Die Erfindung betrifft ein Verfahren zum Anmelden in einem Account eines Nutzers nach der im Oberbegriff von Anspruch 1 näher definierten Art.

Heutzutage ist es allgemein bekannt und üblich, dass Nutzer in Netzwerken aktiv sind. Dies können beispielsweise soziale Netzwerke, Firmennetzwerke, Karrierenetzwerke oder auch produktbezogene Netzwerke, welche dem Nutzer bestimmte auf sein Produkt bezogene Services bereitstellen, sein. Rein beispielhaft kann hier das Netzwerk der Anmelderin genannt werden, in welchem sich Benutzer, beispielsweise über die App Mercedes me, anmelden können, um entsprechende Services, z.B. bezogen auf ihr Fahrzeug, zu nutzen. Allgemein bekannt und üblich ist es dabei, dass dem Nutzer ein Benutzername bzw. eine Identifikation zugeordnet wird, und dass er zürn Anmelden zusammen mit diesem Benutzernamen ein nur ihm selbst bekanntes Passwort nutzt. Dies kann insbesondere ein von ihm erstelltes primäres Passwort sein. Mit seinem Benutzernamen und dem von ihm erstellten primären Passwort kann sich der Nutzer dann in seinem Account bei dem Netzwerk anmelden und die entsprechenden Services nutzen.

In der Praxis kann es nun dazu kommen, dass ein Nutzer sein Passwort vergisst. Dafür kennt der Stand der Technik zahlreiche Methoden, um ein solches Passwort wieder herzustellen, beispielsweise über Fragen, deren Antworten der Nutzer vorher hinterlegt hat, und deren Antwort im Zweifel nur er selbst weiß. Auch weitere Methoden, welche verschiedene Teile eines Passwortwiederherstellungsgeheimnisses nutzen, sind prinzipiell bekannt. In diesem Zusammenhang kann beispielsweise auf die EP 2 588989 B1 verwiesen werden. Neben dieser Problematik des vergessenen Passworts, für die es zahlreiche praktikable Lösungsansätze gibt, stellt es in der Praxis ein Problem dar, wenn nicht der Nutzer selbst, sondern ein legitimierter Rechtsnachfolger, beispielsweise ein Erbe oder ein Betreuer, auf den Account zugreifen möchte. In der Praxis ist dies zwar prinzipiell möglich, beispielsweise indem eine entsprechende Urkunde, wie z.B. ein Erbschein oder eine gerichtlich bzw. notariell erstellte Betreuungsurkunde, eingereicht wird. Beim Betreiber des Accounts sorgt dies jedoch regelmäßig für einen extrem hohen personellen Aufwand, da diese Urkunden eigens geprüft und danach ein entsprechendes Einmal-Passwort erstellt und dem berechtigten Rechtsnachfolger des Nutzers mitgeteilt werden müssen.

All dies ist mit einem extrem hohen Aufwand verbunden, insbesondere wenn das Netzwerk zahlreiche Nutzer hat, wie es beispielsweise bei vielen Produktnetzwerken und bei sozialen Netzwerken üblich ist.

Die Aufgabe der hier vorliegenden Erfindung besteht deshalb darin, ein verbessertes Verfahren zum Anmelden in einem Account eines Nutzers bei einem Netzwerk anzugeben, bei welchem ein legitimierter Rechtsnachfolger weitgehend, oder idealerweise vollständig, automatisiert Zugriff auf den Account des Nutzers erhält.

Erfindungsgemäß wird diese Aufgabe durch ein Verfahren mit den Merkmalen im Anspruch 1, und hier insbesondere im kennzeichnenden Teil des Anspruchs 1, gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen ergeben sich aus den hiervon abhängigen Unteransprüchen.

