BESCHREIBUNG: Die Erfindung betrifft ein Kraftfahrzeug mit einer Diebstahlschutzeinrichtung, die dazu ausgelegt ist, von einem Funkschlüssel drahtlos Schlüsselidentifikationsdaten zu empfangen und für den Fall, dass die Schlüsselidentifikationsdaten gültig sind, einen Diebstahlschutz zu deaktivieren. Bei dem Diebstahlschutz handelt es sich insbesondere um eine Türverriegelung und/oder eine Wegfahrsperre. Zu der Erfindung gehören auch ein Verfahren zum Betreiben eines Kraftfahrzeugs und eine Serveranordnung für ein Carsharing-System. Unter einem Kraftfahrzeug wird hier insbesondere ein Kraftwagen, bevorzugt ein Personenkraftwagen, verstanden. Im Zusammenhang mit Carsharing-Systemen ist aus der Druckschrift US 2011/0112969 A1 bekannt, die Türverriegelung eines Kraftfahrzeugs, das über das Carsharing-System an einen Kunden vermietet werden soll, durch ein Funksignal zu entriegeln. Hierzu authentifiziert sich der Kunde mittels eines Smartphones bei einer Servereinrichtung des Carsharing-Systems, welche dann einen Freigabecode an das Smartphone überträgt. Den Freigabecode kann der Kunde mittels seines Smartphones an das Kraftfahrzeug übertragen, welches dann selbsttätig die Fahrzeugtüren entriegelt. In dem Kraftfahrzeug befindet sich dann der voll funktionsfähige Originalschlüssel, mit dem der Kunde das Kraftfahrzeug starten kann.

Nachteilig bei diesem Carsharing-System ist, dass bei Einbruch in das Fahrzeug dieses mit dem Schlüssel mehr oder weniger ungehindert genutzt werden kann. Aus dem Stand der Technik ebenfalls bekannt sind Kraftfahrzeuge mit elektronischen Wegfahrsperren, die über ein Geheimnis in einem Funkschlüssel aktiviert und deaktiviert werden können, so dass nur mit dem Funkschlüssel die Zugangs- und Startberechtigung erhalten werden kann. Bei dem Funkschlüssel handelt es sich in der Regel um einen Transponder, den ein Be- nutzer des Kraftfahrzeugs mit sich führen kann und der das„Geheimnis", also Schlüsselidentifikationsdaten, welche den Funkschlüssel identifizieren, auf ein Anforderungssignal einer Kommunikationseinheit des Kraftfahrzeugs hin an dieses zurücksendet. Eine Authentifizierungseinrichtung des Kraft- fahrzeugs überprüft dann, ob der Funkschlüssel in dem Kraftfahrzeug registriert ist, ob also die Schlüsselidentifikationsdaten zuvor in dem Kraftfahrzeug registriert worden sind. Ist dies der Fall, so wird die Wegfahrsperre deaktiviert. Der Erfindung liegt die Aufgabe zugrunde, Kraftfahrzeuge einer Carsharing- Flotte gegen eine unautorisierte Nutzung zu schützen.

Die Aufgabe wird durch ein Kraftfahrzeug gemäß Patentanspruch 1 , ein Verfahren gemäß Patentanspruch 9 und eine Serveranordnung gemäß Patent- anspruch 10 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind durch die Unteransprüche gegeben.

Das erfindungsgemäße Kraftfahrzeug weist in der an sich bekannten Weise eine Diebstahlschutzeinrichtung auf, die mittels eines Funkschlüssels deakti- viert werden kann. Es handelt sich bei dem Diebstahlschutz insbesondere um eine elektronische Türverriegelung und/oder eine elektronische Wegfahrsperre. Die Diebstahlschutzeinrichtung umfasst eine Kommunikationseinheit zum Empfangen von Schlüsselidentifikationsdaten eines Funkschlüssels über eine drahtlose Kommunikationsverbindung. Des Weiteren umfasst die Diebstahlschutzeinrichtung eine Authentifizierungseinrichtung zum Überprüfen, ob die Schlüsselidentifikationsdaten gültig sind. Diese Information ist in einem Speicherelement der Identifizierungseinheit gespeichert. Sind die Schlüsselidentifikationsdaten gültig, wird ein Diebstahlschutz der Diebstahlschutzeinrichtung deaktiviert, also z.B. eine Tür verriegelt und/oder eine Wegfahrsperre entsperrt.

