Wie Unternehmen Ideenklau verhindern

7 Tipps gegen Produktpiraterie

24.11.2014 von Oliver Winzenried
Der Kampf von Maschinen- und Anlagenbauern gegen Produktpiraten ist zwar nicht neu, war aber wohl noch nie so akut wie momentan. Wir zeigen auf, was Unternehmen gegen den Ideenklau und den Nachbau ihrer Maschinen tun können.
Produktpiraten bieten sich innerhalb einer Produktionskette verschiedene Angriffspunkte an.
Foto: Protect-Ing

Viele Unternehmen haben bereits Maßnahmen ergriffen, um das Problem einzudämmen und ihr Know-how zu schützen. Dazu zählen bewährte Lösungen wie Wachpersonal und Wachhund, abschließbare Türen oder Zäune, Geräte zur Personenkontrolle oder IT-Lösungen wie Firewalls. Im Zeitalter von Industrie 4.0 - der individualisierten, jedoch flexiblen Produktion - wollen Hersteller die Vorteile der intelligenten Produktion nutzen. Dazu zählt die bedarfsgerechte Produktion bis hin zur Losgröße 1. Weitere Merkmale von Industrie 4.0 sind die wachsende Vernetzung der einzelnen Maschinen und die Kommunikation einzelner Maschinen oder Sensoren innerhalb einer Fabrik.

Industrie 4.0 heißt auch erhöhte Vorsicht vor Produktpiraten...
Foto: Mopic, Fotolia.com

Was eine Maschine oder Anlage kann, wird nicht mehr alleine von Aufbau, Form und Material bestimmt, sondern mehr und mehr von der eingesetzten Embedded-Software. Damit wandert das wertvolle Know-how des Maschinen-Herstellers gewissermaßen von der Hardware in die Software. Industrie 4.0 bietet Herstellern Chancen wie den nachträglichen Verkauf von Maschinenfunktionen (Feature-on-Demand). Sie birgt aber auch Risiken, denn der Schutz aus der Office-IT passt nicht automatisch für die Schutzbedürfnisse in der Produktion. Beispielsweise könnten Fernwartungszugänge, die nicht ausreichend gesichert sind, von Angreifern als offenes Tor ins Firmennetzwerk genutzt werden.

Checkliste

Was können Hersteller tun, um sich vor Sicherheitsrisiken zu schützen? Sie können ihre Ausgangslage und den Markt analysieren, die für sie geeigneten Lösungen identifizieren und umsetzen. Zu betrachten sind:

Die neueste Umfrage des Verband Deutscher Maschinen- und Anlagenbauer, VDMA, zum Thema Produktpiraterie, die im April 2014 vorgestellt wurde, ergab, dass neun von zehn Herstellern mit mehr als 500 Mitarbeitern betroffen sind (siehe nachfolgende Grafik) und dabei über die Hälfte vom Nachbau ganzer Maschinen. Der Gesamtschaden durch Produktpiraterie beträgt mehr als 7 Milliarden Euro im Jahr.

Im VDMA gibt es eine Arbeitsgemeinschaft Produkt- und Know-how-Schutz, Protect-ing, die unterschiedliche Schutzmechanismen aufzeigt und auch einen Leitfaden zu dem Thema erstellt hat. Hier ist eine Auswahl verschiedener Maßnahmen:

Rechtliche Maßnahmen

Hersteller können das Wesentliche, das einzigartige Neue ihrer Geschäftsidee als Patent oder Geschmackmuster/Design-Patent bei nationalen oder internationalen Behörden beantragen. Die einzelnen rechtlichen Möglichkeiten unterscheiden sich in der Laufzeit, den Kosten und den Anforderungen an die Erfindungshöhe. Daneben gibt es noch das Urheberrecht, das jeder Entwickler ohne weitere Anmeldung genießt.

Jedoch wirken diese rechtlichen Maßnahmen erst, wenn der Schaden bekannt wurde, bereits entstanden ist und der Verursacher vor ein Gericht gestellt werden kann. Einfluss auf die Entscheidung, welche rechtliche Maßnahme am besten passt, hat auch die Patent- und Urheberrechtslage in den Zielmärkten.

Sensibilisierung der Mitarbeiter

Menschliches Fehlverhalten und Sabotage sowie das direkte Einschleusen von Schadcode zählen zu den Top-Bedrohungen im Maschinen- und Anlagenbau. Der Täter kann als Mitarbeiter das Firmengelände betreten und das Vertrauen des Unternehmens missbrauchen. Einerseits können unzufriedene Mitarbeiter als Innentäter Sabotage betreiben oder Betriebsinterna an Unberechtigte weitergeben. Andererseits können ehrliche Mitarbeiter aus Ahnungs- oder Sorglosigkeit zu "Tätern" werden und so eine Lücke für das Eindringen der Produktpiraten öffnen.

Unternehmen können mit Mitarbeitern gleich zum Arbeitsbeginn Vereinbarungen zur Schweigepflicht abschließen, verschiedene Angriffsszenarien durchspielen, die Mitarbeiter entsprechend passender Abwehrmaßnahmen schulen und Sorgfalt fordern.

Schutz vor Sabotage

Eine wichtige Frage ist, welche Politik (Policy) ein Unternehmen hinsichtlich USB-Sticks einnimmt, um das absichtliche oder unabsichtliche Einschleusen von Schadcode zu verhindern. Beispielsweise können Unternehmen den Mitarbeitern verbieten, dass als Köder verteilte USB-Sticks mit Schadsoftware am Arbeitsplatzrechner aufgesteckt werden dürfen.

Heise Online berichtete mehrfach über Angriffsversuche, wobei die Angreifer USB-Sticks, präpariert mit einer Demo-Software, "zufällig" auf dem Firmenparkplatz verstreut hatten, was auch zum Ziel führte: die USB-Sticks wurden tatsächlich im Unternehmensnetzwerk aufgesteckt. Technisch lassen sich die Arbeitsplatzrechner auch so konfigurieren, dass nur bestimmte USB-Geräte benutzt werden können und damit das Risiko etwas reduzieren.

Verschlüsselung digitaler Dokumente

Betriebsinterna wie Rezepte, technische Zeichnungen oder Serviceunterlagen enthalten Know-how, mit denen Mitarbeiter oder externe Partner arbeiten. Sinnvoll ist es, wenn Hersteller diese Dokumente mit Hilfe technisch-präventiver Maßnahmen verschlüsseln. Nur die zuvor definierte Personengruppe wird durch den Besitz eines Schlüssels, den sie nicht vervielfältigen können, zur Nutzung berechtigt. Auf diese Weise werden unberechtigte Personen vom Expertenwissen ausgeschlossen.

Verschlüsselungs-Tools
Intellicomp IndependenceKey
Der IndependenceKey verschlüsselt Daten für Mail, Skype, Dropbox oder andere Cloud-Speicher.
LaCie Wuala
Cloud-Speicherdienste wie Wuala bieten eine integrierte Verschlüsselung an. Alle Daten, die in bestimmte Nutzerverzeichnisse abgelegt werden, werden automatisch verschlüsselt, bevor sie in die Cloud übertragen werden.
Kaspersky Mobile Security
Mobile Sicherheitssoftware wie Kaspersky Mobile Security hat neben dem Virenschutz auch Verschlüsselungsfunktionen an Bord.
DataLocker EncryptDisc
Bei DataLocker EncryptDisc handelt es sich um optische Speichermedien, die die Verschlüsselungslösung bereits in sich tragen.
NCP Secure Entry Client
Damit VPN-Verbindungen bei Bedarf eines verschlüsselten Netzwerkzugriffs möglichst allen Nutzern zur Verfügung stehen, sollten VPN-Clients gewählt werden, die zum Beispiel auch für Apple-Systeme bereit stehen, wie der NCP Secure Entry Client.
PhoneCrypt
Bei mobilen Endgeräten sollten nicht nur die gespeicherten Daten, sondern auch die vertraulichen Telefonate verschlüsselt werden, zum Beispiel mit PhoneCrypt.
Secusmart SecuVoice Q10
SecuVoice verschlüsselt mobile Telefonate und bildet einen Teil der SecuSuite, die zusätzlich unter anderem SMS und E-Mails verschlüsselt.
Sophos SafeGuard Enterprise
Eine Lösung wie Sophos SafeGuard Enterprise unterstützt die Verschlüsselung von Datenträgern genauso wie von Daten, die in eine Cloud übertragen werden sollen.
Mozilla Thunderbird S/MIME
E-Mail-Clients wie Mozilla Thunderbird ermöglichen eine E-Mail-Verschlüsselung nach S/MIME, doch nur wenige Nutzer machen davon Gebrauch, da vielen die Zertifikatsverwaltung zu aufwändig erscheint.
Z1 SecureMail Gateway Appliance Platform
Appliances mit dem Z1 SecureMail Gateway unterstützen die Verschlüsselung von E-Mail auf mehreren Wegen und erleichtern so die Anbindung von Partnern, die keine Public Key Infrastructure (PKI) betreiben.

Verschlüsselung der Software

Wird die Embedded-Software verschlüsselt, können Produktpiraten diese nicht analysieren (kein Reverse Engineering, die mit Abstand beliebteste Angriffsmethode - siehe auch nachfolgende Grafik). Nur der jeweils benötigte Teil wird zur Laufzeit entschlüsselt, der Rest bleibt weiterhin geheim. Piraten werden folglich am Nachbau der Maschine gehindert, da sie nicht wissen, wie die Software die Maschine steuert. Der Käufer der Maschine bekommt die Nutzungsrechte in Form eines nicht-klonbaren Schlüssels.

Verschlüsselung digitaler Produktionsdaten

Unternehmen beauftragen Maschinenbetreiber und müssen dafür ihre Produktionsdaten weitergeben. Damit diese nicht verändert oder kopiert werden können, werden die Nutzungsrechte mit einer Stückzahl verknüpft. Beispielsweise stellt die Fabrik des Betreibers T-Shirts in einer definierten Stückzahl auf seinen Maschinen her. Eine Nacht- oder Sonderschicht, in der unerkannt weitere T-Shirts in hochwertiger Qualität für den Graumarkt bestickt werden und zwar ohne Wissen des Auftraggebers, ist unmöglich. Nur der Auftraggeber kann den Zähler für den nächsten Produktionsauftrag wieder hochsetzen.

Schutz vor Manipulation

Wer erfolgreich mittels einer Cyberattacke Einblick in Produktionsgeheimnisse gewonnen hat, wird sich vielleicht nicht mit der Informationsgewinnung begnügen, sondern versuchen, darüber hinaus Schaden zu verursachen. Medizingeräte oder Produktionsmaschinen beispielsweise müssen vor Unbefugten geschützt werden, um Manipulationen zu verhindern. Angreifer könnten versuchen, einzudringen und die Produktion zu stoppen, die Mischverhältnisse oder Bestandteile eines Rezepts zu verändern oder eine Maschine zu überhitzen und zu beschädigen.

Hersteller können den Schutz so aufbauen, dass ein System nur startet, wenn es als vertrauenswürdig gilt. Technisch funktioniert dies über eine elektronische Signatur. Damit stellt das Schutzsystem fest, ob die ausgeführte Software manipuliert oder verändert wurde. Prüft der Hersteller die Signatur gegen eine Zertifikatskette, kann er sicherstellen, dass der Programmcode von einem berechtigten Herausgeber kommt und kein Schadcode untergeschoben wurde.

Gesamte Produktionskette absichern

Firmengeheimnisse bleiben nur geheim, wenn die Verschlüsselung der unterschiedlichen Daten durchgängig vom ersten bis zum letzten Glied der Kette erfolgt. Blickt man beispielsweise auf die Textilindustrie, bedeutet dies, dass die CAD-Software für die Stickmuster, die Designs, die Steuerungen, die Embedded-Software in den Stickmaschinen und die Produktionsdaten beim Auftraggeber geschützt werden müssen. Beim 3D-Druck wird ganz offensichtlich, dass das komplette Produkt-Know-how, die Bauanleitung, vollständig in den Produktionsdaten steckt.

Es gibt professionelle Anbieter, die mit Schutzlösungen erfolgreich auf dem Markt sind und Herstellern ihre Unterstützung anbieten. Anstatt als Hersteller eine selbstgestrickte Lösung als Maßnahmen zu nutzen, helfen diese Anbieter mit ihrem Expertenwissen über die neuesten Technologien der Abwehrmaßnahmen und wie Angreifer vorgehen, um einen bestmöglichen und kostengünstigen Schutz zu realisieren.