Ein bekanntes Diebstahlschutzsystem (DE 195 26 530 Cl) weist mehrere Schlüssel auf, durch die vor Benutzen des Kraftfahr- zeugs hierfür ein Nachweis der Berechtigung geliefert werden muß. Dies geschieht in einem Dialogverfahren, bei dem vom Kraftfahrzeug ein Anforderungssignal zu einem Schlüssel ge- sendet wird, der daraufhin sein Codesignal zurücksendet. Das Codesignal wird im Kraftfahrzeug auf seine Berechtigung ge- prüft.

Wenn im Fahrzeug ein Steuergerät ausgetauscht werden muß, so wird das neue Steuergerät dadurch initialisiert, daß zumin- dest zwei Schlüssel verwendet werden, die ihr Codesignal an das Kraftfahrzeug übermitteln. Bei einem solchen Diebstahl- schutzsystem ist es jedoch immer noch möglich, daß Versiche- rungsbetrug begangen wird, indem das Fahrzeug zusammen mit zwei oder mehr Schlüsseln einem Käufer gegeben wird. Gegen- über dem Fahrzeugversicherer wird behauptet, das Fahrzeug sei zusammen mit einem Schlüssel geklaut worden.

Der Erfindung liegt das Problem zugrunde, ein Verfahren zum Initialisieren eines Diebstahlschutzsystems eines Kraftfahr-

zeugs zu schaffen, das höchste Sicherheit vor unbefugten In- itialisieren bietet.

Dieses Problem wird erfindungsgemäß durch ein Verfahren nach Patentanspruch 1 gelöst. Dabei werden alle Schlüssel und das Schloß dadurch initialisiert, daß neue Codierdaten sowohl von Codierdaten allen dem Diebstahlschutzsystem bisher zugeordne- ten Schlüsseln als auch von Codierdaten aus dem Schloß gebil- det werden. Die neuen Codierdaten werden in allen Schlüsseln und in dem Schloß zusammen mit der Gesamtzahl aller dem Dieb- stahlschutzsystem zugeordneter Schlüssel gespeichert. Alle bisherigen Codierdaten werden gelöscht oder überschrieben.

Da die Gesamtzahl aller dem Diebstahlschutzsystem zugeordne- ter Schlüssel gespeichert wird, und dies sowohl in jedem Schlüssel als auch im Schloß, kann jederzeit von einem Drit- ten bei Nachweis einer Berechtigung abgefragt werden, wie viele Schlüssel dem Diebstahlschutzsystem zugeordnet waren.

Ein Benutzer kann nur das Diebstahlschutzsystem initialisie- ren, wenn er alle Schlüssel bis auf einen vorliegen hat. Gibt der bisherige Eigentümer mehr als die gegenüber dem Fahrzeug- versicherer angegebenen Menge von Schlüsseln einem Käufer mit, so kann dies einfach nachgewiesen werden.

Vorteilhafte Ausgestaltungen der Erfindung sind in den Un- teransprüchen gekennzeichnet. Dabei liegen die Codierdaten in Form eines mathematischen Algorithmus oder in Form eines bi- när codierten Signals sowohl im Schlüssel als auch im Schloß und/oder in einer zentralen Speichereinheit vor. Die Initia- lisierung eines Ersatzschlüssels kann dabei nur dann vonstat-

ten gehen, wenn mindestens die festgelegte Gesamtzahl von Schlüsseln minus einem Schlüssel beim Initialisierungsvorgang vorhanden sind.

In den Schlüsseln und in dem Schloß können auch Datum und Uhrzeit zusammen mit der Gesamtzahl der Schlüssel gespeichert werden. Dadurch werden Manipulationsversuche im nachhinein sichtbar. Die Codierdaten werden von jedem Schlüssel zum Schloß oder von einer zentralen Datenbank beim Hersteller te- lemetrisch zu einem Diagnosegerät und von dort zum Schloß übertragen.

Ausführungsbeispiele der Erfindung werden im folgenden anhand der schematischen Zeichnungen näher erläutert. Es zeigen : Figur 1 ein Blockschaltbild eines Diebstahlschutzsystems ei- nes Kraftfahrzeugs und Figur 2 ein Ablaufdiagramm eines Verfahrens zum Initialisie- ren des Diebstahlschutzsystems.