Die erfindungsgemäße Lösung sieht ein Verfahren vor, bei dem der Nutzer aktiv daran mitwirkt, dass ein eventueller Rechtsnachfolger von ihm, beispielsweise ein Erbe, zu einem Zeitpunkt, an dem dies sinnvoll ist, Zugriff auf seinen Account erhält. Neben seinem primären Passwort, welches der Nutzer erstellt, erstellt der Nutzer dazu ein sekundäres Passwort, welches ebenfalls ihm, und zwar über seinen Benutzernamen, zugeordnet ist. Alternativ dazu kann er auch einen mit seinem Account verknüpften sekundären Account mit ein sekundäres Passwort umfassenden Zugangsdaten erstellen. Eine dritte Möglichkeit besteht darin, dass er eine Verbindung seines Accounts mit einem bestehenden Account seines eventuellen Rechtsnachfolgers erstellt. Dieses sekundäre Passwort oder die Zugangsdaten zu dem sekundären Account haben eine prinzipielle Anmeldeberechtigung, welche zum Zeitpunkt des Erstellens des sekundären Passworts bzw. Accounts jedoch nicht freigeschaltet ist. Vergleichbares gilt für die Verbindung. Über diese kann prinzipiell auf alle Funktionen des Accounts des Nutzers zugegriffen werden, so dass sich der Rechtsnachfolger über einen solchen Account quasi mittelbbar im Accounts des Nutzers anmelden kann. Zum Zeitpunkt der Einrichtung der Verbindung ist diese Verbindung zwischen den Accounts jedoch gesperrt. Genau dies ließe sich auch bei dem sekundären Account so umsetzten, so dass dieser alternativ zum o.g. Szenario direkt freigeschaltet wird, die Verbindung zum primären Account des Nutzers jedoch gesperrt bleibt.

Der Nutzer kann somit das von ihm erstellte sekundäre Passwort bzw. die Zugangsdaten für den von ihm erstellen sekundären Account seinem angedachten Rechtsnachfolger mitteilen oder ihm von der eingerichteten Verbindung zwischen den Accounts berichten, ohne dass dieser Zugriff auf seinen Account erhält. Ein solcher Rechtsnachfolger kann beispielsweise ein Ehegatte oder ein Kind des Nutzers sein, welche beispielsweise im Falle seines Todes sein Erbe antreten. Erst wenn ein auslösendes Ereignis eintritt, wird dann in dem Netzwerk das sekundäre Passwort, der sekundäre Account und/oder die eingerichtete Verbindung zwischen den Accounts freigeschaltet.. Damit erhält nach dem auslösenden Ereignis die von dem Nutzer dafür vorgesehene Person, dies können selbstverständlich auch mehrere Personen sein, Zugriff auf seinen Account. Dies kann im Falle des sekundären Passworts ein direkter Zugriff sein, im Falle eines sekundären Accounts oder der Verbindung mit einem weiteren Account ein mittelbarer Zugriff durch die Verbindung der Accounts.

Gemäß einer außerordentlich günstigen Weiterbildung der Erfindung ist das auslösende Ereignis dabei der Ablauf einer vorgegebenen Zeitspanne, seit welcher der Nutzer sich nicht mehr mit seinem Benutzernamen und seinem primären Passwort angemeldet hat. In dieser besonders günstigen und einfachen Ausgestaltungsvariante des erfindungsgemäßen Verfahrens ist es so, dass eine entsprechende Zeitspanne abgewartet wird, während welcher der Nutzer sich nicht mit seinem primären Passwort angemeldet hat. Die Zeitspanne kann beispielsweise zwei oder drei Monate betragen oder auch anderweitig festgelegt sein. Die Zeitspanne kann dabei gemäß einer sehr vorteilhaften Weiterbildung des Verfahrens über einen Zähler erfasst werden, welcher mit jedem Einloggen des Nutzers mit Benutzername und primärem Passwort wieder auf Null gesetzt wird. Hat dieser Zähler einen gewissen vorgegebenen Wert, beispielsweise die oben genannten drei Monate, erreicht, dann wird automatisiert das sekundäre Passwort, der sekundäre Account und/oder die Verbindung freigeschaltet, und diejenige Person oder diejenigen Personen, denen der Nutzer dieses Recht zugedacht hat, können auf seinen Account zugreifen.

