Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer- Terminal

Die Erfindung betrifft ein Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie ein solches Benutzer-Terminal.

In Benutzer-Terminals muss aus Sicherheitsgründen ein Zugriff auf sensible, insbesondere sicherheitsrelevante Daten

abgesichert beziehungsweise beschränkt werden. Ferner ist in Benutzer-Terminals, die zum Beispiel eine Benutzereingabe über ein berührungsempfindliches Display empfangen oder

Kartendaten über einen Kartenleser einiesen, während eines sicherheitsrelevanten Prozesses oder einer

sicherheitsrelevanten Anwendung sicherzustellen, dass

Informationen, die aus der Benutzereingabe oder dem Einlesen der Kartendaten resultieren, abgesichert bzw. ausschließlich einer vorbestimmten Anwendung beziehungsweise einem

vorbestimmten Benutzerprogramm übergeben werden, ohne dass andere Anwendungen oder andere Benutzerprogramme, die während des Betriebes des Benutzer-Terminals laufen, derartige

Informationen erhalten können. Derartige Aspekte sind

insbesondere bei Benutzer-Terminals relevant, die

sicherheitsrelevante Aufgaben erfüllen, zum Beispiel bei sogenannten elektronischen Bezahl-Terminals , die

elektronische Bezahlvorgänge ermöglichen und in denen

sicherheitsrelevante Informationen verarbeitet und zwischen den einzelnen Komponenten ausgetauscht werden. Bisherige Lösungen sehen vor, eine Authentifizierung von Benutzerprogrammen, die während des Betriebes des Benutzer- Terminals ablaufen, über Zertifikate abzusichern und zu prüfen. Eine solche Lösung ist zum Beispiel aus der

Druckschrift US 9,715,600 B2 bekannt. Solche Lösungen haben jedoch den Nachteil, dass Benutzerprogramme trotz gültiger Sicherheitszertifikate unmittelbar Zugriff auf

sicherheitsrelevante Hardware-Komponenten innerhalb des Benutzer-Terminals erlangen und unerlaubten Zugriff auf sensible Daten erhalten können. Hierbei besteht somit die Gefahr, dass Benutzerprogramme die Hardware-Komponenten manipulieren oder ausnutzen, um an sicherheitsrelevante

Informationen zu gelangen, die jedoch nicht für eine

Verarbeitung innerhalb dieser Benutzerprogramme vorgesehen sind. Insbesondere bei multifunktionalen Benutzer-Terminals, auf denen verschiedenste Drittanbieter-Programme und

Applikationen installiert werden können, kann ein Schutz über Sicherheitszertifikate unter Umständen unzureichend sein.

Es ist somit eine Aufgabe der vorliegenden Erfindung ein Verfahren sowie ein Benutzer-Terminal der eingangs genannten Art zu beschreiben, die eine verbesserte Absicherung eines Zugriffs auf Informationen innerhalb des Benutzer-Terminals erlauben .

Diese Aufgabe wird gemäß einem ersten Aspekt durch ein

Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals gemäß Patentanspruch 1 gelöst. Weitergehende Merkmale und Implementierungen sind in den zugehörigen Unteransprüchen offenbart.

Bei diesem Verfahren sind eine oder mehrere Hardware- Komponenten des Benutzer-Terminals vermittels einer ersten Programmschnittstelle an ein Verarbeitungsprogramm abgebunden. Das Verarbeitungsprogramm führt eine Verarbeitung von ersten Informationen durch, die von der oder den

Hardware-Komponenten bereitgestellt und vermittels der ersten Programmschnittstelle an das Verarbeitungsprogramm übergeben werden .

Ferner ist ein Benutzerprogramm vermittels einer zweiten Programmschnittstelle an das Verarbeitungsprogramm

angebunden. Das Benutzerprogramm tauscht mit dem

Verarbeitungsprogramm zweite Informationen aus.

Die zweite Programmschnittstelle unterscheidet sich von der ersten Programmschnittstelle. Ein (unmittelbarer) Zugriff des Benutzerprogramms vermittels der ersten Programmschnittstelle auf die eine oder die mehreren Hardware-Komponenten wird dabei unterbunden.

Die Verarbeitung der ersten Informationen durch das

Verarbeitungsprogramm umfasst eine Filterung der ersten

Informationen .

Das vorliegende Verfahren ermöglicht auf diese Weise eine kategorische Verhinderung eines unmittelbaren Zugriffs eines Benutzerprogramms auf abzusichernde Informationen, die von Hardware-Komponenten innerhalb des Benutzer-Terminals

bereitgestellt werden. Die Hardware-Komponenten sind

diesbezüglich über die erste Programmschnittstelle durch das Verarbeitungsprogramm, nicht aber durch das Benutzerprogramm zugänglich. Das Benutzerprogramm, und vorteilhaft auch alle anderen im Benutzer-Terminal eingerichteten

Benutzerprogramme, hat ausschließlich vermittels der zweiten Programmschnittstelle Zugriff auf das Verarbeitungsprogramm. Erste Informationen, die zwischen den Hardware-Komponenten und dem Benutzerprogramm gemäß einer vorbestimmten

Funktionalität des Benutzer-Terminals ausgetauscht werden sollen, werden zunächst über die erste Programmschnittstelle zwischen den Hardware-Komponenten und dem

Verarbeitungsprogramm ausgetauscht und vermittels des

Verarbeitungsprogramms weiter verarbeitet. Diese weitere Verarbeitung umfasst eine Filterung der ersten Informationen.

Anschließend werden zweite Informationen vermittels der zweiten Programmschnittstelle zwischen dem

Verarbeitungsprogramm und dem Benutzerprogramm ausgetauscht. Die Verarbeitung der zweiten Informationen durch das

Benutzerprogramm ist somit auf die Verwendung der zweiten Programmschnittstelle beschränkt. Die zweiten Informationen können die gefilterten ersten Informationen und/oder weitere Informationen enthalten.

Ein entsprechender Informationsaustausch zwischen allen beteiligten Komponenten innerhalb des Benutzer-Terminals kann zum Beispiel über ein Software-Protokoll gesteuert werden, das einen entsprechenden (beschränkten) Zugriff auf die jeweiligen Programmschnittstellen steuert. Die Verwendung und ggf. Konfiguration der ersten beziehungsweise zweiten

Programmschnittstellen kann vorteilhaft über vorgegebene Benutzerrechte, Zertifikate oder entsprechende Policies gesteuert werden.

Auf diese Weise ist ein abgesicherter Zugriff auf sensible Informationen innerhalb des Benutzer-Terminals eingerichtet, wobei die oben erläuterten Gefahren und Nachteile

herkömmlicher Lösungen weitestgehend unterbunden werden.

