Channel Security

Hans J. Meeves ist von Beruf Dipl.-Wirtschafts-Informatiker und wohnhaft in Schleswig-Holstein. Seit seinem Studienabschluss 1992 hat er mehrere Jahre in verschiedenen Führungspositionen in der Industrie gearbeitet, zuvor etwa ein Jahr im Ausland. Seit 1997 ist er an der TechnoData GmbH, Spezialist für Kopierschutzsysteme beteiligt, seit 1999 geschäftsführender Gesellschafter der TechnoData GmbH und seit 2002 bis heute Co-Geschäftsführer und Gesellschafter der Firma TechnoData Interware – TDi GmbH

Entwickler Magazin: Seit wie vielen Jahren beschäftigen Sie sich mit Kopierschutzsystemen?
Hans J. Meeves: Ich beschäftige mich seit fast acht Jahren mit Software-Kopierschutz. Das Thema hat mich gleich fasziniert, weil es damals nur wenige Anbieter für einen potenziell großen Markt gab. Und ich mochte bereits von Anfang an diese Art von Kunden, – Softwareentwickler, die mit Ihren Anliegen zu uns kamen. Und natürlich hat mich das Produkt fasziniert.

Entwickler Magazin: Wo sehen Sie die Hauptanwendungsgebiete Ihrer Produkte?
Hans J. Meeves: Ein Hauptanwendungsbereich ist zunächst der Kopierschutz von Software. Daraus leiten sich weitere Bereiche rund um Software ab: Lizenzverwaltung, Softwaredistribution, Pay-Verfahren, After Sales Management, Support, Vertrags- und Lizenzrecht.
Ein weiterer sehr neuer Anwendungsbereich ist der sichere und eindeutige Zugang für Internetportale (Online-Nutzerberechtigungsprüfung für Web Applications). Auch hieraus leiten sich immer neue Bereiche ab, wie zum Beispiel Lizenzschutz für Web Applications und Services, Versicherungsrecht, Verwaltungsrecht, Beweispflicht, Schadenersatz, Jugendschutz, Datenschutz und Verwaltungsrecht usw.

Entwickler Magazin: Welche Branchen und Kunden wenden Ihre Produkte an?
Hans J. Meeves: Software gibt es in wirklich allen Branchen. Hier kann man alles aufzählen: Gesundheitswesen, alle möglichen Industrien, Landwirtschaft, Handel, Banken, Versicherungen, Consulting und sonstige Dienstleister, öffentliche Verwaltung, Gemeinden, Bundeswehr, Ministerien, Schulen etc. Auf Kundenseite lassen sich vom Uni-Professor, der seine Excel-Dateien schützen will, bis zu den großen multinationalen Konzernen mit zigtausend Anwendungen benennen. Der Charme im Bereich Kopierschutz von Software liegt für mich auch darin, dass der Absatz wirklich über alle Branchen, alle Märkte und alle Regionen, in denen Menschen leben, verteilt ist. Wenn es der Bauindustrie mal schlecht geht oder im Gesundheitswesen gespart werden muss, ist dies insgesamt für uns nicht spürbar. Das Marktsegment Software wächst dabei kontinuierlich und unbeirrt weiter.
Mit ist aufgefallen, dass einige Unternehmen erst in den letzten Jahren durch Prozessauslagerung und Profitcenterstrukturen Kopierschutz verwenden, um selbst entwickelte Software kontrolliert im eigenen Konzern einzusetzen. Damit soll verhindert werden, dass diese Software das Unternehmen verlässt oder sich im eigenen Unternehmen unkontrolliert verbreitet.

Entwickler Magazin: Wo macht Kopierschutz Ihrer Meinung nach Sinn?
Hans J. Meeves: Sinn macht Kopierschutz für Software grundsätzlich immer. Manchmal erübrigt sich aber ein besonderer Kopierschutz, weil die Software zu speziell ist und daher für andere keinen Nutzen hat. Natürlich fällt mir hier auch Microsoft ein, die ihre Produkte gerade dadurch populär gemacht haben, weil ursprünglich überhaupt kein Kopierschutz eingebaut war. Es schien so, dass das private Raubkopieren der Microsoft-Produkte wie Freeware geduldet wurde. Die Studenten prahlten voreinander mit gefüllten Festplatten voller Raubkopien. Microsoft-Produkte verbreiteten sich daraufhin rasant und erreichten nicht zuletzt dadurch einen hohen Bekanntheitsgrad.
Die Auswirkungen dieser Kultur sind noch heute zu spüren und der Schaden für die gesamte Softwarebranche ist groß. Nur sehr langsam ändert sich ein Bewusstsein, das den Wert von Software mehr würdigt. Hierzu tragen gesetzliche Maßnahmen und Kopierschutz wesentlich bei.

Entwickler Magazin: Wo ist der Kopierschutz aus Ihrer Sicht umstritten – allgemein auf Kundenfeedback bezogen? Wo sollte er mehr eingesetzt werden? Besteht Handlungsbedarf seitens des Gesetzgebers?
Hans J. Meeves: Wo Kopierschutz nicht geeignet ist, kommt er nicht zum Einsatz. Umstritten ist Kopierschutz immer dann, wo betrieblich abgewogen werden muss, welcher Nutzen oder welcher Schaden entstehen kann. Der Nutzen ist klar, ein Schaden kann dann entstehen, wenn der Lizenznehmer über Alternativprodukte, die nicht geschützt sind, Ausweichmöglichkeiten hat und der Softwareentwickler befürchtet, seine kopiergeschützte Software deshalb nicht mehr so gut zu verkaufen.

Entwickler Magazin: Inwieweit hat sich die Art der von Ihnen angebotenen Produkte im Laufe der Jahre entwickelt?
Hans J. Meeves: Im Bereich der Hardwareentwicklung haben wir 1990 eher nebenbei mit einfachen LPT-Dongles angefangen, die keinen Speicher hatten, dann welche mit Speicher und später mit Mikroprozessor. Die Bauweise ist immer kleiner geworden. Ab 1997 haben wir unser Geschäft auf Kopierschutz verdichtet und ein eigenes kleines Gehäuse entwickelt.
Nebenbei haben wir auch mit anderen Schnittstellen experimentiert, wie zum Beispiel seriell, ISA/PCI, Smart Card und IrDA. Dafür gab es bis auf wenige Spezialanwendungen aber praktisch keine Nachfrage.
Seit 2001 bieten wir auch kompatible Lösungen für die USB-Schnittstelle an. Seither konzentrieren wir unseren Geschäftsgegenstand einzig auf Kopierschutzhardware. Auch die USB-Dongle haben wir konsequent und kompatibel weiterentwickelt. Seit es USB-Dongle gibt, konnte sich mit der Verbreitung entsprechender PCs das Image der Dongle wesentlich erholen, da es nun echte Alternativen zur LPT gab. Die alte Centronics-Schnittstelle war und ist mit der konkurrierenden und immer komplexer werdenden bidirektionalen Kommunikation längst überfordert.
Bezüglich der Sowftareentwicklung lässt sich sagen, dass die Kommunikation zwischen Dongle und der kopiergeschützten Software erfolgt durch eine DLL. Diese DLL kann statisch oder dynamisch eingebunden werden. An diesem Verfahren hat sich nichts Grundsätzliches geändert. Weiter entwickelt haben sich mehrsprachige Tools wie Netzwerk, Remote Update, File-Crypt und unser automatischer Kopierschutz Exe-Crypt. Dann gibt es Beispiele für alle Programmiersprachen und die Unterstützung der wichtigsten Betriebssysteme. Ein wichtiges Merkmal von Matrix ist, dass für den USB-Dongle keine Treiber mehr notwendig sind.
Wir benutzen zwei alternative 128-Bit Verschlüsselungsverfahren, IDEA und XTEA, wobei Letzteres unser Standardverfahren ist. Die gesamte Kommunikation und alle Werte sind verschlüsselt. Zusätzlich benutzen wir noch einen eigens dafür vorgesehenen Hardwarebaustein mit einer 64-Bit Seriennummer. Jeder Dongle ist dadurch verschieden und jeder einzelne Zugriff innerhalb des Dongles ist durch die Verwendung von Zufallszahlen ebenfalls verschieden.
Zur Kundenidentifizierung benutzen wir so genannte User-Codes. Sollte ein Hacker diesen durch Probieren verschiedener Werte herausfinden wollen, schaltet sich der Dongle nach dem 20. Fehlversuch verbindlich ab.

Entwickler Magazin: Wie wichtig erachten Sie das Internet als Möglichkeit für die Realisierung von (neuen) Kopierschutzverfahren?
Hans J. Meeves: In unserer Branche geht ohne Internet gar nichts mehr. Natürlich ist auch Lizenzschutz in Verbindung mit Internet unabdingbar.
Die kopiergeschützte Produktaktivierung im Internet ist für bestimmte Anwendungen im unteren Preissegment vordergründig gut geeignet. Der Kopierschutz ist dann meistens an den Rechner gebunden. Nur kommt dann oft ein relativ hoher Supportaufwand auf den Lizenzgeber zu, wenn die Lizenz auf einen neuen Rechner übertragen werden soll oder Hardwarekomponenten ausgetauscht werden. Das kommt etwa alle ein bis zwei Jahre vor und verschlingt schnell die in dem Segment ohnehin kleine Marge. Auch der Nutzer kann trotz rechtmäßiger Lizenz seine Software nicht anwenden.
Die Online-Nutzerberechtigungsprüfung ist in der Regel nicht an die Hardware des Nutzers gebunden. Damit fällt der Mangel der fehlenden Mobilität weg.
Nur gibt es hier wieder die Möglichkeit des Missbrauchs durch Mehrfachnutzung, weil die Login-Daten belauscht oder weitergegeben werden. Hinzu kommen rechtliche Bedenken hinsichtlich Jugendschutz, Sicherheit, Vertragsrecht, Haftung, Schadenersatz, Beweispflicht usw.
Produktaktivierung und Online-Nutzerprüfung lassen sich gut mit einem Dongle realisieren. Diese Methode Internet plus Dongle ist grundsätzlich überlegen, weil es die beschriebenen Nachteile dann nicht gibt. Den Kosten für die Dongles stehen meistens höhere Einsparungen im Support entgegen, sodass per Saldo keine Mehrkosten entstehen.
Bei der Online-Nutzerberechtigungsprüfung sehe ich in Zukunft sowohl seitens der Nutzer als auch seitens der Betreiber einen vermehrten Bedarf an Sicherheit; zur Klärung der rechtlichen Situation ebenso wie dem Schutz vor Missbrauch.

Entwickler Magazin: Wo stellen sich hier die Probleme in Bezug auf Angreifbarkeit von Internet-basierten Verfahren?
Hans J. Meeves: Je eindeutiger und sicherer der Zugang des Nutzers, umso weniger Gefahr entsteht vor Missbrauch. Um sichere Lösungen zu realisieren, ist die Implementierung des Schutzsystems klug und sorgfältig durchzuführen. Eine leistungsfähige Beratung seitens des Schutzsystemanbieters ist dafür sehr wichtig.

Entwickler Magazin: Blick in die Zukunft: Wie werden sich Kopierschutzsysteme Ihrer Meinung nach entwickeln?
Hans J. Meeves: Es gibt Versuche im Bereich DRM seitens Microsoft. Ebenfalls sind dazu Hardwaresystemkomponenten angekündigt, um Softwarelizenzen freizuschalten. Im Moment sehe ich aber keine grundsätzlich neuen und zukunftsfähigen Tendenzen. Die bestehenden USB-basierenden Verfahren werden aber rasant weiterentwickelt und etablieren sich zu einem leistungsfähigen und stabilen Standard.
Ich hoffe natürlich, und dafür stehen meine Beobachtungen am Markt und die Gespräche mit den Kunden, dass sich unsere neue Secure-Web-Logon-Methode durchsetzt. Hierbei handelt es sich um ein neues patentgeschütztes Verfahren, um via USB-Token einen sicheren Zugang auf Internet-Portale zu ermöglichen (Online-Nutzerberechtigungsprüfung).