VERFAHREN, COMPUTERPROGRAMM, COMPUTERLESBARES SPEICHERMEDIUM UND SYSTEM ZUM BEREITSTELLEN VON ZU SCHÜTZENDEN INFORMATIONEN EINES PERSONENBEFÖRDERUNGSFAHRZEUGES

Die Erfindung betrifft ein Verfahren sowie ein System zum Bereitstellen von zu schützenden Informationen.

Bisher wurden schutzbedürftige Informationen, insbesondere im Umfeld des öffentlichen Verkehrs, häufig in einem proprietären Format codiert. Demnach war ein Zugriff auf die Informationen ausschließlich bei Kenntnis des Formats möglich .

Vor diesem Hintergrund ist es Aufgabe der Erfindung, das Bereitstellen von zu schützenden Informationen zu verbessern.

Diese Aufgabe wird durch ein Verfahren zum Bereitstellen von zu schützenden Informationen gelöst. Bei dem Verfahren werden die zu schützenden Informationen auf einem Personenbeförderungsfahrzeug erzeugt. Ein Auftrag zum Bereitstellen der zu schützenden Informationen wird von einer landseitigen Einrichtung gesendet, wobei dem Auftrag eine Verschlüsselungsinformation zum Verschlüsseln der zu schützenden Informationen beigefügt ist. Die zu schützenden Informationen werden unter Verwendung der Verschlüsselungsinformation auf dem Personenbeförderungsfahrzeug verschlüsselt. Die verschlüsselten zu schützenden Informationen werden an die landseitige Einrichtung übertragen.

Die Erfindung beruht auf der Erkenntnis, dass Informationen, die auf einem Personenbeförderungsfahrzeug erzeugt werden, häufig datenschutzrechtlichen Vorgaben unterliegen. Gleichzeitig ist es wünschenswert, Aufzeichnungen der Informationen, die beispielsweise auf einem physikalischen Speichermedium gespeichert sind, nicht mehr manuell vom Fahrzeug abzuholen und physikalisch zur landseitigen Einrichtung zu transportieren, sondern über eine Fahrzeug- Land-Kommunikation von dem Fahrzeug an die Landseite zu übertragen. Dabei ist ein Schutz der Aufzeichnungen der Informationen über den Übertragungsweg hinweg und bei der Ablage auf einem landseitigen System erforderlich.

Mit der Erfindung wurde zudem erkannt, dass die Anwendung freier Standardformate für die Codierung von Informationen gewünscht ist, um Abhängigkeiten von herstellerspezifischen Anwendungen zur Informationsauswertung, die wegen der Verwendung proprietärer Formate bestehen, zu vermeiden.

Die erfindungsgemäße Lösung behebt diese Probleme, indem dem Auftrag zum Bereitstellen der zu schützenden Informationen von der landseitigen Einrichtung eine

Verschlüsselungsinformation zum Verschlüsseln der zu schützenden Informationen beigefügt ist. Die Verschlüsselungsinformation wird dazu verwendet, die zu schützenden Informationen vor dem Übertragen (ausgehend von dem Fahrzeug an die landseitige Einrichtung) zu verschlüsseln. Auf diese Weise sind die Informationen auf Ihrem Weg zur landseitigen Einrichtung vor einem ungewünschten Zugriff geschützt.

Die zu schützenden Informationen sind beispielsweise Informationen, für die vorgegebene Datenschutzanforderungen erfüllt werden müssen.

Die erzeugten zu schützenden Informationen werden vorzugsweise auf einer Speichereinrichtung des Personenbeförderungsfahrzeugs gespeichert und/oder für die Speicherung verschlüsselt.

Der Auftrag, der von der genannten landseitigen Einrichtung gesendet wird, wird vorzugsweise an eine landseitige Einrichtung eines Betreibers des

Personenbeförderungsfahrzeugs und von dort weiter an das Personenbeförderungsfahrzeug übertragen. Die landseitige Einrichtung des Betreibers ist beispielsweise in der Betriebsleitzentrale des Betreibers installiert.

Weiter vorzugsweise wird ein für den Auftrag relevanter Anteil der verschlüsselten zu schützenden Informationen entschlüsselt. Dabei handelt es sich insbesondere um einen Anteil, welcher auf Basis des Auftrags datenschutzrechtlich für die Entschlüsselung zulässig ist.

Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens werden die verschlüsselten zu schützenden Informationen mittels einer Recheneinrichtung der landseitigen Einrichtung unter Verwendung einer Entschlüsselungsinformation entschlüsselt.

Die Entschlüsselungsinformation ist beispielsweise ein EntschlüsselungsZertifikat .

Vorzugsweise können die entschlüsselten Informationen auf der landseitigen Einrichtung ausgewertet werden. Beispielsweise erfolgt die Auswertung durch eine Bilderkennung oder durch Personen auf der landseitigen Einrichtung, die die Informationen auf einer Anzeige betrachten und bewerten.

Bei einer bevorzugten Weiterbildung liegt die

Entschlüsselungsinformation auf der landseitigen Einrichtung, vorzugsweise auf einer Speichereinrichtung der landseitigen Einrichtung, vor. Ein Zugriff auf die Entschlüsselungsinformation ausgehend von dem Personenbeförderungsfahrzeug und/oder einer landseitigen Einrichtung eines Betreibers des Personenbeförderungsfahrzeugs ist verwehrt.

Die landseitige Einrichtung des Betreibers ist beispielsweise in der Betriebsleitzentrale des Betreibers installiert.

Vorzugsweise wird verhindert, dass eine Recheneinrichtung des Personenbeförderungsfahrzeugs und/oder eine Recheneinrichtung der landseitigen Einrichtung des Betreibers auf die Entschlüsselungsinformation zugreift.

Mit anderen Worten: Die Entschlüsselungsinformation ist ausschließlich auf der landseitigen Einrichtung, die nicht Teil der landseitigen Einrichtung des Betreibers ist, gespeichert. Den Komponenten des

Personenbeförderungsfahrzeugs, der Kommunikationsverbindung sowie der landseitigen Einrichtung des Betreibers ist die Entschlüsselungsinformation nicht bekannt. Diese Komponenten können zudem auf die Entschlüsselungsinformation nicht zugreifen.

Die Verschlüsselungsinformation wird vorzugsweise lediglich zu dem Zwecke der Verschlüsselung der Videodaten (vor dem Übertragen an die landseitige Einrichtung) auf das Personenbeförderungsfahrzeug übertragen. Weiter vorzugsweise wird jedem Auftrag eine eigene Verschlüsselungsinformation beigefügt und an das Personenbeförderungsfahrzeug gesendet.

Nach einer weiteren bevorzugten Weiterbildung umfasst die Entschlüsselungsinformation einen privaten Schlüssel und die Verschlüsselungsinformation einen öffentlichen Schlüssel.

Der Fachmann versteht unter den Begriffen privater und öffentlicher Schlüssel vorzugsweise ein Schlüsselpaar, bestehend aus einem geheimen und nicht geheimen Teil im Sinne einer asymmetrischen Verschlüsselung.

Gemäß einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfassen die zu schützenden Informationen Videodaten, die mittels einer Videoüberwachungseinrichtung erzeugt werden.

Diese Ausführungsform ist für die Anwendung des erfindungsgemäßen Verfahrens besonders geeignet, da Videodaten, die von einer Videoüberwachungseinrichtung erzeugt werden, besonderen datenschutzrechtlichen Vorgaben unterliegen. Denn insbesondere Videodaten dieser Art können Personen und deren Verhalten zeigen.

Die Videoüberwachungseinrichtung ist vorzugsweise eine Videoüberwachungseinrichtung des Personenbeförderungsfahrzeugs . Die

Videoüberwachungseinrichtung umfasst beispielsweise eine Mehrzahl von Kameraeinheiten, die auf dem Personenbeförderungsfahrzeug installiert sind. Weiter vorzugsweise ist ein VideoServer, welcher die vorstehend genannte Speichereinrichtung aufweist, auf dem Personenbeförderungsfahrzeug installiert. Die erzeugten Videodaten werden demnach auf dem VideoServer abgelegt und können von dort abgerufen werden.

Die erzeugten Videodaten sind vorzugsweise in einem Standardformat kodiert, beispielsweise MPEG4 part 10 (H.264).

Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist die landseitige Einrichtung eine Einrichtung eines berechtigten Bedarfsträgers oder eines autorisierten Dienstleisters, welcher durch den berechtigten Bedarfsträger beauftragt ist.

