-
Die
Erfindung betrifft ein Verfahren zur Abwehr von Lauschversuchen
bei der Übertragung
von Bilddaten, die aus Bildsignalen gewonnen werden, die von einer
an einem Selbstbedienungsterminal installierten Kamera erzeugt werden
gemäß dem Oberbegriff
des Patentanspruchs 1. Ebenso betrifft die Erfindung eine das Verfahren
ausführende
Vorrichtung sowie ein damit ausgestattetes Selbstbedienungsterminal
gemäß dem Oberbegriff
eines der nebengeordneten Patentansprüche.
-
Die
Erfindung betrifft insbesondere ein Verfahren und eine Vorrichtung
zur Abwehr von Lauschversuchen bei der Bilddaten-Übertragung
an einem Selbstbedienungsterminal, das als Geldautomat ausgebildet
ist, wobei eine Kamera einen Aufnahmebereich erfasst, der einen
zu überwachenden
Bedienbereich des Selbstbedienungsterminals bzw. des Geldautomaten
abdeckt.
-
Es
ist bekannt, Selbstbedienungsterminals, insbesondere Geldautomaten,
durch eine Kameraüberwachung
abzusichern, um kriminelle Vorgänge, wie
insbesondere Sachbeschädigungen und/oder Manipulationen
an den Terminals, festzustellen sowie Bildmaterial als Beweis- und
Analysematerial aufzunehmen. Dazu wird mindestens eine Kamera an
dem jeweiligen Selbstbedienungsterminal installiert. Diese mindestens
eine Kamera liefert dann fortlaufend Bildsignale, aus denen üblicherweise
digitale Bilddaten gewonnen werden, die an einen Bilddatenspeicher
und entfernten Rechner bzw. Server übertragen werden, um dort ausgewertet
zu werden. Insbesondere Terminals in Gestalt von Geldautomaten sind
Gegenstand solcher Kameraüberwachungen. Eine
typische Manipulation an Geldautomaten ist das Anbringen von sogenannten
Skimming-Vorrichtungen. Hierbei werden von Tätern nachgebaute Tastaturen
und/oder Kartenleser im Bedienbereich des Geldautomaten angebracht,
um somit an sensitive Daten, insbesondere Kartendaten und PINs zu
gelangen. In letzter Zeit haben sich Angriffsszenarien in Form von
Lauschangriffen bzw. Abhörversuchen
gehäuft,
bei denen die Täter
sich Zugang zu den von der Kamera erzeugten Bildsignalen bzw. den
daraus gewonnenen Bilddaten verschaffen wollen, in dem sie die Übertragung
dieser Bildsignale bzw. Bilddaten an den entsprechenden Übertragungsleitungen
abgreifen (sog. „Abzapfen”). Ist
ein solcher Lauschangriff erfolgreich, so kann der Täter aus
den abgehörten
Bildinformationen Rückschlüsse auf
die von einem Kunden eingegebene PIN schließen sowie ggf. auch die Kartendaten
beim Einführen
der Karte in den Kartenschlitz ablesen. Somit kann der Täter ohne
Einsatz von speziellen Skimming-Vorrichtungen an die sensitiven
Daten gelangen.
-
Aufgabe
der Erfindung ist es demnach, ein Verfahren und eine Vorrichtung
zur effektiven Abwehr von Lauschversuchen bei der Bilddatenübertragung an
einen Selbstbedienungsterminal vorzuschlagen. Insbesondere sollen
ein Verfahren, eine Vorrichtung und ein damit ausgestattetes Bedienungsterminal vorgeschlagen
werden, die die Bilddatenübertragung gegen
derartige Lauschversuche absichern und schützen.
-
Gelöst wird
die Aufgabe durch ein Verfahren mit den Merkmalen des Anspruchs
1 sowie durch eine Vorrichtung bzw. ein Selbstbedienungsterminal mit
den Merkmalen der nebengeordneten Ansprüche.
