Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

14.03.2006

Verantwortung muss Technik ergänzen

Hermann Gfaller
Eigentlich ist es einfach: Digital-Rights-Management dient im Kern dazu, unerlaubtes Kopieren elektronischer Inhalte zu verhindern. Dennoch gibt es kaum einen Begriff, der mehr Hoffnungen und Befürchtungen weckt.

Digital-Rights-Management (DRM) steht für die Bürde, eigene und fremde Rechte richtig zu verwalten, aber auch für die Erlösung von dieser Last durch Technik. Oft werden unter DRM nur Techniken verstanden, mit denen Urheber ihre Werke schützen. Das ist nicht falsch, denn im engen juristischen Sinn gründet sich DRM auf den Paragrafen 95 des Urheberrechts, der verbietet, technische Maßnahmen auszuhebeln, mit denen geschützte Werke gegen nicht zulässige Nutzung gesichert werden (siehe Kasten "Paragraf 95a des Urheberrechts). Auch Unternehmen stehen in der Pflicht: Sie haften, wenn man ihnen nachweisen kann, dass etwa ihre Nachlässigkeit dazu geführt hat, dass von ihnen erworbene Software bei nicht berechtigten Nutzern auftaucht.

Hier lesen Sie …

Fazit

• Der verantwortungsvolle Umgang mit eigenen und fremden Urheberrechten erspart nicht nur Ärger, sondern auch Geld;

• DRM-Technik ist noch unreif und kann die Freiheit bei der Gestaltung von Arbeitsprozessen empfindlich einschränken;

• einige rechtliche Voraussetzungen wie die Vergütung von Urheberrechten sind noch nicht geklärt;

• Verantwortungsgefühl und pauschale Rechteabgeltung über Verwertungsgesellschaften ergänzen DRM.

Workflow-Fragen

• Wer darf worauf zugreifen?

• Wie gibt man ein Dokument an die nächste Stelle weiter?

• Wie kann man Rechte delegieren?

• Wie implementiert man Rollen?

• Wie funktioniert das Schlüssel-Management?

• Wie hält man Änderungen nachvollziehbar?

Quelle: Fraunhofer-Institut für sichere Informationstechnik (SIT)

Aufregung in der Medienindustrie

Digital-Rights-Management wird derzeit gerne mit den Bestrebungen der Musikindustrie identifiziert, Musikstücke gleichzeitig im Internet zu verkaufen und gegen Raubkopierer zu schützen. Das Problem: Peer-to-Peer-Tauschbörsen haben das unerlaubte Kopieren von urheberrechtlich geschützten Werken quasi industrialisiert. Die Verluste der Industrie waren so erheblich, dass Sony lange nicht wagte, seinen bereits fertig gestellten MP3-Player "Walkman" auf den Markt zu bringen. Ins Rollen kam das Geschäft erst, als Apple mit seinem Musik-Store "iTunes" und dem integrierten DRM-System "Fairplay" zeigte, dass Musikliebhaber auch im Internet bereit sind, Geld auszugeben.

Seither schießen Nachahmer aus dem Boden wie Spargel im Frühling. Selbst die Filmindustrie fängt an, sich mit ihren Produkten ins Netz zu wagen.

Triple-Play (Internet, Telefonie und TV) steht im digitalen Wohnzimmer offensichtlich ebenfalls vor dem Durchbruch. Auch werden inzwischen die ersten Kinos digital über das Netz mit neuen Filmen versorgt. Die meisten Erwartungen zieht derzeit allerdings der Vertrieb multimedialer Inhalte über das Handy auf sich. All diese Hoffnungen können nur in Erfüllung gehen, wenn sich Raubkopien verhindern lassen. Ohne DRM besteht die Gefahr, dass zum Beispiel ein neuer Film bereits vor dem offiziellen Start im Internet kursiert.

Paragraf 95a des Urheberrechts

Das deutsche Recht setzt mit Paragraf 95a EU-Richtlinien um, die derzeit verschärft werden sollen. Generell gilt, dass sich das Urheberrecht im Fluss befindet, seit es Software als eigenständiges Produkt gibt. Viele Rechte lassen sich in einer vernetzten Welt jedoch kaum geltend machen. Das liegt an den unterschiedlichen nationalen Bestimmungen, aber auch daran, dass immer mehr Rechtspersonen (Menschen und Unternehmen) mit dieser komplizierten Materie zu tun haben, die nicht ohne Not kriminalisiert werden sollen. So ist in den seltensten Fällen zu klären, wer eine Raubkopie in Umlauf gebracht hat.

Kein unerlaubtes Kopieren

Die juristische Grundlage von Digital-Rights-Management sieht vor, dass technische Maßnahmen, mit denen Inhaber von Urheber- oder verwandten Rechten ihre Werke oder Gegenstände schützen, nicht umgangen werden dürfen. Zu den technischen Maßnahmen zählt der Gesetzgeber vor allem Geräte (wie etwa Dongles) und Vorrichtungen (Kopierschutz) im engeren Sinne, aber auch Technologien im weiteren Sinne, also die materiellen und organisatorischen Voraussetzungen für die Technikanwendung.

Konkret verboten sind Herstellung, Einfuhr, Verbreitung, Verkauf, Vermietung, Erbringung von Dienstleistungen sowie die gewerbliche Werbung für Vorrichtungen zum Umgehen eines solchen Schutzes. Das gilt insbesondere, wenn damit kommerzielle Ziele verfolgt werden. Unabhängig davon greift das Verbot aber auch, wenn die Hauptabsicht in der Umgehung des Schutzes besteht.

Ausnahmen

Explizit ausgenommen von den Bestimmungen sind Strafverfolgung und Maßnahmen zum Schutz der öffentlichen Sicherheit. Eine Reihe von Ausnahmeregelungen betreffen darüber hinaus private Nutzer, etwa für Sicherungskopien, Künstler, Rundfunk und Presse sowie kulturelle Einrichtungen (Museen, Schulen oder Forschungsstätten). Anders als nach den Bestimmungen des amerikanischen Digital Millennium Copyright Act (DMCA) ist die Umgehung der Schutzmechanismen zwar zivilrechtlich verboten, der Besitz entsprechender Dateien jedoch nicht.

Dokumenten-Management mit DRM

Ziel 1: Rückverfolgung zum Absender

• Dokumente werden vor Abruf durch sichtbare und unsichtbare Metadaten wie Wasserzeichen beim Ausdruck, Benutzerkennung, Abonnentennummer etc., Zeit, Datum, IP-Adresse oder Steganografie ergänzt.

• Anwender muss auf Verwendung von sichtbaren und unsichtbaren Metadaten hingewiesen werden;

• Javascript-Automatismen: Zum Beispiel ist nur ein Ausdruck erlaubt, oder das Dokument löscht sich selbst;

• Nutzung eines bestimmten Readers;

• Weitergabe der Datei etc. wird nicht verhindert;

• Echtheit der Datei kann rechtsverbindlich nachgewiesen werden.

Ziel 2: Illegale Nutzung unterbinden und nachverfolgen

• Alle Dokumente erhalten eine für die jeweilige Datei oder den Nutzer gültige Security Policy;

• Nutzung lässt sich zeitlich begrenzen;

• Einschränkung pro Anwender oder Gruppe möglich;

• Nutzungbeschränkung auf Teilnetze (zum Beispiel nur im Intranet);

• Dokumente sind verschlüsselt, Metadaten auf Wunsch indexierbar;

• Öffnen, Schließen, Kopieren von Inhalten werden protokolliert;

• Weitergabe etc. der Datei wird verhindert;

• alle Vorgaben lassen sich jederzeit ändern.

Quelle: Adobe

Einhalten von Lizenzrechten

Das klingt danach, als ginge es darum, den Job der Hersteller zu machen und deren Software zu schützen. Tatsächlich besteht ein Teil des Rechte-Managements darin, dafür zu sorgen, dass die Lizenzverträge mit den Soft-warelieferanten eingehalten werden. Für kleinere und mittlere Unternehmen entwickelt sich diese Aufgabe angesichts Hunderter von Softwareprogrammen und immer neuer Lizenzmodelle zunehmend zu einer Last. Software lässt sich leasen, kaufen, mieten, abonnieren. Gebühren fallen monatlich, jährlich oder pro Benutzung an. Manche Programme sind CPUs zugeordnet, andere Personen, Gruppen oder Lokalitäten. In einigen Fällen gilt es, die Rechte für den internationalen Einsatz zu erwerben, und bei der Verwendung von Blade-Servern ist sicherzustellen, dass die dort verwendete Software beliebig oft gelöscht und kopiert werden darf.

Anders sieht die Situation bei großen Unternehmen aus. Hier gibt es Spezialisten, die aus der Vielfalt den größtmöglichen Vorteil für das Unternehmen ziehen. Nicht nur, dass hauptamtliche Asset-Manager über Zeit und Know-how verfügen, das jeweils günstigste Angebot auszuwählen. Oft gelten für wichtige Kunden auch keine Listenpreise und Standardkonditionen. Hier müssen die Fachleute im Vorfeld klären, welche Rechte das Unternehmen überhaupt in Anspruch nehmen möchte, und diese Anforderungen für einen Vertrag auflisten. Kurz: Es geht darum, die Lizenzkosten den Bedürfnissen anzupassen.

Viele Facetten

Einfacher wird das Rechte-Management durch solche individuellen, und häufig nachgebesserten Vertragskonditionen nicht. Schließlich sollen Nutzungsverletzungen verhindert werden. Solange es sich um die Gefahr von Raubkopien handelt, hilft die Softwareindustrie nach Kräften. Die meisten Anbieter statten ihre Produkte mit Sicherungen unterschiedlichster Wirksamkeit aus. Unter der Fahne von DRM segeln heute unterschiedliche Sicherheitstechniken, die von Verschlüsselung, Dongles, Authentifzierung, Verfolgung von Dokumenten durch digitale Wasserzeichen bis hin zu Trusted Computing mit Hash-Algorithmen und vielem mehr reichen. Zu den besonders wirksamen Methoden gehört, Software zentral zu halten, so dass nur berechtigte Anwender darauf zugreifen können. Verzichten die Softwareanbieter jedoch darauf, ihre Produkte durch technische Maßnahmen zu sichern, so entbindet das den Anwender keineswegs von der Pflicht, Raubkopien nach Möglichkeit zu unterbinden.

Allerdings kümmert sich DRM nicht nur um erworbene Software. Die Anwender selbst schaffen ständig urheberrechtlich geschützte Werke. Dazu zählen Konstruktionszeichnungen, Werbetexte, besonders schöpferische Business-Pläne, selbst entwickelte Maschinen, die Gestaltung von Gebäuden, kurz alles, was einen erheblichen kreativen Anteil enthält. Obwohl ebenfalls schutzwürdig, fallen viele Betriebsgeheimnisse wie etwa Geschäftszahlen oder Korrespondenz nicht unter das Urheberrecht, werden aber meist mit den gleichen DRM-Techniken geschützt.

Besonders ernst genommen wird DRM in der Automobilindustrie. Bei der Entwicklung neuer Fahrzeugmodelle entstehen große Mengen patent- und urheberrechtlich geschützter Ideen. Dazu zählen technische Blaupausen ebenso wie Designentwürfe und Marketing-Broschüren. Zu den zentralen Schutzmaßnah-men der Branche gehört, dass möglichst wenige Informationen außer Haus geraten. Auf diese Weise lassen sich zum Beispiel alle Rechner kontrollieren, über die digitale Inhalte übertragen werden. Jeder Kopiervorgang kann protokolliert und zugeordnet werden.

Angesichts einer immer tiefer gestaffelten Zulieferkette ist eine derart straffe Organisation allerdings nicht immer möglich. In solchen Fällen müssen neben technischer Unterstützung und Vorgaben für die Prozesse schriftliche Vereinbarungen mit entsprechenden Vertragsstrafen dafür sorgen, dass auch die Partner die gewünschten Sicherheitsstandards einhalten.

Wenn DRM versagt

Dennoch gibt es Pannen: Es ist erst knapp zwei Jahre her, als BMW einen Modell-Launch für seine 3er-Serie vorbereitete. Der "Erlkönig" stand noch unter höchster Geheimstufe. Doch schon Monate vor der Präsentation fand eine fertige Werbebroschüre aus Slowenien auf ungeklärte Weise den Weg ins Internet und auf die Rechner der Automobilpresse. Das DRM des Herstellers hatte versagt.

Das Beispiel aus der Automobilindustrie zeigt, dass DRM nicht nur für die Software-, Musik- und Filmindustrie (siehe Kasten "Aufregung in der Medienindustrie"), sondern übergreifend für Unternehmen von Bedeutung ist. Besonders gefährdet sind derzeit nach Informationen des Fraunhofer-Instituts die Softwareprogramme der CNC-Maschinen, mit denen hiesige Unternehmen in China Produkte vom Lenkrad bis zum Snowboard fertigen. Die Maschinenbauer setzen auf Hardwarelösungen wie Field Programmable Gateway Arrays (FPGA). Die fest eingebauten Komponenten enthalten in verschlüsselter Form Teile des Programms, so dass dieses nur auf einer speziellen CNC-Maschine läuft. Ein Verfahren, dass sich auf die Sicherung von Software in Autos und anderen Geräten übertragen lässt.

Sicherer Dokumenten-Workflow

Meist geht es bei Anwenderunternehmen jedoch nicht um den Schutz von Software, sondern - wie bei dem BMW-Beispiel - um einen gesicherten Workflow für sensible Informationen (siehe Kasten "Workflow-Fragen"). Hier ist DRM technisch am weitesten fortgeschritten. Mit den PDF-Dateien von Adobe beispielsweise gibt es schon lange einen Standard, der gewährleisten kann, dass Bearbeiter nur die Rechte erhalten, die sie für ihre jeweilige Aufgabe brauchen. Die Druckfunktion lässt sich ebenso unterbinden wie das Sichtbarmachen von Bildern.

Dennoch gibt es auch hier Pannen. So blamierte sich das US-Verteidigungsministerium vor einem Jahr mit seinem offiziellen Bericht zur Beschießung des Fahrzeugs der entführten italienischen Journalistin Giuliana Sgrena. Viele Stellen des PDF-Dokuments waren zwar geschwärzt, aber per Cut-and-Paste wieder lesbar zu machen. Solche Anwendungsfehler lassen sich vermeiden. Damit die Nutzer das nicht selber machen müssen, sorgt ein Policy-Server dafür, dass alle Regeln wie gewünscht eingehalten werden. Selbst digitale Signaturen sind inzwischen eingebettet. Nimmt man den Bearbeitern zudem die Möglichkeit, Screenshots anzufertigen, könnte das Verfahren ziemlich sicher sein.

Herausforderung für DRM

Doch irgendwann fängt Sicherheit an, die Arbeit empfindlich zu stören. So sind Agenturen bei der Erarbeitung von Broschüren - wie im BMW-Beispiel - darauf angewiesen, mit Texten und Bilden experimentieren zu dürfen, sie müssen alle Bilder sehen können, um sie richtig beschreiben zu können, und wollen in der Lage sein, Ausdrucke verschiedener Entwürfe miteinander zu vergleichen (siehe Kasten "Dokumenten-Management mit DRM").

Ein Gebiet des Rechte-Managements, das Unternehmen leicht übersehen, ist ihr Web-Auftritt. Jede Website gilt als Publikation. Für alles, was dort erscheint, muss das Unternehmen die Rechte besitzen. So darf eine Firma nicht ohne Erlaubnis eine Liste der eigenen Kunden, gar deren Logo, veröffentlichen. Jeder Text und jedes Bild, jeder Bildinhalt ist auf die Urheberrechte zu prüfen. Selbst Texte von Mitarbeitern darf man nur mit deren expliziter Zustimmung auf die Seite stellen. Auch darf man nicht einfach Meldungen aus anderen Publikationen (inklusive Web-Seiten) übernehmen.

Website-Betreiber in der Pflicht

Verlangen Urheber, dass ihre Inhalte gegen unberechtigtes Kopieren geschützt werden, dann muss der Website-Betreiber das Mögliche dafür tun. Eine Lösung stellt die Einrichtung eines geschlossenen Benutzerbereichs dar - auch wenn es sich dabei um keinen zuverlässigen Kopierschutz handelt. Da absolute Sicherheit technisch nicht möglich ist, reicht eine solche Maßnahme zumindest aus, um sich gegen Haftungsforderungen von Urhebern zu schützen. Diese bleiben dabei allerdings im Regen stehen.

Ein besonders schwieriges Gebiet sind Blogs. Hier kann es geschehen, dass jemand geschützte Inhalte ohne Erlaubnis des Urhebers auf die Unternehmensseite lädt. Der Blog-Betreiber muss aufgrund seiner Kontrollpflicht solche Inhalte entfernen. Ansonsten kann der Urheber seine Rechte (auf Unterlassung, Honorarzahlung oder Schadensersatz) bei ihm einklagen.

Ginge es nur um die Sicherung von Workflows und die Erfüllung von Lizenzverträgen, dann wäre die Aufregung unverständlich, die es um DRM gibt. Tatsächlich ringen Politik, Urheber und Unternehmen seit Jahren darum, wem die Regeln dienen sollen. Im so genannten zweiten Korb (2.Teil) der Urheberrechtsnovelle soll unter anderem über die Vergütung von Urheberrechten entschieden werden.

"Das Kürzel DRM lässt sich als Digitales Rechte-Management auflösen oder als Digitales Restriktions-Management", brachte kürzlich Suns Cheftechnologe Greg Papadopoulos, die Grundhaltungen auf den Punkt: "Wir brauchen eine Wirtschaft mit freiem Austausch von Daten und einer Abrechnungsmethode, die den Schöpfern und den Verbreitungsorganen solcher Daten eine gerechte Vergütung zukommen lässt. Es geht um Vergütungen, nicht um Kontrolle." Dazu müsse darüber Buch geführt werden, wer was wann verwendet.

Schwierigkeiten in der Praxis

Dahinter steckt die Grundidee des Pay-per-Use. Jedesmal, wenn ein Recht in Anspruch genommen wird, soll dafür bezahlt werden. Dafür muss die Nutzung von Werken lückenlos dokumentiert werden. Geteilt wird diese marktwirtschaftliche Vision hierzulande vom Branchenverband Bitkom, der sich vehement für DRM einsetzt. Verband und Sun-Manager verschweigen jedoch, dass ein technisch funktionierendes DRM noch nicht existiert. Stattdessen haben sich für die private Nutzung etablierte Verfahren bewährt, die das gesellschaftlich heikle Überwachungsproblem umgehen: die Verwertungsgesellschaften. Sie erheben Abgaben auf Geräte, mit denen sich urheberrechtlich geschützte Inhalte kopieren lassen, und verteilen das Geld nach einem festen Schlüssel an die Urheber.

Würde man dieses Verfahren zugunsten von DRM aufgeben, dann müsste jeder Nutzer bei jedem Kopiervorgang (am Rechner, Drucker, Kopierer etc.) zur Kasse gebeten werden. Solange das technisch nicht machbar ist, plädiert der Verband für eine drastische Senkung der Urheberrechtsabgaben - auf Kosten der Urheber.

Open Source und Microsoft

Zu den Gegnern von Digital-Rights-Management gehören auch Teile der Open-Source-Community. Im Entwurf zur dritten Version der General Public Licence (GPL) wird "Digital Restriction Management" als grundsätzlich nicht mit der Open-Source-Idee vereinbar ausgeschlossen. Da wäre es zum Beispiel im Grunde nicht zulässig, einen Kopierschutz unter GPL zu lizenzieren. Allerdings teilen Open-Source-Größen wie Linus Torvalds die Haltung der GPL-Verfasser um Richard Stallman nicht unbedingt. Für die Anwendung einschlägiger Software in Unternehmen dürfte die DRM-Ablehnung wenig Bedeutung haben. Sie spielt nur dann eine Rolle, wenn in den Lizenzbedingungen festgeschrieben wird, dass GPL-Software nicht mit DRM-Software gemeinsam verwendet werden darf.

Ähnlich ideologisch aufgeladen ist der seit Jahren anhaltende Widerstand gegen Microsofts DRM-Pläne. Sie sorgten ursprünglich unter der Bezeichnung Palladium für Aufruhr, weil Datenschützer befürchteten, dass die Hard- und Softwarekombination dazu dienen könnte, die Rechner der Anwender auszuspionieren. Außerdem gab es Gerüchte, dass nicht konforme Software unter Palladium nicht mehr lauffähig sei. Erste Ergebnisse des inzwischen in Next Generation Secure Computing Base (NGSCB) umbenannten Konzepts sind laut Ankündigung bald in Windows Vista zu begutachten. Die dazugehörige Trusted Computing Platform (TCP) wurde auch wegen datenschutzrechtlicher Bedenken von DRM-Bedürfnissen wegentwickelt.

Dennoch setzen DRM-Verfechter einige Hoffnungen in die Hash-Algorithmen, mit denen zumindest unautorisierte Änderungen am Rechner festgestellt werden können. Auf diese Weise ließe sich zum Beispiel heimlich aufgespielte Spionage- oder Kopiersoftware entdecken. (ave)