Bei dem erfindungsgemäßen Kraftfahrzeug ist nun zusätzlich eine Empfangseinrichtung vorgesehen, die dazu ausgelegt ist, von einer externen Serveranordnung über eine drahtlose Kommunikationsverbindung ein Frei- gabesignal zu empfangen und in Abhängigkeit von dem empfangenen Freigabesignal den Speicherinhalt des erwähnten Speicherelements der Authen- tifizierungseinheit zu manipulieren. Indem die Serveranordnung nämlich das Freigabesignal an die Empfangseinrichtung des Kraftfahrzeugs sendet, wird durch diese in dem Speicherelement eine Gültigkeitsinformation gespeichert, durch welche die Schlüsselidentifikationsdaten als gültig markiert werden.

Die Erfindung weist den Vorteil auf, dass in dem erfindungsgemäßen Kraft- fahrzeug ein Funkschlüssel hinterlegt werden kann, der dennoch so lange funktionsuntüchtig ist, bis durch die Serveranordnung das Freigabesignal gesendet wird. Bis dahin ist der Funkschlüssel ungültig. Damit kann der Funkschlüssel gefahrlos in dem Kraftfahrzeug hinterlegt werden, da er selbst bei einem Einbruch nicht zum Starten des Kraftfahrzeugs benutzt werden kann.

Zu der Erfindung gehört auch die genannte Serveranordnung. Es handelt sich hierbei insbesondere um eine Anordnung aus einem oder mehreren Computern, die an das Internet angeschlossen sind und dazu ausgelegt ist, das Freigabesignal für den Funkschlüssel an das erfindungsgemäße Kraftfahrzeug zu senden. Die Serveranordnung ist hierbei des Weiteren dazu ausgelegt, das Freigabesignal nur dann auszusenden, wenn von einem mobilen Endgerät eines Kunden eines Carsharing-Systems korrekte Authentifi- zierungsdaten empfangen worden sind. Bei dem mobilen Endgerät kann es sich beispielsweise um ein Smartphone oder einen Tablet-PC handeln.

Zu der Erfindung gehört schließlich auch das erfindungsgemäße Verfahren, was die im Zusammenhang mit dem erfindungsgemäßen Kraftfahrzeug beschriebenen Verfahrensschritte umfasst, nämlich das Empfangen von Schlüsselidentifikationsdaten eines Funkschlüssels durch eine Kommunikationseinheit des Kraftfahrzeugs, Überprüfen einer in einem Speicherelement gespeicherten Information zur Gültigkeit der Schlüsselidentifikationsdaten durch eine Authentifizierungseinrichtung, das Deaktivieren des Diebstahlschutzes, falls durch die Authentifizierungseinrichtung erkannt wird, dass die Schlüsselidentifikationsdaten gültig sind und das Empfangen eines Freigabesignals von einer fahrzeugexternen Serveranordnung durch eine Empfangseinrichtung, um dann in Abhängigkeit von dem empfangenen Freigabesignal eine Gültigkeitsinformation in dem Speicherelement zu speichern, durch welche Schlüsselidentifikationsdaten als gültig gekennzeichnet wer- den.

Die Kommunikationsverbindung zwischen dem erfindungsgemäßen Kraftfahrzeug und der erfindungsgemäßen Serveranordnung wird insbesondere durch eine Mobilfunkverbindung bereitgestellt, also beispielsweise eine GSM-Verbindung, eine UMTS-Verbindung oder eine LTE-Verbindung. Es kann auch eine WLAN-Verbindung vorgesehen sein. Die Empfangseinrichtung des erfindungsgemäßen Kraftfahrzeugs ist dann entsprechend für den Empfang solcher Signale ausgelegt.