Der berechtigte Bedarfsträger ist als Instanz oder Institution zu verstehen, welche berechtigtes Interesse an den zu schützenden Informationen, insbesondere an einem Teil der zu schützenden Informationen, hat. Beispielsweise ist der berechtigte Bedarfsträger eine Behörde der Exekutive. Die Behörde ist beispielsweise die Bundespolizei, die Landespolizei oder die Staatsanwaltschaft. Der autorisierte Dienstleister ist beispielsweise ein kommerzieller Anbieter, der von dem berechtigten Bedarfsträger beauftragt wird, die zu schützenden Informationen abzurufen.

Diese Ausführungsform ist für die Anwendung des erfindungsgemäßen Verfahrens besonders geeignet, da Videodaten durch das erfindungsgemäße Verfahren geschützt zu dem berechtigten Bedarfsträger oder dem Dienstleister gelangen können.

Nach einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird den erzeugten zu schützenden Informationen eine Signaturinformation beigefügt, welche zur Integritätsprüfung der zu schützenden Informationen auf der landseitigen Einrichtung verwendet wird. Auf diese Weise wird beispielsweise verhindert, dass auf der landseitigen Einrichtung gefälschte Informationen ausgewertet werden.

Beispielsweise wird die Signaturinformation beigefügt, bevor die zu schützende Informationen unter Verwendung der Verschlüsselungsinformation verschlüsselt und - bei einer Verschlüsselung der gespeicherten Informationen - nachdem die zu schützenden Informationen entschlüsselt wird.

Unter Integritätsprüfung versteht der Fachmann vorzugsweise den Nachweis, dass die Daten vollständig und unverändert sind.

Das Personenbeförderungsfahrzeug kann ein Bus, ein Automobil (z. B. ein Taxi), ein Flugzeug, etc. sein.

Gemäß einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist das

Personenbeförderungsfahrzeug ein spurgebundenes Fahrzeug. Das spurgebundene Fahrzeug ist beispielsweise ein Schienenfahrzeug, insbesondere ein Triebzug.

Besonders bei dem Betrieb eines spurgebundenen Fahrzeugs ist die Anwendung des erfindungsgemäßen Verfahrens besonders zweckmäßig und vorteilhaft, da in spurgebundenen Fahrzeugen mehrere Arten von zu schützenden Informationen erzeugt werden, die Gegenstand von Auswertungen auf der landseitigen Einrichtung, beispielsweise durch den berechtigten Bedarfsträger, sein können. Die Erfindung betrifft ferner ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch eine Recheneinheit eines Personenbeförderungsfahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das Verfahren der vorstehend beschriebenen Art auszuführen.

Die Erfindung betrifft ferner ein computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch eine Recheneinheit eines Personenbeförderungsfahrzeugs und/oder einer landseitigen Einrichtung diese veranlassen, das Verfahren der vorstehend beschriebenen Art durchzuführen.

Die Erfindung betrifft ferner ein System zum Bereitstellen von zu schützenden Informationen. Das System umfasst ein Personenbeförderungsfahrzeug und eine landseitige Einrichtung. Bei dem System ist eine Einrichtung des Personenbeförderungsfahrzeugs ausgebildet, die zu schützenden Informationen zu erzeugen. Die landseitige Einrichtung ist ausgebildet, einen Auftrag zum Bereitstellen der zu schützenden Informationen zu senden, wobei dem Auftrag eine Verschlüsselungsinformation zum Verschlüsseln der zu schützenden Informationen beigefügt ist. Eine Recheneinrichtung des Personenbeförderungsfahrzeugs ist ausgebildet, die zu schützenden Informationen unter Verwendung der Verschlüsselungsinformation zu verschlüsseln. Eine Kommunikationsverbindung ist ausgebildet, die verschlüsselten zu schützenden Informationen an die landseitige Einrichtung zu übertragen.

Zu Vorteilen, Ausführungsformen und Ausgestaltungsdetails des erfindungsgemäßen Computerprogrammprodukts, computerlesbaren Speichermediums und Systems kann auf die vorstehende Beschreibung zu den entsprechenden Verfahrensmerkmalen verwiesen werden.

Ein Ausführungsbeispiel der Erfindung wird anhand der Zeichnungen erläutert. Es zeigen: Figur 1 schematisch den Aufbau eines erfindungsgemäßen Systems mit einem Personenbeförderungsfahrzeug und einer landseitigen Einrichtung und

Figur 2 schematisch den Ablauf eines

Ausführungsbeispiels eines erfindungsgemäßen Verfahrens.

