Die Erfindung betrifft einen Datenträger, insbesondere eine Chipkarte, insbesondere eine Smart Card, mit einer Einrichtung zum Erzeugen von Einmal-Passwörtern.

Unter einer Smart Card wird eine Chipkarte mit einem Mikroprozessor bzw. einem Smart Card Controller verstanden. Im Zusammenhang mit der Erfindung wird im Allgemeinen, falls eine Smart Card mehrere Mikroprozessoren und/oder Controller- Schaltungen und/oder Logikschaltungen etc. hat, der Mikroprozessor etc., durch den die Hauptfunktionen der Smart Card steuerbar sind, als Mikroprozessor oder Smart Card Controller bezeichnet. Eventuelle Mikroprozessoren, Controller, Logikschal¬ tungen etc., durch die Nebenfunktionen der Smart Card steuerbar sind, werden z.B. als System-Controller oder Steuerlogik bezeichnet.

Aus DE 198 41 886 C2 sind ein Verfahren und eine Prozessor-Chipkarte zum Erzeu¬ gen von Einmal-Passwörtern bekannt, sowie ein Verfahren zur Authentisierung eines Benutzers unter Verwendung eines Einmal-Passworts. Zur Berechnung eines ersten Passwortes wird als zu verschlüsselnder Klartext ein zufällig gewählter Anfangswert gewählt, der mit einer Verschlüsselungsfunktion fk und einem Schlüssel k verschlüs- seit wird. Alle nachfolgenden Einmal-Passwörter werden durch erneute Anwendung der Verschlüsselungsfunktion fk auf das vorherige Einmal-Passwort berechnet, d.h. das vorherige Einmal-Passwort dient als Klartext für das nächste Einmal-Passwort. Um für unterschiedliche Benutzer unterschiedliche Einmal-Passwörter und Serien von Einmal-Passwörtern erzeugen zu können, ist die Verschlüsselungsfunktion fk mit dem geheimen Schlüssel k des Benutzers der Prozessor-Chipkarte parametrisiert, der zur Verschlüsselung verwendet wird. Zum Authentisieren eines Benutzers durch den Rechner einer authentisierenden Stelle hat der Rechner der authentisierenden Stelle die Möglichkeit, das aktuell gültige Einmal-Passwort jedes Benutzers zu bestimmen und dem Benutzer zuzuordnen. Der Benutzer sendet sein aktuell gültiges Einmal- Passwort an den Rechner der authentisierenden Stelle, der das Einmal-Passwort mit dem beim Rechner bestimmten Einmal-Passwort vergleicht und den Benutzer nur dann authentisiert, wenn die beiden Einmal-Passwörter übereinstimmen. DE 198 41 886 C2 beschreibt weiter die Verwendung eines solchen Einmal- Passworts und Authentisierungsverfahrens bei einer Chipkarte, insbesondere einer EC-Karte mit Chip, in dem der geheime Schlüssel k des Benutzers abgespeichert ist, der Inhaber der EC-Karte ist. Eine alternative in DE 198 41 886 C2 beschriebene Verwendung sieht vor, dass als Chipkarte eine in einem Mobiltelefon eingesetzte Chipkarte verwendet wird, wobei das Mobiltelefon als Lesegerät für die Chipkarte verwendet wird.

In US 6,067,621 sind eine weitere Vorrichtung und ein weiteres Verfahren zum Er- zeugen von Einmal-Passwörtern beschrieben, sowie ein Verfahren zur Benutzerau- thentisierung. Dort ist ein geheimer Schlüssel für die Erzeugung von Einmal- Passwörtern auf einer IC-Karte eines Benutzers abgespeichert. Ein tragbares Termi¬ nal des Benutzers liest den geheimen Schlüssel aus der IC-Karte aus, erzeugt eine Zufallszahl und erzeugt unter Verwendung des ausgelesenen geheimen Schlüssels und der erzeugten Zufallszahl ein Einmal-Passwort. Das erzeugte Einmal-Passwort lässt sich auf einem Display des tragbaren Terminals anzeigen. Zur Erzeugung eines unterschiedlichen Einmal-Passworts wird im Terminal eine unterschiedliche Zufalls¬ zahl erzeugt und verwendet. Zur Authentisierung des Benutzers sendet der Benutzer das in seinem tragbaren Terminal erzeugte Einmal-Passwort an einen Server. Der Server hat den geheimen Schlüssel und die Zufallszahl des Benutzers ebenfalls zur Verfügung, berechnet das Einmal-Passwort selbst, vergleicht das selbst berechnete Einmal-Passwort und das vom Benutzer erhaltene Einmal-Passwort und authentisiert den Benutzer, wenn die beiden Einmal-Passwörter übereinstimmen.

Die in DE 198 41 886 C2 und US 6,067,621 beschriebenen Vorrichtungen benutzen ein gesondertes Terminal mit Display als Lesegerät für die bei der Passworterzeu¬ gung verwendete Chipkarte, um das erzeugte Einmal-Passwort anzuzeigen. Bei Vor¬ richtung und Verfahren aus US 6,067,621 ist das Terminal sogar zudem zum Be¬ rechnen des Einmal-Passworts erforderlich. Damit haben die beiden bekannten Vor- richtungen den Nachteil, dass das Terminal stets mitgefühlt werden muss. Dies macht die Handhabung der Vorrichtungen umständlich. Einmal-Passwörter werden beispielsweise bei gesicherten elektronischen Zahlungs¬ verkehr-Transaktionen, z.B. Überweisungen, beim Homebanking über das Internet verwendet. Das Einmal-Passwort wird hierbei als Transaktionsnummer (TAN) be- zeichnet. Zur Tätigung einer gesicherten elektronischen Zahlungsverkehr- Transaktion, z.B. einer Online-Überweisung über das Internet, veranlasst der Inhaber eines Kundenkontos, insbesondere Bankkontos, bei einem Kreditinstitut, die Zah¬ lungsverkehr-Transaktion, z.B. indem er Eingaben in einem elektronischen Überwei¬ sungsformular macht und das elektronische Überweisungsformular auf elektroni- schem Weg an das Kreditinstitut sendet. Damit die Zahlungsverkehr-Transaktion ausgeführt wird, muss sie noch mit einer Transaktionsnummer (TAN) bestätigt wer¬ den. Die verwendbaren Transaktionsnummern (TANs) werden dem Inhaber des Kundenkontos (Kontoinhaber) üblicherweise in Form von Listen auf Papier mit der Post zugesandt. Der Kontoinhaber liest eine Transaktionsnummer (TAN) von der Liste ab und sendet sie auf elektronischem Weg an das Kreditinstitut. Hierdurch bestätigt der Kontoinhaber die Zahlungsverkehr-Transaktion und bewirkt somit, dass die Zahlungsverkehr-Transaktion ausgeführt wird. Gelangt ein Unbefugter an die TAN-Liste eines Kontoinhabers, z.B. indem er die Liste auf dem Postweg abfängt, und an die Zugangs-Kennung für das Online-Banking (Homebanking), kann er über das Kundenkonto des Kontoinhabers Transaktionen ausführen.

