IT-SicherheitAbschied von der Cash-and-carry-Distribution?

Kopierschutz auf Hardwarebasis soll Softwarepiraten das Handwerk legen

31.07.1998

Das Internet spielt für Softwarepiraten beim Versuch, die High-Tech-Schiffe der Neuzeit zu entern, eine immer größere Rolle. Oft ohne böse Absicht laden sich Mitarbeiter Raubkopien aus dem Internet auf den Firmenrechner. Gegen eine geringe Gebühr wird ihnen dann Zugang zu diesen Programmen gewährt - und schon sind sie Opfer und Täter zugleich. Wer glaubt, im Internet anonym zu bleiben und deshalb nicht erwischt zu werden, irrt gründlich. Der elektronische Fingerabdruck beispielsweise von einer IP-Adresse macht es den Fahndern leicht, den Weg zum Einwahlknoten zu finden. Über den Provider ist es dann kein Problem mehr, die genaue Adresse zu ermitteln. Die Business Software Alliance (BSA) setzt darüber hinaus Privatdetektive und Fahnder ein, um Softwarepiraten ausfindig zu machen. Hinter jedem Chat-Angebot oder Piraten-Server kann eine internationale Ermittlungsbehörde stecken. Ihr Hauptinteresse ist es natürlich in erster Linie, große Fälscherringe und Anbieter entsprechender Software aufzuspüren. Dabei kann ihr aber auch ein Gelegenheitstäter ins Netz gehen.

Häufig versteckt sich illegale Software in Netzwerken. Das Unternehmen wächst und überschreitet aus Unachtsamkeit Lizenzen. Damit begibt es sich auf ungesetzlichen Boden, denn grundsätzlich gilt: pro Anwender eine Lizenz. Das gilt auch, wenn Software auf dem Server installiert und allen Anwendern zugänglich ist. Will ein Unternehmen ein Netzwerk-Betriebssystem lizenzieren, muß es die Anzahl der Rechner im Netz angeben und erhält so die zugehörigen Benutzer- sowie Server-Access-Lizenzen. Auch mobile Anwender, die nur zeitweise im Netz arbeiten, müssen dabei berücksichtigt werden. Spielt ein Mitarbeiter die Software, die er in der Firma benutzt, auf sein Notebook, muß die Software für zwei Rechner lizenziert sein. Sonst handelt es sich rechtlich gesehen um eine Raubkopie.

Einen der sichersten Schutzmechanismen stellt ein Dongle oder Hardlock dar. Diese Sicherheitsmodule bilden zusammen mit dem Programm eine unlösbare Einheit. Dabei wird die Schutzhardware von der Applikation abgefragt und ihre zur Verfügung gestellte Funktionalität von der Software genutzt. Die Programm-Schnittstelle API (Application Programming Interface) für das Hardlock ist die Schnittstelle zwischen einer zu schützenden Applikation und dem Sicherheitsmodul. Sie enthält beispielsweise in Form einer Bibliothek sämtliche Funktionen zur Steuerung und Abfrage eines Hardlock-Moduls.

Das API ist in zwei Ebenen unterteilt: Low- und High-Level-API. Ersteres beinhaltet alle Funktionen, die zur Ansteuerung des Hardlocks notwendig sind. Die darin implementierten Hardware-abhängigen Treiberroutinen übernehmen den Verbindungsaufbau zum Sicherheitsmodul. Das High-Level-API wurde als Zwischenschicht für eine einfachere und komfortablere Bedienung der API geschaffen. Sie ist für die Compiler der gängigsten Hochsprachen verfügbar.

Der wesentliche Vorteil der High-Level-Funktionen besteht darin, daß mit ihrem Aufruf nur die für die Applikation erforderlichen Werte definiert und übergeben werden müssen. Alle weiteren internen Parameter, die für die korrekte Ansteuerung des Sicherheitsmoduls erforderlich sind, werden von dem High-Level-API automatisch verwaltet und zusammen mit den für die Applikation relevanten Parametern komplett als Struktur an das Low-Level-API übergeben.

Das Hardlock arbeitet mit einem algorithmischen Schutz. Bei diesem Verfahren ist in der Hardware des Sicherheitsmoduls eine mathematische Funktion implementiert, deren Verhalten davon abhängt, mit welcher Codierung das Modul gebrannt wurde.