Eine ergänzende oder alternative Variante des erfindungsgemäßen Verfahrens sieht es vor, dass das auslösende Ereignis ein Eintrag in einer Register-Datenbank über ein vorbestimmtes den Nutzer betreffendes Vorkommnis ist. Eine solche Datenbank kann als sichere Datenbank ausgebildet sein, und kann gemäß einer vorteilhaften Ausgestaltung dieser Variante des erfindungsgemäßen Verfahrens als eine oder mehrere zentrale Datenbanken geführt werden, auf welche unter anderem eine Mehrzahl von Netzwerkbetreibern Zugriff hat. Damit kann beispielsweise ein Todesfall-Register, ein Vermissten-Register oder auch ein Betreuungs-Register aufgebaut werden, sodass im Falle dieser drei genannten Ereignisse, oder auch im Falle ähnlicher Ereignisse, welche in einem Register erfasst werden können, ein entsprechender Eintrag erfolgt. Gemäß einer vorteilhaften Ausgestaltung dieser Idee ist dieser Eintrag dabei zu beurkunden und kann gemäß einer sehr vorteilhaften Weiterbildung auch automatisiert in dieses Register gelangen, welches insbesondere von der öffentlichen Hand betrieben wird, sodass beispielsweise den zuständigen Ämtern bekannte Betreuungen, Todesfälle, Vermisstenfälle oder dergleichen ohne einen eigens gestellten und beurkundenden Antrag in dieses Register gelangen. Dadurch, dass nun die Netzwerkbetreiber auf diese Register zugreifen können, können sie ein entsprechendes vorbestimmtes Vorkommnis, welches den Nutzer betroffen hat, feststellen. Dies kann beispielsweise sein Tod sein. Ist dieser in dem entsprechenden Register vermerkt, dann kann, auch ohne Abwarten der oben genannten Zeitspanne, sofort das sekundäre Passwort, der sekundäre Account und/oder die Verbindung freigeschaltet werden, sodass seine Erben auf den Account Zugriff haben.

Dabei ist es so, dass im Falle der Nutzung oder auch der versuchten Nutzung des sekundären Passworts oder dem Versuch sich in einem noch nicht freigeschalteten sekundären Account einzuloggen eine Meldung an den Nutzer erfolgt. Eine solche Meldung kann beispielsweise per Email, WhatsApp, SMS oder dergleichen an den Nutzer übermittelt werden. Er weiß dann von der Nutzung oder der versuchten Nutzung seines sekundären Passworts bzw. Accounts, falls dies für ihn noch von Interesse ist. Im Falle, dass ein Missbrauch des sekundären Passworts bzw. Accounts erfolgt, wird er hierüber also informiert und kann entsprechend reagieren, beispielsweise indem er dieses Passwort ändert und den Kreis der Personen, denen er es anvertraut, entsprechend anpasst oder dergleichen.

Vergleichbares kann auch im Fall der Verbindung zwischen aktiven Accounts, z.B. zum sekundären direkt freigeschalteten Account oder zu einem dritten Account, erfolgen.

Dabei ist hier die Gefahr eines Missbrauchs geringer, da ja keine Aktivität des potenziellen Rechtsnachfolgers erfolgen muss/kann, sondern alles automatisiert abläuft. Dennoch kann auch hier eine Hinweis an den Nutzer ggf. sinnvoll sein, wenn er z.B. ohne es eigentlich zu wollen das auslösende Ereignis, provoziert hat, indem er sich übermäßig lange nicht mit dem primären Passwort eingeloggt hat.

Gemäß einerweiteren sehr vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens kann es außerdem vorgesehen sein, dass im Falle der Nutzung des primären Passworts zur Anmeldung, nachdem das auslösende Ereignis aufgetreten ist, das sekundäre Passwort, der sekundäre Account oder die bereits freigegebene Verbindung erneut gesperrt wird, sodass beispielsweise für den Fall, dass der Nutzer für einen Zeitraum, welcher größer als die Zeitspanne war, seinen Account bewusst nicht genutzt hat, und hierdurch das auslösende Ereignis eingetreten ist, er durch ein Einloggen mit dem primären Passwort dies wieder rückgängig machen kann, um so die in diesem speziellen Fall ungewollte Freigabe des Accounts wieder aufzuheben.