Auf dem technischen Gebiet der elektronischen Geldbörsen ist es bereits bekannt, Smart Cards (Mikroprozessor-Chipkarten), deren Smart Card Controller (Mikropro¬ zessor) als Geldbörsenchip mit der Funktion einer elektronischen Geldbörse dient, mit einem Display zu versehen, auf dem sich der Guthabenstand im Geldbörsenchip anzeigen lässt. Problematisch bei diesen Smart Cards mit Display ist, dass der Smart Card Controller einen hohen Stromverbrauch hat. Andererseits besteht der Bedarf, das Guthaben so lange auf dem Display anzuzeigen, dass es ein Benutzer problemlos vom Display ablesen kann. DE 100 35 094 Al beschreibt eine Smart Card mit einem Smart Card Controller, einem Speicher, einem Display, einem System-Controller (Display-Steuerlogik, An¬ steuerlogik) für das Display und einer Energiequelle (z.B. Batterie). Der Speicher ist mittels des System-Controllers (Display-Steuerlogik) unabhängig vom Smart Card Controller betreibbar. Der Smart Card Controller wird als Geldbörsenchip einer e- lektronischen Geldbörse verwendet und enthält ein elektronisches Guthaben, das mittels eines Terminals (Chipkarten-Lesegerät) durch Transaktionen verringert und erhöht werden kann. Durch eine Überweisungs-Transaktion von einem Bankkonto auf den Geldbörsenchip wird das Guthaben des Geldbörsenchips erhöht. Durch eine Überweisungs-Transaktion von dem Börsenchip auf ein externes Bankkonto oder einen externen elektronischen Geldspeicher wird das Guthaben des Geldbörsenchips verringert. Die Kontaktierung zwischen der Chipkarte und dem Terminal erfolgt z.B. über Kontakte für kontaktbehaftete Kontaktierung. Der Smart Card Controller, der einen wesentlich höheren Stromverbrauch hat als der System-Controller (Display- Steuerlogik) für das Display, wird über das externe Terminal mit Energie versorgt. Da während der Benutzung des Smart Card Controllers, d.h. z.B. zur Erhöhung oder Verringerung des Guthabens im Geldbörsenchip, ohnehin eine Verbindung zwischen dem Terminal und der Chipkarte besteht, bedeutet es keinen Zusatzaufwand, den Smart Card Controller durch das Terminal mit Energie zu versorgen. Der System- Controller und das Display werden dagegen über die interne Energiequelle der Smart Card mit Energie versorgt. Daten aus dem Smart Card Controller, beispielsweise das Guthaben der elektronischen Geldbörse, die auf dem Display angezeigt werden sol¬ len, werden, solange die Smart Card mit dem Terminal verbunden ist, in den Spei¬ cher abgespeichert. Anschließend können die Daten unter Verwendung der internen Energiequelle und mit Hilfe der Display-Steuerlogik auf dem Display angezeigt wer¬ den, ohne dass dazu ein Terminal erforderlich ist.

Eine weitere als elektronische Geldbörse eingerichtete Smart Card mit einem Display zum Anzeigen des Guthabenstands der elektronischen Geldbörse ist in WO 03/030396 und DE 101 47 140 Al beschrieben. Aufgabe der Erfindung ist es, einen besonders einfach zu handhabenden Datenträger, insbesondere eine Chipkarte, insbesondere Smart Card, mit einer Einrichtung zum Erzeugen von Einmal-Passwörtern zu schaffen.

Die Aufgabe wird gelöst durch einen Datenträger nach dem unabhängigen Vorrich¬ tungsanspruch und durch ein Verfahren nach einem der unabhängigen Verfahrens¬ bzw. Verwendungsansprüche. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.

Der erfindungsgemäße Datenträger gemäß dem unabhängigen Anspruch 1 hat eine Einrichtung zum Erzeugen von Einmal-Passwörtern und zusätzlich ein Display zum Anzeigen von erzeugten Einmal-Passwörtern. Aus diesem Grund lässt sich mit dem Datenträger ein erzeugtes Einmal-Passwort ohne Zuhilfenahme eines Hilfsmittels, z.B. eines Terminals oder Lesegeräts, direkt auf dem Datenträger anzeigen.

Daher ist gemäß Anspruch 1 ein sehr einfach zu handhabender Datenträger mit einer Einrichtung zum Erzeugen von Einmal-Passwörtern geschaffen.

Der unabhängige Anspruch 27 gibt ein Verfahren zum Betreiben des Datenträgers an, insbesondere ein Verfahren zum Erzeugen von Einmal-Passwörtern. Anspruch 36 gibt die Verwendung des Datenträgers bzw. des Betriebsverfahrens zur Bestätigung einer gesicherten elektronischen Zahlungsverkehr-Transaktion an. Weitere, in An¬ spruch 37 angegebene Verwendungen sind die Authentisierung eines Inhabers des Datenträgers mit dem Datenträger bzw. mit dem Betriebsverfahren.

In dem Datenträger ist vorzugsweise mindestens ein Einmal-Passwort abgespeichert.

Vorzugsweise ist der Datenträger, insbesondere dem Format nach, eine flache Chip¬ karte, die den zusätzlichen Vorteil hat, dass sie sich besonders einfach handhaben lässt, beispielsweise, weil sie wie eine gewöhnliche Chipkarte in einem Geldbeutel transportiert werden kann. Die Chipkarte hat einen Kartenkörper, der nicht-standard- gemäß oder standargegemäß sein kann, z.B. gemäß ISO 7810 ID-I oder ID-OO oder ID-000.

Die Einrichtung zum Erzeugen von Einmal-Passwörtern kann beispielsweise ein dazu eingerichteter Mikroprozessor sein, insbesondere ein TAN-Generator zum Er¬ zeugen von Transaktionsnummern (TANs) für den gesicherten elektronischen Zah¬ lungsverkehr. Wahlweise sind in dem Mikroprozessor weitere Funktionen imple¬ mentiert.

Wahlweise ist der Mikroprozessor mit Funktionen eines Smart Card Controllers so eingerichtet, dass der Datenträger eine Multifunktions-Smart-Card ist, insbesondere eine Multifunktions-Smart-Card auf Java-Basis, insbesondere eine Java Card.

Das erzeugte Einmal-Passwort ist gemäß einer bevorzugten Ausfuhrungsform eine Transaktionsnummer (TAN) zum Abwickeln einer gesicherten elektronischen Zah¬ lungsverkehr-Transaktion über ein einem Inhaber des Datenträgers zugeordnetes Kundenkonto.

