens ein bei der Erfassung der ersten biometrischen Daten vorherrschender Erfassungsparameter erfasst und, insbesondere manipulationssicher, mit den ersten biometrischen Daten verknüpft wird.
  29. Verfahren nach einem der Ansprüche 25 bis 28, dadurch gekennzeichnet, dass die erste Identifikation veränderbar ist und vor der Veränderung der ersten Identifikation die Berechtigung hierzu überprüft wird.
  30. Verfahren nach Anspruch 29, dadurch gekennzeichnet, dass eine Quittung für eine Veränderung der ersten Identifikation erstellt wird, die insbesondere eine für den Zugreifer charakteristische Zugreiferkennung umfasst.
  31. Verfahren nach Anspruch 29 oder 30, dadurch gekennzeichnet, – dass ein Quittungsprotokoll erstellt wird, das zumindest eine Quittung mit einer Zugreiferkennung umfasst, die für den Zugreifer charakteristisch ist, der zuletzt verändernd, insbesondere unter Veränderung der ersten Identifikation, auf die Sicherheitseinrichtung zugegriffen hat, und – dass die ersten biometrischen Daten, insbesondere manipulationssicher, mit dem Quittungsprotokoll verknüpft werden.
  32. Verfahren nach Anspruch 30 und 31, dadurch gekennzeichnet, dass die Quittung eine für den Zugriffszeitpunkt charakteristische Zugriffszeitkennung umfasst.
  33. Verfahren nach einem der Ansprüche 30 bis 32, dadurch gekennzeichnet, dass die Quittung und/oder die Zugreiferkennung und/oder die Zugriffszeitkennung durch kryptographische Mittel abgesichert wird.
  34. Verfahren nach einem der Ansprüche 25 bis 33, dadurch gekennzeichnet, dass die ersten biometrischen Daten, insbesondere manipulationssicher, mit einer für den Erfassungszeitpunkt der ersten biometrischen Daten charakteristischen Erfassungszeitkennung verknüpft werden.
  35. Verfahren nach einem der Ansprüche 25 bis 34, dadurch gekennzeichnet, dass über wenigstens eine zweite Erfassungseinrichtung (12.2) zweite biometrische Daten erfasst werden, die manipulationssicher mit der ersten Identifikation verknüpft werden.
  36. Verfahren nach Anspruch 35, dadurch gekennzeichnet, dass die zweiten biometrischen Daten, insbesondere manipulationssicher, mit einer für die zweite Erfassungseinrichtung (12.2) charakteristischen zweiten Erfassungseinrichtungskennung verknüpft werden.
  37. Verfahren nach einem der Ansprüche 25 bis 36, dadurch gekennzeichnet, dass die biometrischen Daten vor unbefugtem Zugriff gesichert und/oder vor unbefugter Einsicht gesichert, insbesondere in der Sicherheitseinrichtung (3; 3'), gespeichert werden.
  38. Verfahren nach einem der Ansprüche 25 bis 37, dadurch gekennzeichnet, dass die erfassten biometrischen Daten, insbesondere durch kryptographische Mittel abgesichert, an eine entfernte Datenzentrale (7) übermittelt werden.
  39. Verfahren nach Anspruch 38, dadurch gekennzeichnet, dass die erfassten biometrischen Daten – vor der Übermittlung an die Datenzentrale (7) anonymisiert werden und/oder – in nicht interpretierbare Datensegmente segmentiert werden, die getrennt an die Datenzentrale (7) übermittelt werden.
  40. Verfahren nach Anspruch 38 oder 39, dadurch gekennzeichnet, dass die Datenzentrale (7) die übermittelten biometrischen Daten verifiziert.
  41. Verfahren nach einem der Ansprüche 38 bis 40, dadurch gekennzeichnet, dass die Datenzentrale (7) die biometrischen Daten weiterverarbeitet und ein Protokoll über die Weiterverarbeitung erstellt.
  42. Verfahren nach Anspruch 41, dadurch gekennzeichnet, dass die Datenzentrale (7) die weiterverarbeiteten biometrischen Daten, insbesondere manipulationssicher, mit einer für den Verarbeitungszeitpunkt der biometrischen Daten charakteristischen Verarbeitungszeitkennung verknüpft.
  43. Verfahren zur Konfiguration einer Anordnung zur Erfassung biometrischer Daten eines Individuums (1; 11) mit einer ersten Erfassungseinrichtung (2; 12.1) zur Erfassung erster biometrischer Daten und einer damit verbundenen Sicherheitseinrichtung (3; 3'), dadurch gekennzeichnet, dass in die Sicherheitseinrichtung (3; 3') eine dem Individuum zugeordnete erste Identifikation eingebracht wird.
  44. Verfahren nach Anspruch 43, dadurch gekennzeichnet, dass in die Sicherheitseinrichtung (3; 3') eine für die erste Erfassungseinrichtung (2; 12.1) charakteristische erste Erfassungseinrichtungskennung eingebracht wird.
  45. Verfahren nach Anspruch 43 oder 44, dadurch gekennzeichnet, dass beim Einbringen der ersten Identifikation in die Sicherheitseinrichtung (3; 3') die Berechtigung hierzu überprüft wird.
  46. Verfahren nach einem der Ansprüche 43 bis 45, dadurch gekennzeichnet, dass eine Quittung für das Einbringen der ersten Identifikation und/oder der ersten Erfassungseinrichtungskennung erstellt und in der Sicherheitseinrichtung (3; 3') gespeichert wird, wobei die Quittung insbesondere eine für den Zugreifer charakteristische Zugreiferkennung umfasst.
  47. Verfahren nach einem der Ansprüche 43 bis 46, dadurch gekennzeichnet, dass ein Quittungsprotokoll erstellt wird, das zumindest eine Quittung mit einer Zugreiferkennung umfasst, die für den Zugreifer charakteristisch ist, der zuletzt verändernd, insbesondere unter Veränderung der ersten Identifikation, auf die Sicherheitseinrichtung (3; 3') zugegriffen hat.
  48. Verfahren nach Anspruch 46 oder 47, dadurch gekennzeichnet, dass die Quittung eine für den Zugriffszeitpunkt charakteristische Zugriffszeitkennung umfasst.
DE10340064A 2003-08-28 2003-08-28 Anordnung und Verfahren zur Erfassung biometrischer Daten Withdrawn DE10340064A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE10340064A DE10340064A1 (de) 2003-08-28 2003-08-28 Anordnung und Verfahren zur Erfassung biometrischer Daten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10340064A DE10340064A1 (de) 2003-08-28 2003-08-28 Anordnung und Verfahren zur Erfassung biometrischer Daten

