EP2277150A1 - Method for starting a keyboard of a self-service terminal - Google Patents

Abstract

The invention relates to a method for starting a keyboard (EPP) of a self-service terminal, - wherein the keyboard (EPP) comprises a security module capable of encoding a secret code (PIN) entered by way of the keyboard (EPP) using a PIN key, - wherein the keyboard (EPP) comprises a sensor that recognizes whether the keyboard (EPP) is properly installed in the self-service terminal or not, - wherein the sensor signal is queried by the security module of the keyboard (EPP), - wherein the keyboard (EPP) automatically goes to a non operationally ready state if the sensor signal indicates that the keyboard (EPP) has not been properly installed, - wherein the keyboard (EPP) can only be restarted following a transition from an operationally ready state to a non operationally ready state if an authorized release code (FC) is entered into the security module of the keyboard.

Description

Titel: Verfahren zur Inbetriebnahme einer Tastatur eines Selbstbedienungsterminals Title: Procedure for starting a keyboard of a self-service terminal

Die Erfindung bezieht sich auf ein Verfahren zur gesicherten Inbetriebnahme einer Tastatur eines Selbstbedienungsterminals, insbesondere eines Geldautomaten. Die Tastatur eines derartigen Selbstbedienungsterminals umfasst ein sogenanntes Sicherheitsmodul, welches in der Lage ist, eine über die Tastatur eingegebene Geheimnummer (PIN) mittels eines im Sicherheitsmodul gespeicherten PIN-Schlüssels zu verschlüsseln. Derartige Tastaturen werden im englischen Sprachgebrauch auch Encrypted PIN Päd (EPP) genannt. Damit wird verhindert, dass eine eingegebene Geheimnummer (PIN) unverschlüsselt z.B. an ein zentrales Rechenzentrum einer Bank weitergeleitet wird. Diese Tastatur ist in einer Aussparung einer Abdeckfläche der Bedieneinheit des Selbstbedienungsterminals angeordnet. Zum Ausspähen der Tastenbetätigungen (und damit der PIN) des Benutzers werden von Betrügern sogenannte Überbauten über die eigentliche Tastatur gebaut. Bei diesem Überbau handelt es sich um eine von dem Betrüger präparierte Tastatur, mittels derer die Tastenbetätigun- gen ausgespäht werden. Bei der Montage eines derartigen Überbaus wird auch der Einbauzustand der eigentlichen Tastatur manipuliert, indem die Tastatur gegenüber der Abdeckfläche gewaltsam nach unten gedrückt wird.The invention relates to a method for secure startup of a keyboard of a self-service terminal, in particular an ATM. The keyboard of such a self-service terminal comprises a so-called security module, which is able to encrypt a PIN entered via the keyboard by means of a PIN key stored in the security module. Such keyboards are also called Encrypted PIN Päd (EPP) in English. This prevents an entered PIN (PIN) from being encrypted, e.g. is forwarded to a central data center of a bank. This keyboard is arranged in a recess of a cover surface of the operating unit of the self-service terminal. To spy out the key presses (and thus the PIN) of the user are built by fraudsters so-called superstructures on the actual keyboard. This superstructure is a keyboard prepared by the fraudster, through which the key presses are spied out. When mounting such a superstructure and the installation state of the actual keyboard is manipulated by the keyboard against the cover surface is pressed forcibly down.

