Die Erfindung betrifft eine Mobilstation umfassend ein mobiles Endgerät und umfassend Sicherheitsressourcen, sowie ein Applikationsladesystem und ein Risikoabschätzungssystem, jeweils mit einer Mobilstation.

Eine Mobilstation umfasst ein mobiles Endgerät, und in der Regel zudem ein Teilnehmeridentitätsmodul (auch Secure Element SE genannt), das im Endgerät betreibbar ist, und mit dem das Endgerät in einem Mobilfunknetz be- treibbar ist. Das Teilnehmeridentitätsmodul oder Secure Element SE ist in vielen Mobilfunksystemen als entfernbare Teilnehmerkarte (Mikroprozessor-Chipkarte) gestaltet, z.B. als SIM-Karte, alternativ als fest implementiertes eUICC (embedded UICC; UICC = Universal Integrated Circuit Card). Unter einem mobilen Endgerät wird ein Gerät zum Nutzen eines Mobilfunksystems verstanden, z.B. ein Mobiltelefon, Smart Phone oder PDA (Personal Digital Assistant) mit Mobiltelefonfunktion.

Unter der Bezeichnung Trustzone (Marke der Firma ARM) Architektur ist eine zweigeteilte Lauf zeit- Architektur für ein Mikroprozessorsystem bekannt, die zwei Lauf Zeitumgebungen umfasst. Eine erste,„Normal Zone" oder„Normal World" genannte unsichere Laufzeitumgebung ist durch ein Normalbetriebssystem (z.B. Android, Windows Phone, iOS) gesteuert. Eine zweite,„Trustzone" oder„Trusted World" oder„Secure World" oder„Trus- ted Execution Environment TEE" genannte sichere oder vertrauenswürdige Lauf zeitumgebung ist durch ein Sicherheitsbetriebssystem gesteuert.

Durch das Teilnehmeridentitätsmodul, die normale Laufzeitumgebung und die sichere Laufzeitumgebung sind Sicherheitsressourcen der Mobilstation gebildet, die unterschiedliche Sicherheitsniveaus (Sicherheitslevels) bieten. Die normale Lauf zeitumgebung ist vergleichsweise unsicher, hat also ein geringes Sicherheitsniveau. Eine SIM-Karte hat ein vergleichsweise hohes Sicherheitsniveau, die sichere Laufzeitumgebung TEE ein mittleres.

Viele Nutzer von Applikation für Mobilstationen fordern, dass Applikatio- nen, die sie in ihrer Mobilstation nutzen, ein gewisses Sicherheitsniveau einhalten. Andernfalls wären sie evtl. nicht bereit, die Applikation in ihrer Mobilstation zu nutzen. Anbieter von Applikationen für Mobilstationen sind daher daran interessiert, ein definiertes Sicherheitsniveau Ihrer Applikation garantieren zu können. Das Sicherheitsniveau einer Applikation hängt aller- dings von den Sicherheitsressourcen der Mobilstation ab. Nur falls die Sicherheitsressourcen der Mobilstation einen gewissen Mindeststandard erfüllen, kann die Applikation eine ausreichende Sicherheit gewährleisten.

WO 2011/131365 AI beschreibt ein System und ein Verfahren zum nachträg- liehen Konfigurieren einer bereits in einem mobilen Endgerät befindlichen Applikation. Dabei hat ein zentraler Server Informationen über mögliche Sicherheitsressourcen (Endgeräte-Konfigurationen mit unterschiedlichen Laufzeitumgebungen und / oder Sicherheitselementen) von mobilen Endgeräten und über Sicherheitsniveaus (Sicherheitsstufen), die den Sicherheitsres- sourcen entsprechen. In Abhängigkeit von einem Sicherheitsniveau des Endgeräts, das der zentrale Server ermittelt hat, wählt der Server eine passende Applikations-Konfiguration aus und konfiguriert die bereits im Endgerät befindliche Applikation passend zum Sicherheitsniveau. Beim Server muss dabei nur eine einzige Applikationsvariante vorgehalten zu werden. Über die nachträgliche Konfiguration wird dennoch eine dem Sicherheitsniveau entsprechende Applikations-Konfiguration hergestellt.

Das System und Verfahren aus WO 2011/131365 AI setzen voraus, dass die Sicherheitsressourcen (Endgeräte-Konfiguration) eines Endgerät dem End- gerät selbst bekannt sind oder zumindest theoretisch bekannt sind. Nur so kann das Endgerät beim Server die passende Konfiguration anfordern.

Die Sicherheitsressourcen einer Mobilstation können sich allerdings ändern. Beispielsweise kann eine gesicherte Laufzeitumgebung hinzugefügt oder entfernt werden. Ebenso kann eine SIM-Karte entfernt werden. Dass die z.B. gemäß Modellnummer des Endgeräts vermuteten Sicherheitsressourcen mit den tatsächlichen Sicherheitsressourcen übereinstimmen, ist somit nicht gewährleistet.

