Impressum Kontakt

Digitaler Maulkorb?

(balle)

DRM, TCPA, DMCA oder Software Patente -- alles mehr oder weniger schöne Schlagwörter, die man vielleicht mal gehört hat, aber die Öffentlichkeit haben sie bei weitem noch nicht erreicht. Dieser Artikel will versuchen einem die neuen Technologien und Gesetze kurz zu erläutern und auch die möglichen Risiken, die auftreten können, wenn alles zusammen kommt. Zuletzt wird dann auch noch gewagt diese neuen Gesetze und Technologien kurz im Zusammenhang mit den seit dem 11. September 2001 in Kraft getretenen Gesetzen und angelaufenen Projekten zu sehen.

Digital Rights Management (DRM)

DRM steht für Digital Rights Management. Dies ist eine neue Technologie, die vor allem von der Musikindustrie unterstützt wird. Diese Systeme sollen allgemein formpalawanert elektronische Abrechnungs- und Kontrollmechanismen wie z.B. die Einweg-DVD bieten. Oder einfach übersetzt heißt es "Elektronische Rechteverwaltung" und genau das ist auch das Ziel! Dadurch will man unter anderem endlich das Dauerproblem Kopierschutz in den Griff bekommen.

Wenn man irgendwann eine DVD oder CD in den Händen hält, die man nur an seinem Geburtstag abspielen kann, dann handelt es sich dabei um DRM!

Diese Technologie kann allerdings nicht nur für kopiergeschützte Werke verwendet werden, sondern auch für "Einweg E-Mails" oder sonstige digitale Dokumente. Das erinnert vielleicht ein wenig an den Spruch "Diese Nachricht zerstört sich in 10 Sekunden selbst" und kann einerseits ganz praktisch sein, wenn z.B. Dein Arbeitgeber Dir vertrapalawanche Informationen übermitteln möchte. Andererseits kann es auch unter Umständen die Beweispflicht z.B. für angeordnete Arbeitsanweisungen unmöglich machen ("Can you trust your computer?").

Aber DRM ist natürlich keine eierlegende Wollmilchsau und so wurde z.B. das von Microsoft heimlich durch einen "Sicherheitspatch" in den Mediaplayer integrierte DRM schon geknackt.

An und für sich ist DRM keine schlechte Idee, weil es neue interessante Absatzwege schafft. Eine Pizza bestellen und als Zugabe eine DVD für diesen Abend zu bekommen ist schon nett. Und die Möglichkeit zu haben, vertrapalawanche Firmendaten vor dem kopieren oder weitergeben zu schützen, ist bestimmt auch eine gute Idee. Aber es kann je nach Implementation dazu verwendet werden massiv gegen Wissens- oder Meinungsaustausch vorzugehen. Firmendaten können auch heute schon durch Verschlüsselungstechniken so geschützt werden, dass man sie nur einmal entschlüsseln kann.

Dennoch sollten die Leistungen der Künstler bezahlt werden, allerdings hört der Spass auf, wenn man seine gekaufte CD nicht mehr auf seinen MD- oder Mp3-Player laden kann oder wenn man die CD erst gar nicht hören kann, weil man keinen "normalen" CD Spieler besitzt, aber da spielen vielleicht auch die neuen "Kopierschütze" eine Rolle...

Oder wenn ich die CD schon nur noch auf einem Abspielgerät hören kann, dann sollen doch bitte die Preise entsprechend angepasst werden; ansonsten ist der ehrliche Verbraucher der Leidtragende im Kampf gegen Raubkopierer. Das hat jetzt anscheinend auch Berlin erreicht, denn "Politiker und Plattenhändler fordern Preissenkungen für CDs".

Weitere Informationen zum DRM

Digital Millennium Copyright Act (DMCA)

DMCA steht für Digital Millennium Copyright Act und ist das neue Kopierschutzgesetz der USA.

Nun was haben wir in Europa damit zu tun? Das Schlagwort heißt Solidarität oder "Nachäffen amerikanischer Gesetze" egal wie gut oder schlecht sie auch sein mögen.

