DRM: Nicht jedes Mittel recht
Sollte die Medienindustrie weiterhin zum Schutz ihrer Produkte Software einsetzen, die eine Gefahr für die Sicherheit von Anwender-Computern darstellt, drohen ihr staatliche Aufsicht oder gesetzgeberische Maßnahmen, sagte ein hoher Beamter des US-Heimatschutzministeriums laut „PC World“ vergangene Woche auf der RSA-Sicherheitskonferenz in San Jose: „Vielleicht sind gesetzliche oder regulatorische Maßnahmen nicht immer erforderlich, in manchen Fällen muss man sie aber in Betracht ziehen.“
XCP-Debakel mit Folgen
Hintergrund für die Warnungen von Jonathan Frenkel, im Heimatschutzministerium für juristische Fragen zuständig, ist die Affäre um den Kopierschutz XCP, mit dem Sony-BMG im vergangenen Jahr Millionen von Musik-CDs bestückte (iRights berichtete). Ohne die Anwender darüber aufzuklären, installierten mit XCP versehene Musik-CDs auf PCs ein so genanntes Rootkit, wenn sie abgespielt wurden. Rootkits dienen dazu, Dateien, Verzeichnisse und Prozesse für den Anwender unsichtbar zu machen.
Wie der Sicherheitsexperte Mark Russinovich Ende November 2005 publik machte, konnten Hacker mit Hilfe der XCP-Software Dateien mit Schadsoftware vor dem Anwender verstecken. Die gängigen Antivirenprogramme erkannten die Sicherheitslücke nicht.
Auf Druck der Öffentlichkeit und konfrontiert mit mehreren Klagen, sah sich Sony-BMG nach Wochen gezwungen, CDs zurück zu rufen und umzutauschen. Den Anwendern wurde ein Deinstallationsprogramm angeboten, um XCP von ihrem PC zu entfernen. Aber auch dieses Programm wies eine gravierende Sicherheitslücke auf. Sony-BMG brauchte mehrere Anläufe, um die sichere Deinstallation zu ermöglichen.
Kurze Zeit später wurde ein anderes Sicherheitsproblem in der Software MediaMax des Herstellers SunComm entdeckt, die Sony-BMG ebenfalls auf Millionen CDs eingesetzt hatte. Als Import waren solche CDs mit XCP oder MediaMax auch in Deutschland erhältlich.
Wie die Fachzeitschrift c’t in ihrer neuesten Ausgabe (5/2006, Seite 37) berichtet, hat der deutsche Verleiher Kinowelt die DVDs „Mr. & Mrs. Smith“ sowie „Edison“ mit einer Kopierschutz-Software versehen, die ähnlich wie Rootkits Dateien und Prozesse verbergen. Das Sicherheitsrisiko wird von der c’t im Vergleich zu XCP als gering eingestuft. Der Hersteller der Software, Settec, arbeitet an einem Patch, das die Sicherheitslücke schließen soll.
Folgen bedenken
Die kurz nacheinander aufgedeckten Sicherheitslücken in Software zum digitalen Rechte-Management (DRM) machen deutlich: Je häufiger DRM eingesetzt wird, desto größer das Risiko, dass Anwender-Computer durch Schwachstellen in solcher Software gefährdet werden. Dem will das US-Heimatschutzministerium nicht tatenlos zusehen. Frenkel: „Das Beispiel von Sony zeigt, dass wir darüber nachdenken müssen, wie sichergestellt werden kann, dass die Konsumenten nicht vom Verhalten ihrer Software überrascht werden.“
Was sagen Sie dazu?