Die Erfindung betrifft ein Datenverarbeitungssystem zum Ver- anstalten von Lotterien mit einem ersten Teilsystem (Frontend), auf das von außen über das Internet zugegriffen werden kann, und mit einem zweiten Teilsystem (Backend), das mit einer unberechtigten Zugriff verhindernden Einrichtung mit dem ersten Teilsystem verbunden und ansonsten abgeschlos- sen ist.

Datenverarbeitungssysteme dieser Art sind im Zusammenhang mit dem Internet bekannt. Ein Internetteilnehmer hat zwar zu ei- nem ersten Teilsystem Zugang, kann dort Daten eingeben, Daten angezeigt bekommen, allgemeine Informationen erhalten und ggf. zu anderen Links weitergeleitet werden. Er hat aber kei- nen direkten Zugang zu den Daten in einem zweiten Teilsystem, das mit dem ersten durch eine Firewall verbunden ist. Viel- mehr werden nur selektiv die Daten vom zweiten Teilsystem in das erste Teilsystem übertragen, zu denen der Internetteil- nehmer Zugang haben soll.

Internetanwendungen sind vielfältig und erfreuen sich einer stetig wachsenden Beliebtheit. Dabei sind aber gewisse Berei- che besonders sensitiv. Für Lotterien gibt es strenge Vor- schriften, damit die Gewinne nicht manipuliert werden können.

Es ist ein System vorgeschlagen worden (europäische Patentan- meldung 00 124 085.2), das die Veranstaltung von Lotterien über das Internet ermöglicht. Dieses zeichnet sich dadurch aus, daß das zweite Teilsystem (Backend) einen Zufallsgenera- tor, Speichereinrichtungen für Daten von Spielteilnehmern ei- ner Lotterie einschließlich der Losnummern, die den Spielern zugeteilt sind, einen Gewinnplan und einen Rechner zum Zuord- nen von Gewinnen aufgrund der im Zufallszahlengenerator er- zeugten Zahlen zu Spielteilnehmern mit den Zahlen entspre- chenden Losnummern aufweist, und daß im ersten Teilsystem ein Rechner zum Datenaustausch mit den Spielteilnehmern und im zweiten Teilsystem eine e-mail-Einrichtung zum Benachrichti- gen der Gewinner vorgesehen ist.

Ein solches System bietet hohe Sicherheit, wobei die beson- ders sicherheitsrelevanten Teile, insbesondere der Zufalls- zahlengenerator, auch durch mechanische Sicherungen wie ge- schlossene Gehäuse mit Verplombung usw. gesichert sind.

Trotzdem ist eine noch weiter erhöhte Sicherheit erstrebens- wert. Dabei soll insbesondere auch für den Spielteilnehmer die Möglichkeit geschaffen werden, die Authentizität der er- zeugten Zufallszahlen, d. h. der gezogenen Gewinnzahlen zu überprüfen.

Die Aufgabe der Erfindung besteht daher in der Schaffung ei- nes Datenverarbeitungssystems, bei dem die Sicherheit gegen Manipulationen weiter erhöht wird.

Die erfindungsgemäße Lösung besteht bei einem eingangs ge- nannten Datenverarbeitungssystem darin, daß der Zufallszah- lengenerator mit Einrichtungen zum Versehen der erzeugten Zahlen mit der Signatur eines privaten Schlüssels (private

key) verbunden ist, die zusammen mit dem Zufallszahlengenera- tor gesichert untergebracht sind, wobei die Signatur durch einen öffentlichen Schlüssel (public key) überprüfbar ist.

