Wider den Datenklau Produkt- und Know-how-Schutz für Embedded-Software

Regierungen und Verbände informieren und fördern Abwehrmaßnahmen gegen -Produktpiraterie. Doch letztlich müssen die Hersteller selbst aktiv werden, um ihr Know-how wie Software oder digitale Produktions-daten vor Piraterie und Manipulation zu schützen.

Anbieter können heute nur dann erfolgreich sein, wenn sie den Piraten immer ein paar Schritte voraus sind, ständig innovative Ideen umsetzen und dabei Mehrwert für ihre Kunden bieten. Mit technischen Schutzverfahren kann es möglich sein, eine gute Wettbewerbsposition länger zu halten. Dank ausgereifter, standardisierter
und in großen Stückzahlen hergestellter Schutzsysteme ist eine kostengünstige und einfache Integration in Geräte und Prozesse möglich.

Natürlich muss es möglich sein, diese Lösungen kontinuierlich zu erweitern, um zukünftigen Anforderungen, die heute noch unbekannt sind, zu begegnen. Mehr als zwei Drittel der Unternehmen sind laut einer Studie des VDMA vom April 2012 von Produkt- und Markenpiraterie betroffen. Dies entspricht einem geschätzten Schaden von 7,9 Milliarden Euro.

Im Vergleich zur Studie aus dem Jahr 2010 ist der Schaden um 24 Prozent gestiegen. Meist werden Komponenten plagiiert, aber auch vor dem Nachbau ganzer Maschinen schrecken Produktpiraten nicht zurück. Auch außerhalb von Deutschland sind Abwehrmaßnahmen ein wichtiges Thema. Beispielsweise hat der japanische Maschinenbauverband JMF im Oktober 2012 erstmals bei seinen Mitgliedern die gleiche Umfrage wie der deutsche Verband VDMA zur Produktpiraterie durchgeführt. Demnach sind in Japan 43 Prozent der befragten Unternehmen von Produktpiraterie betroffen, während es in Deutschland 67 Prozent sind. Ergebnis:

In Japan liegt der Schaden bei umgerechnet 13 Milliarden Euro (1,4 Billionen Yen). Einen Grund für die höhere Schadenssumme sieht der VDMA darin, dass japanische Unternehmen bisher kaum technische Abwehrmaßnahmen ergreifen.

Abwehrmaßnahmen

Unternehmen schützen ihre Produkte durch technische Vorkehrungen und rechtliche Mittel. Leider greifen rechtliche Mittel wie Patente, Urheberrecht oder Geschmacks-muster erst dann, wenn der Schaden bereits entstanden ist. Daher sind technische Vorkehrungen nötig, um Produktpiraten schon im Vorhinein abzuwehren: Konstruktive Schutzverfahren erschweren den Nachbau von Geräten, Maschinen und Steuerungen.

Kennzeichnungsmethoden wie RFID--Etiketten oder Hologramme helfen, das Plagiat vom Original zu unterscheiden. Ein technisch präventiver Schutz ist »CodeMeter« von Wibu-Systems, der die Analyse (Reverse-Engineering) und das Nachbauen von Maschinen, Anlagen und Geräten durch Schutz ihrer Embedded-Software erschwert. CodeMeter wurde speziell für die Industrie angepasst; darüber hinaus nutzen Hersteller CodeMeter zum klassischen Softwareschutz, Integritätsschutz oder zur Abbildung flexibler Geschäftsmodelle wie Pay-per-Use oder Feature-on-Demand.

Basis der CodeMeter-Technik sind sichere Aktivierungsdateien, genannt »CmActLicense«, oder die Schutzhardware »CmDongle« für verschiedene Schnittstellen wie USB, SD, MicroSD und CompactFlash (Bild 1). Die Schutzhardware mit Smart-Card-basierter Sicherheitskomponente erfüllt industrielle Anforderungen wie erweiterter Temperaturbereich oder elektromagnetische Verträglichkeit.

Der Schutz funktioniert auf beliebigen Zielsystemen: plattformübergreifend auf Standard-Betriebssystemen wie 32-/64-Bit-Windows, OS X und Linux oder auf speziellen Systemen und Steuerungen in der Industrie wie dem Echtzeitbetriebssystem »VxWorks« oder der IEC-61131-Entwicklungsumgebung »Codesys«. Der Hersteller stellt verschiedene Werkzeuge bereit, mit denen Entwickler die CodeMeter-Technik nutzen können: den »AxProtector« zum Schutz fertiger EXE-Dateien, den »IxProtector« zur individuellen Integration und das Core-API zur manuellen Integration.

Zum Schutz von Embedded-Software dient die Runtime-Library »CodeMeter Compact«, die auch als ANSI-C-Quellcode oder als statische Bibliothek verfügbar ist, sodass CodeMeter für jedes gewünschte Zielsystem kompiliert werden kann. Es kommen Verschlüsselungsverfahren wie AES (Advanced Encryption Standard, symmetrisch) mit 128-Bit-Schlüsseln und ECC (Elliptic Curve Cryptography, asymmetrisch) mit 224-Bit-Schlüsseln zum Einsatz.

