Sony-BMG: Kopierschutz-Querelen gehen weiter
Seit Ende Oktober sorgt das umstrittene Kopierschutzverfahren von Sony-BMG in den Medien für Aufmerksamkeit und für Proteste bei Verbraucherschützern. Die so genannte Extended Copy Protection (XCP) des Herstellers First 4 Internet nutzt eine in der Hacker-Szene verbreiteten Technologie, die eine als „Rootkit“ bekannte Software installiert und damit den Rechner der Nutzer anfällig für Angriffe von Außen macht.
Führende Sony-BMG-Mitarbeiter bemühen sich darum, die Wogen zu glätten. Das Unternehmen erklärte, dass man künftig auch in Europa kopiergeschützte CDs verkaufen wolle, dabei aber aller Voraussicht nach nicht das in die Kritik geratene XCP-Verfahren benutzen werde. In Europa wolle man, so Sony-BMG Europa-Chef Maarten Steinkamp, nur solche Verfahren einsetzen, „die für den Käufer sicher und fehlerfrei sind“.
Klagen gegen Sony-BMG
Mittlerweile sind eine Reihe von Klagen gegen Sony-BMG wegen Verstoß gegen Verbraucherschutz-, Sicherheits- und Datenschutzgesetze eingereicht worden. Den Anfang machte in Kalifornien der Anwalt Alan Himmelfarb, der am 1. November im Los Angeles County Superior Court eine Sammelklage wegen illegaler Geschäftspraktiken und Verstößen gegen Verbraucherschutzgesetze anstrengte. Einige Tage später, am 4. November, erstattete in Italien die Associazione per la Libertá nella Comunicazione Elettronica Interattiva (ALCEI) Anzeige wegen Verletzung nationaler Datenschutzbestimmungen. Kanzleien in New York, Chicago und San Francisco bereiten weitere Klagen vor.
Kopierschutz als Sicherheitslücke
Die Kopierschutztechnik XCP wurde von First 4 Internet neben Sony-BMG auch an andere Hersteller geliefert. Sie machte von sich reden, seit der Sicherheitsexperte Mark Russinovich Ende Oktober in seinem Weblog aufgedeckt hat, dass es eine in Hackerkreisen als „Rootkit“ bekannte Technik benutzt (iRights berichtete), die dazu dient, Spionage- und Schadsoftware vor dem PC-Nutzer und vor installierter Antivirensoftware zu verbergen.
Russinovich hat XCP als erhebliches Sicherheitsrisiko eingeschätzt, andere Experten sehen das ähnlich. Sony-BMG und First 4 Internet hingegen streiten jede Gefährdung ab und verweisen darauf, dass bereits Millionen XCP-geschützte Musik-CDs verkauft worden wären, ohne dass es Zwischenfälle gegeben hätte.
Hintertür für Viren
Mit dem Erscheinen des ersten Computervirus, das sich die Tarnkappenfunktion von XCP zu Nutze macht, wurden die Befürchtungen der Experten bestätigt. Der Antiviren-Software-Hersteller Kaspersky Labs meldete am Donnerstag, dass das Virus „Backdoor.Win32.Breplibot.b“ (auch „Backdoor.IRC.Snyd.A“ oder „Stinx-E“ genannt) sich mit Hilfe von XCP tarnt, die Windows-Firewall deaktiviert und dann unbemerkt eine Hintertür auf dem PC öffnet. Damit ist das System schutzlos weiteren Angriffen ausgeliefert und kann beispielsweise zum illegalen Versand von Spam-E-Mails missbraucht werden.
Wie Russinovich ebenfalls festgestellte, sendet XCP eine Reihe von Daten an Sony-BMG-Server, darunter die Internetadresse des Nutzers und eine Angabe zur abgespielten CD.
Deinstallation nur auf Anfrage
Sony-BMG hat im Internet eine Aktualisierung für XCP bereitgestellt, mit der sich die Tarnung des DRM-Systems aufheben lässt. Deinstallieren kann man es aber immer noch nicht. Die Aktualisierung erfordert die Aktivierung des ActiveX-Control-Plugins, das nur im Internet-Explorer zur Verfügung steht. Wer einen anderen Standard-Webbrowser verwendet, hat das Nachsehen. Laut dem Software-Hersteller Computer Associates werden nach der Aktualisierung weiterhin automatisch Daten an Sony-BMG übertragen.
Wer auf einer Deinstallation besteht, muss Sony-BMG die Gründe dafür im Einzelfall darlegen. Auch müssen per E-Mail eine Reihe von Daten zur Systemkonfiguration zur Verfügung gestellt werden, bevor das Unternehmen per E-Mail einen Link zu einer geeigneten Deinstallationssoftware ausliefert.
Die Hersteller von Antivirensoftware gehen mit dem Problem unterschiedlich um. Symantec, Hersteller der Norton-Antivirussoftware, will XCP in Zukunft sichtbar machen, es aber nicht entfernen. Computer Associates, Anbieter von eTrust PestPatrol, erklärte hingegen, dass es Nutzern Werkzeuge zur Verfügung stellen werde, damit sie XCP entfernen können. Microsoft, mit Windows Defender inzwischen auch im Segment der Antivirensoftware aktiv, äußerte Besorgnis über den von XCP ins Betriebssystem vorgenommenen Eingriff.
