Interview mit Oliver Winzenried, CEO Wibu-Systems AG
Schutz für SPS-Lösungen
Seit kurzem kooperieren 3S-Smart Software Solutions und Wibu-Systems und entwickeln zusammen einen neuen Schutz für SPS-Lösungen und schließen damit die vorhandene Lücke. Über Reaktionen, Nachfrage und Ziel dieser neuen Lösung sprachen wir mit Oliver Winzenried, CEO, Wibu-Systems AG.
ed: Wie waren die Reaktionen auf den Herbstmessen electronica und SPS/IPC/Drives auf diese Kooperation bzw. auf diese neue Schutzstrategie für das SPS-Programmiersystem?
Oliver Winzenried: Das Interesse war sehr groß. Auf beiden Messen wurden industrietaugliche Lösungen zum Produkt und Know-how-Schutz gesucht. Am CoDeSys-Gemeinschaftsstand auf der SPS/IPC/Drives hatten wir zahlreiche Gespräche mit genau den richtigen Unternehmen, den Anwendern der CoDeSys-SPS-Lösung. Die Kooperation mit 3S-Smart Software Solutions zur optimalen Integration unserer Softwareschutzlösungen im Automatisierungsbereich ist dabei ideal für die Anwender.
ed: Was ist das Ziel dieser Kooperation?
Oliver Winzenried: Bisher gab es keine Schutzlösungen für SPS-Software. Diese Lücke haben wir zum Anlass genommen, in Kooperation mit 3S-Smart Software Solutions eine gemeinsame Entwicklung zu starten, die Anbietern und Anwendern von SPS-Lösungen entlang des kompletten Prozesses der Automatisierung ein einheitliches Werkzeug zur Lizenzierung und zum Schutz der Steuerungssoftware zur Verfügung stellt, das sie transparent in ihre Automatisierungslösung einbinden können. Die Basis dafür ist die bewährte CodeMeter-Technologie, die in das plattform-übergreifende Entwicklungswerkzeug CoDeSys integriert wird.
ed: Wie bewusst sind sich Unternehmen der Wichtigkeit des Themas Softwareschutz?
Oliver Winzenried: Die Nachfrage für das Thema wächst stark. Das Ergebnis der VMDA-Studie vom April 2010 ist, dass 45 Prozent der deutschen Maschinen- und Anlagenbauer vom Nachbau ganzer Maschinen betroffen sind und 75 Prozent technische Schutzmaßnahmen einsetzen möchten. Aber die wenigsten tun es bisher, da es an standardisierten, einfach und kostengünstig integrierbaren Lösungen mit hoher Sicherheit bisher gefehlt hat. Wir können diese Lücke nun zum richtigen Zeitpunkt schließen. Kopierschutz gegen 1:1-Nachbau und Know-how-Schutz gegen Reverse Engineering und Diebstahl von Alleinstellungsmerkmalen und besonders pfiffigen Algorithmen.
ed: Ist das Interesse am Thema Sicherheit gewachsen?
Oliver Winzenried: Definitiv ja. Aufgrund des Stuxnet-Virus ist das Thema Sicherheit oder ‚Safety‘ viel stärker in das Bewusstsein der Unternehmen gerückt. Hier geht es um Integritätsschutz der Software, also das Verhindern von Manipulationen und ungewollten Änderungen. Dies ist auch aus Haftungsgründen wichtig für Hersteller. Am besten ist es, wenn diese Sicherheit dann mit individuellen Schlüsseln verbunden ist, die in der Maschine oder dem Gerät stecken und keiner Person bekannt sind, da die Schlüssel dann nicht durch Erpressung oder sonstige ‚Social Engineering‘-Methoden von Kenntnisträgern verraten werden können.
ed: Haben auch kleinere bzw. mittelständische Unternehmen die Wichtigkeit des Themas Produktpiraterie erkannt?
Oliver Winzenried: Durchaus. Im VDMA wurde die Arbeitsgemeinschaft ‚Protect-Ing‘ gegründet, um Anbieter verschiedener Schutzstrategien zusammen zu bringen mit dem Ziel, den Herstellern einen schnellen Überblick über die verschiedenen verfügbaren Lösungen zu geben. Gerade für KMUs ist es wichtig, sich auf ihre Kernkompetenzen zu konzentrieren und beim Produktschutz auf existierende, kostengünstige, sichere und ausgereifte Lösungen zurückzugreifen.
ed: „Nur zehn Prozent weniger Raubkopien und der weltweite IT-Markt könnte zweistellig wachsen“, so ist es auf Ihrer Homepage zu lesen. Sind sich viele Unternehmen dieser Größenordnung bewusst?
Oliver Winzenried: Ich denke, eher nicht. Zwar sichern sich viele Unternehmen rechtlich ab und schützen ihr Know-How über Patente. Aber ist der Schaden entstanden, ist Wahrung der eigenen Rechte schwierig, vor allem, wenn die Unternehmen weltweit arbeiten. In meinen Augen sollten die Unternehmen vor der Auslieferung geeignete technische Maßnahmen ergreifen, um Raubkopien zu verhindern.
ed: Sie haben Niederlassungen, Verkaufsbüros und Distributoren in vielen Ländern. Welchen Stellenwert nimmt das Thema Sicherheit in den unterschiedlichen Ländern ein, welchen in Deutschland?
