Know-how schützen Abwehrmaßnahmen gegen Produktpiraterie

Spätestens seit »Stuxnet« ist klar, dass auch Industrieanlagen effektiven Schutz vor Hacker-Angriffen aller Art benötigen. Doch es geht nicht nur um die Sicherheit von Anlagen, auch den Diebstahl geistigen Eigentums gilt es zu verhindern. Abhilfe bringt eine in der Desktop-Welt bereits bewährte Technik auf Hardwarebasis.

Embedded Systeme sind ein riesiger Wachstumsmarkt, und unsere Gesellschaft hängt zunehmend von deren Funktionieren ab. Ausgereifte Schutzstrategien sind also nötig, die Aspekte wie Integrität, Zuverlässigkeit, Know-how-Schutz, Vertraulichkeit und Authentifizierung berücksichtigen. Ein Schutz für ein Embedded System muss zudem echtzeitfähig sein und auf vielen Betriebssystemen laufen. Speziell für die Industrie müssen Schnittstellen wie SD oder CompactFlash vorhanden sein, und der Schutz muss auch unter extremen Umgebungsbedingungen wie Staub, Feuchtigkeit und starken elektrischen oder magnetischen Feldern immer zuverlässig funktionieren.

Dies betrifft auch den Maschinenbau: Immer mehr Funktionen stecken in der Embedded-Software, welche die Maschine steuert, statt in den verschiedenen Bauteilen. Zudem beinhaltet die Software wichtiges Know-how zu Produktionsverfahren. Nur durch den Schutz der Embedded-Software lassen sich der Nachbau von Geräten, Maschinen und Anlagen erschweren und somit die Produktpiraterie reduzieren. Zahlen verdeutlichen, warum effektive Lösungen gegen Produktpiraterie gefragt sind.

Eine Studie des VDMA (Verband Deutscher Maschinen- und Anlagenbau) von 2010 weist 6,4 Mrd. Euro jährlichen Schaden für den deutschen Maschinen- und Anlagenbau aus, bei einem Gesamtjahresumsatz von 161 Mrd. Euro. Der größte Schaden entsteht durch den Nachbau ganzer Maschinen und Anlagen. 45 Prozent der deutschen Maschinen- und Anlagenbauer sind vom Nachbau ganzer Maschinen betroffen und 75 Prozent wollen technische Schutzmaßnahmen einsetzen. Aber die wenigsten tun es bisher, da es an standardisierten, einfach und kostengünstig integrierbaren Lösungen mit hoher Sicherheit bisher gefehlt hat.

Verschiedene Programme wie der Wettbewerb »Innovationen gegen Produktpiraterie« des Bundesministeriums für Bildung und Forschung (BMBF) sollen die Entwicklung von Abwehrmaßnahmen fördern. So gelang es vier deutschen Unternehmen aus den Bereichen CAD-Software, Maschinenbau und Digital-Rights-Management zusammen mit einem Forschungszentrum, bis zum Dezember 2010 eine Art Wegfahrsperre für Maschinen und Anlagen zu entwickeln, unter Berücksichtigung industrieller Anforderungen.

Dieses »Pro-Protect«-Konsortium bestand aus dem Forschungszentrum Informatik an der Universität Karlsruhe und Wibu-Systems sowie den industriellen Anwenderunternehmen GiS Gesellschaft für Informatik und Steuerungstechnik, Homag Holzbearbeitungssysteme und ZSK Stickmaschinen. Pro-Protect arbeitet mit »intelligenten« Abwehrmaßnahmen:

  • Der Nachbau von Maschinen und Anlagen wird präventiv erschwert durch den wirkungsvollen Schutz der Embedded-Software,
  • Know-how-Schutz für Verfahren
  • und Algorithmen in der Software
  • sowie Informationen in Service- und Reparaturanleitungen, beispielsweise Pläne oder Dokumentation von Wartungen,
  • Schutz von Maschinentage-büchern zur Effizienzsteigerung im Service und zur rechtssicheren Dokumentation sowie
  • Schutz von Produktionsdaten und Zählen der Produktionsmenge, um zu verhindern, dass Piraten unbemerkt mit Originaldaten in »Sonderschichten« Produkte für den Graumarkt herstellen können - ohne Wissen des Herstellers.

Beispiel Stickmaschinen

Das Schutzkonzept von Pro-Protect am Beispiel eines Stickmaschinenherstellers spannt sich über die komplette Wertschöpfungskette (Bild 1): Es schützt schon die CAD-Software des Herstellers gegen Softwarepiraterie und im Atelier entstehende Designs vor Designpiraterie.

Im nächsten Schritt werden diese Muster in einer Fabrik auf Maschinen gefertigt, Pro-Protect schützt sowohl die Daten als auch die Embedded-Software der Maschinen vor Produktpiraterie. Auch der Auftraggeber ist beteiligt: Er kann in der Produktion Zähler so setzen, dass das Betriebssystem der Maschine »mitzählt«, wie oft ein Stickmuster bereits gestickt wurde. Die Höhe dieses Zählers hängt von der beauftragten Stückzahl mit einer gewissen Reserve für Ausschuss ab.

Für den nächsten Produktionsauftrag kann der Auftraggeber diesen Zähler per Fernprogrammierung entsprechend wieder erhöhen und so Überproduktionen mit seinen Originaldaten für den Graumarkt verhindern.