Ein Diebstahlschutzsystem für ein Kraftfahrzeug kann das be- stimmungsgemäße Benutzen eines Kraftfahrzeug durch einen un- berechtigten Benutzer verhindern. Um eine Berechtigung nach- zuweisen (Authentifikation), benötigt ein Benutzer einen Schlüssel 1 (Figur 1). Dieser Schlüssel 1 sendet nach Auffor- derung ein Codesignal drahtlos zu einem Schloß. Das Schloß weist ein Sende-und Empfangseinheit 2 auf, die mit einer oder mehreren Antennen verbunden ist. Die Sende-und Emp- fangseinheit 2 demoduliert das von der Antenne empfangene Codesignal und leitet es über eine Datenleitung 3 zu einem

Zentralsteuergerät 4. Dort wird das Codesignal auf seine Be- rechtigung hin überprüft, in dem es mit einem erwarteten Sollcodesignal verglichen wird.

Um die Sicherheit weiter zu erhöhen, können weitere Steuerge- räte 5 im Kraftfahrzeug in das Verfahren der Authentifikation mit eingebunden werden. Hierzu sendet das Zentralsteuergerät 4 ein Anforderungssignal über die Datenleitung 3 an die Steu- ergeräte 5, die mit ihrem eigenen Codesignal antworten. Nur wenn die Steuergeräte 5 richtig antworten, wird das Codesi- gnal des Schlüssels 1 überprüft. Nachdem die Berechtigung er- kannt ist, werden Türen entriegelt oder eine Wegfahrsperre gelöst.

Ein solches Diebstahlschutzsystem wird am Bandende beim Fahr- zeughersteller initialisiert. Hierzu werden Codierdaten so- wohl in das Zentralsteuergerät 4 und gegebenenfalls in die Steuergeräte 5 im Kraftfahrzeug als auch in alle Schlüssel 1, die dem Diebstahlschutzsystem zugeordnet sind, eingespei- chert. Die Codierdaten sind individuell nur für das Dieb- stahlschutzsystem des Kraftfahrzeugs und enthalten einerseits einen nicht auslesbaren Geheimcode (Kryptoschlüssel) und zum anderen fahrzeugspezifische Daten sowie die Gesamtzahl der dem Diebstahlschutzsystem des Kraftfahrzeugs zugeordneten Schlüssel 1.

Zum Nachweis der Nutzungsberechtigung wird im Zentralsteuer- gerät 4 des Kraftfahrzeugs eine Zufallszahl erzeugt. Diese Zufallszahl wird bei Anforderung zu dem Schlüssel 1 gesendet,

den der Benutzer, der Zugang begehrt, bei sich trägt. Die Zu- fallszahl wird auch an das Zentralsteuergerät 4 geliefert.

Im Schlüssel 1 wird mit Hilfe der Zufallszahl und des Krypto- schlüssels ein Codesignal erzeugt, das zurück über die Anten- ne zu dem Zentralsteuergerät 4 gesendet wird. Da in dem Zen- tralsteuergerät 4 der gleiche Kryptoschlüssel gespeichert ist, kann mit Hilfe der Zufallszahl ein Sollcodesignal er- zeugt werden, das in dem Zentralsteuergerät 4 mit dem empfan- genen Codesignal verglichen wird. Stimmen die beiden Codesi- gnale überein, so ist die Berechtigung nachgewiesen.

Das Sollcodesignal kann auch in dem Schloß gespeichert sein.

Das empfangene Codesignal wird dann mit dem gespeicherten Sollcodesignal verglichen.

Der Eigentümer des Kraftfahrzeugs bekommt beim Kauf des Kraftfahrzeugs alle dem Fahrzeug geordneten Schlüssel 1 zu- sammen mit dem Fahrzeugbrief ausgehändigt. Zum Benutzen des Kraftfahrzeugs benötigt er nur einen einzigen Schlüssel 1.

Die restlichen Schlüssel 1 kann er zu Hause sicher aufbewah- ren.

