Verfahren und Vorrichtung zum Löschen von sicherheitsrelevanter Information in einem Gerät

Die Erfindung bezieht sich auf eine Vorrichtung und ein Verfahren zum Löschen von sicherheitsrelevanter Information, wie beispielsweise kryptographische Schlüssel, die in mobilen oder auch ortsfest installierten Geräten enthalten sind.

Mobile Geräte, wie beispielsweise Roboter, unbemannte Flugob ^¬ jekte, autonome Fahrzeuge können sensible Daten speichern. Diese sensiblen Daten werden vorzugsweise durch kryptographische Verfahren gesichert, so dass diese nur von befugten In- stanzen ausgelesen und im Klartext gelesen werden können. Dazu werden kryptographische Schlüssel benötigt. Solche kryp- tographischen Schlüssel werden beispielsweise über einen ge- nerischen Schlüssel erzeugt und in einem Sicherheitsmodul ge ^¬ speichert. Solche sicherheitsrelevante Information muss vor dem Zugriff unbefugter Personen oder vor dem Zugriff durch unbefugte Vorrichtungen geschützt werden, um eine Manipulati ^¬ on von oftmals sicherheitskritischen Funktionen, die die sicherheitskritische Information verwenden, zu verhindern. Häufig werden Geräte auch nur dann für das Betreiben einer sicherheitskritischen Funktion von amtlicher Seite zugelassen, wenn ein Gerät vorgeschriebene Schutzmaßnahmen für sicherheitsrelevante Informationen bereitstellt.

Es sind beispielsweise Manipulationssensoren, wie beispiels- weise Bohrschutzfolien, Gehäuseschalter oder Lichtsensoren bekannt, die eine Gerätemanipulation bzw. eine Manipulation eines im Gerät angeordneten Sicherheitsmoduls erkennen und eine Schlüssel-Löschfunktion initiieren. Solche Manipulationssensoren schützen jedoch nur vor einem direkten physikalischen Angriff auf ein solches Sicherheitsmodul . Zunehmend werden sicherheitsrelevante Informationen in mobi ^¬ len Objekten, beispielsweise zur sicheren Ortsbestimmung und Navigation von unbemannten Flugobjekten oder autonomen Fahrzeugen verwendet. Zudem wird Schlüsselmaterial für verschie- dene Funktionen des Gerätes bzw. Objektes benötigt und somit wächst die Menge an sicherheitsrelevanten Daten an, so dass ein Löschvorgang von sicherheitsrelevanter Information vor einer mechanischen Zerstörung des Gerätes beispielsweise durch Absturz, Kollision, Beschuss eingeleitet und insbeson- dere abgeschlossen werden muss. Ansonsten besteht die Gefahr, dass sensible Daten des verunglückten Mobilobjektes Unberech ^¬ tigten zugänglich werden. Auch besteht die Gefahr, dass vorhandene Manipulationssensoren, auch Tamperschutzfunktion genannt, eines verunglückten mobilen Gerätes bzw. eines darin enthaltenen Sicherheitsmoduls nicht mehr korrekt funktioniert und die geforderte Manipulationsschutzfunktion nicht mehr realisieren kann.

Es ist somit die Aufgabe der vorliegenden Erfindung, ein Ver- fahren und eine Vorrichtung zu schaffen, die sicherstellt, dass sicherheitsrelevante Daten des Gerätes auch bei einem Unfall oder sonstigem unvorhergesehenem Ereignis zuverlässig und vollständig gelöscht werden. Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.

Das erfindungsgemäße Verfahren zum Löschen von sicherheitsre- levanten Informationen in einem Gerät weist folgende Verfahrensschritte auf:

- Ermitteln mindestens eines Bewegungsparameters des Geräts über die Zeit,

- Überwachen der ermittelten Bewegungsparameter über die Zeit in Abhängigkeit von mindestens einem vorgegebenen Bewe ^¬ gungsmuster, und

- Auslösen eines Löschvorgangs der sicherheitsrelevanten Information, wenn der ermittelte Bewegungsparameter über die Zeit dem mindestens einen vorgegebenen Bewegungsmuster entspricht .