So liefern Module mit unterschiedlicher Codierung, die mit denselben Parametern angesprochen werden, verschiedene Ergebnisse. Die Notwendigkeit der Geheimhaltung, Speicherung beziehungsweise der sicheren Übertragung eines Schlüssels entfällt, da der Schlüssel in der Hardware verborgen liegt. So können mit Hilfe des Moduls problemlos Konstanten, Daten und Codeteile einer Applikation zur Laufzeit ver- und auch wieder entschlüsselt werden. Hardlocks lassen sich auch an serielle, parallele und an die USB-Schnittstelle (USB = Universal Serial Bus) anschließen.

Hält man sich vor Augen, wie ein Hacker arbeitet, kann man sagen, daß sein Werkzeug in der Regel ein Debug-Programm ist - möglicherweise sogar das Programm Debug.exe, das bereits im Betriebssystem MS-DOS enthalten ist. Professionelle Softwarepiraten besitzen aber wesentlich leistungsfähigere Werkzeuge. Dazu zählen vor allem Debugger, die den 386-/486-Prozessor im Protected Mode oder spezielle Debug-Hardware benutzen. Mit ihnen läßt sich ein Programm im Einzelschrittverfahren abarbeiten. Der Raubkopierer muß sich nun durch den Assemblercode tasten, der vom Compiler erzeugt wurde. Er wird versuchen, alle Anfragen an das Sicherheitsmodul zu finden. Nachdem er die entscheidende Schutzmaßnahme erkannt hat, muß er das Programm so verändern, daß es ohne Schutz uneingeschränkt funktioniert - alles in allem also eine arbeits- und zeitintensive Angelegenheit, besonders dann, wenn er die Software noch nicht kennt. Es wird auch immer schwierig für ihn bleiben, die korrekten Eingaben zu machen beziehungsweise die Richtigkeit des Verhaltens eines Programms zu überprüfen. Außerdem weiß ein Hacker nie, wann er wirklich alle Fallen beseitigt hat.

Mit Hardlocks lassen sich Programme auf einfache Weise so schützen, daß ein Knackversuch praktisch aussichtslos ist. Denn die Parameter, Daten oder Codeteile, die für den Programmablauf notwendig sind, werden erst durch Entschlüsseln über das Sicherungsmodul benutzbar. Soll die Software ohne Sicherungsmodul ablauffähig werden, müßte der Hacker alle verschlüsselten durch bereits entschlüsselte Daten ersetzen. Da er die fehlende Information aber nicht erraten kann, muß er für den Knackversuch das Sicherungsmodul zur Verfügung haben. Aber selbst wenn er dieses besitzt, ist der Aufwand, alle "richtigen" Ergebnisse mitzuprotokollieren und sie dann in das Programm einzufügen (zu patchen), extrem hoch, falls die Methode der Daten- und Parameterverschlüsselung auf das gesamte Programm verteilt angewendet wird. Und dieser Aufwand läßt sich über Scheinmanöver und Konsistenzchecks noch beliebig steigern.

Unternehmen wie Aladdin oder Wave Systems entwickeln bereits heute Komplettlösungen, mit der die Distribution von Software und Daten über beliebig viele elektronische Kanäle laufen kann. Dabei wird die Lizenzierung mit Hilfe kryptographischer Systeme erfolgen, die wiederum von Hardwaretechnologien gestützt und vermittelt werden. Konkret werden zu Beginn des nächsten Jahres Boards, Modems und CPUs mit "Wavemeter" von Wave Systems ausgeliefert, einem Chip, der auf denselben kryptographischen Technologien wie das Hardlock aufbaut. Es wurde für die Verarbeitung von Finanztransaktionen und die Durchführung kryptographischer Funktionen konzipiert und ist in der Lage, Soft- ware zu entschlüsseln, oder, mit den entsprechenden APIs, deren Nutzung nach Einheiten gemäß dem Stromzählerprinzip abzurechnen. Damit ergeben sich neue Möglichkeiten für Softwarehäuser, die sich von den in der Industrie immer noch vorherrschenden Cash-and-carry-Distributionskonventionen verabschieden wollen.