Aufgrund der Auftrennung einer Zugriffskette zwischen dem Benutzerprogramm und den Hardware-Komponenten über verschiedene Programmschnittstellen unter Zwischenschaltung des Verarbeitungsprogramms in Kombination mit einer Filterung der von den Hardware-Komponenten bereitgestellten

Informationen innerhalb des Verarbeitungsprogramms, wird ein (manipulativer) Zugriff eines Benutzerprogramms auf sensible Informationen der Hardware-Komponenten unterbunden. Somit wird sichergestellt, dass gegebenenfalls unsichere

Benutzerprogramme, zum Beispiel Programme von Drittanbietern, die auf dem Benutzer-Terminal installiert sind, keinen

(manipulativen) Zugriff auf derartige Informationen erhalten. Damit kann verhindert werden, dass sicherheitsrelevante

Informationen, die vermittels der Hardware-Komponenten verarbeitet werden, zum Beispiel personenbezogene Daten, PIN- Abfragen (PIN = Englisch: personal Identification number) , vertrauliche Informationen, Kartendaten von Bank-, Zahlungs oder Sicherheitskarten, z.B. so genannte PAN-Nummern (PAN = Englisch: primary account number) und so weiter, von nicht berechtigten Benutzerprogrammen abgegriffen werden. Durch Filterung der von den Hardware-Komponenten bereitgestellten Informationen können sensible Daten innerhalb der Sphäre des Verarbeitungsprogramms bzw. der Hardware-Komponenten

verbleiben. Diese sensiblen Daten sind dann vor einem

ungewollten Zugriff durch Benutzerprogramme geschützt.

Gegebenenfalls können die sensiblen Daten in geschützter Form, z.B. verschlüsselt, an autorisierte Benutzerprogramme weitergegeben werden.

In einer Implementierung des Verfahrens führt das

Benutzerprogramm eine Verarbeitung der zweiten Informationen durch, die vom Verarbeitungsprogramm bereitgestellt und vermittels der zweiten Programmschnittstelle an das

Benutzerprogramm übergeben werden. Die zweiten Informationen können dabei zumindest zum Teil aus den gefilterten ersten Informationen resultieren. In dieser Implementierung des Verfahrens stellt das Verarbeitungsprogramm die gefilterten Informationen (oder einen Teil der gefilterten Informationen) als die zweiten Informationen vermittels der zweiten

Programmschnittstelle dem Benutzerprogramm bereit. Das

Benutzerprogramm führt eine weitere Verarbeitung der zweiten Informationen durch.

Auf diese Weise werden die ersten Informationen vermittels einer erläuterten Filterung durch das Verarbeitungsprogramm und einer Auftrennung des Informationsaustausches über die ersten und zweiten Programmschnittstellen logisch getrennt von den zweiten Informationen, die an das Benutzerprogramm übergeben werden. Somit erhält das Benutzerprogramm

ausschließlich Informationen, die zunächst vom

Verarbeitungsprogramm gefiltert worden sind. Dadurch wird verhindert, dass das Benutzerprogramm ungewollten Zugriff auf sensible Informationen erhält, die in den ersten

Informationen enthalten sind.

Eine Anwendung dieser Implementierung ist beispielsweise dadurch gegeben, dass die ersten Informationen

personenbezogene oder ansonsten sicherheitsrelevante

Informationen sind, die derart unter Zuhilfenahme des

Verarbeitungsprogramms verarbeitet, insbesondere gefiltert, werden, dass das Benutzerprogramm lediglich einen

vorbestimmten und durch die Filterung gegebenenfalls

dezidiert eingeschränkten Zugriff auf weitere Informationen erhält. Dadurch wird verhindert, dass nicht autorisierte Benutzerprogramme Zugriff auf Informationen erhalten, die nicht für diese Benutzerprogramme bestimmt sind. Durch eine Filterung der ersten Informationen, gesteuert durch das Verarbeitungsprogramm, kann somit ein Informationsfluss hin zu vorbestimmten Benutzerprogrammen anwendungs- und

benutzerrechte-spezifisch kontrolliert und zu schützende Daten herausgefiltert werden. Ein unmittelbares Erlagen der ersten Informationen durch jegliche Benutzerprogramme

innerhalb des Benutzer-Terminals wird, wie oben erläutert, durch eine Trennung zwischen der ersten und zweiten

Programmschnittstelle unterbunden .

In einer Implementierung des Verfahrens umfassen die ersten Informationen einen oder mehrere Kommando-/Datenblöcke eines Kommunikationsprotokolls. Das Verarbeitungsprogramm

analysiert während der Filterung die einen oder mehreren Kommando-/Datenblöcke gemäß vorbestimmten Kriterien und entfernt definierte Informationen innerhalb der einen oder mehreren Kommando-/Datenblöcke oder ersetzt diese durch andere Informationen. Die Kommando-/Datenblöcke sind z.B. als sogenannte „Application Protocol Data Units" (APDU)

aufgebaut. Die Filterung innerhalb des Verarbeitungsprogramms kann dabei als APDU-Filterung implementiert sein. Z.B. kann ein Parser implementiert sein, der die APDU-Kommando- /Datenblöcke analysiert, nach vorbestimmten Befehlen,

Sequenzen, Informationen, o.ä. durchsucht, und gefundene Informationen entsprechend filtert (entfernt oder durch andere Informationen ersetzt). Z.B. können Kartendaten einer Benutzerkarte, die in den APDU-Kommando-/Datenblöcken

eingetragen sind, entsprechend verarbeitet werden. Das

Verarbeitungsprogramm kann zweite Informationen, die die gefilterten ersten Informationen zumindest teilweise

enthalten, an das Benutzerprogramm übergeben. Es ist auch möglich, dass das Benutzerprogramm einen oder mehrere APDU- Befehle an das Verarbeitungsprogramm sendet, wodurch eine Bereitstellung/Übermittlung der zweiten Informationen vom Verarbeitungsprogramm an das Benutzerprogramm ausgelöst wird.

In diversen Implementierungen des Verfahrens umfassen die eine oder mehreren Hardware-Komponenten des Benutzer- Terminals ein berührungsempfindliches Display und/oder ein Karten-Lesegerät, wobei die ersten Informationen aus einer am berührungsempfindlichen Display registrierten Benutzereingabe und/oder aus einem Einlesen von Kartendaten einer

Benutzerkarte am Karten-Lesegerät gewonnen werden. In diesem Fall können die ersten Informationen sensible Daten

enthalten, z.B. Passwörter, PINs, PANs, Kartendaten,

Bankdaten, Kontodaten, Benutzernamen, Benutzeradresse, usw. Die ersten Informationen können hier insbesondere als APDU- Kommando-/Datenblöcke zwischen den Hardware-Komponenten und dem Verarbeitungsprogramm ausgetauscht werden. Das

Verarbeitungsprogramm führt dann eine APDU-Filterung durch.

In diversen Implementierungen des Verfahrens umfasst das Benutzer-Terminal mehrere der Hardware-Komponenten, wobei die Hardware-Komponenten neben dem berührungsempfindlichen

Display und/oder dem Karten-Lesegerät zusätzlich ein

Verschlüsselungsmodul umfassen, und wobei die gewonnenen ersten Informationen vermittels des Verschlüsselungsmoduls verschlüsselt werden. Informationen, die die verschlüsselten ersten Informationen umfassen, können als zumindest ein Teil der zweiten Informationen vom Verarbeitungsprogramm an das Benutzerprogramm übergeben werden. Derartige Maßnahmen stellen neben einer Filterung der ersten Informationen eine weitere Sicherheit gegen unbefugten Zugriff auf sensible Informationen dar. Die ersten Informationen können

(bedarfsweise) verschlüsselt und in verschlüsselter Form vom Verarbeitungsprogramm an ein dezidiertes Benutzerprogramm übergeben werden. Dies hat den Vorteil, dass ein Benutzerprogramm bedarfsweise gesteuerten Zugriff auf erste (ungefilterte) Informationen vermittels des

Verarbeitungsprogramms hat. Aus Sicherheitsgründen werden solche ersten Informationen jedoch verschlüsselt, um einen unbefugten Zugriff durch andere, nicht autorisierte

Benutzerprogramme zu unterbinden. Eine Verschlüsselung kann z.B. über ein asymmetrisches Kryptographie-Verfahren

durchgeführt werden, wobei mehrere Schlüssel

(öffentlicher/privater Schlüssel) zwischen dem

Verarbeitungsprogramm und dem dezidierten Benutzerprogramm verwendet werden. Das Benutzerprogramm kann z.B. über einen intern hinterlegten öffentlichen Schlüssel des

Verarbeitungsprogramms die verschlüsselten ersten

Informationen entschlüsseln und weiterverarbeiten. Ergänzend ist auch möglich, dass gefilterte erste Informationen über das Verschlüsselungsmodul verschlüsselt werden, bevor diese als zweite Informationen an ein Benutzerprogramm übergeben werden .