Dies kann bei dem Nutzer selbst insbesondere durch die entsprechende Meldung an den Nutzer erkannt werden, welche ihn gegebenenfalls überhaupt erst darauf aufmerksam macht, dass er sich für eine Zeitdauer, welche größer als die vorgegebene Zeitspanne war, nicht in seinem Account angemeldet hatte.

Ferner kann es gemäß einer vorteilhaften Ausgestaltung der Idee auch vorgesehen sein, dass nicht das primäre und das sekundäre Passwort gleichzeitig Verwendung finden können, sodass im Falle der Freischaltung der Anmeldeberechtigung mit dem sekundären Passwort, der Freischaltung des sekundären Accounts oder der Verbindung zwischen Accounts gemäß dieser vorteilhaften Ausgestaltung der Idee das primäre Passwort gesperrt wird. Hierdurch wird ein Doppelzugriff auf den Account des Nutzers vermieden. Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens ergeben sich auch aus dem Ausführungsbeispiel, welches nachfolgend unter Bezugnahme auf die Figuren näher dargestellt ist.

Dabei zeigen:

Fig. 1 ein prinzipielles Szenario zur Erläuterung der Ausgangssituation des erfindungsgemäßen Verfahrens;

Fig. 2 eine erste Möglichkeit, wie ein auslösende Ereignis eintreten kann;

Fig. 3 eine zweite Möglichkeit, wie ein auslösendes Ereignis eintreten kann; und Fig. 4 ein einfacher Ablauf des Verfahrens gemäß der Erfindung.

In der Darstellung der Figur 1 ist ein Nutzer 1 schematisch angedeutet. Er kann sich über einen Benutzernamen ID, hier beispielsweise xyz1 , und ein primäres Passwort PW in sein Konto/Account bei einem mit 2 bezeichneten Netzwerk anmelden. Dies ist durch eine zwischen dem Nutzer 1 und dem Netzwerk 2 angedeutete Anmeldemaske 3 schematisch angedeutet.

Nun kann es dazu kommen, dass der Nutzer 1 sich nicht mehr bei dem Netzwerk 2 anmelden kann, beispielsweise weil ihn ein entsprechendes Vorkommnis, wie beispielsweise eine schwere Erkrankung, der Tod oder dergleichen betroffen hat. In diesem Fall wird er sich nicht mehr über die Anmeldemaske 3 mit seinem primären Passwort bei dem Netzwerk 2 einloggen. Vielmehr soll nun ein Rechtsnachfolger, wie beispielsweise ein Erbe, oder im Falle einer schweren Erkrankung ein Betreuer die Möglichkeit haben, auf den Account zuzugreifen. Dafür kann der Nutzer 1 neben seinem primären Passwort ein sekundäres Passwort vergeben, über welches man sich jedoch nicht bei dem Netzwerk 2 anmelden kann, solange ein auslösendes Ereignis, welches dieses sekundäre Passwort freischaltet, nicht eingetreten ist. Ein solches auslösendes Ereignis könnte nun beispielsweise der Tod, eine schwere Erkrankung mit der Folge einer Betreuung des Nutzers 1, oder auch eine Vermisstmeldung des Nutzers 1 sein.

Als Alternativen zu dem sekundären Passwort könnte auch ein sekundärer Account angelegt werden. Dieser würde dann erst mit Auftreten des auslösenden Ereignisses freigeschaltet werden. Als weitere Alternative kann auch eine Verbindung zwischen den primären Account des Nutzers und einem weiteren Account, z.B. dem des ausgewählten Rechtsnachfolgers erstellt werden. Auch das Erstellen einer Verbindung mit dem in dieser Alternative sofort freigeschalteten sekundären Account wäre denkbar. An die Stelle einer Freigabe des sekundären Passwort bzw. der Zugangsdaten des sekundären Accounts würde dann eine Freigabe der bis dahin gesperrten Verbindung zwischen den Accounts treten. Diese kann prinzipiell bidirektional sein. Vorzugsweise soll sie jedoch unidirektional sein, so dass nur der Rechtsnachfolger auf den Account des Nutzers zugreifen kann und nicht umgekehrt.

