Die Erfindung betrifft die Kommunikation über Mobilfunknetze im Allgemeinen und insbesondere Verfahren und Systeme zum Personalisieren eines Sicherheitselements eines mobilen Endgeräts zur Kommunikation über ein Mobilfunknetz.

Hintergrund der Erfindung

Das Kommunizieren mittels eines mobilen Endgeräts, beispielsweise mittels eines Mobiltelefons, über ein Mobilfunknetzwerk (auch als PLMN [Public Land Mobile Network] bezeichnet), das von einem Netzbetreiber (auch als MNO [Mobile Network Operator] bezeichnet) betrieben wird, erfordert in der Regel, dass das mobile Endgerät mit einem Sicherheitselement, beispielsweise in Form einer SIM-Karte, zur sicheren Aufnahme von Subskrip- tionsberechtigungsdaten ("Subscription Credentials") ausgestattet ist, die den Benutzer des mobilen Endgeräts gegenüber dem Mobilfunknetzwerk ein- deutig identifizieren und authentisieren. Derartige sicherheitselementindivi- duelle Subskriptionsberechtigungsdaten, beispielsweise eine IMSI (International Mobile Subscriber Identity) und ein Authentisierungsschlüssel Ki, werden in der Regel im Rahmen einer sogenannten "Personalisierung" in der sicheren Umgebung des Sicherheitselementherstellers auf einem Sicherheit- selement hinterlegt.

Während in der Vergangenheit die große Mehrzahl von Sicherheitselementen in Form von SIM-Karten in einem mobilen Endgerät einfach ausgetauscht werden konnte, gibt es seit einiger Zeit mehr und mehr Sicherheit- selemente, die fest in einem mobilen Endgerät verbaut werden. Ein solches fest in ein mobiles Endgerät verbautes Sicherheitselement ist dem Fachmann insbesondere unter dem Begriff "Embedded SIM" oder "Embedded UICC (eUICC)" bekannt.

Wie bereits vorstehend erwähnt, erfolgte bisher die Personalisierung in der Regel in einer sicheren Umgebung beim Hersteller des Sicherheitselements. Dies wird in Zukunft häufig nicht mehr möglich sein, da die Personalisierung bereits beim Hersteller des Prozessors des Sicherheitselements oder später in der Produktionsstraße des Herstellers des mobilen Endgeräts mit dem darin eingebetteten Sicherheitselement erfolgen muss. In diesem Fall muss jedoch sichergestellt werden, dass der Prozessor hersteller oder der Hersteller des mobilen Endgeräts keinen oder bestenfalls nur einen beschränkten Zugriff auf die auf das Sicherheitselement aufzubringenden si- cherheitselementindividuellen Personalisierungsdaten, insbesondere die darin enthaltenen Subskriptionsberechtigungsdaten hat.

Somit besteht ein Bedarf nach verbesserten Verfahren und Vorrichtungen zum Personalisieren eines Sicherheitselements, das vorzugsweise fest in einem Endgerät verbaut ist. Zusammenfassung der Erfindung

Die vorstehende Aufgabe wird gemäß der vorliegenden Erfindung durch den jeweiligen Gegenstand der unabhängigen Ansprüche gelöst. Bevorzugte Ausgestaltungen der Erfindung werden in den abhängigen Ansprüchen definiert.

Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Personalisieren eines Sicherheitselements für ein Endgerät zur Kommunikation über ein Mobilfunknetzwerk bereitgestellt. Dabei umfasst das Verfahren die folgenden Schritte: das Bereitstellen von Initialisierungsdaten von einer Initiali- sierungsinstanz an das Sicherheitselement, wobei die Initialisierungsdaten ein Personalisierungstoken umfassen; das Bereitstellen des Personalisie- rungstoken vom Sicherheitselement an eine Personalisierungsinstanz; das Überprüfen der Gültigkeit des Personalisierungstokens durch die Personali- sierungsinstanz; und nach erfolgreicher Überprüfung der Gültigkeit des Personalisierungstokens das Bereitstellen von Personalisierungsdaten von der Personalisierungsinstanz an das Sicherheitselement, wobei die Berechtigungsdaten zur Authentifizierung des Sicherheitselements in verschlüsselter Form bereits Teil der Initialisierungsdaten sind und die Personalisierungsda- ten einen Schlüssel zum Entschlüsseln der Berechtigungsdaten umfassen. Das Endgerät kann ein mobiles (oder ein stationäres) Endgerät sein.