Beim Diebstahl des Kraftfahrzeugs wird dieses zumeist nicht mit einem Schlüssel 1 entwendet. Bei Carjacking/Carnapping dagegen wird sich dem Fahrzeug in der Regel mitsamt dem gera- de verwendeten Schlüssel 1 bemächtigt. Es ist jedoch sehr un- wahrscheinlich, daß das Fahrzeug zusammen mit mehr als einem Schlüssel 1 geklaut wird. Am meisten kommt es vor, daß ein

Schlüssel 1 verloren geht, für den dann ein Ersatzschlüssel gewünscht wird.

Wenn ein neuer Schlüssel 1 (Ersatzschlüssel für einen verlo- renen Schlüssel 1 oder ein zusätzlich gewünschter Schlüssel 1) zu dem Diebstahlschutzsystem hinzugenommen wird, so wird dieser Schlüssel 1 zusammen mit den noch verbleibenden Schlüsseln 1 und dem Schloß, d. h. das gesamte Diebstahl- schutzsystem, erneut initialisiert.

Das Verfahren zum Initialisieren wird anhand der Figur 2 nä- her erläutert. Dabei wird davon ausgegangen, daß das Dieb- stahlschutzsystem bereits am Bandende beim Fahrzeughersteller einmal initialisiert wurde.

Zunächst muß die Gesamtzahl n aller Schlüssel 1, die dem Diebstahlschutzsystem bisher zugeordnet waren, bekannt sein.

Dann wird die neue Gesamtzahl x aller Schlüssel 1 festgelegt, die dem Diebstahlschutzsystem zugeordnet werden sollen. Wenn ein Schlüssel 1 verlorengeht, so sind noch n-1 Schlüssel 1 vorhanden. Wenn nur ein neuer Schlüssel 1 hinzu kommt, so be- trägt die neue Gesamtzahl x gleich der bisherigen Gesamtzahl n. Wenn überdies noch ein zusätzlicher Schlüssel 1 benötigt wird, so beträgt die neue Gesamtzahl x = n+1.

Zum Einleiten der Initialisierung ist ein Nachweis der Be- rechtigung (beispielsweise durch Abgabe eines Codesignals ei- nes berechtigten Schlüssels 1) notwendig. Falls dieser Nach- weis vorliegt, so können die neuen Codierdaten erzeugt wer- den. Hierzu sind jedoch alle vorhandenen, bisher berechtigten

Schlüssel 1 und das Schloß notwendig. Von der bisherigen Ge- samtzahl n der Schlüssel 1 darf nur maximal einer bei der In- itialisierung fehlen, d. h. es müssen zumindest n-1 bisher be- rechtigte Schlüssel 1 vorliegen.

In dem Beispiel nach Figur 1 sind dem Diebstahlschutzsystem vier Schlüssel 1, und zwar die Schlüssel G1 bis G4 zugeord- net. Die bisherige Gesamtzahl n der Schlüssel 1 beträgt also n = 4. Falls einer der Schlüssel 1, beispielsweise der Schlüssel G4 verlorengeht, so werden zum erneuten Initiali- sieren alle drei restlichen Schlüssel G1 bis G3 (= n-1) benö- tigt. Zusammen mit diesen Schlüsseln 1 kann ein oder mehrere Ersatzschlüssel initialisiert werden, so daß die neue Gesamt- zahl x = 4 (oder x > 4) beträgt.

Aus den Codierdaten der drei restlichen Schlüssel G1 bis G3 und aus den Codierdaten im Zentralsteuergerät 4 werden neue Codierdaten erzeugt, die sowohl in allen Schlüsseln 1 (d. h. auch in die Ersatzschlüssel) als auch im Schloß abgespeichert werden. Sind nicht alle Schlüssel 1-wie gefordert-vorhan- den, so werden alle zugangsberechtigten Schlüssel 1 gelöscht, indem alle Codierdaten gelöscht werden. Somit kann mit keinem Schlüssel 1 mehr eine Berechtigung nachgewiesen werden. Dann müssen die notwendigen Codierdaten von einer beim Fahrzeug- hersteller befindlichen und von diesem kontrollierten Daten- bank angefordert werden. Hierzu ist jedoch zunächst ein Nach- weis, beispielsweise Vorlage des Fahrzeugbriefs, notwendig.