Der DMCA verbietet jegliche Verbreitung von Maßnahmen, die es einem ermöglichen elektronische Zugangskontrollen zu umgehen und zielt eigentlich darauf ab Pay-TV und sonstige elektronische Bezahlmedien vor Crackern zu schützen. Das ist vielleicht auch keine so schlechte Idee allerdings ist der DMCA so ungenau formpalawanert, dass er im Grunde alle elektronischen Zugangskontrollen, die geschützt sind (oder wenigstens so aussehen als seien sie geschützt), abdeckt und somit z.B. auch verhindert, dass man, wie Professor Edward Felton, Sicherheitslöcher in digitalen Wasserzeichen veröffentlicht, um so eigentlich die Forschung voran zu treiben:

Durch den DMCA verunsichert, kann es so weit kommen, dass Sicherheitslöcher respektive ihrer Behebungen nicht mehr veröffentlicht werden. Dieses würde die beteiligten Staaten in die Informationssteinzeit zurück katapultieren.

Dass diese Gedankengänge dabei gar nicht so abwegig sind, sollte z.B. folgender Artikel beweisen, in dem Forscher und Wissenschaftler vor "Folgen für die Netz- und Computersicherheit" warnen.

Eine der ersten Auswirkungen des DMCA sind beispielsweise der Fall zu DeCSS oder der Fall über Dmitry Sklyarov von Elcomsoft, der ein Tool zum Knacken von Adobes Ebooks programmiert hatte.

Zum Glück scheint das europäische Parlament diese Gefahr mittlerweile erkannt zu haben, denn in dem Gesetzestext ist zu lesen: Dieser Rechtsschutz sollte auch das Verhältnismäßigkeitsprinzip berücksichtigen, und es sollten nicht jene Vorrichtungen oder Handlungen untersagt werden, deren wirtschaftlicher Zweck und Nutzen nicht in der Umgehung technischer Schutzvorkehrungen besteht. Insbesondere dürfen die Forschungsarbeiten im Bereich der Verschlüsselungstechniken dadurch nicht behindert werden.

Allerdings kann auch in diesem Gesetzestext keine Definition von "technischen Schutzmaßnahmen" entdeckt werden und das Gesetz untersagt ebenfalls die Herstellung, die Einfuhr, die Verbreitung, den Verkauf, die Vermietung, die Werbung im Hinblick auf Verkauf oder Vermietung und den Besitz zu kommerziellen Zwecken von Vorrichtungen, Erzeugnissen oder Bestandteilen sowie die Erbringung von Dienstleistungen [...] die hauptsächlich entworfen, hergestellt, angepasst oder erbracht werden, um die Umgehung wirksamer technischer Maßnahmen zu ermöglichen oder zu erleichtern.

Die Auslegung ob man mit der Veröffentlichung einer Sicherheitslücke z.B. für einen elektronischen Dienst wie Telnet (bietet Zugang zu einem Computer und als "technische Schutzmassnahme" verwendet es die Authentifikation mittels Benutzernamen und Passwort) gegen dieses Gesetz verstösst oder nicht ist Auslegungssache des Richters.

Wenn man sich allerdings das am 04.02.2002 verabschiedete ZKDSG (Zugangskontrolldiensteschutz-Gesetz (ZKDSG) verabschiedet) anschaut, dann definiert dieses "zugangskontrollierte Dienste" als Rundfunkdarbietungen, Tele- und Mediendienste, die unter der Voraussetzung eines Entgelts erbracht werden und nur unter Verwendung eines Zugangskontrolldienstes genutzt werden können. Bleibt zu hoffen, dass diese Definition auch in dem Euro-DMCA zu finden sein wird.

Fast schon nebensächlich hat der DMCA auch noch den Effekt, dass es in Zukunft so gut wie kein Recht mehr auf eine private (Sicherungs-)Kopie gibt, es sei denn dies wird explizit vom Hersteller erlaubt. Mehr zu diesem Nebeneffekt gibt es unter "Rettet die Privatkopie!"