Figur 1 zeigt eine schematische Ansicht eines Systems 1 mit einem Personenbeförderungsfahrzeug 3, einer landseitigen Einrichtung 5, die zu einer Betriebsleitzentrale eines Betreibers des Personenbeförderungsfahrzeugs 3 gehört, und einer landseitigen Einrichtung 105, die zu einem berechtigten Bedarfsträger oder dessen autorisierten Dienstleister gehört. Der berechtigte Bedarfsträger ist in dem gezeigten Ausführungsbeispiel eine Behörde der Exekutive, beispielsweise die Staatsanwaltschaft oder die Polizei. Die landseitige Einrichtung 105 umfasst eine Recheneinrichtung 107, beispielsweise einen PC (Personal Computer), und eine Speichereinrichtung 109.

Das Personenbeförderungsfahrzeug 3 ist ein spurgebundenes Fahrzeug 4, insbesondere ein Schienenfahrzeug, beispielsweise eine U-Bahn.

Das Personenbeförderungsfahrzeug 3 weist ein Kommunikationsnetz 7 auf, welches als Ethernet-Netz ausgebildet ist. An das Kommunikationsnetz 7 ist beispielsweise eine Videoüberwachungseinrichtung 10 datentechnisch angeschlossen. Zudem ist ein Mobile- Communication-Gateway 11 an das Kommunikationsnetz 7 angeschlossen, welches mit einer drahtlosen Kommunikationsschnittstelle 13 verbunden ist. Das Mobile- Communication-Gateway 11 bildet zusammen mit der drahtlosen Kommunikationsschnittstelle 13 eine Kommunikationseinrichtung 15, welche ausgebildet ist, Daten an die landseitige Einrichtung 5 zu senden und Daten von der landseitigen Einrichtung 5 zu empfangen. Die landseitige Einrichtung 5 weist ein Kommunikationsnetz 17 auf, welches als Ethernet-Netz ausgebildet ist. An das Kommunikationsnetz 17 ist beispielsweise eine Server- Einrichtung 19 datentechnisch angeschlossen. Zudem ist ein Ground-Communication-Gateway 21 an das Kommunikationsnetz 17 angeschlossen, welches mit einer drahtlosen Kommunikationsschnittstelle 23 verbunden ist. Das Ground- Communication-Gateway 21 bildet zusammen mit der drahtlosen Kommunikationsschnittstelle 23 eine Kommunikationseinrichtung 25, welche ausgebildet ist, Daten an das

Personenbeförderungsfahrzeug 3 zu senden und Daten von dem Personenbeförderungsfahrzeug 3 zu empfangen.

Die Kommunikationseinrichtungen 15 und 25 bilden gemeinsam eine Kommunikationsverbindung 30 zum Übertragen von Daten zwischen dem Personenbeförderungsfahrzeug 3 und der landseitigen Einrichtung 5, d. h. ausgehend von dem Personenbeförderungsfahrzeug 3 zur landseitigen Einrichtung 5 sowie ausgehend von der landseitigen Einrichtung 5 zu dem Personenbeförderungsfahrzeug 3.

Figur 2 zeigt schematisch den Ablauf eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens.

In einem Verfahrensschritt A werden Informationen, die zu schützen sind, erzeugt: Dazu werden in einem Verfahrensschritt Al beispielsweise Videobilder mittels der Videoüberwachungseinrichtung 10 erfasst und in einem Verfahrensschritt A2 entsprechende Videodaten Vid als zu schützende Informationen erzeugt. Die Videodaten Vid werden gemäß einem Standardformat, beispielsweise MPEG4 part 10 (H.264), erzeugt. Die Videodaten werden in einem Verfahrensschritt A3 mittels einer Recheneinrichtung 9 des Personenbeförderungsfahrzeugs 3 verschlüsselt und mittels einer Speichereinrichtung 12 gespeichert. Die Recheneinrichtung 9 und die Speichereinrichtung 12 sind beispielsweise Teil einer Server-Einrichtung 14. In einem Verfahrensschritt B wird ein Auftrag 42 zum Bereitstellen der zu schützenden Informationen mittels der Recheneinrichtung 107 der landseitigen Einrichtung 105 erzeugt. Die Erzeugung wird beispielsweise durch einen Bediensteten des Bedarfsträgers ausgelöst. In einem Verfahrensschritt C wird diesem Auftrag 42 eine Verschlüsselungsinformation 44 beigefügt und eine Anfrage 40, welche den Auftrag 42 und die Verschlüsselungsinformation 44 umfasst, erzeugt. Zudem wird der Anfrage eine Speicherdauerinformation, welche eine anlassbezogene oder nicht-anlassbezogene Speicherdauer gemäß DSGVO (Datenschutzgrundverordnung) repräsentiert, beigefügt. Die Anfrage 40 ist beispielsweise eine Datensicherungsanforderung gemäß der internationale Norm ISO/IEC 27001. Dabei wird dem Bedarfsträger durch eine Benutzerverwaltung eine exklusive Schnittstelle für eine indirekte Anfrage über das Kommunikationsnetz 7 ermöglicht. Die

