-
Die
Erfindung betrifft ein Verfahren zum Schützen von elektronischen Transaktionen
gemäß Anspruch
1 und eine entsprechende Vorrichtung gemäß Anspruch 11.
-
Elektronische
Transaktionen finden im alltäglichen
Geschäftsverkehr
insbesondere zum Bezahlen eine immer größere Verbreitung. Sehr häufig setzen
Kunden zum Bezahlen mittlerweile eine Kredit-, Banken- oder Kundenkarte
als Transaktions-Identifikationsmittel ein. Diese Karten sind meist
Magnetstreifen- oder Chipkarten. Ein bekanntes Problem ist hierbei
der missbräuchliche
Einsatz derartiger Karten. Beispielsweise kann ein Dieb eine Kreditkarte
bis zu ihrer Sperrung problemlos nutzen, indem er die Unterschrift
des Karteninhabers fälscht,
die sich auf der Kartenrückseite
befindet. Dies ist auch bei ec-Karten
möglich,
sofern für
eine Zahlungstransaktion keine Geheimzahl benötigt wird.
-
Aus
dem Stand der Technik ist eine Vielzahl von Lösungen bekannt, die sich mit
dem Schützen von
elektronischen Transaktionen beschäftigen. Beispielsweise offenbart
das US-Patent 6,470,233 B1 die Nutzung von so genannten RFID (Radio
frequency identification)-Tags zu Bezahlzwecken, zum Verfolgen von
Kundenbewegungen, zur Speicherung von Kaufdaten und weiteren Merkmalen
mit Bezug zur Bezahlung an Tankstellen und bei anderen Dienstleistern.
Dieses US-Patent
beschreibt aufwändige
Maßnahmen
zur Erkennung eventueller Diebstähle
von RFID-Transmittern, bei denen das Speichern von Missbrauchsvorgängen und
von einzelnen Transaktionen in einem schreib- und lesefähigen RFID-Tag
eine große
Rolle spielen. Dadurch werden jedoch die Kontrolleinrichtungen und
die RFID-Tags selbst
kostspieliger, so dass diese bekannte Lösung im Masseneinsatz für viele
Zwecke hohe Kosten verursacht.
-
Aufgabe
der vorliegenden Erfindung ist es daher, ein Verfahren und eine
Vorrichtung zum Schützen
von elektronischen Transaktionen vorzuschlagen, die kostengünstiger
als bisher bekannte Lösungen
zu implementieren sind.
-
Diese
Aufgabe wird durch ein Verfahren zum Schützen von elektronischen Transaktionen
gemäß Anspruch
1 und durch eine entsprechende Vorrichtung gemäß Anspruch 11 gelöst. Weitergehende Ausgestaltungen
der Erfindung ergeben sich aus den abhängigen Ansprüchen.
-
Ein
der Erfindung zu Grunde liegender wesentlicher Gedanke besteht darin,
zu Bezahl- oder anderweitigen Identifizierungszwecken, bei denen ein
Missbrauch eine Rolle spielen kann, zusätzlich zu bereits vorhandenen
Sicherheitsmerkmalen mindestens ein RFID-Tag einzusetzen. Vorzugsweise
soll die einfachste Art eines RFID-Tags verwendet werden, nämlich ein
Read-Only- bzw. nur lesbares Tag. Ein derartiges RFID-Tag gibt bei
einer Abfrage unveränderbar
nur seine eigene Identität
aus. Eine Manipulation des RFID-Tags wird dadurch ausgeschlossen.
Durch die Auswertung des RFID-Tags zusammen mit wenigstens einem
weiteren, vorzugsweise bekannten Sicherheitsmerkmal kann im Unterschied zu
der aus dem vorgenannten US-Patent 6,470,233 B1 bekannten Lösung die
Einführung
eines neuen Transaktionsverfahrens vermieden werden. Stattdessen
können
bestehende Transaktionsverfahren sicherer gestaltet werden. Insbesondere
können
die bereits vorhanden Zahlungsprozesse über Bank-, Kredit- und Kundenkarten
für Händler sicherer
und kostengünstiger
gemacht werden, indem beispielsweise diese Karten mindestens ein
nur-lesbares RFID-Tag zusätzlich
zu weiteren Sicherheitsmerkmalen umfassen.
-
Konkret
betrifft die Erfindung ein Verfahren zum Schützen von elektronischen Transaktionen,
die insbesondere zu Bezahl- oder anderweitigen Identifizierungszwecken
vorgesehen sind, wobei die elektronischen Transaktionen mittels
eines Transaktions-Identifikationsmittels durchgeführt werden.