Aus diesem Grunde gibt es vermehrt Sicherheitsanforderungen, die verlangen, dass eine derartige Manipulation (Veränderung des ordnungsgemäßen Einbauzustandes der Tastatur) über eine entsprechende Sensorik vom Sicherheitsmodul der Tastatur erkannt wird und die Tastatur über das Sicherheitsmodul im Falle einer solchen Manipulation automatisch Außerbetrieb gesetzt (gesperrt) wird. Ein autorisierter Ausbau der Tastatur durch einen Service-Techniker im War- tungs-/Reparaturfall führt jedoch ebenfalls dazu, dass die Manipulations- sensorik auslöst und die Tastatur automatisch Außerbetrieb gesetzt (gesperrt) wird, d.h. von einem betriebsbereiten Zustand in einen nicht betriebsbereiten Zustand übergeht.For this reason, there are increasingly safety requirements that require such a manipulation (change the proper installation state of the keyboard) is detected by a corresponding sensors from the security module of the keyboard and the keyboard via the security module in case of such manipulation automatically put out of action (locked) becomes. However, an authorized removal of the keypad by a service technician in the maintenance / repair case also leads to the manipulation sensor system being triggered and the keypad being automatically put out of action (disabled), ie, from a ready state to a non-operational state ,

Vor diesem Hintergrund ist es die Aufgabe der Erfindung, ein Verfahren anzugeben, dass eine sichere, einfache und kostengünstige Wiederinbetriebnahme nach einem Ausbau oder einer Manipulation ermöglicht.Against this background, it is the object of the invention to provide a method that enables a safe, simple and cost-effective restart after a removal or a manipulation.

Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 gelöst. Die sich daran anschließenden abhängigen Patentansprüche beziehen sich auf vorteilhafte Ausführungsformen.This object is solved by the features of patent claim 1. The subsequent dependent claims relate to advantageous embodiments.

Erfindungsgemäß ist es vorgesehen, das die Tastatur nach einem Übergang von einem betriebsbereiten Zustand in einen nichtbetriebsbereiten Zustand nur dann wieder in Betrieb genommen werden kann, wenn ein autorisierter Freischaltcode in das Sicherheitsmodul der Tastatur eingegeben und von diesem verifiziert wird. According to the invention, it is provided that the keyboard can only be put back into operation after a transition from a ready state to a non-operational state when an authorized activation code is entered into the security module of the keyboard and verified by it.

Anhand der beigefügten Zeichnungen soll die Erfindung nachfolgend näher erläutert werden.Reference to the accompanying drawings, the invention will be explained in more detail below.

Es zeigt:It shows:

Fig. 1 eine schematische Draufsicht auf eine in der Abdeckfläche derFig. 1 is a schematic plan view of a in the covering of the

Bedieneinheit des Selbstbedienungsterminals eingebaute Tastatur,Operating unit of the self-service terminal built-in keyboard,

Fig. 2 eine schematische Darstellung des EPP-Montagerahmens mit einem darauf angeordneten Schalter zur Manipulationserkennung sowie der darüber angeordneten Abdeckfläche der Bedieneinheit, Fig. 3 einen schematischen Schnitt durch die Tastatur mit Sicherheitsmodul,2 shows a schematic representation of the EPP mounting frame with a switch for manipulation detection arranged thereon and the covering surface of the operating unit arranged above it, FIG. 3 shows a schematic section through the keyboard with security module,

Fig.4A/B die beiden Schalterstellungen, die einen ordnungsgemäßen bzw. nicht ordnungsgemäßen Einbauzustand anzeigen,4A / B, the two switch positions indicating a proper or improper installation state,

Fig. 5 ein Blockschaubild zur Verdeutlichung des Verfahrens,5 is a block diagram to illustrate the method,

Fig. 6 ein Flußdiagramm zur Veranschaulichung des Verfahrens.Fig. 6 is a flowchart for illustrating the method.