Bei einer Verwendung dieser bevorzugten Ausfuhrungsform der Erfindung erzeugt der Inhaber mit seinem Datenträger eine Transaktionsnummer (TAN), liest sie vom Display ab und gibt die abgelesene Transaktionsnummer in eine Transaktionsein¬ richtung zum Tätigen von elektronischen Zahlungsverkehr-Transaktionen ein, bei¬ spielsweise in ein Transaktionsterminal bei einem Kreditinstitut (Bank, Sparkasse), oder beim Homebanking in den eigenen Computer und von dort über das Internet schließlich an einen Transaktionsserver eines Kreditinstituts.

Vorzugsweise hat der Datenträger weiter die Funktion einer Zahlungsverkehrkarte, z.B. einer ec-Karte oder einer Kreditkarte, in der Informationen in Bezug auf ein ei¬ nem Inhaber des Datenträgers zugeordnetes Kundenkonto und/oder Funktionalitäten zum Abwickeln von gesicherten elektronischen Zahlungsverkehr-Transaktionen über das Kundenkonto implementiert sind. Diese Ausführungsform hat den weiteren Vorteil, dass zum Erzeugen des Einmal- Passworts ein Datenträger verwendet wird, den der Inhaber des Datenträgers ohnehin schon mit sich führt, nämlich seine ec-Karte oder Kreditkarte oder sonstige ähnliche Zahlungsverkehrkarte.

Besonders bevorzugt ist diese Ausführungsform in Verbindung damit, dass das er¬ zeugte Einmal-Passwort eine Transaktionsnummer (TAN) zum Abwickeln einer gesicherten elektronischen Zahlungsverkehr-Transaktion über ein einem Inhaber des Datenträgers zugeordnetes Kundenkonto ist. In diesem Fall beginnt der Inhaber eines Kundenkontos, beispielsweise eines Girokontos bei einem Kreditinstitut, und einer zum Kundenkonto gehörigen Zahlungsverkehrkarte (ec-Karte oder Kreditkarte etc.) mit seiner Zahlungsverkehrkarte eine Transaktion auf übliche Weise. Beim Home¬ banking an seinem Computer beginnt der Konto- und Karteninhaber die Transaktion beispielsweise durch entsprechende Eingaben in eine Eingabemaske auf dem Bild¬ schirm des Computers. Die Transaktion soll nun noch durch den Konto- und Kar¬ teninhaber bestätigt und dadurch zur Ausfuhrung freigegeben werden. Gemäß der bevorzugten Ausführungsform der Erfindung erzeugt der Inhaber die Transaktions¬ nummer TAN mit derselben Zahlungsverkehrkarte, mit der er die Transaktion be- gönnen hat, liest die Transaktionsnummer TAN vom Display der Zahlungsverkehr¬ karte ab und gibt die TAN in seinen Computer ein. Ein umständlicher, kostspieliger und unsicherer Versand von Transaktionsnummern (TANs) mit der Post ist nicht erforderlich. Folglich ist der Datenträger gemäß der bevorzugten Ausfuhrungsform besonders einfach zu handhaben und zusätzlich besonders sicher.

Wahlweise hat der Datenträger alternativ oder zusätzlich die Funktion einer elektro¬ nischen Geldbörse (GELDKARTE). In diesem Fall ist vorzugsweise das Display (auch) zum Anzeigen von Informationen der elektronischen Geldbörse eingerichtet, insbesondere zum Anzeigen des aktuellen Guthabenstandes der elektronischen GeId- börse. Das Display erlaubt somit sowohl die Anzeige eines erzeugten Einmal- Passworts als auch die Anzeige des Guthabenstands oder sonstiger Informationen der elektronischen Geldbörse.

Gemäß einer weiteren bevorzugten Ausfuhrungsform weist der Datenträger weiter eine zum Ansteuern des Displays eingerichtete Display-Steuerlogik auf, z.B. einen an sich bekannten Display-Treiber. Weiter vorzugsweise ist die Display-Steuerlogik von der Einrichtung zum Erzeugen von Einmal-Passwörtern unabhängig betreibbar, wodurch insbesondere erreicht wird, dass zum Anzeigen eines erzeugten Einmal- Passworts auf dem Display die Einrichtung zum Erzeugen von Einmal-Passwörtern außer Betrieb sein kann. Dies ist besonders dann vorteilhaft, wenn, wie weiter bevor¬ zugt ist, die Display-Steuerlogik einen erheblich geringeren Leistungsverbrauch (E- nergieverbrauch pro Zeit) oder Stromverbrauch hat als die Einrichtung zum Erzeu¬ gen von Einmal-Passwörtern. In diesem Fall braucht die Einrichtung zum Erzeugen von Einmal-Passwörtern, die einen höheren Stromverbrauch hat, nur während des Erzeugens eines Einmal-Passworts in Betrieb sein. Zum Anzeigen des erzeugten Einmal-Passworts braucht nur die stromsparende Steuerlogik in Betrieb zu sein.

Typischerweise ist zudem die Dauer zum Erzeugen eines Einmal-Passworts, die im Bereich von Mikrosekunden liegt, erheblich geringer als die Dauer, die zum Ablesen des Displays erforderlich ist, und die im Bereich einiger Sekunden liegt. Aus diesem Grund ist die Menge an Energie, die sich einsparen lässt, indem die Einrichtung zum Erzeugen eines Einmal-Passworts, z.B. ein Mikroprozessor, nur beim Erzeugen des Einmal-Passworts betrieben wird, und indem zum Anzeigen des erzeugten Einmal- Passworts eine stromsparende, energiesparende Display-Steuerlogik (z.B. Display- Treiber) verwendet wird, ganz erheblich.

Gemäß einer bevorzugten Ausflihrungsform weist der Datenträger mit der zusätzli¬ chen Display-Steuerlogik weiter einen zwischen die Einrichtung zum Erzeugen von Einmal-Passwörtern und die Display-Steuerlogik koppelbaren Display-Speicher auf, in dem zur Anzeige auf dem Display vorgesehene erzeugte Einmal-Passwörter spei¬ cherbar sind, so dass sie mittels der Display-Steuerlogik direkt aus dem Display- Speicher heraus auf dem Display anzeigbar sind. Sobald ein erzeugtes Einmal- Passwort aus der Einrichtung zum Erzeugen von Einmal-Passwörtern in den Display- Speicher geladen ist, kann die Einrichtung zum Erzeugen von Einmal-Passwörtern (z.B. Mikroprozessor) außer Betrieb genommen werden.

Wahlweise ist der Display-Speicher, ebenso wie die Display-Steuerlogik, stromspa¬ rend und/oder energiesparend betreibbar.