Erfindungsgemäß werden somit in einer ersten Phase von einer Initialisierungsinstanz Initialisierungsdaten mit einem Personalisierungstoken auf das Sicherheitselement geladen. Bei der Initialisierungsinstanz kann es sich beispielsweise um einen Server des Herstellers des Prozessors des Sicherheitselements oder des Herstellers des mobilen Endgeräts mit einem darin eingebetteten Sicherheitselement handeln. Die Initialisierungsdaten sind für eine Charge von zu personalisierenden Sicherheitselementen im Wesentli- chen identisch. Neben diesen Initialisierungsdaten wird dem Sicherheitselement ein Sicherheitselementindividuelles gültiges Personalisierungstoken bereitgestellt. Die Initialisierungsdaten können beispielsweise Teile eines Betriebssystems des Sicherheitselements sein. In einer zweiten Phase weist erfindungsgemäß das Sicherheitselement mittels seines gültigen Personalisierungstokens gegenüber einer Personalisierungsinstanz seine Berechtigung nach, neben den Initialisierungsdaten, si- cherheitselementindividuelle Personalisierungsdaten von der Personalisierungsinstanz herunterladen zu können. Mit Subskriptionsberechtigungsda- ten ("Subscription Credentials"), wie beispielsweise einer IMSI (International Mobile Subscriber Identity) und/ oder einem Authentisierungsschlüssel Ki, kann sich das Sicherheitselement gegenüber einem Mobilfunknetzwerk authentifizieren. Berechtigungsdaten können alternativ oder zusätzlich einen Verschlüsselungsschlüssel umfassen. Vorliegend sind (Subskriptions-

) Berechtigungsdaten in verschlüsselter Form bereits Teil der Initialisierungsdaten. Die Personalisierungsdaten umfassen einen Schlüssel zum Entschlüsseln der bereits auf dem Sicherheitselement vorliegenden Berechtigungsdaten. Die Personalisierungsdaten können weitere sicherheitselementindividu- eile Daten umfassen.

Vorzugsweise umfasst das Verfahren vor dem Schritt des Bereitstellens der Initialisierungsdaten von der Initialisierungsinstanz an das Sicherheitselement den weiteren Schritt des Bereitstellens der Initialisierungsdaten und einer Charge von gültigen Personalisierungstoken von der Personalisie- rungsinstanz an die Initialisierungsinstanz. Dabei sind die gültigen Personalisierungstoken vorzugsweise von der Personalisierungsinstanz digital signiert, so dass überprüft werden kann, ob ein Personalisierungstoken von der Personalisierungsinstanz stammt.

Gemäß bevorzugter Ausführungsformen der Erfindung erfolgt das Bereitstellen der Personalisierungsdaten von der Personalisierungsinstanz an das Sicherheitselement über einen sicheren Kommunikationskanal zwischen der Personalisierungsinstanz und dem Sicherheitselement.

Vorzugsweise wird zum Aufbau eines sicheren Kommunikationskanals zwischen der Personalisierungsinstanz und dem Sicherheitselement ein sicher- heitselementindividueller Schlüssel zwischen der Personalisierungsinstanz und dem Sicherheitselement vereinbart, mit dem die Personalisierungsdaten gesichert werden.