Figur 1 zeigt eine schematische Draufsicht auf eine in einer Aussparung der Abdeckfläche der Bedieneinheit des Selbstbedienungsterminals eingebaute Tastatur. Die EPP-Tastatur besteht aus ihren Bedientasten und dem darunter angeordneten Sicherheitsmodul. Zum Einbau in die Abdeckfläche der Bedieneinheit weist die EPP-Tastatur einen Montagerahmen auf, der über eine Schraubverbindung (nicht dargestellt) mit der Abdeckfläche (Abdeckplatte) ver- schraubt wird. Der Sensor, der erkennt, ob die Tastatur ordnungsgemäß in dem Selbstbedienungsterminal eingebaut ist, befindet sich bevorzugt auf dem Montagerahmen, wobei das Sensorsignal von dem Sicherheitsmodul der Tastatur abgefragt wird. Bei dem Sensor kann es sich um einen mechanischen Mikro- schalter handeln, dessen Schalterzustand elektrisch abgefragt wird. Dabei be- deutet ein offener Schalter (symbolisiert durch den Zustand: 0), dass die Tastatur nicht ordnungsgemäß eingebaut ist, während ein geschlossener Schalter (symbolisiert durch den Zustand: 1) bedeutet, dass die Tastatur ordnungsgemäß eingebaut ist. Selbstverständlich kann die Zuordnung der Schalterzustände auch umgekehrt sein. Zur Betätigung des Schalters kann auf der dem Schalter zugewandten Seite der Abdeckfläche ein im ordnungsgemäß einge- bauten Zustand auf den Schalter drückender Stift vorgesehen sein.Figure 1 shows a schematic plan view of a built-in a recess of the cover surface of the control unit of the self-service terminal keyboard. The EPP keyboard consists of its control buttons and the security module underneath. For installation in the cover surface of the operating unit, the EPP keyboard has a mounting frame, which is screwed to the cover surface (cover plate) via a screw connection (not shown). The sensor, which detects whether the keyboard is properly installed in the self-service terminal, is preferably located on the mounting frame, with the sensor signal being interrogated by the security module of the keyboard. The sensor may be a mechanical microswitch, whose switch state is electrically interrogated. In this case, an open switch (symbolized by the state: 0) means that the keyboard is not installed correctly, while a closed switch (symbolized by the state: 1) means that the keyboard is properly installed. Of course, the assignment of the switch states can also be reversed. To operate the switch, a pin which presses on the switch in the properly installed state can be provided on the side of the cover surface facing the switch.

Bei einer Manipulation, bei der die Tastatur gegenüber der Abdeckfläche gewaltsam nach unten gedrückt wird, wird der Schalter geöffnet, was wiederum im Sicherheitsmodul der Tastatur, wo der Schalterzustand abgefragt wird, dazu führt, dass die Tastatur automatisch Außerbetrieb gesetzt (gesperrt) wird.In a manipulation where the keyboard is forcibly pressed down against the cover surface, the switch is opened, which in turn results in the security module of the keyboard, where the switch state is queried, causing the keyboard to be automatically disabled (disabled).

Die gleiche Situation (öffnen des Schalters) tritt jedoch auch dann auf, wenn die Tastatur im Wartungs-/Reparaturfall von einem Service-Techniker ausgebaut wird.However, the same situation (opening the switch) also occurs when the keyboard is removed by a service technician during maintenance / repair.

Um die Tastatur nach einem Ausbau in Wartungs-/Reparaturfall wieder in Betrieb zu nehmen reicht es nicht aus, dass der Schalter nach einem ordnungsgemäßen Einbau der Tastatur wieder geschlossen wird. Erfindungsgemäß ist es vielmehr vorgesehen, dass für eine Wiederinbetriebnahme der Tastatur ein von einer Autorisierungsstelle erzeugter Freischaltcode (FC) in das Sicherheitsmodul der Tastatur eingegeben und dort verifiziert werden muß.In order to put the keyboard back into operation after a disassembly for maintenance / repair, it is not sufficient that the switch is closed again after a proper installation of the keyboard. Rather, it is provided according to the invention that, for restarting the keyboard, an activation code (FC) generated by an authorization center must be entered into the security module of the keyboard and verified there.

