Die Erfindung betrifft ein Verfahren zur Abwehr von Lauschversuchen bei der Übertragung von Bilddaten, die aus

Bildsignalen gewonnen werden, die von einer an einem

Selbstbedienungstermmal installierten Kamera erzeugt werden gemäß dem Oberbegriff des Patentanspruchs 1. Ebenso betrifft die Erfindung eine das Verfahren ausfuhrende Vorrichtung sowie ein damit ausgestattetes Selbstbedienungstermmal gemäß dem Oberbegriff eines der nebengeordneten Patentansprüche.

Die Erfindung betrifft insbesondere ein Verfahren und eine Vorrichtung zur Abwehr von Lauschversuchen bei der Bilddaten- Übertragung an einem Selbstbedienungstermmal, das als Geldautomat ausgebildet ist, wobei eine Kamera einen Aufnahmebereich erfasst, der einen zu überwachenden Bedienbereich des Selbstbedienungstermmals bzw. des Geldautomaten abdeckt.

Es ist bekannt, Selbstbedienungstermmals, insbesondere Geldautomaten, durch eine Kamerauberwachung abzusichern, um kriminelle Vorgange, wie insbesondere Sachbeschädigungen und/oder Manipulationen an den Terminals, festzustellen sowie Bildmaterial als Beweis- und Analysematerial aufzunehmen. Dazu wird mindestens eine Kamera an dem jeweiligen Selbstbedienungsterminal installiert . Diese mindestens eine Kamera liefert dann fortlaufend Bildsignale, aus denen üblicherweise digitale Bilddaten gewonnen werden, da e an einen Bilddatenspeicher und entfernten Rechner bzw. Server übertragen werden, um dort ausgewertet zu werden. Insbesondere Terminals m Gestalt von Geldautomaten sind Gegenstand solcher Kamerauberwachungen. Eine typische Manipulation an Geldautomaten ist das Anbringen von sogenannten Skimmmg-Vorrichtungen . Hierbei werden von Tatern nachgebaute Tastaturen und/oder Kartenleser im Bedienbereich des Geldautomaten angebracht, um somit an sensitive Daten, insbesondere Kartendaten und PINs zu gelangen. In letzter Zeit haben sich Angriffsszenarien m Form von Lauschangriffen bzw. Abhorversuchen gehäuft, bei denen die Tater sich Zugang zu den von der Kamera erzeugten Bildsignalen bzw. den daraus gewonnenen Bilddaten verschaffen wollen, in dem sie die Übertragung dieser Bildsignale bzw. Bilddaten an den entsprechenden Ubertragungsleitungen abgreifen (sog. „Abzapfen") . Ist ein solcher Lauschangriff erfolgreich, so kann der Tater aus den abgehorten Bildinformationen Rückschlüsse auf die von einem Kunden eingegebene PIN schließen sowie ggf. auch die Kartendaten beim Einfuhren der Karte in den Kartenschlitz ablesen. Somit kann der Tater ohne Einsatz von speziellen Skimming-Vorrichtungen an die sensitiven Daten gelangen.

Aufgabe der Erfindung ist es demnach, ein Verfahren und eine Vorrichtung zur effektiven Abwehr von Lauschversuchen bei der Bilddatenubertragung an einen Selbstbedienungstei minal vorzuschlagen. Insbesondere sollen ein Verfahren, eine Vorrichtung und ein damit ausgestattetes Bedienungstermmal vorgeschlagen werden, die die Bilddatenubertragung gegen derartige Lauschrersuche absichern und schützen.

Gelost wird die Aufgabe durch ein Verfahren mit den Merkmalen des Anspruchs 1 sowie durch eine Vorrichtung bzw. ein Selbstbedienungstermmal mit den Merkmalen der nebengeordneten Ansprüche.

