Technisches Schutzkonzept gegen Produktpiraterie
Erhöhte Sicherheit durch Nutzung inhärenter Komponenten als Schutz gegen Produktpiraterie

Eberhard Abele, Eugenia Gossen, Leonardo Gerardi, Christian Kegele

Das Zeitalter der Globalisierung und Digitalisierung birgt einerseits enorme Potenziale, Wissen zu teilen und gezielt zu nutzen, bringt andererseits jedoch die Herausforderung mit sich, diese Datenmengen auch zu beherrschen und zu schützen [1]. Um die volle Innovationsrente auszuschöpfen, müssen Originalhersteller ihr Wissen und ihre Produkte sichern und können das Risiko der Produktpiraterie nicht länger ignorieren. Heutzutage reicht es nicht mehr, nur die Innovationszyklen stärker zu verkürzen. Vielmehr müssen internationale Unternehmen in den Schutz ihres Know-hows investieren, um den eigenen Wettbewerbsvorteil lokal, regional und international zu sichern. Anforderungen in Bezug auf Sicherheit und Effizienz technischer Schutzkonzepte und die Entwicklung eines solchen sind Gegenstand dieses Beitrags.

Produktpiraterie – auch in Deutschland

Die Thematik der Produktpiraterie wird häufig von Unternehmen erst dann adressiert, wenn bereits Schäden durch Imitationen beobachtet wurden [2]. Zudem stand bislang primär das Plagiatsland China im Fokus der Betrachtungen. In seiner neuesten Studie weist der VDMA nun erstmalig auf alarmierende Zahlen zu „Produktpiraterie Made in Germany“ hin [3]. Um sich gegen diese immer hochqualitativeren Nachahmungen zu schützen, stehen Unternehmen eine Vielzahl von juristischen, organisatorischen und technischen Schutzmaßnahmen zur Verfügung [4]. Von einer Fokussierung auf rein juristische Maßnahmen wird dabei, bedingt durch ihre limitierte Durchsetzbarkeit, abgeraten [2, 5, 6]. Betrachtet man die vorhandenen technischen und organisatorischen Schutzmaßnahmen, fällt wiederum auf, dass diese nur wenig akzeptiert und eingesetzt werden [3]. Dies lässt sich sowohl durch ihr hohes Preisniveau als auch durch ihre wenig erforschte Wirksamkeit begründen. 


Bild 1: Auszug vertiefende Analyse der Sicherheitsanforderungen
(in Anlehnung an [4, 12-15]).

Bei der Planung geeigneter Gegenstrategien muss die Betrachtung der betriebswirtschaftlichen Auswirkungen der Produktpiraterie somit ein zentraler Bestandteil sein [7]. Auch eine Steigerung der Anwenderakzeptanz von Schutzmaßnahmen ist nur dann zu erwarten, wenn sich Unternehmen ihrer spezifischen Anforderungen bewusst sind und die konkreten Vorteile einzelner Maßnahmen aufgezeigt werden können [8].

Die hier vorgestellte vertiefende Anforderungsanalyse und -definition für technische Schutzkonzepte soll Kenntnis- und Bewertungslücken schließen und Entscheidern als Hilfestellung bei der darauf aufbauenden Schutzmaßnahmenauswahl dienen. Zudem werden die Ergebnisse in die Entwicklung einer innovativen Schutzlösung eingebunden, um ein Kosten-Nutzen-optimales Konzept zu erarbeiten. 


Vertiefende Analyse der Sicherheitsanforderungen 

Die primäre Funktion einer technischen Schutzmaßnahme stellt die von ihr erreichte erhöhte Sicherheit im Rahmen des Know-how-Schutzes dar. Trotz stetiger Weiterentwicklung der mehr als 300 bis 400 bekannten Sicherheits-
technologien im Bereich der Kennzeichnung und Authentifizierung [9] ist keine absolute Sicherheit erreichbar [10]. Konservativ geschätzt wird im Bereich der IT-Sicherheit eine maximal erreichbare Wirksamkeit von 85 % für optimale Schutzmaßnahmen angenommen [11]. Auch bei Betrachtung der im Maschinen- und Anlagenbau vorhandenen Maßnahmen werden viele Schwachstellen deutlich, die die erforderlichen hohen Investitionen infrage stellen [5]. 

Allgemein werden Anforderungen an Sicherheitsmerkmale unter den Begriffen Funktionssicherheit, Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit und Verbindlichkeit zusammengefasst [12]. Trotz hoher Relevanz lässt das breite Spektrum dieser Begrifflichkeiten keine eindeutige Einschätzung und Auswahl von Maßnahmen zu. 


