Die Erfindung betrifft ein System und ein zugehöriges

Verfahren zur Übergabe von Fahrzeug-Zugriffsrechten.

Insbesondere betrifft die Erfindung ein System und Verfahren, um die vollständige Kontrolle über die Zugriffsrechte auf ein

Fahrzeug, von einer Person auf eine andere Person zu übertragen, insbesondere, um einen Eigentumsübergang oder dauerhaften

Besitzerwechsel zu vollziehen.

Bei Fahrzeugen wird eine Übergabe des Fahrzeuges von einem berechtigten Besitzer oder Eigentümer an einen neuen

berechtigten Besitzer oder Eigentümer bislang durch

entsprechende Dokumente oder Registrierungen vollzogen. Meist wird dabei ein Autorisierungsmittel zum Zugang und zur Kontrolle über das Fahrzeug übergeben. Bei Fahrzeugen, welche einen physischen Schlüssel, beispielsweise einen mechanischen

Schlüssel oder einen Funkschlüssel, aufweisen, werden diese Schlüssel vom bisherigen Besitzer oder Händler an den neuen Besitzer vollzählig übergeben. Damit kann der neue Besitzer oder Eigentümer sicher sein, dass ausschließlich er die vollständige Kontrolle über das Fahrzeug und einen Zugang zum Fahrzeug hat.

Bei Fahrzeugen neuerer Generation werden die Zugangsmittel jedoch zunehmend körperlos (virtuelle Schlüssel). Dies bedeutet, dass die Zugangskontrolle durch einen Datenaustausch mit dem Fahrzeug erfolgt, so dass die entsprechenden

Zugangsinformationen, welche an ein Fahrzeug übermittelt werden und Zugang zu erhalten, selbst als nicht-physische Schlüssel zu bezeichnen sind. Beispielsweise können entsprechende

Zugangsinformationen auf Mobiltelefonen oder mobilen Computern gespeichert sein und über drahtlose Funkverbindungen,

beispielsweise per Funk mit kurzer Reichweite an ein Fahrzeug übermittelt werden, um einen Zugang zum Fahrzeug zu erhalten. Entsprechende Systeme sind im Bereich des Car-Sharing bekannt, werden jedoch auch zunehmend bei Fahrzeugen mit Dauerbenutzung übernommen. Da die Zugangsinformationen als körperlose Daten vorliegen, kann z.B. ein Smartphone mit der Zusatzfunktion eines Fahrzeugschlüssels ausgestattet werden. Die Verwaltung solcher Zugangsinformationen erlaubt weitreichende Rechtehierarchien, z.B. die Rechtevergabe des Fahrzeugbesitzers an

Familienmitglieder, wobei jedes Familienmitglied eine eigene Schlüsselkopie mit zugeordneten, individuellen Rechten erhält. Beispiele für Zugangssysteme mit virtuellen Schlüssel sind z.B. aus der EP 2606621A1 oder auch der DE 102009035654A1 bekannt.

Da körperlose, speicherbare Dateninformationen grundsätzlich ohne Qualitätsverlust kopierbar sind und ein Rechteinhaber grundsätzlich auch gemäß einer hierarchischen Rechtevergabe Unterrechte vergeben kann, stellt sich bei der Übernahme eines Fahrzeuges ein Problem. Ein zukünftiger Eigentümer, der ein Fahrzeug übernimmt, kann sich nicht sicher sein, dass er

tatsächlich über sämtliche Zugangsberechtigungen in Kenntnis gesetzt wird und dass diese bestehenden Rechte tatsächlich bei Fahrzeugübergabe unwirksam gemacht werden. Während er bei einer Schlüsselübergabe von physischen Schlüsseln deren

Vollständigkeit kontrollieren kann, und eine Vervielfältigung dieser physischen Schlüssel nur schwer möglich ist, ist dies bei körperlosen Zugangsmitteln nämlich nicht der Fall.

Aufgabe der Erfindung ist es daher, einen Fahrzeugübergang mit zugehöriger Rechteübergabe sicherer und transparenter zu gestalten, wobei die Fahrzeuge vor unzulässigem Zugriff

geschützt werden.

Diese Aufgabe wird gelöst durch ein System mit den Merkmalen des Patentanspruchs 1 sowie ein Verfahren mit den Merkmalen des Patentanspruches 8.