Demnach wird vorgeschlagen, dass am Selbstbedienungstermmal, insbesondere in dem Aufnahmebereich der Kamera, aber auch außerhalb davon auftretende Ereignisse erkannt werden, und dass in Abhängigkeit von mindestens einem erkannten Ereignis die Erzeugung der Bildsignale an der Kamera und/oder die nachfolgende Übertragung der Bildsignale bzw. der daraus gewonnenen Bilddaten gesteuert wird. Demnach wird ein Ereignis erkannt, das beispielsweise die Betätigung der Tastatur und/oder das Einfuhren einer Karte in den Kartenschlitz darstellt, um dann davon abhangig die Erzeugung bzw. Übertragung der Bildsignale und/oder Bilddaten zu steuern. Demnach wird die Bild-Erzeugung bzw. Übertragung verändert, wenn ein solches Ereignis erkannt wird, das einer sensitiven Bedienung des Selbstbedienungstermmals entspricht. Deshalb kann selbst bei einem erfolgreichen Abzapfen von Leitungen und Ubertragungsstrecken, verhindert werden, dass entsprechende sensitive Bildsignale bzw. Bilddaten überhaupt erzeugt bzw. übertragen werden. Einem Tater, dem es eventuell gelingen sollte, die Kamerasignale bzw. die daraus abgeleiteten Bilddaten abzugreifen, wird somit keinen Zugriff auf sensitive Bildsignale bzw. Bilddaten erhalten können. Erfindungsgemäß wird auch eine das Verfahren ausführende Vorrichtung vorgeschlagen, die im Aufnahmebereich der Kamera auftretende Ereignisse mittels Auswertung der Bildsignale, der Bilddaten und/oder von Sensorsignalen erkennt, und die in Abhängigkeit davon die Erzeugung und/oder Übertragung der Bildsignale bzw. Bilddaten steuert.

Außerdem wird ein mit einer solchen Vorrichtung ausgestattetes Selbstbedienungsterminal vorgeschlagen, das insbesondere als Geldautomat ausgebildet sein kann.

In einer bevorzugten Ausführungsform werden Lauschversuche dadurch abgewehrt, dass die Erzeugung der Bildsignale gänzlich unterbunden wird, wenn zumindest ein Ereignis erkannt wird. Alternativ wird die Übertragung der aus den erzeugten Bildsignalen gewonnenen Bilddaten unterbunden, wenn zumindest ein Ereignis erkannt wird. Die Unterbrechung der Erzeugung bzw. Übertragung von Bildsignalen/date erfolgt zeitgesteuert zumindest solange, wie das sensitive Ereignis erkannt wird. Wiederum alternativ dazu werden in den gewonnenen Bilddaten zumindest Teilbilddaten ausgeblendet oder durch künstlich erzeugte Daten ersetzt, wenn zumindest ein Ereignis erkannt wird. In diesem Zusammenhang handelt es sich vorzugsweise um solche Teilbilddaten, die sich auf mindestens einen Teilbereich des Aufnahmebereiches beziehen, insbesondere sich auf einen ersten und zweiten Teilbereich beziehen, der eine Tastatur bzw. einen Kartenschlitz im Bedienbereich des Selbstbedienungsterminals abdeckt.

Die Ereignisse, die insbesondere im Bedienungsbereich innerhalb des Kamera-Aufnahmebereichs oder auch außerhalb davon erkannt werden, sind z.B. Bedienung einer Tastatur bzw. Einführen einer Karte. Die Ereignisse im Kamera- Aufnahmebereich können durch Auswertung der Bildsignale und/oder der Bilddaten erkannt werden. Dies kann in der erfmdungsgemaßen Vorrichtung erfolgen. Alternativ dazu oder auch zusatzlich dazu können die Ereignisse durch Auswertung von mindestens einem Sensorsignal erkannt werden, das von einem Sensor zur Überwachung eines Bedienelementes im Bedienbereich des Selbstbedienungstermmals, auch außerhalb des Kamera-Aufnahmebereiches erzeugt wird. Außerdem können Ereignisse, wie. z.B. das Einfuhren einer Karte, aus dem aktuellen Zustand des Selbstbedienungstermmals abgeleitet werden, insbesondere durch Abfrage bzw. Ablesen von Prozesszustanden bzw. Zustandsautomaten (state machmes) oder dergleichen. Entsprechende Signale können dann an die erfmdungsgemaße Vorrichtung gesendet werden.

Die Erfindung und die sich daraus ergebenden Vorteile werden nachfolgend von einem Ausfuhrungsbeispiel und unter Bezugnahme auf die beiliegenden schematischen Zeichnungen beschrieben :

Fig. 1 zeigt schematisch den Bedienbereich eines

Selbstbedienungstermmals und eine den Bedienbereich überwachende Kamera;

Fig. 2 zeigt in Form eines Blockschaltbildes Komponenten der Vorrichtung zur Abwehr von Lauschversuchen bei der Bilddaten-Ubertragung; und

Fig. 3 zeigt das Ablaufdiagramm eines erfmdungsgemaßen Verfahrens zur Abwehr von Lauschversuchen bei der Bilddaten-Ubertragung .