Wahlweise ist der Display-Speicher ein flüchtiger Speicher, der ein Haltezeit hat, die ausreichend lange ist, damit ein auf dem Display angezeigtes Einmal-Passwort vom Display abgelesen werden kann. Ein solcher flüchtiger Display-Speicher hat den Vorteil, dass die Anzeige einer auf dem Display angezeigten TAN von selbst wieder erlischt, günstigerweise, nachdem ein Benutzer die TAN vollständig abgelesen hat. Hierdurch wird verhindert, dass ein Unbefugter die TAN später erneut ablesen kann. Beispielsweise beträgt die Haltezeit mindestens eine Sekunde, weiter vorzugsweise mindestens drei Sekunden, weiter vorzugsweise mindestens fünf Sekunden. Wahl¬ weise beträgt die Haltezeit höchstens fünf Sekunden, alternativ höchstens zehn Se¬ kunden, alternativ höchstens dreißig Sekunden, alternativ höchstens eine Minute.

Wahlweise sind das Display und der Display-Speicher getrennte Elemente.

Wahlweise ist alternativ das Display selbst zugleich der Display-Speicher, insbeson¬ dere, falls der Display-Speicher ein flüchtiger Speicher mit einer vorbestimmten Haltezeit ist, z.B. einer Haltezeit wie der im vorangehenden Absatz beschriebenen Haltezeit. Beispielsweise ist das kombinierte Display-Speicher/Display ein bistabiles Display, welches nach seinem Abtrennen von der Versorgungsenergie noch einige Zeit lang, während der Haltezeit, den vor dem Abtrennen der Versorgungsspannung zuletzt angezeigten Wert anzeigt. Die Haltezeit des bistabilen Displays ist durch Pa¬ rameter wie beispielsweise die chemische und/oder geometrische Beschaffenheit des bistabilen Displays eingestellt. Der Wert der Haltezeit für ein solches bistabiles Dis¬ play kann je nach Wahl der Parameter von ungefähr einer Sekunde bis zu mehrere Monate sein. Im Zusammenhang mit der Erfindung sind die Parameter, insbesondere die chemische und/oder geometrische Beschaffenheit des bistabilen Displays, vor¬ zugsweise so gewählt, dass eine Haltezeit wie die weiter oben beschriebene erzielt ist (z.B. typischerweise fünf Sekunden).

Wahlweise ist der Display-Speicher ein flüchtiger Speicher (z.B. ein RAM), der in einem Retention-Mode (insbesondere RAM-Retention-Mode) betreibbar ist, in dem der Display- Speicher seinen Speicherinhalt unter einer geringen Stromzufuhr halten kann. Für einen Display-Speicher in Gestalt eines typischen RAM beträgt der Strom,, der zum Halten des Speicherinhalts des Display-Speichers im RAM-Retention-Mode erforderlich ist, ungefähr 0,1 μA. Ein solcher Strom kann auch von einer Batterie bereitgestellt werden, die zum Einbau in einen Datenträger (z.B. Smart Card, Chip¬ karte) geeignet ist. Wahlweise ist der Display-Speicher ein nichtflüchtiger Speicher, der seinen Speicherinhalt behält ohne dass von außen Energie zugeführt wird, z.B. ein EEPROM. Die Verwendung eines nichtflüchtigen Display-Speichers oder eines flüchtigen Speichers mit Retention-Mode hat den Vorteil, dass ein Benutzer das er¬ zeugte Einmal-Passwort ohne Hast ablesen kann, so dass Ablesefehler beim Ablesen des Einmal-Passworts vermieden werden. Sofern das abgelesene Einmal-Passwort anschließend tatsächlich verwendet wird, besteht auch keine Gefahr eines Miss- brauchs, da das Einmal-Passwort nur ein einziges Mal verwendbar ist und im Fall, dass es erneut verwendet wird, als ungültig zurückgewiesen wird.

Räumlich gesehen können die Display-Steuerlogik, die Einrichtung zum Erzeugen von Einmal-Passwörtern (z.B. Mikroprozessor) und ggf. der Display-Speicher auf unterschiedlichen Chips, insbesondere Halbleiterchips, implementiert sein. Alterna¬ tiv sind je nach Bedarf einige oder alle der angeführten Elemente Display- Steuerlogik, Einrichtung zum Erzeugen von Einmal-Passwörtern (z.B. Mikroprozes¬ sor) und ggf. Display-Speicher in einem einzigen gemeinsamen Chip implementiert.

Vorzugsweise hat der Datenträger weiter eine Schalteinrichtung zum vor¬ übergehenden und/oder dauerhaften elektrischen Koppeln der Einrichtung zum Er- zeugen eines Einmal-Passworts und/oder ggf. der Display-Steuerlogik und/oder ggf. des Display-Speichers mit einer Energiequelle.

Gemäß einer bevorzugten Ausfuhrungsform weist der Datenträger weiter eine Ener- giequelle auf, insbesondere mindestens eine Batterie und/oder Solarzelle und/oder Piezoelement, so dass der Datenträger autonom betreibbar ist, ohne die Beteiligung eines Terminals oder Lesegeräts bzw. Lese/Schreibgeräts. Insbesondere ist es für den Datenträger gemäß dieser Ausfuhrungsform der Erfindung vorteilhaft, wenn zum Erzeugen, Anzeigen und Ablesen eines Einmal-Passworts keinerlei Hilfsmittel erfor- derlich sind, auch nicht für die Energieversorgung des Datenträgers. Daher wird bei dieser Ausfuhrungsform die Energiequelle innerhalb des Datenträgers auch für die Energieversorgung der Einrichtung zum Erzeugen von Einmal-Pass Wörtern (z.B. Mikroprozessor, TAN-Generator) verwendet. Anders als bei der bekannten elektro¬ nischen Geldbörse mit Display, bei der während der Benutzung des Börsenchips der Börsenchip in jedem Fall über eine kontaktbehaftete Schnittstelle mit einem Termi¬ nal gekoppelt ist, so dass der Börsenchip ohne Zusatzaufwand auch durch das Ter¬ minal mit Energie versorgt werden kann, ist der erfmdungsgemäße Datenträger mit einer Einrichtung zum Erzeugen von Einmal-Passwörtern bei dieser Ausführungs¬ form in der Regel beim Erzeugen eines Einmal-Passworts nicht mit einem externen Terminal verbunden. Daher ist es bei dieser Ausführungsform der Erfindung vorteil¬ haft, wenn während des gesamten Erzeugens, Anzeigens und Ablesens eines Einmal- Passworts keine externe Energiequelle erforderlich ist, sondern wenn die interne E- nergiequelle des Datenträgers verwendet wird.

