DE4446667A1

DE4446667A1 - Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung

Info

Publication number: DE4446667A1
Application number: DE4446667A
Authority: DE
Inventors: Georg G Gelfer; Andreas Wagner; Wolfgang Dr Thiel; Enno Bischoff
Original assignee: Francotyp Postalia GmbH
Current assignee: Francotyp Postalia GmbH
Priority date: 1994-12-15
Filing date: 1994-12-15
Publication date: 1996-06-20
Anticipated expiration: 2014-12-16
Also published as: EP0996096A2; EP0996097A3; EP0717379A3; DE59511045D1; DE59508807D1; EP0717379B1; EP0996097B1; EP0996096B1; EP0996097A2; EP0996096A3; EP0717379A2; DE4446667C2; DE59511048D1

Description

Die Erfindung betrifft ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthaben übertragung, speziell bei der Fondsrückübertragung zur Datenzentrale, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art.

Eine Frankiermaschine erzeugt in der Regel einen Auf druck in einer mit der Post vereinbarten Form rechts bündig, parallel zur oberen Kante des Postgutes begin nend mit dem Inhalt Postwert im Poststempel, Datum im Tagesstempel und Stempelabdrucke für Werbeklischee und ggf. Sendungsart im Wahldruckstempel. Der Postwert, das Datum und die Sendungsart bilden hierbei die entspre chend dem Poststück einzugebenden variablen Informa tionen.

Beim Postwert handelt es sich meist um die vom Absender vorausbezahlte Beförderungsgebühr (Franko) die einen wiederauffüllbaren Guthabenregister entnommen und zum Freimachen der Postsendung verwendet wird. Im Gegensatz dazu wird beim Kontokorrentverfahren ein Register in Abhängigkeit von den mit dem Postwert vorgenommenen Frankierungen lediglich hochgezählt und in regelmäßigen Abständen, von einem Postinspektor abgelesen.

Grundsätzlich ist jede vorgenommene Frankierung abzu rechnen und jede Manipulation, welche zu einer nicht abgerechneten Frankierung führt, muß verhindert werden.

Eine bekannte Frankiermaschine ist mit mindestens einem Eingabemittel, einem Ausgabemittel, einem Ein/Ausgabe- Steuermodul, einer Programm-, Daten- und insbesondere die Abrechnungsregister tragenden Speichereinrichtung, einer Steuereinrichtung und einem Druckermodul ausge rüstet. Bei einem Druckermodul mit Druckmechanik müssen auch Maßnahmen ergriffen werden, damit im ausge schalteten Zustand die Druckmechanik nicht für unabge rechnete Abdrucke mißbraucht werden kann.

Die Erfindung betrifft insbesondere Frankiermaschinen, die einen vollelektronischen erzeugten Abdruck zum Frankieren von Postgut einschließlich Abdruck eines Werbeklischees liefern. Das hat zur Folge, daß nur noch im eingeschalteten Zustand ein nicht abgerechnetes gül tiges Frankieren verhindert werden muß.

Bei einer aus der US 4 746 234 bekannten Frankierma schine werden feste und variable Informationen in Speichermitteln (ROM, RAM) gespeichert, um diese dann, wenn ein Brief auf dem Transportpfad vor der Druck position einen Mikroschalter betätigt, mittels eines Mikroprozessors auszulesen und um ein Drucksteuersignal zu bilden. Beide sind danach elektronisch zu einem Druckbild zusammengesetzt und können durch Thermo transferdruckmittel auf einen zu frankierenden Briefumschlag ausgedruckt werden.

Es wurde auch bereits ein Verfahren zum Steuern des spaltenweisen Druckens eines Postwertzeichenbildes in einer Frankiermaschine vorgeschlagen EP 578 042 A2, welches getrennt voneinander in graphische Pixelbilddaten umgesetzte feste und variable Daten während des spaltenweisen Druckens zusammensetzt. Es wäre daher schwierig, ohne großen und teuren Aufwand eine Manipulation am Drucksteuersignal vorzunehmen, wenn das Drucken mit einer hohen Geschwindigkeit erfolgt.

Andererseits umfaßt die Speichereinrichtung mindestens einen nichtflüchtigen Speicherbaustein, der das aktuell verbliebene Restguthaben enthält, welches daraus resul tiert, daß von einem früher in die Frankiermaschine geladenen Guthaben der jeweilige zu druckenden Porto wert abgezogen wird. Die Frankiermaschine blockiert, wenn das Restguthaben Null ist.

Bekannte Frankiermaschinen enthalten in mindestens ei nem Speicher drei relevante Postregister für verbrauchten Summenwert (steigendes Register), noch verfügbares Restguthaben (fallendes Register) und Register für eine Kontrollsumme. Die Kontrollsumme wird mit der Summe aus verbrauchten Summenwert und aus verfügbaren Guthaben verglichen. Bereits damit ist eine Überprüfung auf richtige Abrechnung möglich.

Weiterhin ist es auch möglich von einer Datenzentrale über eine Fernwertvorgabe eine Wiederaufladeinformation zur die Frankiermaschine zu übertragen, um in das Register für das Restguthaben (Restwert) ein Guthaben nachzuladen. Es versteht sich von selbst, daß hierfür geeignete Sicherheitsmaßnahmen getroffen werden müssen, damit das in der Frankiermaschine gespeicherte Guthaben nicht in unbefugter Art und Weise aufgestockt werden kann. Die vorgenannten Lösungen gegen Mißbrauch und Fälschungsversuche zu schützen, erfordert einen zusätzlichen materiellen und zeitlichen Aufwand.

Aus der US 48 64 506 ist bekannt, daß wenn der Wert des Guthabens im fallenden Register unter einem Schwellwert liegt und eine vorbestimmte Zeit erreicht ist, eine Kommunikation zur entfernten Datenzentrale von der Frankiermaschine aufgenommen wird.

Aus o.g. Patent ist weiterhin bekannt, daß die Daten zentrale zum Empfang von Registerdaten und zur Kon trolle, ob die Frankiermaschine noch an eine bestimmte Telefonnummer angeschlossen ist - die Verbindung mit der Frankiermaschine nach einer definierten Zeitdauer aufnimmt und die Frankiermaschine nur zu vorbestimmten Zeiten antwortet.

Es ist nach o.g. Patent außerdem vorgesehen, vor einer Guthabennachladung in die Frankiermaschine, zur Autorisierung durch die Datenzentrale die Identitätsnummer der Frankiermaschine und die Werte im fallenden und steigenden Register abzufragen.

Weiterhin ist aus o.g. Patent bekannt, daß die Kommunikation der Datenzentrale mit der Frankier maschine nicht auf bloße Guthabenübertragung in die Frankiermaschine beschränkt bleiben braucht. Vielmehr wird im Falle einer Abmeldung der Frankiermaschine die Kommunikation der Datenzentrale mit der Frankierma schine zur Übertragung des Restguthabens der Frankier maschine in die Datenzentrale genutzt. Der Wert im fal lenden Postregister der Frankiermaschine ist dann Null, was die Frankiermaschine wirksam außer Betrieb setzt.

Ein Sicherheitsgehäuse für Frankiermaschinen, welches innere Sensoren aufweist, ist aus der DE 41 29 302 A1 bekannt. Die Sensoren sind insbesondere mit einer Bat terie verbundene Schalter, welche beim Öffnen des Si cherheitsgehäuses aktiv werden, um einen das Rest wertguthaben speichernden Speicher (fallendes Post register) durch Unterbrechen der Energiezufuhr zu löschen. Es ist bekanntlich aber nicht vorhersagbar, welchen Zustand ein spannungsloser Speicherbaustein beim Wiederkehr der Spannung einnimmt. Somit könnte auch ein nicht bezahltes höheres Restguthaben ent stehen. Andererseits kann nicht ausgeschlossen werden, daß sich auf oben genannte Weise, das Restwertguthaben zumindest teilweise entlädt. Das wäre aber bei einer Inspektion nachteilig, da das Restwertguthaben, welches vom Frankiermaschinennutzer bezahlt worden war, auch wieder geladen werden muß, die Höhe dieses Restgut habens jedoch durch o.g. Einflüsse verfälscht sein kann. Schließlich ist der Beschreibung nicht entnehm bar, wie verhindert werden kann, daß ein Manipulator ein nicht bezahltes Restguthaben wieder herstellt.

Bei bekannten Frankiermaschinen FM sind bereits weitere Sicherheitsmaßnahmen wie Wegbrechschrauben und gekap seltes abgeschirmtes Sicherheitsgehäuse bekannt. Üblich sind auch Schlüssel und ein Zahlenschloß um den Zugriff auf die Frankiermaschine zu erschweren.

In der US 4 812 994 soll ein unautorisierter Zugriff einer Benutzung der Frankiermaschine darüber hinaus durch Sperrung der Frankiermaschine bei Falscheingabe eines vorbestimmten Paßwortes verhindert werden. Außerdem kann die Frankiermaschine mittels Paßwort und entsprechender Eingabe über Tastatur so eingestellt werden, daß ein Frankieren nur während eines vorbestimmten Zeitintervalls bzw. Tageszeiten möglich ist.

Das Paßwort kann durch einen Personalcomputer über MODEM, durch eine Chipkarte oder manuell in die Frankiermaschine eingegeben werden. Nach positiven Vergleich mit einem in der Frankiermaschine gespeicherten Paßwort wird die Frankiermaschine freigegeben. Im Steuermodul der Abrechnungseinheit ist ein Sicherheitsmodul (EPROM) integriert. Als weitere Sicherheitsmaßnahme ist ein Verschlüsselungsmodul (separater Mikroprozessor oder Programm für FM-CPU basierend auf DES-oder RSA-Code) vorgesehen, der eine den Portowert, die Teilnehmernummer, eine Trans aktionsnummer und ähnliches umfassende Erkennungs nummer im Frankierstempel erzeugt. Bei genügend krimineller Energie könnte aber auch ein Paßwort ausgeforscht und samt Frankiermaschine in den Besitz eines Manipulators gebracht werden.

Es ist bereits in der US 4,812,965 ein Ferninspektions- System für Frankiermaschinen vorgeschlagen worden, welches auf speziellen Mitteilungen im Abdruck von Poststücken, die der Zentrale zugesandt werden müssen, oder auf einer Fernabfrage über MODEM basiert. Sensoren innerhalb der Frankiermaschine sollen jede vorgenommene Verfälschungshandlung detektieren, damit in zugehörigen Speichern ein Flag gesetzt werden kann, falls in die Frankiermaschine zu Manipulationszwecken eingegriffen wurde. Ein solcher Eingriff könnte erfolgen, um ein nicht bezahltes Guthaben in die Register zu laden.

Bei Feststellung einer Manipulation wird die Frankier maschine während der Ferninspektion über Modem durch ein von der Datenzentrale ausgehendes Signal gesperrt. Eine geschickte Manipulation könnte aber andererseits darin bestehen, nach der Herstellung von nicht abge rechneten Frankieraufdrucken, das Flag und die Register in den ursprünglichen Zustand zurückzuversetzen. Eine solche Manipulation wäre über Ferninspektion durch die Datenzentrale nicht erkennbar, wenn diese rückgängig gemachte Manipulation vor der Ferninspektion lag. Auch der Empfang der Postkarte von der Datenzentrale, auf welche eine zu Inspektionszwecken vorzunehmende Fran kierung erfolgen soll, gestattet dem Manipulator die Frankiermaschine in ausreichender Zeit in den ursprüng lichen Zustand zurückzuversetzen. Damit ist also noch keine höhere Sicherheit erreichbar.

Der Nachteil eines solchen Systems besteht darin, daß nicht verhindert werden kann, daß ein genügend quali fizierter Manipulator, welcher in die Frankiermaschine einbricht, seine hinterlassenen Spuren nachträglich beseitigt, indem die Flags gelöscht werden. Auch kann damit nicht verhindert werden, daß der Abdruck selbst manipuliert wird, welcher von einer ordnungsgemäß betriebenen Maschine hergestellt wird. Bei bekannten Maschinen besteht die Möglichkeit, einer Herstellung von Abdrucken mit dem Portowert Null. Derartige Nullfrankierungen werden zu Testzwecken benötigt, und könnten auch nachträglich gefälscht werden, indem ein Portowert größer Null vorgetäuscht wird.

Ein Sicherheitsabdruck gemäß der FP-eigenen europäische Patentanmeldung EP 576 113 A2 sieht Symbole in einem Markierungsfeld im Frankierstempel vor, die eine kryptifizierte Information enthalten. Dies gestattet der Postbehörde, welche mit der Datenzentrale zusammenwirkt, aus dem jeweiligem Sicherheitsabdruck eine Erkennung einer Manipulation an der Frankiermaschine zu beliebigen Zeitpunkten. Zwar ist eine laufende Kontrolle solcher mit einem Sicherheitsabdruck versehenen Poststücke über entsprechende Sicherheitsmarkierungen im Stempelbild technisch möglich, jedoch bedeutet das einen zusätzlichen Aufwand im Postamt. Bei einer auf Stichproben beruhenden Kontrolle, wird aber eine Manipulation in der Regel erst spät festgestellt.

Andererseits kann im Datenzentrum eine zusätzliche Aus wertung hinsichtlich eines Nutzers einer Frankierma schine, die vom Nutzer über das Inspektionsdatum hinaus weiterbetrieben wurde, erfolgen. Jedoch kann bisher aus diesen Informationen noch nicht eine in Fälschungsab sicht vorgenommene Manipulation geschlußfolgert werden.

In der US 4 251 874 wird ein mechanisches Druckwerk, das zum Drucken voreingestellt werden muß, mit einer Detektoreinrichtung verwendet, um die Voreinstellung zu überwachen. Ferner sind im elektronischen Abrechnungs system Mittel zum Feststellen von Fehlern in Daten- und Steuersignalen vorgesehen. Erreicht diese Fehlerzahl einen vorgegebenen Wert, wird der weitere Betrieb der Frankiermaschine unterbrochen. Der plötzliche Ausfall der Frankiermaschine ist aber für den Frankiermaschi nenbenutzer nachteilig. Bei einem nichtmechanischen Druckprinzip sind andererseits kaum solche internen Fehler zu erwarten und bei einem schweren Fehler ist die Frankiermaschine ohnehin sowieso sofort abzuschal ten. Außerdem wird die Sicherheit gegenüber einer Manipulation der Frankiermaschine dadurch kaum größer, indem die Frankiermaschine nach einer vorbestimmten Fehleranzahl abgeschaltet wird.

Aus der US 4 785 417 ist eine Frankiermaschine mit einer Programmsequenzüberwachung bekannt. Der korrekte Ablauf eines größeren Programmstücks wird mittels eines jedem Programmteil zugeordneten speziellen Codes kontrolliert, der bei Aufruf des Programmstücks in einer bestimmten Speicherzelle im RAM abgelegt wird. Es wird nun überprüft, ob der in der vorgenannten Speicherzelle abgelegte Code im gerade ablaufenden Programmteil immer noch vorhanden ist. Würde bei einer Manipulation der Lauf eines Programmteils unterbrochen und ein anderer Programmteil läuft ab, kann durch eine solche Kontrollfrage ein Fehler festgestellt werden.

Der Vergleich kann aber nur im Hauptablauf durchgeführt werden. Nebenabläufe, beispielsweise sicherheitsrele vante Berechnungen, welche von mehreren Hauptabläufen benutzt werden, können durch eine solche Überwachung auf Ausführung des Programmteils jedoch nicht kontrol liert werden, weil die Programmkontrolle unabhängig vom Programmablauf erfolgt. Wird auf der Basis von erlaub ten Programmteilen und Nebenabläufen so manipuliert, daß Nebenabläufe zusätzlich in Hauptabläufe eingebunden oder aus letzteren weggelassen werden oder auf Nebenab läufe verzweigt wird, dann würde kein Fehler festge stellt werden, da weder die Länge des Programmteils festgestellt, noch festgestellt werden kann, welcher Programmzweig wie oft durchlaufen wurde.

Eine andere Art einer erwarteten Manipulation ist das Nachladen der Frankiermaschinenregister mit einem nicht abgerechneten Guthabenwert. Damit ergibt sich das Er fordernis einer gesicherten Nachladung. Eine zusätzli che Sicherheitsmaßnahme ist nach US 4 549 281 der Ver gleich einer internen in einem nichtflüchtigen Register gespeicherten festen Kombination mit einer eingegebenen externen Kombination, wobei nach einer Anzahl an Fehl versuchen, d. h. Nichtidentität der Kombinationen, die Frankiermaschine mittels einer Hemmungselektronik gesperrt wird. Nach US 4 835 697 kann zur Verhinderung eines unautorisierten Zugriffs auf die Frankiermaschine die Kombination grundsätzlich gewechselt werden.

Aus der US 5,077,660 ist außerdem eine Methode zum Wechsel der Konfiguration der Frankiermaschine bekannt, wobei die Frankiermaschine mittels geeigneter Eingabe über eine Tastatur vom Betriebsmode in einen Konfigura tionsmode umgeschaltet und eine neue Metertypnummer eingegeben werden kann, welche der gewünschten Anzahl an Merkmalen entspricht. Die Frankiermaschine generiert einen Code für die Kommunikation mit dem Computer der Datenzentrale und die Eingabe der Identifikationsdaten und der neuen Metertypnummer in vorgenannten Computer, der ebenfalls einen entsprechenden Code zur Übermitt lung und Eingabe in die Frankiermaschine generiert, in der beide Code verglichen werden. Bei Übereinstimmung beider Code wird die Frankiermaschine konfiguriert und in den Betriebsmode umgeschaltet. Die Datenzentrale hat dadurch vom jeweils eingestellten Metertyp für die entsprechende Frankiermaschine immer genaue Aufzeich nungen. Jedoch ist die Sicherheit allein von der Ver schlüsselung der übertragenen Code abhängig.

Darüber hinaus ist aus der EP 388 840 A2 eine ver gleichbare Sicherheitstechnik für ein Setzen einer Frankiermaschine bekannt, um diese von Daten zu säubern, ohne daß die Frankiermaschine zur Hersteller firma transportiert werden muß. Auch hier ist die Sicherheit allein von der Verschlüsselung der über tragenen Code abhängig.

Die gesicherte Nachladung einer Frankiermaschine mit einem Guthaben wurde in US 3 255 439 einerseits bereits mit einer automatischen Signalübertragung von der Fran kiermaschine zur Datenzentrale verbunden, wenn immer eine vorbestimmte Geldmittelsumme, welche frankiert wurde, oder Stückzahl an bearbeiteten Poststücken oder eine vorbestimmte Zeitperiode erreicht wurde. Alterna tiv kann ein der Geldmittelsumme, Stückzahl oder Zeit periode entsprechendes Signal übermittelt werden. Dabei erfolgt die Kommunikation mittels binärer Signale über miteinander über eine Telefonleitung verbundene Konverter. Die Maschine erhält eine ebenso gesicherte Nachladung entsprechend der Kreditbalance und blockiert in dem Fall, wenn kein Kredit nachgeliefert wird.

Aus der US 4 811 234 ist bekannt, die Transaktionen verschlüsselt durchzuführen und dabei die Register der Frankiermaschine abzufragen und die Registerdaten der Datenzentrale zu übermitteln, um einen zeitlichen Bezug der Verringerung des im Register gespeicherten verfü gungsberechtigten Betrages anzuzeigen. Einerseits iden tifiziert sich die Frankiermaschine bei der Datenzen trale, wenn ein voreinstellbarer Schwellwert erreicht ist, mittels ihres verschlüsselten Registerinhaltes. Andererseits modifiziert die Datenzentrale durch ent sprechende Berechtigungssignale den gewünschten Fran kierbetrag, bis zu dem frankiert werden darf. Die Ver schlüsselung ist somit die einzige Sicherheit gegen eine Manipulation der Registerstände. Wenn also ein Ma nipulator zwar ordnungsgemäß immer den gleichen Betrag in gleichen zeitlichen Intervallen lädt, aber zwischen zeitlich mit der manipulierten Frankiermaschine einen viel höheren Betrag frankiert, als er bezahlt hat, kann die Datenzentrale keine Manipulation feststellen.