Bild 2: Auszug der Befragungsergebnisse von
Produktpiraterie betroffener Unternehmen.

Zur gezielten Bewertung vorhandener Maßnahmen und als Optimierungspunkt für zukünftige Entwicklungen wurde eine detaillierte Anforderungsanalyse anhand von theoretischen Beschreibungen und ergänzenden Kundenbefragungen durchgeführt. Zunächst konnten, diesem Vorgehen folgend, Sicherheitsanforderungen anhand ihrer typischen Merkmale und deren Wirkung auf das Sicherheits- und Schutzniveau spezifiziert und klassifiziert werden. Dabei wurde der Einfluss ausgewählter Merkmale von technischen Schutzmaßnahmen auf das Sicherheits- und Schutzniveau betrachtet und anschließend in ihrer Wirkung bewertet. In Bild 1 ist ein Auszug dieser ersten theoretischen Bewertung zu sehen.

Aufbauend auf der vertiefenden Analyse lassen sich Empfehlungen ableiten, die zu einem erhöhten Sicherheitsniveau beitragen und somit bereits in der Entwicklungsphase berücksichtigt werden müssen. Ein Beispiel hierfür ist die erhöhte Informationsrückspiegelung an eine zentrale Datenbank, die neben der Identifikation des Produkts an verschiedenen Knotenpunkten der Wertschöpfungskette ein Tracking und Tracing des Produkts ermöglicht und somit eine zusätzliche Überwachungs- und Kontrollfunktion einnimmt. 

Neben der theoretischen Betrachtung des Sicherheitsniveaus müssen die Anforderungen der Anwenderunternehmen berücksichtigt werden, welche durch eine Befragung ermittelt wurden. Aus den ersten Einschätzungen von zehn Anwenderunternehmen im Maschinen- und Anlagenbau können bereits zentrale Aspekte abgeleitet werden. So sind sich Unternehmen beispielsweise schon heute bewusst, dass eine vollständige Risikoabdeckung unrealistisch scheint und streben diese daher in der Mehrheit der Fälle (60 %) gar nicht erst an. Dabei wollen 80 % der Befragten bewusst nur weniger als ein Viertel des erkannten Produktpiraterie-Gefährdungsniveaus in Schutzmaßnahmen investieren und dabei in der Mehrheit der Fälle (60 %) weniger als 5 Cent pro Schutzmaßnahme und Produkt aufwenden (Bild 2). 


Betrachtung vorhandener Schutzmaßnahmen

Aufbauend auf der vertiefenden Analyse des Sicherheitsniveaus und der Auswertung der Kundenanforderungen dient eine Detailanalyse bereits vorhandener Technologien einerseits dem Abgleich der erzielten Ergebnisse und andererseits der Darstellung bekannter Schwachstellen. Diese Erkenntnisse fließen anschließend wiederum in die kontinuierliche Anpassung und Konkretisierung der Sicherheitsanforderungen für neue Schutzmaßnahmen ein. 

Vorhandene lückenlose und echtzeitnahe Produktdatenrückverfolgbarkeit dient heutzutage primär dem Ziel, Potenziale einer effizienten Wissensnutzung über den gesamten Produktlebenszyklus auszuschöpfen. Einerseits können logistische Prozesse effizienter gestaltet, die Prozessqualität erhöht und die Prozesskosten minimiert werden. Andererseits kann die Rückverfolgbarkeit von Komponenten und Produkten entlang der gesamten Supply-Chain die eindeutige Authentifizierung ermöglichen und somit das Einschleusen von Produktimitationen erschweren [16, 17]. Im Rahmen der Forschung zu intelligenten und kommunizierenden Objekten und Maschinen hinsichtlich der vierten industriellen Revolution spielen klassische Produktdatenverfolgungs-Technologien wie Datamatrix-Codes und Radio Frequency Identification Devices (RFID) bereits eine große Rolle. Trotz des nicht erwiesenen Sicherheitsniveaus wird aktuell ein gesteigerter Einsatz von RFID erwartet. 


Bild 3: Sicherheitsmaßnahmen zum Schutz des RFID-Systems
(Angriffsmöglichkeiten in Anlehnung an [13]).