Mobile Geräte weisen bei typischen Unfallszenarien auch typi- sehe Bewegungsmuster auf. So geht ein Flugobjekt bei einem Ausfall des Antriebs in einen für einen Absturz typischen Sinkflug über oder es wird eine vorgegebene Höhe über Grund mit einer Geschwindigkeit über einem vorgegebenen Grenzwert unterschritten. Entsprechende Bewegungsmuster werden als vor- gegebene Bewegungsmuster im Flugobjekt gespeichert. Durch das Überwachen der ermittelten Bewegungsparameter kann ein Unfall bzw. eine Zerstörung des Gerätes mit großer Sicherheit er ^¬ kannt werden und rechtzeitig vor der Zerstörung des Gerätes das Löschen der sicherheitsrelevanten Information eingeleitet werden. Der Löschvorgang kann somit vor der Zerstörung des

Gerätes bzw. des Sicherheitsmoduls, auf dem die sicherheits ^¬ relevante Information gespeichert ist, abgeschlossen werden. Somit kann mit hoher Wahrscheinlichkeit sichergestellt wer ^¬ den, dass auch bei unvorhergesehenen Ereignissen, die zu ei- ner mechanischen Zerstörung des Gerätes führen, sicherheitsrelevante Information vom Gerät gelöscht und damit nicht mehr zugreifbar sind.

In einer vorteilhaften Ausführungsform wird als Bewegungspa- rameter eine Position, eine Geschwindigkeit, eine Beschleuni ^¬ gung oder eine Ausrichtung des Gerätes ermittelt.

So kann beispielsweise über die Positionsangabe die Höhe des Gerätes über dem Erdboden überwacht werden und bei Unter- schreiten einer minimalen Höhe oder beim Überschreiten einer maximale Höhe der Löschvorgang ausgelöst werden. In gleicher Weise kann durch das Überschreiten einer maximalen Beschleunigung ein Unfall oder ein Fehlverhalten des Gerätes angenommen werden. Durch das Ermitteln der Beschleunigung als Bewe- gungsparameter kann beispielsweise auch bei ortsfest instal ^¬ lierten Geräten eine Manipulation erkannt werden und der Löschvorgang ausgelöst werden. In einer vorteilhaften Ausführungsform wird der Löschvorgang dann ausgelöst, wenn der mindestens eine Bewegungsparameter dem vorgegebenen Bewegungsmuster mindestens für eine vorgegebene Zeitdauer und/oder mit einer vorbestimmten Genauigkeit entspricht.

Dadurch wird sichergestellt, dass keine kurzzeitige oder sta ^¬ tistisch auftretende Schwankung des ermittelten Bewegungsparameters zu einem vorzeitigen bzw. nicht notwendigem Löschen der sicherheitsrelevanten Information führt.

In einer vorteilhaften Ausführungsform ist das vorgegebene Bewegungsmuster eine Bewegungstraj ektorie des Gerätes. Eine Bewegungstraj ektorie bezeichnet eine Raumkurve, entlang der sich das Gerät, beispielsweise der Schwerpunkt des Gerä ^¬ tes, bewegt. Durch die Überwachung der Bewegung des Gerätes im Vergleich zu vorgegebenen Bewegungstraj ektorien, die unzulässige bzw. für einen Unfall typisches Bewegungsmuster kenn- zeichnen, kann auch die manipulative Ablenkung des Gerätes von der Trajektorie erkannt werden und bei sehr sicherheits ^¬ kritischen Geräten bereits dies ein Löschen der sicherheitsrelevanten Information auslösen. In einer vorteilhaften Ausführungsform kennzeichnet ein vorgegebenes Bewegungsmuster einen Sonderbetriebsmodus des Gerä ^¬ tes .

Ist beispielsweise das aufgezeichnete Bewegungsparameter identisch mit der Bewegungstraj ektorie eines Sonderbetriebs ^¬ modus, der beispielsweise einer Notlandung, einen Nothalt, eine Ausweichfunktion zur Schadensbegrenzung eines Unfalls kennzeichnet, so kann auch in diesem Fall der Löschvorgang eingeleitet und abgeschlossen werden.

