Die Erfindung betrifft ein Verfahren zur Personalisierung eines tragbaren Datenträgers. Weiterhin betrifft die Erfindung einen tragbaren Datenträger sowie ein System mit einem tragbaren Datenträger und einem Endgerät.

Tragbare Datenträger können sehr vielfältig eingesetzt werden, beispielsweise zur Abwicklung von Transaktionen des Zahlungsverkehrs, als Ausweisdokumente bei Zugangskontrollen, als Berechtigungsnachweis (z.B. in Form einer Teilnehmerkarte) zur Nutzung eines Mobilfunksystems usw. Bevor ein tragbarer Datenträger bei einer Anwendung eingesetzt werden kann, ist es in der Regel erforderlich, im Rahmen einer Initialisierung und einer nachfolgenden Personalisierung Daten in einen nichtflüchtigen Speicher des tragbaren Datenträgers einzuschreiben. Bei der Initialisierung werden beispielswei- se Ergänzungen eines Betriebssystems des tragbaren Datenträgers, das in einem Systemspeicher des tragbaren Datenträgers gespeichert ist, in den nichtflüchtigen Speicher eingeschrieben und Dateistrukturen angelegt. Weiterhin wird die nachfolgende Personalisierung vorbereitet. Bei der Personalisierung werden im nichtflüchtigen Speicher zum Beispiel Anwendungen installiert und personenbezogene Daten eingeschrieben. Die Grenzen zwischen Initialisierung und Personalisierung sind nicht starr, so dass ein gewisser Spielraum besteht, Daten im Rahmen der Initialisierung oder im Rahmen der Personalisierung in den tragbaren Datenträger einzuschreiben. Es wird daher mitunter versucht, einen möglichst großen Anteil der Daten bereits im Rahmen der Initialisierung in den tragbaren Datenträger zu laden, so dass für die anschließende Personalisierung nur noch eine kurze Zeitspanne benötigt wird. Andererseits gibt es auch Bestrebungen, universell einsetzbare Minimalinitialisierungen zu erstellen und dafür einen erhöhten Personalisie- rungsaufwand in Kauf zu nehmen.

Die Initialisierungs- bzw. Personalisierungsdaten werden üblicherweise von einem Personalisierungsrechner mit Hilfe mehrerer parallel geschalteter Le- se-/Schreibeinrichtungen in die tragbaren Datenträger eingeschrieben. Ange- sichts der wachsenden Speicher- und Rechenkapazität der tragbaren Datenträger nehmen die Menge der einzuschreibenden Daten und die Komplexität des Personalisierungsvorgangs immer mehr zu, so dass der Aufwand für die Personalisierung immer größer wird. Damit ist zum einen wegen der längeren Verweilzeiten der tragbaren Datenträger in der Personalisierungsanlage und zum anderen wegen des erhöhten Aufwands für die Programmierung der Personalisierungsanlage ein Anstieg der Personalisierungskosten verbunden.

Der Erfindung liegt die Aufgabe zugrunde, die Personalisierung von tragba- ren Datenträgern möglichst vorteilhaft und insbesondere kostengünstig zu gestalten.

Diese Aufgabe wird durch ein Verfahren mit der Merkmalskombination des Anspruchs 1 gelöst.

Beim erfindungsgemäßen Verfahren zur Personalisierung eines tragbaren Datenträgers werden die Strukturierung und/oder der Inhalt eines Speichers des tragbaren Datenträgers wenigstens teilweise geändert. Die Besonderheit des erfindungsgemäßen Verfahrens besteht darin, dass zumindest ein Teil der Personalisierung vom tragbaren Datenträger selbst mittels einer Perso- nalisierungssoftware durchgeführt wird, die wenigstens zeitweise im tragbaren Datenträger implementiert ist.

Die Erfindung hat den Vorteil, dass die Verweilzeit des tragbaren Datenträgers in einer Personalisierungsanlage auch bei umfangreichen Datenmengen vergleichsweise kurz gehalten werden kann, da das erfindungsgemäße Ver- fahren zur Personalisierung auch außerhalb der Personalisierungsanlage durchgeführt werden kann. Dadurch verringern sich die Produktionskosten des tragbaren Datenträgers. Ein weiterer Vorteil besteht darin, dass bei Verwendung eines sicheren Datenträgers ein hoher Sicherheitsstandard bei der Personalisierung eingehalten werden kann.

Die gesamte Personalisierung kann mehrere Personalisierungsprozesse umfassen, die nacheinander durchgeführt werden. Dabei kann ein Teil der Personalisierungsprozesse auf herkömmliche Weise in einer Personalisierungsanlage durchgeführt werden und ein anderer Teil der Personalisierungspro- zesse gemäß der Erfindung durchgeführt werden.