Gemäß bevorzugter Ausführungsformen der Erfindung basiert der sichere Kanal zwischen der Personalisierungsinstanz und dem Sicherheitselement auf einer Public-Key-Infrastruktur. Bei diesen bevorzugten Ausführungsformen umfassen die Initialisierungsdaten, die an das Sicherheitselement übertragen werden, vorzugsweise ein Zertifikat der Personalisierungsinstanz mit einem öffentlichen Schlüssel der Personalisierungsinstanz. Vor- zugs weise kann auf diesem Weg ein TLS-Kommunikationskanal (Transport Layer Security) zwischen der Personalisierungsinstanz und dem Sicherheitselement ausgebildet werden, wobei sich die Personalisierungsinstanz gegenüber dem Sicherheitselement authentifiziert. Die Authentifizierung des Sicherheitselements gegenüber der Personalisierungsinstanz erfolgt vor- zugsweise über das Personalisierungstoken.

Vorzugsweise überträgt das Sicherheitselement beim Schritt des Bereitstellens des Personalisierungstokens an die Personalisierungsinstanz neben dem Personalisierungstoken einen Identifier des Sicherheitselements, beispiels- weise eine Chip-ID oder elD, an die Personalisierungsinstanz.

Gemäß bevorzugter Ausführungsformen der Erfindung kann bei der Initialisierung mehr als ein Personalisierungstoken auf dem Sicherheitselement bereitgestellt werden. Das Vorsehen von weiteren Personalisierungstoken ist in dem Fall vorteilhaft, dass ein erstes Personalisierungstoken von der Personalisierungsinstanz nicht akzeptiert wird.

Vorzugsweise umfasst das Verfahren nach dem Schritt der erfolgreichen Überprüfung der Gültigkeit des Personalisierungstokens den weiteren Schritt das Personalisierungstoken auf der Personalisierungsinstanz als ungültig bzw. bereits verwendet zu markieren.

Gemäß bevorzugter Ausführungsformen der Erfindung kann die Personali- sierungsinstanz dazu ausgestaltet sein, mittels weiterer Mechanismen die Gültigkeit des Personalisierungstokens zu überprüfen, um den Missbrauch von Personalisierungstokens zu erkennen und ggf. abzulehnen.

Gemäß einem zweiten Aspekt der Erfindung wird ein System zum Persona- lisieren eines Sicherheitselements für ein Endgerät zur Kommunikation über ein Mobilfunknetzwerk bereitgestellt. Dabei umfasst das System eine Initialisierungsinstanz, die dazu ausgestaltet ist, Initialisierungsdaten an das Sicherheitselement bereitzustellen, wobei die Initialisierungsdaten ein Personalisierungstoken umfassen, sowie eine Personalisierungsinstanz, die dazu ausgestaltet ist, das Personalisierungstoken vom Sicherheitselement zu empfangen, die Gültigkeit des Personalisierungstokens zu überprüfen, und nach erfolgreicher Überprüfung der Gültigkeit des Personalisierungstokens Personalisierungsdaten an das Sicherheitselement bereitzustellen, wobei die Personalisierungsdaten Subskriptionsberechtigungsdaten zur Authentifizie- rung gegenüber einem Mobilfunknetzwerk umfassen oder die Subskripti- onsberechtigungsdaten zur Authentifizierung des Sicherheitselements gegenüber dem Mobilfunknetzwerk in verschlüsselter Form bereits Teil der Initialisierungsdaten sind und die Personalisierungsdaten einen Schlüssel zum Entschlüsseln der Subskriptionsberechtigungsdaten umfassen. Das Endgerät kann ein mobiles (oder ein stationäres) Endgerät sein.