Ein derartiges Transaktions-Identifikationsmittel
kann beispielsweise eine bekannte Magnetstreifen- oder Chip-Karte
sein. Erfindungsgemäß werden
bei einer elektronischen Transaktion mit dem Transaktions-Identifikationsmittel
mindestens ein RFID-Tag, das
nur lesbar ist, und mindestens ein weiteres Sicherheitsmerkmal des
Transaktions-Identifikationsmittels
ausgewertet. Im Gegensatz zu den bisher eingesetzten elektronischen
Transaktionsverfahren bietet das erfindungsgemäße Verfahren den Vorteil einer
höheren,
wenigstens doppelten Sicherheit durch die Auswertung von wenigstens
zwei der Sicherheit dienenden Merkmale des Transaktions-Identifikationsmittels.
-
Das
mindestens eine weitere Sicherheitsmerkmal kann eine Nummer, ein
Gültigkeitsdatum des
Transaktions-Identifikationsmittels,
ein Hologramm auf dem Transaktions-Identifikationsmittel oder eine
auf einem Magnetstreifen und/oder in einem Chip des Transaktions-Identifikationsmittels
gespeicherte Information sein.
-
Vorzugsweise
wird bei einer Auswertung ein RFID-Tag mit Daten von gesperrten
RFID-Tags verglichen; bei einem positiven Vergleich, d.h. wenn das RFID-Tag
unter den Daten von gesperrten RFID-Tags gefunden wird, wird eine
begonnene elektronische Transaktion abgebrochen. In diesem Fall wurde
festgestellt, dass das eingesetzte Transaktions-Identifikationsmittel
gesperrt ist, da es beispielsweise gestohlen wurde.
-
In
einer bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
sammelt eine Zentralstelle Daten ungültiger RFID-Tags und stellt
diese automatisch insbesondere auf Nachfrage zur Verfügung. Beispielsweise
kann die Zentralstelle die gesammelten Daten periodisch an entsprechende Empfangsstationen
bzw. Empfänger übertragen.
Um die Menge der zu übertragenden
Daten gering zu halten, kann die Zentralstelle nur die Daten ungültiger RFID-Tags übertragen,
die seit der letzten Übertragung
dazu gekommen sind. Die Daten können
aber auch auf: Nachfrage zur Verfügung gestellt werden, d.h.
wenn beispielsweise ein Empfänger
die Daten explizit anfordert.
-
Die
Zentralstelle kann zusätzlich
zu den Daten eines ungültigen
RFID-Tags ein weiteres Sicherheitsmerkmal eines Transaktions-Identifikationsmittels
bereit stellen, beispielsweise eine Kartennummer, einen Benutzernamen
oder dergleichen den Inhaber des Transaktions-Identifikationsmittels
identifizierende Daten.
-
In
einer bevorzugten Ausführungsform
stellt die Zentralstelle Daten per Funkübertragung zur Verfügung. Insbesondere
stellt sie die Daten per Mittel-, Lang- und/oder Kurzwellen-Datenfunk zur Verfügung. Der
Vorteil einer derartigen Bereitstellung besteht darin, dass Mittel-,
Lang- und Kurzwellen eine sehr hohe Reichweite besitzen und die
entsprechenden Empfänger
kostengünstig
sind.
-
Um
zu verhindern, dass die übertragenen Daten
von jedermann ausgespäht
werden können, verschlüsselt die
Zentralstelle vorzugsweise die Daten vor einer Funkübertragung.
Insbesondere verwendet sie hierzu ein Public-Key-Verschlüsselungsverfahren.
Dies kann beispielsweise dadurch erfolgen, dass die Zentralstelle
einen öffentlichen
und einen privaten Schlüssel
besitzt und auszusendende Daten mit ihrem privaten Schlüssel verschlüsselt. Der öffentliche
Schlüssel
wird an autorisierte Empfänger verteilt,
welche die verschlüsselten
Daten mittels des öffentlichen
Schlüssels
der Zentralstelle entschlüsseln
können.