In einer vorteilhaften Ausführungsform wird der Bewegungsparameter eines das Gerät umgebenden Mediums ermittelt. Beispielsweise kann die Strömungsgeschwindigkeit der Luft an der Oberfläche eines fliegenden Gerätes oder in einem Abstand von einem fliegenden Objekt ermittelt und überwacht werden und somit ein Strömungsabriss , der einen Absturz zur Folge hat oder kennzeichnet, erkannt werden und das rechtzeitige Löschen der sicherheitsrelevanten Daten ausgelöst werden.

Die erfindungsgemäße Vorrichtung zum Löschen von sicherheits ^¬ relevanter Information in einem Gerät umfasst eine Detekti- onseinheit, die derart ausgebildet ist, mindestens einen Be ^¬ wegungsparameter des Gerätes zu ermitteln, eine Überwachungs ^¬ einheit, die derart ausgebildet ist, die ermittelten Bewe ^¬ gungsparameter über die Zeit in Abhängigkeit von mindestens einem vorgegebenen Bewegungsmuster zu überwachen, und eine Löscheinheit, die derart ausgebildet ist, einen Löschvorgang der sicherheitsrelevanten Information auszulösen, wenn der ermittelten Bewegungsparameter über die Zeit dem vorgegebenen Bewegungsmuster entspricht. Die sicherheitsrelevante Information einer solchen Vorrichtung kann dadurch bereits vor einer mechanischen Zerstörung mit hoher Wahrscheinlichkeit gelöscht werden und somit ein unerlaubtes Ermitteln dieser Information nach einem unvorhergesehenen Ereignis verhindert werden.

In einer vorteilhaften Ausführungsform weist die Detektions- einheit mindestens einen Sensor, bevorzugt einen Inertial- sensor, einen Beschleunigungssensor, einen Magnetfeldsensor oder einen Lagesensor auf, der den mindestens einen Bewe- gungsparameter ermittelt.

In einer vorteilhaften Ausführungsform ist die Löscheinheit mit einem Sicherheitsmodul, das sicherheitsrelevante Informa ^¬ tion speichert, direkt verbindbar.

Durch eine direkte Verbindung zwischen Löscheinheit und einem Sicherheitsmodul, das sicherheitsrelevante Information spei ^¬ chert, kann die Verzögerungszeit zwischen einem Löschvorgang und dem Einsetzen des eigentlichen Löschvorgangs optimiert werden. Ebenfalls wird die Zuverlässigkeit des Auslösens des Löschvorgangs erhöht, da keine Verbindungsleitungen zwischen Löscheinheit und Sicherheitsmodul existieren, die bei einem Unfall beschädigt werden können und ein Empfangen eines

Löschsignals in der Löscheinheit können.

Ein erfindungsgemäßes Gerät, das ein mobiles Gerät oder ein ortsfest installiertes Gerät ist, umfasst eine entsprechende Vorrichtung zum Löschen von sicherheitsrelevanter Information .

Insbesondere mobile Geräte können durch Aufprall auf einen festen Körper bzw. Oberfläche oder durch Eindringen in ein anderes Medium, beispielsweise Wasser, beschädigt werden, oh ^¬ ne dass der vorhandener Manipulationsschutz dies erkennt und das Löschen der sicherheitsrelevanten Information auslöst. Daneben können durch die genannten Sensoren Erschütterungen oder abrupte Bewegungsänderungen zuverlässig detektiert wer- den, die bei ortsfest installierten Geräten auf eine Beschä ^¬ digung oder auch ein unerlaubtes Entfernen des Gerätes schließen lassen. In beiden Fällen kann basierend auf dieser Information das Löschen veranlasst werden. Des Weiteren wird ein Computerprogrammprodukt beansprucht, das direkt in einen Speicher eines digitalen Computers ladbar ist und Programmcodeteile umfasst, die dazu geeignet sind, die Schritte des Verfahrens durchzuführen. Des Weiteren wird ein Datenträger beansprucht, der das Computerprogrammprodukt speichert.

