Stand der Technik Geräte zur Ausgabe von Wertscheinen in Form von Banknoten sind beispielsweise als Geldausgabeautomaten bekannt.

In der DE OS 27 17 345 ist ein Ausgeber gezeigt, der aus magazinierten Vorräten insbesondere Banknoten zur Ausgabe zusammenstellt. In der US 3,945,277 ist ein eigenständi- ger Geldausgabegerät beschrieben, bei dem Karten mit Ma- gnetstreifen eingesetzt werden, um das zu belastende Kon- to und die Höchstmenge des jeweils auszugeben Betrags zu codieren. In der US 3,675,816 wird gleichfalls ein Geld- ausgabeautomat beschrieben, bei dem die Daten eines ma- schinell lesbaren Schecks mit den Daten einer Magnetkarte verglichen werden, um eine Auszahlung zuzulassen. In der US 3,956,615 ist ein Geldausgabeautomat beschrieben, bei dem für jede Auszahlung oder Transaktion eine Kommunika- tion aber eine Datenkommunikationseinrichtung mit einem zentralen Autorisierungsrechner erfolgt, welcher die Aus- zahlung gleichzeitig autorisiert und verbucht.

Allen bekannten Anordnungen ist gemeinsam, daß die Steue- rung, der auch als Vereinzler bezeichnete Ausgeber, die Leseeinrichtungen für Belege oder Magnetkarten usw. im Innern eines geschützten Gehäuses oder Tresors unterge- bracht sind, damit kein unbefugter Zugriff darauf möglich ist. Dabei muß selbstverständlich die Steuerung mit von

dem Tresor geschützt werden, weil sonst eine Manipulation dahingehend möglich wäre, Geld ohne Autorisierung auszu- geben. Solange die Steuerung speziell für diesen Zweck entwickelt und von geringer Komplexität und Leistungsfä- higkeit ist, stellt dies kein besonderes Problem dar.

In dem Maße jedoch, wie als Steuerrechner handelsübliche Personal Computer mit entsprechend komplexen Betriebssy- stemen und Programmen von mehreren Megabyte Code einge- setzt werden, ist eine Sicherheitskontrolle der Software extrem aufwendig. Zudem ist der eigentlich problemlose Austausch von Baugruppen immer mit einer Öffnung des Tre- sors verbunden, die in der Regel nur unter spezieller Aufsicht erfolgen darf.

Aufgabe der Erfindung ist es daher, eine Station zur Aus- gabe von geschützt abgelegten Wertscheinen anzugeben, bei der Komponenten so angeordnet sind bzw. betrieben werden, daß die Ablaufsteuerung sich überwiegend außerhalb des Tresors, der die Wertscheine schützt, befinden kann.

Darstellung der Erfindung Die Erfindung löst die Aufgabe dadurch, daß eine Überwa- chung derart vorgesehen ist, daß der (Maximal-) Betrag jeder Auszahlung unabhängig von der restlichen Steuerung limitiert wird, indem beim Überschreiten des jeweils au- torisierten Betrags die Ausgabe gesperrt wird.

Es handelt sich also um ein Gerät und Verfahren zur gesi- cherten Ausgabe von Wertscheinen, wobei eine signierte Freigabenachricht einen Gesamtwert der auszugebenden Wertscheine enthält, ein Verifikator die Signatur prüft, der Gesamtwert mit der Summe der Werte der auszugebenden Wertscheine verglichen wird und aus dem Vergleich und Einbeziehung der Prüfung der Signatur ein Sperrsignal für die Ausgabe aus einer Ausgabeöffnung heraus erzeugt wird,

solange die Signatur ungültig oder der Gesamtwert kleiner als die Summe ist.

Dabei wird zur Vereinfachung der Begriff"Wertschein" stellvertretend für Gegenstände verwendet, denen eine Wertzahl zugeordnet ist ; eingeschlossen sollen also auch Münzen, Pfandmarken, Eintrittskarten usw. sein, wie wei- ter hinten noch erläutert wird.