Durch Berücksichtigung verschiedener Szenarien wehrt Pro-Protect die unterschiedlichen, möglichen Angriffe der Piraten ab. Basis für diese Sicherheit ist die im Desktop-Bereich bewährte Lösung »CodeMeter«, die aufgrund der Pro-Protect-Forschung für industrielle Anforderungen erweitert wurde.

Zur Ver- und Entschlüsselung als auch zur Speicherung der verschlüsselten Produktionsdaten dienen die CodeMeter-Einsteckkarten »CmCards« mit Speicher in verschiedenen Größen, die speziell für in der Industrie gängige Schnittstellen wie SD, MicroSD und CompactFlash eingesetzt werden (Bild 2). Sie laufen unter rauen Umgebungsbedingungen wie einem erweiterten Temperaturbereich von -25 °C bis +85 °C und sind geschützt vor Staub, Feuchtigkeit oder vor starken elektrischen und magnetischen Feldern.

Die Einsteckkarten lassen sich auf einfache Weise auch nachträglich bei bestehenden Embedded Systemen einsetzen. Besonders Platz sparend ist die neue CodeMeter-Schutzhardware »CmStick/C« für die USB-Schnittstelle, die nur 4 mm über den USB-Stecker herausragt und sich so leicht hinter einer Verkleidung in der Maschine unterbringen lässt. Neben dem Schutz auf Hardwarebasis gibt es im Konzept auch Lösung auf Aktivierungsbasis. Hier wird der Schutz an verschiedene Parameter gebunden; eine verschlüsselte Datei arbeitet wie eine virtuelle Schutzhardware. Zudem sind die CodeMeter-Lösungen plattformunabhängig und laufen unter Windows (32 Bit, 64 Bit, Embedded, CE und Mobile), Mac OS X, Linux, Echtzeit-Linux, usw.

Die Unterstützung für das Echtzeitbetriebssystem »VxWorks« sowie die Integration in weitverbreitete SoftSPS-Systeme sind aktuell in Entwicklung und folgen laut Hersteller noch im Jahr 2011. Pro-Protect erreicht mit dem Einsatz der CodeMeter-Hardware einen sehr hohen Schutzgrad durch harte Verschlüsselung und ausgereifte Techniken. So wird der Programmcode durch kryptografische Verfahren verändert. Darüber hinaus verhindert Codeverschlüsselung die Nutzung von Kopien, denn die Schlüssel in der CodeMeter-Hardware können nicht kopiert werden; sie verlassen die hoch sichere, auf einer Smart-Card basierende Hardware nie.

Gleichzeitig wird damit Reverse-Engineering verhindert und das Know-how wirkungsvoll geschützt. Asymmetrische »Challenge Response«-Verfahren erhöhen die Sicherheit zusätzlich, und Codesignatur schützt die Integrität und verhindert Manipulationen am Code (Beispiel »Stuxnet«). Außerdem kommt »Obfuskation« (Quelltextverschleierung) zum Einsatz, und die Kommunikation zwischen geschützter Anwendung und dem Schutzsystem ist verschlüsselt: Somit können Angriffsversuche erkannt und die Lizenz im Smart-Card-Chip gesperrt werden. In insgesamt fünf Hacker-Contests konnten die Schutzlösungen im Praxistest ihre Sicherheit bereits beweisen. Bei der Abbildung von Geschäftsmodellen folgt die Industrie dem IT-Bereich. Die CodeMeter-Technik erlaubt die folgenden Lizenzmodelle:

  • Feature on Demand (modulare Lizenzierung),
  • Pay-per-Use,
  • Miet- oder Abonnement-Modelle, Demo-Versionen, »Overflow-Lizenzen«,
  • Floating-Lizenzen im Netzwerk und
  • Ausleihen von Lizenzen für eine gewisse Zeit.

Jeder Beteiligte kann sein geistiges Eigentum, das heißt sein Know-how, schützen. Mit wirkungsvollen Schutzstrategien wird Produktpiraterie reduziert, und die Unternehmen erhalten ihren Innovationsvorsprung vor Wettbewerbern in ihrem Markt. Sicherheit oder »Safety« ist wegen des »Stuxnet«-Virus’ viel stärker in das Bewusstsein der Unternehmen gerückt. Hier geht es um Integritätsschutz der Software, also das Verhindern von Manipulationen und ungewollten Änderungen.

Dies ist auch aus Haftungsgründen wichtig für Hersteller. Am besten ist es, wenn diese Sicherheit dann mit individuellen Schlüsseln verbunden ist, die in der Maschine oder dem Gerät stecken und keiner Person bekannt sind, da die Schlüssel dann nicht durch Erpressung oder sonstige »Social Engineering«-Methoden von Kenntnisträgern verraten werden können. Auch um diesen Aspekt wird CodeMeter in Zukunft erweitert werden. Da immer mehr Aktivitäten sich in Computernetzwerken abspielen, ist es für Industrieunternehmen wichtig, sich mit »Cyber Security« zu befassen. Hier gilt es, digitale Signaturen zu integrieren, um das Gesamtkonzept sicher zu halten.

Über den Autor:

Oliver Winzenried ist Vorstand und Gründer von Wibu-Systems