Jede erzeugte Zufallszahl wird also unmittelbar mit einer Si- gnatur versehen, die mit Hilfe eines privaten Schlüssels er- zeugt wird. Diese berechnet nach einem vom privaten Schlüssel abhängigen Algorithmus Signaturwerte, die dem Datensatz der Zufallszahl angefügt werden. Wird die erzeugte Zahl anschlie- ßend geändert, so stimmt die Signatur für diese Zahl nicht mehr. Ein Außenstehender, der nicht im Besitze des privaten Schlüssels ist, kann daher keine geänderte Zufallszahl mit passender Signatur erzeugen. Die Überprüfung der Signatur kann dabei mit einem öffentlichen Schlüssel erfolgen. Inner- halb des Systems im Bereich der Lotterie kann man daher an beliebiger Stelle überprüfen, ob die Signatur für die damit verknüpfte zufällig erzeugte Zahl zusammenpaßt oder ob eine Manipulation vorgenommen wurde. Man hat auch die Möglichkeit, den Spielteilnehmern den öffentlichen Schlüssel zur Verfügung zu stellen, so daß diese ebenfalls die Authentizität der er- zeugten Zahlen überprüfen können. Wenn Zufallszahlengenerator und Einrichtung zum Erzeugen der Signatur zuverlässig nach außen abgeschlossen sind, etwa in einem plombierten Gehäuse, so können keine Manipulationen an der Zufallszahl mehr vorge- nommen werden, ohne daß diese bemerkt würden, da die Signatur nicht zu der manipulierten Zufallszahl paßt.

Zweckmäßigerweise sind schon im zweiten Teilsystem (Backend) Einrichtungen zum Überprüfen der Signatur der erzeugten Zu- fallszahlen vorgesehen. Falls dies der Fall ist, braucht die- ser Teil des zweiten Teilsystems nicht zusammen mit dem Zu- fallszahlengenerator verplombt werden.

Aufgrund der absolut sicheren Erzeugung von Zufallszahlen, die nicht mehr manipuliert werden können, ist an sich eine Protokollierung mit Hilfe eines Druckers nicht mehr erforder- lich. Zweckmäßigerweise kann aber doch ein solcher Drucker vorgesehen werden, wenn man Nachweise schaffen möchte, die auch eine Person nachvollziehen kann, die den technischen Aufbau des Systems nicht versteht.

Der Zufallszahlengenerator, der besonders sicher abgekapselt sein muß, muß nicht mit dem Rechner, der die Gewinne zuteilt, im selben Raum untergebracht sein. Der Zufallszahlengenerator mit der Einrichtung zur Erzeugung der Signatur kann z. B. in einem Raum des Lotteriebetreibers angeordnet sein, während der Rechner in einem Rechenzentrum steht, das mit dem Internet verbunden ist. Die Datenübertragung zwischen Zu- fallszahlengenerator und dem Rechenzentrum erfolgt dann zweckmäßigerweise über eine verschlüsselte Datenverbindung, z. B. eine Standleitung oder ISDN.

Zweckmäßigerweise weist das Datenverarbeitungssystem einen Zeitgeber auf, der in regelmäßigen zeitlichen Abständen, ins- besondere einmal täglich die Erzeugung von Endziffern und Zu- ordnung von Gewinnen (Ziehung) auslöst. Dieser kann ebenfalls im Rechenzentrum angeordnet sein und dann über eine ver- schlüsselte Datenverbindung mit dem Zufallszahlengenerator verbunden sein, damit nur dieser Zeitgeber die Erzeugung von Zufallszahlen auslösen kann.

Vorteilhafterweise sind Einrichtungen zum Herunterladen von Zertifikaten durch Spielteilnehmer vorgesehen, mit denen die Signatur der erzeugten Zahlen überprüfbar ist. Dieses Zerti-

fikat, das der Spielteilnehmer über das Internet herunterla- den kann, enthält einerseits den öffentlichen Schlüssel, mit dem die Signatur der erzeugten Zahlen überprüft werden kann.

Andererseits enthält das Zertifikat u. a. die Identifizierung des Lotteriebetreibers.

Vorteilhafterweise ist das System zum Verwenden von XML- Signaturen ausgebildet ; die entsprechende Art der Protokol- lierung und des Datenaustausches zwischen den Teilsystemen und zum Spielteilnehmer ist für das System besonders vorteil- haft.

Vorteilhafterweise weist das System einen Smartcard-Leser für den privaten Schlüssel auf. Die entsprechende Smartcard kann dann bei einem Trustcenter (z. B. Deutsche Post, Telekom o. a. ) beantragt werden. Diese Smartcard wird dann mit dem Zufallszahlengenerator zusammen verplombt.