In Weiterbildung der Erfindung ist die Empfangseinrichtung des Kraftfahrzeugs auch dazu ausgelegt, von der Serveranordnung ein Türöffnungssignal zu empfangen und in Abhängigkeit von dem Türöffnungssignal zumindest eine Fahrzeugtür des Kraftfahrzeugs zu entriegeln. Dann lässt sich über die Serveranordnung sowohl der Zugang zum Kraftfahrzeug freigeben als auch der Funkschlüssel für die Nutzung aktivieren.

Bei der Information, die in dem Speicherelement zum Überprüfen der Gültigkeit der Schlüsselidentifikationsdaten gespeichert ist, kann es sich beispiels- weise einfach um eine Kopie der Schlüsselidentifikationsdaten handeln. Sind also die empfangenen Daten und die in dem Speicherelement gespeicherten Daten identisch, kann der Funkschlüssel als gültig akzeptiert werden. Bevorzugt ist aber vorgesehen, dass der Funkschlüssel bereits zuvor in dem Kraftfahrzeug registriert werden muss, so das die eigentlichen Schlüsselidentifika- tionsdaten durchgehend im Kraftfahrzug gespeichert sind. Dieser Prozess ist an sich aus dem Stand der Technik bekannt und wird auch als„Anlernen" eines Funkschlüssels bezeichnet. Nach dem Anlernen sind die Schlüsselidentifikationsdaten in der Authentifizierungseinheit in einem gesonderten Speicherbereich gespeichert und damit in dem Kraftfahrzeug registriert. Um nun den Funkschlüssel tatsächlich zu aktivieren, ist die Empfangseinrichtung dann dazu ausgelegt, in dem Speicherelement als Gültigkeitsinformation nur ein Gültigkeitsmerkmal zu dem registrierten Schlüsselidentifikationsdatensatz zu speichern. Ein solches Gültigkeitsmerkmal kann beispielsweise ein einzelnes Bit sein, welches im gesetzten Zustand die Gültigkeit und im gelösch- ten Zustand die Deaktivierung der Schlüsselidentifikationsdaten signalisiert. Diese Ausführungsform weist den Vorteil auf, dass die Serveranordnung nur das Gültigkeitsmerkmal über die Funkverbindung senden muss, nie aber die Schlüsselidentifikationsdaten selbst. Hierdurch wird das Carsharing-System sicher vor einem Abhörangriff. Die Gültigkeit wird aber bevorzugt durch ein Challenge-Response-Verfahren abgefragt, wie es an sich aus dem Stand der Technik bekannt ist. Das Bit für einen berechtigten oder unberechtigten Schlüssel ist dann bevorzugt nur im Steuergerät in einem sicheren Speicher „gesetzt". Challenge-Response deshalb, damit nicht jeder Beliebige den Schlüssel sperren und freischalten kann. Nachdem ein Kunde ein bestimmtes Kraftfahrzeug benutzt hat, sollte es wieder in einen diebstahlsicheren Zustand überführt werden können. Hierzu sieht eine Ausführungsform der Erfindung vor, dass die Empfangseinrichtung dazu ausgelegt ist, von der Serveranordnung ein Abmeldesignal zu empfangen und in Abhängigkeit von dem Abmeldesignal die Schlüsselidentifikationsdaten durch Speichern einer Ungültigkeitsinformation in dem Speicherelement als ungültig zu markieren. Beispielsweise kann also das Gültigkeitsmerkmal einfach wieder gelöscht werden. Dann kann in vorteilhafter Weise der Funkschlüssel nicht mehr in dem Kraftfahrzeug genutzt werden.

