Vorrichtung und Verfahren zur geschützten Datenübermittlung

Beschreibung

[0001] Die Erfindung bezieht sich auf eine Vorrichtung und ein Verfahren zur geschützten Datenübermittlung, insbesondere zur geschützten Datenübermittlung von individuellen PIN-Werten für Zahlungskarten.

[0002] In der Regel verfügen Zahlungskarten, wie beispielsweise Kreditkarten oder Scheckkarten, über einen Magnetstreifen, auf dem ein Verifikationscode für eine Geheimnummer, die sogenannte PIN ("personal identification number") gespeichert ist, welche zur Identifikation des Karteninhabers dient und am Geldautomaten vom Karteninhaber eingegeben wird. Um mit einer Kreditkarte an einem Geldautomaten Bargeld abheben zu können, oder Zahlungen vornehmen zu können, ist die Kenntnis der jeweiligen PIN erforderlich. Die PIN schützt den berechtigten Karteninhaber für den Fall des Kartenverlustes vor dem Mißbrauch seiner Karte. Um diesen Schutz zu gewährleisten, ist es erforderlich, daß niemand außer dein Karteninhaber (auch kein Mitarbeiter der Kreditkartengesellschaft oder des Kartenausgebers) von der PIN Kenntnis erlangt.

[0003] Die PIN der meisten gängigen Kreditkarten werden in Computersystemen als Zufallszahlen generiert und den zu produzierenden Kreditkarten zugeordnet. Die Übermittlung der PIN an den Karteninhaber erfolgt in der Regel mittels eines sogenannten PIN-Briefes. Ein PIN-Brief besteht aus einer fest verklebten Hülle, auf der die Kartennummer der zugehörigen Kreditkarte, sowie (manchmal) die Adresse des Karteninhabers aufgedruckt ist. Im Inneren des PIN-Briefes befindet sich ein einzelnes Blatt auf dem die PIN aufgedruckt ist. Der PIN-Brief ist physikalisch so gestaltet, daß ein unbefugtes Lesen des PIN-Wertes ohne sichtbare Beschädigung des PIN-Briefes unmöglich ist. Beim Bedrucken (Personalisieren) des PIN-Briefes wird durch ein spezielles Druckverfahren sichergestellt, daß auch während des Druckvorganges niemals ein an der PIN-Briefproduktion beteiligter Mitarbeiter Kenntnis von den PIN-Werten erlangen kann. Auf diese Weise soll sichergestellt werden, daß niemand außer dem Karteninhaber selbst von dein Wert der PIN Kenntnis hat. Aufgrund der zufälligen Erzeugung der PIN ergibt sich der Nachteil, daß der Karteninhaber mit einem beliebigen PIN-Wert konfrontiert wird, den er sich im Gedächtnis behalten muß, was insbesondere bei Benutzern von mehreren verschiedenen Zahlungskarten ein Problem ist. Im Ergebnis ist der Karteninhaber oft unzufrieden mit seiner PIN und neigt dazu, sich die PIN-Werte irgendwo zu notieren, was wieder eine Gefahrenquelle für die mißbräuchliche Verwendung der Karte darstellt.

[0004] Eine Möglichkeit, die Erzeugung von zufälligen PIN-Werten zu vermeiden, liegt darin, den Kreditkartenantragsteller die Möglichkeit zur Bestimmung eines individuellen PIN-Wertes seiner Wahl anzubieten. Dadurch kann der Antragsteller einen für ihn einfach im Gedächtnis zu behaltenden Zahlenwert aus dem eigenen privaten Umfeld entnehmen und diesen als PIN-Wert für seine Kreditkarte definieren. Die Übermittlung des gewünschten PIN-Wertes vom Kartenantragsteller an den Kartenausgeber stellt jedoch ein hohes Sicherheitsrisiko dar, weshalb dieses Verfahren zur Erzeugung von individuell bestimmten PIN-Werten nur sehr selten angewendet wird. Dabei ist sowohl der Transport des PIN-Wertes (Post, Fax, Telefon) als auch die unumgängliche manuelle Eingabe (durch einen Mitarbeiter des Kartenausgebers) in das Computersystem des Kartenausgebers sehr riskant.