Sind alle Schlüssel 1-wie zunächst festgelegt-mit Co- dierdaten versorgt, so wird auch die neue Gesamtzahl x aller

dem Diebstahlschutzsystem zugeordneter Schlüssél 1 sowohl in den Schlüsseln als auch in dem Schloß gespeichert. Die In- itialisierung ist beendet. Die neue Gesamtzahl x der Schlüs- sel 1 kann jederzeit ausgelesen, jedoch nur bei einer Initia- lisierung verändert (überschrieben) werden. So kann nachge- wiesen werden, wie viele Schlüssel 1 dem Diebstahlschutzsy- stem zugeordnet waren. Die Codierdaten sind von außen nicht auslesbar, ebensowenig sind sie von außen löschbar.

Bei einem Ersatzschlüssel, kann bei der Initialisierung auch eine Benutzungsbegrenzung vorgesehen werden. Dieser Ersatz- schlüssel kann beispielsweise eine beschränkte Anzahl von Startvorgängen, eine begrenzte Anzahl von gefahrenen Kilome- tern, nur für eine vorgegebene Zeitdauer oder für ein be- stimmtes geographisches Gebiet gestattet bekommen. Dies ist vor allem für Mietwagenfirmen wertvoll.

Wenn ein Eigentümer sein Fahrzeug zusammen mit einem Schlüs- sel 1 verkauft, jedoch das Fahrzeug als geklaut meldet (Ver- sicherungsbetrug), so kann der das Fahrzeug kaufende"Hehler" das Fahrzeug zwar benutzen, jedoch nur eingeschränkt. Er kann keine neuen Schlüssel 1 initialisieren, da ihm die restli- chen, dem Diebstahlschutzsystem zugeordneten Schlüssel 1 feh- len. Ein Weiterverkauf ist nicht mehr lukrativ, da nur ein Schlüssel 1 zur Verfügung steht. Auch Ersatzschlüssel kann er nicht nachmachen.

Wenn der bisherige Eigentümer mehr als einen Schlüssel 1 ab- gibt, so kann er selber auch nicht mehr das Diebstahlschutz- system initialisieren. Anhand der Gesamtzahl n, x können die

Angaben des Eigentümers über die Zahl der vorhandenen Schlüs- sel 1 auf Richtigkeit überprüft werden. Fehlen mehr als ein Schlüssel 1, so liegt der Verdacht nahe, daß Versicherungsbe- trug begangen wurde.

Falls der Eigentümer das Fahrzeug mit mehreren Schlüsseln 1 unberechtigter Weise verkauft (und behauptet, sein Fahrzeug sei geklaut worden), so kann dies der Fahrzeugversicherer nachweisen, indem er die Gesamtzahl der dem Kraftfahrzeug zu- geordneten Schlüssel 1 überprüfen kann. Da die Gesamtzahl zu- sammen mit den Codierdaten immer bei jeder Initialisierung abgespeichert wird, kann durch den Fahrzeugversicherer oder durch sonstige dritte Personen (Polizei) nachgewiesen werden, wie viele Schlüssel 1 dem Diebstahlschutzsystem zugeordnet waren.

Damit festgestellt werden kann, wann das Diebstahlschutzsy- stem, d. h. die Schlüssel 1 und das Zentralsteuergerät 4, in- itialisiert wurden oder ob nach Serienauslieferung eine er- neute Initialisierung stattgefunden hat, kann z. B. das Datum und die Uhrzeit der Initialisierung in einem Speicher im Schlüssel 1 und im Schloß mit der Gesamtzahl x abgespeichert werden.

Zusätzlich kann auch die Fahrgestellnummer zusammen mit den Codierdaten abgespeichert werden. Somit kann ein Schlüssel 1 eindeutig zu einem Kraftfahrzeug zugeordnet werden. Dadurch wird verhindert, daß Schlüssel 1 eines anderen Kraftfahrzeugs bei dem Fahrzeugversicherer als Nachweis der vorhandenen Schlüssel 1 abgegeben werden. Die Fahrgestellnummer wird bei

der Initialisierung am Bandende in die Schlüssel 1 und das Schloß (Zentralsteuergerät 4) eingeschrieben. Bei späteren Initialisierungen wird die Fahrgestellnummer aus dem Schloß oder den noch vorhandenen Schlüsseln 1 entnommen und in die Ersatzschlüssel eingeschrieben.