Eine Weiterbildung hierzu sieht vor, dass in Abhängigkeit von dem Abmeldesignal zunächst mittels einer Sensorik des Kraftfahrzeugs zumindest eine aus den folgenden Anforderungen überprüft wird: Der Funkschlüssel muss sich innerhalb des Kraftfahrzeugs befinden, das Kraftfahrzeug muss verriegelt sein, alle Fenster müssen geschlossen sein, ein eventuell vorhandenes Verdeck muss geschlossen sein, Geopositionsdaten müssen erfolgreich von dem Kraftfahrzeug zu der Serveranordnung übertragen worden sein. Letztere Bedingung stellt sicher, dass in der Serveranordnung Informationen über den aktuellen Aufenthaltsort des Kraftfahrzeugs bekannt sind. Die übrigen Bedingungen stellen sicher, dass das Kraftfahrzeug in einem gewünschten Ausgangszustand für die nächste Vermietung ist.

Um diese Anforderungen gegenüber einem Kunden durchzusetzen, der das Kraftfahrzeug verlassen will, sieht eine Ausführungsform der Erfindung vor, dass die Empfangseinrichtung dazu ausgelegt ist, das erfolgreiche Abmelden des Kraftfahrzeugs durch einen Kunden nur dann zuzulassen, falls alle überprüften Anforderungen auch erfüllt sind. Hierzu speichert die Empfangseinrichtung die Ungültigkeitsinformation zum Deaktivieren des Funkschlüssels nur dann in dem Speicherelement, falls alle überprüften Anforderungen erfüllt sind. Hierdurch ergibt sich der Vorteil, dass der Benutzer so lange mittels des Funkschlüssels alle Funktionalitäten des Kraftfahrzeugs nutzen kann, bis die Anforderungen sämtlich erfüllt sind. Beispielsweise kann er notfalls das Kraftfahrzeug umparken, damit die Geopositionsdaten erfolgreich übermittelt wer- den können.

Von der Erfindung sind auch Weiterbildungen des erfindungsgemäßen Verfahrens umfasst, welche Merkmale aufweisen, die bereits im Zusammenhang mit den Weiterbildungen des erfindungsgemäßen Kraftfahrzeugs be- schrieben wurden. Aus diesem Grund werden diese Weiterbildungen des erfindungsgemäßen Verfahrens hier nicht noch einmal erläutert.

Im Folgenden ist die Erfindung noch einmal genauer anhand eines konkreten Ausführungsbeispiels erläutert. In der einzigen Figur sind hierzu eine Ausführungsform des erfindungsgemäßen Kraftfahrzeugs und eine Ausführungsform der erfindungsgemäßen Serveranordnung gezeigt. Bei dem im Folgenden erläuterten Ausführungsbeispiel stellen die beschriebenen Komponenten der Ausführungsform und die beschriebenen Schritte des Verfahrens jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebe- nen Merkmale der Erfindung ergänzbar.

Bei dem Kraftfahrzeug kann es sich beispielsweise um einen Kraftwagen 10 handeln, insbesondere einen Personenkraftwagen. Die Serveranordnung kann beispielsweise ein Backend-Server oder kurz Server 12 sein, der mit dem Internet verbunden ist und direkt oder über das Internet mit einem Mobilfunknetz 14 verbunden ist, das beispielsweise ein GSM-Netz sein kann. Der Kraftwagen 10 gehört zur Flotte eines Carsharing-Systems eines Fahrzeugverleihers. Ein Kunde 16 möchte den Kraftwagen 10 mieten. Dazu hat sich der Kunde 16 bereits bei dem Verleiher ausgewiesen. In einer Daten- bank 18 des Verleihers können persönliche Daten des Kunden, eine Bestätigung einer erfolgreichen Führerscheinüberprüfung, Kontodaten, Scheckkartendaten und weitere Daten gespeichert sein. Der Kunde 16 hat ein Benutzerkonto bei dem Verleiher 18 erhalten und kann Fahrzeuge bei dem Verleiher buchen.