Publications (1)

Publication Number Publication Date
DE10340064A1 true DE10340064A1 (de) 2005-04-07

Family

ID=34258296

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10340064A Withdrawn DE10340064A1 (de) 2003-08-28 2003-08-28 Anordnung und Verfahren zur Erfassung biometrischer Daten

Country Status (1)

Country Link
DE (1) DE10340064A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1862930A3 (de) * 2006-05-30 2008-06-18 BIOTRONIK CRM Patent AG Verfahren und Vorrichtung zur automatischen Registrierung eines patientengebundenen medizinischen Gerätes
US11298051B2 (en) 2019-03-20 2022-04-12 Stryker European Holdings I, Llc Technique for processing patient-specific image data for computer-assisted surgical navigation

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999065175A1 (en) * 1998-06-10 1999-12-16 Sandia Corporation Method for generating, storing, and verifying a binding between an authorized user and a token
US6307955B1 (en) * 1998-12-18 2001-10-23 Topaz Systems, Inc. Electronic signature management system
US20030028774A1 (en) * 2001-08-06 2003-02-06 Meka Anil Kumar Ensuring the integrity of an electronic document
US6587945B1 (en) * 1998-12-28 2003-07-01 Koninklijke Philips Electronics N.V. Transmitting reviews with digital signatures

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999065175A1 (en) * 1998-06-10 1999-12-16 Sandia Corporation Method for generating, storing, and verifying a binding between an authorized user and a token
US6307955B1 (en) * 1998-12-18 2001-10-23 Topaz Systems, Inc. Electronic signature management system
US6587945B1 (en) * 1998-12-28 2003-07-01 Koninklijke Philips Electronics N.V. Transmitting reviews with digital signatures
US20030028774A1 (en) * 2001-08-06 2003-02-06 Meka Anil Kumar Ensuring the integrity of an electronic document