Der Erfindung liegt die Aufgabe zu Grunde, eine Mobilstation zu schaffen, die in der Lage ist, ein definiertes Sicherheitsniveau zu gewährleisten. Insbesondere soll eine Mobilstation angegeben werden, mit der für in der Mobilstation implementierte oder zu implementierende Applikationen ein defi- niertes Applikations-Sicherheitsniveau gewährleistet werden kann. Weiter soll ein Applikationslade-System zum Laden einer Applikation in eine Mobilstation angegeben werden, bei dem für in die Mobilstation geladene Applikationen ein definiertes Applikations-Sicherheitsniveau gewährleistet werden kann.

Die Aufgabe wird gelöst durch eine Mobilstation nach Anspruch 1. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben. Die erfindungsgemäße Mobilstation gemäß dem unabhängigen Anspruch 1 umfasst ein mobiles Endgerät und umfasst Sicherheitsressourcen. Die Mobilstation ist gekennzeichnet durch ein in der Mobilstation implementiertes Ermittlungsmodul (oder Discovery-Modul), mit dem die Sicherheitsressourcen der Mobilstation ermittelbar sind, mindestens ein mittels der Sicherheits- ressourcen erzielbares Sicherheitsniveau der Mobilstation ableitbar ist und abgeleitete Sicherheitsniveaus der Mobilstation ausgebbar sind.

Das Ermittlungsmodul ermöglicht zu ermitteln, welche Sicherheitsressour- cen tatsächlich in der Mobilstation vorhanden sind. Insbesondere ermöglicht das Ermittlungsmodul zu erkennen, wenn Sicherheitsressourcen aus der Mobilstation entfernt worden sind oder zur Mobilstation hinzugefügt worden sind. Die vom Ermittlungsmodul ermittelten Sicherheitsressourcen entsprechen somit dem tatsächlichen aktuellen Sicherheitszustand der Mobilsta- tion. Ausgehend hiervon ist durch das Ermittlungsmodul ein tatsächliches aktuelles Sicherheitsniveau der Mobilstation ableitbar, unter Berücksichtigung von eventuell weggefallenen oder neu hinzugekommenen Sicherheitsressourcen. Da ein vom Ermittlungsmodul abgeleitetes und ausgegebenes Sicherheitsniveau stets aktuell ist, kann mit einer Mobilstation, die das Er- mittlungsmodul enthält, ein Sicherheitsniveau der Mobilstation nicht nur vermutet sondern tatsächlich gewährleistet werden.

Daher ist gemäß Anspruch 1 eine Mobilstation geschaffen, die in der Lage ist, ein definiertes Sicherheitsniveau zu gewährleisten.

Wahlweise sind als Sicherheitsressourcen ein oder mehrere der folgenden Sicherheitsmodule vorgesehen: eine normale Laufzeitumgebung des Endgeräts, insbesondere mit oder ohne kryptographische Funktionen; ein im Endgerät implementiertes virtuelles Teilnehmeridentitätsmodul; eine gesicherte Laufzeitumgebung des Endgeräts; ein in dem Endgerät betreibbares Teilnehmeridentitätsmodul, insbesondere entfernbares Teilnehmeridentitätsmodul (z.B. SIM-Karte oder USIM-Karte), festimplementiertes Teilnehmer iden- titätsmodul (z.B. eUICC), zertifiziertes entfernbares Teilnehmeridentitätsmodul, zertifiziertes festimplementiertes Teilnehmeridentitätsmodul; sichere Mikroprozessor-Speicherkarte, insbesondere Secure SD Karte oder/ und Secure Micro SD Karte.

Wahlweise ist durch das Ermittlungsmodul für jedes Sicherheitsmodul oder / und für jede Kombination von ein oder mehreren Sicherheitsmodulen der Mobilstation ein Sicherheitsniveau der Mobilstation ableitbar und ausgebbar. Wahlweise ist eine Mehrzahl zumindest mehrerer oder aller Sicherheitsniveaus mehrerer oder aller Sicherheitsressourcen/ Sicherheitsmodule der Mobilstation ausgebbar.

Wahlweise ist durch das Ermittlungsmodul zusammen mit dem Sicherheitsniveau diejenige Sicherheitsressource oder dasjenige Sicherheitsmodul mit ausgebbar, für die bzw. das das Sicherheitsniveau gilt. Wahlweise ist durch das Ermittlungsmodul eine Auflistung mehrerer oder aller Sicherheitsressourcen / Sicherheitsmodule zusammen mit den zugehörigen Sicherheitsniveaus ausgebbar, z.B. als Tabelle.

Gemäß einer Ausführungsform der Mobilstation ist das Ermittlungsmodul in eine Programmierschnittstelle, insbesondere in ein sogenanntes Application Programming Interface API, integriert, mittels welcher Ausgabeinformation in Bezug auf Sicherheitsniveaus der Mobilstation aus der Mobilstation ausgebbar ist oder/ und Steuerungsinformation zur Steuerung von Sicherheitsniveaus in die Mobilstation eingebbar ist.