Der Kraftwagen 10 ist für den Verleih vorbereitet. Ein Fahrzeugschlüssel 20 liegt hierzu in dem Kraftwagen 10. Der Funkschlüssel 20 kann beispielsweise im Handschuhfach des Kraftwagens 10 liegen. Es handelt sich um einen Funkschlüssel. Der Funkschlüssel 20 kann beispielsweise im Handschuh- fach des Kraftwagens 10 liegen. Der Kraftwagen 10 ist verriegelt. In dem Kraftwagen 10 befindet sich eine Diebstahlschutzeinrichtung 22, welche die elektronische Wegfahrsperre umfassen kann, welche mittels des Funkschlüssels 20 deaktiviert werden kann. Die Diebstahlschutzeinrichtung 22 umfasst eine Kommunikationseinrichtung 24 und eine Authentifizierungsein- richtung 26. Die Authentifizierungseinrichtung 26 kann Bestandteil eines Steuergeräts des Kraftwagens 10 sein. Beispielsweise kann sie als ein Programmmodul für eine Prozessoreinrichtung des Steuergeräts bereitgestellt sein.

Die Kommunikationseinrichtung 24 kann eine Transpondereinheit zum Austauschen einer Schlüssel-ID 28 aufweisen. Anstelle eines Transponders kann die Kommunikationseinrichtung 24 auch andere, aus dem Bereich der Nahfeldkommunikation (NFC - Near Field Communication) bekannte Tech- nologien zum Austauschen der Schlüssel-ID 28 umfassen. Bei der Schlüs- sei-ID 28 handelt es sich um Schlüsselidentifikationsdaten, wie sie an sich im Zusammenhang mit Funkschlüsseln aus dem Stand der Technik bekannt sind. Die Authentifizierungseinrichtung 26 ist dazu ausgelegt, von der Kommunikationseinrichtung 24 die Schlüssel-ID 28 zu empfangen, falls die Kommunikationseinrichtung 24 diese Fahrzeug-ID 28 von dem Schlüssel 20 über eine Nahfeldkommunikationsverbindung 30 empfängt. Die Authentifizierungseinrichtung 26 ist dahingehend in an sich bekannter Weise ausgestaltet, dass durch einen üblicherweise als„Anlernen" bekannten Prozess eine Kopie 32 der Schlüssel-ID 28 in der Authentifizierungseinrichtung 26 gespei- chert ist. Der Funkschlüssel 20 ist hierdurch einmalig für den Kraftwagen 10 freigeschaltet worden. Anders als im Stand der Technik reicht es aber bei dem Kraftwagen 10 nicht aus, dass die von der Kommunikationseinrichtung 24 vom Funkschlüssel 20 empfangene Schlüssel-ID 28 mit der Kopie 32 übereinstimmt, damit die Authentifizierungseinrichtung 26 die Wegfahrsperre entsperrt. Bei der Authentifizierungseinrichtung 26 ist ein zusätzliches Speicherelement 34 bereitgestellt, in welchem zu der Kopie 32 eine Information gespeichert ist, ob die Kopie 32 und damit der Funkschlüssel 20 momentan gültig ist oder nicht. Wenn in dem Speicherelement 34 eine Ungültigkeitsinformation (hier als Kreuz dargestellt) gespeichert ist, ist der Funkschlüssel 20 ungültig, d.h. er wird von der Authentifizierungseinrichtung 26 nicht akzeptiert. Bei dem Speicherelement 34 kann es sich um einen Speicherbereich eines Speichers der Authentifizierungseinrichtung 26 handeln.