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung, welche in Verbindung mit den beigefügten Figuren die Erfindung an Hand eines Aus- führungsbeispiels erläutert.

Kurzbeschreibung der Zeichnungen Es zeigen Fig. 1 ein Blockdiagramm eines Geräts zur Ausgabe von Wertscheinen.

Beschreibung einer Ausführungnfn-rm der Erfindung In Fig. 1 ist ein Gerät 10 zur Ausgabe von Wertscheinen dargestellt. Es enthält eine Steuerung 100, die die Ab- läufe in dem Gerät initiiert und überwacht. Sie ist auch für die allgemeine Kommunikation mit dem Benutzer zustän- dig und kann für diese Zwecke mit einem Bildschirm und einer Tastatur oder einem Zeigegerät (Maus) verbunden sein. Diese nicht gezeigten Kommunikationseinrichtungen dienen beispielsweise dazu, in einem Dialog Art und Menge der auszugebenden Wertscheine und, sofern sinnvoll, die Stückelung oder andere Angaben aufzunehmen.

Über eine Verbindung 380 ist die Steuerung 100 mit einem Ausgeber 310 verbunden, der aus einem (nicht gezeigten)

Vorrat eine Anzahl von Wertscheinen 320 zur Ausgabe in Richtung des Pfeiles A bereitstellen und über eine Ausga- beöffnung 202 ausgeben kann. Der Ausgeber 310 ist eine Kombination von Mechanik und Elektronik, wie sie bei- spielsweise in der erwähnten DE OS 27 17 345 dargestellt ist. Die Steuerung 100 gibt aber die Verbindung 380 Auf- träge an den Ausgeber 310. Solche Aufträge umfassen ins- besondere die Auswahl einer Anzahl von Wertscheinen aus einem bestimmten Magazin, deren Bereitstellung und finale Ausgabe aus der Ausgabeöffnung 202 heraus. Diese Anord- nung ist soweit allgemein bekannt ; die weiteren in Fig. 1 innerhalb des Gehäuses 201 gezeigten Komponenten sind für die Erfindung spezifisch und werden weiter unten erläu- tert.

Ein überwiegend bislang benutzter Geldausgabeautomat nach dem Stand der Technik sieht ferner einen Authentisator 500 vor, der meist einen Magnet-oder Chipkartenleser 520 <BR> <BR> <BR> <BR> enthält. Eine bedienende Person 88 schiebt eine Ausweis- karte 77 in den Eingabeschlitz 502 eines Kartenlesers. <BR> <BR> <BR> <BR> <P>Daraufhin wird die Karte 77 geprüft. Die Daten werden an ein Sicherheitsmodul 510 weitergeben, das durch ein be- sonderes Gehäuse gegen Manipulationen geschützt ist. In dem Schutzbereich findet sich eine Tastatur 511 zur Ein- gabe einer Geheimzahl. Nach deren Eingabe sendet der Si- cherheitsmodul 510 eine, meist verschlüsselte, Nachricht über die Verbindung 580. Diese wird gewöhnlich aber die Steuerung 100 und eine Datenübertragungsverbindung 602 eines Netzwerks 600 an einen Autorisierungsrechner 601 geschickt. Dabei wird die Nachricht des Sicherheitsmoduls 510 von der Steuerung noch um den gewünschten Auszah- lungsbetrag ergänzt, sofern dieser nicht zuvor bereits dem Sicherheitsmodul 510 mitgeteilt wurde und bereits in der verschlüsselten Nachricht enthalten ist. In dem Auto- risierungsrechner 601 wird sodann eine Buchung durchge- führt und eine Antwort an die Steuerung 100 zurückge- schickt. Der die Station betreibende Anwender legt dabei

fest, ob und wann die Buchungstransaktion im Autorisie- rungsrechner abgeschlossen ist. Üblicherweise sendet der Autorisierungsrechner 601 zunächst ein Kommando zur Be- reitstellung der Wertscheine, welches bei der letzendli- chen Ausgabe durch die Ausgabeöffnung 202 bestätigt wird und die Transaktion abschließt. Andere Protokolle, bei denen beispielsweise ein Storno vorgesehen ist, sind gleichfalls möglich. Ersichtlich bewirkt die Erfindung gerade eine Entkopplung von dem tatsächlich verwendeteten Protokoll, welches die Ausgabe im Detail steuert.