Diese Implementierungen des Verfahrens können beispielsweise zur Verarbeitung eines Benutzerpasswortes, wie zum Beispiel einer PIN, verwendet werden. Dabei ist beispielsweise

möglich, dass ein Benutzer zunächst eine Benutzerkarte am Karten-Lesegerät _V orhalten muss, wobei Kartendaten der

Benutzerkarte durch das Karten-Lesegerät gelesen werden, und anschließend ein Benutzerpasswort, wie zum Beispiel seine Benutzer-PIN, am berührungsempfindlichen Display des

Benutzer-Terminals eingeben muss. Alternativ können auch Implementierungen vorgesehen sein, bei denen ausschließlich eine Benutzerkarte gelesen wird oder ausschließlich eine Benutzer-PIN-Eingabe erforderlich ist. Hier sind verschiedene Möglichkeiten denkbar. Anschließend werden die so gewonnenen Informationen

(Benutzer-PIN und/oder Kartendaten) über das

Verschlüsselungsmodul, das Teil der Hardware-Komponenten ist, separat oder ergänzend zu einer Filterung dieser gewonnenen Informationen verschlüsselt. Das Verfahren kann derart implementiert sein, dass das Verschlüsselungsmodul durch das Verarbeitungsprogramm kontrolliert beziehungsweise gesteuert wird oder das Verarbeitungsprogramm bestimmte Daten an das Verschlüsselungsmodul zu deren Verarbeitung übergibt. Zum Beispiel kann das Verarbeitungsprogramm dem

Verschlüsselungsmodul einen bestimmten Schlüssel zum

Verschlüsseln der so gewonnenen Informationen übergeben.

Alternativ kann das Verfahren derart implementiert sein, dass ein entsprechender Schlüssel innerhalb des

Verschlüsselungsmoduls hinterlegt ist und das

Verschlüsselungsmodul lediglich die zu verschlüsselnden

Informationen vom Verarbeitungsprogramm mitgeteilt bekommt. Das Verschlüsselungsmodul kann beispielsweise ein

Kryptoprozessor sein. Nach Verschlüsselung der

verschlüsselnden Informationen werden die verschlüsselten Informationen vermittels der ersten Programmschnittstelle vom Verschlüsselungsmodul an das Verarbeitungsprogramm übergeben und können dort gemäß den obigen Erläuterungen gefiltert werden, falls eine derartige Filterung nicht schon vor der Verschlüsselung durchgeführt wurde. Vermittels des

Verarbeitungsprogramms werden die so verarbeiteten

Informationen über die zweite Programmschnittstelle an ein hierfür bestimmtes Benutzerprogramm des Benutzer-Terminals übergeben .

Das Benutzerprogramm kann beispielsweise ein dezidiertes Drittanbieter-Programm sein, für das die verschlüsselten Informationen zur weiteren Verarbeitung bestimmt sind. Auf diese Weise wird verhindert, dass dieses Benutzerprogramm oder sonstige Benutzerprogramme manipulativen unmittelbaren Zugriff auf die über die Hardware-Komponenten verarbeiteten Informationen erhalten. Ferner wird verhindert, dass

Drittanbieter-Benutzerprogramme Zugriff auf verarbeitete Informationen erhalten, die nicht für diese Benutzerprogramme bestimmt sind. Auf diese Weise kann das Verarbeitungsprogramm steuern, welches Benutzerprogramm welche Informationen erhält. Bestimmte Applikationen können auf diese Weise durch das Verarbeitungsprogramm kontrolliert werden, wobei eine logische Trennung des Informationsflusses zwischen den

Hardware-Komponenten und den jeweiligen Anwendungsprogrammen vermittels der Trennung der ersten und zweiten

Programmschnittstelle unter Einsatz einer Verschlüsselung und/oder Filterung der ersten Informationen erfolgt.

Wie oben erläutert, unterscheidet sich die zweite

Programmschnittstelle von der ersten Programmschnittstelle. Die erste Programmschnittstelle ermöglicht den daran

angebundenen Komponenten eine Interprozess-Kommunikation, die sich von einer Interprozess-Kommunikation unterscheidet, die die zweite Programmschnittstelle den daran angebunden

Komponenten bereitstellt . Das kann bedeuten, dass vermittels der ersten Programmschnittstelle bestimmte Funktionsaufrufe, Befehle oder Anweisungen zwischen den daran angebundenen Komponenten ausgetauscht werden können, die vermittels der zweiten Programmschnittstelle lediglich eingeschränkt oder unter Umständen gar nicht erlaubt sind. Es ist auch denkbar, dass sich alternativ oder ergänzend die Funktionsaufrufe, Befehle oder Anweisungen, die durch die erste

Programmschnittstelle bereitgestellt werden, von denjenigen unterscheiden, die die zweite Programmschnittstelle

bereitstellt . Hier sind vielerlei Ausführungen möglich. Die erste und zweite Programmschnittstelle können beispielsweise vordefinierte Anwendungsprogramm-Schnittstellen (Englisch: Application Programm Interfaces, APIs) sein.

Vorteilhaft wird ein Zugriff des Benutzerprogramms vermittels der ersten Programmschnittstelle auf die eine oder die mehreren Hardware-Komponenten dadurch unterbunden, dass eine Anbindung des Benutzerprogramms an die erste

Programmschnittstelle beziehungsweise ein Zugriff des

Benutzerprogramms auf die erste Programmschnittstelle

vollständig unterbunden wird. In dieser Konstellation ist das Benutzerprogramm logisch unmittelbar getrennt von der ersten Programmschnittstelle. Das bedeutet, dass das

Benutzerprogramm keinerlei Funktionsaufruf oder sonstige Anweisungen vermittels der ersten Programmschnittstelle durchführen kann. Es ist alternativ jedoch auch denkbar, dass das Benutzerprogramm zwar an die erste Programmschnittstelle logisch unmittelbar angebunden ist, die erste

Programmschnittstelle jedoch in Bezug auf das

Benutzerprogramm derart konfiguriert ist, dass ein

Funktionsaufruf, ein Befehl oder eine Abfrage von

Informationen der Hardware-Komponenten durch das

Benutzerprogramm vermittels der ersten Programmschnittstelle unterbunden werden. Hier sind verschiedenste

Implementierungen möglich.