-
Demnach
wird vorgeschlagen, dass am Selbstbedienungsterminal, insbesondere
in dem Aufnahmebereich der Kamera, aber auch außerhalb davon auftretende Ereignisse
erkannt werden, und dass in Abhängigkeit
von mindestens einem erkannten Ereignis die Erzeugung der Bildsignale
an der Kamera und/oder die nachfolgende Übertragung der Bildsignale
bzw. der daraus gewonnenen Bilddaten gesteuert wird. Demnach wird
ein Ereignis erkannt, das beispielsweise die Betätigung der Tastatur und/oder
das Einführen
einer Karte in den Kartenschlitz darstellt, um dann davon abhängig die
Erzeugung bzw. Übertragung
der Bildsignale und/oder Bilddaten zu steuern. Demnach wird die
Bild-Erzeugung bzw. Übertragung
verändert,
wenn ein solches Ereignis erkannt wird, das einer sensitiven Bedienung
des Selbstbedienungsterminals entspricht. Deshalb kann selbst bei
einem erfolgreichen Abzapfen von Leitungen und Übertragungsstrecken, verhindert
werden, dass entsprechende sensitive Bildsignale bzw. Bilddaten überhaupt
erzeugt bzw. übertragen
werden. Einem Täter,
dem es eventuell gelingen sollte, die Kamerasignale bzw. die daraus
abgeleiteten Bilddaten abzugreifen, wird somit keinen Zugriff auf
sensitive Bildsignale bzw. Bilddaten erhalten können.
-
Erfindungsgemäß wird auch
eine das Verfahren ausführende
Vorrichtung vorgeschlagen, die im Aufnahmebereich der Kamera auftretende
Ereignisse mittels Auswertung der Bildsignale, der Bilddaten und/oder
von Sensorsignalen erkennt, und die in Abhängigkeit davon die Erzeugung
und/oder Übertragung
der Bildsignale bzw. Bilddaten steuert.
-
Außerdem wird
ein mit einer solchen Vorrichtung ausgestattetes Selbstbedienungsterminal
vorgeschlagen, das insbesondere als Geldautomat ausgebildet sein
kann.
-
In
einer bevorzugten Ausführungsform
werden Lauschversuche dadurch abgewehrt, dass die Erzeugung der
Bildsignale gänzlich
unterbunden wird, wenn zumindest ein Ereignis erkannt wird. Alternativ
wird die Übertragung
der aus den erzeugten Bildsignalen gewonnenen Bilddaten unterbunden, wenn
zumindest ein Ereignis erkannt wird. Die Unterbrechung der Erzeugung
bzw. Übertragung
von Bildsignalen/date erfolgt zeitgesteuert zumindest solange, wie
das sensitive Ereignis erkannt wird. Wiederum alternativ dazu werden
in den gewonnenen Bilddaten zumindest Teilbilddaten ausgeblendet
oder durch künstlich
erzeugte Daten ersetzt, wenn zumindest ein Ereignis erkannt wird.
In diesem Zusammenhang handelt es sich vorzugsweise um solche Teilbilddaten,
die sich auf mindestens einen Teilbereich des Aufnahmebereiches
beziehen, insbesondere sich auf einen ersten und zweiten Teilbereich
beziehen, der eine Tastatur bzw. einen Kartenschlitz im Bedienbereich
des Selbstbedienungsterminals abdeckt.