Die Gewinnzahlen werden durch den Zufallszahlengenerator er- zeugt, bei dem selbstverständlich sichergestellt sein muß, daß echte Zufallszahlen erzeugt werden und nicht gewisse Zah- len signifikant häufiger generiert werden als andere Zahlen.

Als besonders zweckmäßig hat sich dabei ein Zufallszahlenge- nerator erwiesen, der seine Zahlen mit Hilfe einer physikali- schen Rauschquelle, z. B. Halbleiterrauschen bestimmt. Dieser Zufallszahlengenerator kann beliebig stellige (max. 20 stel- lig) Endziffern, (z. B. Losnummern mit zwei Endziffern, Los- <BR> <BR> nummern mit drei Endziffern usw. ) erzeugen, die Gewinne erge- ben sollen. Dieser Zufallszahlengenerator ist von außen, ins- besondere vom ersten Teilsystem (Frontend-System) her selbst- verständlich nicht zugänglich. Im zweiten Teilsystem (Backend-System) sind weiter Speichereinrichtungen (Daten-

bank) für Daten von Spielteilnehmern einer Lotterie ein- schließlich Losnummern, die den Spielern zugeteilt sind, vor- gesehen. Die Daten von Spielteilnehmern umfassen dabei Namen, Anschrift, Bankverbindung und ggf. Telefonnummern, e-mail- Adressen und dergleichen. Außerdem sind die Losnummern ge- speichert, mit denen der Spielteilnehmer an der Lotterie teilnimmt. Wenn hier von Spielteilnehmern die Rede ist, so sind damit selbstverständlich nicht nur Spielteilnehmer männ- lichen Geschlechts, sondern auch solche weiblichen Ge- schlechts gemeint. Außerdem enthalten die Speichereinrichtun- gen einen Gewinnplan, der festlegt, wie hoch bei einer be- stimmten Erzeugung von Zufallszahlen (Ziehung von Endziffern) die Gewinne sind, wenn das Los die richtige Endnummer, die richtigen zwei letzten Endnummern usw. hat. Die entsprechende Zuordnung der Gewinne zu den Losen und damit den Spielteil- nehmern erfolgen dann mit Hilfe eines im zweiten Teilsystem angeordneten Rechners.

Der Betrieb erfolgt automatisch. Insbesondere kann, wie dies bereits erwähnt wurde, vorgesehen sein, daß das Datenverar- beitungssystem einen Zeitgeber aufweist, der in regelmäßigen zeitlichen Abständen, insbesondere einmal täglich zu einer vorgegebenen Uhrzeit die Erzeugung von Zufallszahlen und Zu- ordnung von Gewinnen (Ziehung) auslöst. Selbstverständlich kann auch vorgesehen werden, mehr als einmal am Tag eine sol- che Ziehung vorzunehmen. Der Teilnehmer kann sich dabei über das Internet über die Gewinnzahlen orientieren und ggf. sogar die Erzeugung dieser Gewinnzahlen verfolgen. Auch sonstige allgemeine Informationen kann ein Spielteilnehmer erhalten.

Insbesondere ist aber auch vorgesehen, daß der oder ein Rech- ner des ersten Teilsystems eine Maske für den Bildschirm des Spielteilnehmers erzeugt, in die derselbe Daten eintragen

kann. Hier kann sich der Spielteilnehmer anmelden und seinen Namen, seine Adresse, Bankverbindung und Zahlungsart einge- ben. Sobald die Zahlung dann per Überweisung eingegangen ist oder aber die Autorisierung der Zahlung durch das Kreditkar- teninstitut oder dergleichen erfolgt ist, die der Spielteil- nehmer verwenden will, kann sich der Spielteilnehmer bei ei- ner vorteilhaften Ausführungsform eine oder mehrere Losnum- mern aussuchen. Die Anzahl der Lose, die der Spielteilnehmer auswählen kann, kann dabei begrenzt werden.