In einer Implementierung des Verfahrens wird die erste

Programmschnittstelle innerhalb einer ersten Benutzerumgebung betrieben bzw. kontrolliert, während die zweite

Programmschnittstelle innerhalb einer zweiten

Benutzerumgebung betrieben bzw. kontrolliert wird. Die zweite Benutzerumgebung ist der ersten Benutzerumgebung derart hierarchisch untergeordnet, dass Benutzerrechte der zweiten Benutzerumgebung gegenüber Benutzerrechten der ersten

Benutzerumgebung eingeschränkt sind. Die erste

Benutzerumgebung kann beispielsweise eine sogenannte Root- Benutzerumgebung (root context) sein, während die zweite Benutzerumgebung eine Standardnutzer-Umgebung (user context) ist. Dadurch ist die Funktionalität der ersten

Programmschnittstelle bestimmten Benutzerrechten der ersten Benutzerumgebung unterworfen, während die Funktionalität der zweiten Programmschnittstelle bestimmten Benutzerrechten der zweiten Benutzerumgebung unterworfen ist, die sich von den Benutzerrechten der ersten Benutzerumgebung unterscheiden.

Das Verfahren kann derart implementiert sein, dass die

Benutzerrechte der zweiten Benutzerumgebung derart

eingeschränkt sind, dass vorgegebene Funktionalitäten der zweiten Programmschnittstelle innerhalb der zweiten

Benutzerumgebung lediglich verwendet werden können, jedoch innerhalb der zweiten Benutzerumgebung nicht geändert oder speziell konfiguriert werden können. Hierbei kann das

Verfahren derart implementiert sein, dass die

Funktionalitäten der zweiten Programmschnittstelle innerhalb der ersten Benutzerumgebung festgelegt werden. Alternativ kann das Verfahren derart implementiert sein, dass die

Benutzerrechte der zweiten Benutzerumgebung eine Veränderung der Konfiguration der zweiten Programmschnittstelle erlauben. Ein Zugriff auf bzw. eine Verwendung oder Konfiguration der ersten Programmschnittstelle unterliegt jedoch bei sämtlichen dieser Implementierungen ausschließlich der ersten

Benutzerumgebung .

Es ist möglich, das Verfahren derart einzurichten, dass sowohl innerhalb der ersten Benutzerumgebung als auch

innerhalb der zweiten Benutzerumgebung ein Zugriff auf die zweite Programmschnittstelle zugelassen wird. Das bedeutet, dass die zweite Programmschnittstelle von sämtlichen

Programmen (hier konkret Benutzerprogramm und

Verarbeitungsprogramm) mit entsprechenden Benutzerrechten gesteuert, benutzt oder kontrolliert werden kann. Die erste Programmschnittstelle kann dagegen nur von Programmen (zum Beispiel im hier vorliegenden Fall das Verarbeitungsprogramm und die Hardware-Komponenten) gesteuert, benutzt oder

kontrolliert werden, die über entsprechende Benutzerrechte der ersten Benutzerumgebung verfügen.

Ergänzend können auch das Verarbeitungsprogramm sowie das Benutzerprogramm entsprechend durch getrennte

Benutzerumgebungen kontrolliert werden. Dabei kann zum

Beispiel das Verarbeitungsprogramm innerhalb der ersten

Benutzerumgebung kontrolliert werden und das Benutzerprogramm innerhalb der zweiten Benutzerumgebung kontrolliert werden, wobei die zweite Benutzerumgebung gegenüber der ersten

Benutzerumgebung in ihren Benutzerrechten eingeschränkt ist. Auf diese Weise sind Zugriff- und Steuerrechte des

Benutzerprogramms gegenüber Zugriff- und Steuerrechten des Verarbeitungsprogramms eingeschränkt. Vorteilhaft erhalten sämtliche Benutzerprogramme, die während eines Betriebes des Benutzer-Terminals laufen, ausschließlich Benutzerrechte der zweiten Benutzerumgebung, während das Verarbeitungsprogramm dem gegenüber erweiterte Benutzerrechte, zum Beispiel der ersten Benutzerumgebung, erhalten kann.

In einer Implementierung des Verfahrens sind die eine oder mehreren Hardware-Komponenten des Benutzer-Terminals und/oder das Verarbeitungsprogramm vermittels der ersten

Programmschnittstelle an ein Darstellungsprogramm angebunden. Das Darstellungsprogramm führt eine Verarbeitung von dritten Informationen zur Darstellung auf einem Display des Benutzer- Terminals durch. Die dritten Informationen werden zwischen dem Darstellungsprogramm und der oder den Hardware- Komponenten beziehungsweise dem Verarbeitungsprogramm

vermittels der ersten Programmschnittstelle ausgetauscht. Hinsichtlich einer Konfiguration des Darstellungsprogramms bezüglich der ersten Programmschnittstelle beziehungsweise bezüglich Benutzerrechten einer oben erläuterten ersten

Benutzerumgebung können die gleichen Vorkehrungen gelten, wie sie in Bezug auf das Verarbeitungsprogramm oben erläutert worden sind. Das Darstellungsprogramm ist, wie die Hardware- Komponenten und das Verarbeitungsprogramm, an die erste

Programmschnittstelle angebunden und dient zur Darstellung von dritten Informationen auf einem Display des Benutzer- Terminals. Die dritten Informationen können den ersten und/oder zweiten Informationen entsprechen, derartige

Informationen enthalten oder sich von den ersten oder zweiten Informationen unterscheiden.

Das Darstellungsprogramm kann beispielsweise Hinweisdialoge, Nachrichten oder Benutzeraufforderungen auf einem Display, gegebenenfalls auf einem berührungsempfindlichen Display, darstellen, die einen Benutzer des Benutzer-Terminals zur Verwendung oder Funktonalität der Hardware-Komponenten anleiten. Beispielsweise kann das Darstellungsprogramm ein Dialogfeld im Display anzeigen, wonach der Benutzer des

Benutzer-Terminals aufgefordert wird, eine bestimmte Eingabe an einer oder mehreren Hardware-Komponenten durchzuführen oder allgemein eine bestimmte Interaktion mit einer oder mehreren Hardware-Komponenten zu vollführen. Das

Darstellungsprogramm kann beispielsweise ein sogenanntes Graphical User Interface (GUI) sein. In einer Implementierung des Verfahrens ist das

Benutzerprogramm vermittels der zweiten Programmschnittstelle an das Darstellungsprogramm angebunden. Dabei führt das Darstellungsprogramm eine Verarbeitung von vierten

Informationen zur Darstellung auf dem Display des Benutzer- Terminals durch, wobei die vierten Informationen zwischen dem Darstellungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle ausgetauscht werden. Auf diese Weise kann das Benutzerprogramm vermittels der zweiten

Programmschnittstelle, neben dem Verarbeitungsprogramm, auf das Darstellungsprogramm zugreifen, um bestimmte

Informationen (vierte Informationen) mit dem

Darstellungsprogramm auszutauschen. Beispielsweise kann das Benutzerprogramm bestimmte benutzerprogramm-spezifische

Dialogfelder, Hinweise oder ähnliches des

Darstellungsprogramms auf dem Display des Benutzer-Terminals zur Anzeige bringen. Allerdings gilt auch hier, wie bezüglich des Verarbeitungsprogramms, dass das Benutzerprogramm

ausschließlich vermittels der zweiten Programmschnittstelle mit dem Darstellungsprogramm kommunizieren kann

(eingeschränkte Interprozesskommunikation vermittels der zweiten Programmschnittstelle) , ohne dass das

Benutzerprogramm vermittels der ersten Programmschnittstelle Zugriff auf weitergehende Informationen oder Funktionalitäten hat, die das Darstellungsprogramm mit dem

Verarbeitungsprogramm und/oder den Hardware-Komponenten über die erste Programmschnittstelle austauscht.