[0005] Die Aufgabe der vorliegenden Erfindung ist es, eine Vorrichtung und ein Verfahren anzugeben, wodurch es einem Karteninhaber ermöglicht wird, die PIN-Werte für seine Zahlkarte selbst zu bestimmen, ohne daß ein Sicherheitsrisiko bei der Übermittlung der PIN-Werte auftritt.

[0006] Die Aufgabe wird gelöst mit einer Vorrichtung nach Anspruch 1 und 2 und ein Verfahren nach Anspruch 3 und 4. Vorteilhalte Ausführungsformen sind in den Unteransprüchen gekennzeichnet.

[0007] Im Folgenden werden die bevorzugten Ausführungsformen der Erfindung beschrieben.

[0008] Eine erste Ausführungsform der Erfindung basiert auf dem Grundgedanken, daß die Kenntnis eines "echten" PIN-Wertes wertlos ist, wenn die dazugehörige Kartennummer (bzw. der Karteninhaber) nicht zugeordnet werden kann. Gemäß dieser Ausführungsform generiert der Kartenausgeber für jeden Kartenantragsteller - bzw. für jede zu vergebende Kartennummer - eine geheime Zuordnungsnummer. Die Generierung kann dabei als Zufallszahl oder durch Verschlüsselung der Kartennummer mit einem geheimen Schlüssel erfolgen. Dabei ist bei der Generierung der Zuordnungsnummer das selbe Maß an Datenschutzmaßnahmen wie bei der bisherigen Generierung von Zufalls-PIN-Werten anzuwenden, so daß niemand außer dem Kartenantragsteller von der Zuordnungsnummer Kenntnis erlangt. Die generierte Zuordnungsnummer wird zusammen mit der zugehörigen Kartennummer in eine Datenbank eingetragen. Die Zuordnungsnummer wird dem, Kartenantragsteller mittels eines (entsprechend modifizierten) "PIN-Briefes" mitgeteilt. Der Kartenantragsteller schreibt dann seinen Wunsch-PIN-Wert zusammen mit seiner Zuordnungsnummer auf ein Formular und sendet dieses anonym an den Kartenausgeber zurück. Bei Kartenausgeber wird die Zuordnungsnummer zusammen mit dem Wunsch-PIN-Wert in ein Computersystem eingegeben, das über die Zuordnungsnummer (und die Datenbank) die Zuordnung zwischen dem eingegebenen Wunsch-PIN-Wert und der eigentlichen Kartennummer herstellt. Ab diesem Moment kann der normale Ablauf zur Personalisierung von Zahlungskarten wieder einsetzen. Die Zuordnungsnummer kann beispielsweise dadurch gewonnen werden, daß die Kartennummer mit einem internen Schlüssel (nur dem EDV-System des Kartenausgebers bekannt) verschlüsselt wird. Das Resultat der Verschlüsselung dient als geheime Zuordnungsnummer. Das Computersystem des Kartenausgebers entschlüsselt die eingegebene Zuordnungsnummer mit dem internen Schlüssel und erhält somit die Kartennummer des Kartenantragstellers. Über die Kartennummer kann dann der übermittelte PIN-Wert der Kreditkarte zugeordnet werden. Sowohl für den Prozeß der Verschlüsselung der Kartennummer in Form einer geheimen Zuordnungsnummer, als auch für den der Entschlüsselung der eingegebenen Zuordnungsnummer ist der Einsatz einer Datenbank nicht erforderlich.

[0009] Diese Ausführungsform bietet hohe Sicherheit gegen die unberechtigte Zuordnung von PIN-Wert zu Kartennummer bzw. Kartenantragsteller und stellt nur geringe intellektuelle Anforderungen an den Kartenantragsteller.