Der Kunde 16 meldet sich zum Mieten des Kraftwagens 10 bei der Daten- bank 18 an (Login) und löst eine Bestellung aus, durch welche er eine PIN 36 (Persönliche Identifikationsnummer) erhält. Der Kunde 16 kann dies beispielsweise mittels eines Smartphones 38 oder allgemein eines mobilen Endgerätes tun. Auf dem Smartphone 38 kann des Weiteren ein Nutzerprogramm (App - Applikation) installiert sein, über welches es dem Kunden 16 möglich ist, die PIN 36 einzugeben und hierdurch das Smartphone 38 zu veranlassen, ein Signal an den Server 12 zu senden, welcher daraufhin den Türentriegelungsbefehl 40 an den Kraftwagen 10 sendet. Der Kraftwagen 10 weist hierzu eine Empfangseinrichtung 42 auf, welche mit dem Mobilfunknetz 14 eine Mobilfunkverbindung 44 aufbauen kann. Die Empfangseinrichtung 42 kann neben einem Mobilfunkmodul selbst auch Bestandteile des Steuergeräts umfassen, durch welches auch die Authentifizierungseinrichtung 26 bereitgestellt ist. Insbesondere kann Bestandteil der Empfangseinrichtung 42 auch ein Softwaremodul sein, welches Zugriff auf das Speicherelement 34 hat.

Der Server 12 schickt den Türentriegelungs- und Freigabebefehl 40 über die Mobilfunkverbindung 44 zu der Empfangseinrichtung 42. Daraufhin sendet die Authentifizierungseinrichtung 26 bevorzugt eine Verifizierungsanfrage, die hier als Challenge 46 bezeichnet ist und bevorzugt aus einem (nicht dargestellten) kr ptografischen Schlüssel erzeugt wird, zu welchem in dem Server 12 ein kryptografischer Gegenschlüssel 48 gespeichert ist. Der Server 12 empfängt die Challenge 46 und erzeugt dann einen Antwortdatensatz mittels des Gegenschlüssels 48 und der Challenge 46. Der Antwortdatensatz wird vom Server 12 über die Mobilfunkverbindung 44 an die Authentifizierungseinrichtung 26 zurückgesendet. Durch den in der Authentifizierungseinrichtung 26 gespeicherten kryptografischen Schlüssel kann die Authentifizierungseinrichtung 26 ermitteln, wie der Antwortdatensatz aussehen müsste, wenn in dem Server 12 der richtige Gegenschlüssel 48 gespeichert ist. Stimmt der Antwortdatensatz mit dem erwarteten, aus dem Schlüssel berechnete Antwortdatensatz überein, wird die Zentralverriegelung des Kraftwagens 10 entriegelt und der im Kraftwagen 10 befindliche Funkschlüssel 20 auf berechtigt gesetzt, indem die Empfangseinrichtung 42 eine Gültigkeitsinformation 52 in dem Speicherelement 34 abspeichert (hier durch ein Häkchen symbolisiert). Hierdurch wird der Funkschlüssel 20 als gültig markiert. Bevor dies durch die Authentifizierungseinrichtung 26 zugelassen wird, kann ebenfalls eine weitere Challenge 46 an den Server 12 geschickt werden, und das Speichern der Gültigkeitsinformation 52 in dem Speicherelement 34 kann nur dann durch die Authentifizierungseinrichtung zugelassen werden, wenn der Server 12 auch zu der zweiten Challenge 46 die richtigen Antwortdaten sendet.

Indem die Gültigkeitsinformation 42 in dem Speicherelement 34 gespeichert ist, akzeptiert nun die Authentifizierungseinrichtung 26 die Schlüssel-ID 28, wenn diese mittels des Funkschlüssels 20 an die Diebstahlschutzeinrichtung 32 gesendet wird. Deshalb kann nun der Kunde 16 mittels des Funkschlüssels 20 unabhängig von einer weiteren Mobilfunkverbindung 44 den Kraftwagen 10 mit dem Funkschlüssel 20 nutzen. Der Funkschlüssel 20 ist so lange berechtigt, bis der Kunde 16 ein Fahrzeug wieder abmeldet. Bis dahin kann sich der Kunde auch in Regionen mit dem Kraftwagen 10 aufhalten, die keine Funkabdeckung durch das Mobilfunknetz 14 aufweisen.