Im einfachsten Fall enthält die Antwort eine Angabe, daß der gewünschte Betrag gebucht ist und nunmehr ausgezahlt werden kann. Die Steuerung gibt die entsprechenden Befeh- le aber die Verbindung 380 an den Auszahler 310, der die auszugebenden Wertscheine 320 bereitstellt (oder bereits bereitgestellt hat) und nun über die Ausgabeöffnung 202 ausgibt.

Für den Fall, daß keine Online-Verbindung 602 möglich ist, kann auch aber den Sicherheitsmodul 510 eine Freigabe einer Auszahlung erfolgen. In diesem Fall werden die ausgezahlten Werte gespeichert und später an den Autorisierungsrechner 601 übermittelt.

Es ist ersichtlich, daß die Sicherheit gegen unberechtigte Auszahlungen dieser bislang benutzten Struktur insbesondere von der korrekten Funktion der Steuerung 100 abhängt, die daher zusammen mit dem Auszahler 310 in einem besonders gesicherten und meist nur mit zwei Schlüsseln nach dem"Vieraugenprinzip" zugänglichen Tresor enthalten ist. Nach dem Aufschließen des Tresors sind sowohl die Vorratsbehälter für die Wertscheine als auch die Steuerung 100 und der Ausgeber 310 frei zugänglich.

Die Erfindung erlaubt es nun, die Steuerung 100 außerhalb des Tresors anzuordnen und durch wesentlich vereinfachte

Mittel zu ersetzen, die insbesondere bei Änderungen der Kommunikation mit dem Benutzer, der Datenübertragungsver- bindung 602 und anderen, sicherheitstechnisch irrelevan- ten Änderungen nicht mehr betroffen ist.

Gemäß der Erfindung ist in der Station 10 weiterhin eine Steuerung 100 vorgesehen, die jedoch nicht besonders ge- sichert zu sein braucht und deren Eigenschaften für die Sicherheit gegen unberechtigte Auszahlungen und damit die Erfindung unbedeutend sind. In der Station befindet sich ein Tresor 201, in dem einerseits der bekannte Auszahler 310 zusammen mit einem Vorrat an Wertscheinen enthalten ist. Dieser erhält weiterhin aber die Verbindung 380 Kom- mandos von der Steuerung 100, die damit im wesentlichen unverändert bleiben kann.

Neu hinzugefügt sind die im Prüfmodul 400 enthaltenen Komponenten. In der bevorzugten Ausführungsform ist der Prüfmodul durch eine Chipkarte realisiert ; Alternativen und Varianten sind weiter unten dargestellt.

Zum einen werden, wie bislang auch, über die Verbindung 380 Kommandos an den Auszahler gegeben, ein oder mehrere Wertscheine 320 bereitzustellen. Dabei wird ein Auszahler 310 verwendet, der die Wertzahl der Wertscheine 320 unab- hängig von der Steuerung 100 zu ermitteln vermag. Dies kann dadurch geschehen, daß eine nicht gezeigte Station vorgesehen ist, die die ausgewählten Wertscheine passie- ren und die den Wert ermittelt. Auch kann vorgesehen sein, daß die Wertscheine in Magazinen oder anderen Spei- chern angeordnet sind und diese einen Speicher enthalten, der die Wertzahl der gespeicherten Wertscheine enthält und von der Bedienperson, die die Wertscheine in das Ma- gazin fügt, eingestellt wird. Auch ist es möglich, daß zwar diese Zahlen von der Steuerung übermittelt und in dem Auszahler 310 gespeichert werden, diese Angaben aber aber eine nicht dargestellte Anzeige von der den Tresor

schließenden Person überprüft werden können. Ein bei- spielsweise durch Schließen des Tresors betätigter Schal- ter sperrt dann diesen Speicher gegen weitere Änderungen.