Ausführungsbeispiele des erfindungsgemäßen Verfahren sowie der erfindungsgemäßen Vorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:

Figur 1 ein allgemeines Ausführungsbeispiel des erfindungs ^¬ gemäßen Verfahrens als Ablaufdiagramm; Figur 2 ein zweites Ausführungsbeispiel des erfindungsgemä ^¬ ßen Verfahrens als Ablaufdiagramm;

Figur 3 ein Ausführungsbeispiel einer erfindungsgemäßen

Vorrichtung in Blockdarstellung;

Figur 4 ein Ausführungsbeispiel eines erfindungsgemäßen Ge ^¬ rätes mit einer erfindungsgemäßen Vorrichtung in Blockdarstellung; und

Figur 5 ein Ausführungsbeispiel eines vorgegebenen Bewe ^¬ gungsmusters .

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.

Eine Vielzahl von Geräten mit Mikroprozessoren, wie beispielsweise Computer, aber auch Roboter, Flugobjekte, Fahrzeuge oder auch Feldgeräte in Automatisierungsanlagen verwenden kryptographische Verfahren, um manipulationsgeschützt mit Kommunikationspartnern zu kommunizieren und/oder beispielsweise eine Funknavigationsanwendungen mit vertrauenswürdigen und manipulationssicheren Signalen verwenden zu können. Dazu werden sicherheitsrelevante Informationen, wie beispielsweise in den kryptographischen Verfahren verwendete kryptographische Schlüssel, in dem entsprechenden Gerät oder in einer speziellen Vorrichtung, die im Gerät angeordnet ist, gespei ^¬ chert .

Mit dem erfindungsgemäßen Verfahren, wie in Figur 1 abgebildet, wird sichergestellt, dass sicherheitsrelevante Informa ^¬ tion frühzeitig vor einer Funktionsuntüchtigkeit des Gerätes gelöscht wird. Im Ausgangszustand 10 des Verfahrens liegen sicherheitsrelevante Informationen in einem Gerät vor. Diese können beispielsweise in einem Sicherheitsmodul gespeichert sein. Dabei wird im Verfahrensschritt 11 kontinuierlich min ^¬ destens ein Bewegungsparameter des Gerätes über die Zeit er- mittelt. Ein solcher Bewegungsparameter kann beispielsweise die Position des Gerätes, die Geschwindigkeit, die Beschleu ^¬ nigung oder auch die Ausrichtung des Gerätes kennzeichnen. Es wird somit beispielsweise eine Bewegungstraj ektorie des Gerä- tes aufgezeichnet. Eine solche Bewegungstraj ektorie ist bei ^¬ spielsweise eine Bahnkurve im zweidimensionalen Raum, wie in Fig. 5 dargestellt, oder auch eine Raumkurve in einem dreidi ^¬ mensionalen Koordinatensystem, entlang derer sich beispielsweise der Schwerpunkt des Gerätes bzw. der Vorrichtung be- wegt . Neben der Position bzw. dem Raumpunkt des Gerätes kann auch dessen Geschwindigkeit oder dessen Beschleunigung oder auch die Ausrichtung des Gerätes ermittelt werden.

Die Bewegungsparameter können durch das Gerät ermittelt wer- den. Dazu können in einer Variante Crash-Sensoren des Gerätes verwendet werden, die z.B. als weitere Funktion einen Airbag oder Gurtstraffer auslösen. In einer anderen Variante ist in dem Gerät ein Sicherheitsmodul enthalten, das unabhängig oder zusätzlich zu Sensoren des Geräts Sensoren enthält. Ein sol- ches Sicherheitsmodul hat den Vorteil, dass es mit wenig Auf ^¬ wand in ein Gerät integrierbar ist, da es die erfindungsgemä ^¬ ße Funktionalität als integrierte Funktion aufweist.

Im Verfahrensschritt 12 wird nun ebenfalls kontinuierlich der ermittelte Bewegungsparameter über die Zeit gegenüber mindestens einem vorgegebenen Bewegungsmuster überwacht. Bei dem vorgegebenen Bewegungsmuster kann es sich insbesondere auch um eine Bewegungstraj ektorie des Gerätes handeln. Insbesonde ^¬ re können vorgegebene Bewegungstraj ektorien einem Sonderbe- triebsmodus des Geräts, wie beispielsweise einer Notlandung, einem Nothalt, einem Ausweichen zur Schadensbegrenzung bei einem Unfall entsprechen.