Die Fig. 1 zeigt den Bedienbereich eines Selbstbedienungstermmals, das hier als Geldautomat ATM ausgebildet ist, wobei der Bedienbereich u.a. folgende Bedienelemente aufweist: eine Tastatur KBD zur Eingabe von Ziffern, insbesondere PIN-Nummern, mehrere Funktionstasten BTN, insbesondere zur Bestätigung von gemachten Tastatur-Eingaben, einen Bildschirm MON zur Darstellung von Bedieninformationen und einen Kartenschlitz SLT zum Einfuhren von Karten, insbesondere von Bankkarten. Außerdem weist der Bedienbereich noch weitere Felder, wie z.B. Schilder und Beschriftungen LBL auf. Durch mindestens eine am Bedienbereich angeordnete Kamera CAM wird der Bedienbereich überwacht, wobei die Kamera CRM einen Aufnahmebereich AO aufweist, der den gesamten Bedienbereich abdeckt.

Erfmdungsgemaß wird nun mittels des nachfolgend beschriebenen Verfahrens und der entsprechenden Vorrichtung bei der Übertragung der Bildsignale bzw. Bilddaten eine

Ausblendung bestimmter Teilbereiche Al und/oder A2 durchgeführt, wenn ein sensitives Ereignis erkannt wird, das z.B. der Eingabe von PIN-Nummern oder dem Einfuhren einer Karten entspricht. Die ausgeblendeten Teilbereiche Al und A2 beziehen sich insbesondere auf sensitive Bereiche des

Aufnahmebereiches AO, hier z.B. auf den Bereich Al, der die

Tastatur KBD abdeckt, sowie auf den Bereich A2 , der den

Kartenschlitz SLT abdeckt. Anhand der Fig. 2 und 3 wird nun das erfindungsgemaße Verfahren und die danach arbeitende

Vorrichtung naher beschrieben:

Die Fig. 2 zeigt in Form eines Blockschaltbildes den Aufbau einer erfmdungsgemaßen Vorrichtung, die insbesondere als Detektionseinheit DET ausgebildet ist, und zumindest mit einer Bildverarbeitungsemheit PRC verbunden ist, die von der Kamera CAM erzeugte Bildsignale Sa empfangt und diese verarbeitet. Die Bildverarbeitungsemheit PRC erzeugt aus den Bildsignalen Sa entsprechende digitale Bilddaten Sb und übertragt diese beispielsweise an eine Speichereinrichtung MEM. Diese Speichereinrichtung kann in einem von dem Selbstbedienungsterminal entfernten Server angeordnet sein. Zwischen der Kamera CAM und der Bildverarbeitungsemheit PRC befindet sich eine erste Verbindung Ca, über die die Bildsignale übertragen werden. Diese Verbindung Ca ist beispielsweise eine analoge Verbindung in Form eines Koaxialkabels, das entsprechende Bildsignale m Form von Videosignalen von der Kamera an die Bildverarbeitungsemheit übertragt. Vorzugsweise werden die Kamera CAM und die Bildverarbeitungsemheit PRC in einem Modul MD integriert, damit Dritte keinen direkten Zugriff auf die Verbindung Ca haben, um dort Abhorversuche vorzunehmen.

Zwischen der Bildverarbeitungsemheit PRC und dem externen Speicher MEM befindet sich eine zweite Verbindung Cb, über die die erzeugten digitalen Bilddaten Sb oder die erfmdungsgemaß im Falle eines sensitiven Ereignisses veränderten digitalen Bilddaten Sb' übertragen werden. Diese Verbindung Cb stellt somit eine sichere digitale Datenubertragungsverbmdung dar, die z.B. über Daten- oder Kommunikationsnetze, wie z.B. IP-Verbmdungen, bis zu entfernten Rechnern (Servern) reichen kann. Die übertragenen Bilddaten Sb bzw. Sb' werden dann empfangsseitig in dem dortigen Speicher MEM zwischengespeichert und dann einer Datenanzeige und/oder Auswertung zugeführt, um die von der Kamera erfassten Bilder auszuwerten.

Insbesondere diese zweite Verbindung Cb bietet einen potenziellen Angriffspunkt für Lauschangriffe, indem Dritte versuchen, diese Verbindung anzuzapfen. Zu Abwehr wird erfmdungsgemaß nun zumindest die Übertragung der digitalen Bilddaten Sb bzw. Sb' derart gesteuert, dass keine Bilddaten übertragen werden, die sensitive Vorgange bzw. Ereignisse, wie z.B. Tastatureingaben oder das Einfuhren einer Bankkarte wiedergeben konnten. Die Steuerung erfolgt nach dem erfindungsgemaßen Verfahren, das anhand der Fig. 3 nachfolgend naher beschrieben wird.