In der in Fig. 1 gezeigten Ausführungsform, werden die Werte bei der Bereitstellung von Wertscheinen 320 ermit- telt und, durch die Verbindung 381 symbolisiert, an einen Summierer 430 weitergegeben. Die jeweilige Summe wird, durch die Verbindung 483 angezeigt, einem Vergleicher 420 zur Verfügung gestellt.

Ferner umfaßt die Erfindung einen Verifikator 410. Dieser wird vorzugsweise als Chipkarte ausgebildet bzw. ist in einer solchen enthalten, für die eine Fertigungstechnik bekannt und eine Anzahl von Kommunikationsprotokollen standardisiert ist. Eine Chipkarte oder ein anderer Modul mit einer Schnittstelle, einer Verarbeitungseinheit und einem internen, nicht über die Schnittstelle direkt zu- gänglichen Speicher hat den Vorteil, daß sie eine optimal gesicherten Ablage für einen Schlüssel bereitstellt, wenn die nachfolgend aufgeführte Signaturprüfung kryptographi- sche Verfahren verwendet und daher einen geheimen Schlüs- sel benötigt.

Der Verifikator 410 erhält eine Freigabenachricht. Diese Übermittlung ist durch eine Verbindung 480 von der Steue- rung 100 zu dem Verifikator 410 symbolisiert. Die Freiga- benachricht wird in der Praxis meist über die Schnitt- stelle übermittelt, aber die schon die Steuerung mit dem Auszahler 310 verbunden ist, und von diesem zum Verifika- tor 410 weitergereicht. Dies ist die bevorzugte Lösung, da dann die Schnittstellen lokal innerhalb des Tresors 201 verbleiben. Da jedoch der Auszahler die Freigabenach- richt nicht verändert, ist strukturell eine Verbindung 480 von der Steuerung 100 zum Verifikator 410 darge- stellt.

Die Erzeugung der Freigabenachricht wird weiter unten be- schrieben ; zunächst ist festzustellen, daß sie neben Ver- waltungsinformation einen Gesamtwert enthält. Der Gesamt- wert ist eine Zahl, die mit den den Wertscheinen zugeord- neten Wertzahlen bzw. einer Summe davon logisch kommensu- rabel ist.

Die Freigabenachricht umfaßt ferner eine Signatur, um den Gesamtwert vor Verfälschung zu schützen. Diese Signatur ist vorzugsweise eine nach dem Stand der Technik krypto- graphisch gesicherte Signatur, z. B. ein"message authen- tication code", MAC, nach dem"data encryption standard", DES. Alternativ sind auch andere Verfahren, insbesondere als"public key"bezeichnete, verwendbar. Auch ist es möglich, daß die Freigabenachricht Redundanz enthält, mit DES oder einem anderen geeigneten Verfahren verschlüsselt ist und nach der Entschlüsselung die Redundanz prüfbar ist. Dieses Vorgehen sichert bekanntermaßen eine Freiga- benachricht sowohl gegen Verfälschung, wie hier notwen- dig, als auch gegen Ausspähung. Hierbei ist der Einsatz einer Chipkarte, d. h. einer integralen Einheit mit einer Schnittstelle, einem Prozessor und Speicher, sinnvoll und bevorzugt, da in dem Speicher der notwendig geheime Schlüssel zur Signaturprüfung gut gegen Ausspähung ge- schützt abgelegt werden kann. Es sei aber darauf hinge- wiesen, daß jeglicher Modul einsetzbar ist, der die Si- gnatur einer Nachricht zuverlässig überprüfen kann ; die Auswahl erfolgt nach Abwägung von Kosten, Handhabung und angestrebter Sicherheit.

