Betriebsgeheimnisse und ihre Sicherheit

Wie Sie Ihre Produkte vor Reverse Engineering schützen

Von in IT-Sicherheit
12
Nov
'19

Reverse Engineering – dieser Begriff bezeichnet das analytische Betrachten aller Einzelteile von eigenen und fremden Produkten. Häufig ist dieses Vorgehen komplett legal, auch wenn anhand von Produkten Betriebsgeheimnisse offengelegt werden. Eine Sonderstellung kommt Software zu.

Da Reverse Engineering bei Konkurrenzunternehmen und Cyberkriminellen immer beliebter wird, ist eine zentrale Frage: Wie können Sie Ihre Betriebsgeheimnisse schützen?

Betriebsgeheimnisse können von Konkurrenten oder Kriminellen eingesehen werden

Jedes Unternehmen hat zentrale Betriebsgeheimnisse. Oft können und dürfen Konkurrenten und Kriminelle sie über das Reverse Engineering einsehen. Bild: Pixabay/qimono

Betriebsgeheimnisse nach GeschGehG

Wenn ein Produkt legal und öffentlich zu beschaffen ist, ist seine Untersuchung durch Reverse Engineering prinzipiell erlaubt. Mit dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) wird das Vorgehen aber rechtskräftig kontrolliert.

Mit dem Gesetz ist nicht der Wille zur Geheimhaltung maßgeblich, sondern die Maßnahmen dafür. Unternehmen benötigen für ihre Betriebsgeheimnisse nach GeschGehG ein passendes Schutzkonzept. Wissen und Können gelten hierbei als Herzstücke eines Unternehmens – und gehen ihm ohne entsprechende Schutzmaßnahmen verloren.

Die zentrale Vorschrift für erlaubte Handlungen ist § 3 des Gesetzes. Danach dürfen Geschäftsgeheimnisse, die durch ein Gesetz oder Rechtsgeschäft legal erlangt wurden, sogar genutzt oder offengelegt werden. Das ist – wie in Abs. 1 Nr. 2 b) nachzulesen – dann nicht der Fall, wenn das Erlangen eines Geschäftsgeheimnisses durch den Hersteller oder in den AGB vertraglich beschränkt ist.

Erlaubte und verbotene Handlungen nach GeschGehG

Hersteller müssen sich daher fragen: Ob und wie können Sie Reverse Engineering verhindern – oder auch gezielt zulassen? Das Gesetz gibt Fallbeispiele an, bei denen das Erlangen von Betriebsgeheimnissen (partiell) erlaubt ist. Hierzu gehören unter anderem die eigenständige Entdeckung und Schöpfung von Inhalten, Informations- und Anhörungsrechte von Arbeitnehmern sowie der separate Rückbau von Produkten – also das Reverse Engineering.

Ist ein Produkt rechtmäßig an die Öffentlichkeit gelangt, ist es im Regelfall durch „Beobachten, Untersuchen, Rückbauen oder Testen“ erlaubt, an Betriebsgeheimnisse zu gelangen. Wenn Reverse Engineering an Eigenprodukten oder nicht mehr produzierten oder auch nicht geschützten Fremdprodukten vollzogen wird, ist das also normalerweise unproblematisch.

Betriebsgeheimnisse und Lizenzbedingungen

Meistens untersagen Unternehmen das Reverse Engineering ihrer Produkte aber mit entsprechenden Lizenzbedingungen. Hierbei dienen bestimmte Lizenzklauseln – als Teil von Schutzhüllenlizenzen – aber oft nur der Abschreckung und sind eigentlich gar nicht gültig. Der Grund: Nutzer haben im Regelfall das Recht, erworbene Fremdprodukte in Hinblick auf Anwendungssicherheit, Kompatibilität und Fehlerhaftigkeit zu überprüfen.

Grundsätzlich sind die Analysen und Überprüfungen durch Reverse Engineering im Sinne der Forschungsfreiheit also fast immer erlaubt. Das sieht mit der Nutzung oder Weitergabe von Betriebsgeheimnissen oder sogar der Nachbildung von fremden Produkten ganz anders aus. Vor allem Patente verbieten die Produktion von Fremdprodukten mit der beschriebenen Produktionstechnik.

Erlaubte und verbotene Handlungen nach Patent- und Schutzrecht

Reverse Engineering von Hardware, Maschinen oder anderen rein physischen Produkten verstößt in diesem Sinne im Regelfall nicht gegen Patent- oder Schutzrechte. Das Reverse Engineering von Software ist meistens jedoch explizit untersagt. Denn: Vor allem Prototypen und Produkte aus Kleinserien beinhalten oft jede Menge Betriebsgeheimnisse. Wird gegen das Verbot verstoßen, drohen zum Beispiel Strafzahlungen.

In der Computertechnik werden seit jeher Verschlüsselungsverfahren und Verschleierungen eingesetzt, um das Reverse Engineering zu erschweren. Es gibt aber auch Ausnahmen. Beispielsweise wenn es um die Legitimation einer umfangreichen Anpassung von Schnittstellen geht. Oder wenn unverschlüsselte Protokolle anstatt der Software selbst untersucht werden.