Die Personalisierung kann Personalisierungsprozesse umfassen, die beim Hersteller oder Herausgeber des Datenträgers durchgeführt werden, bevor der Datenträger an einen Abnehmer herausgegeben wird. Weiter kann die Personalisierung Personalisierungsprozesse umfassen, die beim Abnehmer durchgeführt werden, nachdem der Datenträger durch den Hersteller oder Herausgeber herausgegeben worden ist. Insbesondere kann die Personalisierung Personalisierungsprozesse umfassen, die durchgeführt werden, wenn sich der Datenträger bereits in Verwendung "im Feld" befindet. Insbesondere können bei Personalisierungsprozessen zusätzliche Applikationen in einen bereits "im Feld" befindlichen Datenträger installiert werden. Erfindungsgemäß durchgeführte Personalisierungsprozesse eignen sich insbesondere gut

für "im Feld" befindliche Datenträger, da diese auch ohne eine komplexe Personalisierungsanlage durchgeführt werden können. Sobald die erforderliche Personalisierungssoftware und die erforderlichen Personalisierungs- vorgabedaten im Datenträger bereit stehen, kann sich der Datenträger selbst personalisieren.

Ein erster, initialer Personalisierungsprozess kann wahlweise zwingend erforderlich sein, um den Datenträger funktionsfähig zu machen. Vor weiteren Personalisierungsprozessen kann der Datenträger bereits voll funktionsfähig sein, und in einem weiteren Personalisierungsprozess wird eine weitergehende Personalisierung des funktionsfähigen Datenträgers durchgeführt, die dem Datenträger zusätzliche oder andere Funktionalitäten verleiht. Erfindungsgemäß durchgeführte Personalisierungsprozesse eignen sich insbesondere dafür, an bereits funktionsfähigen Datenträgern eine weitergehende Personalisierung durchzuführen, z.B. weitere Applikationen zu installieren.

Die Personalisierung kann auf Basis von Personalisierungsvorgabedaten durchgeführt werden, die wenigstens zeitweise im tragbaren Datenträger gespeichert werden. Die Personalisierungsvorgabedaten können als ein spei- cherplatzoptimiertes und kompaktes Paket in den tragbaren Datenträger eingespeichert werden, so dass eine vergleichsweise kurze Übertragungszeit ausreichend ist und die Speicherressourcen des tragbaren Datenträgers geschont werden. Vorzugsweise werden bei der Personalisierung im Datenträger bzw. bei demjenigen Teil der Personalisierung, der vom Datenträger selbst mittels der Personalisierungssoftware durchgeführt wird, die Personalisierungsvorgabedaten ausgewertet, wodurch schließlich die Strukturierung und/oder der Inhalt eines Speichers des tragbaren Datenträgers wenigs-

tens teilweise geändert werden. Insbesondere kann die Personalisierung auf Basis von Personalisierungsvorgabedaten durchgeführt werden, die in die Personalisierungssoftware integriert sind. Alternativ dazu besteht auch die Möglichkeit, dass die Personalisierungsvorgabedaten gesondert vorgesehen sind und von der Personalisierungssoftware interpretiert werden, so dass das erfindungsgemäße Verfahren sehr flexibel einsetzbar ist.

Die Personalisierungsvorgabedaten können vor der Ausgabe des tragbaren Datenträgers an einen Benutzer in den tragbaren Datenträger eingespeichert werden. Dies hat den Vorteil, dass bei der Ausgabe des tragbaren Datenträgers bereits alle für die Personalisierung benötigten Daten vorhanden sind und dadurch etwaigen Problemen bei der Beschaffung der Personalisierungsvorgabedaten vorgebeugt wird.

Weiterhin können die Personalisierungsvorgabedaten auch unmittelbar vor dem Personalisierungsvorgang oder im Rahmen des Personalisierungsvor- gangs in den tragbaren Datenträger eingespeichert werden. Dies hat den Vorteil, dass der Speicher des tragbaren Datenträgers bis zu diesem Zeitpunkt anderweitig genutzt werden kann und dass erst zu diesem Zeitpunkt entschieden werden muss, welche Personalisierungsvorgabedaten in den tragbaren Datenträger eingespeichert werden sollen.

Gemäß einer Ausführungsform werden Personalisierungsvorgabedaten dem tragbaren Datenträger von einem Endgerät übermittelt, das eine Anwen- düng unterstützt, für die der tragbare Datenträger vorgesehen ist. Dies bedeutet, dass kein eigens für den Zweck der Personalisierung ausgebildetes Endgerät benötigt wird, sondern ein ohnehin vorhandenes Endgerät ver-

wendet werden kann. Außerdem besteht dadurch die Möglichkeit, die Per- sonalisierungsvorgabedaten ohne großen Zusatzaufwand für den Benutzer im Rahmen des üblichen Einsatzes des tragbaren Datenträgers zu übertragen. Ein solches Endgerät kann z.B. ein Zahlungsverkehrterminal, Mobiltele- fon, POS-Terminal etc. sein, für das der Datenträger vorgesehen ist. Mit anderen Worten kann als Endgerät ein für den bestimmungsgemäßen Betrieb des Datenträgers vorgesehenes Endgerät vorgesehen sein, beispielsweise kann also eine Teilnehmerkarte wie z.B. (U)SIM-Karte in einem Mobiltelefon verwendet werden, eine Zahlungsverkehrkarte in einem Zahlungsverkehr- terminal etc..

Wahlweise werden Benutzereingaben verwendet, um zu bewirken, dass Per- sonalisierungsvorgabedaten vom Endgerät an den Datenträger übermittelt werden. Die Benutzereingaben sind vorzugsweise Benutzereingaben am Endgerät, z.B. an einer Tastatur, Anzeige oder dergleichen des Endgeräts.