[0010] Die zweite Ausführungsform beruht auf dem Grundgedanken, daß die Kenntnis des Resultates einer mathematischen Operation zwischen einem PIN-Wert und einem zweiten geheimen Operanden wertlos ist, wenn der Wert des zweiten Operanden unbekannt ist. Bei dieser Ausführungsform generiert der Kartenausgeber für jeden Kartenantragsteller - bzw. für jede zu vergebende Kartennummer - einen geheimen Zahlenwert (Operanden). Die Generierung kann dabei durch Verschlüsselung der Kartennummer mit einem internen Schlüssel (nur dem EDV-System des Kartenausgebers bekannt) oder als Zufallszahl erfolgen. Das Resultat der Verschlüsselung wird anschließend in eine Dezimalzahl konvertiert. Die somit erhaltene Dezimalzahl dient als geheimer Operand. Der geheime Operand wird dem Kartenantragsteller mittels eines (entsprechend modifizierten) "PIN-Briefes" mitgeteilt. Der Kartenantragsteller führt dann mit seinem Wunsch-PIN-Wert und dem mitgeteilten geheimen Operanden eine vorgegebene - möglichst einfach zu wählende - mathematische Operation (z.B. Addition) aus, und schreibt das Resultat auf ein Formular, das er mit Absenderangabe und Angabe der Kartennummer an den Kartenausgeber zurücksendet. Beim Kartenausgeber wird das übermittelte Resultat zusammen mit der Kartennummer in ein Computersystem eingegeben. Dieses Computersystem berechnet den Wert des geheimen Operanden dadurch, daß es mit der Kartennummer dieselbe Prozedur wie bei der ersten Generierung des geheimen Operanden durchführt. Mit dein somit erhaltenen geheimen Operanden und dem, vom Kartenantragsteller zurückgelieferten Resultat wird die mathematische Umkehrfunktion (z.B. Subtraktion) ausgeführt, wodurch der Wunsch-PIN-Wert des Kartenantragstellers erhalten wird. Dieser Wert wird dann der zu produzierenden Karte als PIN-Wert zugeordnet. Ab diesem Moment kann der normale Ablauf zur Personalisierung von Zahlungskarten wieder einsetzen. Die Zufallszahl kann beispielsweie dadurch gewonnen werden, daß diese vom EDV-System des Kartenausgebers generiert wird. Der auf diese Weise generierte Operand wird, zusammen mit der Kartennummer, in eine Datenbak eingespeichert. Das zurückgesendete Resultat wird dann dem geheimen Operanden mittels EDV-System über die Datenbank zugeordnet, wobei die Kartennummer als Zuordnungsindex dient.

[0011] Der Vorteil dieser Ausführungsform ist eine maximale Sicherheit gegen unberechtigtes Erkennen des PIN-Wertes, weil der PIN-Wert im Klartext während des gesamten Verfahrens niemals sichtbar wird.

[0012] Die Erfindung eignet sich auch zur Definition von individuellen PIN-Werten für Telefonbanking-Konten Dafür muß lediglich die Kontonummer anstelle der Kartennummer verwendet werden.

[0013] Durch die Anwendung des Verfahrens ergibt sich der Vorteil eines gesteigerten Datenschutzes durch die Möglichkeit zur Vergabe von längeren PIN-Werten (größere Stellenzahl). Beim Telefonbanking werden derzeit 6-stellige PIN-Werte eingesetzt - aus Rücksichtnahme auf die Merkfähigkeit des Kunden -, wobei pro Sitzung - aus Datenschutzgründen - nur einzelne Stellen des PIN-Wertes abgefragt werden. Die Selbstbestimmung der PIN-Werte durch den Kunden würde also die Definition von längeren PIN-Werten erlauben und somit eine Steigerung des Datenschutzes bewirken.