Immer mehr Hersteller haben die Notwendigkeit, ihre Softwareprodukte wirkungsvoll abzusichern, erkannt. Die Kosten für einen entsprechenden Kopierschutz sind im Vergleich zu den durch Piraterie entstehenden Verlusten geradezu unbedeutend. In Zukunft werden Lösungen, die Hard- und Software kombinieren, für eine sichere und einfache Softwaredistribution unverzichtbar sein, denn nur sie können durch die Kombination aus Stabilität und Flexibilität die dafür erforderlichen intelligenten Transaktionssysteme, Lizenzierungsmodelle und Sicherheit bieten.

Die Erstellung solcher Systeme gestattet eine kostengünstige Distribution und macht die Auslieferung physikalischer Güter an Endbenutzer überflüssig. Damit befinden sich alle nötigen Hard- und Softwaretools in der Hand der Entwickler, die sie für die Lizenzverwaltung (License Management = LM) benötigen. Sie können dann Lizenzabsprachen mit ihren Kunden treffen und diese Vereinbarungen mit LM-Technologien in die Software einbinden. Zusätzlich sind sie in der Lage, das gewünschte Produkt in einem sicheren und transparenten Vorgang an den Endanwender zu liefern.

Doch nicht nur die Hersteller, auch Anwender profitieren vom Softwareschutz. Denn nur Originale versprechen regelmäßige Updates und gegebenenfalls Support..

Rechtsprechung klarDie meisten Anbieter verzichten auf Dongles

"Im Grunde sind Dongles erträglich, weil nur wenige Software-Anbieter ihre Programme damit schützen.... Nur weil die meisten Software-Anbieter auf dieses Instrument verzichten, hält sich der Ärger in Grenzen. Programmschutz ist nötig. Die Frage stellt sich nur, ob Dongles dafür das richtige Instrument sind...

Helfer zur "Entdonglierung" werden angeboten. Die Preise weisen meist deutlich daruf hin, worum es den Helfern geht, nämlich dem Anwender den unberechtigten Mehrfacheinsatz dieser Programme zu ermöglichen. Die Anbieter dieser Programme verfolgen solche Helfer konsequent; dementsprechend hat die Rechtsprechung viel mit diesem Thema zu tun gehabt. Die Linie der Rechtsprechung ist allerdings eindeutig und klar: Entdonglierung ist böse und gehört deswegen verboten."(Zitat aus CW 7/98, Seite 95)Softwarepiraterie: Unwissenheit schützt vor Strafe nicht

Softwarepiraterie ist zu einem ernstzunehmenden Wirtschaftsfaktor geworden - durch den Schaden, den sie verursacht, gehen den Software-Entwicklern Arbeitsplätze und dem Staat Steuereinnahmen verloren. Doch Unternehmen und Anwender sind den IT-Freibeutern nicht mehr wehrlos ausgeliefert. Inzwischen gibt es durchaus Lösungen für einen effektiven Kopierschutz auf dem Markt. Man muß sie nur einsetzen.

Den Angaben der Business Software Alliance (BSA) zufolge ist in der Bundesrepublik jede dritte Softwarekopie nicht korrekt lizenziert. Prozentual gesehen liegt sie damit im unteren Drittel der europäischen Statistik. In absoluten Zahlen ausgedrückt ist Deutschland jedoch Spitzenreiter: Durch illegalen Software-Einsatz entsteht der Industrie jährlich ein Schaden von mehr als einer Milliarde Mark, was etwa einem Drittel des Gesamtverlusts in Europa entspricht.

Das Diebstahlproblem und der Einsatz von Software unter Verletzung der Lizenzvereinbarungen ruinieren die Effizienz jedes Distributionskanals - ob er nun auf dem neuesten Stand der Technik oder eher konventioneller Art ist. Eine aktuelle Studie der SPA/BSA (www.spa.org) zeigt, daß fast die Hälfte der 523000000 neuen weltweit benutzten Geschäftsanwendungen im vergangenen Jahr von Softwarediebstahl betroffen waren. Das Ergebnis: ein Verlust von 11,2 Milliarden Dollar für die Software-Industrie. Die aufstrebenden Märkte in Osteuropa, China und - trotz der Ereignisse - Südostasien, die unter Finanz- und Industrieexperten soviel Begeisterung (und Besorgnis) hervorrufen, sind diesbezüglich regelrechte schwarze Löcher. So werden nach China, Vietnam und Rußland gelieferte Anwendungen statistisch gesehen mit so großer Sicherheit raubkopiert, daß die Zahl der illegalen Kopien die der legalen weit übersteigt - was den Absatz dieser Produkte nahezu lähmt. Auch in Südostasien, Mittelamerika und dem Nahen Osten sind Dunkelziffern von über 95 Prozent keine Seltenheit. Auf dem größten Softwaremarkt der Erde, den USA, ist der Anteil der nichtlizenzierten Software 1997 auf 27 Prozent angestiegen.