-
Ein
Empfänger
kann die per Funkübertragung
von der Zentralstelle zur Verfügung
gestellten Daten speichern und fortwährend mit RFID-Tags vergleichen,
die er von Transaktions-Identifikationsmitteln empfängt. Beispielsweise
kann ein derartiger Empfänger
im Eingangsbereich eines Kaufhauses aufgestellt sein und permanent
per Funk RFID-Tags von den Transaktions-Identifikationsmitteln vorbeigehender
Kaufhauskunden empfangen. Die empfangenen Daten kann er an einen
Server im Kaufhaus übertragen,
der wiederum die empfangenen Daten mit den von der Zentralstelle
empfangenen Daten von gesperrten RFID-Tags vergleicht. Der Server kann
nun aus den vom Empfänger
empfangenen RFID-Tags diejenigen herausfiltern, die von der Zentralstelle
als gesperrt gemeldet wurden und diese an Terminals im Kaufhaus übermitteln,
welche zum Abwickeln von elektronischen Transaktionen mit Transaktions-Identifikationsmitteln
vorgesehen sind. Sobald ein Transaktions-Identifikationsmittel,
dessen RFID-Tag als gesperrt gemeldet wurde, an einem dieser Terminals
eingesetzt wird, kann das Terminal die Abwicklung einer elektronischen
Transaktion verweigern.
-
In
einer bevorzugten Ausführungsform
kann der Empfänger
auch einen Alarm ausgeben, wenn er einen RFID-Tag empfängt, der
einem von der Zentralstelle empfangenen Datum eines gesperrten RFID-Tags
entspricht. Dieser Alarm kann akustisch oder optisch erfolgen. Dadurch
können
beispielsweise bereits im Eingangsbereich eines Kaufhauses Personen
identifiziert werden, die gestohlene Transaktions-Identifikationsmittel
mit sich führen.
-
Gemäß einem
weiteren Aspekt betrifft die Erfindung eine Vorrichtung zum Schützen von
elektronischen Transaktionen, die mittels eines Transaktions-Identifikationsmittels
durchgeführt
werden. Erfindungsgemäß sind Auswertemittel
vorgesehen, die derart ausgebildet sind, dass sie bei einer elektronischen
Transaktion mindestens ein RFID-Tag, das nur lesbar ist, und mindestens
ein weiteres Sicherheitsmerkmal des Transaktions-Identifikationsmittels auswerten.
-
Vorzugsweise
ist das Transaktions-Identifikationsmittel eine Magnetstreifen-
oder Chipkarte, die mit mindestens einem RFID-Tag ausgestattet ist.
-
Vorzugsweise
ist eine Vergleichseinrichtung vorgesehen, die bei einer Auswertung
ein RFID-Tag mit Daten von gesperrten RFID-Tags vergleicht und beim
positiven Vergleich, d.h. wenn ein RFID-Tag mit einem gesperrten
RFID-Tag übereinstimmt,
eine begonnene elektronische Transaktion abbricht.
-
Ferner
kann eine Zentralstelle zum Sammeln von Daten ungültiger RFID-Tags
vorgesehen sein, die automatisch insbesondere auf Nachfrage die
gesammelten Daten zur Verfügung
stellt.
-
Insbesondere
ist die Zentralstelle ausgebildet, um zusätzlich zu den Daten eines ungültigen RFID-Tags
ein weiteres Sicherheitsmerkmal eines Transaktions-Identifikationsmittel
bereit zu stellen.
-
Vorzugsweise
ist die Zentralstelle ausgebildet, um Daten per Funkübertragung
zur Verfügung
zu stellen. Insbesondere ist sie ausgebildet, um die Daten per Mittel-,
Lang- und/oder Kurzwellen-Datenfunk zur Verfügung zu stellen.
-
Die
Zentralstelle kann ausgebildet sein, um Daten vor einer Funkübertragung
zu verschlüsseln, insbesondere
mittels eines Public-Key-Verschlüsselungsverfahrens.
-
Weiterhin
ist in einer bevorzugten Ausführungsform
ein Empfänger
vorgesehen, um die per Funkübertragung
von der Zentralstelle zur Verfügung gestellten
Daten zu speichern und fortwährend
mit RFID-Tags zu vergleichen, die er von Transaktions-Identifikationsmitteln
empfängt.
-
Der
Empfänger
kann ausgebildet sein, um einen Alarm auszugeben, wenn er einen
RFID-Tag von einem Transaktions-Identifikationsmittel empfängt, der
einem von der Zentralstelle empfangenen Datum eines gesperrten RFID-Tags
entspricht.
-
Vorzugsweise
werden über
den Alarm ergänzende
Daten gesammelt, insbesondere Bild- oder Videodaten und/oder weitere
Identifikationsdaten, also Daten, welche zur Identifikation eines
unberechtigten Nutzers des Transaktions-Identifikationsmittels verwendet
werden können.