Als Ausgabeinformation ist bzw. sind bei der Programmierschnittstelle wahlweise eines oder mehrere der folgenden ausgebbar: ein Sicherheitsniveau der Mobilstation; eine verfügbare Sicherheitsressource der Mobilstation; ein Sicherheitsniveau einer Sicherheitsressource; alle Sicherheitsniveaus aller Sicherheitsressourcen der Mobilstation; alle verfügbaren Sicherheitsressourcen der Mobilstation; das höchste verfügbare Sicherheitsniveau der Mobilstation; ein aktuell gesetztes Sicherheitsniveau der Mobilstation; Funktio- nalitäts-Information zu für ein oder jedes Sicherheitsniveau oder für eine oder jede Sicherheitsressource verfügbaren Funktionalitäten. Dabei hat in der Programmierschnittstelle das Ermittlungsmodul die Funktionalität, Sicherheitsressourcen und Sicherheitsniveaus zu ermitteln und auszugeben. Darüber hinausgehende Funktionalitäten, wie beispielsweise Funktionali- täts-Information bereitzustellen, werden durch andere Teile der Program- mierschnittstelle durchgeführt. Als gesetztes Sicherheitsniveau ist beispielsweise dasjenige Sicherheitsniveau vorgesehen, das die Mobilstation bei ihrem Betrieb (wahlweise mindestens oder genau) erfüllen muss. Aus dem gesetzten Sicherheitsniveau folgt beispielsweise, welche Sicherheitsressource (z.B. SIM Karte, oder TEE etc.) die Mobilstation bei ihrem Betrieb verwenden muss.

In Bezug auf Funktionalitäten der Mobilstation gilt - in der Regel - der Grundsatz, dass umso mehr Funktionalitäten der Mobilstation zur Verfügung stehen, je höher das Sicherheitsniveau ist. Je niedriger das Sicherheits- niveau der Mobilstation ist, umso weniger Funktionalitäten der Mobilstation stehen zur Verfügung (d.h. sind verwendbar, z.B. aktiviert). Beispielsweise ist eine Funktionalität der Mobilstation, mit der kryptographische Berechnungen durchführbar sind, deaktiviert, falls das ermittelte Sicherheitsniveau zu niedrig ist. Wird der Mobilstation eine neue Sicherheitsressource hinzuge- fügt, durch welche das Sicherheitsniveau der Mobilstation erhöht wird, wird das neue Sicherheitsniveau ermittelt und die Funktionalität, mit der kryptographische Berechnungen durchführbar sind, freigeschaltet oder aktiviert, ist also nachfolgend verwendbar. In dem Fall, dass als Sicherheitsniveaus Applikations-Sicherheitsniveaus abgeleitet und ausgegeben werden, ist insbesondere wahlweise auch die Funk- tionalitäts-Information auf eine Applikation bezogen. Beispielsweise ist als auf eine Applikation bezogene Funktionalitäts-Information Information vor- gesehen, welche Applikations-Funktionalitäten bei einem abgeleiteten Ap- plikations-Sicherheitsniveau zur Verfügung stehen, oder generell, welche Applikations-Funktionalität bei welchem abgeleiteten Applikations- Sicherheitsniveau zur Verfügung steht. Ein gesetztes Applikations- Sicherheitsniveau kann beispielsweise dadurch verwirklicht sein, dass eine Applikation in eine dem gesetzten Applikations-Sicherheitsniveau entsprechende Sicherheitsressource geladen werden muss. Wahlweise kann ein Mindest- Applikations-Sicherheitsniveau gesetzt sein, so dass eine Applikation in eine Sicherheitsressource geladen werden muss, die mindestens das Mindest- Applikations-Sicherheitsniveau erfüllt.

Wahlweise hat die Steuerungsinformation eines oder mehrere der folgenden zum Inhalt: Festlegen der Nutzung einer bestimmten Sicherheitsressource mit einem bestimmten Sicherheitsniveau; Festlegen der Nutzung derjenigen Sicherheitsressource, die das höchste Sicherheitsniveau hat. In dem Fall, dass als Sicherheitsniveau ein Applikations-Sicherheitsniveau vorgesehen ist, ist das Festlegen der Nutzung einer bestimmten Sicherheitsressource mit einem bestimmten Sicherheitsniveau beispielsweise dadurch verwirklicht, dass eine zu implementierende oder / und auszuführende Applikation in der Sicherheitsressource mit dem bestimmten Sicherheitsniveau implementiert oder /und ausgeführt wird. Das Festlegen der Nutzung der Sicherheitsressource mit dem höchsten Applikations-Sicherheitsniveau bedeutet beispielsweise, dass die Applikation in der Sicherheitsressource mit dem höchsten Sicherheitsniveau implementiert bzw. ausgeführt wird. Wahlweise ist das Ermittlungsmodul in derjenigen Sicherheitsressource der Mobilstation implementiert, die der Mobilstation das höchste Sicherheitsniveau liefert oder verleiht. Hierdurch wird sichergestellt, dass das Ermittlungsmodul vor Manipulationen geschützt ist. Manipulationen könnten bei- spielsweise darauf abzielen, nicht vorhandene Sicherheitsressourcen vorzutäuschen, daraus ein unzutreffend hohes Sicherheitsniveau fälschlich abzuleiten und einen unzulässig hohen Funktionsumfang der Mobilstation oder einer darauf implementierten Applikation zu aktivieren. Wahlweise ist das Ermittlungsmodul in einer fest in dem Endgerät implementierten Sicherheitsressource der Mobilstation implementiert, um ein Entfernen des Ermittlungsmoduls DIS aus der Mobilstation zu verhindern.