Die vorgegebenen Bewegungsmuster können sich über eine unter- schiedlich lange Zeitdauer erstrecken. Die Zeitdauer kann von einer oder weniger Millisekunden bis hin zu mehreren Sekunden oder gar Minuten betragen. Beispielsweise kann ein Bewegungsmuster bereits ein kurzzeitiges Überschreiten einer vorgege- benen maximalen Geschwindigkeit sein. Ein vorgegebenes Bewe ^¬ gungsmuster kann ebenfalls in einem Höhenprofil oder beispielsweise einer konstanten Höhe über einer Oberfläche sein, so dass bei einem Unterschreiten dieser Mindesthöhe ein

Löschvorgang der sicherheitsrelevanten Information ausgelöst wird, siehe Verfahrensschritt 13.

Dabei kann des Weiteren der Löschvorgang davon abhängig gemacht werden, dass ein vorgegebener Schwellwert mindestens für eine vorgegebene Zeitdauer erreicht oder überschritten wird. Dies verhindert, dass kurzzeitige Schwankungen, die eventuell nur durch statistische Effekte oder Meßfehler in Sensoren begründet sind, den Löschvorgang auslösen und somit beispielsweise wichtige Funktionen im Gerät nicht weiter aus- geführt werden können.

Andererseits muss die vorgegebene Zeitdauer der Übereinstim ^¬ mung von ermitteltem Bewegungsmuster mit dem vorgegebenen Bewegungsmuster derart gewählt werden, dass genügend Zeit bleibt, um den Löschvorgang komplett durchführen und abschließen zu können.

In einer Variante kann auch ein Bewegungsparameter eines das Gerät umgebenden Mediums ermittelt werden. Beispielsweise kann die Strömungsgeschwindigkeit von Luft über die Oberflä ^¬ che des Gerätes oder Teile des Gerätes gemessen und mit einer vorgegebenen Bewegungstraj ektorie des Mediums verglichen wer ^¬ den. Desgleichen können beispielsweise der Druck an der Oberfläche des Gerätes gemessen werden. Es können dabei ein oder mehrere Sensoren beispielsweise an unterschiedlichen Stellen an oder über der Oberfläche des Gerätes oder auch innerhalb des Gerätes zur Detektion von Bewegungsparametern verwendet werden . In Figur 2 ist der Ablauf des Verfahrens am Beispiel der Überwachung der Beschleunigung eines Gerätes dargestellt. Ausgangspunkt des Verfahrens ist der Zustand 20, in dem ein Gerät beispielsweise mit einem Sicherheitsmodul einen Be- schleunigungssensor oder einen Inertialsensor aufweist, der kontinuierlich oder in vorgegebenen Zeitabständen die Beschleunigung des Gerätes und insbesondere des Sicherheitsmo ^¬ duls misst. Im Sicherheitsmodul werden beispielsweise kryp- tographische Schlüsselmaterialien für verschiedene Anwendungen des Gerätes erzeugt. Im Verfahrensschritt 21 wird ein solches Schlüsselmaterial oder auch beliebige andere sicher ^¬ heitsrelevante Information gespeichert. Im Verfahrensschritt 22 wird die Beschleunigung des Gerätes oder auch speziell des Sicherheitsmoduls bestimmt. Im Verfahrensschritt 23 wird nun die ermittelte Beschleunigung beispielsweise gegenüber einem vorgegebenen maximalen Beschleunigungswert verglichen. Ist die ermittelte Beschleunigung über einen vorgegebenen Zeitraum größer als ein vorgegebener maximaler Beschleunigungs- wert, wird nachfolgend im Verfahrensschritt 24 das Löschen eines Schlüsselspeichers und damit aller in der Vorrichtung bzw. in einem Gerät gespeicherten sicherheitsrelevanten Informationen ausgelöst. Dies wird durch den Pfeil, der zum Verfahrensschritt 21 führt, gekennzeichnet. Der Löschvorgang wird dann statt dem Speichern von Schlüsselmaterial als Ver ^¬ fahrensschritt 21 ausgeführt. Ist die zum Zeitpunkt t gemes ^¬ sene Beschleunigung a(t) kleiner als der vorgegebene Maximal ^¬ wert a _max , so wird lediglich eine weitere Detektion der Be ^¬ schleunigung veranlasst. Dies wird durch den Pfeil vom Ver- fahrensschritt 23 zu Verfahrensschritt 22 gekennzeichnet.

