-
Die
vorliegende Erfindung betrifft einen kartenförmigen portablen Datenträger mit
einer Displayeinrichtung, insbesondere zur Verwendung in Verfahren
zum sicheren Übertragen
von Transaktionsdaten an eine Transaktionseinrichtung über ein
Datenkommunikationsnetzwerk durch einen Nutzer eines Nutzerendgeräts.
-
Es
ist bekannt, Transaktionsdaten, beispielsweise zum Ausführen einer Überweisung
bei einer Bank kryptographisch, gesichert an die Bank zu übertragen.
Zusätzlich
kann der Nutzer vor dem Ausführen
der Transaktion eine Transaktionsbestätigung an die Transaktionseinrichtung,
im obigen Beispiel die Bank, senden. Da eine solche Transaktionsbestätigung,
beispielsweise in Form einer TAN, iTAN, mTAN oder dergleichen, nur
dem Nutzer und der Bank bekannt ist, werden die Transaktionsdaten
damit zusätzlich
gesichert.
-
Diese
bekannten Sicherungsmaßnahmen
versagen allerdings, wenn davon ausgegangen werden muss, dass ein
Nutzerendgerät,
beispielsweise ein PC, Notebook, Mobilfunkendgerät oder dergleichen, mittels dessen
der Nutzer sich gegenüber
der Bank authentisiert sowie die Transaktionsdaten und die Transaktionsbestätigung an
die Bank überträgt, von
Schadcode, z. B. einem Trojaner, befallen ist. Mittels dieses Schadcodes
wird es für
einen Angreifer möglich,
die von dem Nutzerendgerät
an die Bank übertragenen
Daten sowie die von dem Nutzerendgerät von der Bank empfangenen
Daten unverschlüsselt
zu lesen und diese Daten zu manipulieren, ohne dass dies für den Nutzer
oder die Bank erkennbar ist. Dies kann beispielsweise dadurch erfolgen,
dass Tastatureingaben des Nutzers sowie Ausgaben auf einer Anzeigeeinrichtung,
z. B. einem Bildschirm, des Nutzerendgeräts von dem Schadcode analysiert
und gegebenenfalls verändert
werden. Auf diese Weise können
beispielsweise Überweisungsdaten
zu Gunsten des Angreifers verändert
werden, während
Authentisierungsdaten, z. B. ein persönliches Passwort des Nutzers,
sowie eine Transaktionsbetätigung
in Form einer TAN, unverändert
bleiben, so dass die Bank die manipulierte Transaktion ausführt, ohne
dass sie den Angriff erkennen kann. Auch für den Nutzer ist der Angriff
nicht erkennbar. Eine eventuell durch die Dank an den Nutzer übertragene
Kontrollanzeige der von der Bank empfangenen Transaktionsdaten vor
dem Ausführen
der Transaktion kann durch den Schadcode ebenfalls manipuliert werden,
um die Veränderung
der Transaktionsdaten zu vertuschen.
-
Aufgabe
der vorliegenden Erfindung ist es, einen verbesserten Datenträger zur
Verwendung im Zusammenhang mit Verfahren zum sicheren Übertragen
von Transaktionsdaten bereitzustellen.
-
Diese
Aufgabe wird durch einen Datenträger
mit den Merkmalen des unabhängigen
Anspruchs gelöst. Vorteilhafte
Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben.
-
Der
erfindungsgemäße Datenträger ist
als kartenförmiger,
portabler Datenträger
zum flächigen
Anordnen auf einer Anzeigeeinrichtung eines Endgeräts ausgebildet
und umfasst einen flächigen
Kartenkörper
und eine Displayeinrichtung. Die Displayeinrichtung ist auf dem
Kartenkörper
derart angeordnet und/oder der Kartenkörper ist derart ausgebildet,
dass, wenn der Datenträger
auf der Anzeigeeinrichtung angeordnet ist, Anteile der Displayeinrichtung
eindeutig Anteilen eines ausgewählten
Bereichs der Anzeigeeinrichtung zugeordnet sind.
-
Um
die vorteilhafte Wirkung des erfindungsgemäßen Datenträgers und seiner bevorzugten
Ausführungsformen
besser beschreiben zu können,
werden im Folgenden zuerst zwei bevorzugte Verfahren zum Sichern
von Transaktionsdaten beschrieben, in deren Rahmen der erfindungsgemäße Datenträger als
so genannte, nachstehend detailliert beschriebene Zuordnungseinrichtung
vorteilhaft eingesetzt werden kann.
-
Ein
erstes bevorzugtes Verfahren zum sicheren Übertragen von Transaktionsdaten
von einem Nutzerendgerät
an eine Transaktionseinrichtung über
ein Datenkommunikationsnetzwerk durch einen Nutzer des Nutzerendgeräts umfasst
die folgenden Schritte: Für
die Transaktionseinrichtung und für den Nutzer des Nutzerendgeräts werden übereinstimmende
Grunddaten zum Spezifizieren eines Kodierungsverfahrens bereitgestellt.
Das Kodierungsverfahren wird durch Zuordnen von Abbildungsdaten
zu den Grunddaten mittels einer geeigneten Zuordnungseinrichtung,
wie z. B. dem erfindungsgemäßen Datenträger, spezifiziert.
Gemäß dem ersten
bevorzugten Verfahren wird das Zuordnen auf Seiten des Nutzerendgeräts durchgeführt. Es
erfolgt derart, dass aus den dem Nutzer bereitgestellten Grunddaten
und den zugeordneten Abbildungsdaten ein Dekodierungsverfahren eindeutig
ableitbar ist, mittels welchem gemäß dem spezifizierten Kodierungsverfahren
kodierte Daten dekodiert werden können. Gemäß dem ersten bevorzugten Verfahren
werden die Abbildungsdaten von dem Nutzerendgerät an die Transaktionseinrichtung,
vorzugsweise über
das Datenkommunikationsnetzwerk, übertragen. Die Transaktionseinrichtung
leitet dann das Dekodierungsverfahren aus den der Transaktionseinrichtung
bereitgestellten Grunddaten und den durch das Nutzerendgerät übertragenen
Abbildungsdaten ab. Nun werden Transaktionsdaten mittels der Zuordnungseinrichtung
gemäß dem spezifizierten
Kodierungsverfahren kodiert und durch das Nutzerendgerät an die
Transaktionseinrichtung übertragen.
Diese dekodiert schließlich die übertragenen
Transaktionsdaten gemäß dem abgeleiteten
Dekodierungsverfahren.
-
Gemäß einem
zweiten bevorzugten Verfahren werden nur der Transaktionseinrichtung
in einem ersten Schritt die Grunddaten bereitgestellt. Im Unterschied
zum ersten bevorzugten Verfahren wird das Kodierungsverfahren zum
Kodieren von Transaktionsdaten sowie ein entsprechendes Dekodierungsverfahren
auf Seiten der Transaktionseinrichtung durch Zuordnen von Abbildungsdaten
zu den Grunddaten spezifiziert. In einem weiteren Schritt werden
dem Nutzer des Nutzerendgeräts
die Grunddaten und die den Grunddaten zugeordneten Abbildungsdaten,
welche zusammen das Kodierungsverfahren spezifizieren, bereitgestellt,
z. B. in Form einer geeigneten Zuordnungseinrichtung wie dem erfindungsgemäßen Datenträger. Der
Nutzer kodiert dann zu übertragende
Transaktionsdaten gemäß diesem
Kodierungsverfahren mittels der Zuordnungseinrichtung und überträgt die kodierten
Transaktionsdaten durch das Nutzerendgerät an die Transaktionseinrichtung,
wobei für
den Schritt des Kodieren der Transaktionsdaten gemäß dem zweiten
bevorzugten Verfahren insbesondere gilt, dass das Kodieren der Transaktionsdaten
unabhängig
von einer Anzeige auf der Anzeigeeinrichtung des Nutzerendgeräts durchgeführt wird,
d. h. unabhängig
von jeder auf der Anzeigeeinrichtung angezeigten Information. Die
kodierten Transaktionsdaten werden durch die Transaktionseinrichtung
mittels des spezifizierten Dekodierungsverfahren dekodiert.
-
Gemäß beiden
bevorzugten Verfahren kann ein Angreifer mittels auf dem Nutzerendgerät installierten Schadcodes
lediglich gemäß dem Kodierungsverfahren
kodierte Transaktionsdaten belauschen, nicht jedoch Transaktionsdaten
in unkodierter Form. Ein Dekodieren der kodierten Transaktionsdaten
durch Schadcode ist ausgeschlossen, denn dazu wäre die Kenntnis des entsprechenden
Dekodierungsverfahrens erforderlich. Dieses ist gemäß dem ersten
bevorzugten Verfahren eindeutig aus den Grunddaten und den den Grunddaten
zugeordneten Abbildungsdaten ableitbar, wobei die Zuordnung auf
Seiten des Nutzerendgeräts
mittels der Zuordnungseinrichtung erfolgt. Im zweiten bevorzugten
Verfahren spezifiziert die Transaktionseinrichtung das Dekodierungsverfahren
aus der auf ihrer Seite durchgeführten
Zuordnung der Abbildungsdaten zu den Grunddaten. Gemäß beiden
bevorzugten Verfahren werden aber die Grunddaten nie in das Nutzerendgerät eingegeben,
darin gespeichert oder auf der Anzeigeeinrichtung desselben angezeigt.
Allenfalls die Abbildungsdaten können
im ersten bevorzugten Verfahren mittels des Schadcodes belauscht
werden, wenn diese durch das Nutzerendgerät an die Transaktionseinrichtung übertragen
werden. Daraus können
aber keinerlei Rückschlüsse auf
die Grunddaten oder die Zuordnung der Grunddaten zu den Abbildungsdaten
gezogen werden. Ohne Kenntnis der Grunddaten und der Zuordnung der
Grunddaten zu den Abbildungsdaten sind die Abbildungsdaten für einen
Angreifer somit wertlos, wenn er die kodierten Transaktionsdaten
dekodieren möchte.
Beide bevorzugte Verfahren erlauben somit Kodierung von Transaktionsdaten
mittels der Zuordnungseinrichtung sowie eine sichere Übertragung
der kodierten Transaktionsdaten zwischen einem Nutzerendgerät, welches
möglicherweise
von Schadcode befallen ist, und einer Transaktionseinrichtung.
-
Im
ersten bevorzugten Verfahren, gemäß dem die Zuordnung der Grunddaten
zu den Abbildungsdaten auf Seiten des Nutzers durchgeführt wird,
können
die Abbildungsdaten durch den Nutzer mittels einer Zeigeeinrichtung
des Nutzerendgeräts
auf einer Anzeigeeinrichtung des Nutzerendgeräts vorgegeben werden. Geeignete
Zeigegeräte
sind beispielsweise eine Maus, ein Touchpad oder ein Gamepad. Es
ist ebenso möglich,
dass die Anzeigeeinrichtung selbst berührungsempfindlich ausgebildet
ist und keine separate Zeigeeinrichtung erforderlich ist, sondern
eine Berührung
der Anzeigeeinrichtung zum Vorgeben von Abbildungsdaten ausreicht.
-
Sowohl
im ersten als auch im zweiten bevorzugten Verfahren können die
Abbildungsdaten als Koordinatendaten mit Bezug auf eine Anzeigeeinrichtung
des Nutzerendgeräts
vorgegeben werden. Im ersten bevorzugten Verfahren kann der Nutzer
beispielsweise für
jedes Zeichen einer Zeichenkette, welche die Grunddaten repräsentiert,
gemäß einer
Zuordnungseinrichtung eine Position auf einem Bildschirm ”anklicken”. Das entsprechende
Koordinatendatenelement umfasst dann sowohl die ”Klickposition” als auch
eine zeitliche Information, anhand derer die verschiedenen ”Klickpositionen” in der
Reihenfolge, in der sie vom Nutzer durchgeführt worden sind, geordnet werden
können.
Gemäß dem zweiten
bevorzugten Verfahren kann dem Nutzer von Seiten der Transaktionseinrichtung,
wie erwähnt,
eine Zuordnungseinrichtung bereitgestellt werden, welche, wenn sie
auf der Anzeigeeinrichtung angeordnet wird, Abbildungsdaten als
Koordinatendaten vorgibt.
-
Im
Rahmen beider bevorzugter Verfahren wird, wie vorstehend erwähnt, eine
Zuordnungseinrichtung verwendet. Verschiedene Ausführungsformen
einer solchen Zuordnungseinrichtung, insbesondere der erfindungsgemäße Datenträger, werden
im Folgenden eingehend beschrieben. Im Anschluss werden die beiden bevorzugten
Verfahren genauer dargestellt.
-
Eine
Zuordnungseinrichtung kann allgemein, d. h. im ersten wie im zweiten
Verfahren, verwendet werden, um Abbildungsdaten mit Bezug auf die
Zuordnungseinrichtung vorzugeben und die vorgegebenen Abbildungsdaten
den Grunddaten zuzuordnen. Eine derart hergestellte Zuordnung kann
mittels der Zuordnungseinrichtung zumindest temporär ”gespeichert” werden.
-
Diese
Zuordnung ist also, falls erforderlich, über einen längeren Zeitraum, insbesondere
während
des gesamten Ablaufs der bevorzugten Verfahren, unverändert verfügbar. Die
Zuordnungseinrichtung kann statisch sein in dem Sinne, dass sie
lediglich eingerichtet ist, eine spezifische Zuordnung einmal vorgegebener Abbildungsdaten
zu einmal vorgegebenen Grunddaten vorzugeben. Vorteilhaft ist jedoch
eine dynamische Zuordnungseinrichtung, wie sie der erfindungsgemäße Datenträger bereitstellt,
bei der sowohl die Vorgabe der Abbildungsdaten als auch die Zuordnung
dieser Abbildungsdaten zu den Grunddaten auf verschiedene Weisen
erfolgen kann, d. h. mit veränderlichen
Abbildungsdaten, veränderlichen
Grunddaten und veränderlicher Zuordnung.
Schließlich
sind Mischformen möglich,
bei denen z. B. lediglich die Zuordnung, nicht aber die Abbildungsdaten
an sich dynamisch vorgegeben werden können.
-
Die
Zuordnungseinrichtung ist vorzugsweise eingerichtet, auf einer Anzeigeeinrichtung
des Nutzerendgeräts,
z. B. einem Monitor, flächig
angeordnet zu werden. Eine solche Zuordnungseinrichtung umfasst Markierungen,
welche mit Grunddatenelementen bezeichnet sind. Liegen die Grunddaten
z. B. in Form einer alphanumerischen Zeichenkette vor, so repräsentiert
jeweils ein Zeichen dieser Zeichenkette ein Grunddatenelement. Wenn
diese Zuordnungseinrichtung dann auf der Anzeigeeinrichtung angeordnet
wird, geben die Markierungen, wie nachstehend detailliert beschrieben,
Abbildungsdaten in Form von Koordinatendaten mit Bezug auf die Anzeigeeinrichtung
vor.
-
Beide
bevorzugten Verfahren können,
wie nachstehend genauer dargestellt, in zwei Phasen unterteilt werden,
wobei die zweite Phase jeweils mit dem Kodieren der Transaktionsdaten
beginnt. Im ersten Verfahren kann der Nutzer in der ersten Phase
die Abbildungsdaten mit Hilfe der Zuordnungseinrichtung vorgeben,
indem er die Zuordnungseinrichtung z. B. auf der Anzeigeeinrichtung
flächig
anordnet und nacheinander die Bereiche der Anzeigeeinrichtung, die
durch die Markierungen, welche mit Grunddatenelementen entsprechenden Zeichen
einer Grunddatenzeichenkette bezeichnet sind, in der Reihenfolge ”anklickt”, in der
die Zeichen in der Grunddatenzeichenkette vorkommen. Damit wird
ein Kodierungsverfahren spezifiziert, indem jedes Zeichen der Grunddatenzeichenkette
genau einem Koordinatendatenelement mit Bezug auf die Anzeigeeinrichtung
zugeordnet wird. Die Transaktionseinrichtung empfängt die
entsprechenden Koordinatendaten in der zeitlichen Reihenfolge und
kann – in
Kenntnis der Grunddatenzeichenkette – die ”Klickpositionen” in der
gegebenen Reihenfolge den jeweiligen Zeichen der Grunddatenzeichenkette
zuordnen, woraus sie direkt das Dekodierungsverfahren ableiten kann.
-
Im
zweiten bevorzugten Verfahren kann die Transaktionseinrichtung dem
Nutzer in der ersten Phase eine solche Zuordnungseinrichtung bereitstellen.
Diese umfasst die Grunddaten sowie die den Grunddaten zugeordneten
Abbildungsdaten und spezifiziert für den Nutzer das Kodierungsverfahren
zum Kodieren der Transaktionsdaten.
-
Demnach
kann die Zuordnungseinrichtung in der zweiten Phase sowohl des ersten
als auch des zweiten bevorzugten Verfahrens vom Nutzer zum Kodieren
der Transaktionsdaten gemäß dem durch
die Zuordnung der Abbildungsdaten zu den Grunddaten spezifizierten
Kodierungsverfahren eingesetzt werden. Dies kann beispielsweise
geschehen, indem der Nutzer mit Hilfe der Zuordnungseinrichtung
zum Eingeben eines Zeichens der Transaktionsdaten den durch die
entsprechend bezeichnete Markierung markierten Bereich der Anzeigeeinrichtung ”angeklickt”, welcher
mit dem entsprechenden Zeichen der Transaktionsdaten bezeichnet ist.
Eine solch einfache Kodierung setzt voraus, dass die Transaktionsdaten über demselben
Alphabet vorliegen wie die Grunddaten.
-
Gemäß einer
bevorzugten Ausführungsform
wird als Zuordnungseinrichtung der erfindungsgemäße portable Datenträger eingesetzt.
Dieser umfasst, wie vorstehend beschrieben, eine Displayeinrichtung
und wird auf der Anzeigeeinrichtung des Nutzerendgeräts derart
angeordnet, dass auf der Displayeinrichtung bereitgestellte, d.
h. angezeigte, Grunddaten Koordinatendaten der Anzeigeeinrichtung
eindeutig zugeordnet sind. Auf dem erfindungsgemäßen portablen Datenträger ist
also die Displayeinrichtung derart angeordnet und/oder ein Kartenkörper des
Datenträgers
ist derart ausgebildet, dass beim Anordnen des Datenträgers auf der
Anzeigeeinrichtung des Nutzerendgeräts auf Anteilen der Displayeinrichtung
angezeigte Grunddatenelemente eindeutig Koordinatendatenelementen
in Anteilen eines ausgewählten
Bereichs der Anzeigeeinrichtung zugeordnet sind. Das heißt, die
Anteile der Displayeinrichtung entsprechen den Markierungen der
Zuordnungseinrichtung und geben, wenn der Datenträger flächig auf
der Anzeigeeinrichtung angeordnet ist und die Displayeinrichtung
dadurch einem ausgewählten
Bereich der Anzeigeeinrichtung zugeordnet ist – z. B. indem sie direkt an
diesen angrenzt –,
jeweils die Anteile des Bereichs als Koordinatendaten vor, die gemäß der Zuordnung
den jeweiligen Anteilen der Displayeinrichtung zugeordnet sind – z. B.
direkt angrenzend daran positioniert sind. Dabei sind die Anteile
der Displayeinrichtung, also die Markierungen, dadurch mit Grunddatenelementen
bezeichnet, dass sie jeweils Grunddatenelemente anzeigen.
-
In
einer ersten Ausführungsform
des erfindungsgemäßen portablen
Datenträgers,
der als Zuordnungseinrichtung geeignet ist, ist die Displayeinrichtung
des kartenförmigen
Datenträgers
derart auf dem Kartenkörper
angeordnet und/oder der Kartenkörper
derart ausgebildet, dass der Datenträger auf der Anzeigeeinrichtung
so angeordnet werden kann, dass der ausgewählte Bereich der Anzeigeeinrichtung
derart angrenzend oder benachbart zu der Displayeinrichtung des
angeordneten Datenträgers
positioniert ist, und dabei sichtbar ist, dass Anteilen der Displayeinrichtung
jeweils die angrenzenden bzw. benachbarten Anteile des ausgewählten Bereichs
der Anzeigeeinrichtung eindeutig zugeordnet sind.
-
In
einer ersten Variante dieser Ausführungsform ist die Displayeinrichtung
derart auf dem Kartenkörper angeordnet,
dass ein Rand der Displayeinrichtung einen Rand des Datenträgers bildet.
Dadurch kann, wenn der Datenträger
auf der Anzeigeeinrichtung angeordnet ist, der ausgewählte Bereich,
der direkt an diesen Rand des Datenträgers, und somit direkt an die
Displayeinrichtung, angrenzt, der Displayeinrichtung in der vorstehend
beschriebenen Weise zugeordnet werden.
-
In
einer leicht abgewandelten zweiten Variante ist die Displayeinrichtung
auf dem Kartenkörper
derart angeordnet, dass ein Rand der Displayeinrichtung von dem
Rand des Datenträgers
lediglich durch einen sehr schmalen Bereich des Kartenkörpers getrennt
ist. Dieser Bereich des Kartenkörpers,
beispielsweise in Form eines schmalen Streifens, ist vorzugsweise
nicht breiter als 2 mm oder bezogen auf die Displayeinrichtung nicht
breiter als ein Viertel der vertikalen Höhe der Displayeinrichtung.
Eine Zuordnung der Anteile der Displayeinrichtung zu Anteilen des
ausgewählten
Bereichs der Anzeigeeinrichtung kann dann immer noch wie vorstehend
beschrieben durchgeführt
werden, da der trennende Bereich des Kartenkörpers aufgrund seiner geringen
Breite kein ernsthaftes Hindernis darstellt.
-
In
einer strukturell leicht abweichenden dritten Variante der Ausführungsform
umfasst der Kartenkörper
des Datenträgers
einen transparenten Bereich, welcher angrenzend an einen Rand der
Displayeinrichtung angeordnet ist. Das heißt, der ausgewählte Bereich
der Anzeigeeinrichtung ist, wenn der Datenträger auf der Anzeigeeinrichtung
angeordnet ist, nicht mehr direkt sichtbar, sondern durch den transparenten
Bereich des Datenträgers
hindurch. Die Zuordnung zwischen den Anteilen der Displayeinrichtung
und den Anteilen des ausgewählten
Bereichs kann somit unverändert
durchgeführt
werden.
-
Der
transparente Bereich kann dabei derart auf dem Kartenkörper angeordnet
sein, dass ein Rand des transparenten Bereichs an die Displayeinrichtung
angrenzt, während
ein gegenüberliegender
Rand des transparenten Bereichs einen Rand des Datenträgers bildet.
Es ist weiterhin möglich,
dass der Kartenkörper
im Wesentlichen vollständig
transparent ist.
-
Gemäß einer
vierten Variante kann die Displayeinrichtung selbst transparent
ausgebildet sein. Bei auf der Anzeigeeinrichtung angeordnetem Datenträger erfolgte
eine Zuordnung dann zu dem genau unter der transparenten Displayeinrichtung
positionierten und dadurch ausgewählten Bereich der Anzeigeeinrichtung des
Nutzerendgeräts.
-
Gemäß einer
zweiten Ausführungsform
des als Zuordnungseinrichtung verwendbaren erfindungsgemäßen portablen
Datenträgers
ist auf dem Kartenkörper
eine optische Eingabehilfe aufgebracht. Die optische Eingabehilfe
verbindet Anteile der Displayeinrichtung derart mit einem Rand des
Datenträgers,
dass, wenn der Datenträger
auf der Anzeigeeinrichtung derart angeordnet ist, dass der ausgewählte Bereich
der Anzeigeeinrichtung an den Rand des Datenträgers angrenzt, den Anteilen
der Displayeinrichtung dadurch eindeutig die Anteile des ausgewählten Bereichs
der Anzeigeeinrichtung zugeordnet sind.
-
Liegt
z. B. ein Datenträger ähnlich der
zweiten Variante der ersten Ausführungsform
vor, bei dem allerdings der Bereich des Kartenkörpers, der die Displayeinrichtung
von einem Rand des Datenträgers
trennt, zu breit ist, um eine eindeutige Zuordnung von Anteilen
der Displayeinrichtung zu Anteilen eines ausgewählten Bereichs der Anzeigeeinrichtung,
auf der der Datenträger
angeordnet ist, herzustellen, so ist die beschriebene optische Eingabehilfe
geeignet, dieses Hindernis zu beheben, indem sie den zu breiten
Bereich des Kartenkörpers
optisch unterstützend überbrückt.
-
Die
optische Eingabehilfe kann als eine Mehrzahl von im Wesentlichen
in vorgegebenen Abständen parallel
verlaufenden, optisch voneinander unterscheidbaren Bereichen der
Kartenkörperoberfläche ausgebildet
sein, welche einen Rand der Displayeinrichtung mit einem Rand des
Datenträgers
verbinden. Die Abstände sind
dabei durch die Breite der Anteile der Displayeinrichtung vorgegeben,
wobei ein solcher Bereich jeweils einen Anteil der Displayeinrichtung
mit dem Rand des Datenträgers
verbindet. Konkret kann die Eingabehilfe z. B. als eine Mehrzahl
von vorzugsweise aufgedruckten parallelen Linien oder als eine Mehrzahl
von verschiedenfarbigen Streifen ausgebildet sein.
-
Ein
als Zuordnungseinrichtung verwendbarer portabler Datenträger kann
darüber
hinaus eine Eingabeeinrichtung, beispielsweise in Form eines oder
mehrerer Tasten, umfassen. Mittels einer solchen Eingabeeinrichtung
können
eventuell vorhandene weitere Funktionalitäten des Datenträgers gesteuert
werden. Die Eingabeeinrichtung kann alternativ oder zusätzlich auch
zur Eingabe von Daten in den Datenträger geeignet sein. Der Datenträger kann weiterhin
eine Zufallsgeneratoreinrichtung umfassen, welche eingerichtet ist,
eine Anordnung von Grunddatenelementen auf Anteilen der Displayeinrichtung
zu bestimmen. In der Regel ist der Datenträger als Chipkarte ausgebildet,
umfasst also einen Prozessor und zumindest einen Speicher sowie
ein den Datenträger
steuerndes Betriebssystem. Zusätzlich
kann der Datenträger
eine Datenkommunikationsschnittstelle, z. B. eine USB-Schnittstelle
oder dergleichen, umfassen.
-
Vorzugsweise
umfasst der Datenträger
Haftmittel auf einer Seite des Datenträgers, um ein rutschsicheres
Anordnen des Datenträgers
auf der Anzeigeeinrichtung des Nutzerendgeräts sicherstellen zu können.
-
Sowohl
im ersten als auch im zweiten bevorzugten Verfahren können für jede Kodierung
von zu übertragenden
Transaktionsdaten individuelle Grunddaten und individuelle Abbildungsdaten
vorgegeben werden und die Zuordnung von Grunddaten zu Abbildungsdaten
kann transaktionsspezifisch erfolgen. Einem Angreifer ist es dadurch
nicht möglich,
aus einer Vielzahl von mittels des gleichen Kodierungsverfahrens
kodierten Transaktionsdaten statistische Informationen abzuleiten,
die ein Dekodieren der kodierten Transaktionsdaten erleichtern könnten.
-
An
dieser Stelle tritt ein besonderer Vorteil des erfindungsgemäßen Datenträgers hervor.
Aufgrund der beliebig ansteuerbaren Displayeinrichtung können darauf
verschiedene Grunddaten, beispielsweise als Zeichenketten, angezeigt
werden. Auch ist es möglich,
eine Zeichenkette in einer permutierten Anordnung anzuzeigen. Der
Datenträger
stellt somit eine vollständig
dynamische Zuordnungseinrichtung dar und kann dazu eingesetzt werden,
für verschiedene
Transaktionen jeweils individuell vorgegebenen Grunddaten Abbildungsdaten
individuell zuzuordnen, um damit jeweils ein transaktionsspezifisches
Kodierungsverfahren zu spezifizieren.
-
Eine
weitere einfache Ausführungsform
einer Zuordnungseinrichtung ist durch eine zumindest teilweise transparente
Folie mit den nachstehend beschriebenen Markierungen gegeben. Die
Folie kann auf der Anzeigeeinrichtung des Nutzerendgeräts angeordnet
werden, wobei die Anzeigeeinrichtung zumindest in den transparenten
Bereichen der Folie sichtbar bleibt. Die Markierungen, z. B. in
Form von Löchern
in der Folie oder aufgedruckten Kreisen in einem transparenten Bereich
der Folie, sind mit Grunddatenelementen bezeichnet und geben Abbildungsdaten
vor, welche durch die jeweilige Bezeichnung entsprechenden Grunddatenelementen
zugeordnet werden. Eine solche Folie ist ein Beispiel für eine statische
Zuordnungseinrichtung.
-
Gemäß einer
zweiten einfachen Ausführungsform,
die sich allerdings nur für
das erste bevorzugte Verfahren eignet, umfasst die Zuordnungseinrichtung
eine Mehrzahl separater, vorzugsweise zumindest semitransparenter
Haftnotizen, die unabhängig
voneinander beliebig auf der Anzeigeeinrichtung angeordnet werden
können,
wodurch sie Abbildungsdaten vorgeben, und jeweils mit Grunddatenelementen
bezeichnet sind. Die Haftnotizen bilden eine dynamische Zuordnungseinrichtung,
sowohl was die Abbildungsdaten als auch die Zuordnung der Grunddaten
zu den Abbildungsdaten betrifft.
-
Im
Folgenden werden die beiden bevorzugten Verfahren genauer beschrieben.
-
Grunddaten
können
alle Daten sein, die sich eignen, Basis für die Spezifikation eines Kodierungsverfahrens
zu liefern, mittels dessen übertragende Transaktionsdaten
kodiert werden sollen. Im einfachsten Fall können Grunddaten also z. B.
die Zeichen desjenigen Alphabets bereitstellen oder zumindest umfassen,
in dem die Transaktionsdaten vorliegen. Weiterhin können die
Grunddaten aber auch weitere Informationen enthalten, beispielsweise
wenn die Grunddaten als eine vorgegebene Zeichenkette über einem
solchen Alphabet vorliegen. Dabei enthält die Zeichenkette zusätzlich eine
Information über
die relative Anordnung der Zeichen in der Zeichenkette.
-
Abbildungsdaten
können
alle Daten sein, die den Grunddaten in einer Weise zugeordnet werden
können,
dass durch diese Zuordnung ein Kodierungsverfahren derart spezifiziert
wird, dass aus den Grunddaten und den diesen zugeordneten Abbildungsdaten
ein Dekodierungsverfahren eindeutig ableitbar ist, mittels welchem
gemäß dem Kodierungsverfahren
kodierte Transaktionsdaten dekodiert werden können. Sind die Grunddaten beispielsweise
durch ein Alphabet gegeben, so besteht eine einfache Möglichkeit,
derartige Abbildungsdaten zu erzeugen darin, jedem Zeichen des Alphabets
der Grunddaten ein Element aus einer Menge von Elementen eineindeutig
zuzuordnen, welche den Abbildungsdaten zu Grunde liegen. Eine solche
Menge kann beispielsweise das gleiche Alphabet sein wie das der
Grunddaten oder aber ein anderes Alphabet. Abbildungsdaten können aber
z. B. auch aus einer Menge von verschiedenen optischen Merkmalen,
z. B. Farben, Formen oder dergleichen, oder, wie vorstehend mit
Bezug auf die Zuordnungseinrichtung beschrieben, aus einer Menge
von Koordinatendaten mit Bezug auf eine Anzeigeeinrichtung vorgegeben
werden.
-
Das
Zuordnen der Grunddaten zu den Abbildungsdaten muss lediglich die
Bedingung erfüllen,
dass dadurch ein solches Kodierungsverfahren definierbar ist, welches
alleine anhand der Grunddaten und diesen gemäß der Zuordnung zugeordneten
Abbildungsdaten dekodierbar sein muss. Das heißt, ein Dekodierungsverfahren
muss alleine aus den Grunddaten und den zugeordneten Abbildungsdaten
ableitbar sein. Im Falle des zweiten bevorzugten Verfahrens spezifiziert
die Transaktionseinrichtung sowohl das Kodierungsverfahren als auch
das Dekodierungsverfahren durch die Zuordnung. Ein expliziter Schritt
des Ableiten des Dekodierungsverfahrens durch die Transaktionseinrichtung
kann damit entfallen. In der Regel ist das Dekodierungsverfahren
ein zum Kodierungsverfahren inverses Verfahren, so dass durch Spezifizieren
des Kodierungsverfahrens implizit auch das Dekodierungsverfahren
bereits spezifiziert ist. Dies ist z. B. der Fall, wenn sowohl die Grunddaten
als auch die Abbildungsdaten jeweils eine Menge paarweise verschiedener
Elemente enthalten und gemäß der Zuordnung
jeweils ein Grunddatenelement genau einem Abbildungsdatenelement
zugeordnet wird. Umfassen die Grunddaten beispielsweise das Alphabet
der Transaktionsdaten, so kann ein Kodierungsverfahren spezifiziert
werden, indem jedem Grunddatenelement, und dadurch gleichzeitig
jedem Zeichen der Transaktionsdaten, eindeutig genau ein Abbildungsdatenelement
zugeordnet wird, beispielsweise Koordinatendaten mit Bezug auf eine
Anzeigeeinrichtung. Ein Dekodieren einer solchen Kodierung erfolgt
dann dadurch, dass zu einem Koordinatendatenelement – dem Abbildungsdatenelement – in umgekehrter
Richtung gemäß der Zuordnung
das diesem Abbildungsdatenelement eindeutig zugeordnete Grunddatenelement – welches
Zeichen der Transaktionsdaten ist – bestimmt wird.
-
Das
vorstehend beschriebene Beispiel zeigt exemplarisch die allgemein
gültige
Eigenschaft beider bevorzugter Verfahren, dass anhand der Abbildungsdaten
keinerlei Rückschlüsse auf
die Grunddaten und auf die Zuordnung der Grunddaten zu den Abbildungsdaten
gezogen werden können.
Auch das Kodieren der Transaktionsdaten kann auf Seiten des Nutzers
derart durchgeführt
werden, dass ein Angreifer außer
den kodierten Transaktionsdaten keine zusätzliche Information erhält, die
ein Dekodieren der kodierten Transaktionsdaten erleichtern könnte. Im
vorstehend geschilderten Beispiel erfolgt das Kodieren der Transaktionsdaten
dadurch, dass der Nutzer anstelle eines Zeichens der zu übertragenden
Transaktionsdaten mittels einer Zeigeeinrichtung, z. B. einer Maus,
die diesem Zeichen – einem
Grunddatenelement – zugeordnete
Koordinateninformation – ein
Abbildungsdatenelement – eingibt,
also eine entsprechende Position auf der Anzeigeeinrichtung ”anklickt”. Schadcode
auf dem Nutzerendgerät
kann also lediglich ”Klickpositionen” und deren
zeitliche Reihenfolge belauschen, welche in diesem Beispiel der
Gesamtheit der Abbildungsdaten entsprechen. Es kann dabei keinerlei
Information darüber
gewonnen werden, welche die Transaktionsdaten betreffende Information,
insbesondere welches Zeichen der Transaktionsdaten, einer solchen ”Klickposition” zugeordnet
worden ist.
-
Das
erste bevorzugte Verfahren lässt
sich, wie vorstehend bereits angedeutet, grob in zwei Phasen unterteilen.
Die erste Phase zeichnet sich dadurch aus, dass das Zuordnen von
Abbildungsdaten zu den Grunddaten auf Seiten des Nutzers des Nutzerendgeräts durchgeführt wird.
Damit wird das Kodierungsverfahren vollständig auf Seiten des Nutzers
spezifiziert, ohne dass die Transaktionseinrichtung dazu beitragen
oder etwaige ergänzende
Schritte durchführen
müsste.
Die Abbildungsdaten werden, nachdem sie den Grunddaten auf Seiten
des Nutzers mittels der Zuordnungseinrichtung zugeordnet worden
sind, an die Transaktionseinrichtung übertragen, vorzugsweise über das
Datenkommunikationsnetzwerk, womit auf Seiten des Nutzers die erste
Phase abgeschlossen ist. Erst jetzt, nach einem Empfangen der Abbildungsdaten,
leitet die Transaktionseinrichtung das Dekodierungsverfahren ab,
welches lediglich für
die speziell betrachteten Grunddaten und die diesen aktuell zugeordneten
Abbildungsdaten gültig
ist. Damit endet auch für
die Transaktionseinrichtung die erste Phase des Verfahrens.
-
In
einer zweiten Phase des Verfahrens werden nun auf Seiten des Nutzers
Transaktionsdaten mittels der Zuordnungseinrichtung kodiert und
durch das Nutzerendgerät
an die Transaktionseinrichtung übertragen. Dort
werden die Transaktionsdaten schließlich gemäß dem in der ersten Phase abgeleiteten
Dekodierungsverfahren dekodiert und transaktionsgemäß verarbeitet.
-
Auch
das zweite bevorzugte Verfahren lässt die vorstehend angedeutete
Aufteilung in zwei Phasen erkennen. Gemäß dem zweiten bevorzugten Verfahren
werden allerdings, im Gegensatz zum ersten Verfahren, zu Beginn
der ersten Phase lediglich der Transaktionseinrichtung die Grunddaten
bereitgestellt. Weiterhin unterscheidet sich das zweite bevorzugte
Verfahren vom ersten darin, dass die Zuordnung von Abbildungsdaten
zu den Grunddaten nun auf Seiten der Transaktionseinrichtung durchgeführt wird,
wodurch das Kodierungsverfahren und das Dekodierungsverfahren spezifiziert
werden. Damit hat der Nutzer des Nutzerendgeräts keinen Anteil am Spezifizieren
des Kodierungsverfahrens, wodurch dort also Verfahrensschritte gegenüber dem
ersten bevorzugten Verfahren wegfallen und das Verfahren auf Seiten
des Nutzers einfacher durchführbar
ist. Zum Abschluss der ersten Phase stellt die Transaktionseinrichtung
dem Nutzer die Grunddaten und die den Grunddaten zugeordneten Abbildungsdaten,
welche zusammen das Kodierungsverfahren spezifizieren, bereit, beispielsweise
in Form einer geeigneten Zuordnungseinrichtung wie dem erfindungsgemäßen Datenträger. Dies
geschieht vorzugsweise über
einen sicheren Kommunikationskanal, der nicht über das Datenkommunikationsnetzwerk
verläuft,
z. B. per Post.
-
Die
zweite Phase des zweiten bevorzugten Verfahrens verläuft im Wesentlichen
analog zur zweiten Phase des ersten bevorzugten Verfahrens. Auf
Seiten des Nutzers werden Transaktionsdaten mittels der Zuordnungseinrichtung
kodiert. Dazu sind keine weiteren Schritte der Transaktionseinrichtung
erforderlich. Insbesondere kann das Kodieren der Transaktionsdaten
durch den Nutzer des Nutzerendgeräts unabhängig von einer Anzeige einer
Anzeigeeinrichtung des Nutzerendgeräts, beispielsweise in Form
einer von der Transaktionseinrichtung an das Nutzerendgerät übertragenen
und auf der Anzeigeeinrichtung angezeigten Eingabehilfe, durchgeführt werden.
Schließlich
werden die kodierten Transaktionsdaten durch das Nutzerendgerät an die Transaktionseinrichtung übertragen
und dort gemäß dem in
der ersten Phase spezifizierten Dekodierungsverfahren dekodiert
und transaktionsgemäß verarbeitet.
-
Eine
Ausführungsform,
insbesondere des ersten bevorzugten Verfahrens, umfasst den weiteren Schritt
des Bestätigen
der Transaktionsdaten durch Übertragen
einer gemäß dem Kodierungsverfahren
kodierten Transaktionsbestätigung
von dem Nutzerendgerät
an die Transaktionseinrichtung. Damit kann sichergestellt werden,
dass nicht ein Angreifer, der sich eventuell mit einem zuvor ausgespähten Passwort
als ein berechtigter Nutzer bei der Transaktionseinrichtung anmeldet
und – ohne
Kenntnis der Grunddaten – beliebige den
Abbildungsdaten entsprechende Daten, z. B. in Form von Koordinatendaten,
an die Transaktionseinrichtung sendet, welche prinzipiell geeignet
sind, ein Kodierungsverfahren zu spezifizieren. Es bestünde in einem solchen
Fall eine geringe Wahrscheinlichkeit, dass anschließend übertragene
Daten, die kodierten Transaktionsdaten entsprächen, auf Seiten der Transaktionseinrichtung
zu tatsächlich
ausführbaren
Transaktionsdaten dekodiert würden,
wodurch eine Transaktion zu Ungunsten des berechtigten Nutzers ausgeführt würde. Spätesten die
von der Transaktionseinrichtung vor dem Ausführen der Transaktion erwartete
Transaktionsbestätigung
kann der Angreifer mit allergrößter Wahrscheinlichkeit
nicht korrekt übertragen,
da sie ihm nicht vorliegt. Auf diese Weise kann ein derartiger Angriff
wirkungsvoll verhindert werden.
-
Wie
bereits vorstehend angedeutet, können
die Grunddaten als Zeichenkette, insbesondere als eine alphanumerische
Zeichen umfassende Grunddatenzeichenkette, derart erzeugt und bereitgestellt
werden, dass jeweils ein oder mehrere aufeinander folgende Zeichen
der Grunddatenzeichenkette ein Grunddatenelement repräsentieren,
welches zu allen anderen Grunddatenelementen der Grunddatenzeichenkette
paarweise verschieden ist. Eine Grunddatenzeichenkette kann also
beispielsweise eine zehnstellige Zeichenkette sein, in der jede
Ziffer zwischen 0 und 9 genau einmal vorkommt. Alternativ oder zusätzlich kann
die Zeichenkette aber auch Buchstaben und/oder andere Symbole umfassen.
-
Entsprechend
ist die Displayeinrichtung des erfindungsgemäßen Datenträgers eingerichtet, Grunddaten
als Zeichenketten, insbesondere bestehend aus Zahlen und/oder Buchstaben,
anzuzeigen, wobei jeweils ein oder mehrere aufeinander folgende
Zeichen der Zeichenkette ein Grunddatenelement repräsentieren,
die Grunddatenelemente paarweise verschieden sind und jeweils ein
Grunddatenelement in einem Anteil der Displayeinrichtung anzeigbar
ist.
-
Vorzugsweise
wird eine Grunddatenzeichenkette mit Zeichen aus demjenigen Alphabet
bereitgestellt, aus dem auch die Zeichen der Transaktionsdaten stammen.
Damit wird das Spezifizieren des Kodierungsverfahrens erleichtert,
da dann die Zuordnung von Grunddatenelementen zu Abbildungsdatenelementen
direkt ein Kodierungsverfahren darstellt, welches einem Zeichen
der Transaktionsdaten ein Abbildungsdatenelement zuordnet.
-
Die
vorliegende Erfindung wird im Folgenden mit Bezug auf die anliegenden
Zeichnungen beispielhaft erläutert.
Darin zeigen:
-
1A und 1B eine
erste und eine zweite Variante einer ersten Ausführungsform eines als Zuordnungseinrichtung
einsetzbaren erfindungsgemäßen Datenträgers;
-
2A bis 2C Beispiele
einer dritten Variante eines solchen erfindungsgemäßen Datenträgers;
-
3 eine
zweite Ausführungsform
eines als Zuordnungseinrichtung einsetzbaren erfindungsgemäßen Datenträgers;
-
4 eine
als Zuordnungseinrichtung verwendbare Folie;
-
5A und 5B schematisch
den Schritt des Zuordnen von Grunddaten zu Abbildungsdaten;
-
6 schematisch
die Schritte eines ersten bevorzugten Verfahren; und
-
7 schematisch
die Schritte eines zweiten bevorzugten Verfahren.
-
Mit
Bezug auf die 1 bis 3 werden
im Folgenden verschiedene Ausführungsformen
und Varianten von portablen Datenträgern 10 beschrieben, welche
als Zuordnungseinrichtung in Verfahren zum sicheren Übertragen
von Transaktionsdaten eingesetzt werden können. Die Art der Verwendung
der Datenträger 10 beim
Durchführen
der Verfahren sowie die Verfahren selbst werden nachstehend mit
Bezug auf die 5 bis 7 detailliert
beschrieben.
-
1A zeigt
schematisch eine erste Variante einer ersten Ausführungsform
einen solchen Datenträgers 10,
der hier in Form einer Chipkarte ausgebildet ist. Der Datenträger 10 umfasst
einen in der Regel nicht transparenten Kartenkörper 14, eine Eingabeeinrichtung 12 in
Form einer Taste sowie eine Displayeinrichtung 20. Die
Taste 12 kann zur Eingabe von Information in den Datenträger 10 dienen
sowie zum Aufrufen oder Aktivieren verschiedener durch den Datenträger bereitgestellter
Funktionalitäten,
insbesondere zum Aktivieren einer Anzeige auf der Displayeinrichtung 20.
Die angezeigten Daten in Form einer Grunddatenzeichenkette ”7135248096”, deren
Bedeutung und Verwendung mit Bezug auf die 5 bis 7 genauer
beschrieben wird, können
in einem Speicher des Datenträgers 10 gespeichert
sein oder über
die Taste 12 oder weitere, nicht gezeigte Eingabeelemente
in den Datenträger 10 eingegeben
worden sein. Die Displayeinrichtung 20 ist in verschiedene
Anteile 22 unterteilt, wobei jeder Anteil 22 eingerichtet
ist, ein Element 72 der Grunddaten 70 (siehe 5A)
anzuzeigen.
-
Die
Displayeinrichtung 20 des Datenträgers 10 in 1A ist
derart auf dem Kartenkörper 14 angeordnet,
dass der obere Rand der Displayeinrichtung 20 mit dem oberen
Rand 16 des Datenträgers 10 übereinstimmt.
Es ist gleichfalls möglich,
die Displayeinrichtung 20 entsprechend an einem seitlichen
oder dem unteren Rand des Kartenkörpers 14 derart anzuordnen,
dass der jeweils äußere Rand
der Displayeinrichtung 20 mit dem äußeren Rand des Datenträgers 10 übereinstimmt.
-
Der
Datenträger 10 in 1B unterscheidet
sich von demjenigen in 1A lediglich dadurch, dass der
obere Rand der Displayeinrichtung 20 vom oberen Rand 16 des
Datenträgers 10 durch
einen schmalen Bereich 30 getrennt ist. Die Breite des
Bereichs 30 beträgt
hier lediglich höchstens
ein Viertel der Höhe
der Displayeinrichtung 20, sodass der obere Rand der Displayeinrichtung 20 immer
noch sehr nahe am oberen Rand 16 des Datenträgers 10 angeordnet
ist.
-
In
den 2A, 2B und 2C sind
drei Beispiele einer dritten Variante der ersten Ausführungsform
des als Zuordnungseinrichtung einsetzbaren Datenträgers 10 schematisch
dargestellt. Im Unterschied zu den Datenträgern 10 in den 1A und 1B ist
nun die Displayeinrichtung 20 nicht mehr direkt oder zumindest
sehr nahe benachbart zu einem Rand 16 des Datenträgers 10 angeordnet.
Dagegen umfassen die Datenträger 10 aller
drei Beispiele einen transparenten Bereich 40, welcher
angrenzend an einen Rand der Displayeinrichtung 20 angeordnet
ist. Im Datenträger 10 der 2A grenzt
ein Rand des transparenten Bereichs 40 an den oberen Rand
der Displayeinrichtung 20 an, während der gegenüberliegende
Rand des transparenten Bereichs 40 mit dem Rand 16 der
Datenträgers 10 übereinstimmt.
Im Datenträger
nach 2B ist der transparente Bereich 40 unterhalb
der Displayeinrichtung 20 und direkt an diese angrenzend
angeordnet. Es ist auch möglich
(nicht gezeigt), den transparenten Bereich seitlich angrenzend an
die Displayeinrichtung 20 vorzusehen. Gemäß 2C schließlich ist
der gesamte Kartenkörper 14 transparent
ausgebildet.
-
Die
vorstehend mit Bezug auf die 1 und 2 beschriebenen Datenträger 10 haben gemeinsam, dass,
wenn ein solcher Datenträger 10 auf
einer Anzeigeeinrichtung 210',
z. B. einem Display eines Smartphones, wie es in 5Bschematisch
dargestellt ist, flächig
angeordnet wird, die Displayeinrichtung 20 auf dem Kartenkörper 14 derart
angeordnet ist (vgl. 1A, 1B) oder
der Kartenkörper 14 derart
ausgebildet ist (vgl. 2A, 2B, 2C),
dass ein ausgewählter
Bereich 230' der
Anzeigeeinrichtung 210' direkt
angrenzend (5B) an oder zumindest sehr nahe
benachbart zu der Displayeinrichtung 20 des Datenträgers 10 positioniert
ist und dabei sichtbar ist, wodurch Anteile 22 der Displayeinrichtung 20 eindeutig
Anteilen 232' eines ausgewählten Bereichs 230' der Anzeigeeinrichtung 210' zugeordnet
werden können.
Dasselbe wäre
mit einem Datenträger
nach 1B möglich,
da der schmale Bereich 30 des Kartenkörpers 14 eine solche
Zuordnung nicht behindern würde.
Im Falle der Datenträger 10,
wie sie mit Bezug auf die 2A, 2B und 2C beschrieben
worden sind, würde
der ausgewählte
Bereich 230' der
Anzeigeeinrichtung 210' ebenfalls als
der Bereich ausgewählt,
der direkt angrenzend an einen Rand der Displayeinrichtung 20 positioniert
ist. Der ausgewählte
Bereich 230' wäre auch
in diesen Fällen
sichtbar, da die entsprechenden Datenträger 10 den beschriebenen
transparenten Bereich 40 umfassen, wodurch wiederum eine
Zuordnung der Anteile 22 der Displayeinrichtung 20 zu
Anteilen 232' des
ausgewählten
Bereichs 230' in
der beschriebenen Art eindeutig möglich wäre.
-
3 zeigt
eine zweite Ausführungsform
eines Datenträgers 10,
der als Zuordnungseinrichtung einsetzbar ist. Dabei liegt die Displayeinrichtung 20 nicht
am Rand 16 des Datenträgers 10,
noch umfasst der Datenträger 10 einen
transparenten Bereich. Um eine Zuordnung von Anteilen 22 der
Displayeinrichtung 20 zu Anteilen eines ausgewählten Bereichs
einer Anzeigeeinrichtung durchführen
zu können,
wenn der Datenträger 10 flächig auf
dieser angeordnet ist, umfasst der Datenträger 10 eine optische
Eingabehilfe 50. Mittels dieser werden die Anteile 22 der
Displayeinrichtung 20 geeignet mit dem Rand 16 des
Datenträgers 10 verbunden, so
dass eine Zuordnung, wie sie vorstehend mit Bezug auf 5B beschrieben
worden ist, möglich
wird. Die Eingabehilfe 50 überbrückt dabei den Bereich des Kartenkörpers 14,
der den Rand der Displayeinrichtung 20 vom Rand 16 des
Datenträgers 10 trennt.
-
Die
optische Eingabehilfe 50 ist in 3 als eine
Mehrzahl von parallelen gedruckten Linien ausgebildet, welche gemäß der Breite
der Anteile 22 der Displayeinrichtung 20 beabstandet
sind. Andere Varianten der Eingabehilfe sind möglich, z. B. verschiedenfarbige
Streifen entsprechender Breite und dergleichen. Auch die Anteile 22 der
Displayeinrichtung 20 können
zur besseren Unterscheidbarkeit optisch voneinander getrennt werden,
wie es in den 1 bis 3 durch
die gestrichelten Linien angedeutet ist.
-
Die
vorstehend beschriebenen Datenträger 10 können zusätzlich Haftmittel
(nicht gezeigt), z. B. auf ihrer Rückseite, umfassen, um ein rutschsicheres
Anordnen eines solchen Datenträgers 10 auf
einer Anzeigeeinrichtung 210',
z. B. einem Monitor, zu gewährleisten.
-
4 zeigt
eine weitere Ausführungsform
einer Zuordnungseinrichtung in Form einer transparenten Folie 60,
welche im Zusammenhang mit den nachstehend mit Bezug auf 6 und 7 beschriebenen
Verfahren einsetzbar ist. Die Folie 60 umfasst Markierungen 62,
welche jeweils mit Grunddatenelementen 72 bezeichnet sind.
Die Anordnung der Markierungen 62 auf der Folie 60 und
die Bezeichnung der Markierungen 62 durch die Grunddatenelemente 72 wird
vorzugsweise für
jede solche Folie 60 zufällig neu bestimmt. Im gezeigten
Beispiel entsprechen die Grunddatenelemente 72 den Ziffern
0 bis 9. Die Folie 60 ist geeignet, flächig auf einer Anzeigeeinrichtung 210,
z. B. einem Monitor, angeordnet zu werden, wie es in 5A auf
der linken Seite angedeutet ist.
-
Im
Folgenden werden mit Bezug auf die 5A, 5B und 6 die
Schritte einer bevorzugten Ausführungsform
eines ersten Verfahrens zum sicheren Übertragen von Transaktionsdaten
durch einen Nutzer eines Nutzerendgeräts an eine Transaktionseinrichtung
beschrieben.
-
In 6 ist
die Transaktionseinrichtung 100 beispielhaft als Bank bezeichnet,
die für
den Nutzer eine Transaktion, beispielsweise eine Überweisung,
ausführen
kann. Andere Einrichtungen können
die Rolle der Transaktionseinrichtung gleichfalls einnehmen.
-
Als
Nutzerendgerät 200 ist
schematisch ein Notebook dargestellt. Alternativ können andere
Geräte, beispielsweise
ein PC, ein Smartphone oder dergleichen, als Nutzerendgerät 200 eingesetzt
werden.
-
In
einer ersten Phase des Verfahrens, welche die Verfahrensschritte
S1 bis S6 umfasst, werden Vorbereitungen getroffen, die eine sichere Übertragung
von durch den Nutzer zu übertragenden
Transaktionsdaten 90 in einer zweiten Phase des Verfahrens,
welche die Verfahrensschritte S7 bis S9 umfasst, ermöglicht.
-
Die
Transaktionseinrichtung 100 erzeugt in Schritt S1 so genannte
Grunddaten 70. Diese Grunddaten 70 dienen zusammen
mit noch zu beschreibenden Abbildungsdaten 80 zum Spezifizieren
eines Kodierungsverfahrens zum Kodieren der zu übertragenden Transaktionsdaten 90.
Das Kodierungsverfahren ist derart definiert, dass aus den Grunddaten 70 und
den den Grunddaten 70 wie nachfolgend beschrieben zugeordneten Abbildungsdaten 80 ein
Dekodierungsverfahren eindeutig ableitbar ist, mittels welchem Daten,
die gemäß dem spezifizierten
Kodierungsverfahren kodiert worden sind, wieder dekodiert werden
können.
-
Im
gezeigten Beispiel sind die Grunddaten 70 durch eine zehnstellige
Zeichenkette gegeben, welche alle Ziffern zwischen 0 und 9 genau
einmal umfasst. Derartige Grunddaten 70 eignen sich insbesondere
zum Spezifizieren eines Kodierungsverfahrens, mittels welchem Transaktionsdaten 90 kodiert
werden sollen, welche ebenfalls nur Ziffern, nicht jedoch Buchstaben
oder andere Zeichen oder Symbole umfassen. Dies ist z. B. für Überweisungsdaten
der Fall ist, welche lediglich eine Bankleitzahl, eine Kontonummer
und einen zu überweisenden
Betrag angeben. In einem solchen Fall kann zum Spezifizieren des
Kodierungsverfahrens jedes Zeichen der Transaktionsdaten 90 mit
genau einem Zeichen der Grunddaten 70 identifiziert werden,
wie es nachstehend genauer ausgeführt wird. Es ist gleichfalls
möglich,
Grunddaten 70 zu erzeugen, die alternativ oder zusätzlich andere
Zeichen oder Symbole, z. B. Buchstaben, Sonderzeichen und dergleichen,
umfassen, um in der beschriebenen einfachen Weise auch Transaktionsdaten
kodieren zu können,
die solche anderen Zeichen umfassen.
-
Die
erzeugten Grunddaten 70 werden in Schritt S2 dem Nutzer
des Nutzerendgeräts 200 auf
sicherem Weg bereitgestellt, beispielsweise, wie in 6 angedeutet,
per Post. Für
die Sicherheit des Verfahrens ist es maßgeblich, dass die Grunddaten 70 lediglich
der Transaktionseinrichtung 100 und dem Nutzer bekannt
sind. Ein potentieller Angreifer darf keinen Zugriff auf die Grunddaten 70 haben.
-
Im
Besitz der Grunddaten 70 spezifiziert der Nutzer des Nutzerendgeräts 200 in
Schritt S3 das Kodierungsverfahren zum Kodieren der zu übertragenden
Transaktionsdaten 90. Dazu werden den Grunddaten 70 Abbildungsdaten 80 derart
zugeordnet, dass aus den Grunddaten 70 und den zugeordneten
Abbildungsdaten 80 das genannte Dekodierungsverfahren eindeutig
ableitbar ist. Der Schritt S4 des Zuordnen der Grunddaten 70 zu
den Abbildungsdaten 80 ist in den 5A und 5B schematisch
dargestellt.
-
Wie
in 5A dargestellt, verwendet der Nutzer zum Zuordnen
der Grunddaten 70 zu den Abbildungsdaten 80 eine
so genannte Zuordnungseinrichtung in Form einer transparenten Folie 60,
die bereits mit Bezug auf 4 beschrieben
worden ist. Diese Folie 60 besitzt Markierungen 62,
welche, wenn die Folie, wie in 5A gezeigt,
auf einer Anzeigeeinrichtung 210 des Nutzerendgeräts 200 angeordnet
ist, die Abbildungsdaten 80 in Form von Koordinatendaten
mit Bezug auf die Anzeigeeinrichtung 210 vorgeben. Jede
der Markierungen ist mit genau einer Ziffer der Grunddaten 70,
also mit genau einem Grunddatenelement 72, bezeichnet.
Der Nutzer ordnet nun die Grunddaten 70 den Abbildungsdaten 80 in
der folgenden Weise zu: Mittels einer Zeigeeinrichtung 220,
z. B. einer Maus, ”klickt” der Nutzer
nacheinander die Markierungen 62 der Folie 60 an, die
mit den Ziffern der Grunddatenzeichenkette 70 bezeichnet
sind, und zwar in der Reihenfolge, in der die Ziffern in der Zeichenkette
angeordnet sind. Der Nutzer ”klickt” also zuerst
auf die Markierung, die mit der ”7” bezeichnet ist, dann auf
die Markierung, die mit der ”1” bezeichnet
ist, usw., bis er schließlich
zuletzt auf die Markierung ”klickt”, die mit
der letzten Ziffer der Grunddatenzeichenkette 70, der ”6”, bezeichnet
ist. Auf diese Weise werden die Abbildungsdaten 80 in Form
von Koordinatendaten erzeugt, die weiterhin die Information tragen,
in welcher Reihenfolge die entsprechenden Bereiche der Anzeigeeinrichtung 210 ”angeklickt” worden sind.
Die Abbildungsdaten 80 umfassen im gezeigten Beispiel also
eine Menge von zehn Datensätzen,
welche jeweils eine Zeitinformation ti sowie Koordinatendaten Xi,
Yi umfassen. Anhand der Zeitinformation kann die Reihenfolge, in
der der Nutzer die Markierungen ”angeklickt” hat, festgestellt werden.
-
Wie
in 5B schematisch dargestellt, kann als Zuordnungseinrichtung
anstelle der Folie 60 ein Datenträger 10 verwendet werden,
wie er mit Bezug auf 1A beschrieben worden ist. In 5B ist
ein solcher Datenträger 10 auf
einem Display 210' eines
Smartphones 200' angeordnet,
welche jeweils Nutzerendgerät 200' und zugehörige Anzeigeeinrichtung 210' repräsentieren.
Der Datenträger 10 wird
auf der Anzeigeeinrichtung 210' flächig angeordnet. Die genaue
Art der Anordnung, d. h. ob der Datenträger 10, wie gezeigt, ”schräg” angeordnet
wird, ist unerheblich. Durch das Anordnen wird ein Bereich 230' der Anzeigeeinrichtung 210' ausgewählt, und
zwar der Bereich, der der direkt angrenzend an die Displayeinrichtung 20 des
Datenträgers 10 positioniert
ist. Ein solcher ausgewählter
Bereich der Anzeigeeinrichtung entspräche in dem Beispiel in 5A der
Summe der Bereiche 232, die auf der Anzeigeeinrichtung 210 direkt
unterhalb der Markierungen 62 der angeordneten Folie 60 positioniert
sind. Die Anteile 22 der Displayeinrichtung 20 des
Datenträgers 10 entsprechen
den Markierungen 62 der Folie 60 aus 5A.
Sie sind, wie diese, mit Grunddatenelementen 72, in Form von
Ziffern der Grunddatenzeichenkette 70 dadurch bezeichnet,
dass jeder Anteil 22 eine solche Ziffer anzeigt. Eine Zuordnung
der Grunddaten 70 zu Abbildungsdaten 80 erfolgt
prinzipiell in genau der Weise, wie es bereits mit Bezug auf 5A beschrieben
worden ist. Der Nutzer ”klickt” nacheinander
die den Anteilen 22 der Displayeinrichtung 20 zugeordneten
Anteile 232' des
Bereichs 230' der
Anzeigeeinrichtung 210' an,
die direkt an die entsprechenden Anteile 22 angrenzen und
entsprechende Ziffern der Grunddatenzeichenkette anzeigen, und zwar
in genau der Reihenfolge, in der die Ziffern der Grunddatenzeichenkette
angeordnet sind. Als Zeigeeinrichtung 220' kann in diesem Fall ein Stift
oder dergleichen dienen.
-
In 5B ist
der einfache Fall gezeigt, dass der Nutzer die Anteile 232', welche den
Anteilen 22 zugeordnet werden, nacheinander in der Reihenfolge ”anklickt”, die der
ursprünglichen
Reihenfolgen der Grunddatenzeichenkette entspricht, also ”von links
nach rechts”,
da die Grunddatenzeichenkette in unveränderter Form auf der Displayeinrichtung
angezeigt wird. Diese scheinbar zu einfache Vorgehensweise birgt
allerdings kein Sicherheitsrisiko, da jede Anordnung der Ziffern
der Grunddatenzeichenkette 70 auf der Displayeinrichtung
für eine
Zuordnung der beschriebenen Art gleichermaßen geeignet ist. Gemäß einer
nicht gezeigten Variante kann es vorgesehen sein, dass die Grunddatenzeichenkette 70,
beispielsweise mittels eines Zufallsgenerators des Datenträgers 10,
zufällig
permutiert wird, bevor die Zuordnung zu den Abbildungsdaten 80 durchgeführt wird.
Dies hätte
zur Folge, dass der Nutzer die Anteile 232' des ausgewählten Bereichs 230' dann in der
Reihenfolge ”anklicken” würde, die
durch die Anzeige der permutierten Grunddatenzeichenkette auf den Anteilen 22 der
Displayeinrichtung 20 vorgegeben wäre. In diesem Fall kann die
Displayeinrichtung 20 zumindest zweizeilig ausgebildet
sein, so dass die Grunddaten 70 zusammen mit den permutierten
Grunddaten, denen dann die Abbildungsdaten zugeordnet werden, angezeigt
werden können.
-
Alternativ
zu dem Datenträger 10 aus 1A kann
natürlich
auch ein Datenträger 10 verwendet
werden, wie er mit Bezug auf eine der 1B, 2A, 2B, 2C oder 3 beschrieben
worden ist. Die Zuordnung der Anteile 232' des ausgewählten Bereichs 230' erfolgt wie
vorstehend und mit Bezug auf die entsprechenden Figuren beschrieben.
-
Durch
diese Zuordnung von Grunddaten 70 zu Abbildungsdaten 80 hat
der Nutzer bereits ein zulässiges
Kodierungsverfahren eindeutig spezifiziert, da im vorliegenden Beispiel
lediglich solche Transaktionsdaten 90 kodiert werden sollen,
die aus Ziffern von 0 bis 9 zusammengesetzt sind. Eine Ziffer der
Transaktionsdaten 90 wird mit derselben Ziffer der Grunddatenzeichenkette 70 identifiziert
und derart kodiert, dass statt der Ziffer der Transaktionsdaten 90 das
der entsprechenden Ziffer wie beschrieben zugeordnete Abbildungsdatenelement,
also ein Koordinatenpaar (Xi, Yi), übertragen wird. Dies wird mit
Bezug auf Schritt S7 nachfolgend noch genauer beschrieben.
-
Die
Grunddaten 70 bleiben während
der Schritte S3 und S4 einem potentiellen Angreifer, der mittels auf
dem Nutzerendgerät 200 installierten
Schadcodes das Verfahren stören
möchte,
verborgen. Es ist verfahrensgemäß nicht
notwendig, die Grunddaten 70 zum Zwecke der Zuordnung zu
den Abbildungsdaten 80 in irgendeiner Weise in das Nutzerendgerät 200 einzugeben
oder dort auch nur temporär
zu speichern. Der Angreifer könnte
allenfalls die Abbildungsdaten 80, d. h. mit einer Zeitinformation
versehene Koordinatendaten, ausspähen, die jedoch für sich keinerlei
Information über
die Grunddaten 70 tragen und somit in keiner Weise zum
Ableiten des Kodierungs- oder des Dekodierungsverfahrens genügen.
-
In
Schritt S5 werden die Abbildungsdaten 80 durch das Nutzerendgerät 200 an
die Transaktionseinrichtung 100 übertragen. Dies geschieht in
der Regel, vorzugsweise verschlüsselt, über ein
Datenkommunikationsnetzwerk, z. B. das Internet oder ein Mobilfunknetz.
Auch ein Angreifer, der diese Datenübertragung belauscht, kann
die ihm allenfalls zufallenden Abbildungsdaten nicht verwenden,
um das Verfahren zu gefährden, da
er weiterhin keine Kenntnis der Grunddaten 70 hat, welche
nur der Transaktionseinrichtung 100 und dem Nutzer vorliegen.
-
In
Schritt S7 leitet die Transaktionseinrichtung 100 das Dekodierungsverfahren
aus den Grunddaten 70 und den von dem Nutzerendgerät 200 empfangenen
Abbildungsdaten 80 ab. In Kenntnis der Grunddaten 70,
d. h. der Grunddatenzeichenkette ”7135249096”, kann die Transaktionseinrichtung 100 jedem
Abbildungsdatensatz (ti: Xi, Yi) eineindeutig eine Ziffer der Grunddatenzeichenkette 70 zuordnen.
Der gemäß der Zeitinformationen
ti geordnet erste Datensatz (t1: X1, Y1) entspricht der ersten Ziffer
der Grunddatenzeichenkette, der ”7”, der zweite Datensatz (t2:
X2, Y2) der zweiten Ziffer der Grunddatenzeichenkette, der ”1”, usw.
Es ist zu bemerken, dass die Transaktionseinrichtung 100 die
Zuordnungseinrichtung 60, 10, welche der Nutzer
zum Zuordnen der Grunddaten 70 zu den Abbildungsdaten 80 verwendet
hat, nicht kennt. D. h. die Transaktionseinrichtung 100 ist
weder im Besitz der Folie 60 noch verfügt sie über den Datenträger 10.
Die Kenntnis über
die Ausgestaltung der Zuordnungseinrichtung 60, 10 oder
deren Besitz ist für
die Transaktionseinrichtung 100 zum Ableiten des Dekodierungsverfahrens
nicht erforderlich.
-
Ein
komplettes Kodierungs- und Dekodierungsschema ist im Folgenden in
Tabelle 1 angegeben, wobei jedem Koordinatendatenelement genau ein
Grunddatenelement
72 zugeordnet ist: Tabelle
1:
X1,
Y1 <--> ”7”; | X4,
Y4 <--> ”5”; | X7,
Y7 <--> ”8”; | X10,
Y10 <--> ”6”; |
X2,
Y2 <--> ”1”; | X5,
Y5 <--> ”2”; | X8,
Y8 <--> ”0”; | |
X3,
Y3 <--> ”3”; | X6,
Y6 <--> ”4”; | X9,
Y9 <--> ”9”; | |
-
Das
heißt
z. B., dass der Nutzer zum Kodieren des Zeichens ”2” die Koordinatendaten
(X5, Y5) ”anklickt” und überträgt oder
dass das Transaktionsendgerät 100,
wenn es die Koordinatendaten (Y8, Y8) von dem Nutzerendgerät 200 empfängt, diese
zu dem Zeichen ”0” dekodiert.
-
Damit
ist die erste Phase des Verfahrens beendet. Nun sind sowohl der
Nutzer des Nutzerendgeräts 200 als
auch die Transaktionseinrichtung 100 in der Lage, eine
sichere Übertragung
von Transaktionsdaten 90 durch das Nutzerendgerät 200 an
die Transaktionseinrichtung 100 zu gewährleisten.
-
Zu
Beginn der zweiten Phase werden nun Transaktionsdaten 90 durch
den Nutzer des Nutzerendgeräts 200 kodiert.
Zu übertragende
Transaktionsdaten 90 sind dabei beispielhaft durch eine
Zeichenkette gegeben, die mit den Ziffern ”01234” beginnt. Zum Kodieren dieser
Zeichenkette wird erneut die Folie 60 verwendet, und zwar
genau in der Weise, wie sie bereits zum Zuordnen der Grunddaten 70 zu
den Abbildungsdaten 80 verwendet worden ist: Um ein Zeichen
der Transaktionsdatenzeichenkette zu kodieren, ”klickt” der Nutzer den Bereich 232 der
Anzeigeeinrichtung 210 an, der durch die Markierung 62 ausgewählt wird,
welche mit dem entsprechenden Zeichen bezeichnet ist. Will der Nutzer
also z. B. die ”0” als erstes
Zeichen der Transaktionsdatenzeichenkette 90 kodieren,
so ”klickt” er auf
die mit ”0” bezeichnete
Markierung, welche gemäß Tabelle
1 den Koordinatendaten (X8, Y8) zugeordnet ist. Um eine ”1” zu kodieren,
wird die mit ”1” bezeichnete
Markierung 62 der Folie 60 ”angeklickt”, wodurch Koordinatendaten
(X2, Y2) erzeugt werden, usw. Die Reihenfolge, in der der Nutzer
die verschiedenen Markierungen ”angeklickt” hat, werden
wiederum zusammen mit den den kodierten Transaktionsdaten 92 entsprechenden
Koordinatendaten in Form der Zeitinformationen ti' gespeichert.
-
Wenn,
wie mit Bezug auf 5B beschrieben, die Zuordnung
von Grunddaten 70 zu Abbildungsdaten 80 mittels
des Datenträgers 10 durchgeführt worden
ist, so wird auch die Kodierung der Transaktionsdaten 90 mit
Hilfe des Datenträgers 10 durchgeführt.
-
Sowohl
bei Verwendung der Folie 60 als auch bei Verwendung eines
Datenträgers 10 ist
darauf zu achten, dass die Koordinatendaten, die in der Kodierungsphase,
also der zweiten Phase, erzeugt werden, von der Transaktionseinrichtung 100 eindeutig
den Koordinatendaten zugeordnet werden können, die während der ersten Phase erzeugt
worden sind. Im einfachsten Fall wird dies dadurch erreicht, dass
die Folie 60 bzw. der Datenträger 10 in genau der
gleichen Weise auf der entsprechenden Anzeigeeinrichtung 210, 210' angeordnet werden
bzw. immer noch in der Weise angeordnet sind, wie dies während der
ersten Phase der Fall war. Ist die Folie 60 oder der Datenträgers 10 in
der zweiten Phase in einer anderen Weise auf der Anzeigeeinrichtung 210 bzw. 210' angeordnet
als in der ersten Phase, so kann die Transaktionseinrichtung 100 die
stattgefundene räumliche
Verschiebung eigenständig
berechnen, sofern in der zweiten Phase genügend viele verschiedene bzw.
die räumliche
Lage der Folie 60 bzw. des Datenträgers 10 eindeutig
definierende Markierungen 62 ”angeklickt” worden sind. Alternativ können auf
der Folie 60 oder dem Datenträger 10 (nicht gezeigte)
zusätzliche Markierungen
vorgesehen sein, die der Nutzer zu Beginn zumindest der zweiten
Phase ”anklickt”, und die
der Transaktionseinrichtung 100 das Berechnen der erfolgten
räumlichen
Verschiebung der entsprechenden Zuordnungseinrichtung 60, 10 auf
der Anzeigeeinrichtung 210, 210' erlauben.
-
In
Schritt S8 werden die kodierten Transaktionsdaten 92 durch
das Nutzerendgerät 200 über das
Datenkommunikationsnetzwerk an die Transaktionseinrichtung 100 übertragen.
-
Die
von der Transaktionseinrichtung 100 empfangenen kodierten
Transaktionsdaten 92 werden von dieser gemäß dem in
Schritt S6 abgeleiteten Dekodierungsverfahren (vgl. Tabelle 1) dekodiert.
Dazu ordnet die Transaktionseinrichtung 100 die empfangenen
Datensätze
(ti', Xj, Yj) gemäß der Zeitinformation
ti' und dekodiert
dann in der erhaltenen Reihenfolge z. B. (X8, Y8) gemäß Tabelle
1 zu ”0”, (X2,
Y2) zu ”1” usw.
-
Zur
zusätzlichen
Sicherung der Transaktion kann der Nutzer in einem weiteren, nicht
gezeigten Schritt die Transaktion durch die Übertragung einer gemäß dem Kodierungsverfahren
kodierten Transaktionsbetätigung,
z. B. in Form einer lediglich der Transaktionseinrichtung 100 und
dem Nutzer vorliegenden TAN, bestätigen. Es ist für einen
Angreifer prinzipiell möglich,
wenn er sich z. B. mittels eines ausgespähten Passworts oder dergleichen
bei der Transaktionseinrichtung 100 authentisiert, ohne
Kenntnis der Grunddaten vorstehend beschriebenes Verfahren durchzuführen. Der
Angreifer kann dabei zwar nicht wissen, welches Kodierungsverfahren
er spezifiziert, da der die Grunddaten 70 nicht kennt,
und welche ”Transaktionsdaten” er in
der zweiten Phase überträgt. Es wäre jedoch
mit geringer Wahrscheinlichkeit möglich, dass ”korrekte”, d. h.
prinzipiell ausführbare
Transaktionsdaten 90 erzeugt, von der Transaktionseinrichtung 100 empfangen
und dann eine entsprechende Transaktion zu Ungunsten des tatsächlich berechtigten
Nutzers durchgeführt
würden.
Die Wahrscheinlichkeit allerdings, dass zusätzlich noch eine geheime TAN
zufällig
richtig ”geraten” wird,
ist minimal, sodass derartige ”Zufallsangriffe” dadurch
wirkungsvoll verhindert werden können.
-
Bevor
die Transaktionseinrichtung 100 die durch die dekodierten
Transaktionsdaten 90 vorgegebene Transaktion, also z. B.
eine Banküberweisung,
ausführt,
kann ein weiterer, nicht gezeigter Schritt vorgesehen sein, in dem
die Transaktionseinrichtung 100 die von ihr dekodierten
Daten zur Kontrolle und Bestätigung
an das Nutzerendgerät 200 überträgt, wo diese
z. B. auf der Anzeigeeinrichtung 210, 210' angezeigt werden.
Der Nutzer kann, wenn die Daten korrekt sind, eine Bestätigungsnachricht übertragen,
woraufhin die Transaktionseinrichtung 100 die Transaktion
durchführt.
Da es lediglich vorgesehen ist, dass der Nutzer die angezeigten Kontrolldaten
bestätigt
bzw. nicht bestätigt,
kann ein Angreifer, der die Transaktionsdaten 90 nun eventuell
im Klartext lesen kann, keine Veränderung der übertragenen
Transaktionsdaten 90 mehr bewirken.
-
Zur
Verbesserung des Nutzungskomforts könnte die Transaktionseinrichtung 100 stets
direkt, nachdem sie ein kodiertes Zeichen empfangen und dekodiert
hat, dem Nutzer das Ergebnis des Dekodieren anzeigen. Damit könnte der
Nutzer unmittelbar verfolgen, welche Transaktionsdaten 90 bei
der Transaktionseinrichtung 100 empfangen werden. Eine
solche Vorgehensweise birgt allerdings das nicht unerhebliche Sicherheitsrisiko,
dass ein Angreifer einer ”Klickposition”, d. h.
einem kodierten Zeichen, unmittelbar das Zeichen im Klartext zuordnen
kann, wenn es dem Nutzer durch die Transaktionseinrichtung 100 angezeigt
und somit für
den Angreifer lesbar wird. Diese Information kann der Angreifer
im Laufe der weiteren Kodierung direkt nutzen, um veränderte Transaktionsdaten 90 an
die Transaktionseinrichtung 100 zu übertragen, da er zeichenweise
das Kodierungsverfahren ableiten kann.
-
Alternativ
kann der Nutzer zusammen mit den kodierten Transaktionsdaten 92 eine
Prüfziffer,
Prüfsumme
oder dergleichen, welche über
die Transaktionsdaten 90 gebildet worden ist, an die Transaktionseinrichtung 100 übertragen.
Mittels dieser Prüfziffer
oder -summe kann die Transaktionseinrichtung 100 ihrerseits überprüfen, ob
der Nutzer die beabsichtigten Transaktionsdaten 90, d.
h. die mit der Prüfziffer
oder -summe übereinstimmenden, übertragen
hat. Eine Übertragung
der dekodierten Transaktionsdaten 90 an den Nutzer zur
Kontrolle und Bestätigung
kann dann entfallen, wodurch ein Angreifer keine Information über das
verwendete Kodierungsverfahren erhält.
-
Zur
weiteren Sicherung des Verfahrens, insbesondere in den Fällen, in
denen die Transaktionseinrichtung 100 die dekodierten Transaktionsdaten 90 zur
Kontrolle und Bestätigung
an das Nutzerendgerät 200 überträgt, werden
in der Regel für
jede Transaktion separate, individuelle Grunddaten 70 erzeugt
und diesen Grunddaten 70 jeweils von neuem und in individueller
Weise Abbildungsdaten 80 zugeordnet, so dass sich für jede Transaktion
ein individuelles, transaktionsspezifisches Kodierungs- und Dekodierungsverfahren
ergibt. Es ist möglich,
dass die Transaktionseinrichtung 100 in Schritt S1 bereits
eine Mehrzahl von verschiedenen Grunddaten 70, beispielsweise
in Form einer Liste von mehreren, eventuell indizierten Grunddatenzeichenketten
erzeugt und dem Nutzer bereitstellt, ähnlich wie es bereits im Zusammenhang
mit (indizierten) TAN-Listen zur Transaktionsbestätigung bekannt
ist. Um das Spezifizieren des Kodierungsverfahrens individuell für jede Transaktion
durchzuführen,
kann der Nutzer für
jede Transaktion eine separate Folie 60, welche vorzugsweise zufällig angeordnete
und zufällig
durch Grunddatenelementen 72 bezeichnete Markierungen 62 aufweist,
verwenden. Alternativ kann ein Datenträger 10, wie mit Bezug
auf 5B beschrieben, verwendet werden. Auch mittels
des Datenträgers 10 kann
ein jeweils transaktionsspezifisches Kodierungsverfahren spezifiziert
werden. Auf diese Weise wird es einem Angreifer unmöglich gemacht, übertragene
Daten statistisch auszuwerten und dabei – im Falle eines mehrmals identisch
verwendeten Kodierungsverfahrens – Informationen über dasselbe
zu gewinnen.
-
Mit
Bezug auf die 5A, 5B und 7 werden
nun die Schritte einer bevorzugten Ausführungsform eines zweiten Verfahrens
beschrieben, mittels dessen Transaktionsdaten 80, die von
einem Nutzerendgerät 200 an
eine Transaktionseinrichtung 100 übertragen werden, gesichert
werden können.
Die im Folgenden beschriebenen Grunddaten 70, Abbildungsdaten 80,
unkodierten und kodierten Transaktionsdaten 90, 92 entsprechen
den gleichnamigen Daten im Zusammenhang mit dem vorstehend mit Bezug
auf 6 beschriebenen ersten Verfahren und werden dementsprechend
mit den gleichen Bezugszeichen bezeichnet. Auch die beteiligten
Transaktionspartner, also die Transaktionseinrichtung 100 und
das Nutzerendgerät 200,
entsprechen den vorstehend beschriebenen, genauso wie die verwendeten
Zuordnungseinrichtungen, also die Folie 60 oder ein Datenträger 10.
Wenn nichts Gegenteiliges angegeben ist, gilt für die mit den entsprechenden
Bezugszeichen bezeichneten Elemente sowie für alle anderen gleichnamigen,
nicht bezeichneten Elemente, wie z. B. das Kodierungs- und Dekodierungsverfahren,
das bereits mit Bezug auf das erste Verfahren erläuterte analog.
-
In
einem ersten Schritt T1 erzeugt die Transaktionseinrichtung 100 Grunddaten 70.
Im Unterschied zum oben mit Bezug auf 6 erläuterten
ersten Verfahren werden diese Grunddaten 70 nicht direkt
dem Nutzer bereitgestellt.
-
In
Schritt T2 spezifiziert die Transaktionseinrichtung 100 selbst
das Kodierungs- und das Dekodierungsverfahren, indem auf Seiten
der Transaktionseinrichtung 100 die Grunddaten 70 den
entsprechenden Abbildungsdaten 80 zugeordnet werden. In
dieser Hinsicht unterscheidet sich das zweite Verfahren grundlegend
vom ersten Verfahren. Die durch die Transaktionseinrichtung 100 hergestellte
Zuordnung von Grunddaten 70 zu Abbildungsdaten 80 hat
prinzipiell die Form einer Zuordnung gemäß Tabelle 1, d. h. jedem Grunddatenelement 72 wird
genau ein Koordinatenpaar als Abbildungsdatenelement zugeordnet,
und kann mittels einer Zuordnungseinrichtung, z. B. der Folie 60 gemäß 4 oder
einem Datenträger 10 wie
in 1, 2,
oder 3, festgehalten werden. Die Zuordnungseinrichtung
hat den Vorteil, dass sie vom Nutzer zum Kodieren, wie nachstehend
erläutert,
einfacher und komfortabler eingesetzt werden kann als eine schlichte
Tabelle.
-
In
Schritt T3 stellt die Transaktionseinrichtung 100 dem Nutzer
des Nutzerendgeräts 200 die
Grunddaten 70 und die den Grunddaten 70 zugeordneten
Abbildungsdaten 80 in einer Weise bereit, die das Kodierungsverfahren
spezifizieren. Die genannte Tabelle würde dazu ausreichen. Gemäß einer
bevorzugten Ausführungsform übermittelt
die Transaktionseinrichtung 100 dem Nutzer auf sicherem
Weg, z. B. per Post, die Zuordnungseinrichtung 60, 10,
mittels derer der Nutzer die von der Transaktionseinrichtung 100 vorgenommene
Zuordnung von Grunddaten 70 zu Abbildungsdaten 80 und
das resultierende Kodierungsverfahren direkt entnehmen kann. Damit
ist die erste Phase des zweiten Verfahrens abgeschlossen. Es fällt auf,
dass der Nutzer an dieser ersten Phase überhaupt nicht beteiligt ist,
wodurch sich das Verfahren auf seiner Seite im Vergleich zum mit
Bezug auf 6 beschriebenen ersten Verfahren
vereinfacht.
-
Die
zweite Phase, welche die Verfahrensschritte T4 bis T6 umfasst, verläuft prinzipiell
wie im ersten Verfahren. In Schritt T4 kodiert der Nutzer die zu übertragenden
Transaktionsdaten 90 mittels der Zuordnungseinrichtung,
z. B. der ihm bereitgestellten Folie 60, dadurch, dass
die Folie 60 auf der Anzeigeeinrichtung 210 des
Nutzerendgeräts 200 angeordnet
wird. Ein Datenträger 10 ist
gleichfalls einsetzbar, sofern dieser dem Nutzer von der Transaktionseinrichtung
in Schritt T3 bereitgestellt worden ist. Dann ”klickt” der Nutzer die Bereiche der
Anzeigeeinrichtung 210 an, die unter den Markierungen der
Folie 60 positioniert sind, wobei eine solche Markierung
jeweils mit dem zu übertragenden
Zeichen der Transaktionsdaten 90 bezeichnet sind. Mit Bezug auf
Schritt T4 ist in 7 das ”Anklicken” der ersten drei Markierungen
angedeutet, mittels welcher die ersten drei Ziffern ”0 1 2” der Transaktionsdaten 90 kodiert
werden. Auch hier kann es vorgesehen sein, dass die Zuordnungseinrichtung,
also die Folie 60 oder der Datenträger 10, zusätzliche
(nicht gezeigte) Lagemarkierungen aufweist, welche der Nutzer zu
Beginn des Kodierungsvorgangs ”anklickt”. Durch
Auswerten dieser Lagemarkierungen wird es der Transaktionseinrichtung 100 erleichtert,
die konkrete Anordnung der Zuordnungseinrichtung auf der Anzeigeeinrichtung
zu bestimmen und die ”Klickpositionen” den vorgegebenen
Markierungen 62 der Zuordnungseinrichtung zuzuordnen.
-
Es
ist zu bemerken, dass der Nutzer die Transaktionsdaten 90 unabhängig von
einer Anzeige auf der Anzeigeeinrichtung 210 des Nutzerendgeräts 200 kodieren
kann. D. h. die Transaktionseinrichtung 100 muss keine
weiteren Daten, z. B. in Form von Bildern, die eine Eingabehilfe
oder dergleichen darstellen, an das Nutzerendgerät 200 übertragen.
-
Durch
das ”Anklicken” werden
im Nutzerendgerät 200 Koordinatendaten
(ti: Xi, Yi) in der vorstehend beschriebenen Weise erzeugt. Diese
Koordinatendaten entsprechen den kodierten Transaktionsdaten 92 und werden
durch das Nutzerendgerät 200 in
Schritt T5 an die Transaktionseinrichtung 100 über das
Datenkommunikationsnetzwerk übertragen.
-
In
Schritt T6 dekodiert die Transaktionseinrichtung 100 die
empfangenen kodierten Transaktionsdaten 92 gemäß dem von
ihr selbst in Schritt T2 spezifizierten Dekodierungsverfahren. Ein
separates Ableiten desselben ist hier, im Gegensatz zum ersten,
mit Bezug auf 6 beschriebenen Verfahren, nicht
mehr erforderlich.
-
Die
mit Bezug auf 6 beschriebenen weiteren, nicht
in der 6 angedeuteten Verfahrensschritte betreffend die
Kontrolle und Bestätigung
der übertragenen
Transaktionsdaten 90, die Prüfziffer oder -summe sowie die
Bestätigung
der Transaktion mittels kodierter Übertragung einer TAN können analog
im Zusammenhang mit dem mit Bezug auf 7 beschriebenen
zweiten Verfahren durchgeführt
werden. Weiterhin ist es auch für
das zweite Verfahren ratsam, für
jede Transaktion ein separates, transaktionsspezifisches Kodierungsverfahren
zu spezifizieren. Dem Nutzer können
dazu in Schritt T3 bereits eine Mehrzahl verschiedener Folien 60 bereitgestellt
werden. Alternativ kann die Transaktionseinrichtung 100 dem
Nutzer in Schritt T3 einen Datenträger 10 der beschriebenen
Art bereitstellen, welcher eine Mehrzahl von Grunddatenzeichenketten 70 gespeichert
hat. Der Nutzer kann sich dann bei Bedarf die jeweils nächste dieser
geordnet vorliegenden Zeichenketten 70 anzeigen lassen
und Transaktionsdaten 90 zu einer Transaktion damit kodieren.