Falls die Mobilstation eine entfernbare SIM-Karte hat, kann die Vorgabe, das Ermittlungsmodul in einer festimplementierten Sicherheitsressource vorzusehen, mit der ebenfalls wünschenswerten Vorgabe kollidieren, dass das Ermittlungsmodul in der Sicherheitsressource implementiert ist, die das höchste Sicherheitsniveau liefert. Gemäß einer Option ist das Ermittlungsmodul in derjenigen festimplementierten Sicherheitsressource vorgesehen, die das höchste Sicherheitsniveau hat, z.B. in einem festimplementierten Teilnehmeridentitätsmodul (z.B. eUICC), alternativ in einer sicheren Laufzeitumgebung. Im Fall der sicheren Laufzeitumgebung werden zugunsten der Ortsfestigkeit des Ermittlungsmoduls Abstriche in Bezug auf die Angriffssicherheit im Kauf genommen. Gemäß einer anderen Option ist das Ermittlungsmodul in einem entfernbaren Teilnehmeridentitätsmodul (z.B. SIM-Karte) vorgesehen. Hierbei werden zugunsten der Angriffssicherheit Abstriche in Bezug auf das Verhindern des Entfernens des Ermittlungsmoduls gemacht. Wahlweise enthält die Mobilstation weiter Applikationsinformation über mindestens eine in der Mobilstation implementierte oder implementierbare Applikation. Dabei ist mit dem Ermittlungsmodul, als ein Sicherheitsniveau der Mobilstation, ein bei einem Betrieb der Applikation in der Mobilstation unter Verwendung der Sicherheitsressourcen erzielbares Applikations- Sicherheitsniveau ableitbar. Bei dieser Ausführungsform ist somit ein Sicherheitsniveau ableitbar und ausgebbar, das erzielt wird, wenn die Applikation auf der Mobilstation ausgeführt wird. Ermittelt wird also ein Sicherheitsniveau auf Applikationsebene. Zusätzlich oder alternativ kann ein Si- cherheitsniveau auf Geräte-Ebene ableitbar und ausgebbar sein, das unabhängig von der Ausführung einer Applikation auf der Mobilstation besteht. Von besonderer praktischer Bedeutung ist jedoch ein Sicherheitsniveau auf Applikations-Ebene, mit dem abschätzbar ist, wie sicher eine Mobilstation in Verbindung mit einer auf der Mobilstation laufenden Applikation ist.

Wahlweise hat die Mobilstation weiter ein mit dem Ermittlungsmodul gekoppeltes oder koppelbares Applikations-Steuerungsmodul, durch das, abhängig von dem für eine Applikation abgeleiteten Applikations-Sicherheits- niveau, die Ausführung der Applikation in einem dem Applikations- Sicherheitsniveau entsprechenden Funktionsumfang steuerbar ist. Das Steuern der Ausführung der Applikation umfasst dabei wahlweise, dass die Applikation im festgesetzten Funktionsumfang unmittelbar ausgeführt wird. Alternativ umfasst das Steuern der Ausführung, dass die Applikation im festgesetzten Funktionsumfang aktiviert wird, d.h. in Funktionsfähigkeit gesetzt wird, im festgesetzten Funktionsumfang ausgeführt zu werden, ohne dass die Applikation unmittelbar ausgeführt wird.

Wahlweise ist als Ausführung der Applikation in einem dem Sicherheitsniveau entsprechenden Funktionsumfang eines der folgenden vorgesehen, in einer Reihenfolge mit sinkendem Funktionsumfang: Ausführung der Applikation in erweitertem Funktionsumfang; Ausführung der Applikation in vollem Funktionsumfang; Ausführung der Applikation in eingeschränktem Funktionsumfang; Nichtausführung der Applikation. Dabei kann ein erwei- terter Funktionsumfang gegenüber dem vollen Funktionsumfang insbesondere durch solche Zusatz-Funktionalitäten oder Zusatzdienste erweitert sein, die von einer Kernfunktionalität der Applikation abweichen.

Eine Mobilstation mit einem Ermittlungsmodul, mit dem ein Sicherheitsni- veau auf Applikationsniveau ableitbar und ausgebbar ist, wird beispielsweise wie folgt betrieben.