Wie der Fachmann erkennt, lassen sich die vorstehend beschriebenen bevorzugten Ausgestaltungen sowohl im Rahmen des ersten Aspekts der Erfindung, d.h. im Rahmen des Verfahrens zum Personalisieren eines Sicherheit- selements, als auch im Rahmen des zweiten Aspekts der Erfindung, d.h. im Rahmen eines Systems zum Personalisieren eines Sicherheitselements, vorteilhaft implementieren. Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden detaillierten Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen hervor. Es wird auf die Zeichnungen verwiesen, in denen zeigen: Fig. 1 eine schematische Darstellung eines Systems zum Personalisieren eines Sicherheitselements in Form einer eUICC als Teil eines Mobiltelefons zur Kommunikation über ein Mobilfunknetzwerk, die unterschiedliche Aspekte der vorliegenden Erfindung illustriert, und Fig. 2 eine schema tische Darstellung eines bevorzugten Ablaufs beim Personalisieren des Sicherheitselements von Figur 1.

Figur 1 zeigt eine schematische Darstellung der Komponenten eines Systems zum Personalisieren eines Sicherheitselements eines mobilen Endgeräts so- wie einige der Kommunikationsverbindungen zwischen diesen Komponenten, das unterschiedliche Aspekte der vorliegenden Erfindung illustriert. Obgleich in der nachstehenden detaillierten Beschreibung auf ein "mobiles" Endgerät Bezug genommen wird, wird der Fachmann erkennen, dass die vorliegende Erfindung vorteilhaft im Zusammenhang mit jeder Art von Endgerät implementiert werden kann, das dazu ausgestaltet ist, über ein mobiles oder zelluläres Kommunikationsnetzwerk zu kommunizieren, also auch mit Endgeräten, deren Standort sich praktisch nicht ändert. Mit anderen Worten: das hierein verwendete Attribut "mobil" bezieht sich auf die Fä- higkeit des Endgeräts über ein mobiles oder zelluläres Kommunikationsnetzwerk zu kommunizieren.

Ein beispielhaftes mobiles End gerät 10 ist in Figur 1 dargestellt, das ein Si- cherheitselement ("Secure Element") 14 zum sicheren Speichern und Verarbeiten von Daten umfasst, die beispielsweise das mobile End gerät 10 und/ oder dessen Benutzer eindeutig identifizieren. Wie dies in Figur 1 angedeutet ist, handelt es sich bei dem mobilen Endgerät 10 vorzugsweise um ein Mobiltelefon, ein Smartphone oder eine ähnliche Vorrichtung mit einem Display 12. Der Fachmann wird jedoch erkennen, dass das mobile Endgerät 10 gemäß der vorliegenden Erfindung ebenfalls in Form von anderen Vorrichtungen implementiert werden kann, die dazu eingerichtet sind, über ein Mobilfunknetzwerk zu kommunizieren, wie beispielsweise ein Tablett- Computer, ein Notebook, ein TV-System, eine Set-Top-Box, ein Verkaufsau- tomat, ein Kraftfahrzeug, eine Überwachungskamera, eine Sensorvorrichtung und dergleichen.

Gemäß bevorzugter Ausführungsformen der Erfindung ist das Sicherheitselement 14 als eine eUICC (embedded Universal Integrated Circuit Card) mit einer darauf implementierten SIM- Applikation ausgestaltet, d.h. als ein Sicherheitselement, das fester Bestandteil des mobilen Endgeräts 10 ist und in einem Mobilfunknetzwerk für die eindeutige und sichere Identifizierung des Benutzers bzw. Teilnehmers und für die Bereitstellung unterschiedlicher Funktionen und Mehrwertdienste verwendet wird. Alternativ kann das Si- cherheitselement 14 als eine UICC (Universal Integrated Circuit Card) oder SIM-Karte (Subscriber Identity Module) ausgestaltet sein, die dem Fachmann als eine der zurzeit am häufigsten verwendeten Formen eines Sicherheitselements bekannt ist. Der Fachmann wird jedoch erkennen, dass andere Arten von Sicherheitselementen, die je nach Generation und Typ des zu- gründe liegenden Mobilfunkstandards als USIM, R-UIM, ISIM und dergleichen bezeichnet werden, ebenfalls von der vorliegenden Erfindung umfasst werden. Gemäß weiterer bevorzugter Ausführungsformen der Erfindung kann das Sicherheitselement 14 als eine Kombination aus Hard- und Softwarekomponenten in einem vertrauenswürdigen Teil eines Betriebssystems einer zentralen Prozessoreinheit des mobilen Endgeräts 10 ausgebildet sein, die dem Fachmann auch als gesicherte Laufzeitumgebung ("Trusted Execution En- vironment"; TEE) bekannt ist. Das Sicherheitselement 14 kann dann beispielsweise innerhalb einer solchen gesicherten Laufzeitumgebung des mobilen Endgeräts 10 in Form von darin ablaufenden Programmen, sogenannten Trustlets® ausgebildet sein. Das mobile Endgerät 10 ist dazu ausgestaltet, über die Luftschnittstelle mit einem Mobilfunknetzwerk 20 (auch kurz als "Mobilfunknetz" oder als "Public Land Mobile Network" [PLMN] bezeichnet) zu kommunizieren. Hierzu verfügt das mobile Endgerät 10 in der Regel über eine Antenne (in Figur 1 nicht dargestellt) zum Senden und Empfangen von Radiowellen.