Verschlüsselungsinformation 44 ist beispielsweise ein VerschlüsselungsZertifikat .

Die Anfrage 40 wird in einem Verfahrensschritt D über ein öffentliches Kommunikationsnetz 46 (beispielsweise World Wide Web) zunächst an die landseitige Einrichtung 5 gesendet. Die landseitige Einrichtung 5 prüft die Anfrage 40 in einem Verfahrensschritt E. In einem Verfahrensschritt F gibt die landseitige Einrichtung 5 die Anfrage 40 über die Kommunikationsverbindung 30 an das

Personenbeförderungsfahrzeug 3 weiter. Innerhalb des Personenbeförderungsfahrzeugs 3 wird die Anfrage 40 über das Kommunikationsnetz 7 an die Server-Einrichtung 14 übertragen.

In einem Verfahrensschritt G werden die Videodaten, die in Verfahrensschritt A3 verschlüsselt werden, mittels der Recheneinrichtung 9 entschlüsselt.

Den entschlüsselten Videodaten wird in einem Verfahrensschritt H eine Signaturinformation beigefügt. Die Signaturinformation kann zur Prüfung der Integrität der Videodaten mittels der Recheneinrichtung 107 der landseitigen Einrichtung 105 verwendet werden.

Die Recheneinrichtung 9 verwendet die in der Anfrage 40 enthaltene Verschlüsselungsinformation 44 zum Verschlüsseln der angefragten Videodaten in einem Verfahrensschritt J.

Die verschlüsselten Videodaten werden in einem Verfahrensschritt K über die Kommunikationsverbindung 30 an die landseitige Einrichtung 5 und weiter über das öffentliche Kommunikationsnetz 46 übertragen. Beispielsweise werden die verschlüsselten Videodaten auf der landseitigen Einrichtung 5, beispielsweise auf der Server-Einrichtung 19, abgelegt und für einen Download durch die Recheneinrichtung 107 der landseitigen Einrichtung 105 bereitgestellt. Etwaige Recheneinrichtungen der landseitigen Einrichtung 5 sind dabei in der Regel nicht in der Lage, die verschlüsselten Videodaten zu entschlüsseln.

In einem Verfahrensschritt L werden die Videodaten, die in Verfahrensschritt J verschlüsselt werden, mittels der Recheneinrichtung 107 entschlüsselt. Hierzu verwendet die Recheneinrichtung 107 eine Entschlüsselungsinformation 108, welche auf einer Speichereinrichtung 109 der landseitigen Einrichtung 105 gespeichert ist.

Die den Videodaten in Verfahrensschritt H beigefügten Signaturinformationen werden mittels der Recheneinrichtung 107 zur Prüfung der Integrität verwendet.

Die Entschlüsselungsinformation 108 ist ein Entschlüsselungszertifikat und ist ausschließlich auf der landseitigen Einrichtung 105 des Bedarfsträgers gespeichert. Den Komponenten des Personenbeförderungsfahrzeugs 3, der Kommunikationsverbindung 30 sowie der landseitigen Einrichtung 5 ist die Entschlüsselungsinformation 108 nicht bekannt. Die Verschlüsselungsinformation 44 wird lediglich zu dem Zwecke der Verschlüsselung der Videodaten (vor dem Übertragen K) auf das Personenbeförderungsfahrzeug 3 übertragen. Beispielsweise ist die

Verschlüsselungsinformation 44 ein öffentlicher Schlüssel (public key) und die Entschlüsselungsinformation 108 ein privater Schlüssel (private key), die ein Schlüsselpaar im Sinne einer asymmetrischen Verschlüsselung bilden.

Zur Einhaltung von Datenschutzvorgaben werden die Videodaten lediglich für eine vorgegebene Zeitdauer vorgehalten und bei Ablauf der vorgegebenen Zeitdauer gelöscht.

Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.