In der Mobilstation ist eine Applikation implementiert. Die Applikation wird gerade nicht ausgeführt und soll zur Ausführung gebracht werden. Mit dem Ermittlungsmodul werden die aktuell gerade vorhandenen und in Betrieb befindlichen Sicherheitsressourcen der Mobilstation ermittelt, z.B. normale und/ oder sichere Laufzeitumgebung, SIM-Karte, eUICC, Secure (Micro) SD Karte etc. Dem Ermittlungsmodul wird Information bereitgestellt, welche Applikation in der Mobilstation betrieben werden soll. Ob dabei zuerst die Sicherheitsressourcen ermittelt werden oder zuerst die Information über die Applikation an das Ermittlungsmodul bereitgestellt wird, ist in der Regel gleichgültig. Anhand der ermittelten Sicherheitsressourcen wird ein Sicherheitsniveau der Applikation abgeleitet und ausgegeben. In Abhängigkeit vom abgeleiteten und ausgegebenen Sicherheitsniveau wird die Ausführung der Applikation in einem dem Sicherheitsniveau entsprechendem Funktionsumfang gesteuert, indem die Applikation entweder unmittelbar ausgeführt wird oder zumindest in einen ausführbaren Zustand versetzt wird (aktiviert wird), um später ausgeführt zu werden. Beispielsweise wird bei einem geringen ermittelten Sicherheitsniveau die Applikation gar nicht ausgeführt und bleibt deaktiviert, da das Sicherheitsrisiko auf Grund einer Applikationsausführung auf der Mobilstation als zu groß gesehen wird. So wird verhindert, dass mangelhafte Sicherheitsres- sourcen einer Mobilstation das Image einer an sich vertrauenswürdigen Applikation schädigen.

Gemäß einem weiteren Beispiel wird bei einem mittleren ermittelten Sicherheitsniveau die Applikation in einem eingeschränkten Funktionsumfang ausgeführt (bzw. in einem solchen Funktionsumfang aktiviert). Insbesondere können besonders sicherheitskritische Funktionalitäten der Applikation deaktiviert bleiben, und nur Funktionalitäten der Applikation, die gering oder höchstens mittel sicherheitskritisch sind, werden aktiviert, und sind somit ausführbar.

Gemäß einem weiteren Beispiel wird bei einem hohen ermittelten Sicherheitsniveau die Applikation in vollem Funktionsumfang ausgeführt oder aktiviert, d.h. ausführbar gemacht. Insbesondere werden auch besonders sicherheitskritische Funktionalitäten der Applikation aktiviert und sind so- mit ausführbar.

Eine Programmierschnittstelle mit einem Ermittlungsmodul, mit dem Ap- plikations-Sicherheitsniveaus ableitbar und ausgebbar sind, kann insbesondere dazu eingerichtet sein, folgende Funktionalitäten anzubieten, die nach- folgend in einer denkbaren Pseudo-Kommando-Sprache mit nachfolgender Beschreiben der Funktionalität angegeben sind:

getSecDevices(): Ermitteln aller in der Mobilstation verfügbaren Sicherheitsressourcen und Ableiten und Ausgeben des Applikations-Sicherheitsniveaus jeder ermittelten Sicherheitsressource; validateSecService(): Bereitstellen von Funktionalitäts-lnformation darüber, bei welchem Applikations-Sicherheitsniveau bzw. bei welcher Applikationsvariante welche Applikations-Funktionalitäten zur Verfügung stehen; oder alternativ oder zusätzlich: Ermitteln, welches Applikations- Sicherheitsniveau gewählt werden muss, damit eine gewünschte Applikations-Funktionalität zur Verfügung steht;

getHighestSecLevel(): Ableiten und Ausgeben des höchsten in der Mobilstation verfügbaren Sicherheitsniveaus;

selectSecLevel(): Festlegen eines Applikations-Sicherheitsniveaus für eine zu implementierende oder/und auszuführende Applikation, und hierdurch implizit Festlegen einer dem Applikations-Sicherheitsniveaus entsprechenden Sicherheitsressource, in welcher die Applikation implementiert bzw. ausgeführt wird;

getSelectedSecLevelQ: Ermitteln des aktuell gesetzten Applikations- Sicherheitsniveaüs, das in der Regel gesetzt wurde durch ein vorausgehendes selectSecLevel();

HighestSecLevel(): Festlegen des höchsten verfügbaren Applikations- Sicherheitsniveaus für eine zu implementierende oder/ und auszuführende Applikation, und hierdurch implizit Festlegen der dem höchsten Applikati- ons-Sicherheitsniveaus entsprechenden Sicherheitsressource, in welcher die Applikation implementiert bzw. ausgeführt wird.

Ein erfindungsgemäßes Applikationslade-System umfasst einen Applikations-Server und eine Mobilstation wie obenstehend angegeben. Dabei ist der Applikations-Server gekennzeichnet durch ein mit dem Ermittlungsmodul gekoppeltes oder koppelbares Applikations- Auswahlmodul, durch das, abhängig von dem für eine Applikation abgeleiteten Applikations- Sicherheitsniveau, eine Applikationsvariante mit einem dem Sicherheitsni- veau entsprechenden Funktionsumfang auswählbar und zum Herunterladen an die Mobilstation bereitstellbar ist.