Zeigt die Signatur an, daß die Nachricht unverfälscht ist, so kann die darin enthaltene Gesamtsumme entnommen und dem Vergleicher 420 zugeführt werden. Von der logi- schen Struktur her bekommt der Vergleicher die Gesamtsum- me aus der Nachricht sowie ein binäres Signal, das an- zeigt, daß die Gesamtsumme gültig ist. Daher ist in Fig.

1 eine Aufteilung der Verbindung 480 in eine Verbindung

481 zur Übermittlung der Signatur und eine Verbindung 482 <BR> <BR> <BR> für die Gesamtsumme symbolisiert. Vorzugsweise wird dies jedoch einfach dadurch codiert werden, daß der Verifika- tor 410 die Gesamtsumme extrahiert und eine Gesamtsumme von Null ausgibt, wenn keine passende Signatur vorliegt ; d. h. eine Gesamtsumme Null zeigt deren Ungültigkeit, eine größer Null deren Gültigkeit an. Wenn die Signatur durch Verschlüsselung einer Nachricht mit Redundanz gebildet ist, kann die Gesamtsumme auch nur durch den Verifikator 410 bzw. den Prüfmodul 400 bereitgestellt werden. Wird hingegen ein Signaturverfahren ohne Verschlüsselung ver- wendet, bei dem die Gesamtsumme der Freigabenachricht oh- ne weiteres entnommen werden kann und durch die Signatur lediglich gegen Veränderung, aber nicht gegen Ausspähung, geschützt wird, so kann der Gesamtwert auch von dem Aus- <BR> <BR> <BR> zahler 310 entnommen und dem Vergleicher 420 zugeführt<BR> <BR> <BR> <BR> werden. Der Vergleicher 420 erhält dann nur noch das durch die Verbindung 419 angezeigte Gültigkeitssignal vom Verifikator 410. Dies ist sicherheitstechnisch insofern möglich, als ohnehin der Ausgeber 310 in eine Sicher- heits-Abnahme mit einbezogen werden muß.

Der Vergleicher 420 erzeugt ein Sperrsignal 499, das so- lange anliegt, wie entweder das Gültigkeitssignal 419 fehlt oder die Zielsumme die Gesamtsumme überschreitet.

Dieses Sperrsignal 499 wirkt auf eine Sperre 330, welche, wenn aktiviert, wie durch den Pfeil C angedeutet, eine Ausgabe von Wertscheinen durch die Ausgabeöffnung 202 un- terbindet. Für die Ausgestaltung der Sperre 330 stehen eine große Anzahl von Alternativen zur Verfügung. So kann es sich um eine elektromagnetisch betätigte Klappe han- deln, die lediglich bei Abwesenheit des Sperrsignals ge- öffnet ist. Dabei kann dann der Verifikator unmittelbar an dem Aktuator der Klappe angeordnet sein, um eine Mani- pulation des Sperrsignals 499 zu erschweren.

Bevorzugt wird jedoch eine Lösung, bei der der Auszahler ohnehin durch einen Mikrocontroller gesteuert wird. Un- mittelbar an dem Mikrocontroller ist eine Aufnahme für eine Chipkarte als Prüfmodul 400 angebracht. Sowohl die Freigabenachricht 480 als auch die Wertzahlen 381 oder deren Summe 483 als auch das Sperrsignal 499 werden über eine einzige physikalische Schnittstelle zur Chipkarte übermittelt, deren Nachrichten durch das Programm des den Auszahler 310 steuernden Mikrocontrollers bestimmt und von ihm ausgewertet werden. Damit ist eine Beeinflussung dieser Verbindung erschwert. Wenn nämlich das Sperrsignal separat vorliegt, dann müßte eine Nachricht von nur einem Bit Informationsgehalt gesichert werden, was bekannterma- ßen problematisch ist. Beispielsweise kann die Freigabe- nachricht eine Transaktionsnummer enthalten und das Sperrsignal invertiert als Freigabesignal, die Transakti- onsnummer enthaltend und von dem Prüfmodul mit einem ein- fachen Signaturverfahren signiert, ausgebildet sein. Da- her ist dann die Sperre 330 in den Auszahler 310 inte- griert, wie durch die Umrahmung 300 in Fig. 1 symboli- siert ist.