Gemäß einer weiteren Ausführungsform werden die Personalisierungsvor- gabedaten dem tragbaren Datenträger von einem Server übermittelt.

Wahlweise werden dabei im Datenträger abgespeicherte Verbindungsinformationen verwendet, um eine Verbindung zwischen dem Datenträger und dem Server herzustellen, um die Personalisierungsvorgabedaten zu übermitteln. Die Verbindung kann drahtgebunden oder drahtlos (OTA, "over the air") sein. Die Verbindungsinformationen können insbesondere umfassen: eine Adresse des Servers wie z.B. die Internetadresse des Servers, ein Übertragungsprotokoll, das für die Übertragung der Personalisierungsvorgabe-

daten verwendet werden soll, und dergleichen. Wahlweise fordert der Datenträger die Personalisierungsvorgabedaten beim Server an.

Alternativ werden Benutzereingaben verwendet, um zu bewirken, dass Per- sonalisierungsvorgabedaten vom Server an den Datenträger übermittelt werden. Die Benutzereingaben sind wahlweise Benutzereingaben an einem Endgerät, in dem der Datenträger betrieben wird.

Beim Ausführungsbeispiel, bei dem die Personalisierungsvorgabedaten vom Server übermittelt werden, kann der Datenträger in jeder Art von Endgerät betrieben werden. Das Endgerät kann sich dabei transparent verhalten, so dass es lediglich zum Betrieb des Datenträgers verwendet wird. Das Endgerät kann weiter wahlweise ein Endgerät sein, das eine Anwendung unterstützt, für die der tragbare Datenträger vorgesehen ist, also ein Endgerät zur bestimmungsgemäßen Benutzung des Datenträgers, wie es weiter oben beschrieben ist. Alternativ kann das Endgerät ein beliebiges Endgerät für den Datenträger sein, wie z.B. ein Standard-Chipkartenleser, der eine Verbindung zum Server herstellen kann.

Wahlweise werden die Personalisierungssoftware und/oder die Personalisierungsvorgabedaten und/oder während der Personalisierung aus der Personalisierungssoftware und/oder den Personalisierungsvorgabedaten abgeleitete Personalisierungs-Protokolldaten dazu verwendet, die mit der Personalisierungssoftware und den Personalisierungsvorgabedaten durchgeführte Personalisierung rückgängig zu machen. Das Rückgängigmachen kann wahlweise in erheblichem zeitlichem Abstand zum Personalisieren durchgeführt werden. Das Rückgängigmachen der Personalisierung kann beispiels-

weise erwünscht sein, wenn Applikationen oder dergleichen wieder aus dem Datenträger entfernt werden sollen. Gemäß einer ersten Alternative werden die Personalisierungssoftware und/oder die Personalisierungsvorgabedaten direkt verwendet, um die Personalisierung rückgängig zu machen. Bei dieser ersten Alternative werden beispielsweise zum Rückgängigmachen der Personalisierung diejenigen Schritte, die bei der Personalisierung durchgeführt wurden, rückwärts durchgeführt. Dazu werden z.B. inverse Befehle ausgeführt wie bei der Personalisierung, wahlweise in umgekehrter Reihenfolge. Bei einer zweiten Alternative werden während der Personalisierung Perso- nalisierungs-Protokolldaten erzeugt und im Datenträger oder an einer dem Datenträger zugänglichen Stelle abgelegt. Die Personalisierungs-Protokoll- daten werden aus der Personalisierungssoftware und/oder den Personalisierungsvorgabedaten abgeleitet. Später werden die Personalisierungs- Protokolldaten dabei verwendet, die Personalisierung rückgängig zu ma- chen. Bei der zweiten Alternative können die Personalisierungssoftware und/oder die Personalisierungsvorgabedaten optional bei oder nach der Personalisierung gelöscht werden (vgl. nächster Absatz), da zum Rückgängigmachen der Personalisierung lediglich die Personalisierungs-Protokolldaten erforderlich sind. Bei einer dritten Alternative können sowohl Personalisie- rungs-Protokolldaten als auch direkte Personalisierungssoftware und/oder Personalisierungsvorgabedaten zum Rückgängigmachen der Personalisierung eingesetzt werden.

Optional können die Personalisierungssoftware und/oder die Personalisie- rungsvorgabedaten im Rahmen der Personalisierung oder nach der Personalisierung im tragbaren Datenträger gelöscht werden. Dadurch besteht die Möglichkeit, den freigewordenen Speicherplatz anderweitig zu nutzen. Das

Löschen sollte nur durchgeführt werden, falls die Personalisierungssoftware und/oder die Personalisierungsvorgabedaten nicht mehr benötigt werden. Benötigt werden können diese z.B. um eine Personalisierung rückgängig zu machen (vgl. oben).

Mit dem erfindungsgemäßen Verfahren ist eine sehr flexible Gestaltung der Personalisierung möglich. Insbesondere kann die Personalisierung jeweils nach Bedarf durchgeführt werden und dadurch beispielsweise eine individuelle Konfiguration von Anwendungen im tragbaren Datenträger einge- richtet werden. Dies kann dadurch erreicht werden, dass jeweils eine von mehreren Alternativen für die Personalisierung ausgewählt wird und die Personalisierung entsprechend der Auswahl durchgeführt wird.