Bei einer weiteren Ausfuhrungsform der Erfindung wird während des Erzeugens des Einmal-Passworts der Datenträger teilweise oder ganz, vorzugsweise ganz, mit Ener¬ gie aus einer Energiequelle außerhalb des Datenträgers versorgt, beispielsweise mit Energie aus einer Energiequelle in einem Terminal für den Datenträger. Die Energie¬ übertragung vom Terminal an den Datenträger kann dabei wahlweise kontaktlos oder kontaktbehaftet erfolgen. Bei einer weiteren Ausfuhrungsform der Erfindung, die auch mit der zuletzt ge¬ nannten kombiniert sein kann, wird während des Anzeigens des Einmal-Passworts auf dem Display der Datenträger teilweise oder ganz, vorzugsweise ganz, mit Ener¬ gie aus einer Energiequelle innerhalb des Datenträgers versorgt.

Gemäß weiteren bevorzugten Ausführungsformen wird während des Erzeugens des Einmal-Passworts die Einrichtung zum Erzeugen von Einrnal-Passwörtern mit Ener¬ gie aus einer Energiequelle außerhalb des Datenträgers versorgt. Dies hat den Vor¬ teil, dass außerhalb des Datenträgers in der Regel problemlos eine leistungsfähige Energiequelle untergebracht werden kann, was innerhalb des Datenträgers nicht not¬ wendig der Fall ist. Zudem wird ggf. durch die ström- und spannungsintensive Ein¬ richtung zum Erzeugen von Einmal-Passwörtern eine ggf. im Datenträger vorhande¬ ne interne Energiequelle nicht belastet, oder der Datenträger kommt mit einer weni¬ ger leistungsfähigen Energiequelle aus. Weiter vorzugsweise wird während des An- zeigens des Einmal-Passworts auf dem Display eine von der Einrichtung zum Erzeu¬ gen von Einmal-Passwörtern gesonderte Display- Steuerlogik zum Ansteuern des Displays mit Energie aus einer Energiequelle innerhalb des Datenträgers versorgt. Das Anzeigen des Einmal-Passworts kann auf diese Weise unabhängig von einer Zugangsmöglichkeit zu einer externen Energiequelle, beispielsweise einer Energie- quelle in einem Terminal, und daher besonders komfortabel erfolgen.

Gemäß einer weiteren Ausfuhrungsform der Erfindung wird eine Mehrzahl von min¬ destens zwei Einmal-Passwörtern erzeugt und im Datenträger abgespeichert, ohne dass dazwischen ein Einmal-Passwort auf dem Display angezeigt wird.

Wahlweise werden eine Mehrzahl von Einmal-Passwörtern unter Verwendung einer externen Energiequelle erzeugt, während der Datenträger mit der externen Energie¬ quelle gekoppelt ist.

Die externe Energiequelle kann z.B. die Energiequelle eines Terminals für Datenträ¬ ger sein, beispielsweise eines Zahlungsverkehrterminals. Später, beispielsweise beim Homebanking am eigenen PC, können die vorab erzeugten Einmal-Passwörter am Display angezeigt werden, wozu beispielsweise eine interne Energiequelle verwendet wird, die im Datenträger vorgesehen ist. Bei dieser Variante reicht innerhalb des Datenträgers eine Energiequelle, die eine relativ niedrige Spannung liefert, die zum Anzeigen des Einmal -Pass worts auf dem Display ausreicht, die aber zum Erzeugen von Einmal-Passwörtern unter Umständen nicht ausreichen würde.

Verbreitet sind Batterien, die eine Spannung von ca. 2,7 Volt liefern. Wird die inter¬ ne Energiequelle des Datenträgers nur zum Anzeigen eines Einmal-Passworts auf dem Display benötigt, wird beispielsweise eine einzelne solche 2,7-Volt-Batterie im Datenträger vorgesehen. Wird die interne Energiequelle des Datenträgers hingegen auch zum Erzeugen eines Einmal-Passworts mit einer üblichen Einrichtung zum Er¬ zeugen von Einmal-Passwörtern, z.B. eines TAN-Generators in Gestalt eines Mikro- controllers bzw. Mikroprozessors, benötigt, die üblicherweise eine Versorgungs- Spannung von 5 Volt benötigt, werden zwei solche 2,7- Volt-Batterien im Datenträger vorgesehen, die zusammengeschaltet die erforderlichen 5 Volt zu liefern vermögen. Statt zwei 2,7- Volt-Batterien vorzusehen, kann alternativ auch eine einzelne Batterie mit z.B. 2,7 Volt Spannung oder einem anderen Spannungswert unter der Betriebs¬ spannung des Mikroprozessors von z.B. 5 Volt vorgesehen werden, die mit einer nachgeschalteten Ladungspumpe (Chargepump) kombiniert ist, so dass die erforder¬ lichen z.B. 5 Volt erzeugt werden. Für MikroController bzw. Mikroprozessoren, die mit niedrigeren Betriebsspannungen auskommen, reichen entsprechend Batterien oder Batterieanordnungen mit niedrigeren Spannungen, z.B. eine einzelne 2,7-Volt- Batterie ohne Spannungsanpassung.

Die Anzahl der Einmal-Passwörter, die vorab erzeugt und abgespeichert werden, ohne dass zwischen dem Erzeugen und Abspeichern der Einmal-Passwörter ein Ein- mal-Passwort auf dem Display angezeigt wird, hat wahlweise einen vorbestimmten Wert, der beispielsweise bei typischerweise 250 liegen kann, alternativ bei typi- scherweise 1000 oder mehreren Tausend. Alternativ kann eine Anzahl von lediglich typischerweise 10 Einmal-Passwörtern erzeugt und abgespeichert werden, was den Vorteil hat, dass im Fall eines Verlusts des Datenträgers nur eine geringe Anzahl von vorab erzeugten Einmal-Passwörtern in die Hände eines möglicherweise erfolgrei¬ chen Hackers gelangt. Wahlweise wird die Anzahl von Passwörtern bei jedem Kon¬ taktieren des Datenträgers mit einer externen Energiequelle, z.B. bei jedem Kontak- tieren mit einem Terminal, auf den vorbestimmten Wert aufgefüllt, sofern seit dem letzten Kontaktieren Einmal-Passwörter verbraucht worden sind.

Die Schalteinrichtung ist vorzugsweise derart eingerichtet, dass sie bewirkt, dass die Einrichtung zum Erzeugen von Einmal-Passwörtern während des Erzeugens eines Einmal-Passworts mit Energie aus der Energiequelle versorgt wird. Weiter ist die Schalteinrichtuhg vorzugsweise derart eingerichtet, dass die Versorgung der Ein¬ richtung zum Erzeugen von Einmal-Passwörtern mit Energie der Energiequelle un¬ terbrochen wird, sobald das Einmal-Passwort erzeugt und zur Anzeige auf dem Dis¬ play gesichert ist, da bei dieser Funktionsweise der Schalteinrichtung ein besonders stromsparender Betrieb des Datenträgers ermöglicht ist. Gesichert zur Anzeige auf dem Display ist das Einmal-Passwort beispielsweise sobald es in dem Display- Speicher abgespeichert ist.

Weiter vorzugsweise ist die Schalteinrichtung derart eingerichtet, dass während des Anzeigens des Einmal-Passworts auf dem Display die Display-Steuerlogik und ggf. je nach Bedarf der Display-Speicher mit Energie der Energiequelle versorgt wird.

Vorzugsweise steuert die Schalteinrichtung also insgesamt die Energieversorgung des Datenträgers während des gesamten Ablaufs des Erzeugens eines Einmal- Passworts mit der Einrichtung zum Erzeugen von Einmal-Passwörtern und des nach¬ folgenden Anzeigens des erzeugten Einmal-Passworts auf dem Display. Gemäß den vorstehend beschriebenen bevorzugten Ausführungsformen werden dabei nur dieje¬ nigen Elemente des Datenträgers mit Energie versorgt, die zum jeweiligen Zeitpunkt Energie benötigen. Dies ist besonders bei einem Datenträger mit einer eigenen inter- nen Energiequelle vorteilhaft, die zur Energieversorgung der Display-Steuerlogik und der Einrichtung zum Erzeugen von Einmal-Passwörtern und ggf. des Display- Speichers verwendet wird.

Weiter ist die Schalteinrichtung vorzugsweise mittels einer manuell betätigbaren Energie-Bedieneinrichtung, insbesondere einer Tastatur mit mindestens einer Taste oder eines Druckknopfes oder Tastschalters, betätigbar. Beispielsweise wird durch ein einziges Drücken der Energie-Bedieneinrichtung, beispielsweise eines Tast¬ schalters, ein Einmal-Passwort erzeugt und auf dem Display angezeigt. Dabei wird die Energiezufuhr innerhalb des Datenträgers wie weiter oben beschrieben effizient geregelt. Die Energie-Bedieneinrichtung kann insbesondere mit jeder beliebigen Art von Schalter ausgeführt sein, z.B. mechanischer Schalter, Piezoschalter, Relais etc..

Gemäß einer Variante wird „auf Knopfdruck", d.h. durch Bedienen der Energie- Bedieneinrichtung in jedem Fall sofort ein Einmal-Passwort erzeugt. Der Datenträger gemäß dieser Variante ist besonders komfortabel zu handhaben.

Gemäß einer alternativen Variante weist der Datenträger weiter eine Zugangs- Kontrolleinrichtung auf, die den Betrieb des Datenträgers zum Erzeugen eines Ein- mal-Passworts nur auf eine erfolgreiche Eingabe einer vorbestimmten Zugangs- Kennung (z.B. personal identification number, PIN) hin ermöglicht. Der Datenträger gemäß dieser Variante bietet ein höheres Maß an Sicherheit als der Datenträger ohne die Zugangskontrolle mittels der Zugangs-Kennung (PIN).

Statt einer PIN kann als Zugangs-Kennung, damit der Betrieb des Datenträgers er- möglicht wird, alternativ ein biometrisches Merkmal einzugeben sein, beispielsweise ein oder mehrere Fingerabdrücke, ein Augenirismerkmal, ein Gesichtsmerkmal wie z.B. die Gesichtsform etc.. Entsprechend hat der Datenträger wahlweise eine biomet¬ rischer Erfassungseinrichtung wie z.B. einen Fingerabdrucksensor zum Erfassen von Fingerabrücken oder/und eine Kamera zum Erfassen der Augeniris bzw. der Ge- sichtsform oder anderer Gesichtsmerkmale einer Person, die auf den Datenträger zugreifen möchte. Weiter vorzugsweise weist der Datenträger mit Zugangskontrolle über die Zugangs- Kennung eine Zugangs-Bedieneinrichtung zum Bedienen der Zugangs- Kontrolleinrichtung auf, insbesondere eine Tastatur mit mindestens einer Taste oder einen Druckknopf oder Tastschalter.

Die Zugangs-Bedieneinrichtung kann beispielsweise eine Zehnertastatur sein, ein Tastenfeld mit zwei Tasten oder eine einzige Taste.

Wahlweise sind die Energie-Bedieneinrichtung, mit der die Energieversorgung und die Erzeugung von Einmal-Passwörtern ausgelöst wird, und die Zugangs- Bedieneinrichtung, mit der die Zugangs-Kennung eingegeben werden kann, durch ein gemeinsames Universal-Bedienelement gebildet, das je nach Art der Bedienung die Eingabe der Zugangs-Kennung ermöglicht oder die Erzeugung eines Einmal- Passworts auslöst. Das gemeinsame Universal-Bedienelement kann beispielsweise durch einen einzigen Tastschalter gebildet sein.

Im Folgenden wird die Erfindung anhand von Ausführungsbeispielen und unter Be¬ zugnahme auf die Zeichnung näher erläutert, in der zeigen:

Fig. 1 eine schematische Darstellung einer elektronischen Geldbörse (Geldkarte) mit Display;

Fig. 2 eine schematische Darstellung eines erfindungsgemäßen als ec-Karte mit Geldkartenfunktion gestalteten Datenträgers mit einer Einrichtung zum Er¬ zeugen von Einmal-Passwörtern und mit einem Display zum Anzeigen eines erzeugten Einmal-Passworts.

Fig. 1 zeigt eine schematische Darstellung einer elektronischen Geldbörse (Geldkar- te) 100 mit Display 103. Die Geldkarte 100 hat einen Smart Card Controller, nämlich den Geldbörsenchip 101, auf dem ein elektronisches Guthaben gespeichert ist, Kon- takte 102 für die kontaktbehaftete Kontaktierung des Geldbörsenchips 101, und über die der Geldbörsenchip 101 mit Energie versorgt wird, ein Display 103, eine Dis¬ play-Steuerlogik 104 (System-Controller) zum Ansteuern des Display 103, ein Ener¬ gie-Bedienelement in Form eines Tastschalters 105, eine Energiequelle in Form einer Batterie 106 und eine Schalteinrichtung in Form eines System-Controller-Moduls 107 zum Schalten von Energieströmen und Datenströmen zwischen den einzelnen Elementen innerhalb der elektronischen Geldbörse 100. Die Display-Steuerlogik 104 ist vorzugsweise in das Display 103 integriert, kann aber auch gesondert vorgesehen sein.

Fig. 2 zeigt eine schematische Darstellung eines als ec-Karte 200 mit Geldkarten¬ funktion gestalteten erfindungsgemäßen Datenträgers mit einer Einrichtung zum Er¬ zeugen von Einmal-Passwörtern und mit einem Display 203 zum Anzeigen eines erzeugten Einmal-Passworts.

