WO2015003728A1 - Geldautomat - Google Patents

Geldautomat Download PDF

Info

Publication number
WO2015003728A1
WO2015003728A1 PCT/EP2013/064347 EP2013064347W WO2015003728A1 WO 2015003728 A1 WO2015003728 A1 WO 2015003728A1 EP 2013064347 W EP2013064347 W EP 2013064347W WO 2015003728 A1 WO2015003728 A1 WO 2015003728A1
Authority
WO
WIPO (PCT)
Prior art keywords
module
payout
security unit
release
atm
Prior art date
Application number
PCT/EP2013/064347
Other languages
English (en)
French (fr)
Inventor
Christian Lehner
Harald KIRCHTAG
Original Assignee
Keba Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Keba Ag filed Critical Keba Ag
Priority to PCT/EP2013/064347 priority Critical patent/WO2015003728A1/de
Publication of WO2015003728A1 publication Critical patent/WO2015003728A1/de

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/206Software aspects at ATMs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3827Use of message hashing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/202Depositing operations within ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/203Dispensing operations within ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/207Surveillance aspects at ATMs

Definitions

  • the invention relates to an ATM for paying out money to a customer. STATE OF THE ART
  • An ATM has a payout module, which can spend a requested by the customer amount of money to this.
  • the ATM comprises a communication module.
  • the communication module is for communicating with an auto-attendant, e.g. a bank host, furnished.
  • the ATM can also comprise a deposit module, which is set up to deposit a sum of money determined by the customer. The paid-in amount can be credited to the customer by the car center.
  • ATMs are a potential target for both unauthorized and unauthorized manipulation, both in terms of payment and deposit, with the objective of paying out or crediting funds to unauthorized persons.
  • payout When the payout is manipulated, an amount of money is made without authorization from the Auth Center, the bank host.
  • tampering may result in the booking of funds at the car center, the bank host, which has not been physically deposited at the ATM.
  • a change of the software is basically necessary for the ongoing maintenance of the software, for adjustments of the processes offered at the ATM as well as for the removal of recognized errors and weaknesses of the software components. In principle, this also creates a point of attack for fraudulent manipulations. In the course of such manipulation, a paid-out component of the ATM for unauthorized payment of money or an authorization center can be prompted for a credit for a deposit that has not actually been made, for example, by means of inserted software, manipulated application software or fictitious data.
  • an ATM for paying out money to a customer.
  • the ATM has a communication module and a payout module.
  • the communication module is set up to communicate with an authorization center to authorize a payout of an amount of money requested by the customer.
  • the payout module is set up to spend the amount of money requested by the customer.
  • the payment module is assigned a security unit which is used to verify a payment release sent by the authorization center and signed by means of a digital signature. is directed.
  • the security unit is adapted to prevent the payment of the money to the customer or is only the security unit suitable to initiate the payment of the money to the customer or allow. In particular, only the security unit is suitable to prevent the payment of the money to the customer.
  • the security unit stops disbursing the money in the event that there is no matching and validly signed disbursement release.
  • the disbursement release is suitable for substantiating the actual authorization of a disbursement of the requested money by the Autonegation Center.
  • the application software of the ATM can create a disbursement order which is sent to the disbursement module.
  • the disbursement order can contain not only the disbursement amount, but accompanying parameters such as the denomination desired by the customer or a list of which number of which banknotes should be issued.
  • the Authorization Center delivers the signed release of the total amount by means of the disbursement release, in particular without taking into account the denomination.
  • the security module then initiates or allows the payout module to execute the payout order if a matching payout release has the same payout amount and is appropriately audited by the security entity.
  • the security unit can, in the affirmative case, ascertain and check the authorship of the central office and the affiliation of the digital signature to the signed disbursement release.
  • the security unit can, in the affirmative case, ascertain and check the authorship of the central office and the affiliation of the digital signature to the signed disbursement release.
  • the security unit Only the security unit is set up to initiate or facilitate the payment of the money to the customer, that is, all control signals for the payout module are routed directly and directly from the security unit to the payout module without there being a possibility of manipulation (by other software components) , In particular, the tax lack or control signals for the payment of the security unit only and only corresponding to the content of the disbursement release generated or forwarded if the digital signature of the disbursement release was previously positively verified.
  • the security unit is assigned to the payment module in such a way or preceded by a signal that no software is arranged between the payment module and the security unit.
  • the control software or application of the ATM runs on another module of the ATM.
  • This other module of the ATM can also be referred to as a control module and can be integrated in the communication module or can integrate the communication module.
  • the control software provides for coordinated interaction of the functional units of the ATM while a transaction is being performed by a customer.
  • the end-to-end connection between the authorization center, in particular the bank host which posts the transaction to the banking and financial system, and the payout module which actually pays out the money is hedged.
  • the authorization center in particular the bank host which posts the transaction to the banking and financial system
  • the payout module which actually pays out the money
  • the conventional communication protocol used in the prior art between the ATM and the authorization center has to be changed only minimally, namely the addition of a digital signature.
  • the ATM can also be referred to as an ATM, ATM or cash dispenser.
  • the ATM is a technical device, which is suitable for cash withdrawal or in addition to the cash deposit with money and credit institutions, banks and savings banks.
  • the ATM can also be designed so that it allows the customer to withdraw cash from their own giro or credit card account even with foreign financial institutions in self-service account or deposit.
  • the digital signature is a cryptographic method in which a number or string is calculated for a message, here the payout order.
  • the digital signature allows their authorship and affiliation to the message to be verified by anyone.
  • Digital signatures are asymmetric crypto systems and thus use a key pair consisting of a private key and a public key.
  • the payout module is configured to pay out the money to the customer only if the payout release sent by the authorization center is positive and the digital signature of the signed payout release is valid.
  • the signed payout release includes a payout amount, the digital signature, a sequence counter, and a creation date of the payout release creation. The payout amount, the sequence counter and the creation time form the payout release.
  • the digital signature of the signed payout release is formed over the payout amount, the sequence counter, and the creation date of the payout release.
  • a hash value can also be calculated via the payout amount, the sequence counter and the creation time, wherein the digital signature is then formed in a second step via this calculated hash value.
  • the use of the hash value advantageously reduces the amount of data to be transmitted.
  • the safety unit has a verification unit, a first test unit and a second test unit.
  • the verification unit is set up to verify the digital signature of the disbursement release.
  • the first test unit is set up to test the sequence counter.
  • the second check unit for checking the time of creation in relation to a time of receipt of the signed payment release is set up at the ATM.
  • the payment module is preferably configured to pay out the money to the customer only if checking the sequence counter and checking the time of creation are positive and the digital signature of the payment release is valid.
  • the security unit preferably comprises a third checking unit, which is set up to check the amount paid out in relation to the amount of money requested by the customer. In particular, a verification of the detailed payment order of the application software with denomination and possibly further ren parameters with the total amount released by the authorization center in the signed payout release.
  • the payout module is then set up, for example via a corresponding release interface to the security module, to pay out the money to the customer only if checking the payout amount, checking the sequence counter and checking the creation time are positive and the digital signature of the payout release is valid. This ensures in particular that a signed payment release can not be used repeatedly or delayed together with fictitious payout orders for unauthorized payouts.
  • the security unit is integrated in the payout module.
  • This solution can also be termed an integrative solution because the associated security unit integrates directly into the payout module. This integrative solution is particularly secure due to its integration and the concomitant immediate exclusion of manipulation.
  • the security unit is integrated in the communication module. Even with this solution is to ensure that no software can be arranged between the security unit and the Ausieremodul, which could be influenced by manipulations of unauthorized persons.
  • the security unit is coupled between the communication module and the payout module.
  • the security unit can preferably represent a kind of partially transparent gateway, which allows the communication between the communication module and the payout module unhindered except for the commands for a payout and the commands for a payment, however, only permits, if a matching signed payment release of the authorization center the security module has been sent.
  • This configuration is particularly suitable for retrofitting a pre-existing service machine with a security unit, since in this case an adaptation of the payout module (including associated high testing and certification effort) is eliminated and adapted only the application software In addition to the normal payment order, it will also send the signed payout release via the interface to the payout module.
  • the plug-in SIM card can store the necessary verification key for the verification of the digital signature of the signed payment release.
  • the entire data and command communication between the communication module and the payment module is routed via the interlinked security unit.
  • the security unit is designed as a dedicated electronic component.
  • the security unit is in particular a secure element.
  • the security unit is designed as a computer program product.
  • the computer program product is adapted for execution on a program-controlled device.
  • the computer program product such as a computer program means, can be provided or supplied, for example, as a storage medium such as a memory card, USB stick, CD-ROM, DVD or also in the form of a downloadable file from a server in a network. This can be done, for example, in a wireless communication network by Transmission of a corresponding file with the computer program product or the computer program means done.
  • a data carrier with a stored computer program is proposed with instructions which form the computer program product when executed on a program-controlled device.
  • the security unit is tamper-protected.
  • tamper protection means a mechanical protection of the security unit against access and manipulation attempts as well as measures that lead to the automatic destruction of those parts of the security unit that may be of importance with regard to an analysis of the functioning or improper use.
  • other parts of the ATM can be specially protected. These other parts may include the ATM's control electronics, the currency validator, the cryptographic module, and the path or paths therebetween.
  • the security can be further increased.
  • the verification key is associated with the digital signature for verifying the signed payout release of the authorization center.
  • the signature key for creating the digital signature and the associated verification key are assigned to the authorization center and can form a digital certificate, which is preferably provided by a trust center (Trusted Third Party).
  • a trust center Trusted Third Party
  • the ATM has a deposit module for depositing a sum of money determined by the customer.
  • the security unit has a signature unit.
  • the signature unit is set up to sign a deposit confirmation to be transmitted to the authorization center by means of a digital signature.
  • the deposit confirmation confirms the deposit of the specified amount of money.
  • the manipulation-endangered application software of the machine or a malware introduced at the machine can not fabricate a deposit confirmation because such can only be created and signed by the payment unit that received, counted and checked the money, or from its assigned security unit. Consequently, the security of the overall system increases.
  • the signature key is associated with the digital signature for signing the deposit confirmation of the security unit.
  • the signature key is in this case assigned to the security unit and can for example also be stored and managed as part of the security unit. This is particularly advantageous if the security unit is designed, for example, as a plug-in SIM card.
  • the signature key of the digital signature for signing the deposit confirmation is associated with the ATM.