Bei Fahrzeugen mit digitalen Berechtigungssystemen und

Zugangsmöglichkeiten über körperlose, nicht physische Schlüssel, ist meist der Besitzer eines Fahrzeuges auch derjenige, der die Benutzungsrechte am Fahrzeug zuteilt, beschränkt oder entzieht. Ein solcher Berechtigter wird üblicherweise in einem zentralen Serversystem eingerichtet, welches fahrzeugbezogene

Berechtigungsinformationen speichert und wobei die Fahrzeuge in Kontakt mit einem solchen Serversystem zum Datenaustausch treten können. Der Benutzer kann mit seiner Berechtigung Stellvertreteridentitäten im System einrichten, die ebenfalls über Berechtigungen zum Fahrzeug verfügen und ggf. selbst eigene, hierarchisch nachgeordnete Rechte am Fahrzeug vergeben können. Das Fahrzeug selbst kann grundsätzlich eigene Kopien der Berechtigungsinformationen speichern und vorhalten. Ein

Datenaustausch zwischen einem Fahrzeug und einem zentralen

Server, z.B. eine Aktualisierung von Berechtigungsinformationen, kann ggf. durch Nutzung von entsprechenden Softwarezertifikaten gesichert sein.

Wesentlich ist, dass im Fahrzeug Berechtigungsinformationen gespeichert sind, welche die Prüfung einer Zugangsberechtigung erlauben. Diese Berechtigungsinformationen können regelmäßig mit einer zentralen Stelle, dem Server, synchronisiert werden. Auch vom Fahrzeug aus können lokal vorgenommene Änderungen auf das zentrale System überspielt werden, so dass

Berechtigungsinformationen lokal und im entfernten System synchronisiert vorliegen. Während die Kontrolle der Rechte in dem zentralen System durch geeignete Nutzerschnittsteilen erfolgt, z.B. über Internetbasierte Zugänge oder mobile

Applikationen, erfolgt eine Fahrzeugübergabe gemäß der Erfindung jedoch unmittelbar am Fahrzeug.

Nach der Übernahme eines Fahrzeuges muss der neue Besitzer oder Eigentümer Gewissheit haben, dass die vom vorherigen

Besitzer oder Eigentümer eingerichteten digitalen Berechtigungen gelöscht oder unwirksam gemacht wurden. Außerdem muss

sichergestellt werden, dass der bisherige Fahrzeugbesitzer oder Eigentümer und auch dessen gegebenenfalls vorhandenen

Stellvertreter nicht mehr in der Lage sind, an Berechtigungen Veränderungen vorzunehmen.

Eine solche klare Übergangsdefinition ist außerdem wichtig, um die Versicherungspflicht und Verantwortlichkeit jederzeit lückenlos klarstellen zu können. Es muss dem neuen Besitzer möglich sein, die vollständige Kontrolle über das Fahrzeug unmittelbar zu erhalten und die Kontrolle der vorherigen

Benutzer und Besitzer vollständig zu unterbinden.

Gemäß der Erfindung wird für den Fahrzeugübergang von einem alten Besitzer auf einen neuen Besitzer ein physischer, also körperlicher Owner-Token verwendet. Unter dem Begriff „Token" ist im Rahmen dieser Anmeldung allgemein ein

Identifizierungsmittel mit Speichermitteln und gespeicherten Schlüsselinformationen zu verstehen. Ein solches Token weist eine Schnittstelle zur Kopplung mit dem Fahrzeug und dessen

Steuersystem auf. Eine derartige Schnittstelle kann insbesondere eine drahtlose Schnittstelle sein, es kann sich jedoch auch um eine proprietäre oder standardisierte Schnittstelle mit einer galvanischen Kopplung über metallische Kontakte handeln.

Gemäß der Erfindung nimmt dieses physische Token eine

Funktion ein, welche den Schlüsselübergang von körperlichen Schlüsseln oder auch einen Dokumentenübergang ergänzt oder ersetzt. Das Fahrzeug kann anhand der im Token gespeicherten Schlüsselinformationen in einen Zustand versetzt werden, in welchem eine vollständige Rechtelöschung oder Rechteveränderung mit höchsten Zugriffsrechten möglich ist. Das Fahrzeug

akzeptiert dieses Token also als Autorität zur umfassenden

Speicherung, Löschung oder Veränderung von

Berechtigungsinformationen auf das Fahrzeug. Dazu sind in dem Token Schlüsselinformationen als Daten gespeichert, die in dem Steuersystem des Fahrzeuges die Freigabe auf diese

Berechtigungsinformationen erlauben .

Fahrzeugseitig und Token-seitig werden diese Daten, ähnlich einem bisherigen physischen Schlüssel, bei Herstellung des Fahrzeuges einander zugeordnet. Dazu wird die sichere Umgebung des Fahrzeugherstellers genutzt, um die Informationen auf dem Token zu speichern und in dem Fahrzeug zugeordnete Informationen zu speichern. Insbesondere können dazu verschlüsselte und vom Hersteller zertifizierte Daten gespeichert werden. Dann kann fahrzeugseitig später die Integrität der Daten aus dem Token überprüft werden. Außerdem können die Daten auf dem Token derart verschlüsselt werden, dass sie nur im zugeordneten Fahrzeug entschlüsselt werden können.

Nur der Hersteller des Fahrzeugs hat die Möglichkeit, die Schlüsselinformationen, welche einem spezifischen Fahrzeug zugeordnet sind, zu erstellen. Während das Token für den üblichen Benutzungsbetrieb und Fahrbetrieb nicht erforderlich ist, sondern vom Besitzer oder Eigentümer sicher verwahrt werden kann, ist es bei Kopplung mit dem Fahrzeug das Zugangsmittel zum vollständigen Zugriff auf die Benutzungsrechte des Fahrzeuges. Die Übergabe des Tokens von einem bisherigen Benutzer auf einen neuen Benutzer ermöglicht den sicheren und vollständigen Rechtsübergang.

In welcher Weise dieser Rechtsübergang vollzogen wird, ist in vielfältiger Gestaltung möglich. Beispielsweise ist es möglich, bei der Übergabe des Fahrzeuges vom alten Benutzer eine Kopplung des Tokens mit dem Fahrzeug durchführen zu lassen, woraufhin das Fahrzeug die Schlüsselinformationen des Tokens ausliest, verifiziert und im Erfolgsfall eine vom bisherigen Besitzer individuell vergebene Identifikation abfragt, ggf. auch biometrische Informationen. Diese können im Token gespeichert sein, und zum Abgleich vom Fahrzeug ausgelesen werden. Ist auch diese Autorisierung erfolgreich, ist der neue Besitzer des

Fahrzeuges aufgefordert, seinerseits

Identifikationsinformationen, z. B. eine Identifikationskennung (PIN) oder biometrische Daten im Fahrzeug abzuspeichern. Ist dies erfolgreich, werden sämtliche bisherigen

Berechtigungsinformationen im Speicher des Fahrzeugs gelöscht und der neue Besitzer wird als allein Berechtigter im Fahrzeug gespeichert .

Ist das Fahrzeug in eine zentrale Rechtverwaltung mit einem entfernten Server eingebunden, werden diese

Berechtigungsinformationen vom Fahrzeug an den zentralen Server zur Rechteverwaltung übermittelt. Dabei kann eine

Schlüsselinformation aus dem Token zusammen mit den Rechten an den Server gesendet werden, so dass der zentrale Server die Berechtigung verifizieren kann. Wesentlich ist, dass bei

Verwendung des Tokens am Fahrzeug unmittelbar sichtbar ist, dass es sich um das zum Fahrzeug gehörige Token handelt und die bisherigen Benutzungsrechte dauerhaft zu löschen sind. Diese Rechteänderung wird im Falle eines zentral verwalteten Systems vom Fahrzeug mit hohen Privilegien an den Server übermittelt, so dass dort gespeicherte Berechtigungsinformationen überschrieben werden. Außerdem nimmt das Fahrzeug danach vom Server keine Rechteveränderungen mehr an, die auf einen Zeitpunkt vor der Übertragung datieren.

Der neue Besitzer übernimmt dann das Token und kann im

Weiteren über die üblichen körperlosen Zugriffsmittel auf das Fahrzeug zugreifen. Wesentlich ist, dass bei Fahrzeugübergabe vom alten an den neuen Benutzer die Übergabe und Änderung sämtlicher Berechtigungsinformationen in Anwesenheit des Tokens am Fahrzeug stattfindet und in diesem Falle das Fahrzeug durch das Token in die Lage versetzt wird, die Benutzungsrechte grundlegend zu ändern. Dies ist vorteilhaft gegenüber Systemen, bei denen eine neue zentrale Registrierung durchgeführt werden muss, da ein Fahrzeugübergang beim Verkauf oder einer Schenkung mit Hilfe des Tokens durch die beteiligten Parteien autonom durchzuführen ist.

Eine Neuerstellung des Tokens ist im Falle des Verlustes erforderlich. Dann muss ein Eigentümer des Fahrzeuges die

Neuerstellung des Tokens beim Hersteller anfordern. Dieser kann anhand der in der sicheren Umgebung des Herstellers

gespeicherten Information zu dem Fahrzeug einen diesem Fahrzeug zugeordnetes Token herstellen. Bei zentral verwalteten Systemen ist es bei dem Verlust des Tokens ggf. möglich, eine Sperrung oder Löschung des Tokens am Fahrzeug zu veranlassen. Dies kann z.B. über Personal eines autorisierten Vertriebspartners

erfolgen. Diese können über die Rechte verfügen, im Fahrzeug ein bisheriges Token zu sperren. Bis ein neues Token in der sicheren Umgebung des Fahrzeugherstellers erstellt wurde, ist dann keine Nutzung eines Tokens am Fahrzeug möglich.

Welcher Art die Informationen sind, die auf dem Token gespeichert sind, ist grundsätzlich beliebig. Allerdings hat es sich bewährt, robuste und bekannte Verschlüsselungssysteme, insbesondere asymmetrische Verschlüsselungssysteme zu verwenden. In diesem Fall kann beispielsweise im Fahrzeug ein öffentlicher Schlüssel eines Schlüsselpaares gespeichert sein und das Token trägt einen entsprechenden privaten Schlüssel. Bei Kopplung des Token mit dem Fahrzeug wird fahrzeugseitig geprüft, ob eine passende Schlüsselkombination vorliegt. Dies kann z.B. erfolgen, indem vom Token eine mit dem privaten Schlüssel codierte

Information an das Fahrzeug gesendet wird und dort decodiert wird. Es ist zu beachten, dass hierbei durchaus sehr sichere Schlüssel großer Schlüssellänge verwendet werden können, da der Vorgang bei Fahrzeugübergabe stattfindet und nicht im

regelmäßigen Betrieb des Fahrzeuges. Es ist also für einen

Benutzer regelmäßig akzeptabel, dass eine entsprechende

Codierung oder Decodierung einige Sekunden oder sogar Minuten in Anspruch nehmen könnte, wenn dadurch eine große Sicherheit gewährleistet ist.

Die Kopplung zwischen dem Token und dem Fahrzeug kann über eine herkömmliche Schnittstelle, z. B. USB-Schnittstelle

stattfinden, es kann stattdessen aber auch ein

batteriebetriebenes System im Token eingesetzt werden, welches zu einer Bluetooth-Kommunikation oder einer drahtlosen

Netzwerkverbindung anderer Art fähig ist. Auch eine passive Kommunikation, beispielsweise über einen NFC-Chip oder einer sonstigen Transponderlösung kann als Datenträgertoken eingesetzt werden. Schließlich ist es ebenfalls möglich, für den

Kommunikationsaufbau ein Kommunikationsgerät zu verwenden, mit welchem das Token gekoppelt wird. Beispielsweise kann das Token als drahtloser NFC-Chip mit einem Mobiltelefon mit NFC- Schnittstelle gekoppelt werden, wobei das Mobiltelefon dann seinerseits eine Kommunikation (z.B. über Bluetooth oder WiFi) mit dem Fahrzeugsystem aufbauen kann und als Vermittler dient. Eine Bedienung des Systems kann dann z. B. über das Mobiltelefon oder über eine Benutzerschnittstelle am Fahrzeug, beispielsweise einem Touchscreen erfolgen.

Gemäß der Erfindung ist es wesentlich, einen physischen Datenträger als physisches (körperliches) Token einzusetzen, welches Schlüsselinformationen speichert, die zur vollständigen Auslöschung oder Änderung von Berechtigungsdaten am Fahrzeug legitimieren. Dieses Token muss mit dem Fahrzeugsystem koppelbar sein, entweder unmittelbar oder mit Hilfe einer

Kopplungseinrichtung. Die vollständige Kontrolle über die im Fahrzeug gespeicherten Berechtigungsdaten hat dann derjenige Benutzer, welcher das Token besitzt. Auf diese Weise wird dieselbe Sicherheit zur Verfügung gestellt, wie es sie bei den bisherigen physischen Schlüsseln gab.

In einer bevorzugten Ausführungsform der Erfindung ist fahrzeugseitig oder im Token eine Identifikationskennung

gespeichert, welche mit dem Owner-Token verknüpft ist. Um die Benutzungsrechte im Fahrzeug zu löschen oder zu ändern, ist es erforderlich, dass jederzeit eine entsprechende

Identifikationskennung hinterlegt ist. Ein Besitzer eines

Fahrzeuges muss also bei Fahrzeugübernahme eine eigene,

individuelle Identifikationskennung, beispielsweise in Gestalt einer PIN oder einer biometrischen Information hinterlegen. Dies stellt sicher, dass eine Rechtelöschung selbst in Anwesenheit des Tokens nur möglich ist, wenn der legitime bisherige Inhaber den Rechtübergang durch Eingabe der Identifikationskennung freigibt. Wie oben beschrieben, würden bei Eigentumsübergang des Fahrzeuges beispielsweise alter und neuer Eigentümer jeweils gemeinsam die Rechtelöschung und Rechteneueinrichtung in

Gegenwart des mit dem Fahrzeug gekoppelten Tokens vollziehen. Der alte Benutzer würde den Token mit dem Fahrzeug koppeln und seine zugehörige, ursprünglich gespeicherte

Identifikationskennung eingeben, beispielsweise über einen PIN- Code oder über einen biometrischen Fingerabdruck oder eine

Gesichtserkennung. Der neue Besitzer sorgt dafür, dass daraufhin eine neue Identifikationskennung eingegeben wird, die vom

Fahrzeug gespeichert wird. Ist dies geschehen, werden die alte Kennung sowie alle alte Nutzungsrechte gelöscht und es ist ausschließlich der neue Besitzer in Kombination mit dem

übergebenen Token in der Lage, seinerseits einen Übergang des Fahrzeuges auf eine weitere Person zu legitimieren.

In einer bevorzugten Ausführungsform wird die

Datenverbindung des Tokens mit dem Fahrzeugsystem als

verschlüsselte Datenverbindung aufgebaut. Zur Verschlüsselung können Zertifikate und Schlüssel eingesetzt werden, die bei Herstellung des Fahrzeuges fahrzeugseitig und tokenseitig gespeichert wurden.

Es ist bevorzugt, wenn das Token über einen sogenannten sicheren Speicher verfügt, so dass die Kontrolle über das Token allein kein einfaches Auslesen der gespeicherten Daten ermöglicht. Beispielsweise können die Daten auf dem Token verschlüsselt vorliegen, wobei ein Schlüssel verwendet ist, der fahrzeugseitig gespeichert wird. Dann kann nur bei Kopplung des Tokens mit dem Fahrzeug eine Entschlüsselung der Daten

vorgenommen werden, wozu der im Fahrzeug gespeicherte Schlüssel verwendet wird.

In einer besonders bevorzugten Gestaltung der Erfindung verfügt das Token über eine NFC-Schnittstelle oder eine

Bluetooth-Schnittstelle. Da Fahrzeuge neuer Generationen über eine der genannten Schnittstellen verfügen, ist eine Kopplung des Tokens mit dem Fahrzeug über diese standardisierten

Schnittstellen besonders einfach möglich.

Es ist außerdem vorteilhaft, wenn das Token einer

Anzeigeeinrichtung aufweist, die eine Zustandsinformation angibt. Über eine solche Anzeige kann beispielsweise im

Ruhezustand oder auch im gekoppelten Zustand eine

Handlungsanweisung oder Statusinformation ausgegeben werden. Es ist beispielsweise auch möglich, eine haltestabile Anzeige einzusetzen, beispielsweise ein e-Paper-Anzeige, welche auch im Aufbewahrungszustand des Tokens über mehrere Jahre hinweg eine Statusinformation anzeigt, beispielsweise das Datum der

Fahrzeugübernahme und eine Kennung des aktuellen Nutzers, ggf. auch eine Erinnerungsphrase für eine hinterlegte

Identifikationskennung .

In einer weiteren Ausführungsform der Erfindung, ist das Token mehrteilig ausgebildet. Dies bedeutet, dass mehrere physische Einheiten mit jeweils gespeicherten

Schlüsselinformationen zeitgleich am Fahrzeug vorhanden und gekoppelt sein müssen, um eine Löschung der

Berechtigungsinformationen vorzunehmen. Diese Gestaltung ist insbesondere dann vorteilhaft, wenn als Token physische

Einheiten mit Mehrzweck eingesetzt werden. Besonders geeignet ist die Nutzung von mehreren (z.B. zwei) Fahrzeug- Funkschlüsseln, die mit einem Fahrzeug gefertigt und

ausgeliefert werden. In jedem der Funkschlüssel kann eine zugeordnete Schlüsselinformation enthalten sein. Jede Schlüsselinformation einzeln für sich genügt nicht, um bei Kopplung mit dem Fahrzeug den Zugriff auf die Löschung der bisherigen Berechtigungsinformationen freizugeben. Sind jedoch mehrere (oder alle) Schlüssel zeitgleich oder innerhalb einer vorgegebenen Zeitspanne vom Fahrzeug abfragbar, hat also der bisherige Besitzer sämtliche Schlüssel mit in des Fahrzeug gebracht, dann können alle Schlüsselinformationen im Fahrzeug innerhalb eines vorgebenen Zeitfensters oder sogar parallel ausgelesen werden und es wird der Zugrif auf die

Berechtigungsinformationen freigegeben. Eine vorgegebene

Zeitspanne im Rahmen dieser Ausgestaltung sollte einige Sekunden bis höchstens einige zehn Sekunden betragen, z.B. 10 Sekunden oder 30 Sekunden oder eine Minute.

In dieser Gestaltung kann die Kopplung des mehrteiligen Tokens über separate Schnittstellen erfolgen (z.B. können die

Schlüssel hierzu NFC-Komponenten aufweisen) , es können aber auch die üblichen Funkschnittstellen der Funkschlüssel verwendet werden. Zum Beispiel kann nach Anwahl eines Menüpunktes im

Bedienmenü des Fahrzeuges zur Löschung oder Rücksetzung der Berechtigungsinformationen dazu aufgefordert werden, innerhalb einer vorgebenen Zeitspanne (siehe oben) eine Bedientaste an jedem der Schlüssel zu betätigen. Wird fahrzeugseitig

registriert, dass sämtliche erforderlichen Schlüssel vorhanden sind und innerhlab der vorgegebenen Zeitspanne betätigt wurden, kann die auf den Schlüsseln vorhandene kombinierte

Schlüsselinformation verwendet werden, um den Zugriff auf die Löschung der Berechtigungsinformationen zu erhalten.

Die Erfindung wird nun anhand der beiliegenden Figuren näher erläutert .

Figur 1 zeigt schematisch die Komponenten einer ersten

Ausführungsform des erfindungsgemäßen Verfahrens und Systems;

Figur 2 zeigt einen Ablaufplan einer zweiten Ausführungsform des erfindungsgemäßen Systems und Verfahrens.

In Figur 1 sind die Komponenten des erfindungsgemäßen

Systems und Verfahrens gezeigt.

Ein Token 1 ist als Datenträger mit USB-Schnittstelle ausgebildet. Das Token 1 ist getrennt von einem zugeordneten Fahrzeug 2 ausgebildet und separat von diesem Fahrzeug 2

aufzubewahren. Das Token 1 ist über eine am Fahrzeug 2

vorhandene USB-Schnittstelle mit einer Steuereinrichtung 3 im Fahrzeug koppelbar. Die Steuereinrichtung 3 steuert das Token zum Datenaustausch an. Das Token 1 ist in diesem Beispiel ein über die USB-Schnittstelle mit Spannung versorgtes System mit einem Flash-Speicher und einer Firmware zur Ausführung auf einem Micro Controller, welcher die Kommunikation mit der

Steuereinrichtung 3 abwickelt.

Das Einstecken des Tokens 1 in die fahrzeugseitige

Schnittstelle und ein Aufruf eines Menüpunktes in einem

fahrzeugseitigen Benutzermenü startet die Kommunikation der Steuereinrichtung 3 mit dem Token 1.

Es wird im weiteren ein Challenge/Response-Dialog zwischen Fahrzeug und Token durchgeführt. Die Steuereinrichtung 3 sendet eine verschlüsselte Nachricht an das Token 1, wobei die

Verschlüsselung mit einem ersten Teil eines asymmetrischen

Schlüsselpaares mit größer Bitlänge von 256 Bit erfolgt. Die Steuereinrichtung 3 greift dazu auf einen Speicher 4 im Fahrzeug zu, um mit einem dort gespeicherten Teil des asymmetrischen

Schlüssels die Nachricht an das Token zu verschlüsseln. Im Token 1 wird mit einem gespeicherten, korrespondierenden zweiten Teil des asymmetrischen Schlüsselpaares die Nachricht entschlüsselt. Es ist zu beachten, dass Token 1 und Steuereinrichtung 3 bei Herstellung des Fahrzeuges mit einem individuellen Schlüsselpaar ausgestattet wurden, wodurch Token 1 und Steuereinrichtung 3 mit zugehörigem Speicher 4 gepaart sind. Die Steuereinrichtung verschlüsselt eine zufällig generierte Nachricht oder eine

Nachricht, die auf Zustandsdaten des Fahrzeuges oder einem Datum oder der Uhrzeit basiert. Es wird also bei jeder Kommunikation eine andere Nachricht verschlüsselt.

Im Token 1 erfolgt eine Entschlüsselung der Nachricht, welche anschließen unverschlüsselt an die Steuereinrichtung 3 zurück übermittelt wird. Dort wird die Nachricht mit der

verschlüsselt gesendeten Nachricht verglichen und das Token 1 als zum Fahrzeug zugehörig authentifiziert. Auf die genannte Weise hat das Fahrzeug keinen Zugriff auf den geheimen Schlüsselteil im Token 1, welcher jederzeit nur im Token selbst verwendet wird.

Sobald das Token

Besitzer 5 des Fahrzeuges aufgefordert, über eine

Bedienoberfläche des Fahrzeuges eine persönliche PIN einzugeben. Diese wird mit einer gespeicherten PIN verglichen, die im

Fahrzeug verschlüsselt gespeichert wurde, als dieser Besitzer das Fahrzeug in Besitz genommen hat. Alternativ kann die PIN auch in dem Token verschlüsselt gespeichert und sein, von wo sie fahrzeugseitig ausgelesen und entschlüsselt wird.

Ist auch diese Prüfung erfolgreich, wird der neue Besitzer 6 aufgefordert, eine neue persönliche PIN zu vergeben.

Anschließend werden alle zu dem Benutzer 5 gehörigen

Berechtigungsinformationen (Benutzerrechte) , einschließlich dessen PIN aus dem Speicher 4 sicher gelöscht und die neue PIN des neuen Benutzers 6 wird gespeichert, wobei dieser Benutzer als neuer Besitzer mit umfassenden Zugriffsrechten auf das

Fahrzeug gespeichert wird.

Die Steuereinrichtung 3 sendet die

Berechtigungsinformationen zu den neuen Benutzungsrechten und der Löschung der bisherigen Rechte anschließend an einen

zentralen Server zur Rechteverwaltung, wo der Rechtsübergang zentral gespeichert wird.

Es ist zu beachten, dass das Fahrzeug ab dem Zeitpunkt der

Rechtelöschung von der zentralen Stelle des Server 7 keine

Synchronisierungen von Benutzungsrechten akzeptiert, sofern diese auf Autorisierung des Benutzers 5 erfolgt sind oder auf einen Zeitpunkt vor dem Übergang datieren.

In Figur 2 ist ein Ablaufplan gezeigt, der die

chronologische Abfolge von Informationsaustauschvorgängen zwischen Stationen eines zweiten Ausführungsbeispiels des erfindungsgemäßen Systems und erfindungsgemäßen Verfahrens zeigt .

Dargestellt ist ein Token 10, welches in

Informationsaustausch mit einer Fahrzeugsteuereinheit 11 tritt. Außerdem sind als Informationsträger ein bisheriger Besitzer 12 eines Fahrzeuges und ein neuer Besitzer 13 eines Fahrzeuges gezeigt .

In dieser Ausführungsform ist das Token ein Datenträger mit einer drahtlosen Schnittstelle. Gemäß diesem speziellen

Ausführungsbeispiel handelt es sich um ein Token mit einer

Bluetooth-Schnittstelle, über welche eine Kopplung mit der

Fahrzeugsteuereinheit 11 aufzubauen ist, die ebenfalls über eine Bluetooth-Schnittstelle verfügt. Das Token weist eine autonome Energiequelle auf, insbesondere eine Batterie oder einen

ladbaren Akku. Alternativ könnte das Token zum Kopplungsvorgang auch vom Fahrzeug versorgt werden, dazu kann das Token

beispielsweise eine Versorgungsschnittstelle aufweisen, die eine Stromversorgung über einen Zigarettenanzünder, eine USB- Schnittstelle am Fahrzeug oder eine sonstige Versorgungsleitung erlaubt.

Das Token 10 und die Fahrzeugsteuereinheit 11 sind bei

Fahrzeugherstellung miteinander gekoppelt, so dass eine

Bluetooth-Verbindung ohne Benutzereingabe etabliert werden kann. Am Token ist eine Drucktaste ausgebildet, welche bei bestehender Bluetooth-Verbindung mit der Fahrzeugsteuereinheit 11 ein Reset- Kommando 20 vom Token 10 an die Fahrzeugsteuereinheit 11 sendet. Dieses Reset-Kommando 20 initiiert in der Fahrzeugsteuereinheit 11 ein Programmablauf, der einen voll umfänglichen Zugriff auf sämtliche im Fahrzeug gespeicherten Berechtigungsinformationen zur Folge haben kann. Das Reset-Kommando selbst kann bereits ein im Token codiertes Kommando sein, so dass nur das autorisierte Token 10 überhaupt ein Reset-Kommando 20 an die

Fahrzeugsteuereinheit 11 senden kann. Es ist wiederum darauf hinzuweisen, dass Token 10 und Fahrzeugsteuereinheit 11 bei Fahrzeugherstellung miteinander gepaart wurden, so dass

aufeinander abgestimmte Schlüsselinformationen in den beiden Bestandteilen hinterlegt sein können.

Empfängt die Fahrzeugsteuereinheit 11 das passende Reset- Kommando 20, so fragt sie in Schritt 21 über eine

Benutzerschnittstelle der Fahrzeugsteuereinheit 11 die Eingabe einer PIN vom bisherigen Besitzer 12 ab. Die

Benutzerschnittstelle kann beispielsweise ein Touchscreen oder ein sonstiges Bedienfeld sein, welches ohnehin im Fahrzeug angeordnet ist. Der bisherige Besitzer hat die persönliche PIN bei seiner Fahrzeugübernahme vergeben oder beim Fahrzeugkauf im Fahrzeug eingegeben.

Im Schritt 22 gibt der bisherige Besitzer 12 seine PIN an der Fahrzeugsteuereinheit 11 ein. Diese PIN wird mit der gespeicherten PIN verglichen und bei erfolgreichem Vergleich wird in Schritt 23 eine gespeicherte Schlüsselinformation von der Fahrzeugsteuereinheit 11 aus dem Token 10 ausgelesen. In dieser Ausführungsform wird eine dem Token codiert gespeicherte Datenfolge ausgelesen und in der Fahrzeugsteuereinheit 11 decodiert. Dazu kann wiederum das Prinzip von asymmetrischen Schlüsseln verwendet werden, wobei im Token 10 ein Teil eines asymmetrischen Schlüssels gespeichert ist und in der

Fahrzeugsteuereinheit 11 ein anderer Teil eines asymmetrischen Schlüssels. Bei erfolgreicher Decodierung wird das Token 10 als autorisiert erkannt und in Schritt 24 wird der vollständige Zugriff auf die Berechtigungsinformationen und Löschung

sämtlicher Benutzungsprivilegien im Fahrzeug freigegeben.