Die Auswahl unter mehreren Alternativen kann auf einfache Weise dadurch ermöglicht werden, dass von den Personalisierungsvorgabedaten, die im tragbaren Datenträger gespeichert sind, mehrere Alternativen für die Personalisierung abgedeckt werden.

Die Auswahl einer bestimmten Alternative kann insbesondere mittels einer Benutzereingabe erfolgen.

Statt durch Benutzereingabe kann die Auswahl einer Alternative alternativ automatisch erfolgen, auf der Basis von Auswahlkriterien, die zum Zeitpunkt der Personalisierung zur Verfügung stehen oder gestellt werden. SoI- che Auswahlkriterien können beispielsweise umfassen: die Art des Endgeräts, den Hersteller des Endgeräts, den Standort des Endgeräts, den geplanten Einsatzort des Endgeräts etc.. Insbesondere bei Endgeräten, die als Mo-

biltelefone oder sonstige Geräte mit Mobilfunkfunktion gestaltet sind, können in Abhängigkeit vom Standort oder vom geplanten Einsatzort unterschiedliche Personalisierungen erwünscht sein, z.B. für unterschiedliche Städte oder Länder. Doch auch für andere Endgeräte wie Zahlungsverkehrs- terminale, POS-Terminals etc. können unterschiedliche Personalisierungen erwünscht sein.

Wahlweise kann die Auswahl einer Alternative teils automatisch auf Basis von Auswahlkriterien, teils durch Benutzereingabe erfolgen.

Um dem Benutzer möglichst umfassende Gestaltungsmöglichkeiten bei der Einrichtung des tragbaren Datenträgers an die Hand zu geben, kann im Rahmen des erfindungsgemäßen Verfahrens vorgesehen sein, dass die Personalisierung nach der Ausgabe des tragbaren Datenträgers an den Benutzer durchgeführt wird. Durch die Personalisierung können ein Dateisystem und/oder ein Anwendungsprogramm und/oder inhaltliche Daten im tragbaren Datenträger installiert werden.

Der erfindungsgemäße tragbare Datenträger weist einen integrierten Schalt- kreis zum Speichern und/oder Verarbeiten von Daten auf, und zeichnet sich dadurch aus, dass im integrierten Schaltkreis wenigstens zeitweise eine Per- sonalisierungssoftware zur Durchführung einer Personalisierung des tragbaren Datenträgers implementiert ist.

Das erfindungsgemäße System weist einen tragbaren Datenträger und ein Endgerät für den tragbaren Datenträger auf. Die Besonderheit des erfindungsgemäßen Systems besteht darin, dass im tragbaren Datenträger oder

im Endgerät wenigstens zeitweise eine vom tragbaren Datenträger ausführbare Personalisierungssoftware zur Durchführung einer Personalisierung des tragbaren Datenträgers implementiert ist.

Im tragbaren Datenträger oder im Endgerät können wenigstens zeitweise Personalisierungsvorgabedaten gespeichert sein, mit deren Hilfe die Personalisierung von der Personalisierungssoftware durchführbar ist.

Die Erfindung ist insbesondere anwendbar bei Ausführungsformen, bei de- nen der tragbare Datenträger jeweils als eine Chipkarte ausgebildet ist. Die Erfindung ist allerdings nicht auf Chipkarten beschränkt, sondern bezieht sich gleichermaßen auch auf andere tragbare Datenträger. Dabei ist als ein tragbarer Datenträger im Sinn der Erfindung ein Rechnersystem anzusehen, bei dem die Ressourcen, d.h. Speicherressourcen und/oder Rechenkapazität (Rechenleistung) begrenzt sind, z.B. eine Chipkarte (Smart Card, Mikroprozessor-Chipkarte) oder ein Token oder ein Chipmodul zum Einbau in eine Chipkarte oder in ein Token. Der tragbare Datenträger hat einen Körper, in dem eine CPU (ein Mikroprozessor) angeordnet ist, und der jede beliebige standardisierte oder nicht standardisierte Gestalt haben kann, beispielsweise die Gestalt einer flachen Chipkarte ohne Norm oder nach einer Norm wie z.B. ISO 7810 (z.B. ID-I, ID-00, ID-000) oder die eines volumigen Tokens. Der tragbare Datenträger kann weiter eine oder mehrere beliebige Schnittstellen für kontaktlose und/oder kontaktbehaftete Kommunikation mit einem Lesegerät oder Datenverarbeitungssystem (z.B. Personal Computer, Workstation, Server) haben.

Der Datenträger kann die unterschiedlichsten Funktionalitäten implementiert haben, insbesondere die einer Zahlungsverkehrkarte oder einer Teilnehmerkarte für den Mobilfunkverkehr (z.B. (U)SIM-Karte).

Als Endgerät kann - entsprechend dem Datenträger - ein Endgerät für den Zahlungsverkehr, ein mobiles Endgerät wie ein Mobiltelefon oder PDA (Personal Digital Assistant) mit Mobilfunkfunktion oder Smart Phone oder dergleichen, ein Point of SaIe (POS) Terminal etc. vorgesehen sein.

Im Folgenden wird die Erfindung anhand der in der Zeichnung dargestellten Ausführungsbeispiele erläutert, bei denen der tragbare Datenträger jeweils als eine Chipkarte ausgebildet ist.

