"Rootkit"-PR-GAU SonyBMG bietet Tool zur Kopierschutz-Entfernung

Einen Tag, nachdem Medien über SonyBMGs umstrittenen "Rootkit"-Kopierschutz berichteten, bietet der Musikkonzern eine Lösung an: Saure Kunden können sich auf der Webseite der Firma ein Entfernungstool bestellen. Der Kopierschutz war aufgefallen, weil er ähnlich wie Viren und Trojaner funktioniert.

Von


"Eine Vorsichtsmaßnahme" sei das, sagt SonyBMG, und nicht etwa eine Reaktion auf irgendein Sicherheitsrisiko, dass Windows-Nutzern durch die Kopierschutz-Software des Musikunternehmens entstünde. Acht Monate lang habe man den Kunden die Software unbemerkt aufinstalliert, und nie habe es Beschwerden gegeben.

XCP-Logo: "the true meaning of audio security"

XCP-Logo: "the true meaning of audio security"

Die gibt es dafür jetzt, und nicht zu knapp: Am Montag hatte der IT-Sicherheitsexperte Mark Russinovich in seinem Blog öffentlich gemacht, wie SonyBMGs Kopierschutzsoftware "XCP" funktioniert: Durch ein bloßes Abspielen einer damit geschützten CD wird das Programm als "Rootkit", wie er von Crackern für Viren und Trojaner verwandt wird, in den Tiefen des Betriebssystems verborgen. Fortan überwacht XCP, wie oft eine CD worauf kopiert wird und unterbindet Nutzungen, die durch die mit dem Kauf erworbene Lizenz nicht gedeckt sind. So weit, so schlecht.

Denn was IT-Sicherheitsexperten wie Kunden erregt, ist zwar zum einen das damit verbundene Sicherheitsrisiko: XCP könnte böswilligen Crackern Ansatzpunkte bieten, echte Schäden zu verursachen. Darüber hinaus bedeutet der heimliche manipulative Eingriff in eine Software, an der SonyBMG keine Eigentumsrechte hält, eventuell sogar einen Rechtsbruch.

Also steht SonyBMG vor einem doppelten Problem: Die Veröffentlichung der Funktionalitäten von XCP durch Russinovich, das IT-Sicherheitsunternehmen F-Secure und zahlreiche Medien dürfte auf viele Cracker wie ein rotes Tuch wirken. Es wäre wohl kaum eine Überraschung, wenn binnen Tagen nun ein "Exploit", eine Ausnutzung der durch SonyBMGs Kopierschutz entstandenen Sicherheitslücke auftauchte.

Insofern grenzt die Bezeichnung der Veröffentlichung eines Entfernungs-Tools für XCP als "Vorsichtsmaßnahme" schon an eine Freudsche Fehlleistung. Kaum auszudenken, was für Forderungen vor US-Gerichten erhoben werden könnten, wenn es durch XCP wirklich zu einer Schädigung von PC-Nutzern kommen sollte.

Als Reaktion auf die Beschwerden und kritischen Berichte hat SonyBMG eine Sonderseite über XCP eingerichtet, die sachliche Erklärungen bieten soll. Wer will, kann über ein dort hinterlegtes Kontaktformular ein Entfernungstool bestellen. Als Mindestvoraussetzung dafür verlangt SonyBMG Angaben darüber, über welches Album XCP installiert wurde, und wo man das erstanden hat. Notwendig ist zudem die Angabe einer funktionierenden E-Mail-Adresse.

Denn es dürfte sich in so einigen Ländern die Frage stellen, ob SonyBMG mit seiner Kopierschutz-Methodik nicht sogar geltendes Recht verletzt. Einem Kunden ungefragt und ohne dies zu dokumentieren ein Programm unterzujubeln, das direkten Einfluss auf Grundfunktionen des von ihm benutzten Betriebssystems nimmt, ist mehr als nur dreist. Der lapidare Hinweis auf "technische Kopierschutzmaßnahmen" dürfte das wohl kaum abdecken.

In der Veränderung von Dateien des Betriebssystems könnte man durchaus eine Sachbeschädigung entdecken - und mehr als das. So heißt es im deutschen Strafgesetzbuch, § 303a, Datenveränderung: "(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."

Das alles ist durch SonyBMGs XCP wohl geschehen: Treiberdateien werden durch den Kopierschutz verändert oder ausgetauscht, fremde Dateien ohne vorhergehende Einwilligung installiert und Grundfunktionen des Betriebssystems im Bedarfsfall unterdrückt. Das alles ist also deutlich mehr als nur ein Image-GAU.

Was offensichtlich macht, dass es hier einigen Klärungsbedarf gibt. Das Bedürfnis der Entertainmentindustrie, ihre Waren gegen Vervielfältigung zu schützen, ist ja durchaus legitim. Ihre Methoden sind es dagegen ganz und gar nicht.



© SPIEGEL ONLINE 2005
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.