Oliver Winzenried: Das Sicherheitsbedürfnis existiert in den meisten Ländern. In Deutschland entwickeln die Unternehmen viel Know-how, was weltweit zum Einsatz kommt. Deswegen ist das Sicherheitsbewusstsein sehr hoch. Aber auch in China kümmern sich die Unternehmen sehr um den Schutz und die Lizenzierung ihrer Software. Sie wissen selbst, dass sie einen guten Schutz benötigen. Die Anforderungen sind dort natürlich etwas anders als in Deutschland, aber wir hören den Kunden sehr gut zu und haben uns inzwischen in China eine gute Marktposition erarbeitet. Ähnlich ist die Situation in anderen europäischen Ländern und in den USA. Ohne lokal vor Ort zu sein, wäre dies nicht möglich.
ed: Wovon profitieren Anwender am meisten durch Softwareschutz?
Oliver Winzenried: Wir müssen hier zwischen den Herstellern von Geräten und Maschinen und den Anwendern dieser unterscheiden. Anwender haben die Sicherheit, dass nichts manipuliert wurde und das Gerät oder die Maschine die zugesicherten Eigenschaften auch hat. Hersteller können ihr Ergebnis steigern. Sie schützen ihr Know-how und halten ihren Wettbewerbsvorsprung, vermeiden Raubkopien und vergrößern ihren Kundenkreis. CodeMeter erlaubt eine bedarfsgerechte Preisstruktur. Der Hersteller kann beliebige Lizenzmodelle, beispielsweise Leasing oder Mietmodelle, Pay-per-Use oder Netzwerklizenzen, abbilden, sodass der Anwender nur das bezahlt, was er auch tatsächlich nutzt.
ed: Was ist an CodeMeter so revolutionär?
Oliver Winzenried: CodeMeter ist einzigartig auf dem Weltmarkt. Höchste Sicherheit des Schutzes, breite Anwendbarkeit vom SmartPhone über Embedded-Systemen, Desktop-PCs, Server bis zur Cloud. CodeMeter-Lizenzen können entweder in einer Lizenzdatei gespeichert werden, die durch Aktivierung an ein sicheres Merkmal der Zielhardware gebunden werden oder in der CodeMeter-Hardware. Diese hochsichere Hardware hat ein Smart Card Chip als Herzstück und ist für viele Schnittstellen verfügbar: USB, PCCard, CF-Card, µSD- und SD-Card. Optionaler Flash-Speicher, erweiterte Umgebungsbedingungen für industrielle Anwendungen, Langlebigkeit, eine feste Stückliste und ‚Made-in-Germany‘ zeichnen die Produkte aus. Daneben ist die Integration in den Vertriebsprozess und die Backoffice-Integration wichtig. Die CodeMeter License Central kann hochflexibel in Online-Shops und ERP-Systeme integriert werden, beispielsweise in MS Dynamics oder SAP.
ed: Wie hoch ist der Schutzgrad von CodeMeter? Wie entsteht der besonders hohe Schutz Ihrer Produkte?
Oliver Winzenried: Hundertprozentigen Schutz kann es nicht geben. CodeMeter erreicht dennoch einen sehr hohen Schutzgrad durch ausgereifte Verfahren, wie Programmcode durch kryptografische Verfahren verändert wird. Codeverschlüsselung verhindert die Nutzung von Kopien, da die Schlüssel in der CodeMeter-Hardware nicht kopiert werden können, sie verlassen die hochsichere Smart Card basierte Hardware nie. Gleichzeitig wird damit Reverse-Engineering verhindert und das Know-how wirkungsvoll geschützt. Durch asymmetrische Challenge Response Verfahren wird die Sicherheit weiter erhöht, durch Codesignatur wird die Integrität geschützt und Manipulation am Code, wie bei Stuxnet, verhindert. Weiter wird Obfuskation verwendet, die Kommunikation zwischen geschützter Anwendung und dem Schutzsystem ist verschlüsselt, Angriffsversuche können erkannt werden und die Lizenz im Smart Card Chip gesperrt werden, um nur einige weitere Punkte zu nennen. In insgesamt fünf Hacker’s Contests konnten unsere Schutzlösungen zeigen, wie sicher sie sind. Dies ist zwar kein Beweis, aber dennoch ein Praxistest, an denen insgesamt weit mehr als 1000 Ingenieure, Informatiker und Studenten teilgenommen haben.
ed: Wird durch Ihr Schutzsystem Echtzeitfähigkeit der Steuerungen gewährleistet?
Oliver Winzenried: Ein sehr wichtiger Punkt. Es macht keinen Sinn, eine Interruptroutine, die alle 100µs durchlaufen wird, jedes Mal vor Ausführung zu entschlüsseln. Der Entwickler kann festlegen, welcher Code nach Entschlüsselung und Verwendung noch gecacht im Speicher gehalten werden soll, welcher Code jedes Mal entschlüsselt und welcher Code möglicherweise nur beim Programmstart entschlüsselt wird. Dadurch hat er es in der Hand und die Echtzeitfähigkeit wird nicht beeinträchtigt. Die CodeMeter Runtime-Software ist mit angepasstem Funktionsumfang für verschiedene Betriebssysteme und Prozessorplattformen verfügbar.
