-
Die
Erfindung richtet sich auf ein Verfahren zum Erkennen der unerlaubten
Benutzung einer zum Zugriff auf eine Dienstleistungsanlage, zum
Zugang zu Räumen
od. dgl. berechtigenden Identifizierung mit einem personenbezogenen
Speichermedium, und mit einer Schreib-/Leseeinrichtung für dieses Speichermedium,
wobei die Schreib-/Leseeinrichtung mit einer Auswerte- und Entscheidungseinrichtung
kommuniziert, wobei zur Überprüfung und
Identifizierung in dem personenbezogenen Speichermedium gespeicherte
Daten gelesen und an die Auswerte- und Entscheidungseinrichtung übertragen werden,
welche in Abhängigkeit
von diesen Daten eine Interaktion gewährt oder verweigert, und wobei ein
Teil der übertragenen
Daten variabel ist und bei jeder Interaktion teilweise durch neue
Daten überschrieben
wird, die von der Auswerteeinrichtung generiert und zu dem Speichermedium übertragen
werden.
-
In
der
EP 0 539 763 A2 ist
eine Zugangskontrollanlage offenbart, wobei in der Nähe einer
zu überwachenden
Tür ein
Leser für
einen als Transponder ausgebildeten Datenträger installiert ist. Wird der
Transponder in die räumliche
Nähe des
Lesegeräts
gehalten, so findet auf elektromagnetischem Weg eine Energieübertragung
zu dem Transponder statt, und jener sendet daraufhin seinen gespeicherten
Informationsgehalt an die Leseeinrichtung. Diese überprüft diese
eingelesenen Informationen mit in einem internen Festspeicher festgelegten
Kundenummern, und im Fall einer Übereinstimmung
wird die Transponder-Information über Datenleitungen
an eine Auswerteeinheit weitergeleitet, die sodann über weitere
Verbindungsleitungen ein Freigabesignal zu der betreffenden Tür sendet.
Hierbei ist ausschließlich
eine unidirektionale Kommunikation mit dem Transponder-Datenträger vorgesehen;
dessen abgespeicherte Informationen werden niemals verändert. Deshalb
kann dieses System überlistet
werden, wenn es gelingt, eine exakte 1:1-Kopie des Transponder-Datenträgers anzufertigen,
deren Informationsgehalt sich nicht von dem Original-Datenträger unterscheidet.
-
Insbesondere
bei Mobilfunknetzen ist die Gefahr eines Mißbrauchs relativ groß, denn
hier kann eine Manipulation an einem Endgerät nicht erkannt werden, außerdem lassen
sich manipulierte Endgeräte
aufgrund ihrer Mobilität
viel intensiver nutzen als bspw. stationäre Telefonanschlüsse, so
dass der entstehende Schaden bei Mobilfunknetzen weitaus größer sein
kann.
-
Zur
Vermeidung eines Mißbrauchs
von Mobilfunknetzen sind daher eine Reihe von Sicherheitsvorkehrungen
vorgesehen: Jeder Teilnehmer besitzt eine sog. Chip-Karte, mit für ihn charakteristischen Daten,
die er zunächst
in ein Endgerät
(Handy) einsetzen muß,
um dieses in Betrieb nehmen zu können.
Sofern der Teilnehmer mit dem Mobilfunknetz in Interaktion treten
will, d.h., zur Durchführung
eines Gesprächs
auf dieses zugreifen will, muß er
zunächst seine
persönliche
Identifikationsnummer eingeben, welche das Handy nun mit den auf
der eingesetzten Chip-Karte gespeicherten Daten vergleicht. Stimmt diese
Zahl überein,
so erkennt das Handy die Identität
des Teilnehmers und tritt nun in Kommunikation mit einer Zentrale
des Mobilfunknetzes, um einen Gesprächskanal zu erhalten. Zu diesem
Zweck funkt das Handy eine Identifikationsnummer; daraufhin antwortet
die Zentrale durch Übertragung
einer Zufallszahl X. Nun unterwirft das Handy die empfangene Zufallszahl
X einer auf der Chip-Karte abgespeicherten Schlüsselfunktion Y und generiert
solchermaßen
eine Ergebniszahl Z. Diese wird zur Zentrale gefunkt, welche das
Ergebnis Z mit einem intern errechneten Referenzwert vergleicht
und bei Identität dieser
beiden Werte den Zugriff auf das Mobilfunknetz freigibt und einen
Gesprächskanal
zuteilt. Dieses Verfahren soll einem Mißbrauch des Mobilfunknetzes
vorbeugen, indem selbst durch Abhören von Kontrollkanälen und
der darauf folgenden Erkennung von Teilnehmernummern dennoch die
Schlüsselfunktion
Y unbekannt bleibt, so dass ein Betrüger niemals die richtige Antwort
Z auf die jeweils unterschiedliche Zufallszahl X senden kann. Es
ist jedoch möglich,
in betrügerischer
Absicht eine 1:1-Kopie einer Chip-Karte anzufertigen und dabei auch
die interne Schlüsselfunktion
Y zu kopieren, die eine Bestimmung des jeweils richtigen Ergebnisses
Z und somit einen Mißbrauch
der betreffenden Teilnehmer-Identifizierung zuläßt.
-
Um
auch hier einen verbesserten Schutz vor Mißbrauch zu bieten, sieht die
DE-PS 34 48 393
vor, dass sowohl in der Teilnehmerstation wie auch in der Zentrale
des Mobilfunknetzes zusätzliche,
veränderbare
Daten vorhanden sind, wobei zum Verbindungsaufbau die betreffenden
Daten von der Teilnehmerstation zur Zentrale übertragen werden, um dort miteinander
verglichen zu werden. Hierbei ist vorgesehen, dass als veränderbare
Daten die Zahl von erfolgreichen Verbindungsaufbauten der Teilnehmerstation
verwendet wird, und dass in der Teilnehmerstation wie auch in der
Zentrale jeweils ein Zähler
angeordnet ist, welche Zähler
bei jedem erfolgreichen Verbindungsaufbau inkrementiert werden.
Hier wird anstelle des fest vorgegebenen Schlüssels ein variabler Zählerstand
verwendet, der sich mit jedem Telefongespräch verändert. Man erhält dadurch
sozusagen einen "dynamischen" Schlüssel, der
folgenden Vorteil hat: Wird eine 1:1-Kopie der betreffenden Chip-Karte
angefertigt, ist zunächst
der Zählerstand auf
der kopierten Karte richtig; bei der nun folgenden Benutzung der
betrügerisch
angefertigten Karte wird zunächst
auch das Schlüsselwort
immer richtig inkrementiert, so dass mehrere Gespräche möglich sind. Sobald
jedoch die Original-Chip-Karte wieder benutzt wird, kann die Zentrale
an dem übertragenen,
falschen Zählerstand
erkennen, dass ein Zweitgerät dieselbe
Identifizierung benutzt. Daraufhin fragt die Zentrale eine zweite
Kennung ab, um das Originalgerät
herauszufinden, und sobald dies geschehen ist, kopiert die Zentrale
dessen Teilnehmernummer, so dass nun der bereits hochgezählte Zählerstand
der betrügerischen
Kopie falsch ist. Bei diesem Verfahren mit "dynamischem" Schlüssel kann zwar ein Mißbrauch
erkannt und vorübergehend
ausgeschlossen werden. Sobald der Betrüger jedoch eine Diskrepanz seines
Zählerstandes
erkennt, kann er durch manuelles Herabzählen seines Zählers versuchen,
den aktuellen Zählerstand
der Zentrale herauszufinden, und sich dann abermals in das Mobilfunknetz
einschmuggeln.
-
In
der japanischen Patentdokumentation JP 7-81521 (A) ist eine Anlage
zur Sicherung eines Kraftfahrzeugs vor unberechtigtem Zugang offenbart. Hierbei
ist innerhalb des Kraftfahrzeugs ein Empfänger vorhanden, der mit einem
tragbaren Sender kommuniziert. Sowohl im Sender wie auch in der
Empfangseinrichtung ist jeweils ein Speicherbaustein vorhanden,
in welchem sowohl unveränderlicher
wie auch variabler Datencode abgelegt ist. Mit diesen Speicherbausteinen
ist jeweils eine Einrichtung gekoppelt, welche den variablen Code
regelmäßig aktualisiert.
