Verfahren und Vorrichtung zur Aufzeichnung von Ereignissen in Selbstbedienungsautomaten

(19)

(11)

EP 2 821 976 A1

(12)	EUROPÄISCHE PATENTANMELDUNG

(43)	Veröffentlichungstag:
	07.01.2015 Patentblatt 2015/02

(21)	Anmeldenummer: 13174518.4

(22)	Anmeldetag: 01.07.2013

(51)

Internationale Patentklassifikation (IPC):

G07F 19/00^(2006.01)

G07F 9/02^(2006.01)

(84)	Benannte Vertragsstaaten:
	AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR
	Benannte Erstreckungsstaaten:
	BA ME

(71)	Anmelder: Wincor Nixdorf International GmbH
	33106 Paderborn (DE)

(72)	Erfinder:
	Drichel, Alexander 33613 Bielefeld (DE) Priesterjahn, Steffen 33100 Paderborn (DE)

(74)	Vertreter: 2K Patentanwälte Blasberg Kewitz & Reichel
	Partnerschaft mbB Schumannstrasse 27 60325 Frankfurt am Main 60325 Frankfurt am Main (DE)

(54)	Verfahren und Vorrichtung zur Aufzeichnung von Ereignissen in Selbstbedienungsautomaten

(57) Selbstbedienungsautomat umfassend eine Steuereinheit und einen Tresor, gekennzeichnet durch eine Überwachungseinheit, die im Tresor angeordnet ist, und die durch eine selbständige Stromversorgung eine akustische, optische und/oder elektronische Überwachung der Steuereinheit vornimmt.

Beschreibung

[0001] Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Aufzeichnung von Ereignissen in Selbstbedienungsautomaten.

Gebiet der Erfindung:

[0002] Selbstbedienungs- (SB) Automaten weisen oftmals eine Reihe von Komponenten auf, die miteinander zu verbinden sind. In der Regel weisen diese Automaten eine standardisierte PC-Plattform auf, die besonderen Sicherheits-Anforderungen gerecht wird. An dieser PC-Plattform (Motherboard) werden, z.B. über USB-Schnittstellen (Universal Serial Bus) Tastaturen, Auszahleinheiten (Geldnoten-Vereinzelungs-Modul), Kartenlesegeräte, Monitore, und andere Geräte angeschlossen. Auch ist zu beachten, dass in Geldautomaten (ATM) Geldkassetten eingeschoben werden, die zu authentifizieren sind bzw. der Geldautomat hat sich gegenüber der Kassette zu authentifizieren, damit diese ihre Funktionsfähigkeit einschaltet.

[0003] Weiterhin umfassen diese Automaten die Möglichkeit, sich mit einem anderen Computer zu verbinden, damit sich zum Beispiel ein Wartungs-Ingenieur mit seinem Laptop mit dem SB-Automat verbinden kann.

[0004] In der bevorzugten Ausführungsform werden USB oder andere serielle (V24) Verbindungen genutzt, um die Geräte miteinander zu verbinden.

[0005] Es gibt Fälle, in denen eine sicherheitsrelevante Komponente in einem SB-Automat, im Folgenden als Geldautomat bezeichnet, gewechselt werden soll. Eine solche Komponente könnte dabei ein Hardwaremodul wie z.B. eine Geldkassette sein, aber auch eine Softwarekomponente wie z.B. ein Firmware-Update, oder auch periphere Geräte, wie sie oben beschrieben wurden. Entscheidend bei diesem Vorgang ist, dass sich der Geldautomat (PC) gegenüber der neuen Komponente authentisiert bzw. der Geldautomat die Authentizität der Komponente prüfen kann. Nur nach erfolgreicher Authentisierung verrichtet die neue Komponente ihren Dienst.

[0006] Oft werden ATMs durch Manipulation an der Hardware angegriffen. Oder das Personal versucht durch Ausnutzen von Hardwarefehlern Zugriff auf das Gerät zu bekommen, um sich zu bereichern. Da die ATMs während einer Wartung, in der sie heruntergefahren werden und abgeschaltet werden, zeitweise keine Möglichkeit haben die Hardware eigenständig zu überwachen, sind die Geräte insbesondere dann angreifbar und können sich selbst nur schwerlich überprüfen.