Boykott-Aufruf im Internet
Erste Unternehmen verbieten ihren Angestellten das Abspielen von Sony-BMG-CDs auf ihren Arbeitsplatz-PCs, und im Internet rufen Nutzer zum Boykott von Sony-BMG-Ware beziehungsweise von DRM-geschützten Medieninhalten überhaupt auf. Unter den Unterstützern des Boykotts findet man auch Prominente wie Mike Evangelist, ehemals bei Apple für Marketing zuständig.
XCP funktioniert nicht unter MacOS X oder Linux. Allerdings ist mittlerweile bekannt geworden, dass die Sony-BMG-Tochter RCA einige Musik-CDs mit einem Kopierschutzverfahren namens MediaMax des Herstellers Sunncomm ausgestattet hat, das unter MacOS X zusätzliche Software zur Beschränkung von Kopien (von Sunncomm als „copy management beworben“) installiert. Im Unterschied zu Windows erfolgt die Installation nicht vollautomatisch, sondern erfordert die Kooperation der Anwender.
Urheberrecht versus Sicherheit
Das Lavieren von Sony-BMG und der Antivirensoftwarehersteller deckt eine Schwachstelle der Urheberrechtsgesetzgebung auf. Sowohl in den USA als auch in Europa sind mit den Urheberrechts- bzw. Copyright-Novellen der vergangenen Jahre technische Schutzmaßnahmen per Gesetz vor Umgehung geschützt worden. Dabei haben sich die Gesetzgeber für eine sehr strikte Position stark gemacht und unter Strafandrohung verboten, Kopierschutzmaßnahmen zu umgehen – unabhängig von deren Zweck.
Sony-BMG, Antivirenhersteller und Anwender sind daher gezwungen, in einer Grauzone zu operieren, falls sie sich nicht sogar strafbar machen, wenn sie die XCP-Software vom PC entfernen. Nach amerikanischem Copyright und deutschem Urheberrecht ist bereits das Verbreiten von Informationen zur Umgehung von Kopierschutzverfahren illegal. Nur für sehr wenige Fälle wurden Ausnahmen vorgesehen – die Beseitigung von Sicherheitsrisiken gehört nicht dazu. Von Gesetz wegen ist Sicherheit für Anwender nicht vorgesehen.
DRM eine Frage der „Homeland Security“
Die Ereignisse rund um Sony-BMGs trojanisches DRM-System haben inzwischen auch das amerikanische Heimatschutz-Ministerium (Department of Homeland Security) aufgeschreckt. Die Washington Post berichtete am Freitag vergangener Woche, dass der für Politikfragen zuständige stellvertretende Sekretär Stewart Baker scharfe Kritik am Vorgehen von Sony-BMG geübt hat.
„Es ist wichtig, dass Sie sich daran erinnern, dass es sich zwar um Ihr geistiges Eigentum handelt, aber nicht um Ihren Computer. Beim Schutz des geistigen Eigentums müssen Sie daran denken, nicht die Sicherheitsmaßnahmen zu unterlaufen, die die Leute heutzutage treffen müssen“, sagte Baker auf einer Tagung zu Fragen des Schutzes des geistigen Eigentums.
Die massive Kritik von allen Seiten hat Sony-BMG mittlerweile zum Einlenken bewegt. Wie einer kurzen Mitteilung auf der Homepage des Unternehmens zu entnehmen ist, wurde die Fertigung von mit XCP ausgestatteten CDs einstweilen ausgesetzt.
XCP-Titel
Sony-BMG verweigert bisher jede Auskunft dazu, auf welchen Titeln XCP zum Einsatz kommt. Die BBC hat folgende Liste mit XCP ausgestatteter CDs veröffentlicht.
– Trey Anastasio – Shine
– Celine Dion – On ne Change Pas
– Neil Diamond – 12 Songs
– Our Lady Peace – Healthy in Paranoid Times
– Chris Botti – To Love Again
– Van Zant – Get Right with the Man
– Switchfoot – Nothing is Sound
– The Coral – The Invisible Invasion
– Acceptance – Phantoms
– Susie Suh – Susie Suh
– Amerie – Touch
– Life of Agony – Broken Valley
– Horace Silver Quintet – Silver”s Blue
– Gerry Mulligan – Jeru
– Dexter Gordon – Manhattan Symphonie
– The Bad Plus – Suspicious Activity
– The Dead 60s – The Dead 60s
– Dion – The Essential Dion
– Natasha Bedingfield – Unwritten
– Ricky Martin – Life
Quelle: news.bbc.co.uk/1/hi/technology/4424254.stm
Wer diese CDs aus den USA importiert oder Importe in Deutschland erworben hat, muss damit rechnen, dass beim Einlegen der CD in den PC XCP automatisch installiert wird, sofern der Rechner unter Windows läuft.
Was sagen Sie dazu?