Das Verfahren zur Erzeugung und zur Verifizierung des Freischaltcodes (FC) ist in Figur 5 dargestellt. Im Sicherheitsmodul der Tastatur wird eine Zufallszahl (RND) generiert und zusammen mit einer die Tastatur eindeutig kennzeichnenden Tastatur-Kennung (z.B. Serien-Nr.) an den Service-Techniker ausgegeben. Für die Generierung der Zufallszahl (RND) und die Ausgabe der Tastatur- Serien-Nr. startet der Service-Techniker über eine entsprechende Schnittstelle eine Software-Routine im Sicherheitsmodul der Tastatur. Die Ausga- be/Übermittlung der Zufallszahl (RND) und der Serien-Nr. an den Service- Techniker kann über verschiedene Wege erfolgen, beispielsweise können die- se dem Service-Techniker visuell auf einem Monitor angezeigt oder auf eine elektronische Speichereinrichtung des Service-Technikers übermittelt werden.The method for generating and verifying the enabling code (FC) is shown in FIG. A random number (RND) is generated in the security module of the keyboard and output to the service technician together with a keyboard identifier (eg serial number) that uniquely identifies the keyboard. For the generation of the random number (RND) and the output of the keyboard serial no. The service technician starts a software routine in the security module of the keyboard via an appropriate interface. The output / transmission of the random number (RND) and the serial no. The service technician can be approached in various ways, such as be displayed to the service technician visually on a monitor or transmitted to an electronic storage device of the service technician.

Über den Service-Techniker werden die Zufallszahl (RND) und die Serien-Nr. nun an eine räumlich entfernt angeordnete zentrale Autorisierungsstelle übermittelt. Dies kann beispielsweise in Form einer SMS (Short Message Nachricht) über eine Mobilfunktelefonverbindung erfolgen. Es ist jedoch auch eine fernmündliche Übertragung dieser Daten (Zufallszahl und Serien-Nr.) oder eine Übertragung per Telefax möglich. Darüber hinaus ist auch eine Übermittlung von Zufallszahl (RND) und Serien-Nr. an die Autorisierungsstelle durch eine Internetverbindung möglich.About the service technician, the random number (RND) and the serial no. now transmitted to a remote centrally located authorization authority. This can be done for example in the form of an SMS (Short Message message) via a mobile phone connection. However, a telephone transmission of this data (random number and serial number) or a transmission by fax is also possible. In addition, a transmission of random number (RND) and serial no. to the authorization office through an internet connection possible.

Anhand der Serien-Nr. wird nun in der Autorisierungsstelle ein Schlüssel (K) zurBased on the serial no. Now a key (K) is added to the authorization point

Verschlüsselung der Zufallszahl (RND) abgeleitet. Zur Bildung des Freischalt- codes (FC) wird die Zufallszahl (RND) mit dem Schlüssel (K) unter Anwendung eines bestimmten Verschlüsselungsprogramms (Algorithmus) verschlüsselt:Encryption of random number (RND) derived. To form the activation code (FC), the random number (RND) is encrypted with the key (K) using a specific encryption program (algorithm):

FC = encκ(RND). Dabei wird der in der Autorisierungsstelle berechnete Freischaltcode zur Unterscheidung des im Sicherheitsmodul der Tastatur berechneten Freischaltcodes - siehe unten - mit FC2 bezeichnet. Der so berechnete Freischaltcode (FC2) wird nun von der Autorisierungsstellte an den Service- Techniker übermittelt. Dies kann beispielsweise ebenfalls in Form einer SMS- Nachricht oder aber über eine andere Telefon- oder Internetverbindung erfolgen. Der so erhaltene Freischaltcode (FC2) wird nun vom Service-Techniker über eine entsprechende Schnittstelle in das Sicherheitsmodul der Tastatur eingegeben. Dabei kann er beispielsweise für die Eingabe auch die Bedientasten der Tastatur selbst nutzen. Im Sicherheitsmodul der Tastatur wird nun der eingegebene Freischaltcode (FC2) verifiziert. Zu diesem Zweck wird die Zufallszahl (RND) nach demselben Algorithmus und mit demselben für die Tastatur-Kennung spezifischen Schlüssel (K) verschlüsselt wie in der Autorisierungs- stelle. Anschließend wird der in das Sicherheitsmodul der Tastatur (EPP) eingegebene Freischaltcode (FS2) mit dem im Sicherheitsmodul selbst berechne- ten Freischaltcode (FS1) verglichen. Stimmen die beiden überein, so kann die Tastatur unter bestimmten Bedingungen wieder in Betrieb genommen werden.FC = encκ (RND). In this case, the activation code calculated in the authorization point for distinguishing the activation code calculated in the security module of the keyboard - see below - is designated FC2. The activation code (FC2) calculated in this way is now transmitted from the authorization office to the service technician. This can also take place, for example, in the form of an SMS message or via another telephone or Internet connection. The unlock code (FC2) thus obtained is now entered by the service technician via a corresponding interface in the security module of the keyboard. He can, for example, for the input also use the control keys of the keyboard itself. In the security module of the keyboard, the entered activation code (FC2) is verified. For this purpose, the random number (RND) is encrypted according to the same algorithm and with the same key identifier (K) as in the authorization point. Subsequently, the activation code (FS2) entered into the security module of the keyboard (EPP) is compared with the activation code calculated in the security module itself. The release code (FS1) is compared. If the two agree, the keyboard can be put back into operation under certain conditions.