Die Überwachung der gemessenen Bewegungsparameter wird insbesondere auch über eine Zeitperiode durchgeführt und ein Lö ^¬ schen der sicherheitsrelevanten Information erst dann ausge- löst, wenn der sich ergebende zeitliche Verlauf des detek- tierten Bewegungsparameters einem vorgegebenen Bewegungsmus ^¬ ter bzw. einer entsprechenden Bewegungstraj ektorie oder einem vorgegebenen Verlauf des Bewegungsparameters entspricht oder von dem vorgegebenen Bewegungsmuster oder Bewegungstraj ekto- rie abweicht.

Figur 3 zeigt eine Vorrichtung zum Löschen von sicherheitsrelevanter Information in einem Gerät. Die Vorrichtung umfasst eine Detektionseinheit 31. Die Detektoreinheit 31 kann einen oder auch mehrere Sensoren, beispielsweise einen

Inertialsensor, der eine Beschleunigung oder eine Drehrate eines Körpers misst, enthalten. Solche Inertialsensoren wer- den beispielsweise in Trägheitsnavigationssystemen zur Anwendung in Flugzeugen oder Raketen zur Flugnavigation verwendet. Die Detektionseinheit 31 kann auch mehrteilig und an ver ^¬ schiedenen Stellen in und am Gerät ausgebildet sein. Es können beispielsweise ein oder mehrere Lagesensoren oder Ge- schwindigkeitssensoren zur Detektion von mindestens einem Bewegungsparameter im oder am Gerät 30 angebracht sein.

Eine Überwachungseinheit 32 überwacht eine über die Zeit er ^¬ mittelte Bewegung gegenüber einem vorgegebenen Bewegungsmus- ter und zeichnet diese vorzugsweise auf. Eine Löscheinheit 33 löst einen Löschvorgang der sicherheitsrelevanten Information aus, wenn vorgegebene Kriterien erfüllt sind. Die Überwa ^¬ chungseinheit 32 und die Löscheinheit 33 sind beispielsweise in einem Aufpralldetektor integriert in der Vorrichtung 30 angeordnet.