Nachstehend werden bevorzugte Ausführungsformen der Erfindung im Zusammenhang mit einem Mobilfunknetzwerk 20 gemäß dem GSM-Standard ("Global Standard for Mobile Communications") beschrieben, der in einer Vielzahl von ETSI-Spezifikationen spezifiziert ist. Der Fachmann wird jedoch erkennen, dass die vorliegende Erfindung auch im Zusammenhang mit anderen Mobilfunknetzen vorteilhaft eingesetzt werden kann. Derartige Netze umfassen Mobilfunknetze der dritten Generation (3GPP), wie UMTS (Universal Mobile Telecommunications System), Mobilfunknetze der vierten Ge- neration (4G), wie LTE (Long Term Evolution), sowie andere Mobilfunknetze, wie CDMA und dergleichen.

Wie dies dem Fachmann bekannt ist, umfasst ein gemäß dem GSM-Standard aufgebautes Mobilfunknetz bzw. PLMN im Allgemeinen ein BSS ("Base Station Subsystem"), das aus einer Vielzahl von BTS ("Base Transceiver Station") besteht, die jeweilige Funkzellen des PLMN definieren und mit einem BSC ("Base Station Controller") verbunden sind. Üblicherweise handelt es sich bei dem BSC um einen einer Vielzahl von BSC, die mit einem gemeinsamen MSC ("Mobile Switching Center") kommunizieren. Häufig ist eine lokale Datenbank, die VLR ("Visitor Location Register") genannt wird, Teil des MSC, um Informationen über die Mobilfunkteilnehmer vorzuhalten, die sich momentan in den Funkzellen befinden, die von einem MSC versorgt werden (d.h. der von einem MSC abgedeckte Bereich). Das MSC stellt im Wesentli- chen dieselbe Funktionalität wie eine Vermittlungsstelle im Festnetz (public- switched telephone network; PSTN) bereit und steht in Kommunikation mit einem HLR ("Home Location Register"), bei dem es sich um die primäre Datenbank des PLMN handelt, in der Informationen zur Anmeldung bzw. Au- thentisierung der Mobilfunkteilnehmer gespeichert sind. Hierzu hat das HLR üblicherweise Zugriff auf ein AUC ("Authentication Center"). Wie dies dem Fachmann bekannt ist, können die Kommunikationsverbindungen zwischen den vorstehend beschriebenen Komponenten eines PLMNs auf proprietären und/ oder offenen Standards basieren. Die verwendeten Protokolle können beispielsweise SS7- oder IP-basiert sein. Wie die Netzwerk- komponenten als separate oder zusammengefasste Einheiten ausgebildet sind und wie die Schnittstellen zwischen diesen Komponenten ausgebildet sind, ist Sache des MNO, so dass die vorstehende Beschreibung lediglich als beispielhaft zu verstehen ist. Der Fachmann wird erkennen, dass, obgleich die vorstehend beschriebenen Funktionseinheiten eines herkömmlichen Mobilfunknetzes gemäß dem GSM-Standard in anderen oder zukünftigen Mobilfunkstandards andere Namen aufweisen können, die zugrundeliegenden Prinzipien im Wesentli- chen gleich sind und diese daher von der Erfindung ebenfalls umfasst werden. Der Übersichtlichkeit halber sind von den vorstehend beschriebenen Komponenten eines Mobilfunknetzes lediglich die folgenden in der schematischen Darstellung von Figur 1 gezeigt: ein beispielhaftes BTS 22 sowie ein HLR 24 für das Mobilfunknetz 20.