Die Basis für das kriminelle Geschäft bilden meist ein nachlässiger Umgang mit den Lizenzen in Unternehmen und/oder ein falsches Kostenbewußtsein, das das Raubkopieren als probates Mittel zur Verringerung der Betriebsausgaben versteht. Dabei ist den meisten Anwendern nicht einmal bewußt, daß nicht nur die Herstellung und der Verkauf von Raubkopien in Deutschland strafbar sind. Wer eine Raubkopie nutzt, verstößt gegen die Paragraphen 106 und 69a des Urheberrechts (UrhG) - Software ist demzufolge unter juristischen Aspekten als geistiges Eigentum zu sehen, das es zu schützen gilt. In der Praxis sieht es dann so aus: Der Gerichtsvollzieher steht unangemeldet vor der Tür und verlangt Zugang zu allen Firmenrechnern. Zusammen mit einem DV-Sachverständigen wird er sämtliche Rechner auf Raubkopien hin überprüfen. Entdeckt er nichtlizenzierte Software, droht dem Unternehmen eine Klage. 5000 Strafverfolgungen gegen Raubkopierer und Hehler in Deutschland belegen das enorme Ausmaß dieser Geschäfte.

Ein weiteres Dilemma entsteht Unternehmen durch den Einsatz neuer Distributionsmedien wie das Internet, High-Density-CD-ROMs und kabellose Technologien. Einerseits reduzieren sie die Kosten der reinen Distribution, andererseits bieten sie zusätzlich potentielle Angriffsflächen.

Um wirksam gegen Piraten anzukämpfen, haben sich Softwarehersteller zu Verbänden zusammengeschlossen. Weltweit agieren zum Beispiel die Business Software Alliance und die Software Publishers Association (SPA), in Deutschland vertritt der Verband deutscher Software-Industrie (VSI) die Interessen der Entwickler. Diese Verbände gehen jedem Hinweis auf illegale Software nach und beantragen gegebenenfalls, die Geschäftsräume zu durchsuchen - oft sind es übrigens ehemalige Mitarbeiter der betroffenen Unternehmen, die die entsprechenden Informationen liefern.

Werden Raubkopien entdeckt, klagt der Hersteller oder die BSA das Unternehmen nach Paragraph 106 beziehungsweise 69a des Urheberrechtsgesetzes an. Da es sich um ein Organisationsverschulden handelt, sind die Organe des Unternehmens haftbar: Geschäftsführer der GmbH, Vorstände der AG und geschäftsführende Gesellschafter einer OHG. Auch wenn der Chef nicht wußte, daß Mitarbeiter mit Raubkopien gearbeitet haben, hilft ihm das nicht. Er trägt die Verantwortung und muß seinen Mitarbeitern genaue Anweisungen geben, daß Lizenzbestimmungen einzuhalten sind. Kommt er dieser Aufgabe nicht nach, handelt er fahrlässig und ist zu Schadenersatz verpflichtet. Unter Umständen gibt sich der Softwarehersteller sogar damit zufrieden, wenn die Software nachlizenziert wird.

Setzt der Unternehmer jedoch bewußt Raubkopien ein, macht er sich strafbar. Microsoft startete im vergangenen Jahr selbst eine großangelegte Offensive gegen Raubkopierer: Die Namen überführter Unternehmen, die illegale Anwendung im Einsatz hatten, wurden beim Softwaremulti aus Redmond im Web öffentlich an den Pranger gestellt.

Angeklickt

Immer mehr Hersteller haben die Notwendigkeit, ihre Softwareprodukte wirkungsvoll abzusichern, erkannt. Die Kosten für einen entsprechenden Kopierschutz sind im Vergleich zu den durch Piraterie entstehenden Verlusten geradezu unbedeutend. In Zukunft werden Lösungen, die Hard- und Software kombinieren, für eine sichere und einfache Softwaredistribution unverzichtbar sein.

Diplomingenieur Jörg Rensmann ist freier Autor in Meppen.