Es zeigen:

Fig. 1 ein Blockschaltbild eines ersten Ausführungsbeispiels für eine Anordnung aus einer Chipkarte und einem Endgerät;

Fig. 2 ein Blockschaltbild eines zweiten Ausführungsbeispiels für die in Fig. 1 dargestellte Anordnung; und

Fig. 3 ein Blockschaltbild eines dritten Ausführungsbeispiels für die in Fig. 1 dargestellte Anordnung.

Fig. 1 zeigt ein Blockschaltbild eines ersten Ausführungsbeispiels für eine Anordnung aus einer Chipkarte 1 und einem Endgerät 2. Die Chipkarte 1 kann für mehrere Anwendungen, beispielsweise für Telekommunikations-

anwendungen und/oder Zahlungsverkehrsanwendungen, vorgesehen sein und weist einen integrierten Schaltkreis 3 auf, der vorzugsweise als ein Mikroprozessor ausgebildet ist. Weiterhin weist die Chipkarte 1 ein Kontaktfeld 4 auf, das mit dem integrierten Schaltkreis 3 verbunden ist. Anstelle des Kon- taktfeldes 4 kann auch eine Einrichtung zur kontaktlosen Signalübertragung, beispielsweise eine Antenne, vorgesehen sein.

Der integrierte Schaltkreis 3 weist eine Steuereinheit 5 auf, die mit einem Speicher 6 und mit dem Kontaktfeld 4 verbunden ist. Der Speicher 6 verfügt über einen nichtflüchtigen Systemspeicher 7, einen nichtflüchtigen Speicher 8 und einen flüchtigen Speicher 9, die jeweils mit der Steuereinheit 5 verbunden sind. Im Systemspeicher 7 kann beispielsweise das Betriebssystem für den integrierten Schaltkreis 3 gespeichert sein. Der Systemspeicher 7 ist üblicherweise als ROM gestaltet und wird in diesem Fall bei seiner Herstellung mit einem Dateninhalt ausgestattet, der danach weder gelöscht noch überschrieben oder ergänzt werden kann und somit permanent erhalten bleibt. Alternativ kann der Systemspeicher 7 auch in einer anderen nichtflüchtigen Speichertechnologie gefertigt sein, beispielsweise als Flash-Speicher, FRAM etc., so dass sein Dateninhalt nachträglich noch geändert werden kann.

Beim nichtflüchtigen Speicher 8 ist es stets möglich, Daten zu überschreiben oder zusätzliche Daten in den nichtflüchtigen Speicher 8 einzuschreiben. Hierzu ist der nichtflüchtige Speicher 8 bevorzugt als EEPROM ausgebildet, alternativ auch als Flash-Speicher, FRAM etc.. Im nichtflüchtigen Speicher 8 sind beispielsweise Ergänzungen zum Betriebssystem (vor allem, falls der Systemspeicher 7 als ROM gestaltet ist) sowie Anwendungsprogramme gespeichert. Bei dem in Fig. 1 dargestellten Ausführungsbeispiel enthält der

nichtflüchtige Speicher 8 (z.B. EEPROM) zudem in einem Speicherbereich 10 eine Personalisierungssoftware und in einem Speicherbereich 11 Personali- sierungsvorgabedaten. Die Personalisierungssoftware wird im Rahmen eines Initialisierungsprozesses in den nichtflüchtigen Speicher 8 eingeschrieben. Die Personalisierungsvorgabedaten können im Rahmen eines ersten, initialen Personalisierungsprozesses oder eines die eigentliche Personalisierung der Chipkarte 1 vorbereitenden Prozesses in den nichtflüchtigen Speicher 8 eingeschrieben werden. Bei diesem Einschreiben werden die Personalisierungsvorgabedaten lediglich als ein oder mehrere Datenblöcke ohne Aus- wertung des Inhalts eingeschrieben, d. h. es wird zu diesem Zeitpunkt keine Personalisierung des Datenträgers auf Basis der Personalisierungsvorgabedaten durchgeführt. Das reine Einschreiben ohne eine inhaltliche Auswertung kann sehr schnell durchgeführt werden.

Beim flüchtigen Speicher 9, der bevorzugt als RAM ausgeführt ist, bleibt der Speicherinhalt nur für einen Zeitraum erhalten, innerhalb dessen eine Betriebsspannung am integrierten Schaltkreis 3 anliegt. Ein Abschalten der Betriebsspannung hat zur Folge, dass der flüchtige Speicher 9 insgesamt gelöscht wird. Bei anliegender Betriebsspannung ist ein gezieltes Löschen, Ü- beschreiben und Ergänzen von Daten des flüchtigen Speichers 9 möglich. Der flüchtige Speicher 9 dient insbesondere als ein Zwischenspeicher, in den Programme zu ihrer Ausführung geladen werden und Zwischenergebnisse während der Programmausführung abgelegt werden können.