Wie sich dies der vergrößerten Ansicht des Sicherheitselements 14 in Figur 1 entnehmen lässt, umfasst das Sicherheitselement 14 vorzugsweise eine zentrale Verarbeitungseinheit bzw. einen zentralen Prozessor ("central proces- sing unit"; CPU) 15. Vorzugsweise ist der Prozessor 15 derart ausgestattet, dass Applikationen auf dem Prozessor 15 ausgeführt werden können, wie beispielsweise eine Personalisierungsapplikation 15a (in Figur 1 als "Applet" bezeichnet), die vorzugsweise zumindest einige der Features zum Personalisieren des Sicherheitselements 14 bereitstellt, wie dies nachstehend im Zusammenhang mit Figur 2 detailliert beschrieben wird.

Das Sicherheitselement 14 umfasst vorzugsweise ferner eine Speichereinheit 16, die vorzugsweise als eine nicht-flüchtige, wiederbeschreibbare Speichereinheit, z.B. in Form eines Flash-Speichers, implementiert ist. Erfindungsgemäß werden auf dieser Speichereinheit 16 in einem ersten Schritt von einer Initialisierungsinstanz 30 Initialisierungsdaten 17 mit einem Personalisie- rungstoken 17a hinterlegt und in einem zweiten Schritt von einer Personali- sierungsinstanz 40 Personalisierungsdaten 18 mit (Subskriptions-)Berechti- gungsdaten ("Subscription Credentials") 18a hinterlegt, wie dies nachstehend im Zusammenhang mit Figur 2 im Detail beschrieben wird. Vorzugsweise ermöglichen die Personalisierungsdaten 18 und insbesondere die Subskripti- onsberechtigungsdaten es dem Sicherheitselement 14 und dem mobilen Endgerät 10, sich in das Mobilfunknetz 20 einzubuchen und über dieses zu kommunizieren.

Figur 2 zeigt einen erfindungsgemäß bevorzugten Ablauf bei der Personalisierung des Sicherheitselements 14 von Figur 1. In einem ersten Schritt Sl von Figur 2 werden einer Initialisierungsinstanz 30 von einer Personalisie- rungsinstanz 40 Initialisierungsdaten 17 sowie eine Charge von signierten Personalisierungstoken 17a bereitgestellt. Bei den Initialisierungsdaten 17 kann es sich beispielsweise um Teile eines auf dem Sicherheitselement 14 zu implementierenden Betriebssystems handeln, wobei die Initialisierungsdaten 17 für alle zu initialisierenden Sicherheitselemente gleich sein können. Bei der Initialisierungsinstanz 30 kann es sich beispielsweise um einen Server des Herstellers des Prozessors des Sicherheitselements oder des Herstellers des mobilen Endgeräts mit dem darin eingebetteten Sicherheitselement handeln. Bei der Charge von signierten Personalisierungstoken kann es sich um eine Liste von individuellen Zufallszahlen und den digitalen Signaturen dieser Zufallszahlen handeln.