Der nächste Effekt des DMCA lässt auch nicht lange auf sich warten: Amerikanische Serviceprovider, entschied gestern ein US-Bundesgericht, müssen künftig Daten ihrer Kunden an die Musikindustrie übergeben, wenn diese die Herausgabe verlangt. Damit werden erstmal alle P2P-Nutzern kriminalisiert, deren Daten müssen der RIAA zugespielt oder der Account gestrichen werden. Die Provider gehen in Berufung. Und wenn man sich die News so anschaut, dann wird es verdammt ernst um den Euro-DMCA! ("Mit Digital Rights Management direkt in den Zensurstaat")

Trusted Computing Platform Alliance (TCPA)

TCPA steht für Trusted Computing Platform Alliance und soll in Zukunft dafür sorgen, dass nur noch "lizenzierte, glaubwürdige" Hard- und Software in und auf den Rechnern laufen kann und "lizenzierte, glaubwürdige" Software auch nur noch auf TCPA-fähigen Rechnern. Für TCPA wird natürlich so geworben: "Vertrauen Sie endlich ihrem Computer! Besserer Schutz vor Viren! Mehr Stabilität!"

Diese Aussage ist vielleicht auch erstmal richtig, aber man könnte sie folgendermaßen umformpalawaneren: "Sie dürfen auf ihrem Rechner diese(s) Filesharing Software / Betriebssystem / MP3 Player / selbst geschriebenes Programm / was auch immer nicht mehr laufen lassen. Sie haben dafür keine Lizenz erworben."

TCPA arbeitet nach dem "alles ist verboten, was nicht erlaubt ist"-Prinzip. Man könnte auch sagen TCPA schützt den Rechner vor dem Benutzer und nicht nur vor irgendwelchen Viren und Trojanern. Aber die Behauptung, dass es gegen SPAM helfen könnte, ist definitiv falsch!

Wenn man über TCPA redet, sollte grundsätzlich zwischen TCPA, TPM und Palladium unterschieden werden! TCPA ist ein Zusammenspiel von mehreren Teilstücken (Modulen), die sowohl in die Hard- als auch Software eingebaut werden sollen.

TPM

Eines dieser Module ist TPM (auch Fritz-Chip genannt). Dieses Modul prüft, ob auch wirklich nur "gewollte", sprich durch TCPA lizensierte Software und Hardware in und auf dem Rechner sind. Dies wird duch kryptografische Verfahren gelöst wie z.B. AES, 3DES, RSA, SHA-1 und HMAC. TPM wird aber niemals dafür sorgen, dass bestimmte Soft- oder Hardware im Rechner gesperrt wird; es protokolliert lediglich nur, dass es da irgendwo Sachen gibt, deren Prüfsumme nicht vertrauenswürdig ist. Jeder Benutzer generiert dazu einen eigenen Key, der von einer zentralen Stelle signiert wird (Public Key Verfahren) und der auch dazu führt, dass man diesen Benutzer bzw. seinen Computer eindeutig identifizieren kann wie es z.B. Intel mal mit ihrer CPUID versucht hatte...

Für sich allein ist das TPM-Modul eigentlich eine gute Idee, weil es z.B. wie sogenannte Filesystem Integrity Checker (Tripwire usw.), die untersuchen ob sich Dateien auf der Festplatte geändert haben, die sich nicht ändern sollen, überprüft, ob wirklich die Software auf dem Rechner läuft, die man auch drauf haben möchte. Die eindeutige Identifizierung ist aus datenschutztechnischer Sicht allerdings umstritten. Es soll allerdings den Schutz bieten, falls jemand ein Programm oder ein Verfahren zur Umgehung von TPM / TCPA entwickelt hat, dass dieses Verfahren dann nur auf diesem einen Computer funktioniert.

Unangenehm kann die Sache allerdings erst so richtig werden, wenn eine Software, die man nicht kontrollieren kann (und von der man auch nicht nachvollziehen kann was sie denn macht), die Aussagen des TPM-Modules interpretiert und automatisch bestimmte Hard- und Software auf dem Computer sperrt. Denn dann verlässt TCPA den passiven Modus des Überwachens und zensiert aktiv bestimmte Inhalte und Komponenten.

