Um die technische und rechtliche Sicherung von Software ist es schlecht bestellt. Zu diesem Ergebnis kamen jetzt die Teilnehmer eines Seminars, das vom "Forum für die Praxis des Rechts der Datenverarbeitung, Information und Automation", Computer und Recht, für Juristen und Informatiker veranstaltet wurde.

Die Gründe für die mangelhafte Sicherung von Software sind vielschichtig. Weder scheint es möglich zu sein, die physische Datensicherheit zu gewährleisten noch bestehen ausreichende gesetzliche Grundlagen für den Schutz von Programmen. "Software ist urheberrechtsschutzfähig in der Form, aber nicht im Inhalt, gab der Münchner Rechtsanwalt Dr. Thomas Graefe, Forum Computer und Recht, zu bedenken.

Der Bundesgerichtshof (BGH) setze in seiner jüngsten Rechtssprechung ebenfalls keine verbindlichen Maßstäbe dafür, welche Programme Urheberrechtsschutz genießen können und welche nicht. Nach dem Urheberrechtsschutz seien Programme nur dann schützbar, wenn sie über dem durchschnittlichen Können eines durchschnittlichen Programmierers einzustufen sind - wobei die sinkende Bedeutung des eigentlichen Programmierens einzubeziehen ist.

Ähnlich machte auch Leo Schleupen, Geschäftsführer des gleichnamigen Ettlinger Systemhauses und einer der wenigen Seminar-Teilnehmer aus den Reihen der Informatiker, darauf aufmerksam, daß auf das eigentliche Programm nur noch ein Bruchteil des Entwicklungsaufwandes entfalle. "Das Teure sind doch die konzeptionellen Vorarbeiten. Die Idee für die Lösung und der Weg zu dieser Lösung machen den Wert aus, nicht das bißchen Programmieren", ist seine Ansicht. "Unbezahlbar ist der Ideen-Klau, nicht der Software-Klau."

Die Ohnmacht der Juristen und der Betroffenen verdeutlichte Rudolf van Megen von der Gesellschaft für Software-Qualitätssicherung, Köln, in seinem Vortrag über die Möglichkeiten zur Messung der urheberrechtlichen Werkhöhe und zur Aufdeckung von Programmplagiaten: "Im Pflichtenheft wird das "was" festgeschrieben und damit der Grundstein für die Schutzwürdigkeit gelegt." Aber: "Generell ist das Programm - das endgültige Ergebnis oder das vollendete Werk - das schlechteste Mittel zur Beurteilung der Schutzwürdigkeit beziehungsweise zum Erkennen von Plagiaten. Durch den Einsatz von Programm-Generatoren etwa lasse sich mit minimalem Aufwand und geringer geistiger Zusatzleistung dasselbe Problem durch zwei völlig unterschiedliche Programme realisieren, ohne daß durch die Unterschiedlichkeit der Programme ein hinreichender schöpferischer Eigentümlichkeitsgrad konzertiert werden könne. Nach Ansicht des Referenten müssen Nachahmungen daher im wesentlichen schon durch die Analyse der Aufgaben und deren Verknüpfungen erkannt werden. Um die urheberrechtliche Werkhöhe zu messen und Programmplagiate aufzudekken, wählte van Megen den Weg über das Pflichtenheft und das DV-Konzept.

Nach einem Urteil des Bundesgerichtshofes sind die Bedingungen für die Urheberrechtsschutzfähigkeit

abhängig von der sinnlichen Wahrnehmung, von persönlicher, geistiger Schöpfung und von schöpferischem Eigentümlichkeitsgrad - durchweg hochelastische Begriffe. Schwierigkeiten bei der Beurteilung der Urheberrechtsschutzfähigkeit gibt es verschiedene.

So sei zum Beispiel der Vergleich zweier Pflichtenhefte problematisch, die sich zwar in der äußeren Form erheblich unterscheiden, aber den selben Sachverhalt beschreiben. Ähnlich gelagert sind laut van Megen die Schwierigkeiten, wenn zwei Programme zwar ein völlig anderes Aussehen haben, aber die fachlich-inhaltliche Aufgabenstellung übereinstimme.

Das unterschiedliche Aussehen könne DV-technisch durch geringsten Aufwand - Änderung der Variablen-Namen etwa - erreicht werden. Fazit: "Die Beurteilung der Urheberrechtsschutzfähigkeit kann nur durch Bewertung aller im Software-Entwicklungsprozeß erstellten Zwischen-/Endergebnisse erreicht werden", erklärt van Megen. "Hierbei kommt der fachlich-inhaltlichen Beschreibung - auch im Pflichtenheft - eine besondere Bedeutung zu, da hier im wesentlichen die aus der Benutzersicht gegebenen Besonderheiten der Anwendung erkennbar sind.

"In dieser Brisanz ist das Problem des Schutzes von Produkten in der konzeptionellen Phase noch nie aufgetreten", meint Computer und Recht-Vertreter Dr. Graefe. Das technische Voraus-Verständnis der Juristen müsse in dieser Hinsicht noch viel intensiver geschult werden. Bedarf an juristischem Rat ist in hohem Maße vorhanden: Nach der BGH-Rechtssprechung muß rund 80 Prozent der Software als nicht schutzfähig angesehen werden. Streitfälle sind vorprogrammiert.

Ein besonderes Problem stelle auch der internationale Druck dar. Graefe: "Wenn die ausländischen Software-Exporteure feststellen, daß ihre Produkte bei uns kaum geschützt sind, könnte das gravierende Auswirkungen auf das Angebot haben. Weniger auf die juristischen, sondern eher auf die vorgelagerten technischen Probleme von Datenschutz und Datensicherheit ging Referent Dr. Gerhard Weck von der Kölner Infodas GmbH ein. "Fragen, die Sie Ihren Mandanten stellen müssen, wenn das Kind bereits in den Brunnen gefallen ist", beschrieb er die Auflistung der organisatorischen und physischen Schwachpunkte, die wohl jeder DV-Verantwortliche und jedes Softwarehaus kennt.

"Die meisten kommerziellen DV-Systeme sind sicherungsmäßig so schlecht, daß man sich nicht wundern muß, wenn die Daten irgendwo auftauchen", stellte Dr. Weck fest. Als Basis für einen minimalen Systemschutz werde mehr und mehr das "Referenz-Monitor-Modell" herangezogen, das von Anwendern als Bewertungskriterium für die Sicherheit von Software benutzt werden solle.

Das Modell unterscheidet drei Gruppen von Beteiligten an einem Softwareprodukt: Subjekte, also etwa Benutzer, Prozesse, Batch Jobs oder andere "Bedroher", daneben Dateien, Programme, Platten, Mailboxes und ähnliche Bedrohte" sowie die Autorisations-Datenbasis, in der unter anderem Benutzer-Profile und -Rechte, Zugriffsrecht-Listen und Privilegien der Benutzer fixiert sind. Der Referenz-Monitor regelt den Verkehr zwischen den drei Gruppen und unterbindet oder schafft Kontakte etwa zwischen Benutzern und Objekten.

Einfacher und wirksamer Schutz sei das "Need-to-Know-Prinzip: Die Zugriffsrechte auf Dateien müssen nach den Kompetenzen der Mitarbeiter im Unternehmen zugeordnet werden. Die Mitarbeiter der Lohnbuchhaltung dürfen also nur auf die Gehalts- und nicht auf die Adreßdateien zugreifen können.

Unangemeldete Kontrollen der Einhaltung von Sicherheitsmaßnahmen in Betrieben sind nach Ansicht von Dr. Weck ebenfalls ein wirksames Mittel, um Datenschutz und -Sicherheit zu gewährleisten - vorausgesetzt, die Kontrollen werden auch von, Sanktionen bei eventuellen Verstößen begleitet. Der Referent appellierte aber auch an die Benutzer: Hersteller werden erst dann Zusätzliches zur Software-Sicherheit leisten, wenn Anwender dies auch fordern.

Die frustrierenden Erfahrungen aus kriminalistischer Sicht faßt der Erste Kriminalhauptkomissar des Bayerischen Landeskriminalamts Werner Paul, zuständig für Computer-Kriminalität, zusammen: "Ich fürchte, daß, wenn heute jemand wegen eines Software-Deliktes bestraft wird, es nur aufgrund seiner Dummheit geschieht." Paul spielt damit dar auf an, daß die Kripo oft nur Erfo(...) hat, weil sich die Software-Klauer nicht einmal die Mühe machen, den Namen des Software-Autors aus dem Programm zu entfernen.

* Angelika Schrader ist freie DV-Fachjournalistin in München.