Ähnlich wie weiter oben ein dem Sicherheitsniveau entsprechender Funkti- onsumfang einer bereits implementierten Applikation aktiviert wurde, wird hier zum Herunterladen auf die Mobilstation eine Applikationsvariante der Applikation bereitgestellt, die auf die Sicherheitsressourcen der Mobilstation abgestimmt ist. Bei einem hohen abgeleiteten und ausgegebenen Sicherheitsniveau wird beispielsweise eine Applikationsvariante mit hohem Funk- tionsumfang bereitgestellt. Bei einem niedrigen abgeleiteten und ausgegebenen Sicherheitsniveau wird beispielsweise eine Applikationsvariante mit niedrigem Funktionsumfang bereitgestellt. Der Funktionsumfang ist dabei wahlweise durch Vorhandensein oder Fehlen von Funktionskomponenten der Applikation in der jeweiligen Funktionsvariante festgelegt. Wahlweise ist der Funktionsumfang dadurch festgelegt, dass Funktionskomponenten aktiviert bzw. deaktiviert sind, entsprechend dem gewünschten Funktionsumfang.

Wahlweise umfasst die bereitstellbare Applikationsvariante: die Applikation mit dem dem Sicherheitsniveau entsprechenden Funktionsumfang oder /und zur Ergänzung der Applikation bestimmte Zusatzfunktionalitäten (Zusatzdienste) .

Bei einem Verfahren zum Herunterladen einer Applikationsvariante in eine Mobilstation wird das Applikations- Auswahlmodul des Applikations- Servers mit dem Ermittlungsmodul der Mobilstation gekoppelt. Insbesondere werden also die Mobilstation und der Applikations-Server miteinander gekoppelt, wahlweise über eine kontaktbehaftete Verbindung oder alternativ über eine kontaktlose Funkverbindung, insbesondere Mobilfunkverbindung oder andere Funkverbindung. Mit dem Ermittlungsmodul wird ein Applikations-Sicherheitsniveau ermittelt und ausgegeben. Dies kann wahlweise erfolgen, während die Mobilstation Verbindung zum Applikations-Server hat, oder an einem früheren Zeitpunkt. Das ermittelte und ausgegebene Applika- tions-Sicherheitsniveau wird an das Applikations- Auswahlmodul übermittelt. Abhängig vom Applikations-Sicherheitsniveau wird durch das Applikations- Auswahlmodul eine dem Applikations-Sicherheitsniveau entsprechende Applikationsvariante mit einem dem Applikations-Sicherheitsniveau entsprechenden Funktionsumfang ausgewählt und auf dem Applikations- Server zum Herunterladen an die Mobilstation bereitgestellt. Schließlich wird die bereitgestellte Applikationsvariante vom Applikations-Server auf die Mobilstation heruntergeladen.

Ein erfindungsgemäßes Risikoabschätzungs-System umfasst eine oder meh- rere Mobilstationen und einen Risiko-Server. In mindestens einer Mobilstation ist mindestens eine Applikation enthalten (implementiert). Der Applikations-Server ist gekennzeichnet durch ein mit dem Ermittlungsmodul gekoppeltes oder koppelbares Risiko- Abschätzungs-Modul, durch das, abhängig vom Applikations-Sicherheitsniveau der in der Mobilstation bzw. in den Mobilstationen enthaltenen Applikation bzw. Applikationen ein von der Mobilstation oder den mehreren Mobilstationen ausgehendes Risiko ableitbar ist. Wahlweise gehen in das Risiko weitere Parameter ein, z.B. Anzahl in Umlauf befindlicher Mobilstationen, Anzahl oder Anteil (z.B. Prozentsatz) der in Umlauf befindlichen Mobilstationen, in denen Applikationen mit zu geringem Sicherheitsniveau implementiert sind und dergleichen.

Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen: Fig. 1 eine Mobilstation mit Sicherheitsressourcen und einem Ermittlungsmodul, gemäß einer Ausführungsform der Erfindung;

Fig. 2 eine Zuordnungstabelle zwischen Sicherheitsressourcen und Sicherheitsniveaus, gemäß einer Ausführungsform der Erfindung;

Fig. 3 eine Zuordnungstabelle zwischen Sicherheitsressourcen, Applikati- ons-Sicherheitsniveaus, Funktionsumfängen und Applikationsvarianten, gemäß einer Ausführungsform der Erfindung;

Fig. 4 ein Aktivieren einer bereits implementierten Applikation, gemäß einer Ausführungsform der Erfindung;

Fig. 5 ein Auswählen und Herunterladen einer zu implementierenden Applikation, gemäß einer Ausführungsform der Erfindung;