Die Fahrgestellnummer kann auch bei Nachweis einer Berechti- gung von der zentralen Datenbank des Herstellers über ein an das Kraftfahrzeug anschließbares Diagnosegerät 6 dem Dieb- stahlschutzsystem mitgeteilt werden.

In jedem Schlüssel 1 können auch benutzerindividuelle Daten gespeichert werden. Wenn der Benutzer mit seinem Schlüssel 1 Zugang zum Kraftfahrzeug begehrt, so werden diese Benutzerda- ten ausgelesen. Daraufhin können dann beispielsweise Sitze und Spiegel auf den entsprechenden Benutzer automatisch ein- gestellt werden.

Damit das Diebstahlschutzsystem initialisiert werden kann, muß es zunächst in einen Initialisierungszustand versetzt werden. Hierzu kann beispielsweise ein externes Diagnosegerät 6 angeschlossen werden, das das Diebstahlschutzsystem durch Abgabe eines gesonderten Signals in den Initialisierungszu- stand versetzt. Wenn dann noch ein Schlüssel 1 sein berech- tigtes Codesignal abgibt, so kann die Initialisierung erfol- gen.

Die für die Initialisierung notwendigen Codierdaten können dann aus den vorhandenen Schlüsseln 1 und aus dem Zentral- steuergerät 4 ausgelesen werden. Außerdem können die Co-

dierdaten dem Diagnosegerät 6 telemetrisch über die zentrale Datenbank übermittelt werden. Das Diagnosegerät 6 kann die neuen Codierdaten über die Datenleitung 3 (Bus) dem Zentral- steuergerät 4 mitteilen. Das Zentralsteuergerät 4 kann die Codierdaten dann über die Sende-und Empfangseinheit 2 den einzelnen Schlüsseln 1 zusenden.

Die neue Gesamtanzahl kann beispielsweise über eine Tastatur am Diagnosegerät 6 eingetippt und dem Zentralsteuergerät 4 mitgeteilt werden.

Wenn sich die zentrale Datenbank beispielsweise beim Automo- bilhersteller befindet, so kann jeder Initialisierungsvorgang vom Automobilhersteller überwacht werden.

Das Zentralsteuergerät 4 besteht im wesentlichen aus einem Mikroprozessor mit dazugehörigen Speichern (RAM/ROM). Die Co- dierdaten können in geeigneten EEPROM des Zentralsteuergerät 4 und der Schlüssel 1 gespeichert werden. Die EEPROM sind al- lerdings von außen nicht auslesbar. Ein Überschreiben der Co- dierdaten ist nur bei Nachweis einer Berechtigung möglich.

Lediglich die Gesamtzahl n, x und gegebenenfalls Datum sowie Uhrzeit können ausgelesen werden.

Das Zentralsteuergerät 4 kann als separates Gerät versteckt und manipulationssicher im Kraftfahrzeug angeordnet sein. Es kann aber auch in einem der Steuergeräte 5, beispielsweise in dem Motorsteuergerät integriert sein.

Das Codesignal wird drahtlos (optisch, akustisch, per Funk) vom Schlüssel 1 zum Schloß übertragen. Die Gesamtzahl x kann ebenso drahtlos zu einer Abfrageeinheit gesendet werden.

Gleichermaßen kann die Gesamtzahl n, x durch unmittelbares Kontaktieren (galvanische Datenübertragung) von Lesekontakten auf den Schlüsseln 1 mit einer Lesevorrichtung ausgelesen werden. Vorteilhafterweise wird das Diagnosegerät 6 als Lese- vorrichtung zum Auslesen der Gesamtzahl n, x verwendet.