In diversen Implementierungen des Verfahrens wird während eines Austausches der zweiten Informationen zwischen dem Verarbeitungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle und/oder während eines

Austausches der dritten Informationen zwischen dem Darstellungsprogramm und der oder den Hardware-Komponenten beziehungsweise dem Verarbeitungsprogramm vermittels der ersten Programmschnittstelle ein Austausch der vierten

Informationen zwischen dem Darstellungsprogramm und dem

Benutzerprogramm vermittels der zweiten Programmschnittstelle unterbunden. Das bedeutet, dass währenddessen das

Benutzerprogramm keinen Zugriff auf das Darstellungsprogramm vermittels der zweiten Programmschnittstelle hat. In diesem Fall erfolgt lediglich eine Informationsübertragung zwischen dem Darstellungsprogramm und den Hardware-Komponenten

beziehungsweise dem Verarbeitungsprogramm vermittels der ersten Programmschnittstelle oder ein Austausch von

Informationen zwischen dem Verarbeitungsprogramm und dem Benutzerprogramm vermittels der zweiten

Programmschnittstelle .

Beispielsweise kann dadurch verhindert werden, dass das Benutzerprogramm einen manipulativen Zugriff auf das

Darstellungsprogramm erhält, wenn sensible Informationen zwischen sonstigen Komponenten des Benutzer-Terminals ausgetauscht werden, die (in dieser Form) nicht für das Benutzerprogramm bestimmt sind. Weiterhin kann auf diese Weise verhindert werden, dass sonstige Benutzerprogramme manipulativen Zugriff auf das Darstellungsprogramm und/oder das Verarbeitungsprogramm erhalten, während entsprechende sensible Informationen zwischen sonstigen Komponenten des Benutzer-Terminals ausgetauscht werden, die nicht für die weiteren Benutzerprogramme bestimmt sind. Auf diese Weise kann zum Beispiel verhindert werden, dass Benutzerprogramme von Drittanbietern Funktionen oder Befehle der zweiten

Programmschnittstelle aufrufen können, während sensible

Informationen im Benutzer-Terminal verarbeitet werden, die nicht für diese Drittanbieter-Benutzerprogramme bestimmt sind .

In diversen Implementierungen wird das Verfahren während eines elektronischen Bezahlvorgangs des Benutzer-Terminals durchgeführt. Der elektronische Bezahlvorgang kann

beispielsweise dadurch ablaufen, dass ein Benutzer eine elektronische Bankkarte an einem hierfür eingerichteten

Karten-Lesegerät der oben erläuterten Art einiesen lässt, wobei vermittels eines oben dargestellten

Darstellungsprogramms bestimmte Anweisungen, Dialogfelder oder Ähnliches an einem Display angezeigt werden.

Beispielsweise kann gesteuert durch das Verarbeitungsprogramm vermittels der ersten Programmschnittstelle und gesteuert durch das Darstellungsprogramm nach Einlesen und Verifizieren von Kartendaten der elektronischen Bankkarte ein Dialogfeld auf dem Display angezeigt werden, das den Benutzer zur

Eingabe einer Benutzer-PIN auffordert. Der Benutzer kann daraufhin eine Benutzer-PIN am Benutzer-Terminal eingeben. Hierfür kann ein vom Display separates Eingabefeld vorgesehen sein. Alternativ kann das Display berührungsempfindlich eingerichtet sein, sodass der Benutzer unmittelbar am Display eine Eingabe vornehmen kann. Die Eingabedaten werden über das Display beziehungsweise das Eingabefeld registriert und dem Verarbeitungsprogramm übergeben. Dies geschieht ebenfalls über die erste Programmschnittstelle. Zusätzlich kann dieser Prozess durch entsprechende Hinweise, Nachrichten oder

Dialogfelder gesteuert durch das Darstellungsprogramm auf dem Display unterstützt werden. Auch dies geschieht über eine Interprozess-Kommunikation zwischen den beteiligten

Komponenten vermittels der ersten Programmschnittstelle. Die auf diese Weise gewonnenen Informationen können gesteuert durch das Verarbeitungsprogramm gemäß der oben erläuterten Funktionsweise gefiltert und/oder unter Zuhilfenahme eines Verschlüsselungsmoduls der oben erläuterten Art verschlüsselt werden. Ein entsprechender Informationsaustausch zwischen den beteiligten Komponenten erfolgt ebenfalls vermittels der ersten Programmschnittstelle. Nach Verschlüsselung/Filterung der entsprechenden Informationen werden diese über das

Verarbeitungsprogramm und die zweite Programmschnittstelle schließlich an ein dezidiertes Benutzerprogramm des Benutzer- Terminals übergeben, wobei das Benutzerprogramm

beispielsweise ein Bezahlprogramm eines

Zahlungsdienstleisters ist, dessen entsprechende Applikation auf dem Benutzer-Terminal installiert ist. Dieses

Benutzerprogramm erhält somit gesteuert durch das

Verarbeitungsprogramm vermittels der zweiten

Programmschnittstelle dezidiert bestimmte Informationen und kann diese innerhalb des Benutzerprogramms weiter

verarbeiten. Beispielsweise können bestimmte personenbezogene Daten des Benutzers vom Benutzerproramm an einen entfernten Authentifizierungs-Server einer Bank versendet werden, um den Benutzer zu authentifizieren und für den Bezahlvorgang freizugeben. Der Vorteil eines derartig gesteuerten

Bezahlvorgangs vermittels des hier erläuterten Verfahrens besteht darin, dass unsichere Benutzerprogramme keinen unmittelbaren Zugriff auf abzusichernde Informationen

erhalten. Ferner wird verhindert, dass derlei Informationen an Benutzerprogramme weitergegeben werden, die nicht für diese Benutzerprogramme bestimmt sind. Auf diese Weise wird ein sicherer Zugriff auf sensible Informationen innerhalb des Benutzer-Terminals gewährleistet und ein manipulativer

Zugriff auf diese sensiblen Informationen durch

nichtautorisierte Benutzerprogramme unterbunden. Gemäß einem zweiten Aspekt wird die obige Aufgabe durch ein Benutzer-Terminal gemäß dem nebengeordneten Patentanspruch 7 gelöst. Vorteilhafte Ausführungsformen sind in den

zugehörigen Unteransprüchen offenbart.

Das Benutzer-Terminal weist eine oder mehrere Hardware- Komponenten, ein Verarbeitungsprogramm und ein

Benutzerprogramm auf. Die eine oder mehreren Hardware- Komponenten sind vermittels einer ersten

Programmschnittstelle an das Verarbeitungsprogramm

angebunden. Das Benutzerprogramm ist vermittels einer zweiten Programmschnittstelle an das Verarbeitungsprogramm

angebunden. Die zweite Programmschnittstelle unterscheidet sich von der ersten Programmschnittstelle. Das Benutzer- Terminal ist derart konfiguriert, dass ein (unmittelbarer) Zugriff des Benutzerprogramms vermittels der ersten

Programmschnittstelle auf die eine oder die mehreren

Hardware-Komponenten unterbunden ist. Innerhalb des

Verarbeitungsprogramms ist ein Filter implementiert zur Filterung von Informationen, die von der oder den Hardware- Komponenten bereitgestellt und vermittels der ersten

Programmschnittstelle an das Verarbeitungsprogramm übergeben werden. Auch in Bezug auf ein derartiges Benutzer-Terminal gelten die im Zusammenhang mit dem obigen Verfahren

erläuterten Vorteile analog.