Fig. 6 ein Auswählen und Herunterladen einer zu implementierenden Applikation, gemäß einer weiteren Ausführungsform der Erfindung. Fig. 1 zeigt eine Mobilstation. Die Mobilstation umfasst ein End gerät ME. Die Mobilstation umfasst weiter als Sicherheitsressourcen SR drei Sicherheitsmodule, nämlich erstens eine normale Laufzeitumgebung REE (Rieh Execution Environment), zweitens eine sichere Laufzeitumgebung TEE (Trusted Execution Environment) und drittens eine SIM Karte SIM. Weiter umfasst die Mobilstation ein Ermittlungsmodul DIS (Discovery Modul), gemäß einer Ausführungsform der Erfindung. Von den drei Sicherheitsmodulen, durch welche die Sicherheitsressourcen SR der Mobilstation gebildet sind, hat die SIM Karte das höchste Sicherheitsniveau, die sichere Laufzeitumgebung das zweithöchste und die normale Laufzeitumgebung das nied- rigste Sicherheitsniveau. Das Ermittlungsmodul DIS ist in der SIM Karte SIM der Mobilstation angeordnet (implementiert), die unter den Sicherheitsressourcen das höchste Sicherheitsniveau hat. Fig. 2 zeigt eine Zuordnungstabelle zwischen Sicherheitsressourcen SR und Sicherheitsniveaus SL einer Mobilstation, gemäß einer Ausführungsform der Erfindung. Das Sicherheitsniveau SL und somit die Sicherheit und Vertrauenswürdigkeit der Mobilstation steigt in der Tabelle von oben nach unten. Eine normale durch ein Normalbetriebssystem Rieh OS gesteuerte Lauf zeit- umgebung REE hat aus der Zuordnungstabelle das niedrigste Sicherheitsniveau LI - minimal. Ein in einem Endgerät ME implementiertes virtuelles Secure Element SE hat ein etwas höheres, geringes Sicherheitsniveau L2. Eine im Endgerät ME implementierte, durch ein Sicherheitsbetriebssystem Secure OS gesteuerte sichere Laufzeitumgebung hat ein mittleres Sicherheitsniveau L3. Eine SIM Karte hat ein gehobenes Sicherheitsniveau L4. Ein festimplementiertes embedded Secure Element eSE (z.B. eUICC) hat ein erhöhtes Sicherheitsniveau L5. Eine zertifizierte SIM Karte hat ein hohes Sicherheitsniveau L6, ein zertifiziertes embedded Secure Element eSE hat ein sehr hohes Sicherheitsniveau L7.

Fig. 3 zeigt eine Zuordnungstabelle zwischen Sicherheitsressourcen SR, Ap- plikations-Sicherheitsniveaus ASL bezogen auf eine für eine Mobilstation vorgesehene Applikation APP, Funktionsumfängen der Applikation und Applikationsvarianten der Applikation, gemäß einer Ausführungsform der Erfindung. Analog wie bei der Zuordnungstabelle aus Fig. 2 steigt bei der Zuordnungstabelle aus Fig. 3 das Applikations-Sicherheitsniveau von oben nach unten. Ebenso steigt der Funktionsumfang der Applikation von oben nach unten. Insbesondere kommen von oben nach unten zunehmend sicher- heitskritische Funktionalitäten zum Funktionsumfang hinzu.

Die Applikation APP ist dazu vorgesehen, in einer Mobilstation implementiert zu werden. Die Applikation APP hat die Möglichkeit, ein definiertes Sicherheitsniveau zu gewährleisten, sofern die Sicherheitsressourcen SR der Mobilstation dafür ausreichend sicher sind. Abhängig davon, in welche Sicherheitsressource (Sicherheitsmodul, Komponente) (z.B. Endgerät REE oder TEE oder SIM Karte) der Mobilstation die Applikation APP implementiert werden soll, werden unterschiedliche Applikationsvarianten bereitgestellt.

Die beiden niedrigsten Applikations-Sicherheitsniveaus LI, L2 und damit die Sicherheitsressourcen / Sicherheitsmodule normale Laufzeitumgebung REE und virtuelles SE werden als so unzureichend sicher eingestuft, dass der Applikation kein Funktionsumfang zugestanden wird. Folglich steht für eine normale Laufzeitumgebung und ein virtuelles Secure Element keine Applikationsvariante der Applikation zur Verfügung.

Für eine sichere Laufzeitumgebung TEE, gesteuert durch ein Sicherheitsbetriebssystem Secure OS, garantiert die Applikation ein mittleres Applikati- ons-Sicherheitsniveau L3, sofern die Applikation nur höchstens im Standard Funktionsumfang betrieben wird. Folglich wird zur Implementierung in eine sichere Laufzeitumgebung TEE einer Mobilstation die Applikationsvariante Standard bereitgestellt, die den Funktionsumfang Standard der Applikation APP abdeckt.

Eine SIM Karte liefert der Applikation APP ein gehobenes Applikations- Sicherheitsniveau L4. Folglich können im Funktionsumfang der Applikation APP für die SIM Karte, zusätzlich zum Funktionsumfang für eine sichere Laufzeitumgebung TEE, einige eher sicherheitskritische Funktionalitäten enthalten sein, entsprechend dem Funktionsumfang Medium, der größer ist als der Funktionsumfang Standard. Für die SIM Karte wird somit die Applikationsvariante Medium bereitgestellt. Für ein embedded Secure Element eSE, in dem die Applikation APP, wenn sie darin implementiert wird, ein Applikations-Sicherheits-Niveau L5 gewährleistet, wird die Applikationsvariante Advanced mit erhöhtem Funktionsumfang Advanced bereitgestellt.

Für eine zertifizierte SIM Karte wird die Applikationsvariante Plus bereitgestellt.

Für ein zertifiziertes embedded Secure Element eSE schließlich wird die Ap- plikations Variante Premium mit dem höchsten verfügbaren Funktionsumfang Premium bereitgestellt.

