Beschreibung

Datenaustauschvorrichtung

Die Erfindung betrifft eine Datenaustauschvorrichtung, insbesondere eine Datenaustauschvorrichtung eines Tachographen, zum manipulationsgesicherten Austausch von Daten zwischen einer Karte und der Datenaustauschvorrichtung, welche Karte einen Datenspeicher aufweist, wobei die Datenaustauschvorrichtung eine Logikeinheit aufweist, die den Datenaustausch zwischen der Karte und der Datenaustauschvorrichtung überwacht .

Im gewerblichen Güter- und Personenkraftverkehr werden die Betriebsdaten der Nutzfahrzeuge personenbezogen mittels eines Tachographen aufgezeichnet. Gemäß EWG-Verordnung 3820 ist die Ausstattung von Neufahrzeugen mit einer neuen Generation von Tachographen vorgesehen, die im Gegensatz zu der alten

Ausführung die Betriebsdaten nicht mehr analog auf einer papiernen Diagrammscheibe aufzeichnet, sondern digital in einem Speicher abspeichert, wobei jedem Fahrzeugführer eine Datenkarte zugeordnet ist, die zum Zwecke des Datenaustauschs mit dem Tachographen mit diesem in Verbindung gebracht werden kann. Hierbei ist vorgesehen, dass der Tachograph die Karte vollständig aufnimmt, damit Manipulationsversuche während der Datenübertragung zwischen dem Tachographen und dem Datenspeicher der Karte erfolglos bleiben. Ein Tachograph dieser Art ist bereits aus dem europäischen Patent

EP 0 794 499 Bl bekannt. Der Umstieg auf eine digitale Aufzeichnung der Betriebsdaten birgt die Gefahr, dass diese manipulierbar sind und der wertvolle juristische Nachweischarakter dieser Aufzeichnungen verloren gehen könnte. Daher werden umfassende Anstrengungen unternommen, den Erfolg etwaiger Manipulationsversuche zu vermeiden. Beispielsweise ist der Schreibzugriff auf den Datenspeicher einer Karte nur nach einer sicheren Authentifizierung des

Kommunikationspartners möglich. Daneben ist die verwendete Hardware des Tachographs gegen sämtliche zurzeit denkbaren Angriffe geschützt.

In diesem Zusammenhang hat es sich die Erfindung zur Aufgabe gemacht, insbesondere die auch juristisch sensiblen Daten der Aufzeichnungen eines Tachographs, während des Austausche von Daten gegen Manipulationen abzusichern und Manipulationsversuche sicher zu erkennen bzw. zu registrieren, so dass eine Manipulation als Ereignis zeitlich nachvollzogen werden kann.

Zur Lösung der erfindungsgemäßen Aufgabe schlägt die Erfindung eine Datenaustauschvorrichtung der eingangs genannten Art mit den Merkmalen des Anspruchs 1 vor. Die jeweils rückbezogenen Unteransprüche beinhalten vorteilhafte Weiterbildungen der Erfindung.

Die erfindungsgemäße Datenaustauschvorrichtung ist bevorzugt Bestandteil eines Tachographen und hierbei zweckmäßig in einem gemeinsamen Gehäuse mit anderen Komponenten eines Tachographen angeordnet, beispielsweise einer Anzeigeeinheit, einem Massenspeicher zur Aufzeichnung der Betriebsdaten, einem Drucker zur Ausgabe von Ergebnissen verschiedener Auswertungen der Betriebsdaten oder einer automatisierten Kartenaufnahmevorrichtung, die eine eingegebene Karte selbsttätig in das Innere des Tachographen befördert oder bei entsprechender Anforderung ausgibt. Die verwendete Datenkarte weist zweckmäßig neben einem Datenspeicher auch einen Prozessor und eine Verschlüsselungseinheit auf, welche Verschlüsselungseinheit zumindest die Absicherung von Schreibvorgängen in dem Datenspeicher der Karte ermöglicht. Unter einem erfindungsgemäßen Manipulationsereignis bzw. einem entsprechenden Speichereintrag ist die Zuordnung eines Zeitpunktes zu dem registrierten Manipulationsvorgang zu verstehen. Unter physikalischer Anwesenheit ist die Anordnung der Karte an einem bestimmten Ort der Datenaustauschvorrichtung zu verstehen, der einen

Datenaustausch ermöglicht. Die logische Anwesenheit der Karte meint hierbei das Stattfinden eines Datenaustausche. Ein entscheidender Vorteil der Erfindung liegt in der Kombination der beiden Kriterien die den Anlass für den Eintrag eines Manipulationsereignisses in den Speicher der

Datenaustauschvorrichtung oder der Karte bilden. Ein etwaiger Manipulationsversuch kann sich auf diese Weise nicht nur darauf beschränken, die physikalische Anwesenheit einer Karte zu simulieren oder mittels einer Datenübertragung die logische Anwesenheit der Karte vorzutäuschen - erschwerend muss ein Manipulationsversuch erfindungsgemäß beide Kriterien erfüllen, um unbemerkt zu bleiben.