Bei dem Endgerät 2 kann es sich zum Beispiel um ein Point of SaIe Terminal (POS-Terminal), Zahlungsverkehrterminal, Mobiltelefon etc. handeln. Vom Endgerät 2 sind nur einige wenige Komponenten dargestellt, die im Zu-

sammenhang mit der Erfindung von Interesse sind. So weist das Endgerät 2 eine elektronische Schaltung 12 auf, die beispielsweise analog zum integrierten Schaltkreis 3 der Chipkarte 1 als ein Mikroprozessor ausgebildet sein kann und deren Aufbau nicht im Einzelnen dargestellt ist. Weiterhin weist das Endgerät 2 eine Tastatur 13, eine Anzeige 14 und eine Kontaktiereinheit 15 auf, die jeweils mit der elektronischen Schaltung 12 verbunden sind. Über die Tastatur 13 können von einem Benutzer Daten eingegeben werden. Auf der Anzeige 14 werden Informationen für den Benutzer angezeigt. Die Kontaktiereinheit 15 dient der berührenden Kontaktierung des Kontaktfelds 4 der Chipkarte 1.

Die im Folgenden beschriebene Personalisierung der Chipkarte 1 kann wahlweise vor oder nach Ausgabe der Chipkarte 1 an einen Benutzer durchgeführt werden. Insbesondere kann eine derartige Personalisierung auch mehrfach, d.h. in mehreren Personalisierungsprozessen, ausgeführt werden, wenn mehrere Alternativen für die Durchführung der Personalisierung verfügbar sind oder eine Wiederholung der Personalisierung zu einem späteren Zeitpunkt erforderlich ist oder gewünscht wird. Zur Durchführung der Personalisierung wird die Chipkarte 1 in das Endgerät 2 eingeführt, so dass das Kontaktfeld 4 der Chipkarte 1 von der Kontaktiereinheit 15 des Endgeräts 2 kontaktiert wird. Über die dadurch ausgebildeten elektrisch leitenden Verbindungen wird die Chipkarte 1 vom Endgerät 2 mit einer Betriebsspannung und einem Taktsignal versorgt und dadurch in Betrieb genommen. Außerdem wird eine Datenverbindung zwischen der Chipkarte 1 und dem Endge- rät 2 ausgebildet. Nach der Inbetriebnahme der Chipkarte 1 wird von der Chipkarte 1 oder vom Endgerät 2 bzw. vom Benutzer die Personalisierung veranlasst.

Falls mehrere Alternativen zur Durchführung der Personalisierung verfügbar sind, wird zunächst festgelegt in welcher Form die Personalisierung durchgeführt werden soll. Dabei kann beispielsweise eine von mehreren Anwendungen ausgewählt werden, die durch die Personalisierung in der Chipkarte 1 installiert werden soll. Ebenso kann auch ausgewählt werden, in welcher Konfiguration die Anwendung installiert werden soll oder es kann ein Benutzerprofil für die Personalisierung ausgewählt werden usw..

Die Auswahl erfolgt beispielsweise durch eine entsprechende Eingabe des Benutzers auf der Tastatur 13 des Endgeräts 2, wobei die verfügbaren Alternativen auf der Anzeige 14 des Endgeräts 2 dargestellt werden können. Der Benutzer wählt entsprechend seinen Wünschen eine Alternative aus, indem er eine Eingabe auf der Tastatur 13 macht und in Folge Eingabedaten er- zeugt. Alternativ oder zusätzlich können Eingabedaten automatisch erzeugt werden. Hierzu werden beispielsweise Eigenschaften des Endgeräts, der Standort des Endgeräts oder dergleichen ausgewertet und daraus automatisch die Eingabedaten erzeugt. Die Eingabedaten, ob durch Benutzereingabe oder automatisch erzeugt, werden vom Endgerät 2 an die Chipkarte 1 wei- tergeleitet und dort ausgewertet.

Die Umsetzung der so getroffenen Auswahl kann jeweils dadurch erfolgen, dass die der Auswahl entsprechenden Personalisierungsvorgabedaten der Personalisierung zugrunde gelegt werden. Diese Personalisierungsvorgabe- daten, die eine Beschreibung des durchzuführenden Personalisierungsvor- gangs darstellen, werden von der Personalisierungssoftware abgearbeitet und dabei die entsprechende Konfiguration in der Chipkarte 1 installiert.

Hierzu können die Personalisierungsvorgabedaten als Anweisungen ausgebildet sein, die von der Personalisierungssoftware interpretiert und ausgeführt werden und zudem die für die Ausführung der Anweisungen benötigten Daten enthalten. Die bei der Durchführung der Personalisierung erzeug- ten Personalisierungsdaten werden von der Steuereinheit 5 in den nicht- flüchtigen Speicher 8 eingeschrieben. Auf diese Weise können im Rahmen der Personalisierung Dateisysteme angelegt oder gelöscht werden, Anwendungen installiert und aktiviert werden, Schlüssel erzeugt werden und Daten generiert, eingeschrieben oder gelöscht werden. Beispielsweise kann eine Anwendung inklusive aller benötigter Daten betriebsbereit eingerichtet werden, die eine Nutzung der Chipkarte 1 als Teilnehmerkarte oder Sicherheitsmodul im Mobilfunkbereich ermöglicht.

Nach der Durchführung der Personalisierung können die Personalisierungs- Software und/oder die Personalisierungsvorgabedaten gelöscht werden, falls keine weitere Personalisierung durchgeführt werden soll bzw. die Personalisierungsvorgabedaten nicht mehr benötigt werden (z.B. für ein Rückgängigmachen der Personalisierung). Auf diese Weise kann freier Speicherplatz geschaffen und für andere Zwecke genutzt werden. Die nicht mehr benötig- ten Personalisierungsvorgabedaten können auch jeweils bereits unmittelbar nach ihrer Abarbeitung durch die Personalisierungssoftware gelöscht erden.

Beim vorstehend beschriebenen Ausführungsbeispiel wird die Personalisierung ausschließlich von der Chipkarte 1 durchgeführt und es werden für die Durchführung der Personalisierung ausschließlich Personalisierungsvorgabedaten verwendet, die bereits vor dem Start der Personalisierung in der Chipkarte 1 gespeichert sind. Das Endgerät 2 wird lediglich für die Bereit-

Stellung der Versorgungssignale für die Chipkarte 1 und gegebenenfalls für die Auswahl einer von mehreren in der Chipkarte 1 vorgesehenen Personali- sierungsalternativen benötigt. Dies kann ein beliebiges Endgerät 2 leisten, das für den Betrieb der Chipkarte 1 geeignet ist, so dass es nicht erforderlich ist, die Personalisierung in einer Personalisierungsanlage durchzuführen.

Bei einer Abwandlung des beschriebenen Ausführungsbeispiels sind keine Alternativen für die Durchführung der Personalisierung vorgesehen, so dass in diesem Fall die Auswahl einer gewünschten Alternative entfällt und statt- dessen gleich mit der Durchführung der Personalisierung begonnen wird. Der Ablauf der Personalisierung kann dann wieder auf die beschriebene Weise erfolgen.

Das beschriebene Ausführungsbeispiel kann weiterhin so abgewandelt wer- den, dass die Personalisierungssoftware im Systemspeicher 7 (z.B. ROM) der Chipkarte 1 gespeichert ist. In diesem Fall entfällt das Implementieren der Personalisierungssoftware in der Initialisierungsphase der Chipkarte 1.

Bei einer weiteren Abwandlung sind die Personalisierungsvorgabedaten in die Personalisierungssoftware integriert. In diesem Fall werden die Personalisierungsvorgabedaten unmittelbar in die Ausführung der Personalisierungssoftware einbezogen.

Außerdem besteht die Möglichkeit, dass die Personalisierungsvorgabedaten nicht oder nicht vollständig in der Chipkarte 1 gespeichert sind und der

Chipkarte 1 für die Durchführung der Personalisierung übermittelt werden. Dabei gibt es zwei Alternativen, gemäß denen die Personalisierungsvorga-

bedaten durch das Endgerät 2 bzw. durch einen Server 16 bereitgestellt werden. Diese Alternativen werden anhand von Fig. 2 und Fig. 3 erläutert.

Fig. 2 zeigt ein Blockschaltbild eines zweiten Ausführungsbeispiels für die in Fig. 1 dargestellte Anordnung. Der Aufbau der Chipkarte 1 und des Endgeräts 2 entspricht dem ersten Ausführungsbeispiel. Allerdings ist der Speicherbereich 11, in dem die Personalisierungsvorgabedaten gespeichert sind, beim zweiten Ausführungsbeispiel kein Bestandteil des integrierten Schaltkreises 3 der Chipkarte 1, sondern der elektronischen Schaltung 12 des End- geräts 2. Dies bedeutet, dass die Personalisierungsvorgabedaten beim zweiten Ausführungsbeispiel zunächst nicht in der Chipkarte 1, sondern im Endgerät 2 gespeichert sind.

Zur Durchführung der Personalisierung wird die Chipkarte 1 wiederum in das Endgerät 2, insbesondere auch außerhalb einer Personalisierungsanlage, eingeführt und dadurch in Betrieb genommen. Falls mehrere Alternativen für die Personalisierung vorgesehen sind, kann durch eine entsprechende Tastatureingabe oder automatische Übernahme von Auswahlkriterien wie beim ersten Ausführungsbeispiel die gewünschte Alternative ausgewählt werden. Anschließend werden die für die Umsetzung der ausgewählten Alternative benötigten Personalisierungsvorgabedaten komplett vom Endgerät 2 an die Chipkarte 1 übertragen. Die reine Übertragung der Personalisierungsvorgabedaten kann sehr schnell durchgeführt werden, da hierbei keine inhaltsbezogenen Operationen erforderlich sind. Die übertragenen Persona- lisierungsvorgabedaten werden im flüchtigen Speicher 9 oder im nichtflüchtigen Speicher 8 der Chipkarte 1 zwischengespeichert. Dann wird die Personalisierung auf die bereits beschriebene Weise mit Hilfe der Personalisie-

rungssoftware auf Basis der zwischengespeicherten Personalisierungsvorga- bedaten durchgeführt. Nach Abschluss der Personalisierung werden die in der Chipkarte 1 zwischengespeicherten Personalisierungsvorgabedaten gelöscht. Weiterhin besteht auch die Möglichkeit, die Personalisierungssof t- wäre zu löschen. Dann kann die Chipkarte 1 wieder aus dem Endgerät 2 entnommen werden.

Auch beim zweiten Ausführungsbeispiel wird die Personalisierung ausschließlich von der Chipkarte 1 durchgeführt. Zusätzlich zu den Funktionen, die das Endgerät 2 beim ersten Ausführungsbeispiel übernimmt, wird das Endgerät 2 beim zweiten Ausführungsbeispiel noch für die Bereitstellung der Personalisierungsvorgabedaten benötigt. Da die Personalisierungsvorgabedaten vom Endgerät 2 lediglich gespeichert und nicht verarbeitet werden, erwachsen hieraus keine zusätzlichen funktionellen Anforderungen an das Endgerät 2, so dass wiederum ein beliebiges Endgerät 2 eingesetzt werden kann, das für den Betrieb der Chipkarte 1 geeignet ist. Falls die Personalisierungsvorgabedaten sicherheitsrelevante Daten enthalten, die nicht bereits durch eine Verschlüsselung ausreichend geschützt sind, sind allerdings gewisse Sicherheitsstandards beim Endgerät 2 vorzusehen, wie beispielswei- se ein Zugriffsschutz für den Speicherbereich 11, die Fähigkeit, eine Authen- tisierung durchzuführen usw..

Fig. 3 zeigt ein Blockschaltbild eines dritten Ausführungsbeispiels für die in Fig. 1 dargestellte Anordnung. Der Aufbau der Chipkarte 1 und des Endge- räts 2 entspricht dem ersten Ausführungsbeispiel. Zusätzlich ist die Chipkarte 1 an einen Server 16 angekoppelt. In Fig. 1 ist die Chipkarte 1 in das Endgerät 2 eingeführt und über die Vermittlung des Endgeräts 2 an den Server

16 angekoppelt. Der Speicherbereich 11, in dem die Personalisierungsvorga- bedaten gespeichert sind, ist beim dritten Ausführungsbeispiel kein Bestandteil des integrierten Schaltkreises 3 der Chipkarte 1, sondern einer elektronischen Schaltung des Servers 16. Dies bedeutet, dass die Personalisierungs- vorgabedaten beim dritten Ausführungsbeispiel zunächst nicht in der Chipkarte 1, sondern im Server 16 gespeichert sind. Für die Personalisierung wird gegebenenfalls zunächst eine Alternative ausgewählt. Anschließend werden die benötigten Personalisierungsvorgabedaten komplett vom Server 16 an die Chipkarte 1 übertragen. Die reine Übertragung der Personalisierungs- vorgabedaten kann wiederum sehr schnell durchgeführt werden, da hierbei keine inhaltsbezogenen Operationen erforderlich sind. Die übertragenen Personalisierungsvorgabedaten werden anschließend wie anhand von Fig. 2 beschrieben weiterverarbeitet, so dass die Chipkarte 1 sich selbst wunschgemäß personalisiert.

Beim dritten Ausführungsbeispiel aus Fig. 3 können die Personalisierungsvorgabedaten beispielsweise über eine drahtgebundene Verbindung vom Server 16 an die Chipkarte 1 übertragen werden, alternativ über eine drahtlose Verbindung "over the air" (OTA). Verbindungsinformationen betreffend die Verbindung zwischen der Chipkarte 1 und dem Server 16 - wie z.B. eine Internetadresse, bei der die Personalisierungsvorgabedaten erhältlich sind, oder ein zu verwendendes Übertragungsprotokoll - sind dabei wahlweise in der Chipkarte 1 abgespeichert.

Im Übrigen gelten die Ausführungen zum ersten, zweiten, dritten Ausführungsbeispiel für die anderen Ausführungsbeispiele jeweils in analoger Weise, soweit dies möglich und nicht anderweitig beschrieben ist.

Alternativ zur Übertragung aller benötigter Personalisierungsvorgabedaten vor oder zu Beginn der Personalisierung kann auch jeweils nur ein Teil der Personalisierungsvorgabedaten vom Endgerät 2 oder Server 16 an die Chip- karte 1 übertragen werden. Wenn die übertragenen Personalisierungsvorgabedaten mit Hilfe der Personalisierungssoftware abgearbeitet sind, fordert die Chipkarte 1 weitere Personalisierungsvorgabedaten vom Endgerät 2 oder Server 16 an.

Außerdem kann das zweite und dritte Ausführungsbeispiel auch so abgewandelt werden, dass nicht nur die Personalisierungsvorgabedaten, sondern auch die Personalisierungssoftware im Endgerät 2 oder Server 16 gespeichert ist und für die Durchführung der Personalisierung vom Endgerät 2 bzw. Server 16 zur Chipkarte 1 übertragen wird. Dabei sind gegebenenfalls wie- der entsprechende Sicherheitsstandards zu beachten. Schließlich ist es auch möglich, die Personalisierungsvorgabedaten in der Chipkarte 1 und die Personalisierungssoftware im Endgerät 2 bzw. Server 16 zu speichern und für die Durchführung der Personalisierung an die Chipkarte 1 zu übertragen.

Bezugszeichenliste

1 Chipkarte

2 Endgerät 3 integrierter Schaltkreis

4 Kontaktfeld

5 Steuereinheit

6 Speicher

7 Systemspeicher 8 nichtflüchtiger Speicher

9 flüchtiger Speicher

10 Speicherbereich mit Personalisierungssoftware

11 Speicherbereich mit Personalisierungsvorgabedaten

12 elektronische Schaltung 13 Tastatur

14 Anzeige

15 Kontaktiereinheit

16 Server