Die solchermaßen
aktualisierte, variable Information wird zusammen mit dem festgelegten
Bestandteil zu dem Empfänger übertragen,
und dort wird in einem Vergleichsbaustein der aktuelle, variable
Datenbestandteil mit einem nach dem selben Prinzip generierten,
internen Datensatz verglichen, um die Berechtigung des Benutzers
zu überprüfen. Anschließend wird
von einer zentralen Steuereinheit eine entsprechende Reaktion vorgenommen.
Auch hier findet ausschließlich
ein unidirektionaler Datenfluß von
dem Sender zum Empfänger
statt, so dass bei einer exakten 1:1-Kopie des Senders sowohl die Grundstruktur
des Bausteins zur Datenerneuerung wie auch der aktuelle Speicherinhalt
kopiert werden und demzufolge auch das erzeugte Ausgangssignal zu
dem im Empfänger
generierten Vergleichssignal kompatibel ist. Sobald das betreffende
Auto entwendet ist, arbeitet das Schlüsselduplikat exakt synchron mit
dem internen Empfangsbaustein, so dass der neue Besitzer des Kraftfahrzeugs
in den Genuß des eingebauten
Sicherheitssystems gelangt.
-
Der
US-PS 4,974,193 ist ein
Sicherheitssystem für
den Schutz von Datenverarbeitungsanlagen zu entnehmen. Hierbei ist
jeder zugangsberechtigten Person eine Chip-Karte zugeordnet, deren
Inhalt von einer Leseeinrichtung ausgelesen und zur Auswertung an
ein Terminal übertragen
wird. Zur Sicherung vor unberechtigtem Zugriff ist die Chip-Karte
intelligent ausgebildet und erzeugt eine variable Kontrollziffer,
die an das System übertragen
und dort ausgewertet wird. Als derartige Kontrollziffer wird das
Ausgangssignal eines Verschlüsselungsbausteins
verwendet, dessen Eingangswert nach unterschiedlichen Prinzipien
festgelegt sein kann. Bei einer ersten Ausführungsform wird als Eingangswert
für den
Verschlüsselungsbaustein
das Ausgangssignal eines karteninternen Datums- und Uhrzeitgenerators
herangezogen; bei einer zweiten Ausführungsform ist der Eingangswert
für den
Verschlüsselungsbaustein eine
beliebige, in der Karte gespeicherte Zahl. Bei der aufwendigsten
Ausführungsform
wird der Eingangswert für
den Verschlüsselungsbaustein
durch Kombination eines intern abgelegten Codes oder einer intern
ermittelten Uhrzeit mit der seit dem letzten Zugriff noch gespeicherten,
verschlüsselten
Ausgangszahl gebildet. Bei diesen Ausführungsformen findet jedoch
wiederum bei jedem Zugriff ausschließlich ein unidirektionaler
Informationsaustausch statt, wobei die auf der Chip-Karte erzeugten
Daten an ein Terminal übertragen
und dort mit nach demselben Prinzip erzeugten Daten verglichen werden.
Wiederum ist es möglich,
sich mit einer exakten 1:1-Kopie einer derartigen Chip-Karte in
die Datenbank einzuschleichen. Auch bei der aufwendigsten Ausführungsform
wird solchenfalls das Bildungsgesetz für die Kontrollziffer übernommen,
so dass mit einem derartigen Duplikat eine dynamische Erzeugung
von jeweils richtigen Kontrollziffern möglich ist, so dass die Gefahr
wiederholter Eingriffe in die Datenbank aufgeworfen ist.
-
Aus
diesen Nachteilen des vorbekannten Standes der Technik resultiert
das die Erfindung initiierende Problem, ein Verfahren zum Erkennen
des Mißbrauchs
einer Zugangs- oder Zugriffsberechtigung in Form einer auf einem
personenbezogenen Speichermedium gespeicherten Identifizierung dahingehend
zu verbessern, dass selbst bei einer 1:1-Kopie des Speichermediums
und/oder bei Verwendung eines "intelligenten" Nachbaus eines derartigen
Speichermediums keinerlei Möglichkeit
eines dauerhaften Mißbrauchs
besteht.
