Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Kopierschutz-Skandal um Sony BMG: Hinhalten, kleinreden, beschwichtigen

Die Affäre rund um einen CD-Kopierschutz, der sich als Einfalltor für Cracker entpuppte, ist für den Musikkonzern Sony BMG ein Image-Desaster und potenziell teures Justizrisiko. Das hätte vermieden werden können: Sony BMG war schon Wochen vorher informiert worden.

"Sony BMGs teure Taubheit" titelte am Dienstagmorgen die "Business Week" so treffend wie sonst niemand und konnte ihren Lesern einen kleinen Knaller servieren: Nach Recherchen des Wirtschaftstitels rannte der Musikkonzern keineswegs blind in das aktuelle Kopierschutz-Desaster. Die Verantwortlichen waren gewarnt worden. Laut "Business Week" interessierte sie die Warnung nur leider nicht.

Das tut weh: Der XCP-Skandal lastet schwer auf Sony BMG

Das tut weh: Der XCP-Skandal lastet schwer auf Sony BMG

Zur Erinnerung: Am 31. Oktober veröffentlichte der IT-Sicherheitsexperte Mark Russinovich auf seiner Webseite eine Warnung vor einem von Sony BMG eingesetzten Musik-CD-Kopierschutz namens XCP. Der, berichtete Russinovich, verhalte sich ähnlich wie ein so genannter Hacker-Rootkit und stelle ein potenzielles Sicherheitsrisiko für den Rechner dar, weil sich in seinem Windschatten alle möglichen Schadprogramme im PC-System verstecken ließen.

Das IT-Sicherheitsunternehmen F-Secure folgte wenige Stunden später mit einer detaillierten Analyse und konnte auch schnell mit einem Gegenmittel gegen den seltsamen Kopierschutzmechanismus aufwarten.

Kein Wunder, denn F-Secure wusste schon Wochen vorher davon - genau wie Sony BMG, die von dem Sicherheitsunternehmen angesprochen worden waren. Die Reaktion von Seiten des Musikunternehmens: Hinhalten, kleinreden, beschwichtigen, berichtet die "Business Week".

Entdeckt worden war XCP demnach bereits am 30. September, mehr als einen Monat, bevor Russinovich den "Cracker-Kopierschutz" öffentlich machte. John Guarino, Inhaber eines kleinen PC-Schrauberladens in New York, war aufgrund von Kundenbeschwerden auf das potenziell schädliche Tool gestoßen: Ihm waren im Laufe des Septembers mehrere PCs mit Funktionsstörungen gebracht worden, auf die er sich zunächst keinen Reim machen konnte.

Phase 1: Schrauber entdeckt XCP

Am 30. September entdeckte er etwas, das wie ein in den Tiefen des Windows-Systems verstecktes Hacker-Rootkit aussah. Weil er zu diesem Zeitpunkt bereits Musik-CDs als Verursacher der Rechner-Verseuchung im Verdacht hatte, versuchte er den Nachweis mit Hilfe einer Sony-BMG-CD: Die Infizierung seines bis dahin sauberen Laptop "gelang" durch bloßes Abspielen der CD.

Guarino meldete die Sache an F-Secure, und die finnischen IT-Sicherheitsexperten wandten sich am 4. Oktober an Sony DADC, die die Musik-CDs des Unternehmens produzieren. Die Nachricht: F-Secure teilte Sony mit, dass sie ein potenzielles Rootkit in XCP gefunden hätten. Sony BMG, die die Mail am 7. Oktober empfangen haben wollen, sahen darin zunächst kein ernsthaftes Sicherheitsproblem. Schließlich habe es sich ja nur um ein potenzielles Risiko gehandelt, von dem kaum jemand wusste.

Trotzdem, behauptet Sony BMG, habe man den XCP-Entwickler First4Internet gebeten, die Sache doch zu prüfen. Am 17. Oktober bestätigte ein beauftragtes Sicherheitsunternehmen, dass XCP einen Rootkit enthalte. F-Secure stufte Sony-BMG-CDs mit XCP als "ernsthaftes Sicherheitsrisiko" ein und machte weiter Druck.

Am 20. Oktober, berichtet "Business Week", kam es zu Anrufen bei First4Internet und Sony BMG. Die XCP-Entwickler, behaupten die F-Secure-Vertreter, spielten das Risiko herab. Kaum jemand wüsste von dem Sicherheitsleck, eine neue Programmversion im nächsten Jahr werde das Problem bereinigen.

Ähnliche Töne gab es von Seiten Sony BMG, zitiert "Business Week" Sanetri Kangas von F-Secure: "Die dachten, wir wären albern. Die wollten die Sache nur geheim halten."