Premium ist dabei wahlweise der volle Funktionsumfang, wobei die Funktionsumfänge Standard, Medium, Advanced und Plus unterschiedlich stark eingeschränkte Funktionsumfänge sind.

Alternativ ist ein anderer Funktionsumfang, beispielsweise Medium, der „volle" Funktionsumfang. Bei dieser Alternative ist Standard ein eingeschränkter Funktionsumfang und sind Advanced, Plus und Premium um Zusatzdienste bzw. Zusatzfunktionalitäten erweiterte Funktionsumfänge.

Fig. 4 zeigt ein Aktivieren einer bereits in einer Mobilstation implementierten Applikation APP, die in einer sicheren Laufzeitumgebung TEE laufen soll, gemäß einer Ausführungsform der Erfindung. Die Mobilstation umfasst ein Endgerät ME, von dem angenommen wird, dass es eine gesicherte Laufzeitumgebung TEE hat. In der Mobilstation, vorzugsweise in einer SIM Karte oder einem embedded Secure Element eSE der Mobilstation (nicht dargestellt), ist ein Ermittlungsmodul DIS implementiert. Das Ermittlungsmodul DIS ermittelt, dass die Sicherheitsressource SR sichere Laufzeitumgebung TEE tatsächlich vorhanden ist, also z.B. nicht mittlerweile deinstalliert worden ist. Entsprechend wird der Mobilstation in Bezug auf die Applikation APP das Applikations-Sicherheitsniveau L3 gemäß Fig. 3 zugeordnet. Die Applikation APP wird somit mit einem Funktionsumfang Standard aktiviert.

Fig. 5 zeigt ein Auswählen und Herunterladen einer zu implementierenden Applikation APP, gemäß einer Ausführungsform der Erfindung. Die Applikation APP steht auf einem Applikations-Server SER bereit und soll in die SIM Karte SIM einer Mobilstation geladen werden, welche ein mobiles End- gerät ME und die SIM Karte urhfasst. In der SIM-Karte ist ein Ermittlungsmodul DIS implementiert. Mit dem Ermittlungsmodul DIS wird ermittelt, dass die Mobilstation als Sicherheitsressourcen SR die SIM Karte und die sichere Laufzeitumgebung TEE des Endgeräts ME hat. Insbesondere wird ermittelt, dass die SIM Karte tatsächlich vorhanden ist. Der Applikation APP wird mittels des Ermittlungsmoduls DIS der Mobilstation in Bezug auf die SIM Karte das Applikations-Sicherheitsniveau L4 gemäß der Zuordnungstabelle aus Fig. 3 zugeordnet. Das Applikations-Sicherheitsniveau L4 wird von der Mobilstation an den Applikations-Server SER übermittelt. Im Applikations-Server SER wird das übermittelte Applikations-Sicherheitsniveau L4 vom Applikations- Auswahlmodul SEL entgegengenommen, das die dem Applikations-Sicherheitsniveau L4 entsprechende Applikationsvariante Medium für die SIM Karte auswählt und an die Mobilstation sendet, zur Implementierung in der SIM Karte. Schließlich wird die Applikation APP in der Applikationsvariante Medium in der SIM Karte implementiert.

Fig. 6 zeigt ein zu Fig. 5 analoges Auswählen und Herunterladen einer zu implementierenden Applikation APP, gemäß einer weiteren Ausführungsform der Erfindung. Im Unterschied zu Fig. 5 wird in Fig. 6 eine Applikation für eine sichere Laufzeitumgebung TEE heruntergeladen. Das Ermittlungs- modul DIS ist in der SIM Karte implementiert (Sicherheitsressource SR, die das höchste Sicherheitsniveau liefert). Als Sicherheitsressourcen SR werden die SIM Karte und die sichere Laufzeitumgebung TEE ermittelt. Da die Applikation in die sichere Lauf zeitumgebung TEE geladen werden soll, ist das maßgebliche Applikations-Sicherheitsniveau ASL nun das der sicheren Laufzeitumgebung TEE, also L3. L3 wird vom Ermittlungsmodul DIS als maßgebliches Applikations-Sicherheitsniveau ASL ermittelt und an den Applikations-Server SER bereitgestellt. Das Applikations- Auswahlmodul SEL wählt die dem Applikations-Sicherheitsniveau L3 entsprechende Applikati- ons Variante Standard aus und sendet sie an die Mobilstation, zur Implementierung in der sicheren Lauf zeitumgebung TEE. Schließlich wird die Applikation APP in der Applikationsvariante Standard in der sicheren Laufzeitumgebung TEE implementiert. Bei den Ausführungsformen aus Fig. 5, 6 ist das Ermittlungsmodul DIS in der SIM-Karte implementiert, da diese das höchste Sicherheitsniveau liefert. Alternativ kann vorgesehen sein, dass das Ermittlungsmodul DIS stets in einer fest im Endgerät ME implementierten Sicherheitsressource implementiert ist, um ein Entfernen des Ermittlungsmoduls DIS aus der Mobilstation zu verhindern.