[0014] Die Erfindung bringt gegenüber dem traditionellen PIN-Briefverfahren (mit Zufallszahlen) den Vorteil eines gesteigerten Datenschutzes auf dem Transportweg. Während beim traditionellen PIN-Briefverfahren der Klartext PIN-Wert per Post vom Kartenausgeber an den Kunden geschicht wird, verteilt sich bei den beiden Verfahren die Gesamtinformation immer auf zwei Briefe (Kartenausgeber ->Kunde ->Kartenausgeber), so daß die Kenntnis eines Briefinhalts noch nicht zur Erlangung des PIN-Wertes ausreicht.

Ansprüche

1. Vorrichtung zur geschützten Übermittlung von Daten (PIN-Werten) zwischen einem Erzeuger (Kartenausgeber) und einem Empfänger (Kartenantragsteller), gekennzeichnet durch
   einen ersten Datensatz (Zuordnungsnummer) und einem zweiten Datensatz (Kartennummer), die beide vom Erzeuger erzeugt sind und in einer Speichereinrichtung des Erzeugers eingespeichert sind,
   einen, dritten Datensatz (Wunsch-PIN-Wert) der vom Empfänger erzeugt ist,
   einer Übermittlungseinrichtung zum Übermitteln des ersten Datensatzes vom Erzeuger zum Empfänger und zum Übermitteln des dritten Datensatzes zusammen mit dem ersten Datensatz vom Empfänger zum Erzeuger, und
   eine Datenverarbeitungseinrichtung, in welche der erste, zweite und dritte Datensatz beim Erzeuger eingegeben werden und einander zugeordnet werden.

2. Vorrichtung zur geschützten Übermittlung von Daten (PIN-Werten) zwischen einem Erzeuger (Kartenausgeber) und einem Empfänger (Kartenantragsteller) gekennzeichnet durch
   einen ersten Datensatz (Operanden) und einem zweiten Datensatz (Kartennummer), die beide vom Erzeuger erzeugt werden,
   einem dritten Datensatz (Wunsch-PIN-Wert), der vom Empfänger erzeugt ist,
   eine erste Datenverarbeitungseinrichtung beim Empfänger, die den ersten und den dritten Datensatz mittels einer vorgegebenen mathematischen Operation verarbeitet und das Ergebnis zusammen mit dem zweiten Datensatz an den Erzeuger ausgibt, und
   einer zweiten Datenverarbeitungseinrichtung beim Erzeuger, die den ersten, zweiten und dritten Datensatz mittels der mathematischen Umkehroperation verarbeitet.

3. Verfahren zur geschützten Übermittlung von Daten (PIN-Werten) zwischen einem Erzeuger (Kartenausgeber) und einem Empfänger (Kartenantragsteller), dadurch gekennzeichnet, daß der Erzeuger einen ersten Datensatz (Zuordnungsnummer) und einen zweiten Datensatz (Kartennummer) erzeugt und an den Empfänger übermittelt, und der Empfänger einen dritten Datensatz (Wunsch-PIN-Wert) erzeugt, zusammen mit dem ersten Datensatz an den Erzeuger übermittelt und der Erzeuger den ersten, zweiten und dritten Datensatz einander zuordnet.

4. Verfahren zur geschützten Übermittlung von Daten (PIN-Werten) zwischen einem Erzeuger (Kartenausgeber) und einem Empfänger (Kartenantragsteller), gekennzeichnet durch einen ersten Datensatz (Operanden) und einen zweiten Datensatz (Kartennummer), die beide vom Erzeuger erzeugt werden, und an den Empfänger ausgegeben werden, und einen dritten Datensatz (WunschPIN-Wert), der vom Empfänger erzeugt wird und mittels einer mathematischen Operation mit dem ersten Datensatz verbunden wird und das Ergebnis der mathematischen Operation an den Erzeuger ausgegeben wird, der an dem Ergebnis die mathematische Umkehroperation ausführt.