Kaffeemaschinen, die Kapseln von Drittherstellern ablehnen, und Druckerpatronen, bei denen ein Chip das Nachfüllen verhindert, sind nur zwei Beispiele für Geräte mit Digitalem Rechtemanagement (DRM). Autor Cory Doctorow warnt auf der Hackerkonferenz DEF CON vor den daraus folgenden Risiken für die IT-Sicherheit.

Geräte mit DRM wurden ursprünglich vor allem für Kopierschutzmechanismen genutzt. Doch mit der zunehmenden Digitalisierung finden sich heute ähnliche Technologien in den unterschiedlichsten Geräten. Gemeinsam haben sie, dass sie dem Nutzer die Kontrolle darüber nehmen.

DMCA ermöglicht DRM

Die rechtliche Grundlage für derartige Mechanismen ist in den USA der Paragraph 1201 im Digital Millennium Copyright Act (DMCA). Doch auch in den meisten anderen Ländern gibt es ähnliche Rechtskonstrukte. Sie besagen, dass der Besitzer eines Gerätes nicht, oder nur in speziellen Ausnahmefällen, berechtigt ist, derartige technische Schutzmaßnahmen zu umgehen. In Deutschland wurde eine vergleichbare Regelung mit der Urheberrechtsreform 2003 eingeführt.

Cory Doctorow, Autor, Blogger und Aktivist, glaubt, dass der DMCA und ähnliche Gesetze der einzige Grund sind, warum derartige Technologien überhaupt existieren können. Nahezu jede Form von digitalem Rechtemanagement wurde in der Vergangenheit gebrochen. "Wenn man einen Tresor mit einem sicheren Schloss baut, ist es keine gute Idee, den Tresor im Haus des Einbrechers zu lagern", versucht Doctorow die Probleme von DRM-Technologien zu verdeutlichen.

Doctorow erinnert an einen der wenigen Prozesse, die es um den Paragraphen 1201 gegeben hat. Das Hacker-Magazin 2600 hatte ein Stück Quellcode veröffentlicht, mit dem der Kopierschutz von DVDs umgangen werden konnte. "Das sind die Leute, für die wir kämpfen wollen", sagt Doctorow - Hacker, die Sicherheitslücken in technischen Systemen aufzeigen und im Rahmen der Pressefreiheit veröffentlichen. 2600 verlor damals den Prozess. Für Doctorow eine gravierende Fehlentscheidung.

Druckerpatronen, die sich nicht nachfüllen lassen

Im Jahr 2004 hingegen verlor ein Hersteller eines Rechtemanagementsystems einen Prozess. Der Druckerhersteller Lexmark hatte in seine Patronen einen Chip eingebaut, der verhindern sollte, dass die Patronen nachgefüllt werden. Der Chip hatte die Information gespeichert, ob die Patrone voll oder leer ist. Einmal geleert konnte sie nicht mehr genutzt werden, auch wenn neue Tinte nachgefüllt wurde. Eine Firma, die nachgefüllte Druckerpatronen verkaufte, entwickelte einen eigenen Chip, der den Drucker austrickste und ihm einen vollen Stand der Patrone mitteilte.

Da sich der Digital Millenium Copyright Act auf urheberrechtlich geschützte Werke bezieht, war für das Gericht entscheidend, was hier geschützt werden sollte. Es stellte sich heraus, dass das einzige urheberrechtlich geschützte "Werk" in diesem Fall die Schutzsoftware selbst war. Das sah das Gericht nicht als ausreichend schutzwürdig an und Lexmark verlor den Prozess. Doch Doctorow befürchtet, dass ein derartiger Prozess heute anders ausgehen könnte. Denn praktisch jedes technische Gerät hat heute seine eigene komplexe Software, da die dazugehörigen Mini-Computer so billig geworden sind.

Immer mehr Gerätehersteller versuchen, sich durch digitale Schutzmechanismen abzuschotten und das sei, sagt Doctorow, gerade für die IT-Sicherheit fatal. Denn wenn das Entfernen der Schutzmechanismen gesetzeswidrig ist, laufen IT-Sicherheitsforscher permanent Gefahr, gegen Gesetze zu verstoßen, wenn sie Sicherheitssysteme analysieren wollen.

"Die einzige Methode, die wir bisher haben, um sichere Systeme zu entwickeln, ist die unabhängige Prüfung durch Dritte", so Doctorow. "Es ist dieselbe Methode, mit der wir aus dem dunklen Zeitalter der Alchemie entflohen sind. Durch wissenschaftliches Peer Review und Öffentlichkeit. Wir müssen unabhängigen Dritten, die uns nicht mögen, erlauben herauszufinden, welche dummen Fehler wir gemacht haben."

IT-Security im Konflikt mit Gesetzen

Die IT-Sicherheitscommunity verstößt laut Doctorow fast permanent gegen Gesetze wie den DMCA, nur würde das häufig nicht direkt gesagt. Die Analyse der Sicherheit von Smartphones ist praktisch nicht möglich, wenn man nicht ein sogenanntes Jailbreak durchführt. Doch gerade Apple kämpft seit Jahren dagegen, dass Jailbreaken als Ausnahme im DMCA zugelassen wird. Der Konzern will verhindern, dass Nutzer ihre eigenen Applikationen installieren dürfen. "Es ist grotesk, dass es gegen das Gesetz sein kann, über Sicherheitslücken zu informieren", so Doctorow.