Eine zweckmäßige Möglichkeit, die physikalische Anwesenheit der Karte zu erkennen, besteht darin, dass mindestens ein Sensor vorgesehen ist, der erkennt, ob die Karte sich in einem Bereich der Datenaustauschvorrichtung befindet, der für einen Datenaustausch geeignet ist, der Sensor mit der Logikeinheit in Verbindung steht und die Logikeinheit die Karte als physikalisch anwesend erkennt, wenn der Sensor die Präsens der Karte meldet. Als besonders sicheres Kriterium für die logische Anwesenheit der Karte ist ein ungestörter Datenaustausch zwischen der Datenaustauschvorrichtung und der Logikeinheit zweckmäßig, insbesondere, wenn der Inhalt des Speichers der Karte sich vollständig von der Datenaustauschvorrichtung auslesen lässt.

Eine zweckmäßige Weiterbildung der Erfindung sieht vor, dass die Karte Anschlusskontakte aufweist, dass die Datenaustauschvorrichtung eine einen Anschlusskontaktsatz aufweisende Datenübertragungsschnittstelle aufweist, die derart ausgebildet ist, dass mittels ihrer die Datenaustauschvorrichtung und der Datenspeicher eine datenübertragende Verbindung eingehen können, dass in einer ersten Position der Karte die Anschlusskontakte an Kontakten des Anschlusskontaktsatzes anliegen, wobei die Datenaustauschvorrichtung mindestens einen zweiten Sensor aufweist, der erkennt, ob die Karte sich in der ersten

Position befindet, die Logikeinheit derart ausgebildet ist, dass er die Karte als physikalisch nicht anwesend erkennt, wenn der zweite Sensor meldet, dass die Karte sich nicht in der ersten Position befindet. Eine zweckmäßige andere aber vorzugsweise zusätzliche Möglichkeit, die physikalische

Anwesenheit der Karte zu kontrollieren besteht darin, dass die Datenaustauschvorrichtung, welche mittels Kontaktes mit der Karte eine datenübertragende Verbindung bilden kann, eine Verriegelungseinheit aufweist, die, wenn sie sich in einer ersten Stellung befindet, die physikalisch anwesende Karte in einer ersten Position fixiert, in der es zu einem die Datenübertragung ermöglichenden Kontakt der Datenaustauschvorrichtung zu der Karte kommt, wobei mindestens ein erster Sensor vorgesehen ist, der erkennt, ob die Verriegelungseinheit sich in der ersten Stellung befindet und die Logikeinheit derart ausgebildet ist, dass ein Manipulationsereignis in einem Speicher der Datenaustauschvorrichtung und/oder der Karte aufgezeichnet wird, wenn der zweite Sensor meldet, dass sich die Verriegelungseinheit nicht in der ersten Stellung befindet. Dieses Kriterium zur Aufzeichnung eines

Manipulationsereignisses wirkt gleichsam präventiv, da ein Eingriff in den Verriegelungsmechanismus einer Datenaustauschvorrichtung bzw. eines Tachographen regelmäßig notwendig ist, um eine Manipulation durchzuführen obgleich noch keine Einflussnahme auf den Datenfluss erfolgt sein muss .

Besonders wirkungsvoll zur Detektion eines Manipulationsversuchs an der Software ist eine Ausbildung der Datenaustauschvorrichtung derart, dass selbige nach dem Zustandekommen einer Daten übertragenden Verbindung zwischen der Datenaustauschvorrichtung und dem Datenspeicher zunächst den Datenspeicher vollständig ausliest. Auf diese Weise wird der gesamte Speicherinhalt des Datenspeichers eingangs überprüft. Um auch Manipulationsversuche während des laufenden Betriebes der Datenaustauschvorrichtung bzw. eines Tachographen nachvollziehen zu können, ist es zweckmäßig,

wenn die Logikeinheit mittels des ersten Sensors und/oder des zweiten Sensors zyklisch eine überprüfung durchführt, ob die Verriegelungseinheit in der ersten Stellung ist bzw. die Karte sich in der ersten Position befindet. Da die Datenaustauschvorrichtung bzw. ein Tachograph nach Auswahl einer Betriebsspannung aufgrund der Fortfalls verschiedener spannungsgebundener überwachungsmechanismen anfällig ist für Manipulationen, ist es zweckmäßig, wenn im Anschluss an das Einschalten der Betriebsspannung die Datenaustauschvorrichtung überprüft, ob die Karte physikalisch anwesend ist.

Im Folgenden ist die Erfindung anhand eines speziellen Ausführungsbeispiels unter Bezugnahme auf Zeichnungen näher verdeutlicht. Es zeigen:

Figur 1 eine schematische Darstellung des

Zusammenwirkens einer Karte mit einer erfindungsgemäßen Datenaustauschvorrichtung eines Tachographen und

Figur 2 eine schematische Darstellung des

Prozessablaufs nach dem Einschalten der Betriebsspannung einer erfindungsgemäßen Datenaustauschvorrichtung bzw. eines

Tachographen .