Die ec-Karte 200 aus Fig. 2 hat einen Smart Card Controller 208. In dem Smart Card Controller 208 ist die Funktion eines Geldbörsenchips einer elektronischen Geldbör¬ se (Geldkartenfunktion) implementiert. Entsprechend hat die ec-Karte Kontakte 202 für die kontaktbehaftete Kontaktierung zwischen der ec-Karte 200 und einem exter- nen Lesegerät oder Terminal, um die für eine elektronische Geldbörse üblichen Kommunikationsvorgänge zwischen der ec-Karte 200 und dem Lesegerät bzw. Ter¬ minal durchfuhren zu können. Die ec-Karte ist einem Kundenkonto zugeordnet, nämlich einem Bankkonto (z.B. Girokonto) bei einem Kreditinstitut.

Zusätzlich zu den für elektronische Geldbörsen (Geldkarten) üblichen Funktionali¬ täten ist in dem Smart Card Controller 208 ein TAN-Generator 201 implementiert, mit dem sich Einmal-Passwörter in Form von Transaktionsnummern (TANs) für gesicherte elektronische Zahlungsverkehr-Transaktionen erzeugen lassen.

Unter elektronischen (Zahlungsverkehr-)Transaktionen werden beispielsweise Ü- berweisungen, Orders für Wertpapiere, Einrichtung, Löschung und Änderung von Daueraufträgen und Sparplänen, Aufträge betreffend die Führung des Kundenkontos wie z.B. Freistellungsaufträge oder Adressänderungen, und dergleichen verstanden.

Weiter weist die ec-Karte 200 aus Fig. 2 auf: einen flüchtigen Display-Speicher 209 zum Speichern einer erzeugten Transaktionsnummer (TAN), ein Display 203 zum Anzeigen von durch den TAN-Generator 201 erzeugten und im Display-Speicher 209 abgespeicherten Transaktionsnummern (TANs), eine Display-Steuerlogik 204 (Display-Treiber) zum Ansteuern des Displays 203, ein Energie-Bedienelement in Form eines Tastschalters 205, eine Energiequelle in Form von zwei in Reihe ge- schalteten Batterien 206 und eine Schalteinrichtung in Form eines System- Controller-Moduls 207 zum Schalten von Energieströmen und Datenströmen zwi¬ schen den einzelnen Elementen innerhalb der ec-Karte 200. Die Batterien 206 liefern gemeinsam die zum Betreiben der Smart Card erforderliche Spannung. Diese Span¬ nung beträgt derzeit in der Regel 5 V +/- 10 %, so dass beispielsweise zwei Batterien zuje 2,7 V verwendet werden. Wahlweise sind mehr oder weniger als zwei Batterien vorgesehen, durch die sich insgesamt die erforderliche Spannung bereitstellen lässt.

Der Display-Speicher 209 ist funktionell gesehen mit der Schalteinrichtung in Ge¬ stalt eines System-Controller-Moduls 207 und mit der Display-Steuerlogik 204 (System-Controller) koppelbar und ist vorzugsweise in die Schalteinrichtung 207 integriert oder alternativ in die Display-Steuerlogik 204 integriert.

Die Display-Steuerlogik (Display-Treiber) 204 ist wahlweise in das Display 203 in¬ tegriert oder von dem Display 203 gesondert vorgesehen.

Der Smart Card Controller 208 mit dem TAN-Generator 201, die Schalteinrichtung in Form eines System-Controller-Moduls 207, der Display- Speicher 209 und die Display-Steuerlogik 204 sind wahlweise auf gesonderten Chips implementiert oder alle oder ein Teil von ihnen auf ein und demselben Chip implementiert. Mit der ec-Karte 200 lässt sich beispielsweise folgendermaßen eine TAN erzeugen und auf dem Display 203 anzeigen.

Ein Benutzer betätigt den Tastschalter (Funktionstaster) 205, d.h. drückt ihn und lässt ihn wieder los, und löst hierdurch die Erzeugung einer TAN aus.

Auf das Betätigen des Tastschalters (Funktionstasters) 205 hin liefert die Schaltein¬ richtung (System-Controller-Modul 207) an den Smart Card Controller 208 ein Takt¬ signal CLK und eine Betriebsspannung Vcc. Zum nun vorgesehenen Betrieb des TAN-Generators 201 wird die Betriebsspannung Vcc durch die Batterien 206 gelie¬ fert. Sobald das Taktsignal CLK und die Betriebsspannung Vcc beim Smart Card Controller 208 bereitstehen, sendet die Schalteinrichtung (System-Controller-Modul 207) über eine erste Datenleitung I/Ol einen TAN-Erzeugungs-Befehl an den Smart Card Controller 208, genauer an den TAN-Generator 201, mit dem der TAN- Generator 201 aufgefordert wird, eine (neue) TAN zu erzeugen. (Alternativ wird der TAN-Erzeugungsbefehl über die zweite Datenleitung I/O2 oder über die dritte Da¬ tenleitung I/O3 gesendet). Die TAN wird z.B. als Kryptogramm nach einem an sich bekannten Verfahren erzeugt, mit einer parametrisierten Verschlüsselungsfunktion, einem Schlüssel und einem zu verschlüsselnden Klartext. Die erzeugte TAN wird vom TAN-Generator 201 über eine zweite und dritte Datenleitung I/O2, 1/O3 (bzw. Datenleitung, über die nicht der TAN-Erzeugungs-Befehl gesandt wurde) zur Schalt¬ einrichtung (zum System-Controller-Modul 207) gesandt und im Display-Speicher 209 abgespeichert. Nun werden das Taktsignal CLK und die Betriebsspannung Vcc (oder nur die Betriebsspannung Vcc) zum Smart Card Controller 208 unterbrochen. Statt dessen werden ein für die Display-Steuerlogik 204 (Display-Treiber) geeignetes Taktsignal CLK' und die Betriebsspannung Vcc an die Display-Steuerlogik 204 (Display-Treiber) angelegt. Das Taktsignal CLK' für die Display-Steuerlogik 204 (Display-Treiber) hat in der Regel, um Energie zu sparen, eine niedrigere Frequenz als das Taktsignal CLK für den Smart Card Controller 208. Bei alternativen Dis- plays, die kein Taktsignal benötigen, wird nur die Versorgungsspannung an das Dis¬ play angelegt. Die Batterien 206 müssen nun nur noch die sparsame Schalteinrich- tung (System-Controller-Modul 207) und die sparsame Display-Steuerlogik 204 mit Energie versorgen. Sobald das Taktsignal CLK' (ggf. optional bei Displays, die kei¬ nen Takt benötigen) und die Betriebsspannung Vcc bei der Display- Steuerlogik 204 bereitstehen, sendet die Schalteinrichtung (System-Controller-Modul 207) über eine vierte Datenleitung I/O DATA die in dem Display-Speicher 209 abgespeicherte Transaktionsnurnmer TAN an das Display 203. Die TAN wird auf dem Display 203 angezeigt und verbleibt dort für drei Sekunden angezeigt. Nach Ablauf der drei Se¬ kunden werden die Verbindungen des Taktsignals CLK und der Betriebsspannung Vcc (oder nur der Betriebsspannung Vcc) zur Display-Steuerlogik 204 unterbrochen. Die Anzeige auf dem Display 203 erlischt daraufhin.