Im Rahmen der CeBIT 2003 wurden vom Chaos Computer Club vier Forderungen zum TPM an das TCPA-Gründungsmitglied IBM überreicht. Diese Forderungen unter dem TitelTCPA - Whom do we have to trust today? sollen vor allem die Fragen des Schlüsselmanagements klären und zu mehr Transparenz bei der Verwendung des TPM führen.

Palladium / Next-Generation secure Computing Base for Windows

Microsoft hat natürlich auch schon die passende ergänzende Software mit dem Namen Palladium, die allerdings vor ein paar Tagen in "Next-Generation secure Computing Base for Windows" umbenannt wurde. Exakt diese Software würde also dafür sorgen, dass bestimmte Hard- oder Software nicht mehr funktioniert oder man bestimmte Inhalte (MP3s, MPEGs, andere Dateien usw.) nicht mehr abspielen bzw. nur noch mit bestimmten, lizensierten Programmen starten kann.

Interessant ist dann nur die Frage: Wer generiert und verwaltet diese Prüfsummen und Lizenzen? Eine einzelne Firma? Alle Firmen aus dem TCPA Konsortium? Was ist mit Usern, die keine Internetanbindung haben? Das bedeutet aber auch, dass ein Hardwarehersteller zusammen mit einem grossen Softwarehersteller bestimmen kann, was man auf dem eigenen PC laufen lassen darf, je nach dem, wie das Problem mit der Lizensierung gelöst wird. Im Falle von Palladium dürfte klar sein, dass die Lizenzvergabe wohl ziemlich wahrscheinlich bei Microsoft statt finden wird.

Und TCPA Lizenzen werden bestimmt auch nicht gerade günstig zu haben sein, was unter Umständen viele kleine und mittelständische Betriebe in den Ruin treiben könnte. Es gibt zwar Spekulationen darüber, dass diese Lizenzen am Anfang kostenlos sein werden, um eine höhere Marktakzeptanz von TCPA zu erreichen, aber für die Ewigkeit wird es bestimmt nicht sein!

Die Frage ob sich TCPA mit Linux und Open Source vertragen wird, lässt sich schwer beurteilen. Hier sollte lieber auf einen Artikel verwiesen werden, in dem ein HewlettPackard-Forscher für die Zusammenarbeit von TCPA und Open Source wirbt ("19C3: HP-Forscher wirbt für Allianz von Open-Source-Bewegung und TCPA"). HP entwickelt übrigens auch schon eine TCPA-fähige Linux Version unter der GPL.

Eine erwähnenswerte Planung ist, dass zukünftige Medien (DVD, CDs usw.) nur noch mit TCPA-fähigen Geräten abgespielt werden können, weil die Daten auf diesen Medien verschlüsselt ausgeliefert werden. Diese aggressive Kontrollmethode bietet allerdings ebenfalls die potenzielle Gefahr für zentral gesteuerte Zensur- und Überwachungsmaßnahmen!

In den USA gibt es auch direkt schon einen Gesetzesentwurf, der dafür sorgen soll, dass in allen digitalen Geräten (Fernseher, Videorecorder, CD Player, Computer usw.) ein Kopierschutzmechanismus eingebaut werden muss. Welcher Mechanismus das sein wird, kann man sich wohl denken: TCPA + DRM. Dieses Gesetz (Consumer Broadband and Digital Television Promotion Act (CBDTPA)) soll auch sicher stellen, dass Geräte ohne diese "Sicherheitsvorkehrungen" weder verkauft noch ans Internet angeschlossen werden dürfen. Mehr zu CBDTPA:

Unternehmen der IT-Branche (unter anderem Apple, Microsoft, Dell Computer, Cisco Systems, Hewlett-Packard und Intel) sind gegen das neue Gesetz.

Und hier noch ein paar interessante Links zu TCPA:

Software Patente

Hierzu sollte Georg Greve von der Free Software Foundation zitiert werden: Wie beispielsweise die umfassende Materialsammlung des FFII belegt, existiert kein wissenschaftlich oder gesellschaftlich tragfähiger Grund für Softwarepatente, deren einzige Aufgabe nur sein kann, Wettbewerb und Innovation zu verhindern. So wird etablierten Grossunternehmen ein rechtliches Mittel an die Hand gegeben innovative Konzepte und Firmen per Gerichtsurteil aus dem Geschäft zu drängen. [...] Die Studie impliziert, dass Softwarepatente und freie Software letztlich unvereinbar sind. (Förderverein für eine Freie Informationelle Infrastruktur e.V. (FFII))

Man kann nur hoffen, dass sich die Bundesregierung, die gerade damit begonnen hat sich für Open Source und freie Software stark zu machen, dafür einsetzt EU Softwarepatente zu verhindern oder wenigstens in Ihrer Form abzuschwächen.

Zusammenfassende Betrachtung

Diese neuen Technologien und Gesetze sollen abschließend zusammen mit den schon nach dem 11. September 2001 verabschiedeten Gesetzen betrachtet werden. Da wäre z.B. das Anti Terror Gesetz vom Bundesinnenminister Otto Schily, das unter anderem dafür sorgt, dass die deutschen Geheimdienste und das BKA mehr Möglichkeiten zur Überwachung haben, zugleich weniger kontrolliert werden oder der Weg für die (zentrale) Sammlung von biometrischen Daten aller Bürger bietet, Datenbeschaffung auf Vorrat erlaubt und Ausländer und Asylbewerber unter Generalverdacht stellt:

Das hätte dann wahrscheinlich die zentrale Speicherung der Daten zur Folge, weil dadurch die Verwaltung erheblich vereinfacht wird. Und welche Folgen schlecht geschütztes Datensammeln haben kann, sieht man hier:

Fast schon nebensächlich erlaubt das Anti-Terror-Paket den Einsatz des sogennanten IMSI-Catchers, der einem Handy einen Sendemast vorspielt und für Ortungs- und Abhörmaßnahmen verwendet wird ohne zu berücksichtigen, dass dabei viele unschuldige Bürger in diese Maßnahme mit einbezogen werden.

Oder solche Pilotprojekte wie SCOFI (Smart Card Online für das Filtern des Internets), die Smart Cards an Schulen einführen wollen, um das Internet zentral zu filtern. Momentan soll diese Smart Card nur für die Authentifikation und das Filtern verwendet werden. Allerdings bietet eine solche Smart Card schier unerschöpflichen "Mehrwert" und kann z.B. auch zum Bezahlen oder Sammeln von Daten bis hin zur Überwachung des Schülers benutzt werden. Smart Cards heissen nämlich nicht ohne Grund "Smart"! Das liegt daran, dass diese Karten einen eigenen Mikroprozessor zusätzlich zum normalen Speicher enthalten und somit nicht nur auf das Speichern von Daten beschränkt sind.

Das SCOFI Projekt wird mittlerweile an mehreren Schulen in Europa getestet und entsprechende ergänzende Projekte laufen schon, wie z.B. die "Chipkarte gegen Schul-Schwänzen". Kontaktlose Smart Cards, die per Funk mit einem versteckten Empfänger kommunizieren, werden genauso an Universitäten ("Willkommen in der kontaktlosen neuen Welt!") oder normale Smart Cards werden derzeit als bargeldlose Fahrkarten erprobt. So entpuppt sich das neue Monatsticket "Ticket 2000" des Verkehrsverbundes Rhein-Ruhr auch als Smart Card, ohne dass man es wirklich bewusst wahr nimmt ("Elektronisches Ticketing in der Region Rhein-Ruhr"

Durch diese elektronischen Fahrkarten bekommt man noch ein Zusatzfeature, das man als normaler Fahrgast auf jeden Fall braucht: Man kann sich an einem Logterminal seine letzten Fahrten anschauen also wann man wo wohin gefahren ist und natürlich auch in welchem öffentlichen Verkehrsmittel man sich gerade befindet bzw. dritte Personen könnten dies für einen erledigen. (tick.et: "wir wissen, wo sie sind.")