Wird eine Transaktionsnummer in der Freigabenachricht verwendet, so wird sie vorzugsweise mit von der Signatur gesichert. Auch andere, hier nicht relevante Information kann mit von der Signatur geschützt werden ; das Gültig- keitssignal 419 kann dann auch dem Auszahler 310 und der Steuerung 100 zugänglich gemacht werden.

Anstelle einer Transaktionsnummer aus einer vorab verein- barten Liste kann auch eine Folgenummer verwendet werden, so daß der Verifikator verlorene und wiederholte Freiga- benachrichten als solche erkennen und verwerfen kann.

Diese Folgenummer wird mit von der Signatur gesichert.

Eine andere Weiterbildung setzt auch für das Steuerpro- gramm des Ausgebers 310 eine Chipkarte ein, so daß in dem

Tresor zwei Chipkarten vorhanden sind, die zusammenpassen müssen, um Wertscheine ausgeben zu können.

In der bevorzugten Ausführungsform werden der Verifikator 410, der Vergleicher 420 und der Summierer 430 in den Prüfmodul 400 integriert und als Chipkarte ausgeführt, da diese die notwendige Speicher-und Rechenleistung pro- blemlos erbringen kann. Wie bereits ausgeführt, können aber auch in einer Variante der Erfindung der Summierer 430 und der Vergleicher 420 mit in dem Steuerprogramm des Auszahlers untergebracht sein ; insbesondere, wenn dieses versiegelt oder als Chipkarte ausgeführt ist. Dies gilt auch für die Entnahme der Gesamtsumme, wenn die Freigabe- nachricht lediglich signiert und nicht verschlüsselt ist.

Eine besonders vorteilhafte Weiterbildung besteht darin, daß sowohl zumindest die sicherheitsrelevanten Teile der Steuerung des Auszahlers 310 als auch der Prüfmodul 400 vollständig in einer Chipkarte untergebracht sind. Damit ist die Steuerung innerhalb des Tresors 201 in gleicher Weise durch den Betreiber überwachbar wie die auszugeben- den Wertscheine. Insbesondere können Chipkarte und Wert- scheine leicht entnommen werden und beispielsweise durch eine Chipkarte für Wartungszwecke ersetzt werden. Der Be- treiber der Station muß beim Befüllen lediglich nicht nur die Wertscheine, sondern auch eine von ihm verwahrte Chipkarte bereitstellen, um gegen Manipulationen an der Software gesichert zu sein.

Bislang nicht ausgeführt wurde, wie die genannten Kompo- nenten in einen Anfangszustand bzw. nach Ende eines als Transaktion bezeichneten Ausgabevorgangs rückgesetzt wer- den. Diese Signale werden üblicherweise durch die Steue- rung 100 oder durch Zeitglieder des Auszahlers 310 und des Verifikators 410 ersetzt. Die Techniken hierzu sind jedoch dem Fachmann bekannt, so daß eine weitere Darstel- lung hier überflüssig erscheint.

Die bisherige Beschreibung ging davon aus, daß mehrere Wertscheine 320 bereitgestellt und dann zusammen ausgege- ben werden. Dabei ist auch die Ausgabe eines einzigen Wertscheins logisch enthalten, insbesondere wenn der Wert des Wertscheins gleich dem Gesamtwert ist. Bei dieser ge- sammelten Ausgabe muß die Freigabenachricht erst unmit- telbar vor der Ausgabe durch die Ausgabeöffnung 202 vor- liegen ; daher können die Zusammenstellung der Wertscheine und die Übermittlung der Freigabenachricht an den Verifi- kator zeitlich überlappend ablaufen. Für eine inkremen- telle Ausgabe muß die Freigabenachricht vor der Ausgabe des ersten Wertscheins vorliegen, um das Sperrsignal zu deaktivieren.

Die Beschreibung verwendetet bislang einen Vergleicher, der auf"kleiner oder gleich"vergleicht. Es ist auch möglich, auf Gleichheit allein die Überprüfung zu be- schränken. Dies bedeutet eine Erhöhung der Sicherheit, aber auch eine Reduktion der Flexibilität. An der Grundi- dee der Erfindung ändert sich nichts, so daß ein derarti- ger Vergleicher als äquivalent anzusehen ist.

Die Erfindung wurde an einer Ausführungsform erläutert, bei der die Freigabenachricht eine Gesamtsumme enthält, die Wertscheine einen einzigen, numerischen Wert haben und deren Summe gebildet wird, um eine Beschränkung oder Begrenzung der Ausgabe zu erreichen. Die Erfindung ist jedoch nicht hierauf beschränkt. So kann die Freigabe- nachricht mehrere Werte enthalten, beispielsweise in ver- schiedenen Währungen, und einen Indikator, wie die mehre- ren Werte zu kombinieren sind, hier als Exklusiv-Oder. Es kann auch ein Gesamtwert in einer Standardwährung zusam- men mit den aktuellen, durch den Autorisierungsrechner autorisierten, Wechselkursen angegeben werden, um eine Ausgabe in gemischten Werten zuzulassen. In diesem Fall müssen die ermittelten Wertzahlen 381 um eine Währungsan- gabe ergänzt werden, die damit allgemein als Wertmerkmale

bezeichnet werden können. Die entsprechenden Prozeduren sind dann in dem Vergleicher 420 und den umgebenden Tei- len durchzuführen, weshalb sich als verallgemeinerter Be- griff der eines Begrenzers anbietet.

Eine Weiterbildung der Erfindung verwendet eine Verifika- tor 410, der eine eindeutige Nummer zur Identifizierung enthält. In diesem Fall enthält die Freigabenachricht ferner diese Nummer des Verifikators 410 und sichert sie zusammen mit dem Gesamtwert. Damit ist eine Sicherheit dagegen gegeben, daß eine Freigabenachricht in einer Sta- tion benutzt wird, für die sie nicht bestimmt ist.

Entsprechend der Aufgabe der Erfindung spielt die Steue- rung 100 keine logisch notwendige Rolle, auch wenn in der Praxis für die Akzeptanz bei Kunden deren Kommunikations- verhalten und Zuverlässigkeit eine große Rolle spielt. In Bezug auf die Erfindung jedoch transportiert die Steue- rung lediglich die Freigabenachricht und erzeugt, aus welchen Quellen auch immer, die Ausgabeaufträge. Dabei könnte die Freigabenachricht sogar vollkommen getrennt von der Steuerung, z. B. drahtlos, von dem Autorisierungs- rechner übermittelt werden.

Es ist sogar unerheblich, ob die Freigabenachricht von einem bestimmten Autorisierungsrechner auf einem bestimm- ten Weg den Verifikator erreicht. Daher ist für die Er- findung auch nicht bedeutsam, ob und in welcher Form ein Authentisator 500 mit einem Kartenleser 520 und einem Si- cherheitsmodul 510 vorgesehen ist. Entsprechend dem übli- cherweise bislang verwendeten System erzeugt der Authen- tisator 500 eine Nachricht und sendet diese über die Ver- bindung 580, die den Autorisierungsrechner 601 veranlaßt, eine Freigabenachricht zu erzeugen, oder auch nicht. Al- ternativ, wenn vielleicht auch nicht für die Ausgabe von Banknoten optimal, kann ein bekanntes biometrisches Au- thentisierungsverfahren eingesetzt werden, das den Rhyth-

mus einer Tastatureingabe an den Autorisierungsrechner 601 verwendet. Auch können vorbereitete Transaktionsnum- mern wie beim Home-Banking, wie es bislang mit dem deut- schen BTX-System verwendet wird, benutzt werden. Dann ist gar kein Authentisator notwendig, da der Rhythmus der Ta- statureingabe jedesmal anders ist bzw. eine Transaktions- nummer nach einer Benutzung ihren Wert verliert.

Insofern ist auch ein Autorisierungsrechner nicht logisch notwendig, wenn die Lösung mit Transaktionsnummern ge- wählt wird. Hierbei werden in dem Verifikator eine Anzahl von unverbrauchten Transaktionsnummern abgelegt. Für jede Auszahlung gibt der Kunde eine Transaktionsnummer ein, die dann die Signatur in der Freigabenachricht darstellt.

Jede in einer Freigabenachricht enthaltene Transaktions- nummer ist eine verallgemeinerte Signatur, die eine Be- grenzung sichert, und nach dem Empfang einer Nachricht aus der Liste gestrichen wird. Dabei kann bei jeder Transaktionsnummer der Wert und die Art der Begrenzung vermerkt werden, so daß zwar die Steuerung 100 eine Frei- gabenachricht erzeugen kann, aber der Verifikator weiter- hin sicherstellt, daß die Begrenzung gültig ist, und der Begrenzer sicherstellt, daß die parallel dazu übermittel- ten Ausgabeanweisungen nur dann ausgeführt werden, wenn der Verifikator eine gültig gesicherte Freigabenachricht erhalten hat.

Die Erfindung wurde für die Ausgabe von Wertscheinen, ty- pischerweise Banknoten, beschrieben. Voraussetzung ist jedoch nur, daß bei der Ausgabe Wertmerkmale, die den auszugebenden Gegenständen zugeordnet sind, automatisch bestimmt, verglichen und ggf. aufsummiert werden können.

Beispiele hierfür sind gespeicherte Banknoten und auch Münzen, wobei entweder zuverlässige Verfahren zu deren Wertbestimmung eingesetzt oder die Werte bei Einbringung in den Tresor von der Bedienperson eingegeben werden.

Letzteres kann natürlich auch durch Markierung von z. B.

Magazinen erfolgen.

Alternativ kann der Ausgeber erst während der Ausgabe den Wert festlegen, wie dies beispielsweise für Eintrittskar- ten und Gutscheine gilt. Eine multimediale Anwendung kann den Kunden bei der Auswahl des Sitzplatzes für eine Ver- anstaltung unterstützen und dann erst bei Ausgabe Platz- nummer und Preis aufdrucken. Damit kann der Ausgeber die Summe der Werte der auszugebenden Wertscheine bestimmen, so daß die Erfindung anwendbar bleibt.

Obwohl vorzugsweise zunächst die Wertscheine gesammelt und dann gemeinsam durch die Ausgabeöffnung freigegeben werden, ist auch eine inkrementelle Ausgabe möglich. Da- bei ist eine Subtraktion nicht nötig, solange der Wert des auszugebenden Wertscheins so rechtzeitig zu der Summe addiert wird, daß das Sperrsignal mindestens noch die Ausgabe diesen Wertscheins verhindern kann.

Auch kann der Vergleicher selbstverständlich durch einen Subtrahierer gebildet sein, der den Wert des nächsten auszugebenden Wertscheins von dem geprüften Gesamtwert abzieht und so einen Restwert mitführt. Da der Verglei- cher ohnehin bevorzugt durch die Programmierung des den Ausgeber steuernden Mikrokontrollers realisiert ist, sind eine Vielzahl von Varianten dem Fachmann geläufig. Es sei darauf hingewiesen, daß dieser Mikrokontroller keine di- rekten Eingaben vom Benutzer erhält ; diese Aufgabe aber- nimmt die oben genannte Steuerung. Denkbar ist lediglich eine finale Freigabetaste, eine Lichtschranke, ein Nähe- rungssensor oder dergleichen.