Technisches Gebiet

Die vorliegende Erfindung betrifft ein Verfahren zum Auslesen eines Ausweisdokumentes sowie ein Ausleseterminal. Ausleseterminals kommen an See- und/ oder Flughäfen zur Abwicklung der Ausweiskontrolle und in Geschäften im zollfreien Einkaufsbereich eines See- und/ oder Flughafens zum Einsatz, um ein Ausweisdokument, wie beispielsweise einen Reisepass, auszulesen.

Stand der Technik Eine Vielzahl der heutzutage eingesetzten Reisepässe verfügt über eine

Kontaktlosschnittstelle (beispielsweise gemäß ISO 14443) mittels der auf die in dem Ausweisdokument gespeicherten Daten zugegriffen werden kann. Damit sichergestellt ist, dass das Ausweisdokument nicht ohne Einwilligung des Inhabers ausgelesen wird (beispielsweise, wenn der Inhaber mit dem Aus weisdokument in der Tasche an einem Ausleseterminal vorbeigeht), ist es erforderlich, dass ein Zugriff auf die in dem Chip des

Ausweisdokumentes„kontaktlos auslesbar" gespeicherten Daten nur durch Bereitstellen eines„Zugangscodes" möglich ist. Bei diesem Zugangscode kann es sich beispielsweise um die CAN (Card Access Number) oder in der MRZ (Machine Readable Zone) auf optische Weise gespeicherte Daten handeln. Um einen Zugriff auf diesen Zugangscode zu ermöglichen, muss der Inhaber des Ausweisdokumentes dieses auf eine vorgegebene Weise auf ein Lesegerät auflegen. Sowohl das Auflegen des Ausweisdokumentes in der richtigen Ausrichtung, die Anordnung (das Ausweisdokument muss teilweise geöffnet sein und eine bestimmte Seite muss oben auf liegen) als auch das optische Erfassen der Daten in der CAN oder der MRZ erfordern Zeit und sind fehleranfällig. Auf Flug- und/ oder Schiffshäfen erfolgt die Abwicklung großer Passagierzahlen und es kann daher zu größeren

Verzögerungen kommen. Ferner ist es lästig, wenn Reisende, die im zollfreien Bereich des Hafens einkaufen, bei jedem Einkauf erneut ihr

Ausweisdokument exakt auf das Lesegerät auflegen müssen, so dass ein Auslesen der MRZ und/ oder der CAN möglich wird.

Aus der WO 2004/090800 A2 geht eine Vorrichtung sowie ein Verfahren zur sicheren Feststellung der willentlichen Benutzung eines kontaktlosen

Datenträgers hervor, bei dem der Datenträger zusätzlich zu einer

kontaktlosen Schnittstelle über einen optisch auslesbaren Bereich verfügt. In dem optisch auslesbaren Bereich sind Daten gespeichert, welche zum

Auslesen der kon taktlosen Daten erforderlich sind (beispielsweise ein Code). Darstellung der Erfindung

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Auslesen eines Ausweisdokumentes sowie ein Ausleseterminal zur Verfügung zu stellen, das die bekannten Probleme aus dem Stand der Technik löst und ferner dazu geeignet ist das sichere und wiederholte Bereitstellen der in einem Chip des Ausweisdokumentes befindlichen Daten mittels eines bereits einmal eingelesenen Ausweisdokumentes an autorisierten

Ausleseterminalen zu beschleunigen. Die Lösung der Aufgabe erfolgt durch den Gegenstand der unabhängigen Patentansprüche. Bevorzugte Ausgestaltungen des erfindungsgemäßen Gegenstands ergeben sich aus den Unteransprüchen. Die Erfindung basiert auf dem Gedanken, das erneute Auslesen eines Ausweisdokumentes dadurch zu beschleunigen, dass ein erneutes Auslesen in einem definierten Bereich (bspw. innerhalb eines Flughafens) ohne erneutes optisches Auslesen des Ausweisdokuments erfolgen kann. Das Verfahren kann weiter beschleunigt werden indem diese Daten in einer Datenbank gespeichert werden und in einem bevorzugt kontaktlos auslesbaren Chip des Ausweisdokumentes ein Hinweis auf die Daten in der Datenbank gespeichert wird, wobei der Hinweis auf die Daten auf dem Ausweisdokument versteckt gespeichert ist.

Demgemäß umf asst ein Verfahren zum Auslesen eines Ausweisdokumentes das Ermitteln eines zum Aufbau einer gesicherten Verbindung zu einem ersten Chip des Ausweisdokumentes notwendigen Codes aus dem

Ausweisdokument, wobei in dem ersten Chip und/ oder in einem zweiten Chip des Ausweisdokumentes ein Authentifizierungsschlüssel und eine Information versteckt gespeichert werden.

Bei dem zum Aufbau einer gesicherten Verbindung zu dem ersten Chip des Ausweisdokumentes notwendigen Code kann es sich beispielsweise um einen Barcode und/ oder um Daten handeln, welche auf dem

Ausweisdokument in der MRZ (Machine Readable Zone) gespeichert sind oder maschinell ausgelesen werden können oder es kann sich um die C AN (Card Access Number) handeln. Nur unter Ausnutzung dieser Daten, ist es möglich den ersten Chip des Ausweisdokumentes kontaktlos auszulesen. Auf diese Weise wird verhindert, dass das Ausweisdokument ohne

Einwilligung des Inhabers ausgelesen wird, wenn dieser sich an einem Ausleseterminal vorbei bewegt ohne das Ausweisdokument vorzuzeigen. Mit dem erfindungsgemäßen Verfahren ist es besonders vorteilhaft möglich, ein mehrmaliges Auslesen eines Ausweisdokumentes beispielsweise an einem Flughafen und/ oder an einem Seehafen zu beschleunigen. Denn nach einem erstmaligen Ermitteln des zum Aufbau einer gesicherten Verbindung zu dem ersten Chip des Ausweisdokumentes notwendigen Codes aus dem Ausweisdokument, kann diese Information gemeinsam mit dem

Authentifizierungsschlüssel in dem ersten und/ oder dem zweiten Chip gespeichert werden. Im Vergleich zu bekannten Verfahren, bei welchen der Inhaber des Ausweisdokumentes eine weitere Speicherkarte oder einen Barcodeaufkleber erhält, auf der die Daten des Ausweisdokumentes oder der Speicherort in der Datenbank gespeichert werden, entfällt die

Notwendigkeit einer zusätzlichen Karte oder eines zusätzlichen Aufklebers. Diese bringen die Gefahr mit sich, dass der Nutzer die Karte verliert oder ohne sein Ausweisdokument bei sich zu haben nur durch Vorzeigen der zusätzlichen Karte eine Ausweiskontrolle passieren kann. Ferner weist das erfindungsgemäße Verfahren den Vorteil auf, dass„autorisierte"

Ausleseterminals, d.h. Ausleseterminals, die in Besitz des

Authentifizierungsschlüssels sind, den Code nicht erneut ermitteln müssen. Da das Ermitteln des Codes durch zeitintensives und fehleranfälliges

Auslesen der MRZ bzw. der CAN erfolgt, kann auf diese Weise viel Zeit eingespart werden. Bedingt dadurch, dass der Authentifizierungsschlüssel und die Information„versteckt" in dem ersten und/ oder zweiten Chip gespeichert werden, ist es nach erfolgreicher Authentifizierung gegenüber dem Chip (mit Hilfe des Authentifizierungsschlüssels) möglich zu sehen, ob sich die Information auf dem Chip befindet. Ein„Tracing", d.h. ein

Nachverfolgen des Reisenden anhand der in dem Chip des

Ausweisdokuments gespeicherten Daten, ist mit einem nichtautorisierten Ausleseterminal somit unmöglich. Ein nichtautorisiertes Ausleseterminal ist nicht in Besitz des Authentifizierungsschlüssels und kann somit nicht in Erfahrung bringen, ob sich in dem ersten oder dem zweiten Chip die verschlüsselt gespeicherte Information befindet. Der

Authentifizierungsschlüssel könnt auch als Authentif izierungsschlüssel zum Ermitteln, ob sich die Information auf dem ersten und/ oder dem zweiten Chip befindet bezeichnet werden.

Gemäß einer Ausführungsform ist der Authentifizierungsschlüssel aus dem ersten und/ oder dem zweiten Chip des Ausweisdokuments nicht auslesbar. Auf diese Weise wird mit Vorteil sichergestellt, dass nur autorisierten Ausleseterminalen ein Zugriff auf die Daten in dem Ausweisdokument gestattet ist. Somit bleibt die Sicherheit der persönlichen Daten des

Ausweisinhabers gewahrt.

Gemäß einer weiteren Ausführungsform ist der Authentifizierungsschlüssel und/ oder die Information aus dem ersten Chip und/ oder dem zweiten Chip des Ausweisdokuments ohne vorherige erfolgreiche Authentisierung mit dem Authentifizierungsschlüssel nicht auslesbar. Somit wird sichergestellt, dass nur Ausleseterminale, die in Kenntnis des Authentisierungsschlüssels sind, Zugriff auf das Ausweisdokument erhalten.

Ferner kann die Information zumindest den Code zum Aufbau der gesicherten Verbindung zu dem ersten Chip des Ausweisdokuments umfassen. Auf diese Weise kann das wiederholte Auslesen des

Ausweisdokuments an autorisierten Ausleseterminalen (die in Kenntnis des Authentifizierungsschlüssels sind) wesentlich beschleunigt werden, da ein wiederholtes optisches Auslesen der CAN und/ oder MRZ entfallen kann.

Gemäß einer weiteren Ausführungsform umfasst das Verfahren ferner das Auslesen von zumindest einem Teil der Daten aus dem ersten Chip des Ausweisdokuments unter Verwendung der gesicherten Verbindung zu dem ersten Chip und das Speichern der Daten in einer Datenbank, wobei die Information zumindest den Speicherort der Daten in der Datenbank aufweist. Auf diese Weise ist es möglich das mehrmalige Auslesen eines Ausweisdokumentes, wie es beispielsweise auf Flughäfen oder Seehäfen erforderlich ist, deutlich zu beschleunigen, da nur einmal das Auslesen eines Aus weisdokumentes unter Zuhilfenahme der MRZ und/ oder der CAN erforderlich ist. Anschließend ist es lediglich erforderlich die Information, in der der Speicherort der Daten in der Datenbank gespeichert ist, nach erfolgreicher Authentisierung mit dem Authentisierungsschlüssel

auszulesen, und das Ausleseterminal kann auf die in der Datenbank gespeicherten Daten des ersten Chips zugreifen. Zugleich bleibt die

Sicherheit der ausgelesenen Daten erhalten. Gemäß einer Ausführungsform wird die gesicherte Verbindung zu dem ersten Chip unter Verwendung des ermittelten Codes aufgebaut und/ oder die gesicherte Verbindung zu dem ersten Chip wird unter Verwendung der den Code aufweisenden Information aufgebaut. Wenn die Verbindung unter Verwendung der den Code aufweisenden Information aufgebaut wird, so bedeutet dies im Umkehrschluss, dass die CAN/ MRZ bereits ausgelesen wurde. Auf diese Weise kann besonders effizient eine gesicherte Verbindung zu dem Chip hergestellt werden.

Bei dem ersten und/ oder dem zweiten Chip des Aus weisdokumentes handelt es sich um ein beliebiges auf dem Ausweisdokument angeordnetes Speicherelement, das bevorzugt kontaktlos ausgelesen werden kann. In anderen Worten ist der erste und/ oder der zweite Chip in das

Ausweisdokument integriert. Es ist möglich das Ausweisdokument lediglich mit einem ersten Chip auszuführen. Um das unberechtigte Auslesen des Verweises auf die Daten in der Datenbank zu verhindern, ist dies nur für sich in Besitz des

Authentifizierungsschlüssels befindende Ausleseterminale möglich.

Die in der Datenbank gespeicherten Daten werden bevorzugt verschlüsselt in der Datenbank abgespeichert. Auf diese Weise kann mit Vorteil verhindert werden, dass ein unbefugtes Auslesen der Daten aus der Datenbank zum Erhalt der auf dem Chip des Aus weisdokumentes gespeicherten Informationen führt. Somit bleibt die Sicherheit der persönlichen Daten gewährleistet.

Gemäß einer Ausführungsform erhält das Ausleseterminal nur nach Authentisierung mit dem Authentisierungsschlüssel einen Lesezugriff auf die Information. Somit wird sichergestellt, dass nur berechtigte

Ausleseterminale einen Zugriff auf die Information erhalten. Auf diese Weise bleibt die Sicherheit der auf dem Ausweisdokument gespeicherten Daten gewahrt. Erst nach erfolgreicher Authentisierung, ist es möglich zu erkennen, ob die Information überhaupt in dem Ausweisdokument gespeichert ist. Somit wird ein Tracking dahingehend verhindert, dass unbefugte Personen nachsehen können, ob die Information in dem Chip gespeichert ist.

Die Vorteile der Erfindung zeigen sich ferner in einem Ausleseterminal mit einer Ermittlungseinrichtung zum Ermitteln eines zum Aufbau einer gesicherten Verbindung zu einem ersten Chip eines Ausweisdokumentes notwendigen Codes, wobei die Ermittlungseinrichtung den Code aus dem Ausweisdokument ermittelt, und einer Ausleseeinrichtung zum Auslesen von zumindest einem Teil der Daten aus dem ersten Chip des Ausweisdokumentes, wobei das Ausleseterminal dazu ausgebildet ist in dem ersten Chip und/ oder in einem zweiten Chip des Ausweisdokumentes einen Authentifizierungsschlüssel und eine Information versteckt zu speichern.

Auf diese Weise kann nach einem erstmaligen Auslesen des

Ausweisdokumentes das wiederholte Auslesen des Ausweisdokumentes deutlich beschleunigt werden, da das zeitaufwendige, wiederholte Ermitteln des zum Aufbau einer gesicherten Verbindung zu dem ersten Chip des Aus weisdokumentes notwendigen Codes entfällt. Da der erste und/ oder zweite Chip des Ausweisdokuments bevorzugt kontaktlos auslesbar sind, ist es für berechtigte Ausleseterminale möglich ohne das aufwendige Ermitteln des Codes nach erfolgreicher Authentisierung gegenüber dem Chip an die versteckt gespeicherte Information zu gelangen. Auslesefehler, wie sie durch falsche Positionierung des Ausweisdokumentes in der

Ermittlungseinrichtung entstehen können, werden so mit Vorteil vermieden.

Gemäß einer Ausführungsform ist das Ausleseterminal dazu ausgebildet die Daten aus dem ersten Chip des Ausweisdokuments in einer Datenbank zu speichern und in der Information einen Speicherort der Daten in der

Datenbank zu speichern. Auf diese Weise kann beim mehrmaligen Auslesen des Ausweisdokuments mit Vorteil auf die in der Datenbank gespeicherten Daten zugegriffen werden, da diese in der Information hinterlegt sind. Ein zeitaufwendiges und fehleranfälliges Auslesen der CAN und/ oder MRZ kann bei Verwendung von Ausleseterminals, die in Kenntnis des

Authentifizierungsschlüssels sind, vermieden werden.

Gemäß einer Ausführungsform ist das Ausleseterminal und/ oder ein weiteres, berechtigtes Ausleseterminal dazu ausgebildet auf die Daten in der Datenbank unter Verwendung des in der Information gespeicherten

Speicherortes zuzugreifen. Auf diese Weise wird die Zuordnung zwischen den in der Datenbank gespeicherten Daten und der Information wesentlich erleichtert. Somit kann das wiederholte Auslesen des Ausweisdokumentes wesentlich beschleunigt werden, da die zeitaufwendige und oft

fehleranfällige Ermittlung des Codes entfallen kann. Folglich kann mit Vorteil an Orten, an denen ein mehrmaliges Auslesen des

Ausweisdokumentes erforderlich ist, der Auslesevorgang beschleunigt werden.

Ferner kann das Ausleseterminal dazu ausgebildet sein den Code zum Aufbau der gesicherten Verbindung zu dem ersten Chip des

Ausweisdokumentes in der Information zu speichern. Auf diese Weise wird es Ausleseterminalen, die in Kenntnis des Authentifizierungsschlüssels sind, ermöglicht auf den ersten Chip zuzugreifen, wobei ein Auslesen der CAN und/ oder MRZ vermieden werden kann. Auf diese Weise wird die benötigte Auslesezeit wesentlich verringert.

Gemäß einer Ausführungsform kann zumindest ein erstes Ausleseterminal in Verbindung mit einem zweiten Ausleseterminal in einem Auslesesystem zum Einsatz kommen, wobei das zweite Ausleseterminal, das in Kenntnis des Authentifizierungsschlüssels ist, dazu ausgebildet ist die Information aus dem Ausweisdokument auszulesen. Somit ist es möglich, nachdem die Information in dem ersten und/ oder zweiten Chip abgespeichert wurde, einen raschen Zugriff auf die Daten in dem Ausweisdokument zu erhalten. In anderen Worten ist es, nachdem das Ausweisdokument einmal

ausgelesen wurde und der zum Aufbau der gesicherten Verbindung zu dem ersten Chip notwendige Code verschlüsselt in der Information gespeichert wurde, nicht erneut notwendig den zum Aufbau der gesicherten Verbindung zu dem ersten Chip des Ausweisdokumentes notwendigen Code noch einmal zu ermitteln. Es entfällt also das erneute Auslesen der RZ und/ oder der CAN, wodurch viel Zeit beim erneuten Auslesen eingespart werden kann.

Kurze Beschreibung der Zeichnungen

Fig. 1 zeigt den Ablauf eines erfindungsgemäßen Verfahrens anhand eines Flussdiagramms;

Fig. 2 zeigt den Ablauf beim erneuten Einlesen eines Ausweisdokuments; und

Fig. 3 zeigt ein erfindungsgemäßes Auslesesystem.

Ausführliche Beschreibung bevorzugter Ausführungsformen der Erfindung

Im Folgenden wird die Erfindung unter Bezugnahme auf die Figuren 1-3 anhand rein beispielhafter Ausführungsformen beschrieben.

Fig. 1 zeigt den Ablauf eines erfindungsgemäßen Verfahrens. Im Schritt Sil wird zunächst ein zum Aufbau einer gesicherten Verbindung zu einem ersten Chip des Ausweisdokumentes notwendiger Code aus dem

Ausweisdokument ermittelt.

Bei einem Ausweisdokument im Sinne der Erfindung kann es sich um einen Reisepass, einen Personalausweis und/ oder eine andere Art von Ausweis, wie beispielsweise einen Mitarbeiterausweis handeln, der dazu verwendet wird, um einem Mitarbeiter den Zutritt zu einem Unternehmen zu ermöglichen. Reisepässe und Ausweise können gemäß dem ICAO-Standard (DOC 9303) ausgeführt sein. Ausweisdokumente gemäß dem ICAO- Standard sind dazu ausgebildet, um mittels einer Kontaktlosschnittstelle auf kontaktlose Weise ausgelesen zu werden. Um ein unbefugtes und

ungewolltes Auslesen über die Kontaktlosschnittstelle zu verhindern, ist es gemäß dem ICAO-Standard notwendig, dass vor dem Auslesen die Eingabe einer CAN (Card Access Number) und/ oder das Auslesen eines

maschinenlesbaren Bereichs (MRZ; Machine Readable Zone) erfolgt. Aus der CAN und/ oder der MRZ wird ein Code bzw. ein Schlüssel erzeugt, welcher notwendig ist, um die Daten aus dem ersten Chip des Ausweisdokumentes auszulesen. Das Auslesen der Daten kann mittels des BAC- und/ oder des PACE-Protokolls gemäß ICAO-Standard (DOC 9303) durch optisches

Auslesen der MRZ bzw. der CAN oder durch manuelle Eingabe erfolgen. Bei dem Chip kann es sich um einen MRTD-Chip handeln.

Nach dem Erzeugen des Codes wird in einem nächsten Schritt S12 eine Information, die den Code zum Aufbau der gesicherten Verbindung zu dem ersten Chip aufweisen kann, sowie ein Authentifizierungsschlüssel in dem ersten Chip des Ausweisdokumentes gespeichert. Die Information wird mit Hilfe des Authentifizierungsschlüssels derart versteckt auf dem ersten Chip gespeichert, dass sie nur nach erfolgreicher Authentifizierung (mittels des Authentifizierungsschlüssels) eines Ausleseterminals gegenüber dem ersten Chip ausgelesen werden kann. Alternativ können der

Authentifizierungsschlüssel und die Information auf analoge Weise in einem zweiten Chip des Ausweisdokuments gespeichert werden. Dieser zweite Chip kann in das Ausweisdokument integriert sein. Durch Vorsehen des zweiten Chips wird eine klare Trennung zwischen dem ersten Chip, der personenbezogene Daten enthält, und dem zweiten Chip ermöglicht.

Der Authentifizierungsschlüssel wird bevorzugt nur einer begrenzten

Anzahl an Ausleseterminalen zur Verfügung gestellt. Beispielsweise kann die begrenzte Anzahl sich auf ein geschlossenes System an Ausleseterminalen in einem Flughafen und/ oder einem Seehafen beziehen. Auf diese Weise kann innerhalb eines solchen Hafens das Auslesen des bereits einmal ausgelesenen Ausweisdokuments wesentlich beschleunigt werden, wobei gleichzeitig die Sicherheit der persönlichen Daten erhalten bleibt, da nur berechtigten Ausleseterminalen der erste Schlüssel zur Verfügung gestellt wird.

Bei dem ersten Chip des Ausweisdokumentes kann es sich um jedwede Art von Einrichtung handeln, die dazu geeignet ist, um Daten zu speichern. Bevorzugt werden für den Chip nichtflüchtige, einmalig oder mehrmals beschreibbare Speicherbausteine eingesetzt.

In einem nächsten Schritt kann mit Hilfe der Information (falls das

Ausweisdokument bereits einmal ausgelesen wurde) bzw. der CAN- und/ oder der MRZ-Daten eine gesicherte Verbindung zu dem ersten Chip des Ausweisdokuments hergestellt werden und die dort gespeicherten Daten können ausgelesen werden. Diese ausgelesenen Daten können in einem fakultativen, nächsten Schritt in einer Datenbank gespeichert werden. Die Datenbank ist bevorzugt so ausgeführt, dass auf diese nur innerhalb des Flughafens durch berechtige Einrichtungen zugegriffen werden kann. Die Kommunikation mit der Datenbank erfolgt bevorzugt über eine sichere, kabel gebundene und/ oder eine kabellose Netzwerkverbindung. Alternative Zugriffsformen auf die Datenbank sind ebenfalls möglich.

Alternativ können die ausgelesenen Daten in der Information gespeichert werden. Sie sind dort sicher und nicht nachverfolgbar gespeichert, da deren Existenz erst nach erfolgreicher Authentisierung mit dem

Authentisierungsschlüssel gegenüber dem Ausweisdokument feststellbar ist.

Auf diese Weise wird sichergestellt, dass es, um erneut auf die Daten des Ausweisdokumentes zuzugreifen, nicht mehr notwendig ist, zunächst optisch die MRZ und/ oder die CAN des Ausweisdokumentes auszulesen, sondern dass nach erfolgreicher Authentisierung mit dem

Authentisierungsschlüssel ein Zugriff auf die gespeicherte Information ausreichend ist, um auf die in der Datenbank und/ oder in dem ersten bzw. zweiten Chip gespeicherten Daten des ersten Chips des Ausweisdokumentes zuzugreifen (siehe Fig. 2). Auf diese Weise kann ein mehrmaliges Auslesen des Ausweisdokumentes, wie es beispielsweise an mehrstufigen

Ausweiskontrollstationen erforderlich sein kann, weiter beschleunigt werden.

Im Vergleich zu einem Verfahren, bei dem zusätzlich zu dem

Ausweisdokument eine weitere Speicherkarte, mit den Daten des

Ausweisdokumentes ausgegeben wird, kann sichergestellt werden, dass beim erneuten Auslesen des Ausweisdokumentes der Inhaber noch im Besitz des Ausweisdokumentes und nicht nur im Besitz der zusätzlich

ausgegebenen Speicherkarte ist, da der erste und/ oder zweite Chip fest in das Ausweisdokument integriert sind. Dadurch wird die Sicherheit wesentlich erhöht. Im Vergleich zu zusätzlich auf dem Ausweisdokument aufgebrachten Barcodestickern wird ebenfalls die Sicherheit erhöht, da diese Sticker leicht beschädigt werden können und/ oder unberechtigterweise mit Stickern von anderen Ausweisdokumenten getauscht werden können.

Beim Speichern des Speicherorts der Daten wird in der Information auf dem ersten Chip und/ oder auf dem zweiten Chip des Ausweisdokumentes gemäß einem bekannten indirekten Referenzierungsverfahren lediglich ein Pointer auf die in der Datenbank gespeicherten Daten hinterlegt. Der Pointer bzw. der Speicherort der Daten kann gemäß der Seriennummer des ersten Chips und/ oder gemäß der Seriennummer des zweiten Chips des

Ausweisdokumentes bezeichnet werden. Auf diese Weise ist eine eindeutige Zuordnung zwischen Chip und Datenbank gewährleistet.

Um die Sicherheit der Daten in der Datenbank weiter zu erhöhen, kann das Speichern der Daten in der Datenbank verschlüsselt erfolgen und in dem ersten Chip und/ oder in dem zweiten Chip zusätzlich ein zum Auslesen aus der Datenbank erforderlicher weiterer Schlüssel hinterlegt werden. Gemäß einer Ausführungsform kann der Schlüssel lediglich über eine zeitlich begrenzte Gültigkeitsdauer verfügen. Ferner ist es möglich, dass auf dem ersten Chip und/ oder auf dem zweiten Chip des Ausweisdokumentes nicht nur ein Authentifizierungsschlüssel eines Flug- und/ oder Fährhafens sondern die Authentifizierungsschlüssel einer Vielzahl solcher Häfen abgelegt werden. Die

Authentifizierungsschlüssel weisen bevorzugt eine beschränkte zeitliche Gültigkeit auf. Alternativ sind die Authentifizierungsschlüssel zeitlich unbeschränkt gültig.

Fig. 2 zeigt den Ablauf, wenn ein Inhaber eines Ausweisdokumentes zum wiederholten Mal an einem berechtigten Ausleseterminal 10, 20 eines Hafens eintrifft, um dort sein Ausweisdokument auslesen zu lassen. Das

Ausleseterminal 10, 20 überprüft zunächst in einem ersten Schritt S21, ob auf dem ersten und/ oder zweiten Chip die Information versteckt gespeichert ist. Dazu leitet das Ausleseterminal 10, 20 eine Authentisierung gegenüber dem Ausweisdokument unter Verwendung des Authentifizierungsschlüssels ein. Falls die Authentifizierung fehl schlägt so bedeutet dies, dass auf dem Ausweisdokument keine„Information" gespeichert ist und der

Ausweisinhaber wird im Schritt S22 aufgefordert sein Ausweisdokument so auf das Ausleseterminal aufzulegen, dass die MRZ und/ oder CAN ausgelesen werden kann, um den zum Aufbau einer gesicherten Verbindung zu dem ersten Chip des Ausweisdokumentes notwendigen Code aus dem Ausweisdokument zu ermitteln. Die Ermittlung erfolgt gemäß dem in Fig. 1 beschriebenen Flussdiagramm. Bei dieser Ermittlung erfolgt ebenfalls eine Authentisierung unter Verwendung der CAN-/MRZ-Daten, allerdings wird bei dieser Authentisierung ein anderer Authentisierungsschlüssel

verwendet.

Falls die Daten bereits erfasst wurden und die Authentisierung erfolgreich verläuft, so erfolgt in einem nächsten Schritt S23 der Zugriff auf die

Information. Für den Zugriff auf die Information durch ein berechtigtes Ausleseterminal ist es erforderlich, dass das Ausleseterminal in Besitz des Authentif izierungsschlüssels ist. Bei dem Schritt S23 entfällt das Ermitteln des zum Aufbau einer gesicherten Verbindung zu dem ersten Chip des Ausweisdokumentes notwendigen Codes aus MRZ und/ oder CAN.

Dadurch kann viel Zeit beim Auslesen des Ausweisdokumentes eingespart werden, da es nicht notwendig ist das Ausweisdokument in einer definierten Lage auf das Ausleseterminal aufzulegen. Im selben Zuge reduziert sich dadurch die Fehleranfälligkeit des Ausleseverfahrens. Bei dem Authentifizierungsschlüssel kann es sich um einen zeitlich begrenzt gültigen Schlüssel handeln. Auf diese Weise wird sichergestellt, dass selbst berechtigte Ausleseterminale nur für einen begrenzten Zeitraum, bspw. vier Stunden, zwei Tage und/ oder zwei Wochen, Zugang zu der Information erhalten. Fig. 3 zeigt ein erfindungsgemäßes Auslesesystem 100 mit einem ersten Ausleseterminal 10 und einem zweiten Ausleseterminal 20. In dem gezeigten Ausführungsbeispiel weist das erste Ausleseterminal 10 eine

Ausleseeinrichtung 12 sowie eine Ermittlungseinrichtung 14 auf. Das

Ausleseterminal 20 weist lediglich eine Ausleseeinrichtung 22 auf. Mit dem Ausleseterminal 20 ist es möglich, nachdem die Daten bereits einmal mit der Ermittlungseinrichtung 14 des Ausleseterminals 10 erfasst wurden, lediglich mittels der Ausleseeinrichtung 22, d.h. ohne das Erfordernis der

Ermittlungseinrichtung, auf die versteckt gespeicherte Information zuzugreifen. Gemäß einer Alternative kann das Ausleseterminal 20 zusätzlich mit einer eigenen Ermittlungseinrichtung (nicht gezeigt) versehen sein, mit der, falls die Daten noch nicht in der Datenbank gespeichert wurden (siehe Fig. 1), die Daten in der Datenbank gespeichert werden können.

Es kann ein weiteres Ausleseterminal beispielsweise im Ausgangsbereich des Flughafens vorgesehen sein, mit welchem es möglich ist, die in dem ersten und/ oder zweiten Chip gespeicherte Information und den

Authentifizierungsschlüssel zu löschen. Dazu wird das Ausweisdokument auf dieses Ausleseterminal aufgelegt und anschließend werden die Daten von dem Chip und ggf. aus der Datenbank gelöscht. Dadurch wird die Privatsphäre des Reisenden zusätzlich geschützt.