Unter dem Begriff"Schlüssel 1"ist eine elektronische Ein- heit zu verstehen, die auf einem herkömmlichen mechanischen Tür-oder Zündschlüssel angeordnet ist. In der elektronischen Einheit sind Daten gespeichert. Der Schlüssel 1 kann sowohl Daten empfangen (drahtlos) als auch welche aussenden (drahtlos oder galvanisch). Die elektronische Einheit kann als Schlüssel 1 auch in Form einer Kreditkarte oder in son- stiger geeigneter, kleiner Bauweise vorliegen.

Unter dem Begriff"Schloß"ist die Sende-und Empfangseinheit 2 zusammen mit dem Zentralsteuergerät 4 zu verstehen. Das Zentralsteuergerät 4 ist mit Türverriegelungen 7 oder der Wegfahrsperre, die in das Motorsteuergerät integriert sein kann, verbunden. Nur bei Nachweis der Berechtigung (gültiges Codesignal) werden die Türverriegelungen 7 betätigt oder die Wegfahrsperre gelöst. Die Sende-und Empfangseinheit 2 ist mit ihrer Antenne (oder mehreren Antennen) beispielsweise an den Türschlössern, in den Außenspiegeln, an den Türverklei- dungen, im Fahrzeuginneren oder auf dem Zündschloß angeord- net.

Unter dem Begriff"Initialisierung"ist ein erstmaliges oder bei Bedarf wiederholtes Abspeichern von Daten in den Schlüs- seln 1 und in dem Schloß zu verstehen. Nur mit diesen Daten, die für jedes Kraftfahrzeug und gegebenenfalls für jeden Be- nutzer individuell sind, kann er Zugang zu dem Kraftfahrzeug erhalten und dieses auch Benutzen. Die erste Initialisierung findet am Bandende bei der Herstellung des Kraftfahrzeugs statt. Da zuvor noch kein Schlüssel 1 dem Diebstahlschutzsy- stem zugeordnet war, wird kein Schlüssel 1 für die erste In- itialisierung benötigt.

Unter dem Begriff"Wegfahrsperre"sind alle elektronischen Eingriffe in elektronische Einheiten des Kraftfahrzeugs zu verstehen, durch die ein Starten und Wegfahren des Kraftfahr- zeugs nur bei berechtigtem Codesignal ermöglicht wird. So können die Steuergeräte 5, wie das Motorsteuergerät, das Zündsteuergerät, das Getriebesteuergerät, usw. einzeln oder gemeinsam in die Wegfahrsperre eingebunden sein. Diese Steu- ergeräte 5 werden nur bei berechtigtem Codesignal freigege- ben. Ohne Freigabe dieser Steuergeräte 5 ist eine Inbetrieb- nahme des Kraftfahrzeugs nicht möglich.

Unter dem Begriff"Codesignal"ist ein binär codiertes Signal zu verstehen, das moduliert übertragen wird. Je größer die Bitlänge des Signals ist, desto größer ist die Sicherheit ge- gen unberechtigtes Nachmachen des Codesignals. Die Sicherheit ist am größten, wenn das Codesignal mit Hilfe eine geheimen Kryptoschlüssels mit einem krytographischen Verfahren erzeugt wird.

Mit dem erfindungsgemäßen Verfahren zum Initialisieren eines Diebstahlschutzsystems eines Kraftfahrzeugs werden alle dem Fahrzeug zugeordneten Schlüssel 1 initialisiert. Bei erfolg- ten Fahrzeugdiebstahl kann der Fahrzeugversicherer die Ge- samtzahl n, x der vorhandenen Fahrzeugschlüssel 1 in Erfah- rung bringen. Diese Gesamtzahl n, x kann mit den Angaben des Eigentümers des Fahrzeugs verglichen werden. Falls sich diese Angaben nicht decken, so wird Versicherungsbetrug vermutet, der dann strafrechtlich verfolgt werden kann.

Falls das Fahrzeug tatsächlich geklaut ist, so kann der Ei- gentümer des Fahrzeugs alle noch vorhandenen Schlüssel 1 vor- legen. Der Fahrzeugversicherer oder der Fahrzeughersteller kann dies anhand der in den Schlüsseln 1 gespeicherten Ge- samtzahl n, x und der gespeicherten Fahrgestellnummer über- prüfen und bei Ungereimtheiten auf Versicherungsbetrug hin weiter nachforschen.