In Figur 1 ist eine erfindungsgemäße

Datenaustauschvorrichtung 1 als Bestandteil eines Tachographen DTCO im Zusammenwirken mit einer einen

Datenspeicher 2 aufweisenden Karte 3 schematisch abgebildet.

Wesentliche Bestandteile der Datenaustauschvorrichtung 1 sind eine Logikeinheit 4, ein Speicher 5, ein

Anschlusskontaktsatz 6, Sensoren 7, 8 und eine Verriegelungseinheit 9. Mit Eingabe der Karte 3 in die

Datenaustauschvorrichtung 1 des Tachographen DTCO erreicht die Karte eine erste Position 10 in der

Datenaustauschvorrichtung 1, in der der

Anschlusskontaktsatz 6 mit Anschlusskontakten 11 zur Anlage kommt, so dass eine elektrische Verbindung zwischen der Datenaustauschvorrichtung 1 und der Karte 3 etabliert ist. Der Anschlusskontaktsatz 6 steht in der Datenaustauschvorrichtung 1 mit der Logikeinheit 4 und dem Speicher 5 in Verbindung. Die Anschlusskontakte 11 weisen daneben eine Verbindung zu dem Datenspeicher 2 sowie einem Prozessor 12 und einer Verschlüsselungseinheit 13 der Karte 3 auf. Demzufolge ist mit Eintritt der Karte 3 in die erste Position 10 eine datenübertragende Verbindung zwischen dem Datenspeicher 2 der Karte 3 und dem Speicher 5 der Datenaustauschvorrichtung 1 bzw. des Tachographen DTCO erstellt und Aufzeichnungsdaten können aus dem Datenspeicher 2 ausgelesen werden. Der Datenspeicher 2 erlaubt ohne entsprechende Authentifizierung lediglich einen „nur-lesen"-Zugriff . Mit dem Eintritt der Karte 3 in die erste Position 10 verschließt die Verriegelungseinheit 9 die nicht dargestellte Einschuböffnung der Datenaustauschvorrichtung 1 bzw. des Tachographen DTCO, so dass die Karte 3 in der ersten Position 10 fixiert ist. Ein erster Sensor 7 erkennt die physikalische Anwesenheit der Karte 3 in der ersten Position und meldet dies an die Logikeinheit 4. Ein zweiter Sensor 8 meldet das Erreichen einer ersten Stellung 14 der Verriegelungseinheit 9, welche die Karte 3 in der ersten Position 10 fixiert, an die

Logikeinheit 4. Die Logikeinheit 4 überwacht zyklisch mittels der Sensoren 7, 8 die physikalische Anwesenheit der Karte 3 und veranlasst bei abweichender Meldung der Sensoren 7, 8 den Speichereintrag eines Manipulationsversuches zunächst in dem Speicher 5 und anschließend in dem Datenspeicher 2. Daneben überwacht die Logikeinheit 4 auch die logische Anwesenheit der Karte 3, in dem das Vorliegen einer Störung des Datenaustauschs an der den Anschlusskontaktsatz 6 und die Anschlusskontakte 11 umfassenden Datenübertragungsschnittstelle 15 ebenfalls als Veranlassung zur Eintragung eines Manipulationsereignisses in dem Speicher 5 bzw. dem Datenspeicher 2 erkennt.

Die Datenaustauschvorrichtung 1 bzw. der Tachographen DTCO wird mittels einer Betriebsspannung U betrieben, wobei Figur 2 einen Ablauf nach dem Einschalten der Betriebsspannung U darstellt. In einem ersten Schritt 1. überprüft die Datenaustauscheinheit 1, ob die Karte 3 anwesend ist. Im Einzelnen überprüft sie sowohl die logische Anwesenheit als auch die physikalische in zuvor beschriebener Weise. Ist die Karte 3 sowohl logisch als auch physikalisch nicht anwesend (2.) erfolgt ein Kartenauswurf (3.) . Erkennt die Datenaustauschvorrichtung 1, dass die Karte 3 physikalisch anwesend ist (4.) erfolgt ein automatischer Einzug (5.) und der Versuch des Auslesens (6.). Resultiert der Versuch des Auslesens (6.) in einer Fehlermeldung, erfolgt der Auswurf (3.) der Karte 3. Erkennt die Logikeinheit 4, dass die Karte 3 sowohl logisch als auch physikalisch anwesend ist (7.) wird eine Untersuchungsabfolge (8.) initiiert, die bei fehlerhaftem Ausgang zu dem Auswurf (3.) der Karte 3 führt und bei fehlerfreiem Ausgang den normalen Betrieb (9.) der Datenaustauschvorrichtung 1 bzw. des Tachographen DTCO zur Folge hat. Erkennt die

Logikeinheit 4 eine lediglich logische Anwesenheit (10.) der Karte 3, veranlasst selbige die Registrierung eines Manipulationsereignisses (12.) und leitet die bereits zuvor erwähnte Untersuchungsabfolge (8.) ein.