In diversen Ausführungsformen des Benutzer-Terminals ist der Filter eingerichtet, Kommando-/Datenblöcke eines

Kommunikationsprotokolls innerhalb der bereitgestellten

Informationen gemäß vorbestimmter Kriterien zu analysieren und definierte Informationen innerhalb der Kommando- /Datenblöcke zu entfernen oder durch andere Informationen zu ersetzen. Die Kommando-/Datenblöcke sind z.B. als sogenannte „Application Protocol Data Units" (APDU) aufgebaut. Der

Filter innerhalb des Verarbeitungsprogramms kann dabei als APDU-Filter implementiert sein. Z.B. kann ein Parser

implementiert sein, der eingerichtet ist die APDU-Kommando- /Datenblöcke zu analysieren, nach vorbestimmten Befehlen, Sequenzen, Informationen, o.ä. zu durchsuchen, und gefundene Informationen entsprechend zu filtern (zu entfernen oder durch andere Informationen zu ersetzen) . Auch hier gelten die im Zusammenhang mit dem obigen Verfahren erläuterten Aspekte analog .

In diversen Ausführungsformen des Benutzer-Terminals umfassen die eine oder mehreren Hardware-Komponenten des Benutzer- Terminals ein berührungsempfindliches Display und/oder ein Karten-Lesegerät . Die Informationen sind aus einer am

berührungsempfindlichen Display registrierten Benutzereingabe und/oder aus einem Einlesen von Kartendaten einer

Benutzerkarte am Karten-Lesegerät erfassbar.

In diversen Ausführungsformen umfasst das Benutzer-Terminal mehrere der Hardware-Komponenten, wobei die Hardware- Komponenten neben dem berührungsempfindlichen Display

und/oder dem Karten-Lesegerät zusätzlich ein

Verschlüsselungsmodul umfassen. Das Verschlüsselungsmodul ist eingerichtet, erfasste Informationen, die aus einer am berührungsempfindlichen Display registrierten Benutzereingabe beziehungsweise aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät erfasst werden, zu

verschlüsseln und die verschlüsselten Informationen

vermittels der ersten Programmschnittstelle dem

Verarbeitungsprogramm zu übergeben. Das Verarbeitungsprogramm ist eingerichtet, die erfassten Informationen vor oder nach einer Verschlüsselung entsprechend den obigen Vorgaben zu filtern. Das Verarbeitungsprogramm ist ferner eingerichtet, Informationen, die die verschlüsselten und ggf. gefilterten Informationen umfassen, vermittels der zweiten

Programmschnittstelle an das Benutzerprogramm zu übergeben.

Das Benutzer-Terminal ist vorteilhaft ein elektronisches Bezahl-Terminal , wobei das Benutzerprogramm zur Abwicklung eines elektronischen Bezahlvorgangs eingerichtet ist. Auch hier gelten die obigen Erläuterungen analog.

Sämtliche hier dargestellten Implementierungen, Merkmale und Aspekte des oben erläuterten Verfahrens finden in

strukturellen Merkmalen des Benutzer-Terminals Niederschlag und umgekehrt.

Die vorliegende Erfindung wird anhand eines

Ausführungsbeispiels unter Zuhilfenahme einer Zeichnung nachfolgend näher erläutert.

Die Figur zeigt ein Benutzer-Terminal 1, in dem ein

Benutzerprogramm 11, ein Verarbeitungsprogramm 9 und ein Darstellungsprogramm 13 installiert sind und bei Betrieb des Benutzer-Terminals 1 ablaufen. Neben dem Benutzerprogramm 11 können ein oder mehrere weitere Benutzerprogramme 12

installiert sein. Die Benutzerprogramme 11 beziehungsweise 12 können beispielsweise bestimmte Drittanbieter-Programme oder Softwareapplikationen sein, die von (oder für)

Drittanbieter (n) auf dem Benutzer-Terminal 1 installiert sind und vorbestimmte Funktionalitäten für Benutzer zur Verfügung stellen. Auf diese Weise kann ein multifunktionales Benutzer- Terminal 1 realisiert werden. Das Benutzerprogramm 11 ist beispielsweise ein Bezahlprogramm eines Zahlungsdienstleisters , wie zum Beispiel einer Bank, zur Abwicklung eines elektronischen Bezahlvorgangs. Das

Benutzerprogramm 11 umfasst bestimmte Funktionalitäten beziehungsweise Funktionen oder Funktionsblöcke 16, die die Funktionalität des Benutzerprogramms 11 vorgeben. Die

Funktionsblöcke 16 können Funktionen für den elektronischen Zahlungsverkehr, z.B. einen sogenannten EMVCo Stack, und oder ein Netzwerk-Framework, z.B. ein sogenanntes Agnos-Framework, umfassen .

Das Verarbeitungsprogramm 9 (z.B. als „gpiDBus" bezeichnet) umfasst bestimmte Funktionsblöcke 14, die zur Funktionalität des Verarbeitungsprogramms 9 eingerichtet sind.

Beispielsweise können die Funktionsblöcke 14 bestimmte aufzurufende Programmfunktionen zur Verarbeitung von Daten und Informationen innerhalb des Verarbeitungsprogramms 9 umfassen. Diese können z.B. auf PIN bezogene (PIN related), auf Karten/Kartenleser bezogene (card related) , auf

Verschlüsselung bezogene (crypto related) oder auf

Magnetstreifen/Magnetstreifenleser bezogene (MSR related) Programmfunktionen sein.

Innerhalb des Verarbeitungsprogramms 9, z.B. innerhalb der Funktionsblöcke 14, sind ein oder mehrere Filter zur

Filterung von Daten und Informationen innerhalb des

Verarbeitungsprogramms 9 implementiert. Der oder die Filter umfassen z.B. einen oder mehrere Parser, die die

Informationen analysieren, durchsuchen und gefundene

Informationen nach vorgegebenen Kriterien filtern (entfernen oder durch andere Informationen ersetzen) . Der oder die Filter können als APDU-Filter implementiert sein, wobei die zu filternden Informationen einen oder mehrere Kommando-/Datenblöcke eines APDU-

Kommunikationsprotokolls umfassen. Das Verarbeitungsprogramm 9 analysiert während der Filterung die einen oder mehreren APDU-Kommando-/Datenblöcke gemäß vorbestimmten Kriterien und entfernt definierte Informationen innerhalb der einen oder mehreren APDU-Kommando-/Datenblöcke oder ersetzt diese durch andere Informationen. Z.B. ist ein APDU-Parser implementiert, der die APDU-Kommando-/Datenblöcke analysiert, nach

vorbestimmten Befehlen, Sequenzen, Informationen, o.ä.

durchsucht, und gefundene Informationen entsprechend filtert (entfernt oder durch andere Informationen ersetzt) .

Der oder die Filter können spezielle Filter für spezielle Funktionen/Funktionsblöcke 14 sein. Z.B. ist ein Filter für Informationen/Daten von Programmfunktionen eingerichtet, die auf Karten/Kartenleser bezogene (card related)

Programmfunktionen sind. Ein anderer Filter kann dagegen für Informationen/Daten von Programmfunktionen eingerichtet sein, die auf Magnetstreifen/Magnetstreifenleser bezogene (MSR related) Programmfunktionen sind. Alternativ kann auch ein Filter eingerichtet sein, der für diverse verschiedene der erläuterten Programmfunktionen eingerichtet ist.