Überblick über die Erfindung:

[0007] Aufgabe der vorliegenden Erfindung ist die Bereitstellung eines Systems, das unabhängig vom Betrieb des ATM (Automatic Teller Machine) eine weitere Überwachung vornimmt, wobei eine externe Stromzufuhr nicht notwendig ist, um zu protokollieren was momentan vorgenommen wird. Im Falle einer Manipulation oder eines Schadens am ATM kann das Protokoll des Systems weitere Hinweise auf die Täter oder deren Vorgehensweise liefern, so dass ein Nachweis leichter zu führen ist. So kann das System nicht nur den Zustand des Systems protokollieren, sondern auch weitere Informationen wie zum Beispiel Bild- oder Tonmaterial aufnehmen.

[0008] Im Falle eines ATM's besteht diese aus einem Tresor und einer Steuereinheit, die die Geldzufuhr aus dem Tresor steuert. Diese Steuereinheit ist in der Regel der oben beschriebene PC, der die Interaktion mit dem Benutzer vornimmt.

[0009] In der vorliegenden Erfindung kann z.B. über eine Kamera im Tresor ein Zugriff protokolliert werden. Während der Laufzeit könnte das System per Netzwerk oder USB mit dem PC des Geldautomaten verbunden sein und dort über einen Software-Agenten Informationen aufnehmen. Außerdem kann der Status des PCs protokolliert werden.

[0010] Bei vielen Software-Angriffen ist es so, dass versucht wird auf dem PC ein fremdes Betriebssystem zu starten oder zusätzliche Software aufzubringen. Durch die vorliegende Einheit können zusätzliche autonome Einheiten dann solche Angriffe protokollieren und melden. Eine Zusatzsoftware auf dem PC ist dagegen immer angreifbar.

[0011] Bei der Erfindung handelt es sich um einen Selbstbedienungsautomaten umfassend eine Steuereinheit und einen Tresor. Diese Einheit ist zusätzlich gekennzeichnet durch eine Überwachungseinheit, die im Tresor angeordnet ist, und die durch eine selbständige Stromversorgung eine akustische, optische und/oder elektronische Überwachung der Steuereinheit vornimmt. Die Anordnung kann im Tresor so ausgebildet sein, dass eine physikalische Abschottung gegenüber den Geldkassetten innerhalb des Tresors ebenfalls möglich ist. D.h. die Steuereinheit kann in einem weiteren Tresor innerhalb des Tresors angeordnet sein. Somit kann auch eine Person, die berechtigt ist, den Tresor zu öffnen, nicht zwangsweise auch auf die Überwachungseinheit zugreifen. Damit ein Betrieb auch ohne externe Stromversorgung möglich ist, wenn zum Beispiel der Angreifer das Kabel zur Netz-Stromversorgung trennt, ist die Überwachungseinheit mit einer eigenen Stromversorgung versehen, die einen Betrieb für einen gewissen Zeitraum ermöglicht. Dieser Zeitraum kann mehrere Stunden bis Tage betragen. Sollte die externe Stromversorgung ebenfalls keinerlei Leistung mehr bereitstellen, so fährt sich die Überwachungseinheit herunter und speichert die Daten dauerhaft auf einer Festplatte, einem Magnet-Speichertape, Flash-Einheiten oder anderen dauerhaften Speicher-Einheiten. Sobald eine Stromversorgung wiederum gegeben ist, so fährt sich die Überwachungseinheit selbständig hoch. Für eine entsprechende Kühlung wird gesorgt, indem zum Beispiel das Gehäuse des Tresors als Kühloberfläche verwendet wird. Ander Kühlungstechniken sind denkbar.

[0012] So ist es denkbar, dass die eigene Stromversorgung durch Batterien oder Akkumulatoren erfolgt, die sich im Betrieb am Netz wieder aufladen. Es ist auch denkbar, dass die Stromversorgung durch eine Wasserstoffzelle erfolgt. In der Regel handelt es sich dabei um hochwertige Lithium- Akkus, die eine möglichst hohe Leistung bereitstellen, andere Akkutypen sind natürlich denkbar.