Mit Ausnahme der Tatsache, daß der Spielteilnehmer seine per- sönlichen Daten und die gewünschten Losnummern eingeben muß, erfolgt der Betrieb automatisch. Die Auszahlung von Gewinnen erfolgt ebenfalls automatisch, und zwar auf das vom Spiel- teilnehmer angegebene Bankkonto. Zusätzlich kann vorgesehen sein, daß Spielteilnehmern kostenlose Teilnahme an einer oder mehreren Ziehungen (Bonuslose) als Gewinn gewährt wird. Dies kann zum Beispiel der Fall sein, wenn der Spieler in der fraglichen Ziehung die richtige Endzahl in seiner Losnummer hat.

Es kann weiter vorgesehen sein, daß mit Ausnahme von Bonuslo- sen nur die Teilnahme an einer vorgegebenen Anzahl von Zie- hungen möglich ist. Bei einer vorteilhaften Ausführungsform könnte man zum Beispiel vier aufeinanderfolgende Klassen (Wochenauslosungen) mit jeweils sieben Ziehungen (an jedem Tag eine) vorsehen, so daß sich der ganze Zyklus nach jeweils 28 Tagen wiederholt. Dadurch, daß eine Mindestanzahl von Zie- hungen gewählt werden muß, erhöht sich die Attraktivität der Lotterie, da eine größere Anzahl von Gewinnchancen besteht.

Zum Zwecke der Datensicherheit ist vorteilhafterweise vorge- sehen, daß nur Daten des Spielteilnehmers, der gerade auf das System zugreift, vom zweiten in das erste Teilsystem übertra- gen werden und dort nach einer vorgegebenen Zeit wieder in das zweite Teilsystem übertragen oder gelöscht werden. Da- durch ist größtmögliche Datensicherheit gewährt und besteht größtmöglicher Schutz gegen Datenmanipulation. Daß auch der Zugang zum ersten Teilsystem durch eine Firewall gesichert ist und Spielteilnehmer nur mit einem Passwort Zugang haben, versteht sich dabei von selbst und entspricht der Praxis, die bei vielen anderen Internetseiten üblich ist.

Vorteilhafterweise ist vorgesehen, daß einer oder mehrere der Rechner entweder im zweiten Teilsystem, vorteilhafterweise aber bereits im ersten Teilsystem eine Berechtigungskontrolle durchführen. So kann zum Beispiel anhand der Postleitzahl überprüft werden, ob der Spielteilnehmer tatsächlich in einem Bereich wohnt, in dem die Lotterie durchgeführt wird.

Zweckmäßigerweise ist jeder Rechner und Speicher durch einen zweiten ergänzt, um bei Ausfall des ersten den Betrieb wei- terführen zu können.

Wie dies bereits erwähnt wurde, erfolgt der Betrieb vollauto- matisch. Nur der Spielteilnehmer muß selbstverständlich seine Daten von Hand eingeben. Die Überprüfung von Berechtigung bei Kreditkarten, Zahlungseingängen und ähnlichem erfolgt aber automatisch, ebenso die Auszahlung von Gewinnen. wie bereits erwähnt, ist durch Firewalls sichergestellt, daß kein unberechtigter Zugang zum System bzw. Komponenten des Systems möglich ist. Als besonders vorteilhaft gegen die Ge-

fahr von Manipulationen hat es sich aber erwiesen, wenn die wesentlichen Teile des Systems mechanisch verplombt sind. So könnte zum Beispiel der Zufallszahlengenerator mit dem Smart- card-Leser in einem verplomten durchsichtigen Gehäuse unter- gebracht sein, damit er nicht manipuliert werden kann.

Selbstverständlich muß dieses Gehäuse erforderlichenfalls mit Lüftungslöchern versehen sein.

Zweckmäßigerweise ist noch vorgesehen, daß alle wesentlichen Vorgänge, insbesondere die Erzeugung der Endziffern, proto- kolliert werden. Dies kann in elektronischer Form oder auch durch Ausdrucken auf Papier geschehen, obwohl letzteres auf- grund der Signaturen nicht mehr notwendig ist.

Die Erfindung wird im folgenden anhand einer vorteilhaften Ausführungsform unter Bezugnahme auf die beigefügte Zeichnung beispielsweise beschrieben. Es zeigen : Fig. 1 : in schematischer Darstellung den Aufbau eines Teils des erfindungsgemäßen Datenverarbeitungssystems ; Fig. 2 : in schematischer Darstellung das Gesamtsystem ; und Fig. 3 : ein Beispiel eines Gewinnplans.

Das in Fig. 1 gezeigte Datenverarbeitungssystem weist drei Bereiche auf, nämlich den frei zugänglichen Internetbereich 3, das erste Teilsystem 1 und das zweite Teilsystem 2. Das erste Teilsystem 1 ist dabei gegen den frei zugänglichen In- ternetbereich 3 durch eine Firewall 4 getrennt. Zugang zu Da- ten, die über allgemeine Information hinausgehen, ist nur mit Hilfe eines Passwortes möglich. Das erste Teilsystem 1 ist

vom zweiten Teilsystem 2 durch eine"logische"Firewall ge- trennt. Das erste Teilsystem weist einen Webserver 6 und ei- nen Datenserver 7 auf, der mit einer Datenstruktur 8 ver- knüpft ist. Bei 9 ist ein Ersatzrechner dargestellt, der ver- wendet werden kann, wenn der Rechner 6 oder 7 ausfällt. Im zweiten Teilsystem 2 ist ein Hauptrechner 10 vorgesehen, wo- bei bei 11 noch ein Ersatzrechner angeschlossen ist, der bei Ausfall des Rechners 10 die Funktionen desselben übernehmen kann. Die Verknüpfung erfolgt über ein Datenbanksystem 8. Bei 12 ist noch ein Ersatzlaufwerk dargestellt, in dem die Daten zusätzlich zur Speicherung in den Rechnern 10 und 11 gespei- chert werden. Der Zugriff auf den Zufallszahlengenerator er- folgt in der hier gezeigten Ausführungsform durch die Rechner 10 und 11. Das zweite Teilsystem 2 ist durch den Zugriff übers Internet mit Banken, Kreditkarteninstituten usw. ver- bunden.

Fig. 2 zeigt das Gesamtsystem einschließlich der Zufallszah- lengeneratoren 13, die in einem abgeschlossen Behältnis 26 eingeschlossen sind, das durch gestrichelte Linien angedeutet ist. Die Zufallszahlengeneratoren 13 sind mit Smartcard- Lesern 14 und entsprechenden Signaturerzeugungseinrichtungen versehen. Normalerweise arbeitet nur eine Einheit 13,14, d. h. das Ziehungsgerät 1. Nur wenn dieses ausfällt, über- nimmt das Ziehungsgerät 2 dessen Funktion. Die Daten werden dann zu internen Kommunikations-und Protokollierungseinhei- ten 15 weitergeleitet. Die Stromversorgung erfolgt durch eine unterbrechnungsfreie Stromversorgung 16. Bei 17 kann eine Si- gnaturprüfung vorgenommen werden, wobei dann bei einem Druk- ker 18 ein Protokoll erstellt werden kann. Die entsprechenden Einheiten 15 bis 18 sind ebenfalls doppelt vorgesehen und können in einem gesondert gesicherten Raum 19 angeordnet

sein. Die Zufallszahlen mit Signatur werden dann über eine Schalteinheit 20 und Endgeräte 21,22 einer Datenverbindung weitergeleitet, wobei diese Endgeräte 21 und 22 die Daten verschlüsseln und entschlüsseln, so daß nur verschlüsselte Daten zu einem Rechenzentrum gesandt werden, das bei 23 ange- deutet ist. Dieses weist eine Einheit 24 zur Signaturprüfung auf. Nur wenn die erzeugten Zufallszahlen als unmanipuliert durch diese Einheit 24 bestätigt werden, erfolgt die Weiter- verarbeitung in Einheiten 2 (Backend) und 1 (Frontend) und über das Internet 3, wie dies in Fig. 1 dargestellt ist. Bei 25 ist noch angedeutet, daß die Einheit 23 auch den öffentli- chen Schlüssel (public key) liefert, der z. B. über das In- ternet abgefragt werden kann, damit Spielteilnehmer die Au- thentizität der erzeugten Zufallszahlen, d. h. der Gewinnzah- len überprüfen können.

Im Backend 2 von Fig. 2 ist noch ein Zeitgeber 27 angedeutet, der über nicht gezeigte verschlüsselte Datenverbindungen die Erzeugung von Zufallszahlen in regelmäßigen Abständen, insbe- sondere einmal täglich bewirkt.