-
Die
Ereignisse, die insbesondere im Bedienungsbereich innerhalb des
Kamera-Aufnahmebereichs oder auch außerhalb davon erkannt werden, sind
z. B. Bedienung einer Tastatur. bzw. Einführen einer Karte. Die Ereignisse
im Kamera Aufnahmebereich können
durch Auswertung der Bildsignale und/oder der Bilddaten erkannt
werden. Dies kann in der erfindungsgemäßen Vorrichtung erfolgen. Alternativ
dazu oder auch zusätzlich
dazu können
die Ereignisse durch Auswertung von mindestens einem Sensorsignal
erkannt werden, das von einem Sensor zur Überwachung eines Bedienelementes
im Bedienbereich des Selbstbedienungsterminals, auch außerhalb
des Kamera-Aufnahmebereiches erzeugt wird. Außerdem können Ereignisse, wie. z. B.
das Einführen
einer Karte, aus dem aktuellen Zustand des Selbstbedienungsterminals
abgeleitet werden, insbesondere durch Abfrage bzw. Ablesen von Prozesszuständen bzw.
Zustandsautomaten (state machines) oder dergleichen. Entsprechende
Signale können dann
an die erfindungsgemäße Vorrichtung
gesendet werden.
-
Die
Erfindung und die sich daraus ergebenden Vorteile werden nachfolgend
von einem Ausführungsbeispiel
und unter Bezugnahme auf die beiliegenden schematischen Zeichnungen
beschrieben:
-
1 zeigt
schematisch den Bedienbereich eines Selbstbedienungsterminals und
eine den Bedienbereich überwachende
Kamera;
-
2 zeigt
in Form eines Blockschaltbildes Komponenten der Vorrichtung zur
Abwehr von Lauschversuchen bei der Bilddaten-Übertragung; und
-
3 zeigt
das Ablaufdiagramm eines erfindungsgemäßen Verfahrens zur Abwehr von
Lauschversuchen bei der Bilddaten-Übertragung.
-
Die 1 zeigt
den Bedienbereich eines Selbstbedienungsterminals, das hier als
Geldautomat ATM ausgebildet ist, wobei der Bedienbereich u. a. folgende
Bedienelemente aufweist: eine Tastatur KBD zur Eingabe von Ziffern,
insbesondere PIN-Nummern, mehrere Funktionstasten BTN, insbesondere
zur Bestätigung
von gemachten Tastatur-Eingaben, einen Bildschirm MON zur Darstellung von
Bedieninformationen und einen Kartenschlitz SLT zum Einführen von
Karten, insbesondere von Bankkarten. Außerdem weist der Bedienbereich noch
weitere Felder, wie z. B. Schilder und Beschriftungen LBL auf. Durch
mindestens eine am Bedienbereich angeordnete Kamera CAM wird der
Bedienbereich überwacht,
wobei die Kamera CRM einen Aufnahmebereich A0 aufweist, der den
gesamten Bedienbereich abdeckt.
-
Erfindungsgemäß wird nun
mittels des nachfolgend beschriebenen Verfahrens und der entsprechenden
Vorrichtung bei der Übertragung
der Bildsignale bzw. Bilddaten eine Ausblendung bestimmter Teilbereiche
A1 und/oder A2 durchgeführt,
wenn ein sensitives Ereignis erkannt wird, das z. B. der Eingabe
von PIN-Nummern oder dem Einführen
einer Karten entspricht. Die ausgeblendeten Teilbereiche A1 und
A2 beziehen sich insbesondere auf sensitive Bereiche des Aufnahmebereiches
A0, hier z. B. auf den Bereich A1, der die Tastatur KBD abdeckt,
sowie auf den Bereich A2, der den Kartenschlitz SLT abdeckt. Anhand
der 2 und 3 wird nun das erfindungsgemäße Verfahren
und die danach arbeitende Vorrichtung näher beschrieben:
Die 2 zeigt
in Form eines Blockschaltbildes den Aufbau einer erfindungsgemäßen Vorrichtung,
die insbesondere als Detektionseinheit DET ausgebildet ist, und
zumindest mit einer Bildverarbeitungseinheit PRC verbunden ist,
die von der Kamera CAM erzeugte Bildsignale Sa empfängt und
diese verarbeitet. Die Bildverarbeitungseinheit PRC erzeugt aus den
Bildsignalen Sa entsprechende digitale Bilddaten Sb und überträgt diese
beispielsweise an eine Speichereinrichtung MEM. Diese Speichereinrichtung
kann in einem von dem Selbstbedienungsterminal entfernten Server
angeordnet sein. Zwischen der Kamera CAM und der Bildverarbeitungseinheit
PRC befindet sich eine erste Verbindung Ca, über die die Bildsignale übertragen
werden. Diese Verbindung Ca ist beispielsweise eine analoge Verbindung
in Form eines Koaxialkabels, das entsprechende Bildsignale in Form
von Videosignalen von der Kamera an die Bildverarbeitungseinheit überträgt. Vorzugsweise werden
die Kamera CAM und die Bildverarbeitungseinheit PRC in einem Modul
MD integriert, damit Dritte keinen direkten Zugriff auf die Verbindung
Ca haben, um dort Abhörversuche
vorzunehmen.
-
Zwischen
der Bildverarbeitungseinheit PRC und dem externen Speicher MEM befindet
sich eine zweite Verbindung Cb, über
die die erzeugten digitalen Bilddaten Sb oder die erfindungsgemäß im Falle eines
sensitiven Ereignisses veränderten
digitalen Bilddaten Sb' übertragen
werden. Diese Verbindung Cb stellt somit eine sichere digitale Datenübertragungsverbindung
dar, die z. B. über
Daten- oder Kommunikationsnetze, wie z. B. IP-Verbindungen, bis
zu entfernten Rechnern (Servern) reichen kann. Die übertragenen
Bilddaten Sb bzw. Sb' werden
dann empfangsseitig in dem dortigen Speicher MEM zwischengespeichert
und dann einer Datenanzeige und/oder Auswertung zugeführt, um
die von der Kamera erfassten Bilder auszuwerten.
-
Insbesondere
diese zweite Verbindung Cb bietet einen potenziellen Angriffspunkt
für Lauschangriffe,
indem Dritte versuchen, diese Verbindung anzuzapfen. Zu Abwehr wird
erfindungsgemäß nun zumindest
die Übertragung
der digitalen Bilddaten Sb bzw. Sb' derart gesteuert, dass keine Bilddaten übertragen
werden, die sensitive Vorgänge
bzw. Ereignisse, wie z. B. Tastatureingaben oder das Einführen einer
Bankkarte wiedergeben könnten.
Die Steuerung erfolgt nach dem erfindungsgemäßen Verfahren, das anhand der 3 nachfolgend
näher beschrieben wird.
-
Die 3 zeigt
das Ablaufdiagramm für
ein Verfahren 100 mit den Schritten 110 bis 130.
In einem ersten Schritt führt
die Kamera CAM Bildaufnahmen durch und erzeugt entsprechende Bildsignale
Sb (siehe auch 1 und 2). Aus
diesen analogen Bildsignalen werden digitale Bilddaten Sb in der
Bildverarbeitungseinheit PRC erzeugt. Danach wird in einem Schritt 120 durch
Auswertung der erzeugten Bilddaten festgestellt, ob ein Ereignis
vorliegt, das die Bedienung von sensitiven Bereichen im Bedienbereich
betreffen könnte.
Beispielsweise wird anhand der Auswertung der Bilddaten Sb erkannt,
dass eine Person die Tastatur KBD im Bedienbereich des Bankautomaten
ATM bedient. Außerdem
kann auch erkannt werden, ob eine Person eine Bankkarte in den Kartenschlitz
SLT einführt.
Ist dies der Fall, so folgt in einem Schritt 121 die Erzeugung
eines Auslösesignals
bzw. Triggers TR (siehe 2) der die Erzeugung bzw. Übertragung
der Bilddaten dahingehend steuert, dass zumindest Teilbilddaten
ausgeblendet bzw. ersetzt werden, die die genannten sensitiven Bildbereiche
A1 bzw. A2 betreffen.
-
In
einem nachfolgenden Schritt 122 werden dann die Bilddaten
Sb' übertragen,
wobei die sensitiven Bilddaten durch künstlich erzeugte Daten (Dummy-Daten)
ersetzt worden sind. In einem nachfolgenden Schritt 130 erfolgt
dann die Übertragung
der veränderten
Bilddaten Sb' über die
zweite Verbindung Cb.
-
Wurde
im Schritt 120 jedoch festgestellt, dass kein Ereignis
vorliegt, so erfolgt entsprechend dem Schritt 130 eine Übertragung
der Original-Bilddaten Sb, d. h. der unveränderten Bilddaten. Durch diese
Maßnahme
wird erreicht, dass nach wie vor eine sichere Überwachung des Selbstbedienungsterminals
bzw. Bankautomaten ATM durchgeführt
werden kann, dass aber im Falle von Ereignissen, die sensitiv sind,
entsprechende Bilddaten nicht erzeugt bzw. nicht übertragen
werden.
-
In
einer einfachen Ausführung
kann für
den Fall, dass ein sensitives Ereignis erkannt wird, die Vorrichtung
DET auch einen Auslöser
bzw. Trigger TR* erzeugen, der die Kamera CAM direkt ansteuert, um
die Erzeugung des Bildsignals Sa gänzlich zu unterbinden. In diesem
Fall wird also die komplette Bildaufnahme unterdrückt.
-
Das
Erkennen von Ereignissen kann nicht nur durch Auswertung der Bildsignale
Sa bzw. der daraus gewonnenen Bilddaten Sb erfolgen, sondern kann
alternativ oder zusätzlich
dazu auch anhand von Sensorsignalen erfolgen. In diesem Falle ist
die Vorrichtung DET mit Sensoren verbunden, die an den sensitiven
Bedienelementen, wie z. B. der Tastatur KBD und/oder dem Kartenschlitz
SLT angebracht sind. Der Sensor kann im einfachen Fall auch die
jeweilige Taste der Tastatur selbst oder einen Detektor am Eingang
des Kartenschlitzes SLT sein.
-
Als
Kamera CAM kann eine Kamera üblicher Bauart
eingesetzt werden, welche analoge oder digitale Bildaufnahmen durchführt. Die
erste Verbindung Ca kann beispielsweise als Koaxialkabel für analoge Bildsignale
oder beispielsweise als USB-Kabel für digitalisierte Bildsignale
bzw. Bilddaten ausgeführt sein.
Die Bildverarbeitung erfolgt in der Bildverarbeitungseinheit PRC,
die beispielsweise als dezidierte Elektronik oder auch als Softwareprogramm,
welches auf einem Personal Computer läuft, ausgeführt sein kann. Das verarbeitete
Bild bzw. die gewonnenen Bilddaten werden dann über die zweite Verbindung Cb
weitergeleitet zu dem Speicher MEM bzw. zu einem entfernten Rechner,
insbesondere einem Server, der die Bilddaten weiter auswertet bzw.
zur Anzeige bringt. Der Server befindet sich beispielsweise in einer Überwachungszentrale,
die mehrere Selbstbedienungsterminals gleichzeitig überwacht.
-
Neben
den bereits beschriebenen Maßnahmen
können
die übertragenen
Bildsignale Sa bzw. Bilddaten Sb zusätzlich noch verschlüsselt werden, um
gegen Lauschversuche Dritter noch stärker gesichert zu sein. Vorzugsweise
bilden die Kamera CAM und die Bildverarbeitungseinheit PRC eine
bauliche Einheit in Form eines Moduls MD. Wie oben beschrieben worden
ist, werden in der Bildverarbeitung diejenigen Bereiche des Bildes
ausgeblendet und/oder erkenntlich gemacht, aus welchen sich Rückschlüsse auf
die PIN-Eingabe oder auf Kartendaten gewinnen lassen können. Die
Veränderung
der Bilddaten erfolgt beispielsweise, indem alle Pixel in den besagten
Teilbereichen auf den gleichen Farb- und/oder Helligkeitswert gesetzt
werden.
-
Die
Steuerung der Erzeugung der Bildsignale bzw. Übertragung der Bilddaten erfolgt
zeitabhängig,
indem die beschriebene Ausblendung von Bilddaten nur zu solchen
Zeitpunkten durchgeführt
wird, wenn ein Ereignis erkannt wird. Somit wird sichergestellt,
dass keine sensitiven bzw. kritischen Vorgänge, wie beispielsweise Eingaben
von PIN-Nummern bzw. Einführen
von Karten, aufgenommen und/oder übertragen werden. Die Festlegung
der ausgeblendeten bzw. veränderten
Teil Bilddatenbereiche kann auch derart weiter ausgebildet werden,
dass nur dezidierte Teilbereiche, wie etwa Schriftzüge und Ziffernangaben
auf Bankkarten ausgeblendet bzw. überschrieben werden. Die Abwehr
gegen Lauschversuche kann auch derart erfolgen, dass mittels eines
Triggers die Bildaufnahme vollständig
unterbrochen wird. Dies geschieht beispielsweise, sobald eine Hand
bzw. ein Finger sich über
der Tastatur KBD befindet und somit auf den Vorgang einer PIN-Eingabe
geschlossen werden kann. Das Erkennen einer solchen Situation kann
durch Bilderkennungstechniken durchgeführt werden, mittels denen z.
B. das Erscheinen von Hand bzw. Fingern im Aufnahmebereich, insbesondere
im Bereich der Tastatur KBD, oder das Einführen einer Bankkarte in den
Kartenschlitz SLT erkannt werden.
-
Weiterhin
können
zur Überprüfung, ob
ein sensitives Ereignis vorliegt, neben Sensoren noch zusätzliche
Informationen herangezogen werden, die in der Regel in einem Selbstbedienungsterminal
vorhanden sind. Dies ist beispielsweise der aktuelle Status bezüglich des
Zustandes des Selbstbedienungsterminals. So braucht beispielsweise
die Hand bei der PIN-Eingabe nur dann im Bild maskiert zu werden,
wenn auch tatsächlich
eine PIN-Nummer eingegeben wird. Hingegen ist keine Maskierung erforderlich,
wenn die Hand lediglich eine Menüsteuerung durchführt. Auch
ist keine Maskierung erforderlich, solange sich eine Magnet- bzw.
Chipkarte im System befindet.
-
Die
vorgeschlagene Erfindung verhindert effektiv jeden Lauschangriff
auf die Übertragung
von Kamerasignalen bzw. Bilddaten an einem Selbstbedienungsterminal.
-
- ATM
- Selbstbedienungsterminal,
hier als Geldautomat ausgebildet;
- MON
- Bildschirm
- SLT
- Kartenschlitz
- KBD
- Bedienelement
in Gestalt einer Tastatur
- BTN
- Bedienelemente
in Gestalt von Funktionstasten
- LBL
- Schild
bzw. Beschriftung
- CAM
- Kamera
zur Überwachung
des ATM-Bedienbereichs
- A0
- Aufnahmebereich
- A1,
A2
- sensitive
Teilbereiche, die ausgeblendet bzw. maskiert werden
- DET
- Vorrichtung
umfassend eine Detektionseinheit zum Erkennen sensitiver Ereignisse
- PRC
- Bildverarbeitungseinheit
- MD
- Modul
mit CAM, PCR und DET
- MEM
- externe
Speichereinrichtung (z. B. eines Servers)
- TR,
TR*
- Steuersignale
bzw. Trigger
- Sa
- analoges
Bildsignal von CAM
- Sb,
Sb'
- digitale
Bilddaten von PRC aus dem Bildsignal Sa gewonnen
- Ca,
Cb
- Verbindungen
zur Bild-Übertragung
- 100
- Verfahren
zur Abwehr von Lauschversuchen mit Schritten 110 bis 130