In Schritt S2 von Figur 2 werden in einer ersten Phase des erfindungsgemäßen Verfahrens zum Personalisieren des Sicherheitselements 14 die Initialisierungsdaten 17 zusammen mit einem signierten Personalisierungstoken 17a von der Initialisierungsinstanz 30 an das Sicherheitselement 14 bereitge- stellt bzw. übertragen. Dabei ist erfindungsgemäß denkbar, dass das Sicherheitselement 14 als ein einzelner Chip, ein Chipmodul, ein SIM oder dergleichen vorliegt. In Schritt S3 von Figur 2 werden die von der Initialisierungsinstanz 30 empfangenen Initialisierungsdaten 17 einschließlich des Persona- lisierungstokens 17a auf dem Sicherheitselement 14, vorzugsweise auf dem in Figur 1 gezeigten Speicher 16 davon abgelegt.

In einer zweiten Phase des erfindungsgemäßen Verfahrens zum Personali- sieren des Sicherheitselements 14 sendet in Schritt S4 von Figur 2 das Sicherheitselement 14 das Personalisierungstoken 17a vorzugsweise zusammen mit einem Identifier ID des Sicherheitselements 14, z.B. einer Chip-ID, an die Personalisierungsinstanz 40. In Schritt S5 von Figur 2 überprüft die Personalisierungsinstanz 40 die Gültigkeit des vom Sicherheitselement 14 empfangenen Personalisierungstoken 17a. Gemäß bevorzugter Ausführungsformen der Erfindung kann eine solche Überprüfung stattfinden, indem mittels einer Datenbank der Personalisierungsinstanz 40 überprüft wird, ob das vom Sicherheitselement 14 emp- fangene Personalisierungstoken 17a von der Personalisierungsinstanz 40 ausgeben worden ist (beispielsweise in Schritt Sl von Figur 2) und ob dieses Personalisierungstoken 17a nicht bereits für das Herunterladen von Persona- lisierungsdaten 18 verwendet worden ist, d.h. ob das Personalisierungstoken 17a noch gültig ist.

Falls die Prüfung in Schritt S5 von Figur 2 erfolgreich ist, d.h. von der Personalisierungsinstanz 40 festgestellt wird, dass das vom Sicherheitselement 14 empfangene Personalisierungstoken 17a gültig ist, werden in Schritt S6 von Figur 2 über einen sicheren Kommunikationskanal sicherheitselementindivi- duelle Personalisierungsdaten 18 von der Personalisierungsinstanz 40 an das Sicherheitselement 14 bereitgestellt bzw. übertragen, wo diese in Schritt S7 von Figur 2 abgespeichert werden. Die von der Personalisierungsinstanz 40 an das Sicherheitselement 14 bereitgestellten Personalisierungsdaten 18 könnten Sicherheitselementindividuelle Subskriptionsberechtigungsdaten ("Subscription Credentials") 18a enthalten, wie beispielsweise eine IMSI (International Mobile Subscriber Identity) und/ oder einen Authentisierungs- schlüssel Ki, mit denen sich das Sicherheitselement 14 in Schritt S8 in das Mobilfunknetzwerk 20 einbuchen und über dieses kommunizieren kann.

Vorliegend sind die Subskriptionsberechtigungsdaten 18a in verschlüsselter Form bereits Teil der Initialisierungsdaten 17. In diesem Fall umfassen die Personalisierungsdaten 18 im Wesentlichen lediglich einen Schlüssel zum Entschlüsseln der bereits auf dem Sicherheitselement 14 vorliegenden Sub- skriptionsberechtigungsdaten 18a.

Gemäß bevorzugter Ausführungsformen der Erfindung kann nach der erfolgreichen Überprüfung des vom Sicherheitselement 14 empfangenen Per- sonalisierungstoken 17a dieses in einer Datenbank der Personalisierungs- instanz 40 als ungültig bzw. bereits verwendet markiert werden. In Verbindung mit dem vom Sicherheitselement 14 empfangenen Personalisierungs- token 17a kann ferner der Identifier ID des Sicherheitselements 14 in der Datenbank der Personalisierungsinstanz 40 gespeichert werden, so dass die Personalisierungsinstanz 40 Informationen darüber hat, welche Sicherheit- selemente bereits mit Personalisierungsdaten versorgt worden sind.