Bei der Abmeldung des Kunden, wenn dieser den Kraftwagen 10 zurückgeben möchte, muss der Kraftwagen 10 wieder über das Mobilfunknetz 14 er- reichbar sein. Der Kunde 16 kann sich beispielsweise mittels seines mobilen Endgeräts 38 bei dem Server 12 abmelden. Der Server 12 fordert dann von einer (nicht dargestellten) Überprüfungseinheit des Kraftwagens 10 den aktuellen Fahrzeugzustand des Kraftwagens 10 an. Über eine an sich bekannte Schlüsselortung kann z.B. überprüft werden, ob der Funkschlüssel 20 wieder am vorgesehenen Ort, beispielsweise im Handschuhfach, liegt. Des Weiteren kann überprüft werden, ob der Kraftwagen 10 verriegelt ist, alle Fenster geschlossen sind und das Schiebedach zu ist. Des Weiteren kann beispielsweise über einen GPS-Empfänger des Kraftwagens 10 die aktuelle Position des Kraftwagens 10 ermittelt werden und im Server 12 gespeichert werden. Falls ein Punkt nicht erfüllt ist, wird der Kunde 16 aufgefordert, diesen Punkt zu erfüllen. Beispielsweise kann eine Ansage erfolgen:„Schließen Sie bitte noch das hintere linke Fenster" oder der Kunde 16 kann über eine alternative Funkverbindung zum mobilen Endgerät 38 aufgefordert werden, dass der Kraftwagen 10 nicht erreicht werden kann und er deshalb den Kraftwagen 10 an einem anderen Ort parken soll, an welchem die Mobilfunkverbindung 44 aufgebaut werden kann.

Nach positiver Überprüfung durch den Server 12 wird ein absicherte Abmeldebefehl 54 durch den Server 12 über die Mobilfunkverbindung 44 an den Kraftwagen 10 gesendet, der wieder durch ein Challenge-Response- Verfahren abgesichert sein kann. Durch den Abmeldebefehl 54 wird die Empfangseinrichtung 42 dazu veranlasst, eine Ungültigkeitsinformation 56 an die Authentifizierungseinrichtung 26 zu übermitteln und dort in dem Speicherelement 34 zu speichern. Hierdurch ist der Funkschlüssel 20 in dem Kraftwagen 10 wieder ungültig. Der Kunde erhält eine Bestätigung der Abmeldung und eine Quittung des abgebuchten Geldbetrages.

Durch das Beispiel ist gezeigt, wie bei einem Carsharing-System die Kraftwagen gegen Diebstahl gesichert werden können, indem die Funkschlüssel zwar in dem Kraftwagen hinterlegt, dort aber auch deaktiviert werden können, so dass sie nutzlos sind. Es kann vorgesehen sein, die Gültigkeit eines Funkschlüssels zeitlich zu begrenzen. Mit anderen Worten wird dann die Gültigkeitsinformation 52 automatisch aus dem Speicherelement 34 ge- löscht, wenn eine vorbestimmte Zeitdauer seit dem Abspeichern der Gültigkeitsinformation 52 vergangen ist. Dies kann durch die Authentifizierungsein- richtung 26 selbständig erfolgen. Es kann auch vorgesehen sein, dass der Server 12 die SIM-Kartennummer 58 eines mobilen Endgeräts 38 des Kunden 16 vom Carsharer/Verleiher, also beispielsweise von der Datenbank 28, empfängt, wo die SIM-Kartennummer 58 zusammen mit den übrigen Kundendaten hinterlegt sein kann. Die SIM-Kartennummer 58 wird dann auch durch das mobile Endgerät 38 zusammen mit der PIN 36 an den Server 12 übertragen. Dann ist eine Prüfung sowohl der PIN als auch der SIM- Kartennummer 58 möglich.