[0013] Zur Überwachung weist die Überwachungseinheit eine Kamera und/oder ein Mikrofon auf und ein Speichermedium, das ausgebildet ist, um die Daten von der Kamera und/oder dem Mikrofon dauerhaft aufzuzeichnen. Hierbei ist zu beachten, dass die Kamera möglichst innerhalb des Tresors angeordnet ist und lediglich durch eine Bohrung aus dem Tresor heraus die Überwachung durchführen kann. Die Kamera ist in der Regel so ausgerichtet, dass sie die Steuereinheit vollständig überwachen kann. In der Regel handelt es sich um eine sehr weitwinkelige Kamera, die einen großen Raum überwachen kann und die auch sehr Licht stark ist, um in dunklen Bereichen ebenfalls Aufnahmen durchzuführen. Es ist ebenfalls denkbar, dass eine Vielzahl von Kameras an unterschiedlichen Stellen des Tresors angeordnet ist, die möglichst unauffällig sind, so dass sie für einen Eindringling nicht sofort erkennbar sind. Selbst wenn eine Kamera erkannt werden würde, könnten jedoch andere Kameras weiterhin unentdeckt bleiben. Ebenfalls ist das Mikrofon so angeordnet, dass es Geräusche wirksam aufnehmen kann. Hierfür ist es notwendig, dass Geräusche entsprechend in den Tresor eindringen können. Mit einer entsprechenden Bohrung ist so etwas zu erreichen. Es versteht sich, dass die Einheiten so ausgebildet sind, dass sie in der Regel nur dann Daten aufzeichnen, wenn entsprechende Bewegungen oder unübliche Geräusche detektiert werden können. Hierdurch soll die Datenmenge reduziert werden, die sonst bei einer kontinuierlichen Aufzeichnung entstehen würde. So kann bei der Kamera eine Einstellung vorgenommen werden, dass lediglich eine Aufzeichnung erfolgt, wenn sich bestimmte Bildbereiche verändert haben. Bei dem Mikrofon wird eine Aufzeichnung durchgeführt, wenn der Lautstärkepegel oberhalb eines bestimmten Geräuschpegels ist, der einstellbar ist. Auch das Mikrofon kann in mehrfacher Ausführungsform im Tresor angeordnet sein.

[0014] In einer weiteren möglichen Ausführungsform weist die Überwachungseinheit Mittel auf, um Schnittstellen der Steuereinheit zu überwachen. Die Steuereinheit weist in der Regel viele Schnittstellen auf, wie Schnittstellen zu Festplatten Grafikkarten, Auszahl-System, Monitoren, Tastaturen, die mit unterschiedlichen Standards zum Beispiel USB, VGA, SAS, SATA etc. angesprochen werden. Es versteht sich, dass diese Aufzählung nicht abschließend ist. Vielmehr sollen alle Schnittstellen abgedeckt werden, die durch bekannte PCs bereitgestellt werden, und die dazu dienen Peripheriegeräte anzusteuern. Für die Überprüfung der Schnittstellen kann es unterschiedliche Ansätze geben. Einerseits können Software-Module auf der Steuereinheit angeordnet sein, um während des Betriebes die korrekte Nutzung der Schnittstelle und des Peripheriegerätes zu überprüfen. Diese Software-Module stehen wiederum über eine Schnittstelle, wie zum Beispiel eine USB oder eine Netzwerk-Schnittstelle, mit der Überwachungseinheit in Verbindung, und übermitteln regelmäßig Informationen über die Peripheriegeräte, den Zustand der Schnittstelle und den Zustand des Steuerungssystems. Andererseits können auch mechanische Überwachungssysteme eingesetzt werden, die auf Kabeln aufgesetzt werden bzw. zwischen Kabel zwischengeschaltet werden. Sollte zum Beispiel ein Kabel abgezogen werden bzw. ein Peripheriegerät von der Steuereinheit gelöst werden, so kann über mechanische Schalter oder elektronische Kontakte ein solches Lösen erkannt werden, auch wenn das Steuerungssystem nicht angeschaltet ist. So ist es zum Beispiel denkbar, dass die Stecker einer Festplatte auf beiden Seiten mit entsprechenden Modulen zur Überwachung versehen sind, die erkennen, ob eine Festplatte gelöst wurde oder nicht. Das Gleiche kann für USB oder eine Schnittstelle verwendet werden. Diese Einheiten können ebenfalls dazu genutzt werden den Datenverkehr auf den entsprechenden Schnittstellen zu analysieren und gegebenenfalls um diesen Datenverkehr mit zuschneiden. Die Übertragung der Daten von den Überwachungseinheiten, die auf die Schnittstellen gesteckt werden, kann kabellos erfolgen oder ebenfalls über ein Netzwerk. Bei der kabellosen Übertragung können zum Beispiel Bluetooth oder WLAN verwendet werden.

[0015] Durch diesen Ansatz kann eine Überwachung des Austauschs einer Speichereinheit in der Steuereinheit erfolgen, insbesondere einer Festplatte. Hierbei sind Kontakteinheiten vorhanden, die einen Austausch erkennen. Die Kontaktstecker sind auf einem Festplattenkabel angeordnet, so dass erkannt wird, wenn die Speichereinheit ausgetauscht wird, oder sich der Inhalt der Festplatte verändert hat. Beim letztgenannten Ansatz, kann der Stecker in regelmäßigen Abständen einen Hashwert von der Festplatte speichern bzw. erstellen, um zu überprüfen, ob sich der Hashwert dann verändert hat. Insbesondere ist dies möglich für bestimmte Speicherbereiche der Festplatte, auf denen codierte Informationen abgelegt sind. Bei einem Starten einer Festplatte fragt die Stecker-Einheit diese entsprechenden Daten ab, man kann auch von einer Signatur sprechen, und kann dann eine Warnmeldung an die Überprüfungseinheit senden, falls sich die Daten der Festplatte verändert haben bzw. die Festplatte ausgetauscht wurde und nicht mehr diesen Signaturbereich aufweist. Der Stecker kann ausgebildet sein, dass er bei einem Herunterfahren die Signatur überprüft und gegebenenfalls einen Hashwert der Festplatte auf dieser hinterlegt. Es ist auch denkbar dass ein Hashwert für bestimmte Datenbereiche erstellt wird und nicht für die gesamte Festplatte. Beim Starten der Festplatte wird dieser Bereich geprüft, um dann gegebenenfalls eine Warnmeldung zu erzeugen oder sogar die Festplatte zu deaktivieren bzw. eine Verbindung zur Steuereinheit zu unterbinden.

[0016] Auch kann eine Überwachung von Komponenten, die mit der Steuereinheit verbunden sind, erfolgen, insbesondere von Auszahler, Tastatur und/oder Monitor. Die Überwachungseinheit weist dabei Mittel auf, um ein Mitschneiden von Schnittstellen zu den Komponenten durchzuführen. Die Überwachungseinheit weist eine eigene physikalische Verbindung zum Auszahler auf, durch den eine Überwachung erfolgt. So ist es möglich Serviceschnittstellen zum Auszahler oder anderen Geräten mitzuschneiden. Beim Auszahler ist z.B. zusätzlich zur USB-Verbindung noch eine serielle Schnittstelle für Servicezwecke vorhanden. Ein Deaktivieren der Verschlüsselung oder ein Kompromittieren des Gerätes durch Fremdsoftware kann dadurch detektiert werden, auch wenn der Auszahler nicht mehr mit dem ATM-PC/Steuereinheit verbunden ist.

[0017] Es ist natürlich auch möglich, dass die Überwachungseinheit bei einem möglichen Angriff, der in ein Angriffsmuster passt, die Steuereinheit oder bestimmte Komponenten dauerhaft deaktiviert. So ist es möglich den Auszahler abzuschalten, so dass er nicht erneut konfiguriert werden kann. Auch ist es denkbar ein Booten der Steuereinheit zu unterbinden. Ferner können Komponenten, wie Netzteile oder andere Komponenten deaktiviert werden, so dass ein erneutes Starten nicht mehr möglich ist.

Figuren Beschreibung:

[0018]

Figur 1 zeigt einen ATM in seinem grundsätzlichen Aufbau mit einer Steuereinheit und einem Tresor.

Figur 2 zeigt einen ATM mit der Überwachungseinheit, die im Tresor angeordnet ist.

Figur 2c zeigt die Symbole für Kamera und Mikrofon.

Beschreibung der Ausführungsform:

[0019] Die Figur 1 zeigt einen Standard ATM, der einen Tresor aufweist, der in seinem unteren Bereich angeordnet ist. Innerhalb des Tresors ist ein Auszahler angeordnet, der für die Ausgabe des Geldes bzw. der Geldscheine aus dem Tresor zuständig ist. Dieser Auszahler wird von einer Steuereinheit angesteuert. Wie bereits oben ausgeführt wurde, ist die Steuereinheit oftmals ein herkömmlicher PC, der mit einer entsprechenden Software ausgestattet ist. Der herkömmliche PC ist in der Regel mit einem Kartenlesegerät verbunden, durch das die Daten der Kreditkarten eingelesen wird. Das Kartenlesegerät kann sowohl digitale Daten vom Chip einer Karte lesen als auch von einem Magnetstreifen. Weiterhin ist die Steuereinheit mit einem EPP verbunden, das in der Regel als Tastatur ausgebildet ist, oder in Form eines berührungsempfindlichen Bildschirms ausgebildet ist. Über dieses Eingabegerät werden entsprechende Geheimzahlen oder Pins eingegeben oder ein Benutzerdialog geführt. Nicht dargestellt ist ein Monitor, auf dem die Benutzerführung erfolgt. Dieser Monitor wird ebenfalls über den PC gesteuert.

[0020] In der Figur 2 ist ein ATM mit einer Security Box dargestellt. Diese Security Box ist innerhalb des Tresors angeordnet und weist sowohl eine Kamera auf, die im Gehäuse des ATM angeordnet ist und zum Benutzer gerichtet ist (der vor dem Gerät steht), als auch eine Kamera, die innerhalb des Tresors angeordnet ist, um Aufnahmen vom Auszahler und dem PC zu machen. Weiterhin ist ein Mikrofon im Tresor angeordnet, das ebenfalls mit der Security Box verbunden ist, um Geräusche und Sprachaufnahmen durchzuführen. Die Ausrichtung der Kameras in der Figur 2 ist lediglich beispielhaft. Die Kameras können natürlich auch in den oberen Bereich des ATM ausgerichtet sein. Ferner ist die Security Box zwischen die Schnittstellen des PCs geschaltet, so dass sie die Kommunikation zwischen den Peripheriegeräten (EPP, Kartenleser) loggen kann und die Daten aufzeichnen kann. Auch ist die Security Box in der Lage zu analysieren, ob die Geräte kurzfristig entfernt wurden und erneut angesteckt wurden. Hierzu gibt es entsprechende Schnittstellen an der Security Box, in die die Geräte einzustecken sind. Die SB kann somit als USB Hub ausgebildet sein, um einerseits den PC mit der SB zu verbinden und andererseits die Peripheriegeräte mit dem PC. Über die Hub-Funktion kann ein entsprechendes Mitlesen des Datenstroms erreicht werden. Nicht dargestellt ist eine Schnittstelle zu einer Festplatte innerhalb des PCs. Dies kann jedoch über eine entsprechende Verkabelung und externe Elemente sichergestellt werden. Diese externen Elemente finden sich dann im PC und übertragen ihre Daten über ein Kabel an die Security Box.

Ansprüche

1. Selbstbedienungsautomat umfassend eine Steuereinheit und einen Tresor, gekennzeichnet durch
eine Überwachungseinheit, die im Tresor angeordnet ist, und die durch eine selbständige Stromversorgung eine akustische, optische und/oder elektronische Überwachung der Steuereinheit vornimmt.

2. Selbstbedienungsautomat nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die selbständige Stromversorgung auch ohne Netzstrom arbeitet und durch eine Batterie oder Wasserstoffzelle versorgt wird.

3. Selbstbedienungsautomat nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Überwachungseinheit eine Kamera und/oder ein Mikrofon aufweist und ein Speichermedium, das ausgebildet ist, um die Daten von der Kamera und/oder dem Mikrofon dauerhaft aufzuzeichnen.

4. Selbstbedienungsautomat nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Überwachungseinheit Schnittstellen der Steuereinheit auf Treiberbasis der Steuereinheit oder mechanisch durch Zwischenstecker, die auf den Schnittstellen angeordnet sind, überwacht.

5. Selbstbedienungsautomat nach einem oder mehreren der vorhergehenden Ansprüche, wobei zur Überwachung des Austauschs einer Speichereinheit, insbesondere einer Festplatte in der Steuereinheit, Kontakteinheiten vorhanden sind, die einen Austausch erkennen.

6. Selbstbedienungsautomat nach einem oder mehreren der vorhergehenden Ansprüche, wobei ein Kontaktstecker auf einem Festplattenkabel angeordnet ist, so dass erkennbar ist, wenn die Speichereinheit ausgetauscht wurde, oder sich der Inhalt der Festplatte verändert hat.

7. Selbstbedienungsautomat nach einem oder mehreren der vorhergehenden Ansprüche, wobei ein Software-Agent auf der Steuereinheit läuft, der Veränderungen protokolliert und an die Überwachungseinheit übermittelt.

8. Selbstbedienungsautomat nach einem oder mehreren der vorhergehenden Ansprüche, wobei eine Überwachung von Komponenten, die mit der Steuereinheit verbunden sind, erfolgt, insbesondere von Auszahler, Tastatur und/oder Monitor.

9. Selbstbedienungsautomat nach dem vorhergehenden Anspruch, wobei die Überwachungseinheit Mittel aufweist, um ein Mitschneiden von Schnittstellen der Komponenten durchzuführen.

10. Selbstbedienungsautomat nach den vorhergehenden zwei Ansprüchen, wobei die Überwachungseinheit eine eigene physikalische Verbindung zum Auszahler aufweist, durch die eine Überwachung erfolgt.

Zeichnung

Recherchenbericht

Recherchenbericht