-
In
Verfolgung dieses Ziels sieht die Erfindung vor,
- a)
dass die von der Auswerteeinrichtung generierten und zu dem Speichermdium übertragenen
Daten von der Auswerteeinrichtung mit einem Zufallsgenerator erzeugt
werden;
- b) dass ein anderer Teil der variablen Daten bei jeder Interaktion
durch einen Zählerbaustein
inkrementiert wird;
- c) dass die variablen Daten bei der nächsten Interaktion von der
Auswerte/Entscheidungseinrichtung als neues Schlüsselwort zur Identifizierung verlangt
werden, wobei der Teil der variablen Daten, der bei jeder Interaktion
durch einen Zählerbaustein
inkrementiert wird, zur Übertragung
verschlüsselt
wird;
- d) und dass bei einer Abweichung der variablen Daten von den
der Auswerte/Entscheidungseinheit bekannten Soll-Daten der Zugriff/Zugang
mit der betreffenden Identifizierung verweigert wird, bis sich die
zugangsberechtigte Person mittels des nur ihr bekannten Paßworts und/oder
durch Eingabe weiterer, personenbezogener Daten ausgewiesen und
daraufhin einen neuen Satz variabler Daten erhalten hat.
-
Die
Erfindung geht hierbei aus von der Idee eines "dynamischen" Schlüssels, überläßt es jedoch nicht der betreffenden
Teilnehmerstation, das nächste
Schlüsselwort
selbst zu generieren, sondern erzeugt das nächstfolgende Schlüsselwort
auf völlig unvorhersehbare
Art selbst und überträgt es sodann auf
die Teilnehmerstation, welche dieses bis zur nächsten Interaktion speichert.
Hierdurch kann das nächstfolgende
Schlüsselwort
von keiner anderen Teilnehmerstation als eben dieser ermittelt werden, weder
durch eine 1:1-Kopie der betreffenden Chip-Karte, noch durch einen "intelligenten" Nachbau mit bspw.
eingebauter Dekrementierfunktion eines Zählers od. dgl. Eine in betrügerischer
Absicht angefertigte 1:1-Kopie einer Chip-Karte wird spätestens
dann erkannt, wenn die zur Benutzung berechtigte Person ihre Originalkarte
mit dem alten Schlüsselwort
benutzt. Sobald diese daraufhin ein neues Schlüsselwort erhalten hat, ist
es für
die 1:1-Kopie niemals mehr möglich,
den richtigen Schlüssel
herauszufinden. Dies ist dadurch sichergestellt, dass die von der
Auswerteeinrichtung generierten Daten auf völlig unvorhersehbare Art, bspw.
mit einem Zufallsgenerator erzeugt werden.
-
Um
zu erkennen, wieviele der zuletzt geführten Gespräche auf das Konto der betrügerisch
angefertigten 1:1-Kopie zu rechnen sind, ist erfindungsgemäß weiterhin
vorgesehen, dass ein anderer Teil der variablen Daten bei jeder
Interaktion durch einen Zählerbaustein
inkrementiert wird, wobei dieser Teil der variablen Daten zur Übertragung
ggf. verschlüsselt
werden kann. Hierdurch ist es der Zentrale eines Mobilfunknetzes
bspw. möglich,
die Differenz der Zählerstände ihres
Zählers
minus des Zählers
der als Original erkannten Teilnehmerstation zu bilden, wobei diese
Differenz die Anzahl der betrügerisch
geführten
Gespräche
angibt. Nun können
die betreffenden Gebühreneinheiten
von der Rechnung des Originalteilnehmers subtrahiert werden, so
dass dieser von dem Betrugsversuch keinen Schaden hat.
-
Um
die tatsächlich
zugangsberechtigte Person von dem Betrüger zu unterscheiden, können in der
Auswerteeinrichtung ein Paßwort
und/oder personenbezogene Daten gespeichert sein, welche ausschließlich der
zugangsberechtigten Person bekannt sind und deren manuelle oder
verbale Eingabe die Vergabe eines neuen Schlüsselworts an diese Original-Chip-Karte
veranlaßt,
unabhängig
davon, ob das von dieser zuletzt gelesene Schlüsselwort richtig war oder nicht.
Die Abfrage eines Paßworts
oder personenbezogener Daten kann dabei bevorzugt von einem Bediensteten
des Systembetreibers vorgenommen werden, dem neben dieser Tätigkeit
eine Reihe weiterer Aufgaben übertragen
sein können.
