Erfolgreich im Kampf gegen Softwarepiraterie
Softwareschutz wird immer wichtiger. Denn im Zuge der Digitalisierung nimmt der Einsatz von Software zur Optimierung von Arbeitsprozessen rasant zu. Auch im modernen täglichen Leben kommt kaum ein Bereich ohne Software aus – ob im Büro als Office-Anwendung, auf dem Handy, als Gaming-Software oder bei der Steuerung von Maschinen in der Produktion. Tendenz steigend. Kein Wunder, dass der Softwareschutz mittlerweile einen ähnlich hohen Stellenwert für Hersteller einnimmt wie die Technik ihrer Produkte.
Inhaltsverzeichnis:
Definition: Was ist Softwareschutz?
Gesetzliche und technische Maßnahmen gegen Softwarepiraterie
Kryptografie ist die Basis für Kopierschutz
Der Einsatz von Dongles als Softwareschutzmodul
Fazit
In einer Veröffentlichung des Industrial Internet Consortiums und des Industrial Internet Security Frameworks zur gemeinsamen Sicherheitsstrategie und einem Ansatz zur Bewertung der Cybersicherheit in industriellen Internet-of-Things-Systemen wird der Begriff Softwareschutz wie folgt definiert:
„Der Softwareschutz umfasst die Maßnahmen einer Software-Entwicklungsorganisation zum Schutz eines Softwareprodukts und der damit verbundenen kritischen Daten vor Schwachstellen, internen und externen Bedrohungen, kritischen Fehlern oder Fehlkonfigurationen, die die Leistung beeinträchtigen oder Daten verfügbar machen können.“
Ganz gleich, wo Software im Einsatz ist: Die Softwareentwicklung und die Vermarktung sind herausfordernd und äußerst kostspielig. Die Gefahr, die vom Kopieren, Reverse Engineering und von der Manipulation von Softwarelösungen für die Unternehmen ausgeht, ist für Softwarehersteller existenzbedrohend. Aus diesem Grund investieren diese Unternehmen zunehmend in Softwareschutz von Anwendungen, Maschinen und Steuerungen. Je größer der Part der Software an der Wertschöpfung wird, desto wichtiger wird der Softwareschutz. Denn nur so sind Applikationen vor Industriespionage geschützt. Verschlüsselungssoftware sorgt auch dafür, dass Anwendungen manipulationssicher sind und Cyber-Sabotage weniger Chancen hat.
Aus Sicht der Softwarehersteller sichert Softwareschutz ihre Stellung in einem zunehmend umkämpften Markt. Nur der Entwickler, der durch innovative Produkte überzeugt, aber diese auch konsequent vor Raubkopie schützt, behält die Nase vorn. Dabei hat die Softwarepiraterie zahlreiche Gesichter: Oftmals wird Software zu einem vielfach günstigeren Preis im Netz verkauft, Lizenzen gefälscht bzw. mehrmals verkauft oder der Käufer nutzt eine Lizenz für mehrere User. Nicht zuletzt werden Softwareversionen gecrackt. Fest steht: Der Schaden, der durch Raubkopien entsteht, ist unermesslich, in einigen Fällen sogar existenziell. Eine aktuelle Studie der BSA von 2018, der globalen Software Allianz, geht davon aus, dass 43 Prozent der weltweit eingesetzten Software Raubkopien sind.
Ein Lichtblick: In Deutschland hat die Nutzung nicht lizenzierter Software leicht abgenommen. Im Vergleich zu 2017 fielen diese um zwei Prozent. Grund dafür sind laut den Branchenexperten der globalen Software Allianz die Nutzung von Abo-Modellen wie Steam, aber auch die Angst vor Malware und Cyberattacken. So liege die Wahrscheinlichkeit einer Malware-Infektion nach der Installation von raubkopierter Software bei rund einem Drittel. Die durch Cyberkriminalität verursachten Kosten beliefen sich laut Accenture Security in Deutschland auf durchschnittlich 13,12 Millionen Dollar pro Unternehmen - eine Steigerung von 18% gegenüber dem Vorjahr.
Bevor wir Ihnen unterschiedliche Verfahren zum Softwareschutz vorstellen, kurz zur Geschichte der Softwarepiraterie: Die elektronische Verbreitung von Raubkopien begann nicht erst mit dem Aufkommen des World Wide Web in den Neunziger Jahren. Schon ein Jahrzehnt zuvor verwendeten die Menschen DFÜ-Modems, um sich mit privaten Mailbox-Systemen (BBS) zu verbinden, die in vielerlei Hinsicht nicht nur als Vorläufer für das Internet, sondern auch für die illegale und weithin gebräuchliche elektronische Verbreitung von urheberrechtlich geschützten Materialien angesehen werden können.
Drei Jahrzehnte rasanten Wachstums haben das Internet zu einem allgegenwärtigen Wirtschaftsgut gemacht. Sein Potenzial als Vehikel für Piraterie ist derzeit auf einem Höchststand. Die Inhalte werden auf diverse Arten weitergegeben – am weitesten verbreitet ist die gemeinsame Nutzung von BitTorrent-Peer-to-Peer-Dateien, die für die Hälfte des Datenverkehrs verantwortlich ist. Den Rest teilen sich andere Peer-to-Peer-Netzwerke, Cyberlocker-Sites sowie Usenet-Newsgroups, die sich der Piraterie widmen.
Die elektronische Verbreitung von Raubkopien nimmt alarmierend zu. Immer mehr unabhängige Softwareanbieter entscheiden sich für einen Hardware- oder Software-basierten Schutz vor Softwarepiraterie. Abhängig von der Implementierung hat sich gezeigt, dass Softwareschutz einen Großteil des Problems in Schach hält.
Verstöße gegen das digitale Urheberrecht rückte erstmals der Digital Millennium Copyright Act von 1998 (DMCA) ins Rampenlicht, ein US-amerikanisches Urheberrecht, das Aktivitäten wie die Umgehung des Kopierschutzes und der Lizenzkontrollen (DRM) unter Strafe stellt. Mit dem PRO-IP-Gesetz von 2008 (Gesetz zur Priorisierung von Ressourcen und Organisation für geistiges Eigentum) wurden weitere Änderungen in Bereichen wie der zivil- und strafrechtlichen Durchsetzung sowie der Koordinierung und Finanzierung der Bemühungen des Bundes zum Schutz des geistigen Eigentums vorgenommen. Dieses Gesetz diente als Grundlage für zahlreiche Vorgänge gegen Rechtsverletzer, einschließlich der Beschlagnahmung von gefälschten Produkten und Ressourcen, die zur Erleichterung der Verbreitung von Raubkopien eingesetzt wurden. Weitere Initiativen zum Softwareschutz folgten, auch durch kommerzielle Anbeiter wie beispielsweise Google.
Für die Branche war es jedoch schwierig, sich auf eine Reihe von Best Practices und gemeinsame Entwicklungsstandards zu einigen. Mehrere Organisationen, darunter BSIMM, OWASP und das National Institute of Standards and Technology, haben Dokumente vorgelegt, in denen ihre Vorschläge für Entwicklungsstandards dargelegt sind. Auf der industriellen Seite veröffentlichten das Industrial Internet Consortium und das Industrial Internet Security Framework eine gemeinsame Sicherheitsstrategie und einen Ansatz zur Bewertung der Cybersicherheit in industriellen Internet-of-Things-Systemen.
In diesem Zusammenhang handelt es sich bei Raubkopien um Computerprogramme und Datenbanken. Der User nutzt sie, bezahlt sie aber nicht. Ist das Anfertigen von Kopien für den privaten Gebrauch in Deutschland (§ 53 UrhG) und Österreich (§ 42 UrhG) unter bestimmten Voraussetzungen erlaubt, ist das Verbreiten von Kopien in fast allen Ländern der Welt gesetzlich verboten. Im Zuge der fortschreitenden Digitalisierung aller Lebensbereiche richten widerrechtliche Kopien zunehmend größeren Schaden an. Besonders kritisch ist, dass seit den 1990er Jahren auch Privatleute Kopien leichter anfertigen können.
Trotz der oben genannten gesetzlichen und institutionellen Maßnahmen gegen Softwarepiraterie scheint es so, als würden für jede Piraterie-Website oder für jedes Filesharing-Tool, das geschlossen wird, mehrere neue auftauchen. Das zeigt, Rechtsverfolgung allein ist keine Option. Ein hardware- oder softwarebasierter Kopierschutz (Digitales Rechtemanagement) scheint die einzige Lösung zu sein, wobei die Cloud-basierte Lizenzierung die neueste und für die Hersteller hoffnungsvollste Art der Zugriffsschranke ist. Ob diese am Ende die Softwarepiraterie eliminiert, ist fraglich, aber es macht sie auf jeden Fall erheblich schwerer.
Jede Art von Kopierschutz hat ihren Ursprung in der Kryptografie (altgriechisch: krypto für „verborgen, geheim" und grafie für „schreiben, Schrift"). Sie ist ein Teilbereich der Kryptologie und befasst sich mit dem Verschlüsseln von Informationen. Schon 3000 Jahre vor unserer Zeitrechnung wurde sie im alten Ägypten eingesetzt. Die damals einfachen Verschlüsselungsverfahren wurden immer weiter verfeinert und ihre Komplexität wuchs mit den vorhandenen Mitteln – über Papier und Bleistift, mechanische Rechen- und Chiffriermaschinen wie der Enigma bis hin zum Computer. Wurde früher Kryptografie meistens im Militär und bei Geheimdiensten eingesetzt, ist sie heute auch im privaten Bereich anzutreffen, zum Beispiel, um eine E-Mail vor dem Versand über das Internet zu verschlüsseln.
Eine der wichtigsten geltenden Regeln der modernen Kryptografie, Kerckhoffs’ Prinzip, besagt, dass die Sicherheit eines Systems nicht von der Geheimhaltung der Algorithmen abhängen darf, sondern nur von der Geheimhaltung eines Schlüssels. So darf bei einem System, das nach dieser Methode aufgebaut ist, der Mechanismus bekannt sein, denn die Sicherheit liegt einzig und allein in dem variablen Schlüssel. Viele Verschlüsselungsverfahren bauen auf diesem Prinzip auf.
Schützen lässt sich Software durch unterschiedliche Verschlüsselungsverfahren wie die symmetrische Verschlüsselung AES (Advanced Encryption Standard) und die asymmetrische Verschlüsselung ECC (Elliptic Curve Cryptography) oder RSA (Rivest, Shamir, Adleman). Dabei werden die kryptografischen Schlüssel gemeinsam mit Lizenzbedingungen und weiteren Optionen in einem Container gespeichert. Der Container kann ein Dongle oder eine software-basierte Aktivierungsdatei sein. Teil des Lösungspakets sind Applikationen und eine API zum Ver- und Entschlüsseln sowie zum Signieren.
Ein Dongle ist in der Regel ein USB-Stick, der auf eine Schnittstelle des Computers angeschlossen wird, um die Lizenz zu authentifizieren. Software, die mit einem USB-Dongle läuft, sendet eine Anfrage an den I/O-Port zur Authentifizierung, zuerst beim Start und dann in regelmäßigen Intervallen. In dem Moment, in dem der erwartete Validierungscode nicht abgerufen werden kann, wird die Anwendung automatisch beendet oder schränkt die Funktionalität ein. Vor allem schützt der Kopierschutzstecker vor unautorisierter Vervielfältigung. Letztlich ist das Prinzip einfach: Kein Dongle, kein Zugriff auf die Software.
