Reverse Engineering – dieser Begriff bezeichnet das analytische Betrachten aller Einzelteile von eigenen und fremden Produkten. Häufig ist dieses Vorgehen komplett legal, auch wenn anhand von Produkten Betriebsgeheimnisse offengelegt werden. Eine Sonderstellung kommt Software zu.
Da Reverse Engineering bei Konkurrenzunternehmen und Cyberkriminellen immer beliebter wird, ist eine zentrale Frage: Wie können Sie Ihre Betriebsgeheimnisse schützen?
Betriebsgeheimnisse nach GeschGehG
Wenn ein Produkt legal und öffentlich zu beschaffen ist, ist seine Untersuchung durch Reverse Engineering prinzipiell erlaubt. Mit dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) wird das Vorgehen aber rechtskräftig kontrolliert.
Mit dem Gesetz ist nicht der Wille zur Geheimhaltung maßgeblich, sondern die Maßnahmen dafür. Unternehmen benötigen für ihre Betriebsgeheimnisse nach GeschGehG ein passendes Schutzkonzept. Wissen und Können gelten hierbei als Herzstücke eines Unternehmens – und gehen ihm ohne entsprechende Schutzmaßnahmen verloren.
Die zentrale Vorschrift für erlaubte Handlungen ist § 3 des Gesetzes. Danach dürfen Geschäftsgeheimnisse, die durch ein Gesetz oder Rechtsgeschäft legal erlangt wurden, sogar genutzt oder offengelegt werden. Das ist – wie in Abs. 1 Nr. 2 b) nachzulesen – dann nicht der Fall, wenn das Erlangen eines Geschäftsgeheimnisses durch den Hersteller oder in den AGB vertraglich beschränkt ist.
Erlaubte und verbotene Handlungen nach GeschGehG
Hersteller müssen sich daher fragen: Ob und wie können Sie Reverse Engineering verhindern – oder auch gezielt zulassen? Das Gesetz gibt Fallbeispiele an, bei denen das Erlangen von Betriebsgeheimnissen (partiell) erlaubt ist. Hierzu gehören unter anderem die eigenständige Entdeckung und Schöpfung von Inhalten, Informations- und Anhörungsrechte von Arbeitnehmern sowie der separate Rückbau von Produkten – also das Reverse Engineering.
Ist ein Produkt rechtmäßig an die Öffentlichkeit gelangt, ist es im Regelfall durch „Beobachten, Untersuchen, Rückbauen oder Testen“ erlaubt, an Betriebsgeheimnisse zu gelangen. Wenn Reverse Engineering an Eigenprodukten oder nicht mehr produzierten oder auch nicht geschützten Fremdprodukten vollzogen wird, ist das also normalerweise unproblematisch.
Betriebsgeheimnisse und Lizenzbedingungen
Meistens untersagen Unternehmen das Reverse Engineering ihrer Produkte aber mit entsprechenden Lizenzbedingungen. Hierbei dienen bestimmte Lizenzklauseln – als Teil von Schutzhüllenlizenzen – aber oft nur der Abschreckung und sind eigentlich gar nicht gültig. Der Grund: Nutzer haben im Regelfall das Recht, erworbene Fremdprodukte in Hinblick auf Anwendungssicherheit, Kompatibilität und Fehlerhaftigkeit zu überprüfen.
Grundsätzlich sind die Analysen und Überprüfungen durch Reverse Engineering im Sinne der Forschungsfreiheit also fast immer erlaubt. Das sieht mit der Nutzung oder Weitergabe von Betriebsgeheimnissen oder sogar der Nachbildung von fremden Produkten ganz anders aus. Vor allem Patente verbieten die Produktion von Fremdprodukten mit der beschriebenen Produktionstechnik.
Erlaubte und verbotene Handlungen nach Patent- und Schutzrecht
Reverse Engineering von Hardware, Maschinen oder anderen rein physischen Produkten verstößt in diesem Sinne im Regelfall nicht gegen Patent- oder Schutzrechte. Das Reverse Engineering von Software ist meistens jedoch explizit untersagt. Denn: Vor allem Prototypen und Produkte aus Kleinserien beinhalten oft jede Menge Betriebsgeheimnisse. Wird gegen das Verbot verstoßen, drohen zum Beispiel Strafzahlungen.
In der Computertechnik werden seit jeher Verschlüsselungsverfahren und Verschleierungen eingesetzt, um das Reverse Engineering zu erschweren. Es gibt aber auch Ausnahmen. Beispielsweise wenn es um die Legitimation einer umfangreichen Anpassung von Schnittstellen geht. Oder wenn unverschlüsselte Protokolle anstatt der Software selbst untersucht werden.