Die Fig. 3 zeigt das Ablaufdiagramm für ein Verfahren 100 mit den Schritten 110 bis 130. In einem ersten Schritt fuhrt die Kamera CAM Bildaufnahmen durch und erzeugt entsprechende Bildsignale Sb (siehe auch Fig. 1 und 2) . Aus diesen analogen Bildsignalen werden digitale Bilddaten Sb in der Bildverarbeitungseinheit PRC erzeugt. Danach wird in einem Schritt 120 durch Auswertung der erzeugten Bilddaten festgestellt, ob ein Ereignis vorliegt, das die Bedienung von sensitiven Bereichen im Bedienbereich betreffen konnte. Beispielsweise wird anhand der Auswertung der Bilddaten Sb erkannt, dass eine Person die Tastatur KBD im Bedienbereich des Bankautomaten ATM bedient. Außerdem kann auch erkannt werden, ob eine Person eine Bankkarte in den Kartenschlitz SLT einfuhrt. Ist dies der Fall, so folgt in einem Schritt 121 die Erzeugung eines Auslösesignals bzw. Triggers TR (siehe Fig. 2) der die Erzeugung bzw. Übertragung der Bilddaten dahingehend steuert, dass zumindest Teilbilddaten ausgeblendet bzw. ersetzt werden, die die genannten sensitiven Bildbereiche Al bzw. A2 betreffen.

In einem nachfolgenden Schritt 122 werden dann die Bilddaten Sb' übertragen, wobei die sensitiven Bilddaten durch kunstlich erzeugte Daten (Dummy-Daten) ersetzt worden sind. In einem nachfolgenden Schritt 130 erfolgt dann die Übertragung der veränderten Bilddaten Sb' über die zweite Verbindung Cb. Wurde im Schritt 120 jedoch festgestellt, dass kein Ereiqms vorliegt, so erfolgt entsprechend dem Schritt 130 eine Übertragung der Oπgxnal-Bilddaten Sb, d.h. der unveränderten Bilddaten. Durch diese Maßnahme wird erreicht, dass nach wie vor eine sichere Überwachung des Selbstbedienungsterrninals bzw. Bankautomaten ATM durchgeführt werden kann, dass aber im Falle von Ereignissen, die sensitiv sind, entsprechende Bilddalen nicht erzeugt bzw. nicht übertragen werden.

In einer einfachen Ausfuhrung kann für den Fall, dass ein sensitives Ereignis erkannt wird, die Vorrichtung DET auch einen Ausloser bzw. Trigger TR* erzeugen, der die Kamera CAM direkt ansteuert, um die Erzeugung des Bildsigna] s Sa gänzlich zu unterbinden. In diesem Fall wird also die komplette Bildaufnahme unterdruckt.

Das Erkennen von Ereignissen kann nicht nur durch Auswertung der Bildsignale Sa bzw. der daraus gewonnenen Bilddaten Sb erfolgen, sondern kann alternativ oder zusätzlich dazu auch anhand von Sensorsignalen erfolgen. In diesem Falle ist die Vorrichtung DET mit Sensoren verbunden, die an den sensitiven Bedienelementen, wie z.B. der Tastatur KBD und/oder dem Kartenschlitz SLT angebracht sind. Der Sensor kann im einfachen Fall auch die jeweilige Taste der Tastatur selbst oder einen Detektor am Eingang des Kartenschlitzes SLT sein.

Als Kamera CAM kann eine Kamera üblicher Bauart eingesetzt werden, welche analoge oder digitale Bildaufndhmen durchfuhrt. Die erste Verbindung Ca kann beispielsweise als Koaxialkabel für analoge Bildsignale oder beispielsweise als USB-Kabel für digitalisierte Bildsignale bzw. Bilddaten ausgeführt sein. Die BildN/erarbeitung erfolgt m dei Bildverarbeitungseinheit PRC, die beispielsweise als dezidierte Elektronik oder auch als Softwareprogramm, welches auf einem Personal Computer lauft, ausgeführt sein kann. Das verarbeitete Bild bzw. die gewonnenen Bilddaten werden dann über die zweite Verbindung Cb weitergeleitet zu dem Speicher MEM bzw. zu einem entfernten Rechner, insbesondere einem Server, der die Bilddaten weiter auswertet bzw. zur Anzeige bringt. Der Server befindet sich beispielsweise in einer Uberwachungszentrale, die mehrere Selbstbedienungsterminals gleichzeitig überwacht.