  • the signature key is associated with the ATM and can be delivered with the ATM. Consequently, then only the manufacturer of the ATM has influence on the signature key.
  • This embodiment is therefore particularly safe.
  • the respective unit for example security unit, verification unit and signature unit, can be implemented in terms of hardware and / or software technology or as a combination of the two.
  • the respective unit may be embodied as a device or as part of a device, for example as a computer or as a microprocessor.
  • the respective unit may be designed as a computer program product, as a function, as a routine, as a stand-alone process, as part of a program code and / or as an executable object.
  • the respective respective units can also be implemented in a plurality of separate processor cores within a common integrated circuit or can be implemented therein.
  • an ATM for depositing money by a customer.
  • This ATM has a deposit module and a communication module.
  • the deposit module is set up to deposit the amount of money transferred by the customer.
  • the communication module is set up to communicate with an authorization center for confirmation of the deposit by the deposit module.
  • the deposit module is assigned a security unit which is set up to sign a payment confirmation to be transmitted to the authorization center by means of a digital signature for confirming the deposit of the determined amount of money.
  • this ATM also has a payout module.
  • the payout module is set up to spend the amount of money requested by the customer.
  • the security unit has a verification unit which is set up to verify a payment release sent by the authorization center and signed by means of a digital signature.
  • an ATM for depositing and / or paying out money.
  • the ATM has a deposit module and / or a payout module.
  • the deposit module is set up to deposit money.
  • the payout module is set up to pay out money.
  • the deposit module and / or the payout module is assigned a security unit which is set up to sign a deposit confirmation by means of a digital signature and / or to verify a payout release signed by means of a digital signature.
  • Fig. 1 is a schematic block diagram of a first embodiment of an ATM
  • FIG. 2 shows a schematic structure of a signed payment release
  • Fig. 3 is a schematic block diagram of an embodiment of a
  • Fig. 4 is a schematic block diagram of a second embodiment of an ATM
  • Fig. 5 is a schematic block diagram of a third embodiment of an ATM.
  • Fig. 6 is a schematic block diagram of a fourth embodiment of an ATM.
  • Fig. 1 is a schematic block diagram of a first embodiment of an ATM 100 is shown.
  • the ATM 100 is set up to communicate with an authorization center 200.
  • the authorization center 200 is, for example, a server or host associated with a bank.
  • the ATM 100 For communication with the authorization center 200, the ATM 100 has a communication module 110, which is set up to authorize a payment of a sum of money requested by a customer.
  • the ATM 100 has a payout module 120 for issuing the amount of money requested by the customer.
  • the pay-out module 120 is assigned a security unit 130, which is used to verify an authorization center 200 sent and signed by a digital signature DS disbursement release AF (DS) is set up.
  • the security unit 130 is suitable for preventing the payment of the money to the customer, or is the security unit 130 only suitable for initiating the payment of the money to the customer. In particular, only the security unit 130 is suitable for preventing the payment of the money to the customer.
  • the security unit 130 stops paying out the money in the event that there is no matching and validly signed payout release.
  • the security unit 130 is arranged between the communication module 110 and the pay-out module 120.
  • the payout module 120 and the security unit 130 are arranged in a security cabinet 150 (safe).
  • the security unit 130 is thus tamper-protected and thus protected against manipulation or interference. Above all, it is not possible to manipulate the signal or data line for the transmission of the enable signal FS.
  • the security unit 130 is preferably designed as a dedicated electronic component, for example as a secure element.
  • the security unit 130 is arranged in the ATM 100 such that there is no software between the payment module 120 and the security unit 130. Because there is no software between the payout module 120 and the security unit 130, there is no possibility of manipulation for this purpose.
  • the payout module 120 may include its own controller (e.g., a microcontroller) whose functions are mapped in software. These are, however, software components which, compared with the actual operating software of the machine, are executed on independent hardware platforms (processors or microcontrollers together with memory) which, in contrast to the application software, are not subject to regular changes and, in particular, no remote maintenance using proprietary operating systems and software libraries. which have only simple, well-defined functions and connectivities and are specially designed and tested for their security.
  • controller e.g., a microcontroller
  • the security unit 130 may provide further information on the payout, such as the number and type (denomination) of the cash bill to be paid out. ne, additionally obtained directly from the controller or operating software of the machine (for example, depending on customer requirements and the filling of the cashboxes of the machine 100). The security unit 130 then checks whether the unsecured indication of the desired denomination agrees with the released total amount from the signed payout release and then performs the payout according to the desired denomination. Other (status) information and parameters that are exchanged between the communication module 110 and the pay-out module 120 and that are not subject to any special protection by the security unit 130 may also be used here. This information is preferably passed through the security unit 130.
  • the payment commands to the payment module 120 can be generated by the operating software (application software). are "intercepted" by the security unit 130 and forwarded to the payout module 120 only if there is simultaneously a validly certified payout release for the same total amount from the authorization center 200 (authorization center) Operating software simply blocked and thus prevented a payout.
  • a security unit 130 of this type can then also be an interface-compatible retrofit option for existing vending machines 100, without the payment unit 120 (payout module) whose software and hardware would have to be specially adapted for this purpose. It is simply integrated into the previously existing communication connection (eg a USB connection) between the communication module 110 (with the operating software) and the payout unit 120. Since the structurally compact security unit 130 is housed together with the payout module 120 in the security cabinet 150, the access to the previously unsecured data connection for the release signal FS is now secured and manipulation even after opening the machine housing is no longer accessible.
  • the digital signature verification key DS for verifying the signed payout grant AF (DS) is associated with the authorization center 200. The verification key may be provided to the ATM 100, for example, as part of a certificate of the authorization center 200.
  • the signed payment release AF can be the response of a charge-response procedure.
  • a withdrawal request AR is generated on the input of a customer for the payment of a certain amount of money and sent via the security unit 130 and the communication module 1 10 to the authorization center 200.
  • the requirement of the customer comes about through the control and the user interface.
  • the authorization center 200 generates the payment release AF in dependence on the received payment request AR and signs it by means of a digital signature DS for the output provision of the signed payment release AF (DS).
  • the payout module 120 After performing the challenge-response method, the payout module 120 will pay out the money to the customer only if the payout release AF sent by the authorization center 200 is positive and the digital signature DS of the signed payout release AF (DS) is valid. In the positive case, the security unit 130 then sends a release signal FS to the payment module (see FIG. 3).
  • Fig. 2 shows a schematic view of a signed payment release AF (DS).
  • the signed payment release AF (DS) comprises a payment release AF and the digital signature DS for the payment release AF.
  • the disbursement release AF comprises the disbursement amount AB, a sequence counter SZ and a creation time ET of the preparation of the disbursement release AF.
  • the digital signature DS of the signed payment release AF can be formed via the payout amount AB, via the sequence counter SZ and via the creation time ET of the preparation of the payout release AF. Furthermore, the digital signature DS can also be formed via a hash value, which is calculated from the payout amount AB, the sequence counter SZ and the time of creation ET.
  • FIG. 3 shows an embodiment of a security unit 130 for an ATM 100. The security unit 130 receives the signed payout release AF (DS) on the input side and, after a positive check on the output side, provides the release module 120 with an enable signal FS, which in particular comprises the amount of money to be paid out and a release information.
  • an enable signal FS which in particular comprises the amount of money to be paid out and a release information.
  • the exemplary embodiment of the security unit 130 of FIG. 3 has a verification unit 131, a first check unit 132, a second check unit 133, and a third check unit 134.
  • the verification unit 131 is suitable for verifying the digital signature DS of the signed payment release AF (DS).
  • the first checking unit 132 checks the sequence counter SZ.
  • the second check unit 133 checks the creation time ET in relation to a reception time of the signed payment release AF (DS) at the ATM 100. For example, if the two times are too far apart, the second check unit 133 provides a negative result.
  • the third check unit 134 checks the down payment amount AB.
  • the security unit 130 then outputs a positive enable signal FS for enabling the issuing of money to the customer to the payout module 120 when checking the payout amount AB, checking the sequence counter SZ and checking the creation time ET positive and the digital signature DS of the signed payout AF (DS) is valid.
  • the pay-out module 120 receives the release signal FS provided by the security unit 130, which includes the amount of money to be paid out and a release information, and outputs the money to the customer in dependence on the received release signal FS.
  • a second embodiment of an ATM 100 is shown.
  • the second embodiment of Fig. 4 differs from the first embodiment of Fig. 1 in that in Fig. 4, the safety unit 130 is integrated in the payout module 120.
  • the security unit 130 may be configured as a computer program product (software).
  • the microcontroller of the payout module 120 then executes this computer program product for verification of the payment release AF (DS) sent by the authorization center 200 and signed by the digital signature DS.
  • DS payment release AF
  • An embodiment of this is shown in FIG. 3. Consequently, the verification unit 131, the first test unit 132, the second test unit 133 and the third test unit 134 may also be implemented as software, which is then executed by the microcontroller of the pay-out module 120.
  • the payout module 120 and thus also the security unit 130 are arranged in the security cabinet 150, so that it is ensured that an external manipulation of the security unit 130 is impossible.
  • the third embodiment of the ATM 100 of FIG. 6 has a module 120, 140 which is suitable for both deposit and withdrawal.
  • this module comprises a pay-out module 120 and a single-number module 140.
  • two different communications with the authorization center 200 may be performed via the security unit 130.
  • a payment request AR can be generated.
  • the payment request AR is created by means of the operating software of the ATM 100 and possibly with the participation of the security module 130.
  • the payment request AR can be transmitted to the authorization center 200 via the security unit 130 and the communication module 110.
  • the Autósticiansdem 200 checks the withdrawal request AR and then generates after positive check a disbursement release AF in response to the received withdrawal request AR.
  • the payment is also booked accordingly - subject to the fact that no cancellation occurs due to a sudden defect in the delivery of banknotes at the machine).
  • the car-handling center 200 signs the payment release AF by means of a digital signature DS for the output-side provision of a signed payment release AF (DS).
  • the car-handling center 200 transmits the signed payment release AF (DS) to the communication module 1 10 of the ATM 100.
  • the communication module 110 forwards the received signed-out payment release AF (DS) to the security unit 130.
  • the security unit 130 has a verification unit 131, which is set up to verify the digital signature DS of the signed payment release AF (DS). Depending on this verification, the security unit 130 may, as described with reference to FIG. 3, generate an enabling signal FS and provide it to the module 120, 140.
  • the security unit 130 has a signature unit 135.
  • the signature unit 135 signs the deposit confirmation EB with a digital signature DS for the output-side provision of a signed deposit confirmation EB (DS).
  • the signed deposit confirmation EB (DS) is transmitted via the communication module 1 10 to the car ownership center 200.
  • FIG. 6 shows a schematic block diagram of a fourth exemplary embodiment of an ATM 100.
  • the cash machine 100 of FIG. 6 has a communication module 110, a deposit module 140 and a security unit 130 associated with the deposit module 140. If a customer pays a certain amount of money to the deposit module 140, this generates a deposit confirmation EB and sends it to the security unit 130 .
  • the security unit 130 signs the Payment confirmation EB with a digital signature DS for the output side of a signed payment confirmation EB (DS).
  • the signed deposit confirmation EB (DS) is transmitted to the authorization center 200 via the communication module 110.