Das Darstellungsprogramm 13 umfasst bestimmte Funktionsblöcke 15, die über das Darstellungsprogramm 13 verarbeitet werden können. Beispielsweise ist das Darstellungsprogramm 13 ein GUI, wobei die Funktionsblöcke 15 bestimmte Dialogfelder, Nachrichten oder sonstige Anweisungen zur Darstellung auf einem Display des Benutzer-Terminals 1 umfassen. Diese können z.B. Dialoge der Form „showButtonDlg" , „showImageDlg" , „showMessageDlg" , „showAmount", „showListDlg" , „EnterPINDlg" usw. sein.

Neben den erläuterten Programmen weist das Benutzer-Terminal 1 vorbestimmte Hardware-Komponenten 2 bis 7 auf. Die

Hardware-Komponenten 2, 3, 4 und 5 stellen dabei spezielle, ggf. speziell abzusichernde, Hardware-Komponenten dar. Diese umfassen Hardware-Komponenten zur Erfassung beziehungsweise Verarbeitung von zu schützenden oder anderweitig sensiblen Informationen, wie zum Beispiel personenbezogene Daten,

Benutzerpasswörter, oder ähnliches. Die Hardware-Komponenten 2, 3, 4 und 5 umfassen einen Kartenleser 2, beispielsweise einen Smartcard-Leser, ein Display 3, beispielsweise ein berührungsempfindliches Display, ein Verschlüsselungsmodul 4, beispielsweise einen sogenannten Kryptoprozessor, und ein weiteres Lesegerät 5, das beispielsweise als

Magnetstreifenleser (MSR) eingerichtet ist.

Die weiteren Hardware-Komponenten 6 und 7 können

beispielsweise Anzeigeelemente, Bedienelemente oder weitere Erfassungselemente, wie zum Beispiel Scanner und so weiter, umfassen. Die Scanner können beispielsweise einen Handvenen- Scanner oder einen Dokumenten-Scanner umfassen.

Das Verarbeitungsprogramm 9, das Darstellungsprogramm 13 sowie die Hardware-Komponenten 2, 3, 4 und 5 sind über eine erste Programmschnittstelle 8 (z.B. als „DBusSession"

bezeichnet) miteinander gekoppelt. Über die erste

Programmschnittstelle 8 können diese Komponenten

untereinander Informationen austauschen. Ein Austausch kann über ein vorbestimmtes Software-Protokoll erfolgen, das die erste Programmschnittstelle 8 steuert. Dagegen ist das Benutzerprogramm 11 und ggf. auch weitere Benutzerprogramme 12 über eine zweite Programmschnittstelle

10 (z.B. als „DBusSystem" bezeichnet) sowohl an das

Verarbeitungsprogramm 9 als auch an das Darstellungsprogramm 13 angebunden. Auf diese Weise erhält das Benutzerprogramm 11 Zugriff auf das Verarbeitungsprogramm 9 beziehungsweise das Darstellungsprogramm 13, nicht jedoch unmittelbaren Zugriff auf die Hardware-Komponenten 2, 3, 4 und 5 vermittels der ersten Programmschnittstelle 8. Vielmehr ist die erste

Programmschnittstelle 8 logisch derart von der zweiten

Programmschnittstelle 10 getrennt, dass ein unmittelbarer Aufruf von Funktionen, Befehlen oder ein Erhalten von

Informationen durch das Benutzerprogramm 11 von den Hardware- Komponenten 2 bis 5 unterbunden wird. Die beiden

Programmschnittstellen 8 und 10 sind z.B. APIs.

Im Benutzer-Terminal 1 sind unterschiedliche

Benutzerumgebungen 17 und 18 eingerichtet. Diese

Benutzerumgebungen 17, 18 definieren unterschiedliche

Benutzerrechte hinsichtlich einer Konfiguration

beziehungsweise eines Zugriffs auf die erste beziehungsweise zweite Programmschnittstelle 8 und 10 beziehungsweise auf die einzelnen Programme, insbesondere das Verarbeitungsprogramm 9, das Darstellungsprogramm 13 und das Benutzerprogramm 11 beziehungsweise 12. Die erste Benutzerumgebung 17 ist

beispielsweise eine sogenannte Root-Benutzerumgebung, während die zweite Benutzerumgebung 18 eine Standardnutzer-Umgebung ist. Eine entsprechende logische Zugriffstrennung bzw.

spezielle Absicherung ist in der Figur durch eine senkrechte gestrichelte Linie durch das Benutzer-Terminal 1 bzw. durch dunkle Balken an den Komponenten 2, 3, 4, 5 und 8 angedeutet. Dadurch soll symbolisiert werden, dass die Benutzerprogramme

11 und 12 beziehungsweise eine Nutzung, Kontrolle oder Konfiguration der zweiten Programmschnittstelle 10 innerhalb der zweiten Benutzerumgebung 18 eingerichtet sind, während das Verarbeitungsprogramm 9 und das Darstellungsprogramm 13 beziehungsweise eine Nutzung, Kontrolle oder Konfiguration der ersten Programmschnittstelle 8 beziehungsweise ein

Zugriff auf die Hardware-Komponenten 2 bis 5 innerhalb der ersten Benutzerumgebung 17 eingerichtet sind. Die weiteren Hardware-Komponenten 6 und 7 können derart "offen"

eingerichtet sein, dass diese unmittelbar von den

Benutzerprogrammen 11 und 12 innerhalb der zweiten

Benutzerumgebung 18 angesteuert werden können.

Aufgrund einer derartigen Implementierung des Benutzer- Terminals 1 ist ein sicherer Zugriff auf die Hardware- Komponenten 2 bis 5 und ein abgesicherter Zugriff auf

Informationen, die durch die Hardware-Komponenten 2 bis 5 generiert oder erfasst werden, während eines programmatischen Ablaufs einer bestimmten Funktionalität des Benutzer- Terminals 1 möglich.

Das Benutzer-Terminal 1 wird beispielsweise für einen

elektronischen Bezahlvorgang verwendet. Der Bezahlvorgang wird durch das Benutzerprogramm 11 initiiert beziehungsweise ausgelöst und ein entsprechender Funktionsaufruf vermittels der zweiten Programmschnittstelle 10 in das

Verarbeitungsprogramm 9 und/oder in das Darstellungsprogramm 13 durchgeführt. Dieser Funktionsaufruf kann z.B. ein APDU- Funktionsaufruf sein. Hierbei kann beispielsweise ein

bestimmtes Dialogfeld über das Darstellungsprogramm 13 auf dem Display 3 des Benutzer-Terminals 1 einem Benutzer dargestellt werden. Das Verarbeitungsprogramm 9 steuert vermittels der ersten Programmschnittstelle 8 beispielsweise den Kartenleser 2 oder 5 an und löst gesteuert durch das Darstellungsprogramm 13 und die erste Programmschnittstelle 8 eine Darstellung eines Hinweisdialoges auf dem Display 3 aus, durch den der Benutzer aufgefordert wird, eine bestimmte Benutzereingabe durchzuführen. Dies kann beispielsweise eine Eingabe einer Benutzer-PIN umfassen. Der Benutzer kann zum Beispiel über das berührungsempfindliche Display 3 eine

Benutzer-PIN am Display 3 eingeben, wobei diese Information über die erste Programmschnittstelle 8 an das

Verarbeitungsprogramm 9 weitergegeben wird. Gegebenenfalls kann in diesem Zusammenhang auch gesteuert über das

Darstellungsprogramm 13 ein bestimmter Hinweisdialog oder eine bestimmte Nachricht am Display 3 ausgegeben werden.