Zur Erhöhung
der Sicherheit gegenüber
Betrügern
kann während
eines derartigen Gesprächs,
insbesondere während
der Nennung eines Paßworts,
eine Stimmenanalyse durchgeführt
werden, mit deren Hilfe sich zuverlässig überprüfen läßt, ob die betreffenden Daten
tatsächlich
von der berechtigten Person stammen.
-
Um
eine betrügerische
Chip-Karte ein für
allemal zu entwerten, wird aufgrund einer falschen Identifizierung
jegliche weitere Interaktion verweigert, so dass keinerlei Kosten
anfallen. Es ist jedoch auch möglich,
dieser betrügerischen
Station eine richtige Identifizierung vorzutäuschen und das bspw. folgende
Telefongespräch
aufzuzeichnen, um daraus Rückschlüsse über den
Betrüger
zu gewinnen.
-
Um
auch bei der Initialisierungsphase einer Chip-Karte die Vergabe
eines Paßworts
an eine betrügerisch
erstellte Chip-Karte auszuschließen, kann gemäß einer
bevorzugten Weiterbildung der Erfindung das Paßwort bei einer erstmaligen
Interaktion von dem Speichermedium gelesen und in der Auswerteeinheit
gespeichert und sodann auf dem Speichermedium vollständig gelöscht werden.
Hierdurch erfolgt ausschließlich
ein Datentransfer von der Mobilstation zur Zentrale, niemals dagegen
in umgekehrter Richtung. Indem das Paßwort sodann auf dem Speichermedium
gelöscht
wird, kann es selbst bei einer 1:1-Kopie nicht mehr aufgefunden
werden.
-
Die
Erfindung ist nicht auf Mobilfunknetze beschränkt, sondern kann auch bei
anderen Dienstleistungsanlagen wie Telefonnetzen, bankeigenen Netzen
von Geldausgabeautomaten, (firmeneigenen) Computernetzen oder -systemen
od. dgl. vorteilhaft eingesetzt werden. Voraussetzung ist ausschließlich die
Vergabe von personenbezogenen Speichermedien an zum Zugang oder
zum Zugriff berechtigte Personen, um diese identifizieren zu können. Während bei öffentlichen
Telefonen, Geldausgabeautomaten od. dgl. eine Kommunikation zwischen
dem Speichermedium und der betreffenden Zentrale der Dienstleistungsanlage
ausschließlich zum
Zweck eines Zugriffs auf diese Dienstleistungsanlage erfolgt, so
dass als Interaktion tatsächlich
nur ein erfolgreicher Zugriff anzusehen ist, laufen in Mobilfunknetzen
regelmäßig systeminterne
Funktionen ab, die ebenfalls als Interaktionen im Sinne der Erfindung
angesehen werden können,
welche eine Aktualisierung der variablen Daten ermöglichen.
Bei diesen systeminternen Funktionen handelt es sich bspw. um die
in regelmäßigen Zeitabständen erfolgende
Rückmeldung
einer Teilnehmerstation, um in einer Kontrolliste in der Zentrale
des Mobilfunknetzes ihre Kommunikationsbereitschaft zu signalisieren. Eine
weitere Kommunikation zwischen Mobilstation und Funknetz findet
immer dann statt, wenn die Mobilstation eine Funkzone verläßt und sich
infolge der nachlassenden Empfangsfeldstärke eine andere Feststation
auswählt.
Auch bei dieser als Roaming bezeichneten Zuordnung ist eine Identifizierung
der Teilnehmerstation notwendig, bei der anschließend die
variablen Daten überschrieben
werden können. Die
Aktualisierung der variablen Daten bei jeder derartigen, systeminternen
Funktion stellt sicher, dass ein betrügerisches Zweitgerät innerhalb
eines kürzesten
Zeitintervalls erkannt wird, selbst wenn die zugangsberechtigte
Person über
einen größeren Zeitraum
hinweg nicht selbst auf das Mobilfunknetz zugreift. Hierdurch läßt sich
der wirtschaftliche Schaden betrügerischer
Aktivitäten
auch für
den Betreiber des Mobilfunknetzes auf einen vernachlässigbar
niedrigen Betrag reduzieren.