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Es wird ein Geldautomat (100) zum Auszahlen von Geld an einen Kunden vorgeschlagen. Der Geldautomat (100) umfasst ein Kommunikationsmodul (110) zur Kommunikation mit einer Autorisierungszentrale (200) zur Autorisierung einer Auszahlung eines von dem Kunden angeforderten Geldbetrages und ein Auszahlmodul (120) zum Ausgeben des von dem Kunden angeforderten Geldbetrages. Dem Auszahlmodul ist eine Sicherheitseinheit (130) zugeordnet, die zum Verifizieren einer von der Autorisierungszentrale (200) gesendeten und mittels einer digitalen Signatur (DS) signierten Auszahlungsfreigabe (AF(DS)) eingerichtet ist, wobei die Sicherheitseinheit (130) dazu eingerichtet ist, das Auszahlen des Geldes an den Kunden zu unterbinden.

Description

TITEL
Geldautomat TECHNISCHES GEBIET
Die Erfindung betrifft einen Geldautomaten zum Auszahlen von Geld an einen Kunden. STAND DER TECHNIK
Ein Geldautomat weist ein Auszahlmodul auf, welches einen von dem Kunden angeforderten Geldbetrag an diesen ausgeben kann. Zur Autorisierung der Auszahlung des von dem Kunden angeforderten Geldbetrages umfasst der Geldautomat ein Kommunikationsmodul. Das Kommunikationsmodul ist zur Kommunikation mit einer Autonsierungszentrale, z.B. einem Bank-Host, eingerichtet. Des Weiteren kann der Geldautomat auch ein Einzahlmodul umfassen, welches zum Einzahlen eines von dem Kunden bestimmten Geldbetrages eingerichtet ist. Der eingezahlte Betrag kann dem Kunden durch die Autonsierungszentrale gutgeschrieben werden.
Sowohl bei der Einzahlung als auch bei der Auszahlung von Geld an einem Bankautomaten sind verschiedene Systemteile unterschiedlicher Institutionen beteiligt, welche im Zusammenspiel dann die Transaktion abwickeln. Bankautomaten sind sowohl bei der Auszahlung als auch bei der Einzahlung mögliches Angriffsziel für unbefugte Manipulationen mit der Zielsetzung, an Unberechtigte Geldbeträge auszuzahlen oder gutzuschreiben. Bei einer Manipulation der Auszahlung wird ein Geldbetrag ohne eine Autorisierung der Autonsierungszentrale, dem Bank-Host, vorgenommen. Bei einer Einzahlung kann es durch Manipulationen zur Buchung von Geldbeträgen an der Autonsierungszentrale, dem Bank-Host, kommen, welche physikalisch an dem Geldautomaten gar nicht einbezahlt worden sind.
Herkömmlicherweise kann die Kommunikation zwischen der Autonsierungszentrale und dem Geldautomaten kryptographisch gesichert werden, um Manipulationen auf diesem Kommunikationsweg praktisch auszuschließen. Die in der Regel PC- basierten Steuerungen der Geldautomaten werden darüber hinaus mit Firewalls und Virenscannern gegen Angriffe von außen abgesichert. Weiters werden die verwendeten Betriebssysteme und die benutzten Schnittstellen derart konfiguriert und deren Funktionen und Konnektivitäten eingeschränkt, so dass eine manipulative Nutzung möglichst erschwert ist.
Zur laufenden Wartung der Software, für Anpassungen der am Bankautomaten angebotenen Prozesse sowie zur Beseitigung erkannter Fehler und Schwächen der Softwarekomponenten ist jedoch eine Änderungsmöglichkeit der Software grundsätzlich notwendig. Dadurch entsteht prinzipiell auch ein Angriffspunkt für betrügerische Manipulationen. Im Zuge einer solchen Manipulation kann beispielsweise durch eingeschleuste Sch ad Software, durch manipulierte Applikationssoftware oder durch fingierte Daten eine Auszahlungskomponente des Geldautomaten zur nicht autorisier- ten Geldauszahlung oder eine Autorisierungszentrale zu einer Gutschrift für eine tatsächlich nicht geleistete Einzahlung veranlasst werden.
OFFENBARUNG DER ERFINDUNG Es ist eine Aufgabe der vorliegenden Erfindung, einen verbesserten Geldautomaten zu schaffen. Insbesondere ist es eine Aufgabe, einen gegen Manipulationen geschützten Geldautomaten bereitzustellen.
Die gestellten Aufgaben werden durch einen Geldautomaten mit den Merkmalen des Anspruchs 1 gelöst.
Demgemäß wird ein Geldautomat zum Auszahlen von Geld an einen Kunden vorgeschlagen. Der Geldautomat weist ein Kommunikationsmodul und ein Auszahlmodul auf. Das Kommunikationsmodul ist zur Kommunikation mit einer Autorisierungszent- rale zur Autorisierung einer Auszahlung eines von dem Kunden angeforderten Geldbetrages eingerichtet. Das Auszahlmodul ist zum Ausgeben des von dem Kunden angeforderten Geldbetrages eingerichtet. Ferner ist dem Auszahlmodul eine Sicherheitseinheit zugeordnet, die zum Verifizieren einer von der Autorisierungszentrale gesendeten und mittels einer digitalen Signatur signierten Auszahlungsfreigabe ein- gerichtet ist. Ferner ist die Sicherheitseinheit dazu geeignet, das Auszahlen des Geldes an den Kunden zu unterbinden bzw. ist einzig die Sicherheitseinheit dazu geeignet, das Auszahlen des Geldes an den Kunden zu veranlassen bzw. zu ermöglichen. Insbesondere ist einzig die Sicherheitseinheit dazu geeignet, das Auszahlen des Geldes an den Kunden zu unterbinden. Die Sicherheitseinheit unterbindet das Auszahlen des Geldes für den Fall, dass keine passende und gültig signierte Auszahlungsfreigabe vorliegt. Die Auszahlungsfreigabe ist dazu geeignet, die tatsächliche Autorisierung einer Auszahlung des angeforderten Geldes durch die Autonsierungszentrale zu belegen. In Abhängigkeit einer positiven Auszahlungsfreigabe kann die Applikationssoftware des Geldautomaten einen Auszahlungsauftrag erstellen, welcher an das Auszahlmodul gesendet wird. Der Auszahlungsauftrag kann nicht nur den Auszahlungsbetrag, sondern begleitende Parameter wie beispielsweise auch die vom Kunden gewünschte Stückelung beziehungsweise eine Aufstellung enthalten, welche Anzahl welcher Banknoten ausgegeben werden soll. Die Autorisierungszent- rale liefert mittels der Auszahlungsfreigabe die signierte Freigabe über den Gesamtbetrag, insbesondere ohne Berücksichtigung der Stückelung. Das Sicherheitsmodul veranlasst oder ermöglicht dann die Ausführung des Auszahlungsauftrages durch das Auszahlmodul, wenn eine dazu passende Auszahlungsfreigabe über denselben Auszahlungsbetrag vorliegt und von der Sicherheitseinheit entsprechend geprüft ist.
Durch die Verifizierung der digitalen Signatur der signierten Auszahlungsfreigabe kann die Sicherheitseinheit im positiven Fall die Urheberschaft der Autonsierungszentrale und die Zugehörigkeit der digitalen Signatur zu der signierten Auszahlungsfreigabe feststellen und prüfen. Ist demnach die Verifikation durch die Sicherheits- einheit positiv, ist für den Geldautomaten sichergestellt, dass die Auszahlungsfreigabe einen bestimmten Betrag tatsächlich von der Autonsierungszentrale kommt und nicht auf dem Pfad zwischen Autonsierungszentrale und dem Kommunikationsmodul von einem Dritten, insbesondere einem Unberechtigten, manipuliert worden ist. Einzig die Sicherheitseinheit ist dazu eingerichtet, das Auszahlen des Geldes an den Kunden zu veranlassen beziehungsweise zu ermöglichen, das heißt alle Steuersignale für das Auszahlmodul werden direkt und unmittelbar von der Sicherheitseinheit an der Auszahlmodul geleitet, ohne dass dazwischen eine Manipulationsmöglichkeit (durch andere Softwarekomponenten) besteht. Insbesondere werden die Steuerbe- fehle oder Steuersignale für die Auszahlung von der Sicherheitseinheit nur dann und nur korrespondierend zum Inhalt der Auszahlungsfreigabe generiert oder durchgeleitet, wenn die digitale Signatur der Auszahlungsfreigabe zuvor positiv verifiziert wurde.
Insbesondere ist die Sicherheitseinheit dem Auszahlmodul derart zugeordnet oder signaltechnisch vorgelagert, dass keine Software zwischen dem Auszahlmodul und der Sicherheitseinheit angeordnet ist. Somit fehlt es an einer softwaretechnischen Manipulationsmöglichkeit zwischen dem Auszahlmodul und der Sicherheitseinheit. Die Steuerungssoftware oder Applikation des Geldautomaten läuft auf einem anderen Modul des Geldautomaten. Dieses andere Modul des Geldautomaten kann auch als Steuerungsmodul bezeichnet werden und kann in dem Kommunikationsmodul integriert sein oder kann das Kommunikationsmodul integrieren. Die Steuerungssoftware sorgt für ein koordiniertes Zusammenwirken der funktionalen Einheiten des Geldautomaten während der Durchführung einer Transaktion bzw. eines Geschäftsfalles durch einen Kunden.