Diese gesammelten Daten können
insbesondere von der Zentralstelle (12) angefordert und
für einen
Kommunikation an Nutzer, beispielsweise Wachpersonal, vorzugsweise per
Display, E-Mail, SMS, MMS, Sprachausgabe, Datenprotokoll oder dergleichen
aufbereitet werden.
-
Schliesslich
betrifft die Erfindung ein Transaktions-Identifikationsmittel, insbesondere
eine Geld-, Bank- oder
Kundenkarte, das zum Einsatz mit dem erfindungsgemässen Verfahren
und/oder einer erfindungsgemässen
Vorrichtung ausgebildet ist und mindestens ein RFID-Tag, das nur
lesbar ist, und mindestens ein weiteres Sicherheitsmerkmal aufweist.
-
Vorzugsweise
ist das Transaktions-Identifikationsmittel eine Magnetstreifen-
oder Chipkarte.
-
Das
mindestens eine RFID-Tag kann derart auf der Karte angebracht sein,
dass bei einem Manipulationsversuch am RFID-Tag die Karte zerstört wird.
Beispielsweise kann das RFID-Tag unter dem mindestens einen weiteren
Sicherheitsmerkmal angebracht sein, insbesondere unter einem Magnetstreifen
und/oder einem Chip.
-
Weitere
Vorteile und Anwendungsmöglichkeiten
der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung
in Verbindung mit den in den Zeichnungen dargestellten Ausführungsbeispielen.
-
In
der Beschreibung, in den Ansprüchen,
in der Zusammenfassung und in den Zeichnungen werden die in der
hinten angeführten
Liste der Bezugszeichen verwendeten Begriffe und zugeordneten Bezugszeichen
verwendet.
-
Die
Zeichnungen zeigen in
-
1 ein
Blockschaltbild eines Ausführungsbeispiels
der erfindungsgemäßen Vorrichtung;
-
2 ein
Diagramm der Bereitstellung einer Karte gemäß der Erfindung;
-
3 ein
Diagramm der Datenbankverwaltung ungültiger RFIDs in einer Zentralstelle
gemäß der Erfindung;
-
4A und 4B Diagramme
der RFID-Aussendung gemäß der Erfindung;
-
5 ein
Diagramm der RFID-Kontrolle an einem Empfänger gemäß der Erfindung;
-
6 ein
Diagramm der Verarbeitung eines Alarms gemäß der Erfindung; und
-
7 ein
Diagramm des Datenbankbetriebs für
alle Karten-IDs gemäß der Erfindung.
-
Im
Folgenden können
gleiche und funktional gleiche Elemente mit den gleichen Bezugszeichen versehen
sein.
-
1 zeigt
ein System zum Schutz von elektronischen Transaktionen, wie es beispielsweise
in einem Kaufhaus eingesetzt werden kann. Das System umfasst mehrere
Empfänger 10, 18,
die mit (nicht dargestellten) Zahlungsterminals im Kaufhaus kommunikationsmäßig gekoppelt
sind. Die Empfänger 10 und 18 können einfache
RFID-Empfangsgeräte
sein, die an eine Schnittstelle eines Zahlungsterminals angeschlossen
werden können.
-
Wird
als Zahlungsterminal ein Personal Computer eingesetzt, können die
Empfänger
an eine serielle oder US-Schnittstelle des PCs angeschlossen werden.
-
Ein
Empfänger 10 bzw. 18 umfasst
im Wesentlichen einen Funkempfänger
zum Lesen von RFID-Tags von Transaktions-Identifikationsmitteln 12,
hier von RFID-Transaktionsmitteln,
Auswertemittel 34 zum Auswerten von Daten, die von einem Transaktions-Identifikationsmittel 12 gelesen
wurden, und eine Vergleichseinrichtung 32 zum Vergleichen
von Daten. Ein Empfänger 18 kann
auch mit einer Speichereinrichtung 14 gekoppelt sein oder
diese aufweisen, in die Daten abgelegt werden können, die für die Abwicklung von Transaktionen
von Bedeutung sind, insbesondere gesperrte RFID-Tags. Vor allem kann
die Speichereinrichtung 14 die gleichen Daten wie eine
Speichereinrichtung 14 einer Zentralstelle 11 aufweisen,
also insbesondere RFID-Nummern ungültiger RFID-Transaktionsmittel.
-
Ein
Empfänger 10 bzw. 18 empfängt in der Regel
von einem Transaktions-Identifikationsmittel 12 per (Nahbereichs-)Funkübertragung 16 ein RFID-Tag,
das nur gelesen werden kann. Dieses RFID-Tag ist auf dem Transaktions-Identifikationsmittel 12 vorgesehen.
Ferner empfängt
der Empfänger 10 bzw. 18 mindestens
ein weiteres Sicherheitsmerkmal des Transaktions-Identifikationsmittels 12,
beispielsweise Daten eines Chips oder von einem Magnetstreifen des
Transaktions-Identifikationsmittels 12.
Diese Daten können über eine
(nicht dargestellte) Lesevorrichtung vom Transaktions- Identifikationsmittel 12 gelesen
und an den Empfänger 10 bzw. 18 übertragen
werden.
-
Im
Empfänger 10 bzw. 18 werten
Auswertemittel 34 die von dem Transaktions-Identifikationsmittel 12 empfangenen
Daten aus. Die Auswertung kann beispielsweise derart erfolgen, dass
die Auswertemittel 34 das empfangene RFID-Tag mit dem mindestens
einem weiteren Sicherheitsmerkmal rechnerisch verknüpfen und
das erhaltene Ergebnis auf Plausibilität überprüfen. Somit können gefälschte Transaktions-Identifikationsmittel 12 schnell
und ohne grossen technischen Aufwand erkannt werden. Weiterhin wird das
von dem Transaktions-Identifikationsmittel 12 empfangene
RFID-Tag durch die Vergleichseinrichtung 32 mit gespeicherten
RFID-Tags verglichen. Hierzu kann der Empfänger 18 auf einen
Speicher 14 zugreifen, in dem gesperrte RFID-Tags abgelegt sind.
Er vergleicht nun das empfangene RFID-Tag mit den gesperrten RFID-Tags.
Fällt der
Vergleich positiv aus, d.h. findet die Vergleichseinrichtung 32 in der
gespeicherten Liste gesperrter RFID-Tags ein Tag, das dem empfangenen
RFID-Tag entspricht,
so veranlasst sie einen Abbruch einer von dem Transaktions-Identifikationsmittel 12 begonnenen
Transaktion.
-
Die
gesperrten RFID-Tags erhält
der Empfänger 18 per
unidirektionaler (Daten-)Funkübertragung 20 von
der Zentralstelle 11, die eine Datenbank 14 mit
gesperrten RFID-Tags betreibt. Die Zentralstelle 11 und
die Datenbank 14 können
beispielsweise von einem Dienstleister zum Überprüfen von elektronischen Transaktionen
betrieben werden. Der Dienstleister erhält von Institutionen, welche
Transaktions-Identifikationsmittel 12 ausgeben,
insbesondere von externen Datenbasen 30 der Herausgeber von
RFID-Transaktionsmitteln,
die RFID-Tags von Transaktions-Identifikationsmitteln,
die als gestohlen gemeldet wurden oder ihrem Besitzer abhanden gekommen
sind. Diese RFID-Tags sollen gesperrt werden und werden dazu von
dem Dienstleister in die Datenbank 14 eingespeist. Die
Zentralstelle 11, die beispielsweise ein Server sein kann,
sendet nun periodisch oder auch auf Anfrage automatisch die gesperrten
RFID-Tags an entsprechend ausgestattete Empfänger wie die Empfänger 10 bzw. 14 im
Kaufhaus.
-
Die Übertragung
der gesperrten RFID-Tags kann hierbei per (Daten-)Funk 20 oder
auch über eine
gesicherte IP-Übertragung 28 erfolgen.
Im letzteren Fall kann eine bidirektionale Kommunikation zwischen
Empfänger 10 und
Zentralstelle 11 erfolgen. Dies ist insbesondere dann erforderlich,
wenn der Empfänger 10 keinen
Speicher mit gesperrten RFID-Tags wie der Empfänger 18 besitzt. Bei
einer Transaktion mit einem RFID-Transaktionsmittel 12 baut
der Empfänger 10 dahe
mit der Zentralsstelle 11 eine bidirektionale Kommunikationsverbindung 28 auf,
um das RFID-Tag des eingesetzten RFID-Transaktionsmittels 12 überprüfen zu können.
-
Um
möglichst
hohe Reichweiten zu erzielen und nur wenige Zentralstellen 11 betreiben
zu müssen,
wird für
die Funkübertragung
Lang-, Mittel- und/oder Kurzwellen-Datenfunk eingesetzt. Um eine Manipulation
oder ein Ausspähen
der übertragenen gesperrten
RFID-Tags zu verhindern, verschlüsselt die
Zentralstelle 11 und ggf. der Empfänger 10 die zu übertragenden
Daten vor der Übertragung
mit einem Public-Key-Verschlüsselungsverfahren.
Hierzu besitzt die Zentralstelle 11 einen öffentlichen
und einen privaten Schlüssel.
Zum Verschlüsseln
der auszusendenden Daten verwendet es den privaten Schlüssel. Der öffentliche
Schlüssel
wird an Empfänger
verteilt, welche die Daten erhalten sollen. Um die erhaltenen Daten
entschlüsseln
zu können,
sind daher die Empfänger 10 und 18 im
Kaufhaus programmtechnisch entsprechend eingerichtet, d.h. weisen
ein Entschlüsselungsprogramm
auf, das mit dem öffentlichen
Schlüssel
der Zentralstelle 11 die von dieser ausgesendeten Daten
entschlüsseln
kann. Entschlüsselte
Daten bzw. RFID-Tags werden vom Empfänger 18 im lokalen
Speicher 14 abgelegt.
-
Die
Zentralstelle 11 kann beispielsweise periodisch Updates
der gesperrten RFID-Tags an den Empfänger 18 übertragen.
Dadurch wird die zu übertragende
Datenmenge verringert. Soll der Empfänger 18 besonders
einfach und kostengünstig
aufgebaut sein, kann der Speicher 14 entfallen (siehe den
speicher-losen Empfänger 10).
In diesem Fall muss jedoch die Zentralstelle 11 jedes Mal
die vollständige Liste
gesperrter RFID-Tags an den Empfänger 10 übertragen,
oder der Empfänger 10 überträgt das zu überprüfende RFID-Tag
an die Zentralstelle 11 und erhält von dieser die Information,
ob das RFID-Tag ungültig,
insbesondere gesperrt ist. Hierzu ist jedoch eine bidirektionale
Kommunikationsverbindung 28 erforderlich, die in der Regel
höhere
Kosten als die kostengünstige
unidirektionale Kommunikationsverbindung 20 per Datenfunk
verursacht.
-
Durch
die Einschaltung des Dienstleisters, der die Zentralstellen 11 betreibt,
können
die Kosten für
den Schutz von elektronischen Transaktionen verringert werden. Beispielsweise
kann im Gegensatz zu den herkömmlichen
Transaktionen, die jedes Mal einen bestimmten Geldbetrag kosten,
mit dem Dienstleister eine Pauschale für die Bereitstellung gesperrter
RFID-Tags vereinbart,
wodurch die Kosten für
Transaktionen gesenkt werden können.
Hierzu ist lediglich ein entsprechend ausgestatteter Empfänger zum
Empfangen von RFID-Tags bei einem Händler erforderlich. Um das
Risiko von missbräuchlichen
Transaktionen zu verringern, sollte der Händler regelmässig Listen
mit gesperrten RFID-Tags von dem Dienstleister, d.h. von der Zentralstelle 12 in
bestimmten Zeitabständen
laden, beispielsweise in Form eines Abonnements.
-
An
dieser Stelle sei erwähnt,
dass durch die berührungslose
Identifikation von Transaktions-Identifikationsmitteln
aufgrund der RFID-Tags bereits vor der Einleitung einer Transaktion
bei Händlern
unbemerkt Überprüfungen von
Transaktions-Identifikationsmitteln
vorgenommen werden können.
Dadurch können
gestohlene Transaktions-Identifikationsmittel bereits
vor dem Ausführen
einer Transaktion identifiziert werden.
-
Um
zu verhindern, dass ein RFID-Tag eines Transaktions-Identifikationsmittels
ausgetauscht wird, könnte
das RFID-Tag beispielsweise unter einem herkömmlichen Sicherheitsmerkmal
wie einem Magnetstreifen oder einem Chip auf dem Transaktions-Identifikationsmittel angebracht
werden. Hierdurch würde
das Transaktions-Identifikationsmittel beim Ändern des
RFID-Tags zerstört.
-
Werden
als Transaktions-Identifikationsmittel beispielsweise die bekannten
ec- oder Kreditkarten eingesetzt, könnte ein Kartenhersteller jede
derartiger Karten mit einem implementierten RFID-Tag herstellen.
Hierbei sollte jedes RFID-Tag eindeutig identifizierbar sein. Schließlich könnte eine
die Karte ausgebende Instanz, beispielsweise eine Bank oder ein
Kreditkartenunternehmen, die Karte durch Einprägen einer Kartennummer, eines
Karteninhabernamens und einer Gültigkeit
sowie durch Aufbringen von Informationen auf einem Magnetstreifen und/oder
Chip individualisieren.
-
Um
eine besonders hohe Sicherheit zu erzielen, könnte die auf der Karte vorhandene
RFID-Kennung bzw. das RFID-Tag von der ausgebenden Instanz ausgelesen,
rechnerisch mit einem weiteren Sicherheitsmerkmal wie beispielsweise
dem Namen des Karteninhabers oder einer Kartennummer verknüpft und
auf einem Magnetstreifen und/oder einem Chip auf der Karte abgespeichert
werden. Um einen hohen Schutz von mit derartigen Karten durchzuführenden
elektronischen Transaktionen zu erreichen, sollte jede derartige
Karten herausgebende Instanz eine Datenbank über verlorene und gestohlene
Karten führen.
Die Daten der verlorenen und gestohlenen Karten sollte diese Instanz
dann an den bereits erwähnten
Dienstleister übermitteln,
der die Zentralstellen für
gesperrte Transaktions-Identifikationsmittel
verwaltet. Der zentrale Dienstleister wiederum übermittelt diese Daten an seine Kunden
weiter, die insbesondere Händler
sind. Um eine möglichst
hohe Aktualität
der Daten zu gewährleisten, übermittelt
der zentrale Dienstleister die Daten per Funk beispielsweise mehrmals
täglich
an seine Kunden.
-
Es
ist auch möglich Überwachungseinrichtungen
einzusetzen, die RFID-Tags unbemerkt überprüfen, indem sie diese von Karten
per Funkübertragung
herunter laden. Stellt dann eine Überwachungseinrichtung eine Übereinstimmung
eines empfangenen RFID-Tags mit einem gesperrten RFID-Tag fest,
kann sie dieses RFID-Tag per Datenübertragung an den Betreiber
der Überwachungseinrichtung
(z.B. per WLAN, GSM, Ethernet-Anschluss etc.)
melden. Sofern die Überwachungseinrichtung mit
einer Kamera ausgestattet ist, kann zudem ein Foto vom missbräuchlichen
Nutzer ausgelöst
werden. Sollte die Überwachungsprozedur
zu lange dauern, kann ggf. eine Videoaufzeichnung für wenige Zeit
zwischengespeichert werden und aufgrund der festgestellten Überprüfungszeit
ein Standbild extrahiert werden.
-
Ein
Betreiber mehrerer derartiger Überwachungseinrichtungen
(z.B. Kaufhauskette) kann dann ggf. selbst eine Internet-basierte
Anfrage an einen Sicherheitsdienstleister durchführen, der die RFID-Tags aller
Karten zusammen mit den Kartennummern und den Betreibernamen speichert.
Der Dienstleister übermittelt
in diesem Fall Kartennummer und Name der als vermisst gemeldeten
Karte an den Anfrager, der dann den Warnhinweis entsprechend berücksichtigen
kann. Im Fall eines Kaufhauses könnte
dies z.B. bedeuten, dass über
ein Intranet ein Warnhinweis an die Kassen und ggf. an Kaufhausdetektive
verteilt wird.
-
Alternativ
können
Betreiber weniger Überwachungseinrichtungen
einen externen Dienstleister zur Kartenidentifikation einschalten.
In einem solchen Fall würde
ggf. eine autarke Überwachungseinrichtung
(Datenverbindung per Modem, ISDN oder GSM) eingesetzt, die sich
auch für
kleinere Händler und
deren Geschäfte
eignen würde.
Damit müssen nur
die gesperrten RFID-Tags durch die dezentralen Überwachungseinrichtungen überprüft werden,
was mit heutigen Standardprozessoren und der verfügbaren Speichertechnik
problemlos machbar sein sollte.
-
Schließlich gibt
es eine dritte Möglichkeit
für Überprüfungseinrichtungen,
die sich speziell für
kleine Geschäfte
mit einer einzigen und preiswerten Überwachungseinrichtung eignen,
bei denen der Missbrauch ein hohes Risiko darstellt: Über eine
Leseeinrichtung wird lediglich die RFID-Kennung ausgelesen, ggf.
manuell aktiviert, lokal vor Ort werden keine Daten gespeichert.
Zur Überprüfung wird
eine Verbindung (Internet, sicheres Protokoll https) zu einem Servicedienstleister
aufgebaut, der die Überprüfung vornimmt
und als Ergebnis "Karte
gültig" oder "Karte ungültig" zurück meldet.
Dieser Dienstleister kann zur Überprüfung ebenso
verfahren, wie der Betreiber einer Überprüfungseinrichtung mit eigenem Datenspeicher
für ungültige RFID-Tags
oder Karten-IDs. Dies ist in 1 in Form
der des Empfängers 10 und
der IP-Verbindung 28 mit der Zentralstelle 11 dargestellt.
-
Ein
vollständige
Schutzlösung
in Kaufhausketten könnte
beispielsweise wie folgt aussehen:
Alle Kaufhauseingänge werden
mit RFID-Empfängern
bzw. -Überwachungseinrichtungen
ausgestattet. Diese sind per Intranet ggf. mit einem zentralen Server
verbunden, der entweder selbst die Überprüfungen vornimmt (dann reichen
an den Eingängen Thin
Clients) oder der lediglich die weiteren Maßnahmen im Fall der Erkennung
einer ungültigen
Karte übernimmt.
Wird eine ungültige
Karte erkannt, kann durch eine Überwachungskamera
ein Bild der in diesem Zeitpunkt die Schranke durchquerenden Kunden
aufgenommen werden. Der Server erfragt die Kartennummer und den
aufgedruckten Karteninhaber-Namen. Name, Kartennummer und Bild des missbräuchlichen
Nutzers werden per WLAN an PDAs der Kaufhausdetektive und an die
Kassen verteilt. Damit kann der missbräuchliche Nutzer schnell identifiziert
und die Karte eingezogen werden.
-
Ein
Ausführungsbeispiel
einer Alarmeinrichtung 22 ist in 1 dargestellt.
Sobald ein Empfänger 16 ein
gesperrtes oder ungültiges
RFID-Tag erkennt, meldet er dies über die Kommunikationsverbindung 40 an
die Alarmeinrichtung 22. Diese kann dann eine Digitalkamera 24 ansteuern,
welche den Bereich um den Empfänger 18 aufzeichnet,
um Bilder vom Besitzer des gesperrten oder ungültigen RFID-Transaktionsmittels
aufzuzeichnen. Die aufgezeichneten Bilder werden von der Alarmeinrichtung 22 in
einem Bildzwischenspeicher 26 angelegt. Eine Alarmsteuerung 38 steuert
die Digitalkamera 24. Mittels einer Kommunikationseinrichtung 36 kann
der Vorgang des Aufzeichnens und/oder können die aufgezeichneten Bilder ausgegeben
werden, beispielsweise auf einem Display, per Sprachausgabe, per SMS,
MMS, e-Mail oder dergleichen Informationsübertragungsmittel.
-
Die 2 bis 7 zeigen
dem Prozess der Kartenbereitstellung, der Kartenverwaltung sowie
der Verwaltung ungültiger
RFID-Tags, die Aussendung von gesperrten RFID-Tags, die Kontrolle
von RFID-Tags sowie die Meldung eines gesperrten RFID-Tags. Die
dargestellten Diagramme bzw. Ablaufschemata sind im Wesentlichen
selbst erklärend, so
dass hier eine Beschreibung unterbleiben kann.
-
- 10
- RFID-Empfänger ohne
lokale Datenbank
- 11
- Zentralstelle
- 12
- RFID-Transaktionsnmittel
- 14
- Speicher
in der Zentralstelle mit RFID-Tags
-
- ungültiger Transaktionsmittel
- 16
- (Nahbereichs-)Funkübertragung
(Lesen des RFID-
-
- Tags)
- 18
- RFID-Empfänger mit
lokaler Datenbank
- 20
- Datenfunk
(unidirektional) per Mittel-, Lang- oder
-
- Kurzwelle
- 22
- Alarmeinrichtung
- 24
- Digitalkamera
(Foto od. Video)
- 26
- Bildzwischenspeicher
- 28
- bidirektionale
gesicherte IP-Datenübertragung
- 30
- externe
Datenbasis des Herausgebers der
-
- Transaktionsmittel
(Bank-, Kreditkarten, ...)
- 32
- Vergleichseinrichtung
- 34
- Auswertemittel
- 36
- Kommunikationseinrichtung
(Display, Sprachausgabe,
-
- SMS,
MMS, e-Mail, ...)
- 38
- Alarmsteuerung
(z.B. Steuerung Digitalkamera,
-
- Bildspeicher,
Alarm-Protokollierung, Alarmdaten-
-
- Speicherung,
Kommunikationssteuerung z.
-
- Zentralstelle
und zur Alarmausgabe)
- 40
- Meldung
erkannter Transaktionsmittel