Neben den bereits beschriebenen Maßnahmen können die übertragenen Bildsignale Sa bzw. Bilddaten Sb zusatzlich noch verschlüsselt werden, um gegen Lauschversuche Dritter noch starker gesichert zu sein. Vorzugsweise bilden die Kamera CAM und die Bildverarbeitungseinheit PRC eine bauliche Einheit in Form eines Moduls MD. Wie oben beschrieben worden ist, werden in der Bildverarbeitung diejenigen Bereiche des Bildes ausgeblendet und/oder erkenntlich gemacht, aus welchen sich Rückschlüsse auf die PIN-Emgabe oder auf Kartendaten gewinnen lassen können. Die Veränderung der Bilddaten erfolgt beispielsweise, indem alle Pixel in den besagten Teilbereichen auf den gleichen Färb- und/oder Helligkeitswert gesetzt werden.

Die Steuerung der Erzeugung der Bildsignale bzw. Übertragung der Bilddaten erfolgt zeitabhängig, indem die beschriebene Ausblendung von Bilddaten nur zu solchen Zeitpunkten durchgeführt wird, wenn ein Ereignis erkannt wird. Somit wird sichergestellt, dass keine sensitiven bzw. kritischen Vorgange, wie beispielsweise Eingaben von PIN-Nummern bzw. Einfuhren von Karten, aufgenommen und/oder übertragen werden. Die Festlegung der ausgeblendeten bzw. veränderten Teil- Bilddatenbereiche kann auch derart weiter ausgebildet weiden, dass nur dezidierte Teilbereiche, wie etwa Schriftzuge und Ziffernangaben auf Bankkarten ausgeblendet bzw. überschrieben werden. Die Abwehr gegen Lauschversuche kann auch derart erfolgen, dass mittels eines Triggers die BiIdaufnähme vollständig unterbrochen wird. Dies geschieht beispielsweise, sobald eine Hand bzw. ein Finger sich über der Tastatur KBD befindet und somit auf den Vorgang einer PIN-Eingabe geschlossen werden kann. Das Erkennen einer solchen Situation kann durch Bilderkennungstechmken durchgeführt werden, mittels denen z.B. das Erscheinen von Hand bzw. Fingern im Aufnahmebereich, insbesondere im Bereich der Tastatur KBD, oder das Einfuhren einer Bankkarte in den Kartenschlitz SLT erkannt werden.

Weiterhin können zur Überprüfung, ob ein sensitives Ereignis vorliegt, neben Sensoren noch zusätzliche Informationen herangezogen werden, die in der Regel m einem Selbstbedienungsterminal vorhanden sind. Dies ist beispiels- weise der aktuelle Status bezuglich des Zustandes des Selbstbedienungstermmals . So braucht beispielsweise die Hand bei der PIN-Emgabe nur dann im Bild maskiert zu werden, wenn auch tatsachlich eine PIN-Nummer eingegeben wird. Hingegen ist keine Maskierung erforderlich, wenn die Hand lediglich eine Menusteuerung durchfuhrt. Auch ist keine Maskierung erforderlich, solange sich eine Magnet- bzw. Chipkarte im System befindet.

Die vorgeschlagene Erfindung verhindert effektiv jeden Lauschangriff auf die Übertragung von Kamerasignalen bzw. Bilddaten an einem Selbstbedienungsterminal. Bezugszeichenliste

ATM Selbstbedienungs terminal, hier als Geldautomat ausgebildet;

MON Bildschirm

SLT Kartenschlitz

KBD Bedienelement in Gestalt einer Tastatur BTN Bedienelemente in Gestalt von Funktionstasten

LBL Schild bzw. Beschriftung

CAM Kamera zur Überwachung des ATM-Bedienbereichs AO Aufnahmebereich Al, A2 sensitive Teilbereiche, die ausgeblendet bzw. maskiert werden

DET Vorrichtung umfassend eine Detektionsemheit zum

Erkennen sensitiver Ereignisse PRC Bildverarbeitungsemheit

MD Modul mit CAM, PCR und DET

MEM externe Speichereinrichtung (z.B. eines Servers)

TR, TR* Steuersignale bzw. Trigger Sa analoges Bildsignal von CAM

Sb, Sb' digitale Bilddaten von PRC aus dem Bildsignal Sd gewonnen Ca, Cb Verbindungen zur Bild-Ubertragung

100 Verfahren zur Abwehr von Lauschversuchen mit

Schritten 110 bis 130