Schutz von Betriebsgeheimnissen vor Reverse Engineering
Der Vorteil von Reverse Engineering für Cyberkriminelle: Die können damit Sicherheitsvorgänge und Prüfroutinen wie Produktaktivierungen oder Seriennummernchecks umgehen oder sie für eigene Produkte nutzen. Sie können Programme sogar vollständig dekompilieren und als eigene ausgegeben. Zudem können sie durch Reverse Engineering Schwachstellen ausfindig machen und dadurch in Systeme eindringen und dort wiederum an Betriebsgeheimnisse gelangen.
Das Problem: Hauseigene Software vor einer Analyse durch Reverse Engineering zu schützen, ist ein schwieriges Unterfangen. Bei JAVA- und .NET-Anwendungen gibt es zum Beispiel keinerlei Möglichkeit, Quellcodes unkenntlich zu machen. Und nur wenige Maßnahmen erschweren die Dekompilierung.
Verschleierung durch Obfuskatoren
Die zentralen Programme für die Verschleierung von Quellcodes heißen Obfuskatoren. Sie sind teilweise im Internet frei verfügbar und machen den Code durch verschiedene Funktionen weitgehend unleserlich. Zu den zentralen Funktionen gehören:
- die Zerstückelung des Codes, das Einfügen von neutralen Blöcken und die Vermischung von Programmstellen
- die Umbenennung von eindeutigen Klassen-, Variablen- und Methodennamen
- die Entfernung von Debug- beziehungsweise Bugfix-Informationen sowie von Kommentaren und Hilfestellungen
- die Dekodierung von Strings und die Ergänzung von irrelevanten Funktionsaufrufen
Allerdings können durch die Umbenennung von Methoden, Klassen und Variablen mögliche Programmergänzungen und Anbindungen nicht mehr benutzt werden, was die eigene Arbeit und Fehlerbehebung an der Software massiv erschwert. Verschiedene Virenprogramme warnen vor verschleierten Codes, da Obfuskatoren oft auch eingesetzt werden, um schädliche Codes zu verbergen. Oft führt kein Weg an Obfuskatoren vorbei, um einen Quellcode, der wichtige Betriebsgeheimnissen enthält, zu schützen.
Aufdeckung durch Honeytoken
Wenn ein Cyberkrimineller oder Konkurrent an Ihrem Produkt ein Software-Reverse-Engineering durchführt, merken Sie das im Regelfall nicht. Sie können aber „Köder“ auslegen. Diese werden Honeytoken genannt und machen sichtbar, wenn jemand versucht, den Quellcode Ihrer Software einzulesen. Es ist gängige Praxis, mehrere Honeytoken im Quellcode zu verstreuen, denn so können Erkenntnisse darüber gewonnen werden, wie weit Eindringlinge vordringen konnten und welches Ziel sie verfolgen. Oft geben Honeytoken vor, Bestandteil wichtiger Betriebsgeheimnisse zu sein. Das wiederum kann sich bei anfallenden Gerichtsverfahren hilfreich zeigen.
Vor allem statisches Reverse Engineering kann durch den Einsatz von Honeytoken, die sich kaum vom sonstigen Code unterscheiden, aufgedeckt werden. Dynamisches Reverse Engineering ist im Übrigen durch in Systeme eingebaute Routinen einfacher zu erkennen.
Umfassender Schutz Ihrer Betriebsgeheimnisse
Für Unternehmen ist der Schutz von sensiblen Daten und insbesondere von Betriebsgeheimnissen absolut zentral. Oder möchten Sie, dass ein Wettbewerber Kenntnis über Ihre Strategie oder neuen Produkte hat? Sorgen Sie deshalb für die umfassende Sicherheit Ihrer Unternehmensdaten, richten professionelle Backups ein und sichern Ihre IT-Systeme umfassend ab. Wenn Sie dabei Hilfe benötigen, wenden Sie sich an einen kompetenten IT-Dienstleister aus Ihrer Region. Und: Sensibilisieren Sie Ihre Mitarbeiter dafür, stets auf ungewöhnliche Aktivitäten im Unternehmen zu achten.
Wenn Ihr Unternehmen Produkte herstellt, sollten Sie auch für deren umfassenden Schutz sorgen. Vor allem dann, wenn es sich um Software handelt, sollten Sie ein besonderes Augenmerk auf Datensicherheit durch Verschlüsselung und Verschleierung legen. Nur hierdurch kann Reverse Engineering verhindert oder zumindest erschwert werden.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung