Interview mit Oliver Winzenried, CEO Wibu-Systems AG Schutz für SPS-Lösungen

SPS: Sie haben auf den Herbstmessen electronica und SPS/IPC/Drives die Kooperation mit 3S und eine Sicherheitslösung für Codesys vorgestellt. Wie waren die Reaktionen darauf? Das Interesse war sehr groß. Auf beiden Messen wurden industrietaugliche Lösungen zum Produkt- und Know-how-Schutz gesucht. Am Codesys-Gemeinschaftsstand auf der SPS/IPC/Drives hatten wir zahlreiche Gespräche mit genau den richtigen Unternehmen, und Anwendern. SPS: Was ist das Ziel dieser Kooperation? Bisher gab es keine Schutzlösungen für SPS-Software. Diese Lücke haben wir zum Anlass genommen, in Kooperation mit 3S-Smart Software Solutions eine gemeinsame Entwicklung zu starten, die Anbietern und Anwendern von SPS-Lösungen entlang des kompletten Prozesses der Automatisierung ein einheitliches Werkzeug zur Lizenzierung und zum Schutz der Steuerungssoftware zur Verfügung stellt, das sie transparent in ihre Automatisierungslösung einbinden können. Die Basis dafür ist die bewährte CodeMeter-Technologie, die in das plattformübergreifende Entwicklungswerkzeug CoDeSys integriert wird. SPS: Wie bewusst sind sich Unternehmen der Wichtigkeit des Themas Softwareschutz? Die Nachfrage für das Thema wächst stark. Das Ergebnis der VDMA-Studie vom April 2010 ist, dass 45% der deutschen Maschinen- und Anlagenbauer vom Nachbau ganzer Maschinen betroffen sind und 75% technische Schutzmaßnahmen einsetzen möchten. Aber die wenigsten tun es bisher, da es an standardisierten, einfach und kostengünstig integrierbaren Lösungen mit hoher Sicherheit bisher gefehlt hat. Wir können diese Lücke nun zum richtigen Zeitpunkt schließen. Kopierschutz gegen 1:1-Nachbau und Know-how-Schutz gegen Reverse Engineering und Diebstahl von Alleinstellungsmerkmalen und besonders pfiffigen Algorithmen. SPS: Ist das Interesse am Thema Sicherheit gewachsen? Definitiv ja. Aufgrund des Stuxnet-Virus ist das Thema Sicherheit viel stärker in das Bewusstsein der Unternehmen gerückt. Hier geht es um Integritätsschutz der Software, also das Verhindern von Manipulationen und ungewollten Änderungen. Dies ist auch aus Haftungsgründen wichtig für Hersteller. Am besten ist es, wenn diese Sicherheit dann mit individuellen Schlüsseln verbunden ist, die in der Maschine oder dem Gerät stecken und keiner Person bekannt sind, da die Schlüssel dann nicht durch Erpressung oder sonstige \’Social Engineering\‘-Methoden von Kenntnisträgern verraten werden können. SPS: Haben auch kleinere bzw. mittelständische Unternehmen die Wichtigkeit des Themas Produktpiraterie erkannt? Durchaus. Im VDMA wurde die Arbeitsgemeinschaft \’Protect-Ing\‘ gegründet, um Anbieter verschiedener Schutzstrategien zusammenzubringen mit dem Ziel, den Herstellern einen schnellen Überblick über die verschiedenen verfügbaren Lösungen zu geben. Gerade für KMUs ist es wichtig, sich auf ihre Kernkompetenzen zu konzentrieren und beim Produktschutz auf existierende, kostengünstige, sichere und ausgereifte Lösungen zurückzugreifen. SPS: \“Nur 10% weniger Raubkopien und der weltweite IT-Markt könnte zweistellig wachsen\“, so ist es auf Ihrer Homepage zu lesen. Sind sich viele Unternehmen dieser Größenordnung bewusst? Ich denke, eher nicht. Zwar sichern sich viele Unternehmen rechtlich ab und schützen ihr Know-how über Patente. Aber ist der Schaden entstanden, ist Wahrung der eigenen Rechte schwierig, vor allem, wenn die Unternehmen weltweit arbeiten. In meinen Augen sollten die Unternehmen vor der Auslieferung geeignete technische Maßnahmen ergreifen, um Raubkopien zu verhindern. SPS: Sie haben Niederlassungen, Verkaufsbüros und Distributoren in vielen Ländern. Welchen Stellenwert nimmt das Thema Sicherheit in den unterschiedlichen Ländern ein, welchen in Deutschland? Das Sicherheitsbedürfnis existiert in den meisten Ländern. In Deutschland entwickeln die Unternehmen viel Know-how, was weltweit zum Einsatz kommt. Deswegen ist das Sicherheitsbewusstsein sehr hoch. Aber auch in China kümmern sich die Unternehmen sehr um den Schutz und die Lizenzierung ihrer Software. Sie wissen selbst, dass sie einen guten Schutz benötigen. Die Anforderungen sind dort natürlich etwas anders als in Deutschland, aber wir hören den Kunden sehr gut zu und haben uns inzwischen in China eine gute Marktposition erarbeitet. Ähnlich ist die Situation in anderen europäischen Ländern und in den USA. Ohne lokal vor Ort zu sein, wäre dies nicht möglich. SPS: Wovon profitieren Anwender am meisten durch Softwareschutz? Anwender haben die Sicherheit, dass nichts manipuliert wurde und das Gerät oder die Maschine die zugesicherten Eigenschaften auch hat. Hersteller können ihr Ergebnis steigern. Sie schützen ihr Know-how und halten ihren Wettbewerbsvorsprung, vermeiden Raubkopien und vergrößern ihren Kundenkreis. SPS: Wie funktioniert CodeMeter? CodeMeter-Lizenzen können entweder in einer Lizenzdatei gespeichert werden, die durch Aktivierung an ein sicheres Merkmal der Zielhardware gebunden werden, oder in der Code­Meter-Hardware. Diese hochsichere Hardware hat ein Smart Card Chip als Herzstück und ist für viele Schnittstellen verfügbar: USB, PCCard, CF-Card, µSD- und SD-Card. Optionaler Flash-Speicher, erweiterte Umgebungsbedingungen für industrielle Anwendungen, Langlebigkeit, eine feste Stückliste und \’Made-in-Germany\‘ zeichnen die Produkte aus. Daneben ist die Integration in den Vertriebsprozess und die Backoffice-Integration wichtig. Die CodeMeter License Central kann hochflexibel in Online-Shops und ERP-Systeme integriert werden, beispielsweise in MS Dynamics oder SAP. SPS: Wie hoch ist der Schutzgrad von CodeMeter? Wie entsteht der besonders hohe Schutz Ihrer Produkte? Hundertprozentigen Schutz kann es nicht geben. CodeMeter erreicht dennoch einen sehr hohen Schutzgrad durch ausgereifte Verfahren, wie Programmcode durch kryptografische Verfahren verändert wird. Codeverschlüsselung verhindert die Nutzung von Kopien, da die Schlüssel in der CodeMeter-Hardware nicht kopiert werden können, sie verlassen die hochsichere Smart Card basierte Hardware nie. Gleichzeitig wird damit Reverse-Engineering verhindert und das Know-how wirkungsvoll geschützt. Durch asymmetrische Challenge Response Verfahren wird die Sicherheit weiter erhöht, durch Codesignatur wird die Integrität geschützt und Manipulation am Code, wie bei Stuxnet, verhindert. Weiter wird Obfuskation (Verschleierung, Anm. d. Red.) verwendet, die Kommunikation zwischen geschützter Anwendung und dem Schutzsystem ist verschlüsselt, Angriffsversuche können erkannt werden und die Lizenz im Smart Card Chip gesperrt werden, um nur einige weitere Punkte zu nennen. In insgesamt fünf Hacker\’s Contests konnten unsere Schutzlösungen zeigen, wie sicher sie sind. Dies ist zwar kein Beweis, aber dennoch ein Praxistest, an dem insgesamt weit mehr als 1.000 Ingenieure, Informatiker und Studenten teilgenommen haben. SPS: Wird durch Ihr Schutzsystem Echtzeitfähigkeit der Steuerungen gewährleistet? Ein sehr wichtiger Punkt. Es macht keinen Sinn, eine Interruptroutine, die alle 100µs durchlaufen wird, jedes Mal vor Ausführung zu entschlüsseln. Der Entwickler kann festlegen, welcher Code nach Entschlüsselung und Verwendung noch gecacht im Speicher gehalten werden soll, welcher Code jedes Mal entschlüs­selt und welcher Code möglicherweise nur beim Programmstart entschlüsselt wird. Dadurch hat er es in der Hand und die Echtzeitfähigkeit wird nicht beeinträchtigt. (kbn)