Am kommenden Dienstag ist wieder Microsofts Patchday. Bzw. er ist nicht, da diesen Monat keine Security Bulletins veröffentlicht werden, wie Microsoft in der Microsoft Security Bulletin Advance Notification mitteilt. Lediglich das Microsoft Windows Malicious Software Removal Tool wird aktualisiert, außerdem erscheinen einige nicht sicherheitsrelevante Updates. Dabei stehen noch einige Patches aus, wie die Übersicht des Internet Storm Centers (ISC) zeigt. Unter anderem einer für die kurz nach dem Februar-Patchday bekannt gewordene kritische Lücke in Word, die bereits für gezielte Angriffe ausgenutzt wurde. In der Übersicht des ISC fehlen auch einige Lücken, z.B. die von eEye am 27. Februar gemeldete Lücke im Microsoft Publisher. Über die ist allerdings nicht mehr bekannt, als dass sie die Ausführung beliebigen Codes erlaubt. Ob sie bereits ausgenutzt wurde und wenn ja, wie, ist nicht bekannt.

Kapierschutz DRM
Die Verbraucherschutzkommissarin hat sich zurzeit auf Apple und der 'Verdongelung' von iTunes Store und iPod eingeschossen. Ziemlich kurzsichtig oder betriebsblind (alles Windows-Nutzer?), wie ich finde. Denn wenn das böse ist, muss sie auch z.B. Musicload unter Beschuss nehmen – das funktioniert nämlich nur unter Windows und nur mit dem Windows Media Player. Das ist ja wohl genauso verbraucherunfreundlich wie Apples iTunes Store. Eigentlich sogar schlimmer, immerhin gibt es iTunes für Mac OS X und Windows, während Musicload Mac-Benutzer rigoros ausschließt. Und Linux-Nutzer gucken sogar bei beiden in die Röhre. Manche Verkäufer scheinen wirklich Angst vor möglichen Kunden zu haben. Nun ja, dass DRM eigentlich als 'Digital Restriction Management' ausgeschrieben und Kopierschutz ein Kapierschutz ist, ist ja schon einige Jahre bekannt.

Wasserzeichen am Horizont?
Steve Jobs hat sich als Reaktion auf die Forderung, iTunes zu öffnen, ein paar 'Thoughts on Music' gemacht. Auf einen Punkt daraus möchte ich gezielt eingehen:

"The most serious problem is that licensing a DRM involves disclosing some of its secrets to many people in many companies, and history tells us that inevitably these secrets will leak."

Also ein klarer Fall von 'Security by Obscurity' und das funktioniert erwiesenermaßen nicht. Zumindest nicht dauerhaft. Dazu nur zwei Kommentare: Erstens: Entweder das System ist so gut, dass es auch bei Offenlegung der Spezifikation nicht gebrochen werden kann oder es taugt nichts. Zweitens: Apples FairPlay-System lässt sich sowieso umgehen, indem man die geschützten Audiodateien auf eine CD brennt und danach in einem offenen Format wieder einliest. Also, wozu dann das DRM? Weg damit, da stimme ich Steve Jobs vollkommen zu. Da der Musikindustrie dabei der kalte Angstschweiß ausbricht, muss wohl eine Beruhigungspille her. Raubkopien kann man schon heute nicht verhindern, was spricht also dagegen, sie in Kauf zu nehmen und ggf. gegen die Verursacher vorzugehen? Was spricht gegen die Anbringung eines Wasserzeichens? Damit lässt sich eine Datei bis zu ihrem Ursprung zurückverfolgen – und wenn das System was taugt, bleibt das Wasserzeichen auch beim Umwandeln einer Audio- oder Videodatei in ein anderes Format erhalten. Ggf. sogar, wenn die Daten zwischendurch analog vorliegen.

Allerdings landen wir dann wieder beim Problem der Datensammelei, denn die Zuordnung Wasserzeichen -> Datei -> Käufer muss ja irgendwo erfasst werden. Und was ist mit Eigentumswechseln? Darf man online erworbene Audio- oder Videodateien weiterverkaufen? Was passiert dann mit dem Wasserzeichen? Technisch ist das klar, es muss geändert werden, um beim Auftauchen einer illegalen Kopie feststellen zu können, wem die Datei 'abhanden gekommen ist'. Aber rechtlich? Und was hat 'abhanden gekommen' für rechtliche Folgen? Denn nur weil eine Datei ein Wasserzeichen trägt, das sie als von mir gekauft ausweist, heißt das noch lange nicht, dass ich sie illegal weitergegeben habe. Genauso könnte sie gestohlen (= ohne meine Einwilligung und evtl. ohne mein Wissen kopiert) worden sein – und was dann? Schließlich sieht man der Datei nicht an, ob der eigentliche Eigentümer mit der Verbreitung einverstanden war. Und 'gestohlen' passt eigentlich auch nicht, das Original ist ja noch da. Da ergeben sich einige in meinen Augen schwierig aussehende Rechtsprobleme. Aber das schafft dann Arbeit für die Rechtsanwälte, die ihr Geld jetzt damit verdienen, im Auftrag der Musikindustrie mögliche Raubkopierer zu verfolgen. Vielleicht gelingt es der Musikindustrie ja irgendwann, ihren Kunden zu vertrauen, statt sie wie potenzielle Verbrecher zu behandeln.

CeBIT in Sicht!
Am Donnerstag öffnet die CeBIT. Ich bin schon gespannt, was es Neues gibt. Im nächsten Standpunkt Sicherheit und in About Security am 22.3.2007 werde ich sicher Einiges zu berichten haben. Und um im Voraus mal eine Lanze für die CeBIT-Besucher zu brechen: Wenn die Messe und die Aussteller sich an den Tüten schleppenden Besuchern stören – warum verteilen sie die dann? Letztes Jahr war es an einigen Ständen, u.a. in der Security-Halle, nicht auszuhalten, weil am Nachbarstand die Fußball-WM vorweggenommen wurde. Und auch einige Telekommunikationsanbieter sind mir eher negativ aufgefallen. Wer solche Aussteller hat, darf sich über das entsprechende Publikum nicht wundern. Oder kurz gesagt: Wie es aus den Messehallen rausschallt, gehen die Besucher rein. Ach ja: Auch ich werde mich wieder als kleine 'Beutelratte' betätigen und bei sich bietender Gelegenheit Kugelschreiber einsammeln. Die vergesse ich nämlich regelmäßig irgendwo, und der auf einer CeBIT gesammelte Vorrat reicht immer gerade ungefähr für ein Jahr. Und sind die Kulis nicht als Streuartikel gedacht? Aber vielleicht sollte ich mal eigene in Auftrag geben und damit dann Eigenwerbung machen, statt immer für andere Werbung zu verteilen. ;-)

Carsten Eilers