Folglich wird mit dem kryptographischen Mittel der digitalen Signatur die Ende-zuEnde-Verbindung zwischen der Autorisierungszentrale, insbesondere dem Bank- Host, welcher die Buchung ins Bank- und Finanzsystem einschleust, und dem Auszahlmodul, welches das Geld tatsächlich ausbezahlt, abgesichert. Bei einer Manipulation an einem Systemteil zwischen der Autorisierungszentrale und der Sicherheitseinheit wird kein Bargeld mehr ausbezahlt. Somit wird sichergestellt, dass eine solche Manipulation nicht zum Erfolg hat, dass einem Unberechtigten Bargeld ausbe- zahlt wird.
Vorteilhafterweise muss zur Verwirklichung der Erfindung das herkömmliche, gemäß dem bisherigen Stand der Technik verwendete Kommunikationsprotokoll zwischen dem Geldautomaten und der Autorisierungszentrale nur minimal geändert werden, nämlich um die Ergänzung einer digitalen Signatur.
Ferner verliert die herkömmlich notwendige Sicherheit des Gesamtsystems Geldautomat, inklusive Virenscanner und gehärteter Systeme, in Bezug auf die Geldausgabe deutlich an Bedeutung und kann damit einfacher und kostengünstiger realisiert werden. Dies betrifft sowohl die Entwicklung und Integration des Geldautomaten als auch dessen Service. Die Sicherheit der Gesamtlösung des hier vorgeschlagenen Geldautomaten steigt signifikant. Ferner können sich alternative Kommunikationswege, z.B. über Smartphones oder NFC-Geräte, trotz derer unsicherer Kommunikati- onskanäle etablieren, weil sie am Geldautomaten aufgrund der Verwendung der Sicherheitseinheit sicherer abgewickelt werden können.
Der Geldautomat kann auch als Bankautomat, Bankomat oder Geldausgabeautomat bezeichnet werden. Der Geldautomat ist dabei eine technische Einrichtung, welche zur Bargeldabhebung oder zusätzlich auch zur Bargeldeinzahlung bei Geld- und Kreditinstituten, Banken und Sparkassen geeignet ist. Der Geldautomat kann auch derart ausgestaltet sein, dass er dem Kunden ermöglicht, auch bei fremden Geldinstituten in Selbstbedienung Bargeld vom eigenen Giro- oder Kreditkarten konto abzuheben oder einzuzahlen.
Die digitale Signatur ist ein kryptographisches Verfahren, bei dem zu einer Nachricht, hier dem Auszahlungsauftrag, eine Zahl oder Zeichenfolge berechnet wird. Die digitale Signatur ermöglicht, dass ihre Urheberschaft und Zugehörigkeit zur Nachricht durch jeden geprüft werden können. Digitale Signaturen sind asymmetrische Krypto- Systeme und verwenden folglich ein Schlüsselpaar, das aus einem geheimen Signaturschlüssel (Private Key) und einem öffentlichen Verifikationsschlüssel (Public Key) besteht.
Bei einer Ausführungsform ist das Auszahlmodul dazu eingerichtet, das Geld an den Kunden nur dann auszuzahlen, wenn die von der Autorisierungszentrale gesendete Auszahlungsfreigabe positiv ist und die digitale Signatur der signierten Auszahlungsfreigabe gültig ist.
Im Gegensatz zur herkömmlichen Lösungen muss nicht nur eine Bedingung erfüllt sein, positive Auszahlungsfreigabe, sondern auch eine zweite Bedingung muss zusätzlich erfüllt sein, hier die Gültigkeit der digitalen Signatur. Bei einer weiteren Ausführungsform umfasst die signierte Auszahlungsfreigabe einen Auszahlungsbetrag, die digitale Signatur, einen Sequenzzähler und einen Erstellungszeitpunkt der Erstellung der Auszahlungsfreigabe. Dabei bilden der Auszahlungsbetrag, der Sequenzzähler und der Erstellungszeitpunkt die Auszahlungsfreigabe aus.
Bei einer weiteren Ausführungsform ist die digitale Signatur der signierten Auszahlungsfreigabe über den Auszahlungsbetrag, über den Sequenzzähler und über den Erstellungszeitpunkt der Erstellung der Auszahlungsfreigabe gebildet.
Alternativ kann auch in einem ersten Schritt ein Hashwert über den Auszahlungsbetrag, den Sequenzzähler und den Erstellungszeitpunkt berechnet werden, wobei dann in einem zweiten Schritt die digitale Signatur über diesen berechneten Hash- wert gebildet wird. Die Verwendung des Hashwertes reduziert vorteilhafterweise die zu übertragende Datenmenge.
Bei einer weiteren Ausführungsform weist die Sicherheitseinheit eine Verifizierungseinheit, eine erste Prüfeinheit und eine zweite Prüfeinheit auf. Die Verifizierungsein- heit ist zum Verifizieren der digitalen Signatur der Auszahlungsfreigabe eingerichtet. Die erste Prüfeinheit ist zum Prüfen des Sequenzzählers eingerichtet. Des Weiteren ist die zweite Prüfeinheit zum Prüfen des Erstellungszeitpunktes in Relation zu einem Empfangszeitpunkt der signierten Auszahlungsfreigabe an dem Geldautomaten eingerichtet.
Dabei ist das Auszahlmodul vorzugsweise dazu eingerichtet, das Geld an den Kunden nur dann auszuzahlen, wenn das Prüfen des Sequenzzählers und das Prüfen des Erstellungszeitpunktes positiv sind sowie die digitale Signatur der Auszahlungsfreigabe gültig ist.
Außerdem umfasst die Sicherheitseinheit vorzugsweise eine dritte Prüfeinheit, welche zum Prüfen des Auszahlungsbetrags in Relation zu dem von dem Kunden angeforderten Geldbetrag eingerichtet ist. Insbesondere wird eine Verifikation des detaillierten Auszahlungsauftrages der Applikationssoftware mit Stückelung und ggf. weite- ren Parametern mit dem von der Autorisierungszentrale freigegebenen Gesamtbetrag in der signierten Auszahlungsfreigabe durchgeführt.
Hierbei ist das Auszahlmodul dann dazu eingerichtet, beispielsweise über eine ent- sprechende Freigabeschnittstelle zum Sicherheitsmodul, das Geld an den Kunden nur dann auszuzahlen, wenn das Prüfen des Auszahlungsbetrages, das Prüfen des Sequenzzählers und das Prüfen des Erstellungszeitpunktes positiv sind sowie die digitale Signatur der Auszahlungsfreigabe gültig ist. Es ist damit insbesondere sichergestellt, dass eine signierte Auszahlungsfreigabe nicht mehrfach oder verzögert zusammen mit fingierten Auszahlungsaufträgen für nicht autorisierte Auszahlungen verwendet werden können.
Bei einer weiteren Ausführungsform ist die Sicherheitseinheit in dem Auszahlungsmodul integriert. Diese Lösung kann auch als integrative Lösung bezeichnet werden, da die zugeordnete Sicherheitseinheit direkt in dem Auszahlmodul integriert. Diese integrative Lösung ist aufgrund ihrer Integration und des damit einhergehenden unmittelbaren Ausschlusses von Manipulationen besonders sicher.
Bei einer weiteren Ausführungsform ist die Sicherheitseinheit in dem Kommunikati- onsmodul integriert. Auch bei dieser Lösung ist sicherzustellen, dass zwischen der Sicherheitseinheit und dem Auszahlmodul keine Software anordenbar ist, welche durch Manipulationen Unberechtigter beeinflussbar wäre.
Bei einer weiteren Ausführungsform ist die Sicherheitseinheit zwischen dem Kom- munikationsmodul und dem Auszahlmodul gekoppelt. Die Sicherheitseinheit kann dabei vorzugsweise eine Art teiltransparentes Gateway darstellen, das die Kommunikation zwischen dem Kommunikationsmodul und dem Auszahlmodul bis auf die Kommandos für eine Auszahlung ungehindert zulässt und die Kommandos für eine Auszahlung hingegen nur dann zulässt, wenn auch eine dazu passende signierte Auszahlungsfreigabe der Autorisierungszentrale an das Sicherheitsmodul gesendet wurde. Diese Konfiguration eignet sich insbesondere zur Nachrüstung eines vorbestehenden Dienstleistungsautomaten mit einer Sicherheitseinheit, da hierbei eine Anpassung des Auszahlmoduls (samt einher gehendem hohen Prüfungs- und Zertifizierungsaufwand) entfällt und nur die Applikationssoftware dahin gehend angepasst wird, dass sie zusätzlich zum normalen Auszahlungsauftrag auch die signierte Auszahlungsfreigabe über die Schnittstelle Richtung Auszahlmodul sendet.
Ebenso ist bei dieser Lösung sicherzustellen, dass zwischen der Sicherheitseinheit und dem Auszahlmodul keine veränderbare oder konfigurierbare Software anorden- bar ist, welche durch Manipulationen Unberechtigter beeinflussbar wäre.
Zur Kopplung der Sicherheitseinheit kann dabei eine Einsteck-SIM-Karte verwendet werden. Die Einsteck-SIM-Karte kann dabei den notwendigen Verifikationsschlüssel für die Verifikation der digitalen Signatur der signierten Auszahlungsfreigabe speichern.
Bei einer weiteren Ausführungsform ist die gesamte Daten- und Kommandokommunikation zwischen dem Kommunikationsmodul und dem Auszahlmodul über die zwi- schengekoppelte Sicherheitseinheit geführt.
Dadurch ist sichergestellt, dass alle Kommandos, die eine Auszahlung veranlassen oder wertmäßig beeinflussen können, von der Sicherheitseinheit abgefangen und nur beim Vorliegen einer dazu passenden Autorisierung weitergeleitet werden können. Es gibt damit keine weiteren, ungesicherten Schnittstellen zum Auszahlmodul, die Einfallstor für manipulative Eingriffe sein könnten.
Bei einer weiteren Ausführungsform ist die Sicherheitseinheit als ein dediziertes elektronisches Bauteil ausgebildet. Die Sicherheitseinheit ist insbesondere ein Secure Element.
Bei einer weiteren Ausführungsform ist die Sicherheitseinheit als ein Computerprogrammprodukt ausgebildet. Das Computerprogrammprodukt ist zur Ausführung auf einer programmgesteuerten Einrichtung eingerichtet. Das Computerprogrammpro- dukt wie ein Computerprogramm-Mittel kann beispielsweise als Speichermedium, wie Speicherkarte, USB-Stick, CD-ROM, DVD oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen.
Außerdem wird ein Datenträger mit einem gespeicherten Computerprogramm mit Befehlen vorgeschlagen, welche das Computerprogrammprodukt bei einer Durchführung auf einer programmgesteuerten Einrichtung ausbilden.
Bei einer weiteren Ausführungsform ist die Sicherheitseinheit tampergeschützt.
Tamperschutz bedeutet dabei insbesondere einen mechanischen Schutz der Sicher- heitseinheit gegen Zugriffe und Manipulationsversuche sowie Maßnahmen, die zur automatischen Zerstörung jener Teile der Sicherheitseinheit führen, die hinsichtlich einer Analyse der Funktionsweise oder einer missbräuchlichen Verwendung von Bedeutung sein können. Des Weiteren können auch andere Teile des Geldautomaten besonders geschützt werden. Diese anderen Teile können die Steuerungselektronik des Geldautomaten, den Geldvalidierer, das Kryptographiemodul und den Weg oder Wege dazwischen beinhalten. Wird zusätzlich der Geldvalidierer mit einer Signaturfunktion ausgestattet, so kann die Sicherheit weiter erhöht werden.
Bei einer weiteren Ausführungsform ist der Verifikationsschlüssel der digitalen Signa- tur zum Verifizieren der signierten Auszahlungsfreigabe der Autorisierungszentrale zugeordnet.
Insbesondere sind der Signaturschlüssel zur Erstellung der digitalen Signatur und der zugehörige Verifikationsschlüssel der Autorisierungszentrale zugeordnet und können ein digitales Zertifikat ausbilden, welches vorzugsweise von einem Trust Center (Trusted Third Party) bereitgestellt wird.
Bei einer weiteren Ausführungsform weist der Geldautomat ein Einzahlmodul zum Einzahlen eines von dem Kunden bestimmten Geldbetrages auf. Dabei hat die Si- cherheitseinheit eine Signatureinheit. Die Signatureinheit ist zum Signieren einer an die Autorisierungszentrale zu übertragenden Einzahlungsbestätigung mittels einer digitalen Signatur eingerichtet. Die Einzahlungsbestätigung bestätigt die Einzahlung des bestimmten Geldbetrags. Durch das Signieren der Einzahlbestätigung kann gegenüber der Autorisierungszent- rale der Nachweis erbracht werden, dass tatsächlich der Geldautomat, insbesondere die Sicherheitseinheit des Einzahlmoduls, der Urheber der Einzahlungsbestätigung ist und dass die Einzahlungsbestätigung auch dieser digitalen Signatur zugeordnet ist. Somit wird eine Manipulation der Einzahlungsbestätigung auf dem Weg zwischen dem Geldautomaten, insbesondere der Sicherheitseinheit, und der Autorisierungs- zentrale ausgeschlossen. Dadurch kann die manipulationsgefährdete Applikationssoftware des Automaten oder eine am Automaten eingeschleuste Schadsoftware keine Einzahlungsbestätigung fingieren, weil eine solche nur von der Einzahleinheit, die das Geld empfangen, gezählt und geprüft hat, bzw. von deren zugeordneter Sicherheitseinheit, erstellt und signiert werden kann. Folglich erhöht sich die Sicherheit des Gesamtsystems.
Bei einer weiteren Ausführungsform ist der Signaturschlüssel der digitalen Signatur zum Signieren der Einzahlungsbestätigung der Sicherheitseinheit zugeordnet.
Der Signaturschlüssel ist hierbei der Sicherheitseinheit zugeordnet und kann beispielsweise auch als Teil der Sicherheitseinheit gespeichert und verwaltet werden. Dies ist insbesondere dann von Vorteil, wenn die Sicherheitseinheit beispielsweise als eine Einsteck-SIM-Karte ausgebildet ist.
Bei einer weiteren Ausführungsform ist der Signaturschlüssel der digitalen Signatur zum Signieren der Einzahlungsbestätigung dem Geldautomaten zugeordnet. In dieser Ausführungsform ist der Signaturschlüssel dem Geldautomaten zugeordnet und kann mit dem Geldautomaten ausgeliefert werden. Folglich hat dann nur der Hersteller des Geldautomaten Einfluss auf den Signaturschlüssel. Diese Ausführungsform ist daher besonders sicher. Die jeweilige Einheit, zum Beispiel Sicherheitseinheit, Verifizierungseinheit und Signatureinheit, kann hardwaretechnisch und/oder auch softwaretechnisch oder als Kombination aus beidem implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer soft- waretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als eigenständiger Prozess, als Teil eines Programmcodes und/oder als ausführbares Objekt ausgebildet sein. Die genannten jeweiligen Einheiten können auch in mehreren eigenständigen Prozes- sorkernen innerhalb eines gemeinsamen integrierten Schaltkreises implementiert sein beziehungsweise in diesen zur Ausführung gelangen.
Gemäß einem weiteren Aspekt wird ein Geldautomat zum Einzahlen von Geld durch einen Kunden vorgeschlagen. Dieser Geldautomat hat ein Einzahlmodul und ein Kommunikationsmodul. Das Einzahlmodul ist zum Einzahlen des von dem Kunden übergebenen Geldbetrages eingerichtet. Das Kommunikationsmodul ist zur Kommunikation mit einer Autorisierungszentrale zur Bestätigung der Einzahlung durch das Einzahlmodul eingerichtet. Dabei ist dem Einzahlmodul eine Sicherheitseinheit zugeordnet, die zum Signieren einer an die Autorisierungszentrale zu übertragenden Ein- zahlungsbestätigung mittels einer digitalen Signatur zur Bestätigung der Einzahlung des bestimmten Geldbetrags eingerichtet ist.
Gemäß einer Weiterbildung hat dieser Geldautomat auch ein Auszahlmodul. Das Auszahlmodul ist zum Ausgeben des von dem Kunden angeforderten Geldbetrages eingerichtet. Dabei hat die Sicherheitseinheit eine Verifizierungseinheit, die zum Verifizieren einer von der Autorisierungszentrale gesendeten und mittels einer digitalen Signatur signierten Auszahlungsfreigabe eingerichtet ist.
Gemäß einem weiteren Aspekt wird ein Geldautomat zum Einzahlen und/oder Aus- zahlen von Geld vorgeschlagen. Der Geldautomat hat ein Einzahlmodul und/oder ein Auszahlmodul. Das Einzahlmodul ist zum Einzahlen von Geld eingerichtet. Das Auszahlmodul ist zum Auszahlen von Geld eingerichtet. Dem Einzahlmodul und/oder dem Auszahlmodul ist eine Sicherheitseinheit zugeordnet, die zum Signieren einer Einzahlungsbestätigung mittels einer digitalen Signatur und/oder zum Verifizieren einer mittels einer digitalen Signatur signierten Auszahlungsfreigabe eingerichtet ist.
Die Erfindung wird nachfolgend anhand der in den schematischen Figuren angegebenen Ausführungsbeispiele näher erläutert. Es zeigen: Fig. 1 ein schematisches Blockschaltbild eines ersten Ausführungsbeispiels eines Geldautomaten;
Fig. 2 einen schematischer Aufbau einer signierten Auszahlungsfreigabe;
Fig. 3 ein schematisches Blockschaltbild eines Ausführungsbeispiels einer
Sicherheitseinheit für einen Geldautomaten;
Fig. 4 ein schematisches Blockschaltbild eines zweiten Ausführungsbeispiels eines Geldautomaten;
Fig. 5 ein schematisches Blockschaltbild eines dritten Ausführungsbeispiels eines Geldautomaten; und
Fig. 6 ein schematisches Blockschaltbild eines vierten Ausführungsbeispiels eines Geldautomaten.
In allen Figuren sind gleiche bzw. funktionsgleiche Mittel und Einrichtungen - sofern nichts anderes angegeben - mit denselben Bezugszeichen versehen.
In Fig. 1 ist ein schematisches Blockschaltbild eines ersten Ausführungsbeispiels eines Geldautomaten 100 dargestellt.
Der Geldautomat 100 ist zur Kommunikation mit einer Autorisierungszentrale 200 eingerichtet. Die Autorisierungszentrale 200 ist beispielsweise ein einer Bank zugeordneter Server oder Host.
Zur Kommunikation mit der Autorisierungszentrale 200 weist der Geldautomat 100 ein Kommunikationsmodul 1 10 auf, welches zur Autorisierung einer Auszahlung ei- nes von einem Kunden angeforderten Geldbetrages eingerichtet ist.
Außerdem weist der Geldautomat 100 ein Auszahlmodul 120 zum Ausgeben des von dem Kunden angeforderten Geldbetrages auf. Dem Auszahlmodul 120 ist eine Sicherheitseinheit 130 zugeordnet, welche zum Verifizieren einer von der Autorisie- rungszentrale 200 gesendeten und mittels einer digitalen Signatur DS signierten Auszahlungsfreigabe AF(DS) eingerichtet ist. Ferner ist die Sicherheitseinheit 130 dazu geeignet, das Auszahlen des Geldes an den Kunden zu unterbinden bzw. ist einzig die Sicherheitseinheit 130 dazu geeignet, das Auszahlen des Geldes an den Kunden zu veranlassen bzw. zu ermöglichen. Insbesondere ist einzig die Sicherheitseinheit 130 dazu geeignet, das Auszahlen des Geldes an den Kunden zu unterbinden. Die Sicherheitseinheit 130 unterbindet das Auszahlen des Geldes für den Fall, dass keine passende und gültig signierte Auszahlungsfreigabe vorliegt. In dem Ausführungsbeispiel der Fig. 1 ist die Sicherheitseinheit 130 zwischen dem Kommunikationsmodul 1 10 und dem Auszahlmodul 120 angeordnet. Das Auszahlmodul 120 und die Sicherheitseinheit 130 sind in einem Wertschutzschrank 150 (Safe) angeordnet. Die Sicherheitseinheit 130 ist damit tamper-geschützt und damit gegen Manipulationen oder Eingriffe geschützt. Vor allem ist es nicht möglich, die Sig- nal- oder Datenleitung für die Übertragung des Freigabesignals FS zu manipulieren. Die Sicherheitseinheit 130 ist vorzugsweise als ein dediziertes elektronisches Bauteil, beispielsweise als ein Secure-Element, ausgebildet. Die Sicherheitseinheit 130 ist derart in dem Geldautomaten 100 angeordnet, dass zwischen dem Auszahlmodul 120 und der Sicherheitseinheit 130 keine Software ist. Dadurch, dass zwischen dem Auszahlmodul 120 und der Sicherheitseinheit 130 keine Software ist, gibt es hierzu auch keine Manipulationsmöglichkeit.
Das Auszahlmodul 120 kann eine eigene Steuerung (z.B. einen Microcontroller) aufweisen, deren Funktionen in Softwaremitteln abgebildet sind. Es handelt sich dabei aber um Softwaremittel, die gegenüber der eigentlichen Betriebssoftware des Automaten auf eigenständigen Hardwareplattformen (Prozessoren oder Microcontrollern samt Speicher) zur Ausführung kommen, die im Gegensatz zur Applikationssoftware keinen regelmäßigen Änderungen und insbesondere keiner Fernwartung unterliegen, die proprietäre Betriebssysteme und Softwarebibliotheken nutzen, die nur einfache, genau definierte Funktionen und Konnektivitäten aufweisen und hinsichtlich ihrer Sicherheit besonders ausgestaltet und geprüft sind.
Des Weiteren kann die Sicherheitseinheit 130 weitere Informationen zur Auszahlung, wie beispielsweise die Anzahl und Art (Stückelung) der auszuzahlenden Geldschei- ne, zusätzlich direkt von der Steuerung bzw. Betriebssoftware des Automaten erhalten (z.B. abhängig von Kundenwünschen und der Befüllung der Geldkassetten des Automaten 100). Die Sicherheitseinheit 130 prüft dann, ob die ungesicherte Angabe zur gewünschten Stückelung mit dem freigegebenen Gesamtbetrag aus der signier- ten Auszahlungsfreigabe übereinstimmt und führt dann die Auszahlung entsprechend der gewünschten Stückelung durch. Dabei können auch noch andere (Status- )lnformationen und Parameter, die zwischen dem Kommunikationsmodul 1 10 und dem Auszahlmodul 120 ausgetauscht werden und die keiner besonderen Absicherung durch die Sicherheitseinheit 130 unterliegen. Diese Informationen werden vor- zugsweise durch die Sicherheitseinheit 130 durchgeschleust.
Bei der Ausführungsform, bei der die Sicherheitseinheit 130 eine eigenständige Komponente zwischen Kommunikationsmodul 1 10 und Auszahlmodul 120 ist (gemäß Fig. 1 ), kann es so ablaufen, dass die Auszahlungsbefehle an das Auszahlmo- dul 120 von der Betriebssoftware (Applikationssoftware) generiert werden, von der Sicherheitseinheit 130 quasi„abgefangen" und nur dann an das Auszahlmodul 120 weitergeleitet werden, wenn gleichzeitig eine gültig zertifizierte Auszahlungsfreigabe über den selben Gesamtbetrag von der Autorisierungszentrale 200 (Autorisierungs- stelle) vorliegt. Ohne eine gültige und übereinstimmende Auszahlungsfreigabe AF werden die Auszahlungsbefehle der Betriebssoftware einfach blockiert und damit eine Auszahlung unterbunden.
Eine Sicherheitseinheit 130 dieser Art kann dann auch eine schnittstellenkompatible Nachrüstoption für bereits bestehende Automaten 100 sein, ohne dass dafür die Auszahlungseinheit 120 (Auszahlmodul), deren Soft- und Hardware speziell ange- passt werden müsste. Sie wird dazu einfach in die zuvor bestehende Kommunikationsverbindung (z.B. einer USB-Verbindung) zwischen Kommunikationsmodul 1 10 (mit der Betriebssoftware) und der Auszahlungseinheit 120 eingebunden. Da die baulich kompakte Sicherheitseinheit 130 gemeinsam mit dem Auszahlmodul 120 im Wertschutzschrank 150 untergebracht ist, ist der Zugriff auf die zuvor ungesicherte Datenverbindung für das Freigabesignal FS nunmehr gesichert und einer Manipulation selbst nach dem Öffnen des Automatengehäuses nicht mehr zugänglich. Der Verifikationsschlüssel der digitalen Signatur DS zum Verifizieren der signierten Auszahlungsfreigabe AF(DS) ist der Autorisierungszentrale 200 zugeordnet. Der Verifikationsschlüssel kann dem Geldautomaten 100 beispielsweise als Teil eines Zertifikates der Autorisierungszentrale 200 bereitgestellt werden.
Die signierte Auszahlungsfreigabe AF(DS) kann die Response (Antwort) eines Chal- lenge-Response-Verfahrens sein.
Beispielsweise wird auf die Eingabe eines Kunden zur Auszahlung eines bestimmten Geldbetrages eine Auszahlungsanforderung AR generiert und über die Sicherheitseinheit 130 und das Kommunikationsmodul 1 10 an die Autorisierungszentrale 200 gesendet. Die Anforderung des Kunden kommt über die Steuerung und das Benutzerinterface zustande. Die Autorisierungszentrale 200 generiert in Abhängigkeit der empfangenen Auszahlungsanforderung AR die Auszahlungsfreigabe AF und signiert diesen mittels einer digitalen Signatur DS zur ausgangsseitigen Bereitstellung der signierten Auszahlungsfreigabe AF(DS).
Nach Durchführung des Challenge-Response-Verfahrens wird das Auszahlmodul 120 das Geld an den Kunden nur dann auszahlen, wenn die von der Autorisierungs- zentrale 200 gesendete Auszahlungsfreigabe AF positiv ist und die digitale Signatur DS der signierten Auszahlungsfreigabe AF(DS) gültig ist. Im positiven Fall sendet die Sicherheitseinheit 130 dann ein Freischaltsignal FS an das Auszahlmodul (siehe hierzu Fig. 3). Fig. 2 zeigt eine schematische Ansicht einer signierten Auszahlungsfreigabe AF(DS). Die signierte Auszahlungsfreigabe AF(DS) umfasst eine Auszahlungsfreigabe AF und die digitale Signatur DS für die Auszahlungsfreigabe AF. Die Auszahlungsfreigabe AF umfasst den Auszahlungsbetrag AB, einen Sequenzzähler SZ und einen Erstellungszeitpunkt ET der Erstellung der Auszahlungsfreigabe AF.
Die digitale Signatur DS der signierten Auszahlungsfreigabe AF kann über den Auszahlungsbetrag AB, über den Sequenzzähler SZ und über den Erstellungszeitpunkt ET der Erstellung der Auszahlungsfreigabe AF gebildet werden. Ferner kann die digitale Signatur DS auch über einen Hashwert gebildet werden, welcher aus dem Auszahlungsbetrag AB, dem Sequenzzähler SZ und dem Erstellungszeitpunkt ET berechnet wird. In Fig. 3 ist eine Ausführungsform einer Sicherheitseinheit 130 für einen Geldautomaten 100 dargestellt. Die Sicherheitseinheit 130 empfängt eingangsseitig die signierte Auszahlungsfreigabe AF(DS) und stellt nach positiver Prüfung ausgangsseitig dem Auszahlmodul 120 ein Freischaltsignal FS bereit, welches insbesondere den auszuzahlenden Geldbetrag und eine Freigabeinformation umfasst.
Das Ausführungsbeispiel der Sicherheitseinheit 130 der Fig. 3 weist eine Verifizierungseinheit 131 , eine erste Prüfeinheit 132, eine zweite Prüfeinheit 133 und eine dritte Prüfeinheit 134 auf. Die Verifizierungseinheit 131 ist dazu geeignet, die digitale Signatur DS der signierten Auszahlungsfreigabe AF(DS) zu verifizieren. Die erste Prüfeinheit 132 prüft den Sequenzzähler SZ. Die zweite Prüfeinheit 133 prüft den Erstellungszeitpunkt ET in Relation zu einem Empfangszeitpunkt der signierten Auszahlungsfreigabe AF(DS) an dem Geldautomaten 100. Liegen beispielsweise die beiden Zeitpunkte zu weit auseinander, so stellt die zweite Prüfeinheit 133 ein negatives Ergebnis bereit. Die dritte Prüfungseinheit 134 prüft den Anzahlungsbetrag AB.
In der Ausführungsform der Fig. 3 gibt die Sicherheitseinheit 130 dann ein positives Freischaltsignal FS zum Freischalten der Ausgabe von Geld an den Kunden an das Auszahlmodul 120 aus, wenn das Prüfen des Auszahlungsbetrages AB, das Prüfen des Sequenzzählers SZ und das Prüfen des Erstellungszeitpunktes ET positiv sind sowie die digitale Signatur DS der signierten Auszahlungsfreigabe AF(DS) gültig ist.
Das Auszahlmodul 120 empfängt das von der Sicherheitseinheit 130 bereitgestellte Freischaltsignal FS, welches den auszuzahlenden Geldbetrag und eine Freigabeinformation beinhaltet, und gibt das Geld an den Kunden in Abhängigkeit des empfan- genen Freischaltsignals FS aus.
In Fig. 4 ist ein zweites Ausführungsbeispiel eines Geldautomaten 100 dargestellt. Das zweite Ausführungsbeispiel der Fig. 4 unterscheidet sich von dem ersten Ausführungsbeispiel der Fig. 1 dahingehend, dass in der Fig. 4 die Sicherheitseinheit 130 in dem Auszahlmodul 120 integriert ist. In dieser Ausführungsform kann die Sicherheitseinheit 130 als ein Computerprogrammprodukt (Software) ausgebildet sein. Der Microcontroller des Auszahlmoduls 120 führt dann dieses Computerprogrammprodukt zur Verifikation des von der Autorisierungszentrale 200 gesendeten und mit- tels der digitalen Signatur DS signierten Auszahlungsfreigabe AF(DS) aus. Ein Ausführungsbeispiel hierfür ist in der Fig. 3 dargestellt. Folglich können die Verifizierungseinheit 131 , die erste Prüfeinheit 132, die zweite Prüfeinheit 133 und die dritte Prüfeinheit 134 auch als Software ausgeführt sein, die dann von dem Mikrocontroller des Auszahlmoduls 120 ausgeführt wird.
In der Ausführungsform der Fig. 4 ist das Auszahlmodul 120 und damit auch die Sicherheitseinheit 130 in dem Wertschutzschrank 150 angeordnet, so dass sichergestellt ist, dass eine Manipulation von außen auf die Sicherheitseinheit 130 unmöglich ist.
In Fig. 5 ist ein drittes Ausführungsbeispiel eines Geldautomaten 100 dargestellt. Das dritte Ausführungsbeispiel des Geldautomaten 100 nach der Fig. 6 hat ein Modul 120, 140, welches sowohl zur Einzahlung als auch zur Auszahlung geeignet ist. Mit anderen Worten umfasst dieses Modul ein Auszahlmodul 120 sowie ein Einzahlmo- dul 140.
Hinsichtlich der Auszahlung und der Einzahlung können über die Sicherheitseinheit 130 zwei verschiedene Kommunikationen mit der Autorisierungszentrale 200 durchgeführt werden.
Im Folgenden werden diese zwei Kommunikationen im Detail erläutert: Kommunikation für die Auszahlung:
Falls ein Kunde die Auszahlung eines bestimmten Geldbetrages anfragt kann eine Auszahlungsanfrage AR generiert werden Die Auszahlungsanfrage AR wird mittels der Betriebssoftware des Geldautomaten 100 und gegebenenfalls unter Beteiligung des Sicherheitsmoduls 130 erstellt. Über die Sicherheitseinheit 130 und das Kommunikationsmodul 1 10 kann die Auszahlungsanfrage AR an die Autorisierungszentrale 200 übertragen werden. Die Autonsierungszentrale 200 prüft dann die Auszahlungsanfrage AR und generiert dann nach positiver Prüfung eine Auszahlungsfreigabe AF in Abhängigkeit von der empfangenen Auszahlungsanforderung AR. Weiters wird die Auszahlung insbeson- dere auch entsprechend verbucht - vorbehaltlich, dass keine Stornierung etwa wegen einem plötzlich auftretenden Defekt im Zuge der Ausgabe der Banknoten am Automaten auftritt). Ferner signiert die Autonsierungszentrale 200 die Auszahlungsfreigabe AF mittels einer digitalen Signatur DS zur ausgangsseitigen Bereitstellung einer signierten Auszahlungsfreigabe AF(DS). Die Autonsierungszentrale 200 über- trägt die signierte Auszahlungsfreigabe AF(DS) an das Kommunikationsmodul 1 10 des Geldautomaten 100. Das Kommunikationsmodul 1 10 leitet die empfangene signierte Auszahlungsfreigabe AF(DS) an die Sicherheitseinheit 130 weiter. Die Sicherheitseinheit 130 hat eine Verifizierungseinheit 131 , welche dazu eingerichtet ist, die digitale Signatur DS der signierten Auszahlungsfreigabe AF(DS) zu verifizieren. In Abhängigkeit dieser Verifikation kann die Sicherheitseinheit 130, wie in Bezug zu Fig. 3 beschrieben, ein Freischaltsignal FS generieren und dem Modul 120, 140 bereitstellen.
Kommunikation für die Einzahlung:
Zahlt ein Kunde einen bestimmten Geldbetrag an dem Einzahlmodul 140 ein, so generiert dieses eine Einzahlbestätigung EB (Informationen über den tatsächlich einbezahlten Geldbetrag) und schickt diese an die Sicherheitseinheit 130. Die Sicherheitseinheit 130 weist eine Signatureinheit 135 auf. Die Signatureinheit 135 signiert die Einzahlungsbestätigung EB mit einer digitalen Signatur DS zur ausgangsseitigen Bereitstellung einer signierten Einzahlungsbestätigung EB(DS). Die signierte Einzahlungsbestätigung EB(DS) wird über das Kommunikationsmodul 1 10 an die Autonsierungszentrale 200 übertragen.
In Fig. 6 ist ein schematisches Blockschaltbild eines vierten Ausführungsbeispiels eines Geldautomaten 100 dargestellt. Der Geldautomat 100 der Fig. 6 hat ein Kommunikationsmodul 1 10, ein Einzahlmodul 140 und ein dem Einzahlmodul 140 zugeordnetes Sicherheitseinheit 130. Zahlt ein Kunde einen bestimmten Geldbetrag an dem Einzahlmodul 140 ein, so generiert dieses eine Einzahlbestätigung EB und schickt diese an die Sicherheitseinheit 130. Die Sicherheitseinheit 130 signiert die Einzahlungsbestätigung EB mit einer digitalen Signatur DS zur ausgangsseitigen Bereitstellung einer signierten Einzahlungsbestätigung EB(DS). Die signierte Einzahlungsbestätigung EB(DS) wird über das Komnnunikationsnnodul 1 10 an die Autorisie- rungszentrale 200 übertragen.
Obwohl die vorliegende Erfindung vorstehend anhand der bevorzugten Ausführungsbeispiele beschrieben wurde, ist sie darauf nicht beschränkt, sondern auf vielfältige Art und Weise modifizierbar.
BEZUGSZEICHENLISTE
100 Geldautomat
1 10 Kommunikationsmodul
120 Auszahlmodul
130 Sicherheitseinheit
131 Verifizierungseinheit
132 erste Prüfeinheit
133 zweite Prüfeinheit
134 dritte Prüfeinheit
135 Signatureinheit
140 Einzahlmodul
150 Wertschutzschrank
200 Autorisierungszentrale
AF Auszahlungsfreigabe
AF(DS) signierte Auszahlungsfreigabe
AR Auszahlungsanforderung
AB Auszahlungsbetrag
DS digitale Signatur
EB Einzahlungsbestätigung
EB(DS) signierte Einzahlungsbestätigung
ET Erstellungszeitpunkt
FS Freigabesignal
SZ Sequenzzähler

Claims

ANSPRÜCHE
1 . Geldautomat (100) zum Auszahlen von Geld an einen Kunden, mit:
einem Kommunikationsmodul (1 10) zur Kommunikation mit einer Autorisie- rungszentrale (200) zur Autorisierung einer Auszahlung eines von dem Kunden angeforderten Geldbetrages, und
einem Auszahlmodul (120) zum Ausgeben des von dem Kunden angeforderten Geldbetrages, welchem eine Sicherheitseinheit (130) zugeordnet ist, die zum Verifizieren einer von der Autorisierungszentrale (200) gesendeten und mittels einer digitalen Signatur (DS) signierten Auszahlungsfreigabe (AF(DS)) eingerichtet ist, wobei die Sicherheitseinheit (130) dazu eingerichtet ist, das Auszahlen des Geldes an den Kunden zu unterbinden.
2. Geldautomat nach Anspruch 1 ,
dadurch gekennzeichnet,
dass das Auszahlmodul (120) dazu eingerichtet ist, das Geld an den Kunden nur dann auszuzahlen, wenn die von der Autorisierungszentrale (200) gesendete Auszahlungsfreigabe (AF) positiv ist und die digitale Signatur (DS) der signierten Auszahlungsfreigabe (AF(DS)) gültig ist.
3. Geldautomat nach Anspruch 1 oder 2,
dadurch gekennzeichnet,
dass die signierte Auszahlungsfreigabe (AF(DS)) einen Auszahlungsbetrag (AB), die digitale Signatur (DS), einen Sequenzzähler (SZ) und einen Erstellungszeitpunkt (ET) der Erstellung der Auszahlungsfreigabe (AF) beinhaltet.
4. Geldautomat nach Anspruch 3,
dadurch gekennzeichnet,
dass die digitale Signatur (DS) der signierten Auszahlungsfreigabe (AF(DS)) über den Auszahlungsbetrag (AB), über den Sequenzzähler (SZ) und über den Erstellungszeitpunkt (ET) der Erstellung der Auszahlungsfreigabe (AF) gebildet ist.
5. Geldautomat nach Anspruch 3 oder 4,
dadurch gekennzeichnet, dass die Sicherheitseinheit (130) aufweist:
eine Verifizierungseinheit (131 ) zum Verifizieren der digitalen Signatur (DS) der Auszahlungsfreigabe (AF),
eine erste Prüfeinheit (132) zum Prüfen des Sequenzzählers (SZ), und eine zweite Prüfeinheit (133) zum Prüfen des Erstellungszeitpunktes (ET) in
Relation zu einem Empfangszeitpunkt der signierten Auszahlungsfreigabe (AF(DS)) an dem Geldautomaten (100).
6. Geldautomat nach Anspruch 5,
dadurch gekennzeichnet,
dass das Auszahlmodul (120) dazu eingerichtet ist, das Geld an den Kunden nur dann auszuzahlen, wenn das Prüfen des Sequenzzählers (SZ) und das Prüfen des Erstellungszeitpunktes (ET) positiv sind sowie die digitale Signatur (DS) der signierten Auszahlungsfreigabe (AF(DS)) gültig ist.
7. Geldautomat nach einem der Ansprüche 1 bis 6,
dadurch gekennzeichnet,
dass die Sicherheitseinheit (130) in dem Auszahlungsmodul (120) integriert ist.
8. Geldautomat nach einem der Ansprüche 1 bis 6,
dadurch gekennzeichnet,
dass die Sicherheitseinheit (130) in dem Kommunikationsmodul (1 10) integriert ist.
9. Geldautomat nach einem der Ansprüche 1 bis 6,
dadurch gekennzeichnet,
dass die Sicherheitseinheit (130) zwischen dem Kommunikationsmodul (1 10) und dem Auszahlmodul (120) gekoppelt ist.
10. Geldautomat nach Anspruch 9,
dadurch gekennzeichnet,
dass die gesamte Daten- und Kommandokommunikation zwischen dem Kommunikationsmodul (1 10) und dem Auszahlmodul (120) über die zwischengekoppelte Sicherheitseinheit (130) geführt ist.
1 1 . Geldautomat nach einem der Ansprüche 1 bis 10,
dadurch gekennzeichnet,
dass die Sicherheitseinheit (130) als ein dediziertes elektronisches Bauteil, insbesondere als ein Secure Element, ausgebildet ist.
12. Geldautomat nach einem der Ansprüche 1 bis 10,
dadurch gekennzeichnet,
dass die Sicherheitseinheit (130) als ein Computerprogrammprodukt ausgebildet ist.
13. Geldautomat nach einem der Ansprüche 1 bis 12,
dadurch gekennzeichnet,
dass die Sicherheitseinheit (130) tampergeschützt ist.
14. Geldautomat nach einem der Ansprüche 1 bis 13,
dadurch gekennzeichnet,
dass der Verifikationsschlüssel der digitalen Signatur (DS) zum Verifizieren der signierten Auszahlungsfreigabe (AF(DS)) der Autonsierungszentrale (200) zugeordnet ist.
15. Geldautomat nach einem der Ansprüche 1 bis 14,
gekennzeichnet durch
ein Einzahlmodul (140) zum Einzahlen eines von dem Kunden bestimmten Geldbetrages, wobei die Sicherheitseinheit (130) eine Signatureinheit (135) zum Signieren einer an die Autonsierungszentrale (200) zu übertragenden Einzahlungsbestä- tigung (EB) mittels einer digitalen Signatur (DS) zur Bestätigung der Einzahlung des bestimmten Geldbetrags aufweist.
16. Geldautomat nach Anspruch 15,
dadurch gekennzeichnet,
dass der Signaturschlüssel der digitalen Signatur (DS) zum Signieren der Einzahlungsbestätigung (EB) der Sicherheitseinheit (130) oder dem Geldautomaten (100) zugeordnet ist.
PCT/EP2013/064347 2013-07-08 2013-07-08 Geldautomat WO2015003728A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/EP2013/064347 WO2015003728A1 (de) 2013-07-08 2013-07-08 Geldautomat

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2013/064347 WO2015003728A1 (de) 2013-07-08 2013-07-08 Geldautomat

Publications (1)

Publication Number Publication Date
WO2015003728A1 true WO2015003728A1 (de) 2015-01-15

Family

ID=48747576

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2013/064347 WO2015003728A1 (de) 2013-07-08 2013-07-08 Geldautomat

Country Status (1)

Country Link
WO (1) WO2015003728A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104933811A (zh) * 2015-05-13 2015-09-23 深圳怡化电脑股份有限公司 自动柜员机出钞设备控制方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999049425A1 (de) * 1998-03-23 1999-09-30 Wincor Nixdorf Gmbh & Co Kg Gerät und verfahren zur gesicherten ausgabe von wertscheinen
US7121460B1 (en) * 2002-07-16 2006-10-17 Diebold Self-Service Systems Division Of Diebold, Incorporated Automated banking machine component authentication system and method
EP2595124A1 (de) * 2011-11-17 2013-05-22 Praetors AG System zur Ausgabe von Bargeld oder anderen Wertgegenständen

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999049425A1 (de) * 1998-03-23 1999-09-30 Wincor Nixdorf Gmbh & Co Kg Gerät und verfahren zur gesicherten ausgabe von wertscheinen
US7121460B1 (en) * 2002-07-16 2006-10-17 Diebold Self-Service Systems Division Of Diebold, Incorporated Automated banking machine component authentication system and method
EP2595124A1 (de) * 2011-11-17 2013-05-22 Praetors AG System zur Ausgabe von Bargeld oder anderen Wertgegenständen

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104933811A (zh) * 2015-05-13 2015-09-23 深圳怡化电脑股份有限公司 自动柜员机出钞设备控制方法及装置

Similar Documents

Publication Publication Date Title
DE69225197T2 (de) Elektronisches Zahlungsverkehrsystem
CN103907142B (zh) 更新自动银行业务机的子系统的配置数据的系统和方法
DE102009034436A1 (de) Verfahren und System zum Bezahlen mit geldwerten Beträgen in Form elektronischer Datensätze
EP2602738A2 (de) Vorrichtung zum Schutz von Sicherheitstoken gegen Malware
EP2715684A1 (de) Elektronisches system zur raschen und sicheren abwicklung von transaktionen mit mobilen geräten
EP2713345A1 (de) Verfahren und System zur gesicherten Eingabe von Identifizierungsdaten für die Authentifizierung einer mittels eines Selbstbedienungsterminals durchgeführten Transaktion
AT512070A1 (de) Verfahren und vorrichtung zum durchführen von bargeldlosen zahlungen
DE112015006833T5 (de) Automatische Transaktionsvorrichtung und Steuerverfahren dafür
EP2561484A1 (de) Verfahren zur handhabung von elektronischen tickets
EP2689401B1 (de) Verfahren zum betreiben einer geldkassette mit kundenspezifischen schlüsseln
EP2481030B1 (de) Vorrichtung zur handhabung von wertscheinen
WO2016041843A1 (de) Verfahren und anordnung zur autorisierung einer aktion an einem selbstbedienungssystem
EP3254432B1 (de) Verfahren zur berechtigungsverwaltung in einer anordnung mit mehreren rechensystemen
EP1066607B1 (de) Gerät und verfahren zur gesicherten ausgabe von wertscheinen
WO2015003728A1 (de) Geldautomat
EP3699851B1 (de) Ableitung eines tokens mittels eines transaktions-bezogenen einmalschlüssels
EP1780684A1 (de) System und Verfahren zum Auszahlen von Bargeld
WO2015169803A1 (de) Verfahren zur geldauszahlung an einer automatischen auszahlungsstelle
EP3361436B1 (de) Verfahren zur freigabe einer transaktion
WO2019096489A1 (de) Verfahren und vorrichtung zur behandlung von authentizitätsbescheinigungen für entitäten, insbesondere von personenbezogenen, dienstbezogenen und/oder objektbezogenen digitalen zertifikaten
EP1310922B1 (de) Sicheres Welchseln von Wertscheinen oder Münzen in elektronische Werteinheiten am Geldeinzahlautomat
DE102006022315A1 (de) Anordnung und Verfahren zum Erstellen eines Frankierabdrucks
AT508388B1 (de) Verfahren zur auszahlung von spielgewinnen
DE102005045816A1 (de) Verfahren, Softwareprogrammprodukt und Vorrichtung zur Herstellung von Sicherheitsdokumenten
WO2019155254A1 (de) Vorrichtung, system und verfahren zur verarbeitung von virtuellen wertscheinen

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13734420

Country of ref document: EP

Kind code of ref document: A1

DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13734420

Country of ref document: EP

Kind code of ref document: A1