Erst unter öffentlichem Druck bewegt sich Sony BMG

F-Secure entschied sich tatsächlich, die Sache nicht öffentlich zu machen, und drängte hinter den Kulissen auf die Entwicklung von Entfernungs-Tools für XCP.

Als Mark Russinovich Ende Oktober über XCP stolperte, wusste er von all dem nichts. Er veröffentlichte, was er über XCP herausfinden konnte, weil er das Programm als das erkannte, was es war: Ein potenziell gefährliches Werkzeug, mit dem ein Musikunternehmen ungefragt die Rechner seiner Kundschaft verschmutzte. Jetzt kam Sony BMG in Bewegung - aber jetzt sollte es auch nur noch Tage dauern, bis erste Programme auftauchten, die das "Sony-BMG-Sicherheitsleck" für sich ausnutzten.

Hier wird die Realsatire zum teuren Lehrstück für Sony BMG und für die gesamte Branche. Es zeigt, wie wenig sich die Unternehmen der Entertainmentindustrie über ihre eigenen Risiken im Klaren sind, wenn sie mit Softwarehilfe versuchen, ihre Rechte zu bewachen. Sony BMGs XCP richtete bei dem Versuch, das Unternehmen vor Schäden zu bewahren, Schäden auf den Rechnern der Kunden an - und das, ohne diese vorher darüber informiert zu haben, was XCP auf ihren Rechnern alles unternehmen würde.

So wie der Konzern kopierenden Kunden vorwirft, ohne Unrechtsbewusstsein Recht zu brechen, wogegen er sich mit Kopierschutzsoftware schützen müsse, verhielt er sich nun selbst. Jetzt bekommt er die Quittung dafür.

Das Musikunternehmen musste in der Zwischenzeit ein Programm anbieten, um den eigenen CD-Kopierschutz von den befallenen Rechnern zu entfernen, XCP aufgeben und Millionen von CDs zurückrufen. Dazu kommt eine Welle von Klagen, mit denen sich die Firma konfrontiert sieht: Der US-Bundesstaat Texas klagt bereits, New York prüft eine Klage. Mindestens zwei Sammelklagen von Seiten von US-Verbrauchergruppen sind ebenfalls anhängig, in Italien klagt der dortige Ableger der Electronic Frontier Foundation EFF.

Vollends zur peinlichen Farce wurde das ganze, als Ende der dritten Novemberwoche klar wurde, dass Teile des XCP-Programms, mit dem Sony BMG seine Urherrechte schützen wollte, selbst zusammengeklaut war - unter Missachtung der Urheberrechte der Produzenten des Open-Source-Programms "Lame". Begossener stand noch kein Vertreter der "Raubkopierer sind Verbrecher"-Branche da. Die Webseite von First4Internet, die vor wenigen Tagen noch stolz und farbenprächtig die DRM-Kompetenz des Unternehmens einerseits und das Top-Produkt XCP andererseits bewarb, ist auf ein extrem magersüchtiges "Ja, uns gibt's noch, wenn auch kaum" zusammengeschnurrt.

Abgesehen von den beträchtlichen finanziellen Risiken, die sich für Sony BMG vor allem aus den US-Klagen ergeben, hat die Rücksichtslosigkeit, mit der der Musikkonzern glaubte, einfach Veränderungen in Betriebssystemen von Kundenrechnern vornehmen zu können, erhebliche Spuren hinterlassen.

Eine ganze Reihe von Watch- und Boycott-Blogs sehen Sony nun auf die Finger, geben sich damit aber letztlich nicht zufrieden: Sie wollen die Firma bestraft sehen - vor Gericht und durch Umsatzausfälle (siehe Linkverzeichnis).

Obwohl Sony BMG Deutschland versichert, dass hierzulande XCP - außer durch Importe - nie in den Verkauf kam, scheint diese Reaktion nahe liegend: Das Gros der Leserbriefschreiber an SPIEGEL ONLINE auf die Berichte der letzten Wochen über den XCP-Fall will nichts anderes.

Die Spitzen von Sony BMG USA üben sich derweil in mea culpa und Bescheidenheit. Man hätte XCP intensiver testen sollen, heißt es aus der Konzernspitze, die Transparenz und Besserung gelobt. Eine gute Idee, finden IT-Experten, die genau das für die Moral von der Geschicht' halten: Man sollte die Programme schon kennen, die man auf seine Kundschaft loslässt.

Allein die Anwälte von Sony BMG USA sind noch nicht soweit, Einsicht zeigen zu können. Verteidigungsbereit stehen sie auf den Hinterbeinen: Sony BMG habe im Fall XCP "alles richtig gemacht".

Frank Patalong

Diesen Artikel...

© SPIEGEL ONLINE 2005
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: