Titel: Verfahren zur Inbetriebnahme einer Tastatur eines Selbstbedienungsterminals

Die Erfindung bezieht sich auf ein Verfahren zur gesicherten Inbetriebnahme einer Tastatur eines Selbstbedienungsterminals, insbesondere eines Geldautomaten. Die Tastatur eines derartigen Selbstbedienungsterminals umfasst ein sogenanntes Sicherheitsmodul, welches in der Lage ist, eine über die Tastatur eingegebene Geheimnummer (PIN) mittels eines im Sicherheitsmodul gespeicherten PIN-Schlüssels zu verschlüsseln. Derartige Tastaturen werden im englischen Sprachgebrauch auch Encrypted PIN Päd (EPP) genannt. Damit wird verhindert, dass eine eingegebene Geheimnummer (PIN) unverschlüsselt z.B. an ein zentrales Rechenzentrum einer Bank weitergeleitet wird. Diese Tastatur ist in einer Aussparung einer Abdeckfläche der Bedieneinheit des Selbstbedienungsterminals angeordnet. Zum Ausspähen der Tastenbetätigungen (und damit der PIN) des Benutzers werden von Betrügern sogenannte überbauten über die eigentliche Tastatur gebaut. Bei diesem überbau handelt es sich um eine von dem Betrüger präparierte Tastatur, mittels derer die Tastenbetätigun- gen ausgespäht werden. Bei der Montage eines derartigen überbaus wird auch der Einbauzustand der eigentlichen Tastatur manipuliert, indem die Tastatur gegenüber der Abdeckfläche gewaltsam nach unten gedrückt wird.

Aus diesem Grunde gibt es vermehrt Sicherheitsanforderungen, die verlangen, dass eine derartige Manipulation (Veränderung des ordnungsgemäßen Einbauzustandes der Tastatur) über eine entsprechende Sensorik vom Sicherheitsmodul der Tastatur erkannt wird und die Tastatur über das Sicherheitsmodul im Falle einer solchen Manipulation automatisch Außerbetrieb gesetzt (gesperrt) wird.

Ein autorisierter Ausbau der Tastatur durch einen Service-Techniker im War- tungs-/Reparaturfall führt jedoch ebenfalls dazu, dass die Manipulations- sensorik auslöst und die Tastatur automatisch Außerbetrieb gesetzt (gesperrt) wird, d.h. von einem betriebsbereiten Zustand in einen nicht betriebsbereiten Zustand übergeht.

Vor diesem Hintergrund ist es die Aufgabe der Erfindung, ein Verfahren anzugeben, dass eine sichere, einfache und kostengünstige Wiederinbetriebnahme nach einem Ausbau oder einer Manipulation ermöglicht.

Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 gelöst. Die sich daran anschließenden abhängigen Patentansprüche beziehen sich auf vorteilhafte Ausführungsformen.

Erfindungsgemäß ist es vorgesehen, das die Tastatur nach einem übergang von einem betriebsbereiten Zustand in einen nichtbetriebsbereiten Zustand nur dann wieder in Betrieb genommen werden kann, wenn ein autorisierter Freischaltcode in das Sicherheitsmodul der Tastatur eingegeben und von diesem verifiziert wird.

Anhand der beigefügten Zeichnungen soll die Erfindung nachfolgend näher erläutert werden.

Es zeigt:

Fig. 1 eine schematische Draufsicht auf eine in der Abdeckfläche der

Bedieneinheit des Selbstbedienungsterminals eingebaute Tastatur,

Fig. 2 eine schematische Darstellung des EPP-Montagerahmens mit einem darauf angeordneten Schalter zur Manipulationserkennung sowie der darüber angeordneten Abdeckfläche der Bedieneinheit, Fig. 3 einen schematischen Schnitt durch die Tastatur mit Sicherheitsmodul,

Fig.4A/B die beiden Schalterstellungen, die einen ordnungsgemäßen bzw. nicht ordnungsgemäßen Einbauzustand anzeigen,

Fig. 5 ein Blockschaubild zur Verdeutlichung des Verfahrens,

Fig. 6 ein Flußdiagramm zur Veranschaulichung des Verfahrens.

Figur 1 zeigt eine schematische Draufsicht auf eine in einer Aussparung der Abdeckfläche der Bedieneinheit des Selbstbedienungsterminals eingebaute Tastatur. Die EPP-Tastatur besteht aus ihren Bedientasten und dem darunter angeordneten Sicherheitsmodul. Zum Einbau in die Abdeckfläche der Bedieneinheit weist die EPP-Tastatur einen Montagerahmen auf, der über eine Schraubverbindung (nicht dargestellt) mit der Abdeckfläche (Abdeckplatte) ver- schraubt wird. Der Sensor, der erkennt, ob die Tastatur ordnungsgemäß in dem Selbstbedienungsterminal eingebaut ist, befindet sich bevorzugt auf dem Montagerahmen, wobei das Sensorsignal von dem Sicherheitsmodul der Tastatur abgefragt wird. Bei dem Sensor kann es sich um einen mechanischen Mikro- schalter handeln, dessen Schalterzustand elektrisch abgefragt wird. Dabei be- deutet ein offener Schalter (symbolisiert durch den Zustand: 0), dass die Tastatur nicht ordnungsgemäß eingebaut ist, während ein geschlossener Schalter

(symbolisiert durch den Zustand: 1) bedeutet, dass die Tastatur ordnungsgemäß eingebaut ist. Selbstverständlich kann die Zuordnung der Schalterzustände auch umgekehrt sein. Zur Betätigung des Schalters kann auf der dem Schalter zugewandten Seite der Abdeckfläche ein im ordnungsgemäß einge- bauten Zustand auf den Schalter drückender Stift vorgesehen sein.

Bei einer Manipulation, bei der die Tastatur gegenüber der Abdeckfläche gewaltsam nach unten gedrückt wird, wird der Schalter geöffnet, was wiederum im Sicherheitsmodul der Tastatur, wo der Schalterzustand abgefragt wird, dazu führt, dass die Tastatur automatisch Außerbetrieb gesetzt (gesperrt) wird.

Die gleiche Situation (öffnen des Schalters) tritt jedoch auch dann auf, wenn die Tastatur im Wartungs-/Reparaturfall von einem Service-Techniker ausgebaut wird.

Um die Tastatur nach einem Ausbau in Wartungs-/Reparaturfall wieder in Betrieb zu nehmen reicht es nicht aus, dass der Schalter nach einem ordnungsgemäßen Einbau der Tastatur wieder geschlossen wird. Erfindungsgemäß ist es vielmehr vorgesehen, dass für eine Wiederinbetriebnahme der Tastatur ein von einer Autorisierungsstelle erzeugter Freischaltcode (FC) in das Sicherheitsmodul der Tastatur eingegeben und dort verifiziert werden muß.

Das Verfahren zur Erzeugung und zur Verifizierung des Freischaltcodes (FC) ist in Figur 5 dargestellt. Im Sicherheitsmodul der Tastatur wird eine Zufallszahl (RND) generiert und zusammen mit einer die Tastatur eindeutig kennzeichnenden Tastatur-Kennung (z.B. Serien-Nr.) an den Service-Techniker ausgegeben. Für die Generierung der Zufallszahl (RND) und die Ausgabe der Tastatur- Serien-Nr. startet der Service-Techniker über eine entsprechende Schnittstelle eine Software-Routine im Sicherheitsmodul der Tastatur. Die Ausga- be/übermittlung der Zufallszahl (RND) und der Serien-Nr. an den Service- Techniker kann über verschiedene Wege erfolgen, beispielsweise können die-

se dem Service-Techniker visuell auf einem Monitor angezeigt oder auf eine elektronische Speichereinrichtung des Service-Technikers übermittelt werden.

über den Service-Techniker werden die Zufallszahl (RND) und die Serien-Nr. nun an eine räumlich entfernt angeordnete zentrale Autorisierungsstelle übermittelt. Dies kann beispielsweise in Form einer SMS (Short Message Nachricht) über eine Mobilfunktelefonverbindung erfolgen. Es ist jedoch auch eine fernmündliche übertragung dieser Daten (Zufallszahl und Serien-Nr.) oder eine übertragung per Telefax möglich. Darüber hinaus ist auch eine übermittlung von Zufallszahl (RND) und Serien-Nr. an die Autorisierungsstelle durch eine Internetverbindung möglich.

Anhand der Serien-Nr. wird nun in der Autorisierungsstelle ein Schlüssel (K) zur

Verschlüsselung der Zufallszahl (RND) abgeleitet. Zur Bildung des Freischalt- codes (FC) wird die Zufallszahl (RND) mit dem Schlüssel (K) unter Anwendung eines bestimmten Verschlüsselungsprogramms (Algorithmus) verschlüsselt:

FC = encκ(RND). Dabei wird der in der Autorisierungsstelle berechnete Freischaltcode zur Unterscheidung des im Sicherheitsmodul der Tastatur berechneten Freischaltcodes - siehe unten - mit FC2 bezeichnet. Der so berechnete Freischaltcode (FC2) wird nun von der Autorisierungsstellte an den Service- Techniker übermittelt. Dies kann beispielsweise ebenfalls in Form einer SMS- Nachricht oder aber über eine andere Telefon- oder Internetverbindung erfolgen. Der so erhaltene Freischaltcode (FC2) wird nun vom Service-Techniker über eine entsprechende Schnittstelle in das Sicherheitsmodul der Tastatur eingegeben. Dabei kann er beispielsweise für die Eingabe auch die Bedientasten der Tastatur selbst nutzen. Im Sicherheitsmodul der Tastatur wird nun der eingegebene Freischaltcode (FC2) verifiziert. Zu diesem Zweck wird die Zufallszahl (RND) nach demselben Algorithmus und mit demselben für die Tastatur-Kennung spezifischen Schlüssel (K) verschlüsselt wie in der Autorisierungs- stelle. Anschließend wird der in das Sicherheitsmodul der Tastatur (EPP) eingegebene Freischaltcode (FS2) mit dem im Sicherheitsmodul selbst berechne-

ten Freischaltcode (FS1) verglichen. Stimmen die beiden überein, so kann die Tastatur unter bestimmten Bedingungen wieder in Betrieb genommen werden.

Das erfindungsgemäße Verfahren hat den Vorteil, dass die Tastatur nach einer Sperrung aufgrund einer nicht ordnungsgemäßen Einbausituation nach einem

Ausbau in einfacher Weise ferngesteuert sicher wieder in Betrieb genommen werden kann. Eine sichere Wiederinbetriebnahme erfordert somit nicht, dass die Tastatur an den Tastaturhersteller versandt werden muß, um dort vor Ort in einer sicheren Umgebung eine Wiederinbetriebnahme (Freischaltung) zu be- wirken. Durch das erfindungsgemäße Verfahren werden somit Zeit und Kosten gespart.

In Figur 6 sind die verschiedenen Zustände, in denen sich eine Tastatur befinden kann, anhand eines Flußdiagramms dargestellt sowie die übergänge zwi- sehen diesen Zuständen erläutert.

Nach der Fertigstellung befindet sich die Tastatur in einem sogenannten Auslieferungszustand (S1). In diesem Zustand ist der Schalter offen (Schalterzustand = 0). Nach dem Laden eines sogenannten Transportschlüssels (ü1) in das Si- cherheitsmodul der Tastatur geht die Tastatur in einem sogenannten Transportzustand (S2) über. Aus diesem Zustand heraus kann die Tastatur nach einem ordnungsgemäßen Einbau in ein Selbstbedienungsterminal, bei dem der Schalter geschlossen wird, unter bestimmten Bedingungen automatisch in einen betriebsbereiten Zustand überführt werden. Mit dem „lokalen" Laden des PIN-Schlüssels, der für die Verschlüsselung der von dem Benutzer über die Tastatur eingegebenen Geheimnummer (PIN) erforderlich ist, wird der Schalter und/oder die Schalterabfrage über das Sicherheitsmodul aktiviert. Dabei wird unter dem „lokalen" Laden des PIN-Schlüssels - im Unterschied zum Vorladen des PIN-Schlüssel an einer zentralen Schlüsselladestelle - das Laden des PIN- Schlüssels am Standort des Selbstbedienungsterminals verstanden. Dabei kann der PIN-Schlüssel beim „lokalen" Laden sowohl manuell vor Ort in das

Sicherheitsmodul eingegeben werden als auch durch ein über Verschlüsselung abgesichertes ferngesteuertes Schlüsselladen (sogenanntes Remote Key Loa- ding). Falls nun der PIN-Schlüssel „lokal" geladen wurde und die Tastatur ordnungsgemäß eingebaut wurde, d.h. der Schalter wurde geschlossen (Schalter- zustand = 1), geht die Tastatur automatisch in den betriebsbereiten Zustand (S3) über, wenn eine entsprechende Schalterzustandsabfrage durch das Sicherheitsmodul den geschlossenen Schalterzustand bestätigt. Wenn die Schalterabfrage allerdings den offenen Schalterzustand detektiert, geht die Tastatur automatisch in den nicht betriebsbereiten Zustand (S4) über, in dem die Tasta- tur gesperrt ist. Die Tastatur geht aus Sicherheitsgründen auch dann automatisch in den nicht betriebsbereiten Zustand (S4) über, wenn die Schalterabfrage zwar den geschlossenen Schalterzustand detektiert, der PIN-Schlüssel aber an einer zentralen Schlüsselladestelle vorgeladen wurde. Bei Tastaturen mit zentral vorgeladenen PIN-Schlüsseln soll daher auch bei ordnungsgemäßem Ein- bau die Inbetriebnahme erst nach einer autorisierten Freischaltung (siehe unten) erfolgen.

Eine Tastatur, die sich im betriebsbereiten Zustand (S3) befindet, detektiert bei Ausbau/Manipulation (ü3) der Tastatur einen Wechsel des Schalterzustandes von geschlossen (1) nach offen (0). Dies führt automatisch dazu, dass die Tastatur in den nicht betriebsbereiten Zustand (S4) überführt wird. In diesem Zustand ist die Tastatur gesperrt. Dieser Zustand kann in einer Ausführungsform noch durch eine optische Information, beispielsweise durch eine blinkende LED, angezeigt werden.

Um nun eine Tastatur aus dem nicht betriebsbereiten Zustand (S4) wieder in Betrieb nehmen zu können, muß von einem Service-Techniker die erfindungsgemäße Freischaltprozedur (siehe Figur 5) initiiert werden (ü4). Dabei wird das Sicherheitsmodul der Tastatur aufgefordert, die Zufallszahl (RND) sowie die Tastatur-Kennung (Serien-Nr.) auszugeben. Anschließend geht die Tastatur in einen Freischaltcode-Empfangszustand (S5) über. Falls die Tastatur wieder

ordnungsgemäß eingebaut wurde (Schalter geschlossen; Schalterzustand = 1) und ein autorisierter Freischaltcode (FC) eingegeben wurde, geht die Tastatur automatisch wieder in den betriebsbereiten Zustand (S3) über (siehe Pfad ü5.1). Es ist jedoch auch vorgesehen, dass die Tastatur nach Eingabe eines autorisierten Freischaltcodes (FC) in den Transportzustand (S2) überführt wird, falls die Tastatur sich in einer Werkstatt oder einem Zwischenlager befindet (Pfad ü5.2).