Ein Gewinnplan ist in Fig. 3 gezeigt. Die Lotterie erstreckt sich über jeweils vier Wochen ä sieben Tage. An jedem Tag findet eine Ziehung statt. Die Teilnahme muß zum Beispiel je- weils an 28 aufeinanderfolgenden Tagen stattfinden, wobei der erste Tag aber jeder beliebige Tag des 28-Tage-Zyklus sein kann. Nur im Falle eines Bonusloses ist eine Teilnahme nur an einer Klasse möglich, nämlich an der ersten Klasse der fol- genden Lotterie.

Die Lotterie wird vollständig papierlos über das Internet ab- gewickelt, wobei höchstens vorgesehen sein kann, die Zahlen

des Zufallszahlengenerators bzw. deren Protokolle als Papier- kopie an die Finanzbehörde zu senden.

Der Spielteilnehmer wählt sich auf die Internetseite ein und kann dort zunächst allgemeine Informationen, insbesondere ei- ne Online-Präsentation der Lotterie ansehen. Er kann sich dann einloggen bzw. neu anmelden. Dabei werden Passworte ver- wendet. Die Bestellung von Losen, die Eingabe der Daten des Spielteilnehmers einschließlich der Eingabe von Zahlungsin- formationen und die Losauswahl erfolgen durch eine Eingabe- maske. Das Los wird aber erst aktiviert, wenn die Zahlung per Banküberweisung erfolgt ist oder aber durch das Kreditkarten- institut die Zahlung autorisiert ist. Über diese Internetsei- te wird dann auch die Erzeugung der Endziffern dargestellt.

Der Spielteilnehmer kann sich hier auch darüber informieren, ob er gewonnen hat. Während er bzw. sie die Internetseite aufgerufen hat, werden auch persönliche Daten vom zweiten si- cheren Teilsystem in das erste Teilsystem übertragen. Wenn der Spielteilnehmer die Verbindung trennt oder aber nach ei- ner vorgegebenen Zeit, in der der Spielteilnehmer nicht mehr aktiv war, werden diese Daten in das sichere zweite Teilsy- stem zurück übertragen oder aber gelöscht. Das Führen der Kundenabrechnungen, die Ziehungsverarbeitung, die Gewinnbe- nachrichtigung, die Verwaltung der Stammdaten usw. findet im sicheren zweiten Teilsystem statt. Der Zahlungsverkehr, die Online-Validierung von Zahlungsdaten, der Datenverkehr mit der Bank (Überweisungen, Gut-und Lastschriften) erfolgen ebenfalls vorteilhafterweise über das Internet.

In genau definierten Zeitabständen, bei dem Beispiel der Fig. 3 einmal täglich zur immer selben Zeit, findet eine Er- zeugung von Endziffern statt. Dadurch werden die Lose mit ei-

ner richtigen Endnummer, mit zwei richtigen Endnummern usw. ermittelt, denen dann aufgrund des Gewinnplans ein Gewinn zu- geordnet wird. Dieser Gewinn wird dann automatisch auf das vom Spielteilnehmer angegebene Bankkonto überwiesen.

Zur Sicherheit wird zweckmäßigerweise vorgesehen, daß elek- tronische Lose erstellt werden, die mit Informationen über Losnummer, Kundennummer, Teilnahmezeitraum, Girokonto des Spielteilnehmers-die sämtlich digital verschlüsselt sind- versehen werden, so daß die elektronischen Lose gegen Verän- derungen geschützt sind.

Zweckmäßigerweise wird als Datenbank 8 der Fig. 1 eine Oracle-Datenbank verwendet. Andere Datenbanken könnten theo- retisch aber ebenfalls verwendet werden, obwohl dies nicht vorrangig darauf abgestellt sein sollte.

Bei der Prüfung, ob der Spielteilnehmer überhaupt zur Spiel- teilnahme berechtigt ist, muß er angeben, ob er über 18 Jahre alt ist, außerdem wird die örtliche Berechtigung, falls hier Einschränkungen bestehen, durch Überprüfung der Postleitzahl verifiziert.