Bevor eine Löschung oder Änderung der

Berechtigungsinformationen erfolgt, wird der neue Besitzer in Schritt 25 aufgefordert, seinerseits eine PIN zu vergeben. Diese wird erforderlich sein, wenn der neue Besitzer seinerseits zu einem späteren Zeitpunkt das Fahrzeug an einen nachfolgenden Besitzer übergibt. In Schritt 26 gibt der neue Besitzer eine PIN ein. Nur wenn eine gültige neue PIN-Eingabe vorliegt und die Autorisierung durch Verifikation des Tokens erfolgt ist, kann der Vorgang weitergeführt werden. Dazu kann eine schrittweise Bestätigung des Besitzers erforderlich sein. Liegen als letzten Schritt löscht die Fahrzeugsteuereinheit sämtliche bisherigen Besitzer und speichert den neuen Besitzer als autorisierten Besitzer des Fahrzeuges. Das Token geht außerdem in den Besitz des neuen Besitzers über, so dass sich dieser sicher sein kann, dass ohne sein Mitwirken keine Löschung oder Änderung auf diesem Wege im Fahrzeug möglich ist.

Durch die Bindung der Löschung sämtlicher bisherigen

Benutzungsrechte an ein körperliches Token und dessen Übergabe zusammen mit dem Fahrzeug an einen neuen Besitzer wird eine vertrauenswürdige Transaktion sichergestellt. Der Besitzer des Tokens kann, unter Verwendung seiner PIN, jederzeit die Löschung sämtlicher bisheriger Rechte initiieren, und kann sich daher sicher sein, dass keine verbleibenden digitalen Rechte zum

Zugriff auf das Fahrzeug weiterhin im Fahrzeug gespeichert sind.

Das Fahrzeug kann für solche Fälle, in denen das Fahrzeug einer zentralen Rechteverwaltung unterstellt ist, die

Rücksetzung und vollständige Löschung aller bisherigen

Berechtigungsinformationen an die zentrale Stelle weitergeben. Außerdem lehnt das Fahrzeug vom Zeitpunkt der Rücksetzung aus sämtlichen Rechteänderungen ab, die aus einem Zeitraum vor der Rücksetzung stammen. Dies ist insbesondere dann wichtig, wenn beispielsweise die Übergabe des Fahrzeuges in einem Bereich erfolgt, in dem keine Kopplung mit dem zentralen

Rechteverwaltungssystem besteht, beispielsweise keine

Netzverbindung besteht (z. B. einen Parkhaus oder einer

Tiefgarage) . Die Übergabe des Tokens und der Rücksetzungsvorgang sichern dem neuen Besitzer dennoch zu, dass der alte Besitzer auch später nicht über ein zentrales Verwaltungssystem Rechte am Fahrzeug einrichten, ändern oder einschränken kann.

Wesentlich gemäß der Erfindung ist es, dass ein körperliches Token, welches nur mit erheblichem Aufwand oder auch gar nicht kopierbar ist, zusammen mit dem Fahrzeug bei einem

Besitzerwechsel übergeben wird. Dieses Token ist zwar unnötig für einen Betrieb des Fahrzeuges, es verleiht jedoch die

Berechtigung, sämtliche gespeicherten Benutzungsrechte des

Fahrzeuges zurückzusetzen und dieses gleichsam in einen

ursprünglichen Zustand ohne Benutzungsrechte zu versetzen. Von welcher Art das Token ist, ist in diesem Zusammenhang nicht wesentlich. Es kann sich jedoch z. B. um einen herkömmlichen Funkschlüssel handeln, der um die Funktion des Tokens im Sinne dieser Erfindung ergänzt ist. Alternativ kann es sich um eine Smartcard oder einen kopiergeschützten USB-Speicher handeln.

Die herstellerseitige Abstimmung der

Berechtigungsinformationen im Fahrzeugsteuersystem als auch im Token erlaubt eine äußerst sichere Autorisierungsprüfung bei dem seltenen Vorgang des Besitzerwechsels. Dieser kann außerdem, im Beispiel beschrieben, mit einer zusätzlichen persönlichen Identifikationskennung des alten Besitzers und des neuen Besitzers gekoppelt werden, um die Sicherheit zusätzlich zu erhöhen .