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MICHAELIS, u.a.: "Ein Sicherheitskonzept für kli- nische Anwendungssysteme", Europäische Perspekti- ven der Medizinischen Informatik, Biometrie und Epidemiologie, MMV Medizin Verlag, München 1993, S. 371-374 *
RULAND: "Sichere Übertragung und Archivierung elektronischer Dokumente", DATACOM, derzeit MBme- dien GmbH, Krefeld, 03/1991 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1862930A3 (de) * 2006-05-30 2008-06-18 BIOTRONIK CRM Patent AG Verfahren und Vorrichtung zur automatischen Registrierung eines patientengebundenen medizinischen Gerätes
US7859400B2 (en) 2006-05-30 2010-12-28 Biotronik Crm Patent Ag Method and apparatus for automatic registration of a patient-bound medical unit
US11298051B2 (en) 2019-03-20 2022-04-12 Stryker European Holdings I, Llc Technique for processing patient-specific image data for computer-assisted surgical navigation
US11911149B2 (en) 2019-03-20 2024-02-27 Stryker European Operations Holdings Llc Technique for processing patient-specific image data for computer-assisted surgical navigation

Similar Documents

Publication Publication Date Title
DE69815575T2 (de) Verfahren und Vorrichtung zur Speicherung von Daten und Steuerung des Zugriffs dazu
EP2147388B1 (de) Computersystem und verfahren zur speicherung von daten
DE112008004045T5 (de) Verfahren und System zum Bereitstellen von Berechtigungen einer Aufzeichnungsvorrichtung mittels einer biometrischen Bewertung
DE19925910A1 (de) Verfahren zum Be- oder Verarbeiten von Daten
DE102007019375A1 (de) Systeme und Verfahren zur Re-Identifikation von Patienten
WO2015117850A1 (de) Verfahren zum zugang zu einem physisch abgesicherten rack sowie computernetz-infrastruktur
DE10156877B4 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
DE112018007132T5 (de) Fahrzeuginternes Funktionszugriffkontrollsystem, fahrzeuginterne Vorrichtung und fahrzeuginternes Funktionszugriffkontrollverfahren
DE112017004464T5 (de) Healthcare-überwachungsmethode und system zur sicherheit kommunikation von patientendaten
EP2080144B1 (de) Verfahren zum freischalten einer chipkarte
DE10340064A1 (de) Anordnung und Verfahren zur Erfassung biometrischer Daten
CH713712B1 (de) Encryption-Decryption Engine zur Handhabung sensitiver Patientendaten und entsprechendes Verfahren.
DE202020004275U1 (de) Ferntesten
DE102016015368A1 (de) Medizinische Vorrichtung und Verfahren zum Betreiben einer medizinischen Vorrichtung
EP3336732B1 (de) Nutzerauthentifizierung mit einer mehrzahl von merkmalen
DE202022107224U1 (de) System zur sicheren Speicherung und Transaktion von Gesundheitsdaten in miteinander verbundenen implantierten medizinischen Geräten und Steuerungsserver
DE112011104945T5 (de) Informationsverarbeitungsgerät und Informationsverarbeitungsprogramm
EP1864196B1 (de) Lesegerät mit integrierter kryptographieeinheit
EP2672419B1 (de) Verfahren zum Erzeugen eines gesicherten Datenobjekts und System
EP1365363B1 (de) Verfahren zur Ausführung einer Datentransaktion mittels einer aus einer Haupt- und einer trennbaren Hilfskomponente bestehenden Transaktionsvorrichtung
DE10209780A1 (de) Datenverarbeitungssystem für Patientendaten
DE10307995B4 (de) Verfahren zum Signieren von Daten
DE102018005746A1 (de) Medizinische Notfalldatenzugangsanordnung
EP1529257A2 (de) Übernehmen eines datensatzes in eine recheneinheit
DE202023105750U1 (de) Blockchain- und IoT-basiertes elektronisches Gesundheitsaktengerät

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140301