Gemäß bevorzugter Ausführungsformen der Erfindung erfolgt das Bereitstellen bzw. Übertragen der Personalisierungsdaten 18 von der Personalisierungsinstanz 40 an das Sicherheitselement 14 über einen sicheren Kommuni- kationskanal zwischen der Personalisierungsinstanz 40 und dem Sicherheitselement 14. Physikalisch kann ein solcher Kanal zwischen der Personalisierungsinstanz 40 und dem Sicherheitselement 14 beispielsweise zumindest teilweise über ein WiFi-Netzwerk ausgebildet werden, z.B. in einem Geschäft, in dem ein Kunde das mobile Endgerät 10 erwirbt. Wie dies in Figur 1 durch die Pfeile angedeutet ist, ist es erfindungsgemäß ebenfalls denkbar, dass die Personalisierungsinstanz 40 über die Initialisierungsinstanz 30 mit dem Sicherheitselement 14/ mobilen End gerät 10 kommuniziert. Vorzugsweise wird zum Aufbau eines sicheren Kommunikationskanals zwischen der Personalisierungsinstanz 40 und dem Sicherheitselement 14 ein Sicherheitselementindividueller Schlüssel zwischen der Personalisierungsinstanz 40 und dem Sicherheitselement 14 vereinbart, mit dem die Personali- sierungsdaten 18 gesichert werden. Gemäß bevorzugter Ausführungsformen der Erfindung basiert der sichere Kanal zwischen der Personalisierungsinstanz 40 und dem Sicherheitselement 14 auf einer Public-Key- Infrastruktur. Bei diesen bevorzugten Ausführungsformen umfassen die Initialisierungsdaten 17, die an das Sicherheitselement 14 übertragen werden, vorzugsweise ein Zertifikat der Personalisierungsinstanz 40 mit einem öf- fentlichen Schlüssel der Personalisierungsinstanz 40. Vorzugsweise kann auf diesem Weg ein TLS-Kommunikationskanal (Transport Layer Security) zwischen der Personalisierungsinstanz 40 und dem Sicherheitselement 14 ausgebildet werden, wobei sich die Personalisierungsinstanz 40 gegenüber dem Sicherheitselement 14 authentifiziert. Dabei wird zwischen dem Sicherheit- selement 14 und der Personalisierungsinstanz ein Sitzungsschlüssel vereinbart, der von der Initialisierungsinstanz 30 nicht nachgerechnet werden kann. Die Authentifizierung des Sicherheitselements 14 gegenüber der Personalisierungsinstanz 40 erfolgt vorzugsweise über das Personalisierungsto- ken 17a.

Gemäß bevorzugter Ausführungsformen der Erfindung ist die Personalisierungsinstanz 40 dazu ausgestaltet, mittels weiterer Mechanismen die Gültigkeit des Personalisierungstokens 17a zu überprüfen, um den Missbrauch von Personalisierungstokens zu erkennen und ggf. abzulehnen. In diesem Zu- sammenhang ist denkbar, dass die Initialisierungsinstanz 30 (vorzugsweise der Hersteller des Sicherheitselements 14) der Personalisierungsinstanz 40 Informationen darüber liefern muss, welches Personalisierungstoken auf welches durch seinen Identifier identifiziertes Sicherheitselement 14 geladen worden ist. Ferner können Mechanismen zum Tracking von Personalisie- rungstokens vorgesehen sein. In diesem Fall kann der Weg des mobilen Endgeräts verfolgt werden, in dem das Sicherheitselement 14 verbaut ist. Es kann vorgesehen sein, dass die Verwendung eines Personalisierungstokens nur innerhalb eines gewissen Zeitfensters ab Bereitstellung eines Personali- sierungstokens möglich ist.