Betriebsgeheimnisse können sehr unterschiedlich aussehen

Zu den heute zentralen Unternehmensgeheimnissen gehören Blaupausen, die durch das Reverse Engineering aus fertigen Produkten zu erschließen sind. Bild: Pixabay/tayebmezahdia

Schutz von Betriebsgeheimnissen vor Reverse Engineering

Der Vorteil von Reverse Engineering für Cyberkriminelle: Die können damit Sicherheitsvorgänge und Prüfroutinen wie Produktaktivierungen oder Seriennummernchecks umgehen oder sie für eigene Produkte nutzen. Sie können Programme sogar vollständig dekompilieren und als eigene ausgegeben. Zudem können sie durch Reverse Engineering Schwachstellen ausfindig machen und dadurch in Systeme eindringen und dort wiederum an Betriebsgeheimnisse gelangen.

Das Problem: Hauseigene Software vor einer Analyse durch Reverse Engineering zu schützen, ist ein schwieriges Unterfangen. Bei JAVA- und .NET-Anwendungen gibt es zum Beispiel keinerlei Möglichkeit, Quellcodes unkenntlich zu machen. Und nur wenige Maßnahmen erschweren die Dekompilierung.

Verschleierung durch Obfuskatoren

Die zentralen Programme für die Verschleierung von Quellcodes heißen Obfuskatoren. Sie sind teilweise im Internet frei verfügbar und machen den Code durch verschiedene Funktionen weitgehend unleserlich. Zu den zentralen Funktionen gehören:

  • die Zerstückelung des Codes, das Einfügen von neutralen Blöcken und die Vermischung von Programmstellen
  • die Umbenennung von eindeutigen Klassen-, Variablen- und Methodennamen
  • die Entfernung von Debug- beziehungsweise Bugfix-Informationen sowie von Kommentaren und Hilfestellungen
  • die Dekodierung von Strings und die Ergänzung von irrelevanten Funktionsaufrufen

Allerdings können durch die Umbenennung von Methoden, Klassen und Variablen mögliche Programmergänzungen und Anbindungen nicht mehr benutzt werden, was die eigene Arbeit und Fehlerbehebung an der Software massiv erschwert. Verschiedene Virenprogramme warnen vor verschleierten Codes, da Obfuskatoren oft auch eingesetzt werden, um schädliche Codes zu verbergen. Oft führt kein Weg an Obfuskatoren vorbei, um einen Quellcode, der wichtige Betriebsgeheimnissen enthält, zu schützen.

Aufdeckung durch Honeytoken

Wenn ein Cyberkrimineller oder Konkurrent an Ihrem Produkt ein Software-Reverse-Engineering durchführt, merken Sie das im Regelfall nicht. Sie können aber „Köder“ auslegen. Diese werden Honeytoken genannt und machen sichtbar, wenn jemand versucht, den Quellcode Ihrer Software einzulesen. Es ist gängige Praxis, mehrere Honeytoken im Quellcode zu verstreuen, denn so können Erkenntnisse darüber gewonnen werden, wie weit Eindringlinge vordringen konnten und welches Ziel sie verfolgen. Oft geben Honeytoken vor, Bestandteil wichtiger Betriebsgeheimnisse zu sein. Das wiederum kann sich bei anfallenden Gerichtsverfahren hilfreich zeigen.

Vor allem statisches Reverse Engineering kann durch den Einsatz von Honeytoken, die sich kaum vom sonstigen Code unterscheiden, aufgedeckt werden. Dynamisches Reverse Engineering ist im Übrigen durch in Systeme eingebaute Routinen einfacher zu erkennen.

Umfassender Schutz Ihrer Betriebsgeheimnisse

Für Unternehmen ist der Schutz von sensiblen Daten und insbesondere von Betriebsgeheimnissen absolut zentral. Oder möchten Sie, dass ein Wettbewerber Kenntnis über Ihre Strategie oder neuen Produkte hat? Sorgen Sie deshalb für die umfassende Sicherheit Ihrer Unternehmensdaten, richten professionelle Backups ein und sichern Ihre IT-Systeme umfassend ab. Wenn Sie dabei Hilfe benötigen, wenden Sie sich an einen kompetenten IT-Dienstleister aus Ihrer Region. Und: Sensibilisieren Sie Ihre Mitarbeiter dafür, stets auf ungewöhnliche Aktivitäten im Unternehmen zu achten.

Wenn Ihr Unternehmen Produkte herstellt, sollten Sie auch für deren umfassenden Schutz sorgen. Vor allem dann, wenn es sich um Software handelt, sollten Sie ein besonderes Augenmerk auf Datensicherheit durch Verschlüsselung und Verschleierung legen. Nur hierdurch kann Reverse Engineering verhindert oder zumindest erschwert werden.

Robin Laufenburg

Robin Laufenburg unterstützt seit 2018 den Blog des IT-SERVICE.NETWORK als Werkstudent. Neben seiner Arbeit als SEO-Texter studiert er Germanistik im Master. Auch in seiner Freizeit schreibt Robin Texte und tritt damit u.a. bei Lesebühnen auf.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.