Fortschrittliche Hardware-Dongles verwenden Public-Private-Key- sowie symmetrische Verschlüsselungsverfahren. Die Encryption Keys sind dabei nicht in Software, sondern auslesesicher im Flash-Speicher des Dongles enthalten. Zusätzlich gibt es Dongles mit Netzwerkunterstützung, die an einem beliebigen Computer oder Server im Netzwerk angeschlossen werden und eine Lizenzserver-Anwendung die Lizenzen im Netzwerk freigibt. Von der geschützten Anwendung wird dann wahlweise ein lokal gesteckter Hardware-Dongle (falls vorhanden) oder der Lizenzserver im Netzwerk abgefragt. Zusätzlich gibt es die Möglichkeit, die Software-Lizenz an einen bestimmten Computer zu binden, indem eine spezielle Lizenznummer auf Basis der Hardware (CPU, Mainboard, Laufwerk) generiert und im Dongle gespeichert wird.
Auch wenn Dongles nicht hundertprozentig vor Software-Klau schützen können, schränken sie die Softwarepiraterie gehörig ein und können vor allem in der digitalen Rechteverwaltung gute Dienste leisten. Denn: Es ist äußerst schwierig, eine illegale Kopie eines Dongles zu generieren.
Eine flexible Softwarelizenzierungsstrategie ist der Schlüssel zu einer erfolgreichen Monetarisierung und Rentabilität von Softwareherstellern. In der Vergangenheit waren hardware-basierte Lizenz-Dongles das Mittel der Wahl für den ultimativen Softwareschutz gegen unbefugte Nutzung oder illegale Manipulation von proprietären High-End-Anwendungen. Zusammen mit dem Trend zu Abonnementlizenzen und
Software-as-a-Service in vielen Geschäftsbereichen fühlen sich Endbenutzer heute jedoch mit software-basierten Lizenzaktivierungen oder Cloud-Lizenzierungsimplementierungen deutlich wohler.
Doch Dongles sind im Lizenzmix immer noch weit verbreitet, da viele Softwarehersteller zögern, die Stärken der Hardware-basierten Lizenzierung aufzugeben – nicht zuletzt deshalb, weil ihre Kunden sie nach wie vor nach Features wie einer portablen Lizenz fragen. Nicht alle Kunden sind an der Implementierung von cloud-basierten Aktivierungslösungen interessiert.
5 Gründe, warum Dongles als Sicherheitsmethode noch immer gut im Rennen sind:
In jüngerer Zeit werden Dongles mit Flash-Speicheroptionen und Smartcard-Chips angeboten, die den Sicherheitsfaktor erheblich verbessern. Zudem sind Dongles in verschiedenen Formen erhältlich, um den spezifischen Industriebedürfnissen gerecht zu werden. Beispiele hierfür sind etwa microSD- oder Compact Flash-Karten, die für den Einsatz in Industrieanlagen und Controllern entwickelt wurden und auch Belastungen in rauen Umgebungen standhalten.
Größter Vorteil: Es können Lizenzen für unterschiedliche Programm-Module in einem einzigen Dongle gespeichert werden. So benötigt der Benutzer nur einen einzigen USB-Stick, um die Lizenzen mehrerer Anbieter zu verwalten. Dies ist besonders attraktiv für Anbieter von Plugins und Erweiterungen. Ein größeres Lizenzspeichervolumen, eine treiberlose Installation, sichere Offline-Lizenzübertragung und -Updates – d. h., dass keine direkte Internetverbindung benötigt wird, um die Lizenzen im Dongle zu aktualisieren, da die Aktualisierungsdatei auch per E-Mail übertragen werden kann – sowie ein zusätzlicher Massenspeicher (über Flash-Speicher) sind weitere Gründe, warum viele Softwarehersteller an Dongles bis heute festhalten.
Ganz gleich, ob Sie sich für ein Hardware- oder ein Software-basiertes Schutzsystem entscheiden, meist sichert der Softwareschutz Sie nicht nur effektiv gegen Softwarepiraterie ab. Zudem werden Lizenzen einfach online verlängert, weitere Features oder Arbeitsplätze freigeschaltet sowie Updates bereitgestellt, welche die sich permanent ändernden Sicherheitsmaßnahmen immer auf dem aktuellen Stand halten.
Eine gute Softwareschutzlösung umfasst ein flexibles System zum Lizenzmanagement und zur Monetarisierung. So erhalten Softwarehersteller oder -distributoren die Chance auf Folgeumsätze und eine dauerhafte Kundenbindung.