Das erfindungsgemäße Verfahren hat den Vorteil, dass die Tastatur nach einer Sperrung aufgrund einer nicht ordnungsgemäßen Einbausituation nach einemThe inventive method has the advantage that the keyboard after a lock due to an improper installation situation after a

Ausbau in einfacher Weise ferngesteuert sicher wieder in Betrieb genommen werden kann. Eine sichere Wiederinbetriebnahme erfordert somit nicht, dass die Tastatur an den Tastaturhersteller versandt werden muß, um dort vor Ort in einer sicheren Umgebung eine Wiederinbetriebnahme (Freischaltung) zu be- wirken. Durch das erfindungsgemäße Verfahren werden somit Zeit und Kosten gespart.Removal in a simple way remotely safe operation can be started again. Safe recommissioning therefore does not require that the keyboard be sent to the keyboard manufacturer in order to bring it back into operation (activation) on site in a secure environment. The inventive method thus saves time and costs.

In Figur 6 sind die verschiedenen Zustände, in denen sich eine Tastatur befinden kann, anhand eines Flußdiagramms dargestellt sowie die Übergänge zwi- sehen diesen Zuständen erläutert.FIG. 6 shows the various states in which a keyboard can be located on the basis of a flowchart, as well as the transitions between these states.

Nach der Fertigstellung befindet sich die Tastatur in einem sogenannten Auslieferungszustand (S1). In diesem Zustand ist der Schalter offen (Schalterzustand = 0). Nach dem Laden eines sogenannten Transportschlüssels (Ü1) in das Si- cherheitsmodul der Tastatur geht die Tastatur in einem sogenannten Transportzustand (S2) über. Aus diesem Zustand heraus kann die Tastatur nach einem ordnungsgemäßen Einbau in ein Selbstbedienungsterminal, bei dem der Schalter geschlossen wird, unter bestimmten Bedingungen automatisch in einen betriebsbereiten Zustand überführt werden. Mit dem „lokalen" Laden des PIN-Schlüssels, der für die Verschlüsselung der von dem Benutzer über die Tastatur eingegebenen Geheimnummer (PIN) erforderlich ist, wird der Schalter und/oder die Schalterabfrage über das Sicherheitsmodul aktiviert. Dabei wird unter dem „lokalen" Laden des PIN-Schlüssels - im Unterschied zum Vorladen des PIN-Schlüssel an einer zentralen Schlüsselladestelle - das Laden des PIN- Schlüssels am Standort des Selbstbedienungsterminals verstanden. Dabei kann der PIN-Schlüssel beim „lokalen" Laden sowohl manuell vor Ort in das Sicherheitsmodul eingegeben werden als auch durch ein über Verschlüsselung abgesichertes ferngesteuertes Schlüsselladen (sogenanntes Remote Key Loa- ding). Falls nun der PIN-Schlüssel „lokal" geladen wurde und die Tastatur ordnungsgemäß eingebaut wurde, d.h. der Schalter wurde geschlossen (Schalter- zustand = 1), geht die Tastatur automatisch in den betriebsbereiten Zustand (S3) über, wenn eine entsprechende Schalterzustandsabfrage durch das Sicherheitsmodul den geschlossenen Schalterzustand bestätigt. Wenn die Schalterabfrage allerdings den offenen Schalterzustand detektiert, geht die Tastatur automatisch in den nicht betriebsbereiten Zustand (S4) über, in dem die Tasta- tur gesperrt ist. Die Tastatur geht aus Sicherheitsgründen auch dann automatisch in den nicht betriebsbereiten Zustand (S4) über, wenn die Schalterabfrage zwar den geschlossenen Schalterzustand detektiert, der PIN-Schlüssel aber an einer zentralen Schlüsselladestelle vorgeladen wurde. Bei Tastaturen mit zentral vorgeladenen PIN-Schlüsseln soll daher auch bei ordnungsgemäßem Ein- bau die Inbetriebnahme erst nach einer autorisierten Freischaltung (siehe unten) erfolgen.After completion, the keyboard is in a so-called delivery state (S1). In this state, the switch is open (switch state = 0). After loading a so-called transport key (Ü1) into the security module of the keyboard, the keyboard changes to a so-called transport state (S2). Out of this condition, the keyboard, after being properly installed in a self-service terminal where the switch is closed, can be automatically brought to a ready state under certain conditions. With the "local" loading of the PIN key, which is required for the encryption of the PIN entered by the user via the keyboard, the switch and / or the switch query is activated via the security module. Loading the PIN key - in contrast to pre-loading the PIN key at a central key loading point - understood the loading of the PIN key at the location of the self-service terminal. In this case, the PIN key at the "local" loading both manually on site in the Security module are entered as well as by a secured by encryption remote key store (so-called Remote Key Loading). If the PIN key has been loaded "locally" and the keyboard has been correctly installed, ie the switch has been closed (switch status = 1), the keyboard will automatically switch to the ready state (S3) if a corresponding switch status inquiry by the However, if the switch detection detects the open switch state, the keypad will automatically go to the nonoperational state (S4) where the keyboard is locked, and the keypad automatically goes to the non-operational state for safety reasons State (S4), if the switch request detects the closed switch state, but the PIN key has been precharged at a central key loading point, in the case of keyboards with centrally pre-loaded PIN keys, commissioning should not take place until after an authorized activation (see below) respectively.

Eine Tastatur, die sich im betriebsbereiten Zustand (S3) befindet, detektiert bei Ausbau/Manipulation (Ü3) der Tastatur einen Wechsel des Schalterzustandes von geschlossen (1) nach offen (0). Dies führt automatisch dazu, dass die Tastatur in den nicht betriebsbereiten Zustand (S4) überführt wird. In diesem Zustand ist die Tastatur gesperrt. Dieser Zustand kann in einer Ausführungsform noch durch eine optische Information, beispielsweise durch eine blinkende LED, angezeigt werden.A keyboard that is in the ready state (S3), detected during removal / manipulation (Ü3) of the keyboard switching the switch state from closed (1) to open (0). This will automatically cause the keyboard to become inoperable (S4). In this state, the keyboard is locked. In one embodiment, this state can still be indicated by optical information, for example by a flashing LED.

Um nun eine Tastatur aus dem nicht betriebsbereiten Zustand (S4) wieder in Betrieb nehmen zu können, muß von einem Service-Techniker die erfindungsgemäße Freischaltprozedur (siehe Figur 5) initiiert werden (Ü4). Dabei wird das Sicherheitsmodul der Tastatur aufgefordert, die Zufallszahl (RND) sowie die Tastatur-Kennung (Serien-Nr.) auszugeben. Anschließend geht die Tastatur in einen Freischaltcode-Empfangszustand (S5) über. Falls die Tastatur wieder ordnungsgemäß eingebaut wurde (Schalter geschlossen; Schalterzustand = 1) und ein autorisierter Freischaltcode (FC) eingegeben wurde, geht die Tastatur automatisch wieder in den betriebsbereiten Zustand (S3) über (siehe Pfad Ü5.1). Es ist jedoch auch vorgesehen, dass die Tastatur nach Eingabe eines autorisierten Freischaltcodes (FC) in den Transportzustand (S2) überführt wird, falls die Tastatur sich in einer Werkstatt oder einem Zwischenlager befindet (Pfad Ü5.2). In order to be able to restart a keyboard from the inoperable state (S4), the enabling procedure according to the invention (see FIG. 5) must be initiated by a service technician (see FIG. 5). The security module of the keyboard is prompted to output the random number (RND) and the keyboard identifier (serial number). Thereafter, the keyboard enters an unlock code reception state (S5). If the keyboard again has been correctly installed (switch closed, switch state = 1) and an authorized release code (FC) has been entered, the keypad automatically returns to the ready state (S3) (see path Ü5.1). However, it is also provided that the keyboard after entering an authorized unlock code (FC) in the transport state (S2) is transferred, if the keyboard is in a workshop or an intermediate storage (path Ü5.2).

Claims

Patentansprüche: claims:

1. Verfahren zur Inbetriebnahme einer Tastatur (EPP) eines Selbstbedienungsterminals, - wobei die Tastatur (EPP) ein Sicherheitsmodul umfasst, welches in der Lage ist, einen über die Tastatur (EPP) eingegebenen Geheimcode (PIN) mittels eines PIN-Schlüssels zu verschlüsseln,A method for operating a keypad (EPP) of a self-service terminal, wherein the keypad (EPP) comprises a security module which is able to encrypt a secret code (PIN) entered via the keypad (EPP) by means of a PIN key,

- wobei die Tastatur (EPP) über einen Sensor verfügt, der erkennt, ob die Tastatur (EPP) ordnungsgemäß in dem Selbstbedienungsterminal einge- baut ist oder nicht,the keyboard (EPP) has a sensor that detects whether the keyboard (EPP) is properly installed in the self-service terminal or not,

- wobei das Sensorsignal von dem Sicherheitsmodul der Tastatur (EPP) abgefragt wird,wherein the sensor signal is requested by the security module of the keyboard (EPP),

- wobei die Tastatur (EPP) automatisch in einen nicht betriebsbereiten Zustand geht, wenn das Sensorsignal anzeigt, dass die Tastatur (EPP) nicht ordnungsgemäß eingebaut ist,the keyboard (EPP) automatically goes to a non-operational state when the sensor signal indicates that the keyboard (EPP) is not installed properly,

- wobei die Tastatur (EPP) nach einem Übergang von einem betriebsbereiten Zustand in einen nicht betriebsbereiten Zustand nur dann wieder in Betrieb genommen werden kann, indem ein autorisierter Freischaltcode (FC) in das Sicherheitsmodul der Tastatur eingegeben wird.- The keyboard (EPP) after a transition from a ready state to a non-operational state can only be put back into operation by an authorized unlock code (FC) is entered into the security module of the keyboard.

2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass2. The method according to claim 1, characterized in that

- von dem Sicherheitsmodul der Tastatur eine die Tastatur (EPP) eindeutig kennzeichnende Tastatur-Kennung (Seriennummer) und eine Zufallszahl (RND) ausgegeben und an eine Autorisierungsstelle übermittelt wird,a keypad identification (serial number) uniquely identifying the keyboard (EPP) and a random number (RND) are output by the security module of the keyboard and transmitted to an authorization point,

- die Zufallszahl (RND) in der Autorisierungsstelle mit einem für die Tastatur-Kennung spezifischen Schlüssel (K) zur Bildung des Freischaltcodes (FS) verschlüsselt wird: FS= enc_κ(RND). - The random number (RND) is encrypted in the authorization point with a keyboard identifier specific key (K) to form the activation code (FS): FS = enc _κ (RND).

3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Autorisierungsstelle den Freischaltcode (FS) zur Eingabe in das Sicherheitsmodul übermittelt, im Sicherheitsmodul der Tastatur (EPP) die Zufallszahl (RND) nach demselben Algorithmus und mit demselben für die Tastatur-Kennung spezifischen Schlüssel (K) wie in der Autorisierungsstelle verschlüsselt wird, wobei der in das Sicherheitsmodul der Tastatur (EPP) eingegebene Freischaltcode (FS2) mit dem im Sicherheitsmodul selbst berechneten Frei- schaltcode (FS1) verglichen wird.3. The method according to claim 2, characterized in that the authorization center transmits the activation code (FS) for input to the security module, in the security module of the keyboard (EPP) the random number (RND) according to the same algorithm and with the same key specific to the keyboard identifier (K) is encrypted as in the authorization point, wherein the unlocking code (FS2) entered into the security module of the keyboard (EPP) is compared with the free-running code (FS1) calculated in the security module itself.

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass für eine Erstinbetriebnahme der Tastatur (EPP) das Sicherheitsmodul in ei- nen Transportzustand bringbar ist, wobei die Tastatur dann nach ordnungsgemäßem Einbau in das Selbstbedienungsterminal und Laden des PIN- Schlüssels in das Sicherheitsmodul (M) automatisch in den betriebsbereiten Zustand übergeht.4. The method according to any one of claims 1 to 3, characterized in that for initial commissioning of the keyboard (EPP), the security module in a transport state NEN can be brought, the keyboard then after proper installation in the self-service terminal and loading the PIN key in the safety module (M) automatically switches to the ready state.

5. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass für eine Wiederinbetriebnahme der Tastatur (EPP) dieselbe nach Eingabe des autorisierten Freischaltcodes (FC) in den Transportzustand bringbar ist, wobei die Tastatur (EPP) dann nach ordnungsgemäßem Einbau in das Selbstbedienungsterminal und nach Laden des PIN-Schlüssels in das Sicherheitsmodul automatisch in den betriebsbereiten Zustand übergeht. 5. The method according to any one of the preceding claims, characterized in that for a restart of the keyboard (EPP) the same after entering the authorized activation code (FC) in the transport state can be brought, the keyboard (EPP) then after proper installation in the self-service terminal and automatically switches to the ready state after loading the PIN key into the security module.

6. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die vom Sicherheitsmodul der Tastatur ausgegebene Tastatur-Kennung (Seriennummer) und die Zufallszahl (RND) über eine Telefonverbindung oder ei- ne Internetverbindung an die Autorisierungsstelle übermittelt wird.6. The method according to any one of the preceding claims, characterized in that the output from the security module of the keyboard keyboard identifier (serial number) and the random number (RND) is transmitted via a telephone connection or an Internet connection to the authorization point.

7. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass der Freischaltcode (FS2) von der Autorisierungsstelle über eine Telefonver- bindung oder eine Internetverbindung zur Eingabe in das Sicherheitsmodul (M) der Tastatur (EPP) übermittelt wird.7. The method according to any one of the preceding claims, characterized in that the activation code (FS2) is transmitted from the authorization center via a telephone connection or an Internet connection for input to the security module (M) of the keyboard (EPP).

8. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass nach N-maliger Fehleingabe des Freischaltcodes der aktuelle Freischaltcode (FS) zur Inbetriebnahme oder zur Wiederinbetriebnahme gesperrt wird.8. The method according to any one of the preceding claims, characterized in that after N-times incorrect input of the activation code of the current enabling code (FS) is disabled for commissioning or recommissioning.

9. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass als Sensor ein Schalter verwendet wird.9. The method according to any one of the preceding claims, characterized in that a switch is used as a sensor.

10. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass der nicht betriebsbereite Zustand der Tastatur über ein optische Information angezeigt wird. 10. The method according to any one of the preceding claims, characterized in that the non-operational state of the keyboard is displayed via an optical information.