Eine erste Möglichkeit, um all diese Fälle außerordentlich einfach und automatisiert in dem Netzwerk 2 abzuprüfen besteht darin, dass als auslösendes Ereignis der Ablauf einer vorgegebenen Zeitspanne to verwendet wird, seit welcher der Nutzer 1 sich nicht mehr mit seinem Benutzernamen ID und seinem primären Passwort bei dem Netzwerk 2 angemeldet hat. Schematisch ist dies in der Darstellung der Figur 2 angedeutet. Die y Achse zeigt dabei die Zeit t, auf der x Achse sind die einzelnen Anmeldungen in seinem Account eingetragen. Der Nutzer 1 hat sich beispielsweise bei xo angemeldet. Danach beginnt ein Timer zu laufen, welcher hier bis zum Zeitpunkt ti läuft, dann meldet sich der Benutzer bei Xi erneut an, und die Zeit des Timers wird wieder auf Null zurückgesetzt und beginnt von neuem zu laufen. Nach der Anmeldung X3 meldet sich der Nutzer 1 bis auf weiteres nicht mehr bei dem Netzwerk 2 an, beispielsweise weil er verstorben ist. Das Ereignis X4 wäre in diesem Fall also das auslösende Ereignis, bei welchem der mit durchgezogener Linie dargestellte Timer die vorgegebene Zeitspanne to entsprechend erreicht. Diese kann beispielsweise drei Monate betragen. Hat sich der Nutzer 1 also für drei Monate nicht mehr mit seinem primären Passwort bei dem Netzwerk 2 angemeldet, dann wird davon ausgegangen, dass ein auslösendes Ereignis eingetreten ist, beispielsweise sein Tod oder seine auf andere Art gegebene Unfähigkeit, sich in dem Netzwerk anzumelden, beispielsweise weil er vermisst ist, schwer erkrankt ist oder dergleichen.

Das auslösende Ereignis, welches in diesem Fall der Ablauf der vorgegebenen Zeitspanne to ist, gibt nun ein sekundäres Passwort frei, welches der Nutzer 1 vorher ebenfalls erstellt und einer vertrauenswürdigen Person, insbesondere seinem Rechtsnachfolger, mitgeteilt hat. Alternativ dazu können auch, wie oben ausgeführt, Zugangsdaten zu einem sekundären Account und/oder die Verbindung zwischen Accounts freigeschaltet werden. Bevor das auslösende Ereignis, hierx4, eingetreten ist, kann diese Person mit dem sekundären Passwort oder dem sekundären Account nichts anfangen, da eine Anmeldeberechtigung nicht existiert. Sollte sie dies dennoch versuchen, wird dem Nutzer 1 eine entsprechende Mitteilung übermittelt, beispielsweise per Email, sodass dieser von der versuchten Nutzung und dem damit einhergehenden Vertrauensbruch weiß und entsprechend reagieren kann.

In der Darstellung der Figur 3 ist schematisch eine andere Möglichkeit gezeigt, welche ein auslösendes Ereignis verursachen kann. Rein beispielhaft ist dabei ein dem Nutzer 1 widerfahrendes ihn betreffendes Vorkommnis über einen mit 4 bezeichneten Blitz angedeutet. Der Nutzer 1 kann beispielsweise verstorben sein, oder wird als vermisst gemeldet oder erhält eine Betreuung. In der Darstellung der Figur 3 sind nun verschiedene Datenbanken 5.1, 5.2 und 5.3 beispielhaft gezeigt. Dies sollen Register- Datenbanken 5 sein, welche vorzugsweise von der öffentlichen Hand oder unter Kontrolle der öffentlichen Hand betrieben werden. Eine der Register-Datenbanken 5 kann beispielsweise ein Vermisstenregister sein, wie es beispielsweise von Interpol betrieben wird. Außerdem kann eine der Register-Datenbanken 5 beispielsweise ein Todesregister, ein Betreuungsregister oder dergleichen sein. In dem hier dargestellten Beispiel soll der Nutzer 1 verstorben sein. Die Register-Datenbank 5 mit dem Bezugszeichen 5.1 soll ein Todesregister sein, in welches ein Eintrag seitens der öffentlichen Hand erfolgt, sei es weil der Nutzer 1 in einer öffentlichen Einrichtung in einem Krankenhaus verstorben ist, sodass die Information ohnehin vorliegt, oder weil seine Erben dies bei der Register- Datenbank 5 mit einem entsprechenden Dokument, beispielsweise einer Todesurkunde, einem Erbschein oder dergleichen urkundlich nachgewiesen und beantragt haben. Diese Eintragungen in den Register-Datenbanken 5 dienen nun verschiedenen Netzwerken, welche hier mit 2.1 bis 2.n angedeutet sind, dazu, auslösende Ereignisse festzustellen. Insbesondere können die Register-Datenbanken 5 dabei mit zahlreichen Netzwerken 2.1 bis 2.n verbunden sein, sodass im Verhältnis der relativ großen Anzahl an Netzwerken 2.1 bis 2.n durch den Betrieb einer entsprechend geringeren Anzahl von Register- Datenbanken 5 ein vergleichsweise geringer Aufwand entsteht. Die Netzwerke 2 können nun selbsttätig über die entsprechenden Daten, welche sie aus den Register- Datenbanken 5 abrufen, ein auslösendes Ereignis feststellen, und das sekundäre Passwort, den sekundären Account bzw. die Verbindung entsprechend freischalten, sodass sowohl das primäre Passwort als auch die sekundären Zugriffsmöglichkeiten auf den Account oder gegebenenfalls auch nur diese als Ersatz für das primäre Passwort zur Nutzung des Accounts in dem jeweiligen Netzwerk 2 berechtigt. Der Verfahrensablauf kann - am Beispiel des sekundären Passworts erläutert - dabei prinzipiell so aussehen, wie es in der Darstellung der Figur 4 schematisch angedeutet ist. Das Verfahren startet und fragt in einem ersten Schritt ab, ob die Zeit t seit der letzten Anmeldung in dem Netzwerk 2 größer als die vorgegebene Zeitspanne to ist. Ist dies nicht der Fall, wird geprüft, ob es einen Eintrag zu dem jeweiligen Nutzer 1 in einer Register- Datenbank 5 gibt. Ist dies auch nicht der Fall, dann erfolgt die Überprüfung von neuem und der Account steht dem Nutzer 1 wie gewohnt zur Verfügung. Wird eine der beiden Abfragen mit ja beantwortet, dann wird festgestellt, dass ein auslösendes Ereignis im Sinne des erfindungsgemäßen Verfahrens aufgetreten ist. Dieses führt dann zu einem Freischalten des sekundären Passworts, sodass sich der rechtmäßige oder von dem Nutzer 1 als solcher benannte Rechtsnachfolger über den Benutzernamen ID und das sekundäre Passwort in den Account des Nutzers 1 einloggen kann. Die Reihenfolge der Prüfungen könnte natürlich auch umgekehrt sein.

All dieser erfolgt dabei automatisiert, sodass seitens des Betreibers des Netzwerks 2 keine aufwändigen Überprüfungen erfolgen müssen und somit kein personeller Aufwand beispielsweise zum Prüfen von entsprechenden Beurkundungen der Ereignisse betrieben werden muss. Dies funktioniert insbesondere dann sehr einfach und effizient, wenn die entsprechenden Register-Datenbanken 5 sicher und zuverlässig von öffentlichen Stellen geführt werden, und hierauf verschlüsselt Zugriff für die Betreiber der Netzwerke 2 besteht.