Die vom Kartenleser 2 beziehungsweise 5 oder über das Display 3 gewonnenen Informationen (Kartendaten/Magnetstreifendaten einer Benutzerkarte und/oder Benutzer-PIN) können vom

Verarbeitungsprogramm 9 weiter verarbeitet werden. Hierzu kann das Verarbeitungsprogramm 9 beispielsweise eine

Filterung der gewonnenen Informationen durchführen, indem der hierfür bestimmte Filter die gewonnenen Informationen nach den Kartendaten/Magnetstreifendaten der eingelesenen

Benutzerkarte und/oder nach der eingegebenen Benutzer-PIN durchsucht. Diese Informationen können z.B. innerhalb eines oder mehrerer APDU-Kommando-/Datenblöcke hinterlegt sein. Der Filter analysiert die APDU-Kommando-/Datenblöcke und filtert die vorgegebenen Informationen. Z.B. werden

Kartendaten/Magnetstreifendaten der eingelesenen

Benutzerkarte und/oder eine eingegebene Benutzer-PIN aus den APDU-Kommando-/Datenblöcken entfernt oder durch andere

Informationen ersetzt.

Alternativ oder ergänzend werden die vom Kartenleser 2 beziehungsweise 5 oder über das Display 3 gewonnenen Informationen (vor oder nach einer etwaigen Filterung) dem Verschlüsselungsmodul 4 übergeben, das die Informationen über einen vorgegebenen Schlüssel verschlüsselt. Der Schlüssel kann im Verschlüsselungsmodul 4 vorhinterlegt sein oder dem Verschlüsselungsmodul 4 vom Verarbeitungsprogramm 9 übergeben werden. Alternativ können die erfassten Informationen direkt von den entsprechenden Hardware-Komponenten 2, 3 und 5 über die erste Programmschnittstelle 8 den Verschlüsselungsmodul 4 übergeben werden, ohne zuvor in das Verarbeitungsprogramm 9 zu gelangen. Hier sind verschiedene Implementierungen

möglich. Die über das Verschlüsselungsmodul 4 verschlüsselten Informationen werden über die erste Programmschnittstelle 8 dem Verarbeitungsprogramm 9 übergeben.

Das Verarbeitungsproramm 9 kann die gefilterten und/oder verschlüsselten Informationen schließlich über die zweite Programmschnittstelle 10 dem Benutzerprogramm 11 zur

Verfügung stellen. Innerhalb des Benutzerprogramms 11 können die so übergebenen Informationen weiter verarbeitet werden. Beispielsweise kann eine Benutzer-PIN (die für das

Benutzerprogramm 11 nicht vom Verarbeitungsprogramm 9 aus den Informationen herausgefiltert wurde) derart weiter

verarbeitet werden, dass sie in verschlüsselter Form an einen entfernt liegenden Authentifizierungs-Server übergeben wird.

Vorteilhaft wird während des Austausches der erläuterten Informationen zwischen den Hardware-Komponenten 2 bis 5 und dem Verarbeitungsprogramm 9 beziehungsweise dem

Darstellungsprogramm 13 vermittels der ersten

Programmschnittstelle 8 ein Aufruf von Funktionalitäten durch das Benutzerprogramm 11 vermittels der zweiten

Programmschnittstelle 10 in Richtung des

Verarbeitungsprogramms 9 beziehungsweise in Richtung des Darstellungsprogramms 13 unterbunden. Auch die weiteren

Benutzerprogramme 12 können in einem entsprechenden

Funktionsaufruf in das Verarbeitungsprogramm 9

beziehungsweise in das Darstellungsprogramm 13 vermittels der zweiten Programmschnittstelle 10 gehemmt sein. Dies hat den Vorteil, dass kein manipulativer Zugriff auf das

Verarbeitungsprogramm 9 beziehungsweise das

Darstellungsprogramm 13 durch eines der Benutzerprogramme 11, 12 möglich ist, während sensible Informationen zwischen den Hardware-Komponenten 2 bis 5 und den Programmen 9 und 13 vermittels der ersten Programmschnittstelle 8 ausgetauscht werden .

Das erläuterte Benutzer-Terminal 1 ermöglicht auf diese Weise eine Absicherung eines Zugriffs auf sensible Informationen, die durch Hardware-Komponenten innerhalb des Benutzer- Terminals 1 generiert, verarbeitet oder erfasst werden.

Benutzerprogramme 11 und 12 innerhalb der Standardnutzer- Umgebung 18 haben auf diese Weise keinerlei

Zugriffsmöglichkeit auf die abzusichernden Informationen vermittels der ersten Programmschnittstelle 8, sodass die über die Hardware-Komponenten 2 bis 5 erfassten Informationen nicht unmittelbar von den Benutzerprogrammen 11 und 12 abgerufen werden können. Auch wird eine Manipulation der Hardware-Komponenten 2 bis 5 über die Benutzerprogramme 11 und 12 auf diese Weise verhindert. Ein Informationsaustausch zwischen den Hardware-Komponenten 2 bis 5 und den

Benutzerprogrammen 11 beziehungsweise 12 erfolgt dennoch gesteuert über das Verarbeitungsprogramm 9 vermittels einer Informationsübertragung zwischen der ersten

Programmschnittstelle 8 und der zweiten Programmschnittstelle 10. Ein derartiger Informationsaustausch kann beispielsweise über ein Softwareprotokoll gesteuert werden. Das Verarbeitungsprogramm 9 kann dabei bestimmte Informationen, die von den Hardware-Komponenten 2 bis 5 erfasst werden, weiter verarbeiten, bevor das Verarbeitungsprogramm 9 vermittels der zweiten Programmschnittstelle 10 die

verarbeiteten Informationen an die Benutzerprogramme 11 beziehungsweise 12 weitergibt. Eine derartige Verarbeitung sieht, wie erläutert, eine Filterung und/oder Verschlüsselung der Informationen vor. Auf diese Weise kann sichergestellt werden, dass entsprechende Informationen lediglich an

diejenigen Benutzerprogramme 11 beziehungsweise 12 in

demjenigen Sicherheitsgrad weitergegeben werden, der für diese Benutzerprogramme 11, 12 vorgesehen ist.

Die dargestellte Ausführungsform ist lediglich beispielhaft gewählt.

Bezugszeichenliste

1 Benutzer-Terminal

2 Kartenleser

3 Display

4 Verschlüsselungsmodul

5 Magnetstreifenleser

6 Anzeigeelement/Scanner/Bedienelement 7 Anzeigeelement/Scanner/Bedienelement 8 erste Programmschnittstelle

9 Verarbeitungsprogramm

10 zweite Programmschnittstelle

11 Benutzerprogramm

12 Benutzerprogramm

13 Darstellungsprogramm

14 Funktionsblöcke im Verarbeitungsprogramm

15 Funktionsblöcke im Darstellungsprogramm

16 Funktionsblöcke im Benutzerprogramm 17 erste Benutzerumgebung

18 zweite Benutzerumgebung