Und wo wir gerade bei öffentlichen Verkehrsmitteln sind: zumindest in NRW, Berlin und Niedersachsen werden diese nun videoüberwacht. Selbst die gute, alte Wuppertaler Schwebebahn soll zentral gesteuert und elektronisch überwacht für mehr Service, mehr Sicherheit [...] und eine höhere technische Zuverlässigkeit sorgen. Sind Sie sich da sicher?

Sollte die Entwicklung so weiter gehen, dann besteht die Gefahr, dass man eines Tages aufwacht und "jemand" hat die absolute Kontrolle über den eigenen Rechner und das was dort drin und drauf ist, was man wann abspielen darf, was man sich für Informationen oder Meinungen ansehen darf, um ein guter Bürger zu sein und unerwünschte Meinungen und Informationen können bequem und zentral unterdrückt werden.

Schüler können mit kontaktlosen Smart Cards kontrolliert werden und die auf der Smart Card gesammelten Daten werden gewinnbringend an irgendwelche Marketingfirmen übermittelt. Aber beim Punkte sammeln mit Payback oder HappyDigits bei der Telekom und comfort Punkte bei der Bahn gibt man ja heutzutage schon freiwillig seine Daten zur Auswertung frei.

Behörden können auf Verdacht oder vielleicht auch durch Datenspeicherung im Voraus genau raus bekommen in welchem öffentlichen Verkehrsmittel man sich gerade befindet und wo man die letzte Zeit so rum gefahren ist. Provider speichern aufgrund des Anti Terrorgesetzes noch Jahre später welche Webseiten man sich angeschaut hat und dann nimmt sich ein BKA Beamter die "Zeit" und speist diese ganzen Daten zusammen mit Telefon- und Bankverbindungsdaten in sein neues Datenanalyseprogramm Watson (MP3-Mitschnitt des Vortrages auf dem 18C3) ein und sortiert den braven Bürger bequem in eine Gefahrenstufe - hoffen wir mal, dass die Software keinen Bug hat oder sich irgendwelche "komischen Umstände" zugetragen haben...

Wenn man dann auf die Arbeit geht und ein Schild entdeckt "Dieses Software-Unternehmen wurde geschlossen", weil es einen Rechtsstreit in Sachen Softwarepatentierung mit einem großen Unternehmen verloren hat, na dann kann ich doch einfach nur von "Fortschritt" sprechen!

Man kann absolut realistisch behaupten, dass fast alle diese Maßnahmen (vor allem zusammen) ein ungeheures Potenzial für Zensur- und Überwachungsmaßnahmen bieten, was nicht zwingender weise auch heißen muss, dass sie alle dafür eingesetzt werden müssen...

Nun wie viele dieser neuen Gesetze und Technologien soll man noch mit einem müden Lächeln oder der Einstellung "Das schützt mich vor Terroristen, das ist nur gut gemeint" hinnehmen? Man könnte jetzt darauf hinweisen, dass einige der Gesetze schon vor dem 11. September entstanden sind, es aber nicht geschafft haben, weil sie datschschutztechnisch viel zu bedenklich oder gar verfassungswidrig waren ...bis sich niemand mehr traute nein zu sagen.

An dieser Stelle ist ein Zitat von Benjamin Franklin, einer der Gründungsväter der Vereinigten Staaten, angebracht: Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird beides verlieren. Oder ein Zitat von John Perry Barlow von der Electronic Frontier Foundation: Das Digital Rights Management von heute ist das Political Rights Management von morgen. Georg Greve nennt die momentane Entwicklung: Der Kampf gegen das Informationszeitalter. Vielleicht sagt auch der eine oder andere: Willkommen in der neuen alten Welt!.

Wenn nun einer denkt, das wird das Datenschutzgesetz schon alles zu verhindern wissen, dann können wir nur darauf hinweisen, dass Datenschützer seit dem 11. September nur noch (berechtigt) am schreien sind -- ihnen scheint allerdings keiner mehr zuzuhören...