Die in Figur 3 dargestellte Vorrichtung 30 ist beispielsweise ein Sicherheitsmodul mit einer externen Schnittstelle 37, beispielsweise zu einem seriellen Datenbus gemäß dem I2C, ei- nem USB, einem RS232 oder der SPI Standard. Über die Schnittstelle 37 ist die Vorrichtung 30 z.B. mit einem Feldgerät, einem Steuergerät, einem Satellitennavigationsempfänger oder einem Computersystem verbindbar. Ein Kommandoprozessor 36 führt empfangene Kommandos, wie beispielsweise zum Verschlüs- sein oder Entschlüsseln von Daten, zum Signieren oder zum Prüfen einer Signatur, zum Berechnen oder zum Prüfen einer kryptographischen Prüfsumme oder auch zum Erzeugen einer kryptographischen Pseudozufallsfolge aus. Der Kommandoprozessor 36 verwendet dazu eine Verschlüsse ^¬ lungseinheit 35, auch als Kryptoengine bezeichnet, die sym ^¬ metrische Kryptoalgorithmen, wie z.B. AES, asymmetrische Kryptoverfahren, wie beispielsweise RSA, Diffie-Hellman Key Exchange oder ECC, Algorithmen zur digitalen Signatur, wie DSA oder ECDSA, kryptographische Hashfunktionen, wie beispielsweise HMAC oder Schlüsselableitungsfunktionen, wie beispielsweise KDF, realisiert. Weiterhin ist ein Schlüsselspei- eher 34 enthalten. Die Löscheinheit 33 ist mit dem Schlüssel ^¬ speicher 34 verbunden und sendet einen Löschbefehl an den Schlüsselspeicher 34, der dort ein Löschen sämtlicher sicherheitsrelevanter Informationen veranlasst. Der Beschleunigungssensor 31 ermittelt kontinuierlich die Beschleunigung der Vorrichtung 30 bzw. eines Gerätes 40, in dem die Vorrichtung 30 angeordnet ist und zeichnet somit eine Be- wegungstraj ektorie 50, wie sie in Figur 5 beispielhaft darge ^¬ stellt ist, auf. Die Bewegungstraj ektorie 50 entspricht bei- spielsweise einer Fallkurve x(t) eines Objekts, das aus ^¬ schließlich unter Einwirkung der Schwerkraft aus einer Höhe xo fällt. Wird über einen Zeitraum von beispielsweise t _B ein entsprechendes Bewegungsmuster 50 von der Überwachungseinheit 32 detektiert, wird von der Löscheinheit 33 der Löschvorgang ausgelöst. Entsprechend kann als Löschkriterium das Erreichen einer maximalen Beschleunigung, hier mit a _max bezeichnet, über den vorgegebenen Zeitraum hinweg als Schwellwert überwacht werden. Ein Überwachungszeitraum t _B , ist dabei so gewählt, dass ein vorgegebenes Bewegungsmuster auch sicher von einer zufälligen ungewöhnlichen Bewegung unterschieden werden kann.

In Figur 4 ist ein Gerät 40 dargestellt, das eine Vorrichtung zum Löschen von sicherheitsrelevanten Informationen enthält. Das Gerät ist beispielsweise ein Feldgerät, ein Steuergerät, ein Satellitennavigationsempfänger oder ein Computersystem. Die genannten Geräte sind lediglich eine Auswahl an Geräten, in die die Vorrichtung integrierbar ist. Das Gerät 40 weist gerätespezifische Funktionseinheiten 43 auf sowie beispiels ^¬ weise ein Sicherheitsmodul 41, in dem der Schlüsselspeicher 34 enthalten ist. Eine Detektionseinheit 31, die einen oder mehrere Sensoren zur Detektion mindestens eines Bewegungspa ^¬ rameters umfasst, ist mit einer Überwachungseinheit 32 ver ^¬ bunden, die die detektierten und über die Zeit aufgezeichne- ten Bewegungsparameter mit einem oder mehreren vorgegebenen Bewegungsmustern vergleicht und bei Überschreiten eines

Schwellwerts oder bei Übereinstimmung mit einem vorgegebenen Bewegungsmuster die Löscheinheit 33 veranlasst beispielsweise ein Löschsignal über die Schnittstelle 42 an den Schlüssel ^¬ speicher 34 im Sicherheitsmodul 41 zu senden.

Die Vorrichtung zum Löschen von sicherheitsrelevanten Informationen kann somit in unterschiedlicher Weise in ein Gerät integriert sein. Die einzelnen Einheiten der Vorrichtung können beispielsweise alle in einem Sicherheitsmodul, wie in Fi ^¬ gur 3 gezeigt, oder aber verteilt in einem Gerät, wie in Fi ^¬ gur 4 gezeigt, implementiert sein. Die dargestellten Funkti ^¬ onsblöcke können in Hardware- oder als Software-basierte Funktionen realisiert sein. Die Vorrichtung 30 kann beispielsweise als Sicherheitsbaustein oder Crypto-Controller mit integriertem MEMS (mikroelektronisches mechanisches Sys ^¬ tem) Sensor als Beschleunigungssensor und einem integrierten Crash-Detektor, der die Überwachungseinheit 32 bildet, aufge- baut sein. Das Gerät 40 kann beispielsweise ein Feldgerät mit einem MEMS-Beschleunigungssensor umfassen, der ein automatisches Löschen von Schlüsselmaterial ausführt, falls die de- tektierte Beschleunigung einen vorgegebenen Schwellwert für eine vorgegebene Zeit überschreitet.

Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.