Um beim Schutz von Embedded-Software immer auf dem aktuellen Stand zu sein, wird CodeMeter kontinuierlich erweitert, zum Beispiel für das neue »Windows 8 Embedded«. Die zu schützende Software wird komplett verschlüsselt, und zur Laufzeit wird nur der gerade benötigte Teil entschlüsselt - aber nur, wenn die passende Berechtigung in Form von CmActLicense oder CmDongle vorliegt. Auch beim Integritätsschutz findet nur für korrekt signierte Programmteile eine Entschlüsselung und darauffolgende Ausführung statt; nur dann funktioniert die geschützte Software.

Abbildung verschiedener Geschäftsmodelle

Hersteller können ihre Maschinen, Anlagen oder Geräte so ausstatten, dass ihre Kunden zusätzlich zur Basisversion weitere Funktionen erwerben können. CodeMeter weist den unterschiedlichen Funktionen einer Software unterschiedliche Lizenzen zu. Der Kunde bekommt die Maschine, Anlage oder das Gerät dann mit der kompletten Funktion, wobei CmActLicense oder CmDongle die gekauften Funktionen freischalten.

Das vereinfacht die Logistik und es lassen sich flexible Geschäftsmodelle wie Feature-on-Demand, Pay-per-Use oder Demo-Versionen abbilden. Jederzeit kann der Kunde weitere Optionen individuell nachbestellen. Oder er kann bestimmte Nutzungseinheiten erwerben oder nach einer Testzeit Software als Vollversion kaufen. In allen Fällen wird die nachgekaufte Berechtigung in der CmActLicense-Datei oder im CmDongle per Fernprogrammierung erweitert.

Auf die gleiche Weise kann ein Servicetechniker für seine Arbeit weitere Funktionen freigeschaltet bekommen. Um die Lizenzen zu erstellen, zu verwalten und auszuliefern, kommt die Software »CodeMeter License Central« zum Einsatz. Sie soll den Mitarbeitern des Herstellers die Integration in Vertriebsprozesse und vorhandene ERP- oder Shop-Systeme erleichtern.

Industrielle Anwendungen

In Kooperationen mit Industrieunternehmen, Forschungseinrichtungen und Universitäten erlaubt Wibu-Systems, die Einsatzgebiete von CodeMeter zu erweitern. Ein Beispiel ist der Schutz von Automatisierungssoftware. So können Anbieter von Automatisierungstechnik ab der Version 3.5 der IEC-61131-Entwicklungsumgebung Codesys von 3S-Smart Software Solutions ihren damit erzeugten Code mit Hilfe von CodeMeter vor dem Transfer auf die Steuerung verschlüsseln.

Nur mit der passenden Lizenz im CmDongle oder in der Aktivierungsdatei lässt sich diese Software entschlüsseln und nutzbar machen, sodass Reverse-Engineering und die unerlaubte Vervielfältigung der Automatisierungssoftware möglichst verhindert werden. Aus einer Kooperation mit Wind River ist der Schutz von Embedded-Software für VxWorks hervorgegangen.

Ab der Version 6.8 können Entwickler ihren Code vor Produktpiraterie schützen. Zu den Einsatzmöglichkeiten zählen der Schutz des Programmcodes vor Manipulation, das sichere Booten des Betriebssystems oder das sichere Betreiben einer Anwendung. Darüber hinaus können die Entwickler flexible Abrechnungsmodelle aufbauen.

Mit Hilfe von vorbereiteten CmDongles und einer Anleitung können Entwickler, die mit dem »Embedded Development Kit« von Wind River arbeiten, Softwareschutz, Know-how-Schutz, Integritätsschutz und Feature-on-Demand kennenlernen und in ihre Lösungen integrieren. Den Zugriff auf den Quellcode regelt der Steuerungsanbieter Rockwell. Dort speichert man Nutzungsrechte im »CmStick«.

Nur wenn der Entwickler das richtige Passwort mit der passenden Berechtigungsstufe hat, lässt sich die Entwicklungssoftware »Studio 5000 Logix Designer« nutzen. Anstatt die Authentifizierung traditionell über Benutzername und Passwort durchzuführen, kommen CmDongle oder die Aktivierungsdatei »CmActLicense« zum Einsatz. Die Nutzungsrechte werden in beiden Fällen sicher gespeichert, sodass der Quellcode nicht von Unbefugten verändert werden kann.

Ein absichtliches oder unbemerktes Weiter-geben von Benutzername und Passwort ist damit nicht möglich. Sind Servicetechniker weltweit im Einsatz, können die Berechtigungen sicher über das Internet in ihren CmDongle oder in ihre CmActLicense übertragen werden - zum Beispiel für die Dauer ihres Einsatzes.

Über den Autor:

Oliver Winzenried ist Vorstand von Wibu-Systems und Vorsitzender des Vorstands der VDMA-Arbeitsgemeinschaft Produkt- und Know-how-Schutz.