Aus der EP 516 403 A2 ist bekannt, die in der Vergan genheit protokollierten und in einem Speicher gespei cherten Fehler der Frankiermaschine regelmäßig zu einem entfernten Fehleranalysecomputer zur Auswertung zu übertragen. Eine solche Ferninspektion erlaubt eine frühe Warnung vor einem auftretenden Fehler und ermöglicht weitere Maßnahmen (Service) zu ergreifen. Allein dies bietet noch kein ausreichendes Kriterium für eine Manipulation.

Gemäß der GB 22 33 937 A und US 5 181 245 kommuniziert die Frankiermaschine periodisch mit der Datenzentrale. Ein Blockiermittel gestattet die Frankiermaschine nach Ablauf einer vorbestimmten Zeit bzw. nach einer vorbe stimmten Anzahl an Operationszyklen, zu blockieren und liefert eine Warnung an den Benutzer. Zum Freischalten muß von außen ein verschlüsselter Code eingegeben werden, welcher mit einem intern erzeugten verschlüs selten Code verglichen wird. Um zu verhindern, daß falsche Abrechnungsdaten an die Datenzentrale geliefert werden, werden in die Verschüsselung des vorgenannten Codes die Abrechnungsdaten mit einbezogen. Nachteilig ist, daß die Warnung zugleich mit dem Blockieren der Frankiermaschine erfolgt, ohne daß der Benutzer eine Möglichkeit hat, sein Verhalten rechtzeitig entspre chend zu ändern.

Aus der US 5 243 654 ist eine Frankiermaschine bekannt, wo die laufenden von Uhr/Datumsbaustein gelieferten Zeitdaten mit gespeicherten Stillegungszeitdaten ver glichen werden. Ist die gespeicherte Stillegungszeit durch die laufende Zeit erreicht, wird die Frankiermaschine deaktiviert, das heißt ein Drucken verhindert. Bei Verbindungsaufnahme mit einer Datenzentrale, welche die Abrechnungsdaten aus dem steigenden Register ausliest, wird der Frankiermaschine ein verschlüsselter Kombinationswert übermittelt und eine neue Frist gesetzt, wodurch die Frankiermaschine wieder betriebsfähig gemacht wird. Dabei ist der Verbrauchssummenbetrag, der das verbrauchte Porto summiert enthält und von der Datenzentrale gelesen wird, ebenfalls Bestandteil des verschlüsselt über mittelten Kombinationswertes. Nach der Entschlüsselung des Kombinationswertes wird der Verbrauchssummenbetrag abgetrennt und mit dem in der Frankiermaschine ge speicherten Verbrauchssummenbetrag verglichen. Ist der Vergleich positiv, wird die Sperre der Frankiermaschine automatisch aufgehoben. Durch diese Lösung wird erreicht, daß sich die Frankiermaschine bei der Datenzentrale periodisch meldet, um Abrechnungsdaten zu übermitteln. Es sind jedoch Benutzungsfälle durchaus denkbar, wo das zu frankierende Postaufkommen schwankt (Saisonbetrieb). In diesen Fällen würde in nachteiliger Weise die Frankiermaschine unnötig oft blockiert werden.

Aus der US 4.760.532 ist ein Postbehandlungssystem mit Postwertübertragungs- und Abrechnungsfähigkeit bekannt. Dabei werden Informationen an das Datenzentrum via Telefon mittels des in den USA verbreiteten touch-tone Verfahrens übermittelt. Durch Drücken einer entsprechenden Taste des Telefons kann der Bediener eine Ziffer übertragen. Informationen vom Datenzentrum werden mittels Computerstimme an den Bediener übertragen, welcher die übertragenen Werte in die Frankiermaschine eingeben muß. Zur Fondsrückübertragung ist das Transferieren eines negativen postalischen Funds zu einem Postgerät in einem ersten Schritt zur Errichtung einer Kommunikation mit einer Zentralsta tion vorgesehen. Die Zentralstation überwacht die Gesamtsumme an Post (Restwertguthaben), die in dem Postgerät gespeichert ist. In einem zweiten Schritt erfolgt die Versorgung der vorgenannten Zentralstation mit einer auf einen gewünschten Wechsel bezogene Infor mation, um die Gesamtsumme an Postwerten zu reduzieren, die in vorgenannten Postgerät verfügbar ist, und mit einer eindeutigen Identifikation betreff des vorgenann ten Postgerätes. Ein dritter Schritt beinhaltet ein, Empfangen von der Zentralstation und Eingabe eines ersten eindeutigen Codes in das vorgenannte Postgerät, wobei das Eingeben betrieben wird, um die Gesamtsumme an Postwerten, die in dem Postgerät gespeichert sind, in Übereinstimmung mit vorgenanntem Wunsch zu reduzie ren. Und im vierten Schritt ist ein Generieren eines zweiten eindeutigen Codes in dem Postgerät vorgesehen, wenn der erste eindeutige Code in das Postgerät einge geben wurde, wobei der zweite eindeutige Code eine Indikation derart liefert, daß der vorgenannte Post wert, der zum Bedrucken der Post zur Verfügung steht, in vorgenannten Postgerät reduziert worden ist.

Ist jedoch die Übertragung gestört bzw. unterbrochen, dann wird von der Datenzentrale kein erster Code empfangen und der Fonds in der Frankiermaschine bliebe unverändert, während in der Datenzentrale bereits eine Rückbuchung vorgenommen worden ist. Zur Überprüfung könnten natürlich die Registerstände der Frankierma schine abgefragt werden, um diese mit den in der Datenzentrale gespeicherten zu vergleichen. Es ist zu befürchten, daß ein potentieller Manipulator letzteres unterlassen würde. In US 4,760,532 ist als abschließender Verfahrensschritt das Übertragen des vorge nannten zweiten eindeutigen Codes zu der Zentral station vorgesehen. Unter den Bedingungen des touch- tone-Verfahrens ist wieder das Betätigen von Ziffern tasten erforderlich, was bei mehrstelligen Code um ständlich und in der Regel nicht frei von Eingabe fehlern abläuft. Außerdem ist vorgesehen, seitens der Datenzentrale einen dritten eindeutigen Code zu gene rieren, um das rückübertragene Guthaben an eine andere Frankiermaschine zu übertragen. Somit kann die verant wortliche Behörde durch Fehler während der Übertragung geschädigt werden. Damit tritt bei der positiven wie negativen Fernwertvorgabe die selbe Frage auf, nämlich danach, wie auf einfache Art und Weise eine Synchro nität der Daten in der Zentrale und Frankiermaschine erreicht werden kann.

Es war die Aufgabe zu lösen, die Nachteile des Standes der Technik zu überwinden und einen signifikanten Zuwachs an Sicherheit bei der Guthabenübertragung zu gewährleisten.

Dabei soll zwischen autorisiertem Handeln (Service- Techniker) und unautorisiertem Handeln (Manipulations absicht) unterschieden und die Manipulationssicherheit erhöht werden. Eine weitere Aufgabe ist es, die Sicherheit bei einer Kommunikation mit dem Datenzentrum zu verbessern, wenn Daten in beiden Richtungen übermittelt werden.

Die Aufgabe wird mit den kennzeichnenden Merkmalen des Anspruchs 1 gelöst.

Die erfindungsgemäße Lösung beruht einerseits auf der Erkenntnis, daß nur zentral in einer Datenzentrale gespeicherte Daten vor einer Manipulation hinreichend geschützt werden können. Ein signifikanter Zuwachs an Sicherheit und Synchronität in den gespeicherten Daten wird durch ein Daten-Melden vor jeder vorbestimmten Handlung an der Frankiermaschine erreicht. Ebenfalls erhöht das in mehr oder weniger großen Zeitabständen erfolgende Melden, insbesondere zum Nachladen eines Guthabens in Verbindung mit der o.g. Protokollierung die Sicherheit gegen eine eventuelle Manipulation. Die zentral zu speichernden Daten umfassen mindestens Datum, Uhrzeit, Identifikationsnummer der Frankierma schine (ID-Nr. bzw. PIN) und die Art der Daten (z. B. Registerwerte, Parameter), wenn die Frankiermaschine eine Kommunikation mit der Datenzentrale aufnimmt. Zwecks Vorsynchronisation der Daten der Frankier maschine mit den Daten der Datenzentrale kann ein bestimmter Vorgabewunsch für eine erste Transaktion verwendet werden.

Andererseits erfolgt zur Erhöhung der Sicherheit ein Unterscheiden zwischen autorisiertem Handeln (Service- Techniker) und unautorisiertem Handeln (Manipulations absicht) mittels der Steuereinheit der Frankiermaschine in Verbindung mit Schritten für die Ausführung einer negativen Fernwertvorgabe zur Rückübertragung eines Guthabenwerts in die Datenzentrale, wobei seitens der Frankiermaschine ein Vorgabewunsch an die Datenzentrale übermittelt und dort und in der Frankiermaschine gespeichert wird.

Dabei wird von der Steuereinheit der Frankiermaschine geprüft, ob mit vorbestimmten Betätigungsmitteln ein definierter Ablauf zum Seiteneinstieg in den Sondermodus zur negativen Fernwertvorgabe vorgenommen und ein vorbestimmter Zeitablauf während der negativen Fernwertvorgabe eingehalten wurde, und ob gegebenen falls weitere Schritte zur automatischen Durchführung der Kommunikation ausgeführt werden müssen, um die Rückübertragung zu vollenden, wenn die vorausgegangenen Schritte zur Ausführung einer negativen Fernwertvorgabe unterbrochen oder an die Frankiermaschine fehlerhafte verschlüsselte Daten übermittelt wurden.

Erfindungsgemäß erfolgt eine Kommunikation zwischen Frankiermaschine und Datenzentrale mindestens mit ver schlüsselten Meldungen, wobei vorzugsweise der DES- Algorithmus verwendet wird.

Zur Lösung der Aufgabe weist damit die Frankiermaschine mindestens zwei spezielle Modi auf. Ein erster Mode ist vorgesehen, um bei betrügerischen Handlungen bzw. bei Manipulationsabsicht die Frankiermaschine am Frankieren mit Portowerten zu hindern (Kill-Mode). Diese Hemmung kann anläßlich der nächsten Inspektion vor Ort von einer dazu berechtigten Person aufgehoben werden. Die Frankiermaschine weist einen weiteren Mode auf, um bei Erfüllung ausgewählter Kriterien die Frankiermaschine gegebenenfalls zur automatischen Kommunikation mit der Datenzentrale zu veranlassen. Bei einem solchen weiteren Mode handelt es sich erfindungsgemäß um den Sondermodus negative Fernwertübertragung bzw. um einen zweiten (Sleeping) Mode. Nach Vollendung des Sonder modus ist zwecks Überprüfung der Frankiermaschine nur noch eine beschränkte Anzahl an NULL-Frankierungen mög lich. Ist die vorgesehene Stückzahl verbraucht, wird zwangsweise eine automatische Kommunikation mit der Datenzentrale ausgelöst, welche somit informiert wird und relevante Registerdaten erfährt. Die Frankier maschine ist solange im Sleeping Mode gehemmt. Durch das Zusammenwirken mindestens zweier vorgenannter Modi wird die Sicherheit bei der Handhabung von Guthaben, welche in die Frankiermaschine geladen oder daraus zur Datenzentrale rückübertragen werden sollen, gegenüber einer betrügerischen Manipulation erhöht.

In einer ersten Variante wird die Sicherheit durch einen vorbestimmten Bedienablauf während des Einschal tens der Frankiermaschine für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe erzielt sowie später, wenn die Frankiermaschine die Kommunikations verbindung aufgenommen hat, durch verschlüsselt über tragene Mitteilungen während zweier Transaktionen. Im Ergebnis einer ersten Transaktion wird ein vorbestimm ter Vorgabe-Wunsch in der Datenzentrale und in der Frankiermaschine gespeichert. Es ist somit nicht mehr nötig, während einer zweiten Transaktion den bereits gespeicherten Vorgabewunsch noch einmal zu übermitteln. Im Ergebnis der zweiten Transaktion wird ein ent sprechender Vorgabe-Wert vom Inhalt des Descending- Registers subtrahiert bzw. ein negativer Wert hinzu addiert, so daß in der Frankiermaschine ein Null- Guthaben gespeichert vorliegt.

Wird jedoch ein anderer als der vorbestimmte Bedienablauf während des Einschaltens der Frankier maschine für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe gewählt, welcher verboten ist, schaltet die Frankiermaschine in den vorgenannten ersten Mode, um die Frankiermaschine für ein Frankieren mit einem Portowert zu sperren (Kill-Mode).

Gegebenenfalls wird zwecks Erhöhung der Manipulations sicherheit dem autorisierten Bediener (Service- Techniker) von der Datenzentrale ein bereits früher mitgeteilter Seiteneinstieg in den Sondermodus negative Fernwertvorgabe geändert. Der zukünftig gültige Bedienablauf kann in Verbindung mit mindestens einer Transaktion während einer positiven oder negativen Fernwertvorgabe wenigsten teilweise übermittelt werden.

Ein authorisierter Bediener der Frankiermaschine, vor zugsweise der Service-Techniker, führt zum Seitenein stieg in den Sondermodus negative Fernwertvorgabe eine vorbestimmte Bedienhandlung aus, welche außer dem Service-Techniker nur noch der Datenzentrale bekannt ist. Dabei wird ein Sonder-Flag gesetzt, welches als spezielles Transaktionsersuchen gewertet wird.

Eine Überwachung durch die Steuereinheit der Frankier maschine während der Ausführung einer Transaktion im Sondermodus sichert, daß bei unvollendet gebliebener Transaktion die Transaktionen im Sondermodus negative Fernwertvorgabe bis zum Ende durchgeführt werden. Bei vollendeter Transaktion im Sondermodus wird das Sonder- Flag zurückgesetzt.

Hinzu tritt eine Zeitüberwachung durch die Steuerein heit der Frankiermaschine während der Ausführung einer Transaktion im Sondermodus, welche bei Zeitüber schreitung bzw. bei unvollendet gebliebener Transaktion wirksam werden, um die Transaktion zuende durchzu führen.

Eine Zeitüberwachung erfolgt ebenfalls seitens der Datenzentrale, wenn eine Transaktion im Sondermodus negative Fernwertvorgabe vorgenommen wird. Die Registerdaten der Frankiermaschine sind zentral überprüfbar, wenn wieder eine Verbindungsaufnahme zur Durchführung einer Fernwertvorgabe erfolgt, um bei spielsweise ein Guthaben nachzuladen. Entweder nimmt bei unvollendet gebliebener Transaktion die Frankier maschine automatisch wieder die Verbindung auf, um die Transaktion zuende durchzuführen oder der autorisierte Service-Techniker übergibt der Datenzentrale bis zum Tagesende eine Mitteilung über den aktuellen Zustand der Frankiermaschine zwecks Annullierung der im Sondermodus negative Fernwertmodus übertragenen Daten. Andernfalls ergibt die Zeitüberwachung seitens der Datenzentrale nach Ablauf des vorbestimmten Zeitab schnittes, eine Anerkennung der im Sondermodus negative Fernwertvorgabe übertragenen Daten.

In einer zweiten Variante wird die Sicherheit durch eine Prüfung des Bedienablaufes auf Übereinstimmung mit einem vorgegebenen Bedienablauf in der Frankiermaschine und durch eine Prüfung des Vorgabewunsches in der Da tenzentrale auf Übereinstimmung mit einem dort gespei cherten Code für einen vorbestimmten Vorgabewunsch erhöht. Es ist möglich, den Bedienablauf zeitabhängig zu ändern, wobei in der Datenzentrale und in der Frankiermaschine der gleiche Berechnungsalgorithmus verwendet wird, um einen aktuellen Bedienablauf zu ermitteln. Eine Übertragung eines gültigen Bedien ablaufes von der Datenzentrale zur Frankiermaschine wird damit überflüssig.

In einer dritten Variante wird die Sicherheit durch eine Kombination einer Reihe von Maßnahmen erhöht. In einer ersten Transaktion erfolgt ein unterscheidbares Anmelden bei der Datenzentrale. Diese übermittelt in Reaktion darauf ein neues Sicherheits-Flag X und/oder einen vorbestimmten Bedienablauf für einen Seitenein stieg in den Sondermodus negative Fernwertvorgabe zur Frankiermaschine, wenn die Frankiermaschine normal ein geschaltet wurde und die Kommunikationsverbindung aufnimmt, wobei in einer ersten Transaktion ein vor bestimmter Vorgabe-Wunsch in der Datenzentrale und in der Frankiermaschine gespeichert wurde. In der Daten zentrale wird geprüft, ob der übermittelte Vorgabe-Wunsch einem vorbestimmten Vorgabe-Wunsch entspricht.

In der ersten Transaktion wird beispielsweise ein neues Codewort bzw. Sicherheits-Flag und/oder Bedienablauf zur Frankiermaschine übermittelt und in einer zweiten Transaktion wird die angemeldete Transaktion durchge führt und entsprechend des Vorgabewunsches ein Vorgabe wert im entsprechenden Speicher der Frankiermaschine und zwecks Überprüfung der Transaktion auch in einem entsprechenden Speicher der Datenzentrale addiert.

Für einen Seiteneinstieg in den Sondermodus negative Fernwertvorgabe muß vom Service-Techniker der Bedien ablauf während des Einschaltens der Frankiermaschine so, wie er von der Datenzentrale übermittelt wurde, durchgeführt werden,d. h. gleichzeitig mit dem Einschal ten ist eine bestimmte Tastenkombination zu drücken.

In der zweiten Transaktion erfolgt das Nachladen der Frankiermaschine - gemäß dem entsprechenden Vorgabe- Wert - mit einem negativen Guthaben, so daß sich im Ergebnis ein Restwertguthaben von NULL ergibt.

Die erfindungsgemäße Lösung geht weiterhin davon aus, daß die in der Frankiermaschine gespeicherten Geld mittel vor unautorisiertem Zugriff geschützt werden müssen. Die Verfälschung von in der Frankiermaschine gespeicherten Daten wird so weit erschwert, daß sich der Aufwand für einen Manipulator nicht mehr lohnt.

Handelsübliche OTP-Prozessoren (ONE TIME PROGRAMMABLE) können alle sicherheitsrelevanten Programmteile im Inneren des Prozessorgehäuses enthalten, außerdem den Code zur Bildung des Message Authentification Code (MAC). Letzterer ist eine verschlüsselte Checksumme, die an eine Information angehängt wird. Als Krypto algorithmus ist beispielsweise Data Encryption Standard (DES) geeignet. Damit lassen sich MAC- Informationen an die relevanten Sicherheits- und Sonder-Flags bzw. an die Registerdaten anhängen und somit die Schwierigkeit der Manipulation an den vorgenannten Flags bzw. Postregistern maximal erhöhen.

Das Verfahren zur Verbesserung der Sicherheit einer Frankiermaschine, welche zur Kommunikation mit einer entfernten Datenzentrale fähig ist und einen Mikro prozessor in einer Steuereinrichtung der Frankier maschine aufweist, umfaßt außerdem ein Bilden einer Checksumme im OTP-Prozessor über den Inhalt des exter nen Programmspeichers und Vergleich des Ergebnisses mit einem im OTP-Prozessor gespeicherten vorbestimmten Wert vor und/oder nach Ablauf des Frankiermodus bzw. Be triebsmodus, insbesondere während der Initialisierung (d. h. wenn die Frankiermaschine gestartet wird), oder in Zeiten, in welchen nicht gedruckt wird (d. h. wenn die Frankiermaschine im Standby-Modus betrieben wird).

Im Fehlerfall erfolgt dann eine Protokollierung und anschließende Blockierung der Frankiermaschine.

Zur Verbesserung der Sicherheit von Frankiermaschinen gegen Manipulation erfolgt ein Unterscheiden zwischen nichtmanipuliertem und manipuliertem Betrieb einer Frankiermaschine mittels der Steuereinrichtung, indem während eines Betriebsmodus eine Überwachung der Zeit dauer des Ablaufes von Programmen, Programmteilen bzw. sicherheitsrelevanter Routinen vorgenommen wird und durch einen nach Ablauf von Programmen, Programmteilen bzw. sicherheitsrelevanten Routinen anschließenden Ver gleich der gemessenen Laufzeit mit einer vorgegebenen Laufzeit. Auch während einer Kommunikation soll damit eine Manipulation in Betrugsabsicht vereitelt werden, insbesondere durch eine im Kommunikationsmodus vorge nommene Überwachung der Einhaltung eines bestimmten Zeitablaufes im Sondermodus negative Fernwertvorgabe. Es wird die Zeitdauer vom Senden einer dritten verschlüsselten Mitteilung seitens der Frankiermaschine bis zum Empfang der von der Datenzentrale an die Frankiermaschine ges endeten vierten verschlüsselten Mitteilung in der Frankiermaschine, welche bei Verifi zierung ein Null-Setzen des Guthabenwerts auslöst, überwacht. Es ist vorgesehen, daß ein decrementaler Zähler oder ein incrementaler Zähler verwendet wird, um ein Überschreiten der Zeit t1 im Sondermodus als ein sicheres Indiz für eine mißglückte Übertragung zu detektieren und daß ein spezielles Unterprogramm aufgerufen wird, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst, so daß die erste und zweite Transaktion automatisch wiederholt werden.

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausfüh rung der Erfindung anhand der Figuren näher darge stellt. Es zeigen:

Fig. 1, Blockschaltbild einer Frankiermaschine,

Fig. 2, Ablaufplan nach der erfindungsgemäßen Lösung,

Fig. 3a und 3b, Darstellung der Sicherheitsabläufe der im Kommunikationsmodus befindlichen Frankiermaschine und Datenzentrum,

Fig. 4, Ablaufplan für den Frankiermodus nach einer bevorzugten Variante,

Fig. 5, allgemeine Blockdarstellung eines Ablaufes mit zwei Transaktionen für das Nachladen mit einem Null-Guthabenwert,

Fig. 6, Blockdarstellung eines Ablaufes mit zwei Transaktionen für das Nachladen mit einem negativen-Guthabenwert,

Fig. 7, Ablaufplan zur Einspeicherung eines Sicher heits-Flags bzw. Codewortes nach der erfindungsgemäßen Lösung.

Die Fig. 1 zeigt je ein Blockschaltbild der erfindungsgemäßen Frankiermaschine mit einem Drucker modul 1 für ein vollelektronisch erzeugtes Frankier bild, mit mindestens einem mehrere Betätigungselemente aufweisenden Eingabemittel 2, einer Anzeigeeinheit 3, und einem die Kommunikation mit einer Datenzentrale herstellenden MODEM 23, welche über einen Ein/Ausgabe- Steuermodul 4 mit einer Steuereinrichtung 6 gekoppelt sind und mit einem nichtflüchtigen Speicher 5 bzw. 11 für die variablen bzw. die konstanten Teile des Frankierbildes.

Ein Charakterspeicher 9 liefert die nötigen Druckdaten für einen flüchtigen Arbeitsspeicher 7. Die Steuer einrichtung 6 weist einen Mikroprozessor µP auf, der mit dem Ein/Ausgabe-Steuermodul 4, mit dem Charakter speicher 9, mit dem flüchtigen Arbeitsspeicher 7 und mit dem nichtflüchtigen Arbeitsspeicher 5, mit einem Kostenstellenspeicher 10, mit einem Programmspeicher 11, mit dem Motor einer Transport- bzw. Vorschub vorrichtung ggf. mit Streifenauslösung 12, einem Enco der (Codierscheibe) 13 sowie mit einem Uhren/Datums- Baustein 8 in Verbindung steht. Die einzelnen Speicher können in mehreren physikalisch getrennten oder in nicht gezeigter Weise in wenigen Bausteinen zusammen gefaßt verwirklicht sein, welche durch mindestens eine zusätzliche Maßnahme, beispielsweise Aufkleben auf der Leiterplatte, Versiegeln oder Vergießen mit Epoxidharz, gegen Entnahme gesichert sind.

In der Fig. 2 ist ein Ablaufplan für eine Frankierma schine mit einem Sicherheitssystem nach einer bevorzug ten Variante der erfindungsgemäßen Lösung dargestellt.

Nach dem Einschalten der Frankiermaschine im Schritt Start 100 wird anschließend innerhalb einer Start routine 101 eine Funktionsprüfung mit anschließender Initialisierung vorgenommen.

Dieser Schritt umfaßt auch mehrere - in der Fig. 7 näher dargestellte - Subschritte 102 bis 105 zur Einspeicherung eines Sicherheits-Flags bzw. Codewortes. Mit einem Schritt 103 wird, wenn gemäß Schritt 102 ein neues Sicherheits-Flag X′ in einem anderen vorbestimmten Speicherplatz E des nichtflüchtigen Speichers 5 existiert, dieses neue Sicherheits-Flag X′ in den Speicherplatz des alten Sicherheits-Flags x kopiert, falls dort kein gültiges Sicherheits-Flag X mehr gespeichert vorliegt. Letzteres betrifft gleichermaßen den Fall eines autorisierten als auch unautorisierten Eingriffs, weil bei jedem Eingriff das alte Sicherheits-Flag x gelöscht wird. Ebenso kann bei einer anderen unautorisierten Handlung das Sicherheits-Flag x gelöscht werden (Kill-Mode). Falls kein gültiges Sicherheits-Flag X mehr gespeichert vorliegt, kann im Frankiermodus 400 kein Portowert mehr gedruckt werden. Bei Nichteingriff ist kein neues Codewort übermittelt worden. In diesen Fall wird nicht kopiert und nach Schritt 104 bleibt das alte Sicherheits-Flag X im Speicher erhalten. Abschließend wird mit Punkt s die Systemroutine 200 erreicht.

Die Systemroutine 200 umfaßt mehrere Schritte 201 bis 220 des Sicherheitssystems. Im Schritt 201 erfolgt der Aufruf aktueller Daten, was weiter unten in Verbindung mit der Erfindung für einen zweiten Mode, nämlich für den Sleeping-Mode ausgeführt wird. Wie in der Fig. 2 dargestellt wird im Schritt 202 überprüft, ob die Kriterien für den Eintritt in den Sleeping-Mode erfüllt sind. Ist das der Fall wird zum Schritt 203 verzweigt, um mindestens eine Warnung mittels der Anzeigeeinheit 3 anzuzeigen. Nach den o.g. Schritten wird im jeden Fall der Punkt t erreicht.

Bei Feststellung eines verbotenen Seiteneinstieges (Schritt 217), wird das vorgenannte Sicherheits-Flag x gelöscht. Dabei kann es sich beim Sicherheits-Flag x ebenso um ein MAC-gesichertes Sicherheits-Flag handeln, wie auch um einen verschlüsselten Code. Die Überprüfung auf Gültigkeit des Sicherheits-Flags X wird beispiels weise im Schritt 409 eines Frankiermodus 400 mittels einem ausgewählten Prüfsummenverfahren innerhalb eines OTP-Prozessors (ONE TIME PROGRAMMABLE) durchgeführt, der intern die entsprechenden Programmteile und außerdem den Code zur Bildung eines MAC (MESSAGE AUTHENTIFICATION CODE) gespeichert enthält, weshalb der Manipulator die Art des Prüfsummenverfahrens nicht nachvollziehen kann. Auch weitere sicherheitsrelevante Schlüsseldaten und Abläufe sind ausschließlich im Inneren des OTP-Prozessors gespeichert, beispielsweise um Schlüsseldaten mit dem von der Datenzentrale zur Frankiermaschine übertragenen neuen Schlüssel zu ergänzen, damit mit den so ergänzten Schlüsseldaten eine Verschüsselung von Meldungen vorgenommen werden kann, welche zur Datenzentrale übermittelt werden. Andererseits erlauben die gleichen sicherheitsrelevan ten Schlüsseldaten bzw. Abläufe eine Absicherung über die Postregister zu legen.

Eine weitere Sicherungsvariante, welche ohne OTP-Pro zessor auskommt, besteht im Erschweren des Auffindens der Schlüssel durch dessen Kodierung und partielle Ab lage in unterschiedlichen Speicherbereichen. Wieder werden MAC an jede Information in den sicherheits relevanten Registern angehängt. Eine Manipulation der Registerdaten kann durch Kontrolle über den MAC erkannt werden. Diese Routine erfolgt im Schritt 406 im Frankiermodus, der in der Fig. 4 dargestellt ist. Damit läßt sich die Schwierigkeit der Manipulation an den Postregistern maximal erhöhen.

Bei erfolgter Prüfung im Schritt 217, wobei ein relevanter Mangel festgestellt und das Sicherheits-Flag X im Schritt 209 gelöscht wurde, wird der Punkt e, d. h. der Beginn eines Kommunikationsmodus 300 erreicht und in einem - in den Fig. 2 und 3a dargestellten - Schritt 301 abgefragt, ob ein Transaktionsersuchen vorliegt. Ist das nicht der Fall, wird der Kommunikationsmodus 300 verlassen und der Punkt f, d. h. der Betriebsmodus 290 erreicht. Wurden relevante Daten im Kommunikationsmodus übermittelt, dann ist zur Datenauswertung auf den Schritt 213 zu verzweigen. Oder anderenfalls, wenn im Schritt 211 die Nichtübermittlung festgestellt wird, ist auf den Schritt 212 zu verzweigen. Nun wird überprüft, ob entsprechende Eingaben getätigt worden sind, um bei Testanforderung 212 in den Testmodus 216, anderenfalls um bei beabsichtigter Registerstandüberprüfung 214 in einen Anzeigemodus 215 zu gelangen. Ist das nicht der Fall, wird automatisch der Punkt d, d. h. der Frankiermodus 400 erreicht.

Im Falle einer Manipulation wird der Schritt 213 zur Statistik- und Fehlerauswertung erreicht. Über den Schritt 213 wird der Anzeigemodus 215 erreicht und dann zur Systemroutine zurückverzweigt. Das Sperren kann also vorteilhaft dadurch erfolgen, indem die Verzwei gung auf den Frankiermodus 400 nicht mehr ausgeführt wird. Erfindungsgemäß ist weiterhin vorgesehen, daß im Schritt 213 eine Statistik- und Fehlerauswertung durch geführt wird, um weitere aktuelle Daten zu gewinnen, welche nach Verzweigung zur Systemroutine 200 in Schritt 201 ebenfalls aufrufbar sind, beispielsweise für einen vorgenannten zweiten Mode oder einen anderen Sondermode.

Zwischen den Punkten s und t der Systemroutine 200 können eine Vielzahl von weiteren Abfragen nach Erfüllung weiterer Kriterien für weitere Modi liegen. Nähere Ausführungen bezüglich einer Abfrage nach einem ersten Mode, welcher zum Verhindern des Drucken bzw. zum Sperren der Frankiermaschine dient, sind der deutschen Anmeldung P 43 44 476.8, Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen, zu entnehmen. Im Falle einer Öffnung des Frankiermaschi nengehäuses durch dazu befugte Personen ist eine schriftliche ggf. fernmündliche Anmeldung im Daten zentrum zur autorisierte Öffnung vorgeschlagen worden, welche das Öffnungsdatum und die Uhrzeit für den ungefähren Öffnungsbeginn mitteilt. Bevor dann die Frankiermaschine tatsächlich geöffnet werden kann, muß über MODEM eine Kommunikation mit dem Datenzentrum aufgenommen werden, um die Öffnungsbefugnis zu ersuchen und einen neuen zukünftigen Code Y′ zu laden, der den alten ersetzen kann.

Im Unterschied dazu wird jedoch das Vorhandensein des Sicherheits-Flags X nicht zwischen den Punkten s und t sondern ausschließlich im Schritt 409 im Frankiermodus abgefragt. Dadurch kann der Service-Techniker durch Laden des neuen Sicherheits-Flags X′ dennoch auch nach einer Löschung des vorgenannten Flags anschließend die volle Funktionsfähigkeit der Frankiermaschine wieder herstellen. Das erlaubt nun beispielsweise auch eine Überprüfung durchzuführen, ob eine unautorisierte Handlung tatsächlich zur Löschung des Sicherheits-Flags bzw. Codewortes führt, oder ob das Löschen durch Manipulation verhindert worden ist.

Bei autorisierter Bedienungshandlung wird in dem - in der Fig. 2 gezeigten - Schritt 217 erkannt, daß kein verbotener Seiteneinstieg durchgeführt wurde. Ein erlaubter Seiteneinstieg, der für eine andere Eingabe durchgeführt wurde, ist in der Fig. 2 nicht näher dargestellt worden. Jedoch ist ein solches Abfrage kriterium ebenfalls vorgesehen, um beispielsweise im Schritt 212 zu erkennen, ob eine Bedienhandlung vorgenommen wurde, um in einen Testmode zu gelangen. Beim erlaubten Seiteneinstieg, der nicht der richtige Seiteneinstieg für den Sondermodus einer negativen Fernwertvorgabe zwecks Fondsrückübertragung von der Frankiermaschine zur Datenzentrale ist, wird zum Punkt e der System-Routine 200 verzweigt. Anderenfalls wird beim richtigen Seiteneinstieg zum Schritt 220 verzweigt, um ein Sonder-Flag für den Eintritt in den Sondermodus zu setzen. Es ist in weiterer Ausgestaltung eventuell ein weiterer Abfrageschritt 219 vor dem Schritt 220 vorgesehen, um mit einem weiteren Kriterium die Sicherheit gegen unautorisierten Aufruf des Sondermodus weiter zu erhöhen, wobei bei Nichterfüllung des Kriteriums auf den Punkt e der Systemroutine 200 verzweigt wird. Beispielsweise kann der im Fig. 2 gezeigte Abfrageschritt 219 ein solches weiteres Kriterium abfragen, ob die Identifikationsnummer (ID- Nr. bzw. PIN) eingegeben wurde. Durch den Seiten einstieg ist die Sicherheit bereits ausreichend hoch, so daß im Interesse einer einfacheren Bedienung auf solche zusätzlichen weiteren Kriterienabfragen auch verzichtet werden kann. Eine andere Möglichkeit in dem in der Fig. 2 gezeigten Abfrageschritt 219 ein solches weiteres Kriterium abfragen, ob mindestens n-mal der gleiche vorbestimmte Vorgabewunsch gestellt und ein entsprechender Vorgabewert zum Guthabenrestwert addiert wurde, ist ebenfalls nur optional und deshalb gestrichelt in der Fig. 2 gezeichnet. Hierbei kann es sich um einen NULL-Vorgabewunsch handeln, der zur Übertragung eines NULL-Vorgabewertes führt und zum Restwert addiert werden kann, ohne daß dadurch die Höhe des gespeicherten Guthabens verändert wird.

Um die Sicherheit gegen Manipulation weiter zu erhöhen, ist vorgesehen, daß das im Schritt 220 gesetzte Sonder- Flag N für den Sondermodus ebenfalls ein MAC- gesichertes Flag N ist.

Die Sicherheit wird zusätzlich durch eine Überprüfung in der Datenzentrale erhöht, ob ein vorbestimmter Vorgabewunsch von der Frankiermaschine übermittelt worden ist. Es ist vorgesehen, daß der übermittelte Vorgabewunsch in der Datenzentrale als Code gewertet wird, eine ganz bestimmte Transaktion durchzuführen. Der übermittelte Vorgabewunsch kann in der Daten zentrale als Code gewertet werden, um eine Fondsrück übertragung zu erlauben. Andernfalls kann der übermit telte Vorgabewunsch in der Datenzentrale als Code gewertet werden, eine Übertragung für ein Sicherheits- Flag X bzw. für ein X-Codewort zu erlauben.

In den Fig. 3a und 3b erfolgt eine Darstellung der Sicherheitsabläufe der im Kommunikationsmodus befind lichen Frankiermaschine einerseits und der Sicherheits abläufe der im Kommunikationsmodus befindlichen Daten zentrale andererseits.

Wird der Punkt e, d. h. der Beginn des nachfolgend er läuterten Kommunikationsmodus 300 erreicht, wird in einem - in den Fig. 2 und 3a dargestellten - Schritt 301 abgefragt, ob ein Transaktionsersuchen vorliegt. Ein solches kann beispielsweise zur Guthabennachladung, Telefonnummernänderung u. a. gestellt werden.

Der Benutzer wählt den Kommunikations- bzw. Fernwert vorgabemodus der Frankiermaschine über die Eingabe der Identifikationsnummer (achtstelligen Portoabrufnummer) an. Es wird nun beispielsweise angenommen, es soll die Fondsrückübertragung in Höhe des in der Frankier maschine verbliebenen Restwertes erfolgen. Hierbei erfolgt zuerst eine Registerabfrage des Descending- Registers R1, welches den Restwert gespeichert enthält. Nach einem Ausschalten der Frankiermaschine wird beim Wiedereinschalten ein Seiteneinstieg in den Sonder modus vorgenommen. Nach der Eingabe der Identifika tionsnummer wird die Eingabe mit der Teleset-Taste bestätigt und der Vorgabewunsch in Höhe des vorher abgefragten Restwertes eingegeben. Durch den Seiten einstieg wird der Vorgabewunsch automatisch als zu subtrahierender Vorgabewert gewertet. Der Vorgabewunsch wird durch Betätigung der Teleset-Taste (T-Taste) bestätigt. Da bei jeder Kommunikation von der Datenzentrale auch der Restwert abgefragt wird, kann damit ein Vergleich in der Datenzentrale beider, d. h. von Restwert und Vorgabe-Wunsch erfolgen. Anderenfalls können im Sondermodus die vorgenannten Eingaben für eine bevorzugte Variante auch automatisch von der Frankiermaschine ausgeführt werden, um die Bedienung zu vereinfachen.

Anderenfalls soll beispielsweise eine Kommunikation erfolgen, um ein neues Sicherheits-Flag X′ zu laden, der das alte Sicherheits-Flag X ersetzen kann. Wird nur ein solches Transaktionsersuchen gestellt, muß der Vorgabebetrag geändert werden, denn in diesem Fall muß das Guthaben in der Frankiermaschine natürlich nicht aufgestockt werden. Andererseits kann auch ein anderer Wert außer Null vereinbart werden, insbesondere ein Wert, dem nur ein minimaler Betrag entspricht, um den der Descending-Registerwert aufgestockt werden müßte.

In der Fig. 3a wird derjenige Teil der Kommunikation einer Transaktion dargestellt, der mit unverschlüssel ten Meldungen vorgenommen wird. Dennoch können diese Meldungen Daten enthalten, welche MAC-abgesichert sind, beispielsweise die Identifikationsnummer der Frankier maschine.

Im Schritt 302 kann eine Eingabe der Identifikations- Nummer (ID-Nr.) und der beabsichtigten Eingabeparameter auf folgende Weise erfolgen. Bei der ID-Nr. kann es sich um die Serien-Nummer der Frankiermaschine, um eine PIN bzw. PAN (Portoabrufnummer) handeln, die durch Be tätigung mittels vorbestimmter T-Taste des Eingabe mittels 2 quittiert wird. In der Anzeigeeinheit 3 er scheint der bei der letzten Fernwertvorgabe(Nachladung) benutzte Eingabeparameter(Vorgabewert), der nun durch die Eingabe des gewünschten Eingabeparameters über schrieben oder beibehalten wird. Beim Eingabeparameter handelt es sich um eine Zahlenkombination, welche in der Datenzentrale als Aufforderung verstanden wird, beispielsweise ein neues Sicherheits-Flag bzw. Codewort X′ zu übermitteln, wenn zuvor eine Eingriffsbefugnis eingeholt worden ist. Bei Falscheingabe des vorgenann ten Eingabeparameters kann die Anzeige durch Drücken einer C-Taste gelöscht werden.

Beispielsweise wird eine Änderung eingegeben, um bei einer Transaktion ein Guthaben mit dem Wert Null zu la den, aber es wird keine Eingriffsbefugnis zuvor einge holt. Somit dient der Eingabeparameter nur als neuer Vorgabewert. Dabei wird aber weder das Guthaben für Frankierungen wertmäßig erhöht, wenn der Eingabeparame ter den Wert Null hat, noch ein neues Sicherheits-Flag geladen. Jedoch kann bei jeder Kommunikation eine Stückzahl S′ übermittelt werden, wie ebenfalls der deutschen Anmeldung P 43 44 476.8, Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen, zu entnehmen ist.

Nur durch das vorhergehende Mitteilen, beispielsweise mittels eines separaten Anrufes bei der Datenzentrale oder einer anderen Kommunikationsform, wird der Daten zentrale mitgeteilt, daß ein neues Sicherheits-Flag X′ zur Frankiermaschine übermittelt werden soll, wenn anschließend innerhalb einer vorbestimmten Zeitdauer seitens der Frankiermaschine eine Transaktion für den Wert Null gestartet wird. Das Eingriffsgesuch gilt nur dann als gestellt, wenn nach dem Anmelden eines autorisierten Eingriffs die Frankiermaschine in den so vereinbarten Kommunikationsmodus eintritt.

Wird aber zuvor ein beliebig anderer Eingabeparameter mit der Datenzentrale vereinbart, erfolgt bei Eingabe dieses Eingabeparameters außer der Übermittlung eines neuen Sicherheits-Flags X′ entsprechend des vorverein barten Codes der durch den vorbestimmten Vorgabewunsch gebildet wird auch noch eine Nachladung des Guthabens entsprechend des eingegebenen Vorgabewertes im Ergebnis einer zweiten Transaktion bewirkt.

Wird ein anderer Eingabeparameter als der vereinbarte eingegeben, führt dies im Ergebnis lediglich zur Nachladung in Höhe des gewählten neuen Vorgabebetrages, wo bei im Unterschied zu den anderen Transaktionsdaten jedoch der Vorgabebetrag nicht zur Frankiermaschine übermittelt werden braucht. Vielmehr ist die Tatsache, daß eine gültige Transaktion verifiziert wurde für die Frankiermaschine ausreichend, eine Aufstockung bzw. Minderung des Descending-Registerinhaltes um den Vorgabebetrag entsprechend dem gespeicherten Vorgabe wunsch vorzunehmen.

Ist der gewünschte Eingabeparameter richtig angezeigt, wird dies durch erneutes Betätigen der vorbestimmten T- Taste des Eingabemittels 2 bestätigt. In der Anzeige einheit 3 erscheint dann eine Darstellung entsprechend einer Eingabeparameteränderung oder entsprechend der Nichtänderung (alter Vorgabewert).

Durch Betätigung der vorbestimmten T-Taste wird die Veränderung des Eingabeparameters über MODEM-Verbindung gestartet. Die Eingabe überprüft (Schritt 303) und der weitere Vorgang läuft automatisch ab, wobei der Ablauf durch eine entsprechende Anzeige begleitet wird.

Dazu prüft die Frankiermaschine, ob ein MODEM ange schlossen und betriebsbereit ist. Ist das nicht der Fall, wird auf den Schritt 310 verzweigt, um anzuzei gen, daß das Transaktionsersuchen wiederholt werden muß. Anderenfalls liest die Frankiermaschine die Wahl parameter, bestehend aus den Herauswahlparametern (Haupt-/Nebenstelle, usw.) und der Telefonnummer aus dem NVRAM-Speicherbereich F und sendet diese mit einem Wahlaufforderungskommando an das Modem 23. Anschließend erfolgt der für die Kommunikation erforderliche Ver bindungsaufbau über das MODEM 23 mit der Datenzentrale in einem Schritt 304.

In der Fig. 3a ist auf der linken Hälfte ebenfalls der parallel erfolgende Ablauf in der Datenzentrale darge stellt, welcher für die Kommunikation notwendig ist. Im Schritt 501 wird ständig geprüft, ob ein Anruf in der Datenzentrale erfolgt ist. Ist das der Fall, und das MODEM 23 hat die Gegenseite angewählt, erfolgt im Schritt 502 parallel der Verbindungsaufbau auch in der Datenzentrale. Und im Schritt 503 wird ständig über wacht, ob die Verbindung zur Datenzentrale gelöst wurde. Ist das der Fall, erfolgt nach einer Fehler meldung im Schritt 513 eine Rückverzweigung zum Schritt 501.

Parallel dazu wird in der Frankiermaschine im Schritt 305 überwacht, ob Kommunikationsfehler aufgetreten sind und gegebenenfalls zum Schritt 304 zurückverzweigt, um seitens der Frankiermaschine die Verbindung erneut aufzubauen. Nach einer vorbestimmten Anzahl n ergebnis loser Wahlwiederholungen zwecks Verbindungsaufbau wird über einen Anzeigeschritt 310 auf den Punkt e zurückverzweigt. Lag kein im Schritt 305 ermittelbarer Fehler vor, wird im Schritt 306 seitens der Frankier maschine festgestellt, daß die Verbindung aufgebaut ist und eine Transaktion erst noch erfolgen soll, wird auf den Schritt 307 verzweigt, um eine Eröffnungsnachricht bzw. um Identifikations-, Vorspann- bzw. Registerdaten zu senden. Im nachfolgenden Schritt 308 wird die gleiche Überprüfung, wie im Schritt 305 durchgeführt, d. h. bei einem aufgetretenen Kommunikationsfehler wird zum Schritt 304 zurückverzweigt. Anderenfalls wurde eine Eröffnungsnachricht von der Frankiermaschine an die Datenzentrale geschickt. Darin ist u. a. die Portoabrufnummer zur Bekanntmachung des Anrufenden, d. h. der Frankiermaschine, bei der Datenzentrale ent halten.

Diese Eröffnungsnachricht wird in der Datenzentrale im Schritt 504 auf Plausibilität überprüft und weiter ausgewertet, indem anschließend im Schritt 505 wieder überprüft wird, ob die Daten fehlerfrei übermittelt worden sind. Ist dies nicht der Fall, erfolgt eine Rückverzweigung zur Fehlermeldung auf den Schritt 513. Sind andererseits die Daten fehlerfrei und in der Da tenzentrale wird erkannt, daß die Frankiermaschine ein Nachladeersuchen gestellt hat, so wird im Schritt 506 eine Erwiderungsnachricht zur Frankiermaschine als Vor spann gesendet. Im Schritt 507 wird überprüft, ob im Schritt 506 die Vorspannmeldung einschließlich Vorspann-Ende gesendet worden ist. Ist das aber nicht der Fall, dann wird auf den Schritt 513 zurück verzweigt.

In der Frankiermaschine wird im Schritt 309 geprüft, ob von der Datenzentrale inzwischen ein Vorspann als Erwiderungsnachricht gesendet bzw. empfangen wurde. Ist das nicht der Fall, wird zur Anzeige auf den Schritt 310 zurückverzweigt und danach erneut ein Transaktionsersuchen im Schritt 301 abgefragt. Wurde ein Vorspann empfangen und die Frankiermaschine hat eine OK-Meldung erhalten, erfolgt im Schritt 311 eine Überprüfung der Vorspannparameter hinsichtlich einer Telefonnummernänderung. Wenn ein verschlüsselter Para meter übermittelt wurde, liegt keine Telefonnummern änderung vor und es wird auf den Schritt 313 in der Fig. 3b verzweigt.

In der Fig. 3b erfolgt eine Darstellung der Sicher heitsabläufe der im Kommunikationsmodus befindlichen Frankiermaschine und parallel dazu derjenigen in der Datenzentrale.

Im Schritt 313 wird von der Frankiermaschine an die Datenzentrale eine Beginnmeldung verschlüsselt gesen det. Im Schritt 314 wird die Meldung auf Kommunika tionsfehler überprüft. Liegt ein Kommunikationsfehler vor, wird zum Schritt 304 zurückverzweigt und es erfolgt erneut ein Versuch, die Verbindung zur Daten zentrale aufzubauen, um die Beginn-Meldung verschlüsselt zu senden.

Von der Datenzentrale wird diese verschlüsselte Beginn- Meldung empfangen, wenn im Schritt 506 die Vorspann- Meldung vollständig gesendet worden war und im Schritt 507 das Vorspann-Ende übermittelt worden ist. Im Schritt 508 wird in der Datenzentrale überprüft, ob diese die Beginn-Meldung erhalten hat und die Daten in Ordnung sind. Ist das nicht der Fall, wird im Schritt 509 überprüft, ob der Fehler behebbar ist. Ist der Fehler nicht behebbar, wird auf den Schritt 513 verzweigt nachdem eine Fehlermeldung von der Datenzentrale DZ an die Frankiermaschine FM im Schritt 511 übermittelt wurde. Anderenfalls wird im Schritt 510 eine Fehlerbehandlung durchgeführt und auf den Schritt 507 verzweigt. Wird im Schritt 508 der Empfang ord nungsgemäßer Daten festgestellt, beginnt die Datenzen trale im Schritt 511 eine Transaktion durchzuführen. Im vorgenannten Beispiel wird mindestens die Identifika tionsnummer mittels einer verschlüsselten Meldung zur Frankiermaschine übertragen, welche im Schritt 315 die Transaktionsdaten empfängt.

Im nachfolgenden Schritt 316 werden die Daten geprüft. Liegt ein Fehler vor, wird auf den Schritt 310 zurück verzweigt. Anderenfalls erfolgt in der Datenzentrale im Schritt 512 eine Speicherung der gleiche vorgenannten Daten, wie in der Frankiermaschine. Im Schritt 318 wird also in der Frankiermaschine die Transaktion mit der Datenspeicherung abgeschlossen. Anschließend wird zum Schritt 305 zurückverzweigt. Soll keine weitere Transaktion erfolgen, wird zur Anzeige der Schritt 310 und danach Schritt 301 erreicht.

Wenn nun kein Transaktionsersuchen gestellt wird, wird im Schritt 211 gemäß Fig. 2 überprüft, ob Daten übermittelt worden sind. Wurden Daten übermittelt, wird der Schritt 213 erreicht. Entsprechend des Eingabe wunsches plaziert die Frankiermaschine den aktuellen Vorgabewunsch oder das neue Codewort Y′ bzw. andere Transaktionsdaten beispielsweise im Speicherbereich E des nichtflüchtigen Speichers 5.

Wird als Eingabeparameter im Schritt 302 aber eine andere Zahlenkombination als Null eingegeben und die Eingabe war in Ordnung (Schritt 303), erfolgt ein Ver bindungsaufbau (Schritt 304). Und wenn ohne Fehler (Schritt 305) eine Verbindung aufgebaut vorliegt (Schritt 306), wird eine Identifizierungs- und Vor spann-Meldung an die Datenzentrale gesendet. In dieser Eröffnungsnachricht ist wieder u. a. auch die Portoab rufnummer PAN zur Identifizierung der Frankiermaschine bei der Datenzentrale enthalten. Die Datenzentrale erkennt aus der eingegebenen Zahlenkombination, falls die Daten fehlerfrei sind (Schritt 505), daß in der Frankiermaschine beispielsweise ein Guthaben mit einem Vorgabewert aufgestockt werden soll.

Hat sich inzwischen die aktuelle Telefonnummer der Datenzentrale geändert, müssen Maßnahmen ergriffen werden, daß diese in der Frankiermaschine gespeichert wird. Im Schritt 506 wird dann von der Datenzentrale eine Erwiderungsnachricht mit den Elementen Änderung der Telefonnummer und aktuelle Telefonnummer un verschlüsselt gesendet. Die Frankiermaschine, die diese Meldung erhält, erkennt im Schritt 311, daß die Tele fonnummer geändert werden soll. Nun wird zum Schritt 312 verzweigt, um die aktuelle Telefonnummer zu speichern. Anschließend wird auf den Schritt 304 zurückverzweigt. Ist die Verbindung noch aufgebaut und ein Kommunikationsfehler liegt nicht vor (305), wird im Schritt 306 anschließend geprüft, ob eine weitere Transaktion erfolgen soll. Wenn das nicht der Fall ist, wird über den Schritt 310 zum Schritt 301 verzweigt. Die Übermittlung der Telefonnummer kann ebenfalls MAC- abgesichert erfolgen.

Nach erfolgter Abspeicherung der aktuellen Telefonnum mer baut die Frankiermaschine automatisch eine neue Verbindung zur Datenzentrale unter Zuhilfenahme der neuen Telefonnummer auf. Die eigentliche, vom Benutzer beabsichtigte Transaktion, eine Fernwertvorgabe des neuen Sicherheits-Flag X′ oder eine Übermittlung einer zur Verifizierung geeigneten verschlüsselten Meldung zur Nachladung des Restwertguthabens entsprechend einem Vorgabe-Wunsch wird somit automatisch, d. h. ohne einen weiteren Eingriff durch den Benutzer der Frankier maschine, durchgeführt. In der Anzeige erscheint eine entsprechende Mitteilung, daß aufgrund der Telefonnummernänderung die Verbindung automatisch neu aufgebaut wird.

Es ist vorgesehen, daß nach einem Eingriff, die Fran kiermaschine in den Kommunikationsmodus 300 gesteuert wird. Der Berechtigte kann auch der Datenzentrale die beendete Überprüfung noch anschließend mitteilen. Eine Kommunikation kann eine Telefonnummernspeicherung, als auch eine Guthabennachladung bzw. Fondsrückübertragung umfassen. Ohne Unterbrechung der Kommunikation können so mehrere Transaktionen durchgeführt werden.

Soll die Höhe des nachzuladenden Guthabens in der gleichen Höhe verbleiben, wie bei der letzten Guthabennachladung, ist nur eine Transaktion notwendig.

Soll die Höhe des nachzuladenden Guthabens aber geändert werden, sind zwei Transaktionen erforderlich. Beide Transaktionen erfolgen auf vergleichbare Weise.

Eine gelungene Transaktion läuft dabei wie folgt ab: Die Frankiermaschine schickt ihre ID-Nummer und einen Vorgabewert für die Höhe des gewünschten Nachladeguthabens ggf. zusammen mit einem MAC an die Datenzentrale. Diese prüft eine derartige übermittelte Nachricht gegen den MAC, um dann eine ebenfalls MAC- gesicherte OK-Meldung an die Frankiermaschine zu senden. Die OK-Meldung enthält den Vorgabewert nicht mehr.

Es ist vorgesehen, daß die Übermittlung eines neuen Sicherheits-Flags X′ bzw. von relevanten Daten für eine Änderung der Guthabenhöhe in der Frankiermaschine in verschlüsselter Form, aber die Übermittlung von Telefonnummer in unverschlüsselter Form erfolgt. Jedoch ist eine MAC-Absicherung zusätzlich möglich. Wird in der Datenzentrale festgestellt, daß die Verbindung zur Frankiermaschine gelöst wurde (Schritt 503) oder fehlerhafte Daten (505) bzw. nicht behebbare Fehler (509) vorliegen oder kein Vorspannende gesendet wurde (507), ist die Kommunikation beendet. Nach einer Fehlermeldung erfolgt das Lösen der Kommunikations verbindung, das Speichern der übermittelten Daten und deren Auswertung im Schritt 513 seitens der Daten zentrale.

Während einer ersten Transaktion wird mindestens eine verschlüsselte Nachricht zur Datenzentrale als auch zur Frankiermaschine übermittelt. Der Vorgabewunsch ist nur in der verschlüsselten Nachricht der ersten Transaktion enthalten. Jede übermittelte Nachricht, welche sicher heitsrelevante Transaktionsdaten enthält, ist ver schlüsselt. Als Verschlüsselungsalgorithmus für die verschlüsselten Meldungen ist beispielsweise der DES- Algorithmus vorgesehen.

Ein Transaktionsersuchen führt in der Frankiermaschine zu einer speziell gesicherten Guthabennachladung. Vor zugsweise erfolgt ein Absichern der außerhalb des Pro zessors im Kostenstellenspeicher 10 vorliegenden Post register außerdem während der Guthabennachladung mit tels einer Zeitsteuerung. Wird die Frankiermaschine beispielsweise mit einem Emulator/Debugger observiert, dann ist es wahrscheinlich, daß die Kommunikations- und Abr 55462 00070 552 001000280000000200012000285915535100040 0002004446667 00004 55343echnungsroutinen nicht innerhalb einer vorbestimmten Zeit ablaufen. Ist das der Fall, d. h. die Routinen be nötigen erheblich mehr Zeit, wird ein Teil des DES- Schlüssels geändert. Das Datenzentrum, kann diesen modifizierten Schlüssel während einer Kommunikations routine mit Registerabfrage feststellen und daraufhin die Frankiermaschine als suspekt melden, sobald gemäß Schritt 313 eine Beginn-Meldung verschlüsselt gesendet wird.

In der Datenzentrale wird im Schritt 509 festgestellt, daß der Fehler nicht behebbar ist. Die Datenzentrale kann dann keine Transaktion (Schritt 511) durchführen, weil zum Schritt 513 zurückverzweigt wurde. Da in der Frankiermaschine im Schritt 315 keine Daten empfangen wurden, war die Transaktion nicht fehlerfrei erfolgt (Schritt 316). Dann wird also über den Schritt 310 auf den Schritt 301 zurückverzweigt, um nach einer Anzeige erneut zu prüfen, ob ein Transaktionsersuchen weiterhin gestellt wird.

Ist das nicht der Fall, wird der Kommunikationsmodus 300 verlassen und der Punkt f, d. h. der Betriebsmodus 290 erreicht. Somit konnten im oben erörterten Fall, mit modifizierten DES-Schlüssel, keine Daten übermit telt werden (Schritt 211). Ebenfalls wird davon ausge gangen, daß weder eine Testanforderung (Schritt 212) noch ein Registerabruf (Schritt 214) veranlaßt wurde, um das Restguthaben zu prüfen. Dann aber wird der Frankiermodus 400 erreicht.

Die Sicherheit setzt bei einem autorisierten Eingriff voraus, die Zuverlässigkeit der berechtigten Person (Service, Inspektor) und die Möglichkeit deren An wesenheit zu überprüfen. Die Kontrolle des Siegels und die Kontrolle der Registerstände bei einer Inspektion der Frankiermaschine und unabhängig davon der Daten in der Datenzentrale ergibt dann die Überprüfungssicher heit. Die Kontrolle der frankierten Postgüter unter Einbeziehung eines Sicherheitsabdruckes liefert eine zusätzliche Überprüfungssicherheit.

Die Frankiermaschine führt regelmäßig und/oder beim Einschalten den Registercheck durch und kann somit die fehlende Information erkennen, falls in die Maschine unautorisiert eingegriffen bzw. falls diese unautori siert bedient worden war. Die Frankiermaschine wird dann blockiert. Ohne die Erfindung in Verbindung mit einem Sicherheits-Flag X würde der Manipulator die Blockierung leicht überwinden. So geht aber das Sicherheits-Flag X verloren und es würde dem Manipulator zuviel Zeit und Aufwand kosten, das gültige MAC-gesicherte Sicherheits-Flag X bzw. Codewort durch Versuche zu ermitteln. In der Zwischenzeit wäre die Frankiermaschine längst in der Datenzentrale als suspekt registriert.

Andere Varianten bzw. eine Kombination mit anderen Varianten, wie beispielsweise das Löschen eines Teils des DES-Schlüssel oder der redundanten Registerstände bzw. Löschen anderer Daten oder Schlüssel, welche für die Datenzentrale bei einer Transaktion Bedeutung haben, sind durch den Erfindungsgedanken eingeschlos sen. Dabei ist wesentlich, daß kritische Programmteile im OTP gespeichert vorliegen und die Programmlaufzeit überwachungsmittel software- und/oder hardwaremäßige Bestandteile des OTP sind. Damit können mit diesen Programmteilen die extern vom OTP im Programmspeicher PSP 11 gespeicherten kritischen Programme überwacht werden. Der Vorteil besteht darin, daß das Überwach ungsprogramm selbst nicht observiert oder manipuliert werden kann, da es ständig im OTP verbleibt und auch nicht ausgelesen werden kann.

Ein geeigneter Prozessortyp ist beispielsweise der TMS 370 C010 von Texas Instruments, welcher einen 256 Bytes E²PROM aufweist. Damit können im Prozessor sicherheits relevante Daten (Schlüssel, Flags, u. a.) manipulations sicher gespeichert werden.

Nimmt ein Manipulator einen unautorisierten Eingriff vor, wird die Frankiermaschine durch das Überführen in den ersten Modus wirksam am Frankieren mit einem Portowert gehindert.

Der potentielle Manipulator einer Frankiermaschine muß mehrere Schwellen überwinden, was natürlich einen ge wissen Zeitaufwand bedarf. Erfolgt in gewissen Zeit abständen keine Verbindungsaufnahme von der Frankier maschine zur Datenzentrale, wird die Frankiermaschine bereits suspekt. Es ist dabei davon auszugehen, daß derjenige, der eine Manipulation an der Frankiermaschi ne begeht, sich kaum wieder bei der Datenzentrale melden wird.

Bei einer Inspektion werden zunächst das Siegel der Frankiermaschine auf Unversehrtheit und dann die Registerstände überprüft. Bei Bedarf kann ein Probe abdruck mit dem Wert 0 gemacht werden. Bei einer Reparatur durch den Service vor Ort muß eventuell in die Frankiermaschine eingegriffen werden. Die Fehler register sind beispielsweise mit Hilfe eines speziellen Service-EPROM auslesbar, welches an die Stelle des Advert-EPROM gesteckt wird. Wenn auf diesen EPROM- Steckplatz vom Prozessor nicht zugegriffen wird, wird gewöhnlich ein Zugriff auf die Datenleitungen durch spezielle - in der Fig. 1 nicht dargestellte - Treiberschaltkreise verhindert. Die Datenleitungen, welche hier durch eine versiegelte Gehäusetür erreich bar sind, können somit nicht unbefugt kontaktiert werden. Eine andere Variante ist das Auslesen von Fehlerregisterdaten durch einen über eine Schnittstelle angeschlossenen Service-Computer. Zur Vorbereitung des Eingriffs werden die Register der Frankiermaschine abgefragt, um die Art des erforderlichen Eingriffs zu ermitteln. Bevor in die Frankiermaschine eingegriffen und das Gehäuse geöffnet wird, erfolgt ein separater Anruf bei der Datenzentrale. Wird danach innerhalb einer vorbestimmten Zeitdauer der Vorgabewert auf Null geändert und zur Datenzentrale im Rahmen einer Trans aktion übermittelt, d. h. die Art des Eingriffs und die Registerdaten wurden der Datenzentrale mitgeteilt, er folgt ein Übermitteln von Daten von einer Datenzentrale zur Frankiermaschine entsprechend einem beantragten autorisierten Eingriff in die Frankiermaschine, welcher als erlaubter Eingriff protokolliert wird.

Wird innerhalb einer vorbestimmten Zeitdauer aber der Vorgabewert auf einen Wert verschieden von Null geändert und zur Datenzentrale im Rahmen einer Transaktion übermittelt, bleibt ein zuvor erfolgter separater Anruf zur Datenzentrale folgenlos, d. h. ein Eingriffsgesuch gilt als nicht gestellt und eine Befugnis zum autorisierten Eingriff in die Frankier maschine wird nicht erteilt und folglich kein neues Sicherheits-Flag bzw. Codewort X′ übermittelt.

Die Frankiermaschine ist fähig, zu unterscheiden zwischen beantragten autorisierten und unautorisierten Eingriff in die Frankiermaschine mittels der Steuer einheit der Frankiermaschine in Verbindung mit den von der Datenzentrale übermittelten Daten,wobei bei unauto risierten Eingriff in die Frankiermaschine dieser Ein griff als Fehlerfall protokolliert wird, aber nach erfolgten autorisierten Eingriff in die Frankiermaschi ne der ursprüngliche Betriebszustand mittels den vorge nannten übermittelten Daten wiederhergestellt wird.

Die Erläuterung der Abläufe nach dem - in der Fig. 4 gezeigten - Frankiermodus erfolgt in Verbindung mit dem - in der Fig. 2 dargestellten - Ablaufplan. Es ist außerdem auch in Zeiten in welchen nicht gedruckt wird (Standby-Modus) vorgesehen, daß eine Abfrage hinsichtlich Manipulationsversuchen erfolgt und/ oder die Checksumme der Registerstände und/oder über den Inhalt des Programmspeichers PSP 11 gebildet wird. Die vorgenannte Checksumme wird vom Frankiermaschinen- Hersteller MAC-gesichert im nichtflüchtigen Speicher 5 (Speicherbereich E des NV-RAMs) abgelegt. Zur Überprü fung des Inhaltes des Programmspeichers PSP 11 wird die Checksumme erneut ermittelt und unter Verwendung eines gespeicherten unverändert gebliebenen Schlüssels ein MAC gebildet. Beim vorgenannten Schlüssel handelt es sich um einen manipulationsgesicherten (nichtausles baren) Teilschlüssel. Nun wird die alte MAC-gesicherte aus dem NV-RAM 5 geladen und mit der neu ermittelten MAC-gesicherten Checksumme im OTP verglichen. Zur Ver besserung der Manipulationssicherheit wird in einer anderen Variante für einen Kill-Mode 2 die Checksumme im Prozessor über den Inhalt des externen Programm speichers PSP 11 gebildet und das Ergebnis mit einem im Prozessor gespeicherten vorbestimmten Wert verglichen. Dies erfolgt vorzugsweise im Schritt 101, wenn die Frankiermaschine gestartet wird, oder im Schritt 213, wenn die Frankiermaschine im Standby-Modus betrieben wird. Der Standby-Modus wird erreicht, wenn eine vorbestimmte Zeit keine Eingabe- bzw. Druckanforderung erfolgt. Letzteres ist der Fall, wenn ein an sich bekannter - nicht näher dargestellter - Briefsensor keinen nächsten Briefumschlag ermittelt, welcher frankiert werden soll. Der - in der Fig. 4 gezeigte - Schritt 405 im Frankiermodus 400 umfaßt daher noch eine weitere Abfrage nach einem Zeitablauf oder nach der Anzahl an Durchläufen durch die Programmschleife, welche letztendlich wieder auf die Eingaberoutine gemäß Schritt 401 führt. Wird das Abfragekriterium erfüllt, wird im Schritt 408 ein Standby-Flag gesetzt und direkt auf den Punkt s zur Systemroutine 200 zurückverzweigt, ohne daß die Abrechnungs- und Druckroutine im Schritt 406 durchlaufen wird. Das Standby-Flag wird später im Schritt 211 abgefragt und nach der Checksummenprüfung im Schritt 213 zurückgesetzt, falls kein Manipulations versuch erkannt wird.

Das Abfragekriterium in Schritt 211 wird dazu um die Frage erweitert, ob das Standby-Flag gesetzt ist, d. h. ob der Standby-Modus erreicht ist. In diesem Fall wird ebenfalls auf den Schritt 213 verzweigt. Eine bevorzugte Variante besteht darin, in bereits beschrie benen Weise das Sicherheits-Flag X zu löschen, wenn ein Manipulationsversuch im Standby-Modus auf vorgenannte Weise im Schritt 213 festgestellt worden ist. Das besonders gesicherte Sonder-Flag N kann ebenfalls im Schritt 213 überprüft werden, insbesondere wenn es MAC-gesichert ist, indem der Flag-Inhalt mit dem MAC-Inhalt verglichen wird. Das Fehlen des Sicherheits-Flags X wird im Abfrageschritt 409 erkannt und dann auf den Schritt 213 verzweigt. Der Vorteil dieses Verfahrens in Verbindung mit dem ersten Modus besteht darin, daß der Manipulationsversuch statistisch im Schritt 213 erfaßt wird.

Die Fig. 4 zeigt den Ablaufplan für den Frankiermodus nach einer bevorzugten Variante. Die Erfindung geht davon aus, daß nach dem Einschalten automatisch der Postwert im Wertabdruck entsprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entsprechend dem aktuellem Datum vorgegeben werden, daß für den Abdruck die variablen Daten in die festen Daten für den Rahmen und für alle unverändert bleibenden zugehörigen Daten elektronisch eingebettet werden.

Die Zahlenketten (sTrings), die für die Erzeugung der Eingabedaten mit einer Tastatur 2 oder aber über eine an die Ein/Ausgabeeinrichtung 4 angeschlossene, den Portowert errechnende, elektronische Waage 22 eingege ben werden, werden automatisch im Speicherbereich D des nichtflüchtigen Arbeitsspeichers 5 gespeichert. Außer dem bleiben auch Datensätze der Subspeicherbereiche, zum Beispiel Bj, C usw., erhalten. Damit ist gesichert, daß die letzten Eingabegrößen auch beim Ausschalten der Frankiermaschine erhalten bleiben, so daß nach dem Ein schalten automatisch der Portowert im Wertabdruck ent sprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entspre chend dem aktuellem Datum vorgegeben wird.

Ist eine Waage 22 angeschlossen, wird der Portowert aus dem Speicherbereich D entnommen. Im Schritt 404 wird gewartet, bis ein solcher aktuell gespeichert vorliegt. Bei einer erneuten Eingabeanforderung im Schritt 404 wird wieder auf den Schritt 401 zurückverzweigt. Anderenfalls wird auf den Schritt 405 verzweigt, um die Druckausgabeanforderung abzuwarten. Durch einen Brief sensor wird der zu frankierende Brief detektiert und damit eine Druckanforderung ausgelöst. Somit kann auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt werden. Liegt keine Druckausgabeanforderung (Schritt 405) vor, wird zum Schritt 301 (Punkt e) zurückverzweigt.

Da nach der - in der Fig. 4 dargestellten - Variante zum Punkt e zurückverzweigt und der Schritt 301 erreicht wird, kann jederzeit ein Kommunikations ersuchen gestellt oder eine andere Eingabe gemäß den Schritten Testanforderung 212, Registercheck 214, Eingaberoutine 401 getätigt werden.

Ein weiteres Abfragekriterium kann im Schritt 405 abgefragt werden, um im Schritt 408 ein Standby-Flag zu setzen, wenn nach einer vorbestimmten Zeit noch keine Druckausgabeanforderung vorliegt. Wie bereits oben erläutert, kann das Standby-Flag im auf den Kommunika tionsmodus 300 folgenden Schritt 211 abgefragt werden. Damit wird nicht auf den Frankiermodus 400 verzweigt, bevor nicht die Checksummenprüfung die Vollzähligkeit aller oder mindestens ausgewählter Programme ergeben hat.

Falls eine Druckausgabeanforderung im Schritt 405 erkannt wird, werden weitere Abfragen in den nachfol genden Schritten 409 und 410 sowie im Schritt 406 getätigt. Beispielsweise werden im Schritt 409 das Vorhandensein eines gültigen Sicherheits-Flags X bzw. eines entsprechenden MAC-abgesicherten Flags X, das Erreichen eines weiteren Stückzahlkriterium und/oder im Schritt 406 die in bekannten Weise zur Abrechnung eingezogenen Registerdaten abgefragt. War die zum Frankieren vorbestimmte Stückzahl bei der vorher gehenden Frankierung verbraucht, d. h. Stückzahl gleich Null, wird automatisch zum Punkt e verzweigt, um in den Kommunikationsmodus 300 einzutreten, damit von der Datenzentrale eine neue vorbestimmte Stückzahl S wieder kreditiert wird. War jedoch die vorbestimmte Stückzahl noch nicht verbraucht, wird vom Schritt 410 auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt.

Die Anzahl von gedruckten Briefen, und die aktuellen Werte in den Postregistern werden entsprechend der eingegebenen Kostenstelle im nichtflüchtigen Speicher 10 der Frankiermaschine in einer Abrechnungsroutine 406 registriert und stehen für eine spätere Auswertung zur Verfügung. Ein spezieller Sleeping-Mode-Zähler wird während der unmittelbar vor dem Druck erfolgenden Abrechnungsroutine veranlaßt, einen Zählschritt weiter zuzählen.

Die Registerwerte können bei Bedarf im Anzeigemodus 215 abgefragt werden. Es ist ebenfalls vorgesehen, die Registerwerte mit dem Druckkopf der Frankiermaschine zu Abrechnungszwecken auszudrucken. Das kann beispiels weise ebenso erfolgen, wie das bereits in der deutschen Offenlegungsschrift P 42 24 955 A1 näher ausgeführt wird.

Es ist bei einer anderen Variante weiterhin vorgesehen, daß auch variable Pixelbilddaten während des Druckens in die übrigen Pixelbilddaten eingebettet werden. Ent sprechend der vom Encoder 13 gelieferten Positions meldung über den Vorschub der Postgutes bzw. Papierstreifens in Relation zum Druckermodul 1 werden die komprimierten Daten aus dem Arbeitsspeicher 5 gelesen und mit Hilfe des Charakterspeichers 9 in ein binäre Pixeldaten aufweisendes Druckbild umgewandelt, welches ebenfalls in solcher dekomprimierten Form im flüchtigen Arbeitsspeicher 7 gespeichert wird. Nähere Ausführungen sind den europäischen Anmeldungen EP 576 113 A2 und EP 578 042 A2 entnehmbar.

Der Pixelspeicherbereich im Pixel-Speicher 7c ist also für die ausgewählten dekomprimierten Daten der festen Teile des Frankierbildes und für die ausgewählten de komprimierten Daten der variablen Teile des Frankier bildes vorgesehen. Nach der Abrechnung erfolgt die ei gentliche Druckroutine (im Schritt 406). Wie aus der Fig. 1 hervorgeht, stehen der Arbeitsspeicher 7b und der Pixelspeicher 7c mit dem Druckermodul 1 über eine ein Druckregister (DR) 15 und eine Ausgabelogik aufweisende Druckersteuerung 14 in Verbindung. Der Pixelspeicher 7c ist ausgangsseitig an einen ersten Eingang der Druckersteuerung 14 geschaltet, an deren weiteren Steuereingängen Ausgangssignale der Mikropro zessorsteuereinrichtung 6 anliegen. Sind alle Spalten eines Druckbildes gedruckt worden, wird wieder zur Systemroutine 200 zurückverzweigt.

Die Übermittlung einer neuen Stückzahl S′ kann dann auf die gleiche Art und Weise erfolgen, wie das im Zusammenhang mit der Übermittlung des neuen Sicherheits-Flags X′ bereits erläutert wurde. Bei einer Kommunikation gemäß Fig. 3a und 3b wird dann eine neue vorbestimmte Stückzahl S′ übermittelt und als Stückzahl S bei laufender Frankierung dekrementiert.

Aus der neuen vorbestimmten Stückzahl S′ wird intern die Vergleichsstückzahl S_ref errechnet (Schritt 213). Damit kann im Schritt 203 eine Warnung "CALL FP" vor Erreichen der Stückzahl Null abgegeben werden. Der Be nutzer der Frankiermaschine wird damit aufgefordert in Kommunikation mit der Datenzentrale durchzuführen, um mindestens eine NULL-Fernwertvorgabe zur Nachkredi tierung wenigstens der Stückzahl S vorzunehmen.

In der Fig. 5 ist der Ablauf mit zwei Transaktionen für das Nachladen mit einem Guthabenwert, vorzugsweise mit einem Null-Guthabenwert vereinfacht dargestellt. Eine solche NULL-Fernwertvorgabe umfaßt immer zwei Transaktionen.

Die erste Transaktion einer Kommunikation mit der Datenzentrale DZ umfaßt die Mitteilung eines vorbestimmten Vorgabe-Wunsches. Um die Konsistenz der Registerstände zwischen der Datenzentrale DZ und der Frankiermaschine FM herzustellen, ist ein NULL-Vorgabe- Wunsch geeignet. Ein solcher führt während einer zweiten Transaktion zu einem NULL-Vorgabe-Wert der zum Descending-Register-Wert addiert werden kann, ohne den Wert der Restguthabens zu ändern.

Bei einem normalen Einstieg in den Kommunikationsmodus wird nach dem Start der Frankiermaschine im Schritt 218 der - in Fig. 2 dargestellten - Systemroutine 200 abgefragt, ob vom Benutzer ein richtiger Seiteneinstieg durchgeführt wurde. Ist das nicht der Fall wird zum Punkt e der Systemroutine 200 verzweigt. Auf dem Display erscheint eine Meldung über eine Eröffnung der Kommunikation, wenn eine Eingabe der PIN und Drücken der Teleset-Taste (T-Taste) erfolgt. Zusätzlich wird der bisherige Vorgabewert angezeigt, der durch den neuen Vorgabe-Wunsch NULL überschrieben werden kann. Nach der Null-Eingabe wird wieder die T-Taste betätigt. Nun besteht ein Transaktionsersuchen und die Kommunikation kann durchgeführt werden.

Der erste Schritt während einer ersten Transaktion umfaßt nach dem Einstieg in den Kommunikationsmodus (positive Fernwertvorgabe bzw. Teleset-Modus) einen Subschritt 301 zur Überprüfung auf ein gestelltes Transaktionsersuchen und weitere Subschritte 302 bis 308 zur Eingabe der Identifizierungs- und anderer Daten, um die Kommunikationsverbindung aufzubauen und zur Kommunikation mit unverschlüsselten Daten, um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.

Es ist vorgesehen, daß ein erster Schritt der ersten Transaktion Subschritte 301 bis 308 der Frankiermaschi ne umfaßt, um die Verbindung aufzubauen, zur Kommunika tion mit unverschlüsselten Daten und um mindestens Identifizierungs-, Transaktionstyp- und andere Daten zur Datenzentrale zu übertragen. Die Transaktionstyp- Daten (1 byte), umfaßt die Mitteilung an die Datenzen trale DZ nachfolgend den Teleset-Modus für eine gewünschte positive Fernwertvorgabe mit der identifi zierten Frankiermaschine durchzuführen.

Ein zweiter Schritt der ersten Transaktion umfaßt Subschritte 501 bis 506 in der Datenzentrale, zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine. Der zweite Schritt der ersten Transaktion umfaßt auch Subschritte, um bei fehlerhaften unverschlüsselten Mit teilungen 505 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand Punkt q im Sub schritt 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.

Ein dritter Schritt der ersten Transaktion umfaßt Subschritte 309 bis 314 der Frankiermaschine, zur Bildung einer ersten verschlüsselten Mitteilung Crypto cv mittels einem in der Frankiermaschine gespeicherten ersten Schlüssel Kn und zur Übertragung von verschlüs selten Daten zur Datenzentrale, umfassend mindestens den Vorgabewunsch, Identifizierungs- und Postregister- Daten. In weiterer Ausgestaltung der Sicherheits maßnahmen umfaßt diese verschlüsselte Mitteilung auch Daten in Form von CRC-Daten (Cyclic Redundancey Check- Daten). Der Vorgabewunsch, die Identifizierungs-, Postregister- und andere Daten, wie beispielsweise eine Prüfsumme (CRC-Daten) werden in einer mit dem DES- Algorithmus verschlüsselten Mitteilung übertragen.

Ein vierter Schritt der ersten Transaktion, der Sub schritte 507 bis 511 in der Datenzentrale umfaßt, ist zum Empfang und zur Decryptifizierung der ersten ver schlüsselten Mitteilung vorgesehen. Eine Prüfung auf Decryptifizierbarkeit wird mittels eines in der Datenzentrale gespeicherten Schlüssels durchgeführt. Bei Erfolg wird in der datenzentrale eine Berechnung zum Bilden eines zweiten Schlüssels Kn+1 vorgenommen, entsprechend dem von der Frankiermaschine benutzten Schlüssel. Anschließend wird eine zweite verschlüs selten Mitteilung crypto Cv+1 gebildet, welche mindestens den vorgenannten zweiten Schlüssel Kn+1, die Identifizierungs- und die Transaktionsdaten enthält, wobei zur Verschlüsselung wieder der DES-Algorithmus genutzt wird. Abschließend ist ein Übertragen der zweiten verschlüsselten Mitteilung crypto Cv+1 zur Frankiermaschine vorgesehen.

Weitere Subschritte dienen dazu, um bei Feststellung von unbehebbar fehlerhaften verschlüsselten Mitteilun gen im Subschritt 509 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.

Es sind weiterhin Subschritte vorgesehen, um bei im Subschritt 509 festgestellten fehlerhaften verschlüs selten Mitteilungen aber mit behebbaren Fehler, auf einen Subschritt 510 zur Stornierung der vorherigen Transaktion und um danach auf den Subschritt 511 in der Datenzentrale zu verzweigen. Dieser Subschritt dient zum Bilden eines zweiten Schlüssels Kn+1, der zur Frankiermaschine verschlüsselt übermittelt werden soll, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1 und zum Übertragen der verschlüsselten Mitteilung zur Frankiermaschine. Außerdem schließt der vierte Schritt der ersten Transaktion einen Subschritt 512 der Datenzentrale zum Speichern des Vorgabewunsches ein, von dem auf den ersten Subschritt 701 des zweiten Schrittes der zweiten Transaktion verzweigt wird, um den ersten Schlüssel Kn als Vorgängerschlüssel und den zweiten Schlüssel Kn+1 als Nachfolgerschlüssel zu speichern.

Ein fünfter Schritt der ersten Transaktion, der Sub schritte 315 bis 318 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der zweiten verschlüsselten Mitteilung, zum Extrahieren mindestens der Identifikationsdaten und des übertragenen zweiten Schlüssels Kn+1_Cv+1, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungsdaten. Bei Verifizierung wird der übertragene zweite Schlüssel Kn+1_Cv+1 und der Vorgabewunsch in der Frankiermaschine gespeichert. Andernfalls bei Nichtverifizierung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.

Nach dieser Vorsynchronisation der Datenzentrale durch die Frankiermaschine beginnt eine zweite Transaktion, welche vorzugsweise durch eine zusätzliche manuelle Eingabe im Schritt 602 ausgelöst wird. Im Ergebnis dieser zeitlich befristeten Eingabe erfolgt eine Aus lösung der zweiten Transaktion oder ein Verlassen der zweiten Transaktion im Kommunikationsmodus, wenn die Eingabezeit überschritten ist. Vorzugsweise muß die T- Taste innerhalb von 30 sec betätigt werden oder die Eingabezeit ist überschritten und es wird zum ersten Schritt der ersten Transaktion zurückverzweigt. Die Kommunikation kann nun je nach Bedarf unterlassen oder wiederholt werden.

Ein erster Schritt der zweiten Transaktion umfaßt Sub schritte 602 bis 608 der Frankiermaschine zur Kommu nikation mit unverschlüsselten Daten, um die Verbindung aufzubauen und um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.

Ein zweiter Schritt der zweiten Transaktion, der Sub schritte 701 bis 706 der Datenzentrale umfaßt, ist zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine vorgesehen. Es ist weiterhin vorgesehen, daß der zweite Schritt der zweiten Transaktion Subschritte umfaßt, um bei fehlerhaften unverschlüsselten Mitteilungen 705 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.

Ein dritter Schritt der zweiten Transaktion umfaßt Sub schritte 609 bis 614 der Frankiermaschine zur Bildung einer dritten verschlüsselten Mitteilung crypto cv+2 mittels des vorgenannten in der Frankiermaschine gespeicherten zweiten Schlüssels Kn+1 und zur Übertragung der dritten verschlüsselten Mitteilung crypto cv+2 zur Datenzentrale, umfassend mindestens Identifizierungs- und Postregister-Daten, jedoch ohne Daten für einen Vorgabewert.

Ein vierter Schritt der zweiten Transaktion, der Sub schritte 707 bis 711 der Datenzentrale zum Empfang und zur Decryptifizierung der dritten verschlüsselten Mitteilung crypto Cv+2 enthält, führt deren Prüfung auf Decryptifizierbarkeit mittels eines in der Datenzen trale gespeicherten Schlüssels durch. Dann erfolgt ein Bilden eines dritten Schlüssels Kn+2, welcher zur Frankiermaschine verschlüsselt übermittelt werden soll, ein Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3, welche mindestens den vorgenannten dritten Schlüssel Kn+2, die Identifizierungs- und die Transaktionsdaten enthält und das Übertragen der vierten verschlüsselten Mitteilung crypto Cv+3 zur Frankiermaschine.

Der vierte Schritt der zweiten Transaktion schließt Subschritte ein, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen (Subschritt 709) über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Bei in einem Schritt 709 festge stellten fehlerhaften verschlüsselten Mitteilungen mit behebbaren Fehler wird auf einen Schritt 710 zur Stornierung der vorherigen Transaktion verzweigt. Danach erfolgt in der Datenzentrale im Subschritt 711 ein Bilden eines dritten Schlüssels Kn+2, der zur Frankiermaschine verschlüsselt übermittelt werden soll. Zum Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3 wird wieder der DES-Algorithmus eingesetzt. Anschließend erfolgt ein Übertragen der verschlüsselten Mitteilung zur Frankiermaschine.

Es ist außerdem vorgesehen, daß der vierte Schritt der zweiten Transaktion zum Speichern des Vorgabewertes einen Subschritt 712 der Datenzentrale umfaßt, der auf den ersten Subschritt 501 des zweiten Schrittes der ersten Transaktion verzweigt, um den zweiten Schlüssel Kn+1 als Vorgängerschlüssel Kn-1 und den dritten Schlüssel Kn+2 als Nachfolgerschlüssel Kn für weitere erste und zweite Transaktionen zu speichern.

Ein fünfter Schritt der zweiten Transaktion, der Sub schritte 615 bis 618 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der vierten ver schlüsselten Mitteilung, zum Extrahieren mindestens der Identifizierungsdaten und des übertragenen dritten Schlüssels Kn+2_Cv+3 sowie der Transaktionsdaten, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungs daten. Bei Verifizierung wird der übertragene zweite Schlüssel Kn+2_Cv+3 und der Vorgabewert in der Frankiermaschine entsprechend zum Descending-Register wert R1 addiert und das resultierende Guthaben gespeichert oder andernfalls bei Nichtverifizierung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.

Entweder wird wieder zum ersten Schritt zurückgekehrt, um eine weitere Auslösung der Transaktionen zu bewirken, oder im fünften Schritt der zweiten Transaktion wird das vorgenannte Transaktionsersuchen wieder aufgehoben.

Von dieser NULL-Fernwertvorgabe im Kommunikationsmodus unterscheidet sich eine negative Fernwertvorgabe im Sondermodus vor allem durch spezielle manipulations sichere Flags und eine Zeitüberwachung. Solche manipu lationssichere Flags sind insbesondere ein MAC- gesichertes Sicherheits-Flag X und ein MAC-gesichertes Sonder-Flag N.

In der Fig. 6 ist der Ablauf mit zwei Transaktionen für das Nachladen mit einem Negativ-Guthabenwert, d. h. eine negative Fernwertvorgabe zur Fondsrückübertragung an die Datenzentrale dargestellt. Eine solche negative Fernwertvorgabe umfaßt mindestens zwei Transaktionen.

Die erste Transaktion einer Kommunikation mit der Datenzentrale DZ umfaßt die Mitteilung eines vorbestimmten Vorgabe-Wunsches, vorzugsweise eines NULL-Vorgabe-Wunsches, um die Konsistenz der Registerstände zwischen der Datenzentrale DZ und der Frankiermaschine FM herzustellen.

Der erste Schritt während einer ersten Transaktion umfaßt nach einen definierten Seiteneinstieg in den Sondermodus negative Fernwertvorgabe gegenüber einem normalen Einstieg in den Kommunikationsmodus (Teleset- Modus) nach dem Start der Frankiermaschine einen Subschritt 301 zur Überprüfung auf ein gestelltes Transaktionsersuchen und weitere Subschritte 302 bis 308 zur Eingabe der Identifizierungs- und anderer Daten, um die Kommunikationsverbindung aufzubauen und zur Kommunikation mit einer unverschlüsselten Mit teilung, um mindestens Identifizierungs- und Trans aktionstyp-Daten zur Datenzentrale zu übertragen. Eine Absicherung einzelner Daten in der Mitteilung kann wieder durch einen MAC bzw. mittels CRC-Daten in der vorgenannten Weise erreicht werden.

Der definierte Seiteneinstieg wird durch Drücken einer geheimen vorbestimmten Tastenkombination während des Einschaltens der Frankiermaschine erreicht. Die Steuereinheit der Frankiermaschine kann erfindungsgemäß in Verbindung mit den von der Datenzentrale bereits früher übermittelten Daten und einem Eingabe-Vorgang zwischen autorisierten Handeln (Service-Techniker) und unautorisierten Handeln (Manipulationsabsicht) unter scheiden.

Beim autorisierten Handeln wird ein Sonder-Flag N im Schritt 220 gesetzt, denn falls die Frankiermaschine FM ausgeschaltet wird, muß die Weiterführung der Transaktionen nach dem Wiedereinschalten der Frankiermaschine gesichert sein. Als Schutz gegen eine eventuelle Manipulation wird das Sonder-Flag N eben falls MAC-gesichert nichtflüchtig gespeichert.

Erfolgt ein Fehlversuch oder wird eine andere Tastenkombination für den Seiteneinstieg eingegeben, wird dies als unautorisiertes Handeln bzw. als Manipu lationsabsicht gewertet (Fehlermeldung) und gespeichert sowie ein Schritt 209 zur Verhinderung einer weiteren Frankierung ausgelöst.

Es ist vorgesehen, daß eine vorbestimmte Tastenkombi nation für jede Frankiermaschine in der Datenzentrale gespeichert wird und nur der autorisierten Person (Service-Techniker) mitgeteilt wird, um einen vorbe stimmten Bedienablauf bei der Frankiermaschine zu erzielen. Der richtige Seiteneinstieg bewirkt eine Meldung auf dem Display über eine Eröffnung der Kommunikation.

Zur Überführung der Frankiermaschine in einen Sonder modus wird ein gegen Manipulation gesichertes Flag N im Schritt 220 gesetzt, wenn ein spezifisches Kriterium erfüllt vorliegt, wobei das spezifische Kriterium für den Sondermodus negative Fernwertvorgabe mindestens die Verwendung der vorbestimmten Tastenkombination zum Seiteneinstieg in den Sondermodus während des Ein schaltens der Frankiermaschine umfaßt.

In einer Variante erfolgt, wie bei der positiven Fernwertvorgabe eine Eingabe der PIN und Drücken der Teleset-Taste (T-Taste), dann Null-Eingabe und Drücken der T-Taste, bevor die Kommunikation durchgeführt wird.

Die Kommunikation mit der Datenzentrale umfaßt min destens zwei Transaktionen, welche im Fehlerfall wiederholt durchlaufen werden, wobei nach Unterbrechung die Kommunikation automatisch erneut wieder aufgenommen und/oder solange durchgeführt wird, wie das vorgenannte Sonder-Flag N für den Sondermodus gesetzt ist, durch das ein automatisches Transaktionsersuchen gestellt ist, um die Rückübertragung des Guthabens zu vollenden.

Es ist vorgesehen, daß ein erster Schritt der ersten Transaktion Subschritte 301 bis 308 der Frankiermaschi ne umfaßt, um die Verbindung aufzubauen, zur Kommunika tion mit unverschlüsselten Daten und um mindestens Identifizierungs-, Transaktionstyp- und andere Daten zur Datenzentrale zu übertragen. Die Transaktionstyp- Daten (1 byte), umfaßt die Mitteilung an die Datenzen trale DZ nachfolgend den Sondermodus einer gewünschten negativen Fernwertvorgabe mit der identifizierten Frankiermaschine durchzuführen.

Ein zweiter Schritt der ersten Transaktion umfaßt Subschritte 501 bis 506 in der Datenzentrale, zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine. Der zweite Schritt der ersten Transaktion umfaßt auch Subschritte, um bei fehlerhaften unverschlüsselten Mit teilungen 505 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird.

Ein dritter Schritt der ersten Transaktion umfaßt Subschritte 309 bis 314 der Frankiermaschine, zur Bildung einer ersten verschlüsselten Mitteilung Crypto cv mittels einem in der Frankiermaschine gespeicherten ersten Schlüssel Kn und zur Übertragung von verschlüs selten Daten zur Datenzentrale, umfassend mindestens den Vorgabewunsch, Identifizierungs- und Postregister- Daten. In weiterer Ausgestaltung der Sicherheits maßnahmen umfaßt diese verschlüsselte Mitteilung in Form von CRC-Daten (Cyclic Redundancey Check-Daten) die Mitteilung an die Datenzentrale DZ nachfolgend den Sondermodus einer gewünschten negativen Fernwertvorgabe durchzuführen. Bei dem zwei Byte umfassenden Cyclic Redundancey Check handelt es sich um eine Prüfsumme, die eine Manipulation an einzelnen der zur Prüfsumme verarbeiteten Daten erkennen läßt. Diese Prüfsumme kann einzelne Daten bzw. die Bestandteile aller Mitteilungen (Transaktionstyp) seitens der Frankiermaschine ein schließen. Der Vorgabewunsch, die Identifizierungs-, Postregister- und die CRC-Daten werden in einer mit dem DES-Algorithmus verschlüsselten Mitteilung übertragen.

Somit ist es nicht erforderlich, Daten im ersten Schritt MAC-gesichert bzw. verschlüsselt an die Daten zentrale zu übertragen.

Ein vierter Schritt der ersten Transaktion, der Sub schritte 507 bis 511 in der Datenzentrale umfaßt, ist zum Empfang und zur Decryptifizierung der ersten ver schlüsselten Mitteilung bzw. deren Prüfung auf Decryp tifizierbarkeit mittels eines in der Datenzentrale gespeicherten Schlüssels, zum Bilden eines zweiten Schlüssels Kn+1 entsprechend dem von der Frankier maschine benutzten Schlüssel, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1, welche mindestens den vorgenannten zweiten Schlüssel Kn+1, die Identifizierungs- und die Transaktionsdaten enthält und zum Übertragen der zweiten verschlüsselten Mitteilung crypto Cv+1 zur Frankiermaschine vorgesehen.

Es ist vorgesehen, daß der vierte Schritt der ersten Transaktion auch Subschritte umfaßt, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen 509 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Es sind weiterhin Subschritte vorgesehen, um bei fehlerhaften verschlüsselten Mitteilungen 509 mit behebbaren Fehler, auf einen Schritt 510 zur Stornierung der vorherigen Transaktion und um danach auf den Subschritt 511 in der Datenzentrale zu verzweigen. Dieser Subschritt dient zum Bilden eines zweiten bzw. dritten Schlüssels Kn+1, der zur Frankiermaschine verschlüsselt übermittelt werden soll, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1 und zum Übertragen der verschlüsselten Mitteilung zur Frankiermaschine. Außer dem schließt der vierte Schritt der ersten Transaktion einen Subschritt 512 der Datenzentrale zum Speichern des Vorgabewunsches ein, von dem den ersten Subschritt 701 des zweiten Schrittes der zweiten Transaktion verzweigt wird, um den ersten Schlüssel Kn als Vorgängerschlüssel und den zweiten Schlüssel Kn+1 als Nachfolgerschlüssel zu speichern.

Nach dieser Vorsynchronisation der Datenzentrale durch die Frankiermaschine erfolgt eine zweite Transaktion.

Ein erster Schritt der zweiten Transaktion umfaßt Subschritte 602 bis 608 der Frankiermaschine zur Kommunikation mit unverschlüsselten Daten, um die Verbindung aufzubauen und um mindestens Identifi zierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen.

Ein vierter Schritt der zweiten Transaktion, der Sub schritte 707 bis 711 der Datenzentrale zum Empfang und zur Decryptifizierung der dritten verschlüsselten Mitteilung crypto Cv+2 enthält, führt deren Prüfung auf Decryptifizierbarkeit mittels eines in der Datenzen trale gespeicherten Schlüssels durch. Dann erfolgt ein Bilden eines dritten Schlüssels Kn+2, welcher zur Fran kiermaschine verschlüsselt übermittelt werden soll, ein Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3, die mindestens den vorgenannten dritten Schlüssel Kn+2, die Identifizierungs- und die Transaktionsdaten enthält und das Übertragen der vierten verschlüsselten Mitteilung crypto Cv+3 zur Frankiermaschine.

Der vierte Schritt der zweiten Transaktion schließt Subschritte ein, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen 709 über einen Subschritt 513 zur Fehlermeldung auf einen Ruhezustand 501 in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird. Bei in einem Schritt 709 festgestellten fehlerhaften verschlüsselten Mitteilungen mit behebbaren Fehler wird auf einen Schritt 710 zur Stornierung der vorherigen Transaktion verzweigt. Danach erfolgt in der Daten zentrale im Subschritt 711 ein Bilden eines dritten Schlüssels Kn+2, der zur Frankiermaschine verschlüsselt übermittelt werden soll. Zum Bilden einer vierten ver schlüsselten Mitteilung crypto Cv+3 wird wieder der DES-Algorithmus eingesetzt. Anschließend erfolgt ein Übertragen der verschlüsselten Mitteilung zur Frankiermaschine.

Ein fünfter Schritt der zweiten Transaktion, der Sub schritte 615 bis 618 der Frankiermaschine umfaßt, dient zum Empfang und zur Decryptifizierung der vierten ver schlüsselten Mitteilung, zum Extrahieren mindestens der Identifizierungsdaten und des übertragenen dritten Schlüssels Kn+2_Cv+3 sowie der Transaktionsdaten, sowie zum Verifizieren der empfangenen verschlüsselten Mit teilung anhand der extrahierten Identifizierungsdaten.

Der vorgenannte Schritt weist zur Identifikation der vollendeten Durchführung im Unterschied zur positiven Fernwertvorgabe ein weiteres Abfragekriterium auf. In nerhalb einer vorbestimmten Zeit, ab der Absendung der dritten Crypto-Mitteilung soll von der Frankiermaschine FM die vierte Crypto-Mitteilung empfangen werden. Bei Unterbrechungsfreiheit der Verbindung würde der Empfang in der vorbestimmten Zeit t1 erfolgen.

In der bevorzugten Ausführungsform wird also der letzte und besonders kritische Abschnitt der zweiten Trans aktion auf Überschreiten der Zeit t1 überwacht. Damit ist die mögliche Manipulationszeit stark eingeschränkt. Hierzu wird während der vorletzten zu übertragenen Nachricht, ab Absendung der dritten Crypto-Mitteilung im Prozessor (Steuereinheit 6) der Frankiermaschine eine Zeitzählung gestartet. Dies wird vorzugsweise so gelöst, daß der entsprechende Programmabschnitt eine Routine aktiviert, welche einen Zähler setzt, der seinerseits durch den Systemtakt oder dessen Vielfaches decrementiert wird. Um einen größeren Zeitabschnitt, beispielsweise in der Größenordnung von 10 sec, zu überwachen werden mehrere Zähler kaskadiert. Erreicht nun innerhalb des kritischen Zeitabschnittes die vierte Crypto-Mitteilung von der Datenzentrale die Frankier maschine, wird der Zähler deaktiviert. Bleibt diese letzte Crypto-Mitteilung hingegen aus wird der gesetzte Zähler weiter decrementiert. Beim Nulldurchgang des Zählers wird ein Programmunterbrechungssignal (Inter rupt) ausgelöst. Dieses Signal veranlaßt den Aufruf eines speziellen Unterprogrammes, welches eine erneute Transaktion vorbereitet und auslöst. Bestandteil dieser erneuten Transaktion ist wieder die Übermittlung der Postregisterinhalte. Eine in der Datenzentrale statt findende Konsistenzprüfung führt dann zum Ergebnis, daß eine unvollendete Transaktion im Sondermodus negative Fernwertvorgabe vorausging. Die inkonsistenten Daten sätze werden korrigiert und die negative Fernwertvor gabe wird vollendet.

Eine weitere Variante der Erfindung ergibt sich, wenn statt eines decrementalen Zählers ein incrementaler verwandt wird. Dabei muß nach jedem Zähltakt der Vergleich mit der Zahl durchgeführt werden, die dem überwachten Zeitabschnitt entspricht.

Ein Überschreiten der Zeit t1 ist ein sicheres Indiz für eine mißglückte Übertragung und bewirkt den Aufruf eines speziellen Unterprogramms, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst. Die erste und zweite Transaktion werden in diesem Fall automatisch mit Schlüssel Kn+2 wiederholt.

Nach erfolgreicher Abfrage bzw. Verifizierung im fünf ten Schritt der zweiten Transaktion wird der über tragene zweite Schlüssel Kn+2_Cv+3 und der Vorgabewert in der Frankiermaschine entsprechend zum Descending- Registerwert R1 addiert und das resultierende Guthaben gespeichert oder andernfalls bei Nichtverifizierung oder Zeitüberschreitung wird zum ersten Schritt der ersten Transaktion zurückverzweigt.

Der fünfte Schritt der zweiten Transaktion schließt einen Subschritt (620) der Frankiermaschine zum Rücksetzen des vorgenannten Sonder-Flags N bzw. zur Rückkehr in den Normalmodus der Frankiermaschine ein, wodurch das vorgenannte automatische Transaktions ersuchen wieder aufgehoben wird, wenn die Durchführung der zweiten Transaktion vollendet worden ist.

Der anwesende Service-Techniker sichert den weiteren störungsfreien Ablauf bis zur Vollendung der negativen Fernwertvorgabe.

Ist die Vollendung aufgrund einer längeren bzw. ständi gen Unterbrechung der Verbindung zwischen Frankier maschine und Datenzentrale nicht möglich, muß der Service-Techniker die Frankiermaschine in das Dealer- Büro mitnehmen und von dort die Vollendung weiter betreiben. Anderenfalls würde sich ein Guthaben in der Frankiermaschine ergeben, welches nach Information in der Datenzentrale bereits als rückübertragen gilt. Die erfolgreiche Vollendung der negativen Fernwertvorgabe, d. h. der Fonds-Rückübertragung, ist durch eine Abfrage der Registerstände R1 = 0 bzw. R2 = R3 und R3 = R2 + R1 überprüfbar.

Die Frankiermaschine kann der Datenzentrale Register werte beispielsweise vor einer Nachladung mit einem NULL-Vorgabewert übermitteln. Dabei sind:
R1 (descending register) vorrätige Restbetrag in der Frankiermaschine,
R2 (ascending register) Verbrauchssummenbetrag in der Frankiermaschine,
R3 (total resetting) die bisherige Gesamtvor gabesumme aller Fernwertvorgaben,
R4 (piece count Σprinting with value ≠ 0) Anzahl gültiger Drucke,
R8 (R4 + piece count Σprinting with value =0) An zahl aller Drucke.

Bei jeder Fernwertvorgabe läßt sich mindestens R1 abfragen und statistisch auswerten.

Seitens der Datenzentrale wird am Tages-Ende über die Gültigkeit der Fondsrückübertragung im Ergebnis des Sondermodus negative Fernwertvorgabe entschieden. Wenn vom Service-Techniker kein Vorkommnis gemeldet wird, daß beispielsweise die negative Fernwertvorgabe nicht durchführbar war, bzw. wenn von derselben Frankier maschine keine Anforderung zum Nachladen eines positi ven Guthabens erfolgt, wird die Gültigkeit voraus gesetzt.

Das bei Eintritt in den Sondermodus negative Fernwert vorgabe gesetzte Sonder-Flag N wurde bei erfolgreicher Transaktion zurückgesetzt. Die Frankiermaschine verhin dert alle Frankierungen mit Werten größer Null, weil kein mehr Guthaben geladen ist. Die Frankiermaschine ist weiterhin für Frankierungen mit Werten gleich Null und andere Betriebsarten betriebsbereit, solange diese kein Guthaben erfordern bzw. solange damit kein Porto frankiert und die Stückzahlgrenze nicht erreicht wird.

Entweder wird, wie bei der einen Variante, durch den vorbestimmten Seiteneinstieg eine Auslösung der Transaktionen im Sondermodus bewirkt oder es ist in einer anderen Variante mindestens ein manueller Schritt 302 im Sondermodus negative Fernwertvorgabe nach einem Seiteneinstieg zur Eingabe einer Identifizierungsnummer (PIN) und zur Eingabe des vorbestimmten Vorgabewunsches wie bei der positiven Fernwertvorgabe vorgesehen, welche im Schritt 303 abgefragt wird. Durch einen zusätzlichen manuellen Schritt zur zeitlich befristeten Eingabe, welche im Schritt 603 abgefragt wird, erfolgt eine Auslösung der zweiten Transaktion und ein Verlassen bzw. die Wiederholung der ersten Transaktion im Kommunikationsmodus bzw. im Sondermodus, wenn die Eingabezeit überschritten ist. Vorzugsweise muß die T- Taste innerhalb von 30 sec betätigt werden oder die Eingabezeit ist überschritten.

Es ist weiterhin eine Anzahl an Varianten mit unter schiedlichen Sicherheitsniveau realisierbar. So kann in der Datenzentrale eine Prüfung auf Übermittlung eines vorbestimmten Vorgabewunsches durchgeführt werden. Im einfachsten Fall muß der Vorgabewunsch - analog dem im Anzeigemodus 215 abfragbaren im Descending-Register noch vorrätigen Restbetrag R1 - eingegeben und zur Datenzentrale übermittelt werden. Da zur Datenzentrale automatisch bei jeder Transaktion die Postregisterinhalte, mindestens aber R1 übermittelt werden, wird eine negative Fernwertvorgabe zur Fonds rückübertragung bei Übereinstimmung des Vorgabebetrages mit dem Restbetrag erzielt.

In einer zweiten Variante wird mit der Datenzentrale ein beliebiger Vorgabewunsch als Code vereinbart. Vorzugsweise wird ein NULL-Vorgabewunsch vereinbart. Wird nun innerhalb einer bestimmten Zeit nach der Vereinbarung der Sondermodus negative Fernwertvorgabe aufgerufen und der NULL-Vorgabewunsch eingegeben bzw. als Vorgabewunsch bestätigt, wird in der Frankier maschine automatisch der Restbetrag R1 auf NULL zurückgesetzt. Eine entsprechender Abfrageschritt 219 nach einem solchen weiteren spezifischen Kriterium für die Frankiermaschine wurde in der Fig. 2 gestrichelt dargestellt. Von diesem wird auf den Schritt 220 zum Setzen des Sonder-Flags N verzweigt. In weiterer Ausgestaltung kann die Bedienung vereinfacht werden, wenn eine NULL-Fernwertvorgabe als letzte Transaktion bereits erfolgte. Dann ist lediglich noch die Bedienungshandlung für den Seiteneinstieg vorzunehmen, um die negative Fernwertvorgabe vollautomatisch durchzuführen bzw. um einen NULL-Restwert R1 = 0 zu erreichen.

Durch ein Starten einer Zeitüberwachung ab dem Subschritt 613 der Absendung der dritten Crypto- Mitteilung an die Datenzentrale bis zum Empfang der vierten Crypto-Mitteilung seitens der Frankiermaschine wird eine Manipulation zeitlich beschränkt. Wenn die vierte Crypto-Mitteilung nicht innerhalb einer vorbestimmten Zeit t1 empfangen werden konnte, wird ein spezielles Unterprogramm aufgerufen, welches eine erneute Durchführung des Sondermodus negative Fern wertvorgabe vorbereitet und automatisch auslöst. Durch weitere Subschritte 615, 616, 301 zur automatischen Wiederaufnahme der Kommunikation nach Unterbrechung der Kommunikationsverbindung zwischen Datenzentrale und Frankiermaschine oder nach dem Aus- und Wieder einschalten der Frankiermaschine wird solange, wie das vorgenannte Sonder-Flag N gesetzt ist, die Kommunika tion weiter durchgeführt. Das als Transaktionsersuchen gewertete Sonder-Flag N ist nichtflüchtig und gegen Manipulation MAC-gesichert gespeichert. Erst nach Vollendung der Rückübertragung des Guthabens wird das Sonder-Flag N im Schritt 620 zurückgesetzt.

In einer dritten Variante wird die Sicherheit durch eine Kombination verschiedener Maßnahmen erhöht. Unabhängig von der Frankiermaschine wird eine erste Kommunikationsverbindung zwischen authorisierten Benutzer und der Datenzentrale zur Speicherung eines Codes für ein Anmelden einer autorisierten Handlung an der Frankiermaschine durch ein später übermittelten Vorgabewunsch hergestellt. Nun kann ein Einschalten der Frankiermaschine zur Vornahme eines autorisierten vorbestimmten Bedienablaufes erfolgen, um über einen Seiteneinstieg in einen Sondermodus negative Fernwert vorgabe einzutreten. Daraufhin wird eine zweite Kommunikationsverbindung zwischen Frankiermaschine und der Datenzentrale sowie Eingabe eines Vorgabewunsches hergestellt. In einer ersten Transaktion erfolgt ein unterscheidbares Anmelden bei der Datenzentrale, wenn der übermittelte Vorgabewunsch mit einem entsprechenden Code übereinstimmt. In der ersten Transaktion wird beispielsweise ein neues Codewort bzw. Sicherheits-Flag und/oder Bedienablauf zur Frankiermaschine übermittelt. Durch das Durchführen mindestens einer weiteren Transaktion und der automatischen Durchführung der vorgenannten Kommunikation werden die sicherheits relevanten Daten übertragen und deren Speicherung in der Frankiermaschine vollendet. Entsprechend des Vorgabewunsches wird der Vorgabewert im entsprechenden Speicher der Frankiermaschine und zwecks Überprüfung der Transaktion auch in einem entsprechenden Speicher der Datenzentrale zum Restguthaben addiert.

Anderenfalls ist eine Ausführung eines Schrittes 209 zur Löschung eines manipulationssicher gespeicherten Sicherheits-Flags X im Ergebnis mindestens einer unerlaubten Abweichung vom vorbestimmten Bedienablauf bzw. weil in die Frankiermaschine eingegriffen wurde, vorgesehen. Damit wird die Frankiermaschine in einen ersten Modus überführt, um sie damit für ein Frankieren (Frankiermodus 400) wirksam außer Betrieb zu setzen (Schritt 409), im Gegensatz zur authorisierten Handlung bzw. Eingriff.

Eine Übertragung eines gültigen Bedienablaufes von der Datenzentrale zur Frankiermaschine wird überflüssig, wenn der Bedienablauf zeitabhängig geändert wird. In der Datenzentrale und in der Frankiermaschine wird der gleiche Berechnungsalgorithmus verwendet, um einen aktuellen Bedienablauf zu ermitteln. Eine andere Variante geht von der Einspeicherung des aktuellen Bedienablaufes in die Frankiermaschine mittels eines speziellen Reset-E²PROMs durch den Service-Techniker aus.

Die Erfindung ist nicht auf die vorliegenden Aus führungsformen beschränkt. Vielmehr ist eine Anzahl von Varianten denkbar, welche von der dargestellten Lösung auch bei grundsätzlich anders gearteten Ausführungen Gebrauch machen.

Claims

1. Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung gegen Manipulation, mit einem Mikroprozessor in einer Steuereinheit der Frankiermaschine zur Ausführung von Schritten für eine Start- und Initialisierungsroutine und nachfolgender Systemroutine mit einer Möglichkeit in einen Kommunikationsmodus mit einer entfernten Datenzentrale einzutreten, um einen Guthabenwert zu laden oder an die Datenzentrale zurück zu übertragen sowie weiteren Eingabeschritten, um in einen Frankiermodus einzutreten von dem nach Ausführung einer Abrechnungs- und Druckroutine in die Systemroutine zurückverzweigt wird, gekennzeichnet durch die Schritte

- Einschalten der Frankiermaschine unter Vornahme eines autorisierten vorbestimmten Bedienablaufes, um über einen Seiteneinstieg in einen Sondermodus negative Fernwertvorgabe einzutreten,
- Überwachen der Arbeitsweise der Frankiermaschine mittels der Steuereinheit der Frankiermaschine, um fassend ein Unterscheiden zwischen autorisiertem Handeln und unautorisiertem Handeln (Manipulations absicht) in Verbindung mit Schritten für die Ausführung des Sondermodus einer negativen Fernwertvorgabe zur Rückübertragung eines Guthabenwerts in die Daten zentrale,
- Überführen der Frankiermaschine in einen Sondermodus zur negativen Fernwertvorgabe, wenn eine Anzahl spezi fischer Kriterien (217, 218, 219) erfüllt vorliegt, mit einem im Abfrageschritt (301) des Kommunikationsmodus als Transaktionsersuchen gewerteten Schritt (220), oder Überführen der Frankiermaschine in einen ersten Modus, um sie damit wirksam am Frankieren von Portowerten zu hindern (Schritte 209, 409), wenn der Bedienablauf keinem erlaubten vorbestimmten Bedienablauf entspricht, im Gegensatz zum autorisierten Handeln,
- Herstellen einer Kommunikationsverbindung,
- Durchführung einer Kommunikation zwischen Frankierma schine und Datenzentrale mindestens mit verschlüsselten Meldungen,
- Überwachen der Arbeitsweise der Frankiermaschine, umfassend ein Unterscheiden zwischen vollendeter und unvollendeter Durchführung des Sondermodus der negati ven Fernwertvorgabe, wobei bei unvollendeter Durch führung des Sondermodus der negativen Fernwertvorgabe mindestens ein weiterer Schritt zur automatischen Weiterführung der Kommunikation mittels weiterer Transaktionen vorgesehen ist, um die Rückübertragung zu vollenden, wenn die vorausgegangenen Schritte zur Ausführung einer negativen Fernwertvorgabe unterbrochen oder an die Frankiermaschine fehlerhaft verschlüsselte Daten übermittelt wurden.

2. Verfahren, nach Anspruch 1, dadurch ge kennzeichnet, daß eine vorbestimmte Tasten kombination für jede Frankiermaschine in der Datenzen trale gespeichert wird und nur der autorisierten Person (Service-Techniker) mitgeteilt wird, um einen vorbe stimmten Bedienablauf bei der Frankiermaschine zu erzielen und daß das vorgenannte spezifische Kriterium für den Sondermodus negative Fernwertvorgabe die Ver wendung der vorbestimmten Tastenkombination während des Einschaltens der Frankiermaschine (Seiteneinstieg) ist.

3. Verfahren, nach den Ansprüchen 1 bis 2, ge kennzeichnet, durch mindestens einen manuellen Schritt (302) im Sondermodus negative Fernwertvorgabe nach einem Seiteneinstieg zur Eingabe einer Identifizierungsnummer (PIN) und zur Eingabe des vorbestimmten Vorgabewunsches und/oder durch einen im ersten Abfrageschritt (602) der zweiten Transaktion abgefragtem manuellen Schritt zur zeitlich befristeten Eingabe zur Auslösung der zweiten Transaktion und zum Verlassen bzw. zur Wiederholung der ersten Transaktion im Kommunikationsmodus bzw. im Sondermodus, wenn die Eingabezeit überschritten ist.

4. Verfahren, nach den Ansprüchen 1 und 3, da durch gekennzeichnet, daß wenn ein spezifisches Kriterium erfüllt vorliegt, zur Überführung der Frankiermaschine in einen zweiten Modus ein Sleeping-Flag Z in einem Schritt (411) des Frankiermodus (400) und/oder zur Überführung in einen Sondermodus ein gegen Manipulation gesichertes Sonder-Flag N in einem Schritt (220) der Systemroutine (200) gesetzt wird, wobei das spezifische Kriterium für den Sondermodus negative Fernwertvorgabe mindestens die Verwendung der vorbestimmten Tastenkombination zum Seiteneinstieg in den Sondermodus während des Einschaltens der Frankiermaschine umfaßt,

- daß eine Kommunikation mit der Datenzentrale min destens zwei Transaktionen umfaßt, welche im Fehlerfall wiederholt durchlaufen werden, wobei nach Unterbrechung die Kommunikation automatisch erneut wieder aufgenommen und/oder solange durchgeführt wird, wie das vorgenannte Sonder-Flag N für den Sondermodus gesetzt ist, durch welches ein automatisches Transaktionsersuchen gestellt ist, um die Rückübertragung des Guthabens zu vollenden, wobei:
a) ein erster Schritt der ersten Transaktion Sub schritte (301 bis 308) der Frankiermaschine umfaßt, um die Verbindung aufzubauen, zur Kommunikation mit unver schlüsselten Daten und um mindestens Identifizierungs-, Transaktionstyp- und andere Daten zur Datenzentrale zu übertragen,
b) ein zweiter Schritt der ersten Transaktion Sub schritte (501 bis 506) der Datenzentrale umfaßt, zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine,
c) ein dritter Schritt der ersten Transaktion Sub schritte (309 bis 314) der Frankiermaschine umfaßt, zur Bildung einer ersten verschlüsselten Mitteilung Crypto cv mittels einem in der Frankiermaschine gespeicherten ersten Schlüssel Kn und zur Übertragung von verschlüs selten Daten zur Datenzentrale, umfassend mindestens den Vorgabewunsch, Identifizierungs- und Postregister- Daten,
d) ein vierter Schritt der ersten Transaktion Sub schritte (507 bis 511) der Datenzentrale umfaßt, zum Empfang und zur Decryptifizierung der ersten ver schlüsselten Mitteilung bzw. deren Prüfung auf Decryp tifizierbarkeit mittels eines in der Datenzentrale gespeicherten Schlüssels, zum Bilden eines zweiten Schlüssels Kn+1 entsprechend dem von der Frankier maschine benutzten Schlüssel, zum Bilden einer zweiten verschlüsselten Mitteilung crypto Cv+1, welche mindestens den vorgenannten zweiten Schlüssel Kn+1, die Identifizierungs- und die Transaktionsdaten enthält und zum Übertragen der zweiten verschlüsselten Mitteilung crypto Cv+1 zur Frankiermaschine,
e) ein fünfter Schritt der ersten Transaktion Sub schritte (315 bis 318) der Frankiermaschine umfaßt, zum Empfang und zur Decryptifizierung der zweiten ver schlüsselten Mitteilung, zum Extrahieren mindestens der Identifikationsdaten und des übertragenen zweiten Schlüssels Kn+1_Cv+1, sowie zum Verifizieren der empfan genen verschlüsselten Mitteilung anhand der extrahier ten Identifizierungsdaten, wobei bei Verifizierung der übertragene zweite Schlüssel Kn+1_Cv+1 und der Vorgabewunsch in der Frankiermaschine gespeichert wird oder andernfalls bei Nichtverifizierung zum ersten Schritt der ersten Transaktion zurückverzweigt wird, sowie wobei
f) ein erster Schritt der zweiten Transaktion Sub schritte (602 bis 608) der Frankiermaschine umfaßt, zur Kommunikation mit unverschlüsselten Daten, um die Ver bindung aufzubauen und um mindestens Identifizierungs- und Transaktionstyp-Daten zur Datenzentrale zu übertragen,
g) ein zweiter Schritt der zweiten Transaktion Sub schritte (701 bis 706) der Datenzentrale umfaßt, zum Empfang der Daten und zur Prüfung der Identifikation der Frankiermaschine sowie zur Übermittlung einer unverschlüsselten o.K.-Mitteilung zur Frankiermaschine,
h) ein dritter Schritt der zweiten Transaktion Sub schritte (609 bis 614) der Frankiermaschine umfaßt, zur Bildung einer dritten verschlüsselten Mitteilung crypto cv+2 mittels des vorgenannten in der Frankiermaschine gespeicherten zweiten Schlüssels Kn+1 und zur Übertragung der dritten verschlüsselten Mitteilung crypto cv+2 zur Datenzentrale, umfassend mindestens Identifizierungs- und Postregister-Daten, ohne einen Vorgabewert,
i) ein vierter Schritt der zweiten Transaktion Sub schritte (707 bis 711) der Datenzentrale umfaßt, zum Empfang und zur Decryptifizierung der dritten ver schlüsselten Mitteilung crypto Cv+2 bzw. deren Prüfung auf Decryptifizierbarkeit mittels eines in der Daten zentrale gespeicherten Schlüssels, zum Bilden eines dritten Schlüssels Kn+2 entsprechend dem von der Frankiermaschine benutzten Schlüssel, zum Bilden eines dritten Schlüssels Kn+2, welcher zur Frankiermaschine verschlüsselt übermittelt werden soll, zum Bilden einer vierten verschlüsselten Mitteilung crypto Cv+3, welche mindestens den vorgenannten dritten Schlüssel Kn+2, die Identifizierungs- und die Transaktionsdaten enthält und zum Übertragen der vierten verschlüsselten Mitteilung crypto Cv+3 zur Frankiermaschine,
j) ein fünfter Schritt der zweiten Transaktion Sub schritte (615 bis 618) der Frankiermaschine umfaßt, zum Empfang und zur Decryptifizierung der vierten ver schlüsselten Mitteilung, zum Extrahieren mindestens der Identifizierungsdaten und des übertragenen dritten Schlüssels Kn+2_Cv+3 sowie der Transaktionsdaten, sowie zum Verifizieren der empfangenen verschlüsselten Mitteilung anhand der extrahierten Identifizierungs daten, wobei bei Verifizierung der übertragene zweite Schlüssel Kn+2_Cv+3 und der Vorgabewert in der Frankiermaschine entsprechend zum Descending-Register wert R1 addiert und das resultierende Guthaben gespeichert wird oder andernfalls zum ersten Schritt der ersten Transaktion zurückverzweigt wird, und
k) der vierte Schritt der ersten Transaktion zum Speichern des Vorgabewunsches einen Subschritt (512) der Datenzentrale umfaßt, der auf den ersten Subschritt (701) des zweiten Schrittes der zweiten Transaktion verzweigt, um den ersten Schlüssel Kn als Vorgänger schlüssel und den zweiten Schlüssel Kn+1 als Nachfol gerschlüssel zu speichern,
l) der zweite Schritt der ersten Transaktion und der zweite Schritt der zweiten Transaktion Subschritte umfaßt, um bei fehlerhaften unverschlüsselten Mit teilungen (505) bzw. (705) über einen Subschritt (513) zur Fehlermeldung auf einen Ruhezustand (501) in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird,
m) der vierte Schritt der ersten Transaktion und der vierte Schritt der zweiten Transaktion Subschritte umfaßt, um bei unbehebbar fehlerhaften verschlüsselten Mitteilungen (509, 709) über einen Subschritt (513) zur Fehlermeldung auf einen Ruhezustand (501) in der Datenzentrale zu verzweigen, bis die Kommunikation seitens einer Frankiermaschine wieder aufgenommen wird, und um bei fehlerhaften verschlüsselten Mitteilungen (509, 709) mit behebbaren Fehler, auf einen Schritt (510, 710) zur Stornierung der vorherigen Transaktion und um danach auf den Subschritt (511, 711) in der Datenzentrale zu verzweigen, weiterhin Subschritte zum Bilden eines zweiten bzw. dritten Schlüssels Kn+1 bzw. Kn+2, der zur Frankiermaschine verschlüsselt übermit telt werden soll, zum Bilden einer zweiten bzw. vierten verschlüsselten Mitteilung crypto Cv+1 bzw. crypto Cv+3, und zum Übertragen der verschlüsselten Mitteilung zur Frankiermaschine,
n) der vierte Schritt der zweiten Transaktion zum Speichern des Vorgabewertes einen Subschritt (712) der Datenzentrale umfaßt, der auf den ersten Subschritt (501) des zweiten Schrittes der ersten Transaktion verzweigt, um den zweiten Schlüssel Kn+1 als Vorgänger schlüssel Kn-1 und den dritten Schlüssel Kn+2 als Nachfolgerschlüssel Kn für weitere erste und zweite Transaktionen zu speichern,
o) der fünfte Schritt der zweiten Transaktion einen Subschritt (620) der Frankiermaschine zum Rücksetzen des vorgenannten Sonder-Flags N bzw. zur Rückkehr in den Normalmodus der Frankiermaschine umfaßt, wodurch das vorgenannte automatische Transaktionsersuchen wieder aufgehoben wird.

5. Verfahren, nach den Ansprüchen 1 bis 4, ge kennzeichnet, durch ein Starten einer Zeit überwachung ab dem Subschritt (613) der Absendung der dritten Crypto-Mitteilung an die Datenzentrale bis zum Empfang der vierten Crypto-Mitteilung seitens der Fran kiermaschine, wobei wenn die vierte Crypto-Mitteilung nicht innerhalb einer vorbestimmten Zeit t1 empfangen werden konnte, ein spezielles Unterprogramms aufge rufen wird, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst sowie durch weitere Schritte (615, 616, 301) zur automatischen Wiederaufnahme der Kommunikation nach Unterbrechung der Kommunikationsver bindung zwischen Datenzentrale und Frankiermaschine oder nach dem Aus- und Wiedereinschalten der Frankiermaschine, wobei das als Transaktionsersuchen gewertete Sonder-Flag N nichtflüchtig und gegen Manipulation MAC-gesichert gespeichert ist und wobei solange, wie das vorgenannte Sonder-Flag N gesetzt ist, die Kommunikation weiter durchgeführt und wobei erst nach Vollendung der Rückübertragung des Guthabens das Sonder-Flag N (im Schritt 620) zurückgesetzt wird.

6. Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung gegen Manipulation, mit einem Mikroprozessor in einer Steuereinheit der Frankiermaschine zur Ausführung von Schritten für eine Start- und Initialisierungsroutine und nachfolgender Systemroutine mit einer Möglichkeit in einen Kommunikationsmodus mit einer entfernten Datenzentrale einzutreten, um einen Guthabenwert zu laden oder an die Datenzentrale zurück zu übertragen sowie weiteren Eingabeschritten, um in einen Frankiermodus einzutreten von dem nach Ausführung einer Abrechnungs- und Druckroutine in die Systemroutine zurückverzweigt wird, gekennzeichnet durch die Schritte

a) Herstellen einer ersten Kommunikationsverbindung zwischen authorisiertem Benutzer und der Datenzentrale und Speicherung eines Codes für ein Anmelden einer autorisierten Handlung an der Frankiermaschine durch einen später übermittelten Vorgabewunsch,
b) Einschalten der Frankiermaschine zur Vornahme eines autorisierten vorbestimmten Bedienablaufes, um über einen Seiteneinstieg in einen Sondermodus negative Fernwertvorgabe einzutreten,
c) Herstellen einer zweiten Kommunikationsverbindung zwischen Frankiermaschine und der Datenzentrale sowie Eingabe eines Vorgabewunsches, wobei nach Eintritt der Frankiermaschine in den Kommunikationsmodus (300) und nach Verbindungsaufnahme zu einer entfernten Daten zentrale eine erste Transaktion zur Einstellung eines Vorgabewunsches entsprechend dem restlichen rückzu übertragenen Guthabenwertes durchgeführt wird, wenn der Bedienablauf einem erlaubten vorbestimmten Bedienablauf entspricht, im Gegensatz zum unautorisierten Handeln, und wenn der zur Datenzentrale übermittelte Vorgabewert mit dem dort gespeicherten Code für den vorher vereinbarten vorbestimmten Vorgabewert übereinstimmt,
d) Durchführen mindestens einer weiteren Transaktion zur automatischen Durchführung der vorgenannten Kommunikation, um die sicherheitsrelevanten Daten zu übertragen und deren Speicherung in der Frankiermaschine zu vollenden oder
e) Ausführung eines Schrittes (209) zur Löschung eines manipulationssicher gespeicherten Sicherheits-Flags X im Ergebnis mindestens einer unerlaubten Abweichung vom vorbestimmten Bedienablauf bzw. weil in die Frankierma schine eingegriffen wurde, und Überführen der Frankiermaschine in einen ersten Modus, um sie damit für ein Frankieren (400) wirksam außer Betrieb zu setzen (Schritt 409), im Gegensatz zur authorisierten Handlung bzw. Eingriff.

7. Verfahren, nach Anspruch 6, dadurch ge kennzeichnet, daß nach dem Einschalten der Frankiermaschine bzw. nach dem Seiteneinstieg eine Start- und Initialisierungsroutine (101-105) durchlaufen und ein Beginnpunkt s einer Systemroutine (200) erreicht wird, innerhalb derer mindestens eine Abfrage von Kriterien für einzelne Modi erfolgt und ein Punkt e erreicht wird, nach welchem die Frankiermaschine in einen Kommunikationsmodus (300) eintreten kann und/oder dann mindestens auf einen Frankiermodus (400) verzweigt, in welchem ebenfalls Kriterien abgefragt werden sowie daß im Kommunikationsmodus (300) während der Kommunikation Transaktionen mit verschlüsselten Meldungen durchge führt werden, um mindestens einen Vorgabewunsch und/oder weitere aktuelle Daten in die Frankiermaschine zu laden.

8. Verfahren, nach den Ansprüchen 6 bis 7, da durch gekennzeichnet, daß vor dem Anmelden der autorisierten Handlung an der Frankier maschine eine Speicherung einer vorbestimmten Tasten kombination in der Datenzentrale vorgenommen wird, welche erforderlich ist, um einen vorbestimmten Bedienablauf zu erzielen, daß durch eine autorisierte Person (Service-Techniker) die Frankiermaschine unter Betätigung der vorbestimmten Tastenkombination zur Durchführung eines Sondermodus negative Fernwertvorgabe eingeschaltet wird, sowie daß die Kommunikation automatisch durchgeführt wird, um die Rückübertragung des Guthabens zu vollenden.

9. Verfahren, nach den Ansprüchen 6 bis 8, da durch gekennzeichnet, daß für ein Vereinbaren eines autorisierten Handelns bzw. Eingriffs an der Frankiermaschine eine Speicherung eines vorbe stimmten Codes in der Datenzentrale während einer ersten Kommunikation vorgenommen wird und daß beim Erkennen des Codes aus dem Vorgabewunsch in der Datenzentrale eine Transaktion zum Übermitteln eines zukünftigen vorbestimmten Bedienablaufes und/oder eines neuen Sicherheits-Flags X′ von der Datenzentrale zur Frankiermaschine während der vorgenannten zweiten Kommunikation mit verschlüsselten Meldungen, in Erwiderung auf das gestellte Gesuch entsprechend dem Code des Vorgabewunsches durchgeführt wird.

10. Verfahren, nach den Ansprüchen 6 bis 9, da durch gekennzeichnet, daß die Über führung der Frankiermaschine in den ersten Modus zum Verhindern des Frankierens folgende Schritte umfaßt:

- Durchführung einer Transaktion, die ein neues Sicherheits-Flag X′ umfaßt, welches von der entfernten Datenzentrale zur Frankiermaschine übermittelt wurde,
- Löschen des Sicherheits-Flag X, wenn in die Frankiermaschine eingegriffen und/oder wenn bei der negativen Fernwertvorgabe in betrügerischer Weise manipuliert wird,
- Weiterverwenden eines vorhandenen neuen Sicherheits- Flags X′ als gültiges Sicherheits-Flag X nach der Initialisierung (101-105) und
- laufende Abfrage im Schritt (409) zur Überprüfung des Vorhandenseins des gültigen Sicherheits-Flags X, während des Betriebes der Frankiermaschine vor einer Abrechnungs- und Druckroutine (406) innerhalb des Frankiermodus (400),
- Ausführung der Abrechnungs- und Druckroutine (406) oder bei Feststellung des Fehlens eines gültigen Sicherheits-Flags X im Schritt (409) bzw. für den Fall, daß kein neues gültiges Sicherheits-Flag X′ übermittelt wurde, Vornahme einer Verzweigung auf den Statistik- und Fehlerauswertungsmodus (213) und von dort auf den Anzeigemodus (215), wobei vorgenannte Schritte durch laufen werden, um die Aufrechterhaltung, Auswertung und Anzeige des vorgenannten ersten Modus zu sichern und um anschließend wieder zum Beginnpunkt s der Systemroutine (200) zurückzuverzweigen.

11. Verfahren, nach den Ansprüchen 6 bis 10, da durch gekennzeichnet, daß für den Fall, daß ein spezifisches Kriterium erfüllt ist, die Überführung der Frankiermaschine in den Sondermodus zur negativen Fernwertvorgabe durch Schritte (217 bis 220) erfolgt, die nach einem Beginnpunkt s der Systemroutine (200) und einem Schritt (201) zum Aufrufen aktueller Daten vor dem Punkt e ablaufen, umfassend:

- einen Schritt (217), um aus dem Vergleich mit den gespeicherten erlaubten Bedienabläufen einen verbotenen Seiteneinstieg zu ermitteln,
- einen Schritt (209), um bei einem verbotenen Seiten einstieg das Sicherheits-Flag X zu löschen und um die Frankiermaschine am Frankieren zu hindern,
- einen Schritt (218) zur Überprüfung des richtigen Seiteneinstieges durch Vergleich mit dem während einer Transaktion übermittelten Entscheidungskriterium und
- einen Schritt (219) zur Überprüfung mittels eines weiteren Entscheidungskriteriums und
- wobei die Schritte (218 und 219) bei Erfüllung des Entscheidungskriteriums auf einen Schritt (220) verzweigen, um ein Sonder-Flag N zu setzen und um über Punkt e automatisch in einen Kommunikationsmodus zur Kommunikation mit der Datenzentrale einzutreten, sowie - wobei anderenfalls bei Nichterfüllung des jeweiligen Entscheidungskriteriums auf den Punkt e verzweigt wird sowie daß auf den Frankiermodus oder andere Modi verzweigt wird, wenn die Prüfung (im Schritt 301) ergibt, daß kein Kommunikationsersuchen vorliegt.

12. Verfahren, nach Anspruch 7, dadurch ge kennzeichnet, daß die Überführung der Frankiermaschine in einen zweiten Modus, wenn ein spezifisches Kriterium erfüllt ist, durch Schritte (201 bis 203) erfolgt, die nach dem Beginnpunkt s der Systemroutine (200) und nach dem Schritt (201) zum Aufrufen aktueller Daten vor dem Punkt e ablaufen, welche umfassen:

- einen Schritt (202) zur Überprüfung der Daten mittels eines Entscheidungskriteriums und Eintritt bei Erfüllung des Kriteriums in den zweiten Modus (Schritt 203), um an den Benutzer der Frankiermaschine eine Warnung und Aufforderung zur Kommunikation mit der Datenzentrale abzugeben, wobei die Kommunikation mit verschlüsselten Meldungen vorgesehen ist, um eine Transaktion mit einer spezifischen Stückzahl S′ durchzuführen, welche von der entfernten Datenzentrale zur Frankiermaschine übermittelt wird.

13. Verfahren, nach Anspruch 12, dadurch ge kennzeichnet, daß bei Nichterfüllung eines weiteren Entscheidungskriteriums im Schritt (410), wenn die geladene Stückzahl verbraucht ist, im Schritt (411) ein Flag Z gesetzt wird, um den automatischen Eintritt in den Kommunikationsmodus (300) über den Punkt e auszuführen, um eine Transaktion der spezifischen Stückzahl S1 durchzuführen, welche von der entfernten Datenzentrale zur Frankiermaschine übermittelt wird.

14. Verfahren, nach Anspruch 13, dadurch ge kennzeichnet, daß der Schritt (203) für die Anzeige einer Warnung bzw. Schritt (411) für das Setzen eines Z-FLAG′s für ein Kommunikationsersuchen zusätz lich einen Subschritt zur Fehlerstatistik umfaßt sowie das Z-FLAG zurückgesetzt (211) wird indem eine Kommu nikation mit Übermitteln von Daten festgestellt wird.

15. Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen gegen Manipulation mit einem Mikro prozessor in einer Steuereinheit der Frankiermaschine zur Ausführung von Schritten für eine Start- und Initialisierungsroutine und nachfolgender Systemroutine mit einer Möglichkeit in einen Kommunikationsmodus mit einer entfernten Datenzentrale einzutreten, um einen Guthabenwert zu laden oder an die Datenzentrale zurück zu übertragen sowie weiteren Eingabeschritten, um in einen Frankiermodus einzutreten von dem nach Ausführung einer Abrechnungs-und Druckroutine in die Systemroutine zurückverzweigt wird, gekennzeichnet durch eine Kommunikation zwischen Frankiermaschine und Datenzentrale, umfassend mindestens verschlüsselte Meldungen,
durch ein Unterscheiden zwischen autorisiertem Handeln (Service-Techniker) und unautorisiertem Handeln (Manipulationsabsicht) mittels der Steuereinheit der Frankiermaschine in Verbindung mit Schritten für die Ausführung einer Fernwertvorgabe zur Übertragung eines Guthabenwerts in die Datenzentrale, wobei seitens der Frankiermaschine während einer ersten Transaktion ein Vorgabewunsch an die Datenzentrale übermittelt und nach einer zweiten Transaktion dort und in der Frankiermaschine ein entsprechender Vorgabewert zum Wert des Descending-Registers addiert und gespeichert wird sowie
durch ein Ausschalten und ein Wiedereinschalten der Frankiermaschine, wobei mit vorbestimmten Betäti gungsmitteln ein definierter Ablauf vorgenommen wurde, um eine weitere erste und zweite Transaktion durchzuführen und
wobei mittels der vorgenannten Steuereinheit geprüft wird, ob ein positiver Vorgabewunsch oder ob ein negativer Vorgabewunsch entsprechend des Betrages vom im Descending-Register gespeicherten Restguthabenwert ausgeführt werden soll,
durch ein Überwachen der Transaktionen, wobei seitens der Frankiermaschine geprüft wird, ob während der vorgenannten weiteren zweiten Transaktion ein vorbestimmter Zeitablauf eingehalten wurde, gegebenen falls weitere Schritte zur automatischen Weiterführung der Kommunikation ausgeführt werden, um die Übertragung zu vollenden, wenn die vorausgegangenen Schritte zur Ausführung einer negativen Fernwertvorgabe unterbrochen oder wenn an die Frankiermaschine fehlerhafte verschlüsselte Daten übermittelt wurden.

16. Verfahren, nach Anspruch 15, dadurch ge kennzeichnet, daß während der Kommunika tion Transaktionen mit verschlüsselten Meldungen durch geführt werden, um mindestens einen Guthabennachlade wert und/oder weitere aktuelle Daten in die Frankierma schine zu laden.

17. Verfahren, nach den Ansprüchen 15 bis 16, da durch gekennzeichnet, daß eine während der Kommunikation mit verschlüsselten Meldungen durchgeführte erste Transaktion einen Vorgabewunsch für einen Vorgabewert zum Guthabennachladen umfaßt, welcher der entfernten Datenzentrale übermittelt wird und daß eine während der Kommunikation mit verschlüsselten Meldungen durchgeführte zweite Transaktion einen neuen Schlüssel und Identifikationsdaten umfaßt, welche der Frankiermaschine übermittelt werden.

18. Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen gegen Manipulation mit einem Mikro prozessor in einer Steuereinheit der Frankiermaschine zur Ausführung von Schritten für eine Start- und Initialisierungsroutine und nachfolgender Systemroutine mit einer Möglichkeit in einen Kommunikationsmodus mit einer entfernten Datenzentrale einzutreten, um einen Guthabenwert zu laden oder an die Datenzentrale zurück zu übertragen sowie weiteren Eingabeschritten, um in einen Frankiermodus einzutreten von dem nach Ausführung einer Abrechnungs-und Druckroutine in die Systemroutine zurückverzweigt wird, gekennzeichnet durch Unterscheiden zwischen nichtmanipuliertem und manipuliertem Betrieb einer Frankiermaschine mittels der Steuereinrichtung (6), indem während eines Betriebsmodus (290) eine Überwachung der Zeitdauer des Ablaufes von Programmen, Programmteilen bzw. sicher heitsrelevanter Routinen vorgenommen wird und durch einen nach Ablauf von Programmen, Programmteilen bzw. sicherheitsrelevanten Routinen anschließenden Vergleich der gemessenen Laufzeit mit einer vorgegebenen Laufzeit und/oder durch während einer Kommunikation im Kommunikationsmodus (300) vorgenommene Überwachung der Einhaltung eines bestimmten Zeitablaufes im Sondermodus negative Fernwertvorgabe, insbesondere der Zeitdauer vom Senden einer dritten verschlüsselten Mitteilung seitens der Frankiermaschine bis zum Empfang der von der Datenzentrale an die Frankiermaschine gesendeten vierten verschlüsselten Mitteilung in der Frankier maschine, welche bei Verifizierung ein Null-Setzen des Guthabenwerts aus löst.

19. Verfahren, nach Anspruch 18, dadurch ge kennzeichnet, daß ein decrementaler Zähler oder ein incrementaler Zähler verwendet wird, um ein Überschreiten der Zeit t1 im Sondermodus als ein sicheres Indiz für eine mißglückte Übertragung zu detektieren und daß ein spezielles Unterprogramm aufgerufen wird, welches eine erneute Durchführung des Sondermodus negative Fernwertvorgabe vorbereitet und automatisch auslöst, so daß die erste und zweite Transaktion automatisch wiederholt werden.

20. Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen bei der Guthabenübertragung gegen Manipulation, mit einem Mikroprozessor in einer Steuereinheit der Frankiermaschine zur Ausführung von Schritten für eine Start- und Initialisierungsroutine und nachfolgender Systemroutine mit einer Möglichkeit in einen Kommunikationsmodus mit einer entfernten Datenzentrale einzutreten, um einen Guthabenwert zu laden oder an die Datenzentrale zurück zu übertragen sowie weiteren Eingabeschritten, um in einen Frankiermodus einzutreten von dem nach Ausführung einer Abrechnungs- und Druckroutine in die Systemroutine zurückverzweigt wird, gekennzeichnet durch die Schritte

- Herstellen einer ersten Kommunikationsverbindung zwischen einer autorisierten Person und der Datenzen trale unabhängig von der Frankiermaschine zur Speicherung eines vorbestimmten Codes (Vorgabewert),
- Einschalten der Frankiermaschine,
- Anmelden einer autorisierten Handlung an der Fran kiermaschine, wenn der Vorgabewert dem vorbestimmten Code entspricht, wobei während einer ersten Transaktion die Speicherung einer vorbestimmten Tastenkombination in der Frankiermaschine erfolgt und/oder Anmelden des Eingriffs in die Frankiermaschine bei der Datenzen trale, wenn der Vorgabewert einem dafür vorbestimmten Code entspricht, wobei während einer ersten Transaktion die Speicherung eines neuen Sicherheits-Flags X in der Frankiermaschine erfolgt.
- Durchführung einer zweiten Transaktion zur Ver änderung des Restguthabens der Frankiermaschine.