Gemäß Fig. 2 verlaufen vier Datenleitungen I/O zwischen dem System-Controller- Modul 207 und der Display-Steuerlogik (Display-Treiber). Alternativ können auch eine höhere oder niedrigere Anzahl von Datenleitungen I/O vorgesehen sein.

Die Anzeigezeit muss nicht drei Sekunden betragen, sondern kann auch einen ande¬ ren sinnvollen Wert haben, beispielsweise vier oder fünf Sekunden.

Folgende beispielhafte Bedienmöglichkeiten für erfmdungsgemäße Datenträger mit nur einem einzigen Tastschalter (Funktionstaster) 205 werden vorgesehen.

Beispielsweise wird die TAN-Erzeugung durch ein langes Betätigen (z.B. Drücken) (z.B. langer als zwei Sekunden) des Tastschalters 205 ausgelöst. Durch ein kurzes Betätigen (z.B. Drücken) des Tastschalters 205 wird bewirkt, dass das Guthaben im Geldbörsenchip der ec-Karte vorübergehend auf dem Display 203 angezeigt wird, beispielsweise für zwei Sekunden. Alternativ löst kurzes Betätigen die TAN- Erzeugung und -Anzeige und langes Betätigen die Anzeige des Guthabens des Geld¬ börsenchips aus. Alternativ wird eine andere ähnliche Bedienweise verwendet, wie sie z.B. für digitale Kleingeräte mit Display wie z.B. Digitaluhren, Digitalthermo- meter und digitale Fahrradcomputer bekannt ist. Alternativ wird die Anzeige des Geldbörsen-Guthabens durch ein einmaliges Drü¬ cken des Tastschalters 205 ausgelöst und die Erzeugung und Anzeige einer TAN durch ein zweimaliges Drücken (z.B. einen Doppelklick wie er ähnlich bei Compu¬ termäusen bekannt ist) des Tastschalters 205 ausgelöst (oder umgekehrt).

Erfindungsgemäße Datenträger mit zwei Tasten als Energie-Bedienelement lassen sich beispielsweise derart bedienen, dass mit einer ersten Taste die Erzeugung und Anzeige einer TAN ausgelöst wird und mit einer zweiten Taste die Anzeige des Bör¬ senguthabens im Börsenchip der elektronischen Geldbörse (Geldkarte) angezeigt wird.

Bei Ausfuhrungsformen der Erfindung, bei denen vor der Erzeugung eines Einmal- Passworts die Eingabe einer Zugangs-Kennung (z.B. PIN) erforderlich ist, hat der Datenträger zur Eingabe der Zugangs-Kennung als Zugangs-Bedieneinrichtung bei- spielsweise eine Zehnertastatur mit Tasten zur Eingabe der Ziffern 0 bis 9. Wahlwei¬ se sind ein oder mehrere weitere Tasten vorgesehen, mit denen sich die Erzeugung und Anzeige eines Einmal-Passworts auslösen lässt. Alternativ werden eine oder mehrere der Tasten zur Eingabe der Zugangs-Kennung (z.B. PIN) auch zum Auslö¬ sen der Erzeugung und Anzeige des Einmal-Passworts (z.B. TAN) verwendet, d.h. die Zehnertastatur dient als Universal-Bedieneinrichtung. Zur Eingabe der Zugangs- Kennung können wahlweise weniger als zehn Tasten vorgesehen sein, mit denen die Ziffern 0 bis 9 durch geeignet ausgewählte Tastenkombinationen eingebbar sind, ähnlich wie sie z.B. zum Einstellen von digitalen Kleingeraten mit Display wie z.B. Digitaluhren, Digitalthermometern und digitalen Fahrradcomputern bekannt sind. Beispielsweise wird mit einer ersten Taste eine einzustellende Stelle einer mehrstel¬ ligen Zugangs-Kennung ausgewählt und mit einer zweiten Taste der Wert der aus¬ gewählten Stelle durch eine entsprechende Anzahl von Malen der Betätigung der zweiten Taste auf einen Wert von 0 bis 9 eingestellt (z.B. „hochgezählt" oder „her¬ untergezählt"). Das Display ist beispielsweise ein Flüssigkristalldisplay, elektronisches Papier oder sonstiges für einen Datenträger geeignetes Display.

Weiter hat das Display beispielsweise eine vorbestimmte Anzahl von Stellen, die z.B. durch Mehr-Segment-Anzeigen oder durch Punktmatrixanzeigen gebildet sind.

Wahlweise hat das Display die gleiche Anzahl von Stellen wie ein erzeugtes anzu¬ zeigendes Einmal-Passwort oder eine größere Anzahl von Stellen als ein anzuzei¬ gendes Einmal-Passwort, so dass ein erzeugtes Einmal-Passwort auf ein Mal auf dem Display anzeigbar ist. Alternativ hat das Display weniger Stellen als ein anzuzeigen¬ des Einmal-Passwort. Dabei wird das Einmal-Passwort beispielsweise als stetig durchlaufende Laufzeile angezeigt. Alternativ wird das Einmal-Passwort in zwei oder mehr Teile zerlegt, die nacheinander auf dem Display angezeigt werden, wahl¬ weise mit oder ohne Überlapp zwischen den Teilen des Einmal-Passworts.

Beispielsweise hat das Display, entsprechend der Länge der derzeit verwendeten Transaktionsnummern (TANs) für gesicherte Zahlungsverkehr-Transaktionen bei Kreditinstituten, sechs Stellen (bzw. mehr Stellen für künftige längere TANs), wobei alle Stellen eines erzeugten Einmal-Passworts (insbesondere TAN) auf ein Mal auf dem Display angezeigt werden. Alternativ hat das Display fünf Stellen. Um ein sechsstelliges Einmal-Passwort auf dem fünfstelligen Display anzuzeigen werden zuerst die ersten fünf Stellen und anschließend die letzten fünf Stellen auf dem Dis¬ play angezeigt (Anzeigeart mit Überlapp, d.h. die mittleren Stellen werden beide Male angezeigt). Alternativ werden auf dem fünfstelligen Display zuerst die ersten drei und anschließend die letzten drei Stellen des sechsstelligen Einmal-Passworts angezeigt (Anzeigeart ohne Überlapp, d.h. jede Stelle des Einmal-Passworts wird nur ein Mal angezeigt).