Aus Know-how-Schutz-Sicht ist das Ziel von Produktdatenverfolgungs-Technologien, eine zweifellose Identifikation der Genuität des Produkts zu ermöglichen. Dies wird dadurch gewährleistet, dass der Imitator das Merkmal nicht erkennt oder nicht in der Lage ist, es zu kopieren [2]. Noch heute sind sichere und einfache Authentifizierungen von physischen Produkten eine technische Herausforderung, was wiederum das Fehlen einer verfügbaren Standardlösung erklärt [18]. Aktuell übliche technische Präventionsmaßnahmen, wie einfache Originalitätskennzeichen, greifen laut Auffassung von Experten zu kurz [19]. Sie erschweren maximal die Fälschung, sind jedoch wirkungslos, wenn auch sie kopiert werden. Auch zunächst vielversprechende RFID-Lösungen werden zunehmend auf Schwachstellen untersucht [13, 15]. Beispiele für bekannte Schwachstellen werden anhand von Angriffsmethoden oder Angriffspunkten beschrieben. Diese sind, wie in Bild 3 zu sehen, vielzählig und häufig nur durch weitere teure Zusatzmechanismen (verschlüsselte Kommunikation, sichere zentrale Datenbanken etc.) zu sichern. 

In den Fällen, in denen folglich eine relativ hohe Schutzwirksamkeit gewährleistet werden kann, spielen die Kosten und die Überprüfungsbemühungen einzelner Akteure eine bedeutende Rolle. So kostet ein ‚sicherer‘ Tag meist das 10-100fache eines einfacheren Tags [19] und liegt nicht in dem von Kunden erwünschtem Preisniveau von weniger als fünf Cent. 

Weitere verbreitete Kennzeichnungstechnologien sind Barcodes, zweidimensionale Data-Matrix Codes, Farbcodes und Hologramme. Diese Lösungen sind jedoch nicht gleichermaßen im Bereich des Tracking und Tracing einsetzbar und stellen somit meist nur eine erste kostengünstige Maßnahme dar.


Entwicklung eines innovativen Schutzkonzepts

Im Rahmen eines Forschungsprojekts hat sich das Institut für Produktionsmanagement, Technologie und Werkzeugmaschinen (PTW) zusammen mit der Firma mikrolab GmbH das Ziel gesetzt, ein preisgünstiges, einfaches und sicheres Schutzkonzept zu entwickeln. Die vorab analysierten Schwachstellen bekannter Schutzmaßnahmen fließen in die Konzeption ein. Besonders die vielzählig vorhandenen Varianten unterschiedlicher RFID-Systeme dienen als Basistechnologien für die erweiterte Anforderungsdefinition der angestrebten innovativen Schutzmaßnahme. 

Die in der Entwicklung befindliche technische Schutzmaßnahme ist zunächst für mechatronische Produkte ausgelegt und soll durch die Nutzung bereits inhärenter Komponenten Kosten- und Sicherheitsvorteile bieten. Basierend auf neuartigen Entwicklungen und Kombinationen von Schwingkreisen, Widerstands-Arrays und bekannten Technologien aus der Chip-Herstellung wird ein Fingerabdruck des Produkts definiert, der eine eindeutige und nicht kopierbare Markierung darstellt und somit ein lückenloses Track-und-Trace ermöglicht. Insgesamt ist folglich angestrebt, das von Kunden geforderte hohe Sicherheits- und Schutzniveau zu vertretbaren Kosten anzubieten und durch weiteren Zusatznutzen zu komplettieren. Um den erfassten unterschiedlichen Kundenbedürfnissen gerecht zu werden, sind zwei Varianten der Schutzmaßnahme angedacht: eine ökonomische Variante (<5 Cent) und eine hochpreisige Variante, welche auf sicherheitsrelevanten Bauteilen Anwendung finden soll und je nach Bedarf ebenfalls zusätzliche kryptographische Verschlüsselungen beinhaltet.


Bild 4: Platine mit verstecktem Fingerabdruck
bzw. Kopierschutz (schematische Darstellung).

Da bei der angedachten Schutzmaßnahme während der Herstellung des Produkts bereits deren eineindeutige Kennwerte ermittelt werden können, ist es möglich, diese entweder direkt in das Produkt zu codieren oder diese z. B. auf einem Barcodelabel verschlüsselt zu speichern.

Die erwähnte optionale Anbindung der Elektronik an die Schaltung soll den signifikanten Vorteil bieten, dass bei intelligenter Elektronik deren Funktion bzw. ‚Schutzcode‘ von der Schaltung selbst überprüft werden kann. Bei einer Schaltung ohne Prozessoren und Firmware kann der Schutz dennoch unabhängig von außen überprüft werden. 

Hinsichtlich der ökonomischen Variante konnte in ersten Untersuchungen bereits gezeigt werden, dass es bei einer geschickten Kombination von Standard-SMD-Bauteilen möglich ist, individuelle Schutzwerte derart zu generieren, sodass einzelne Produkte einer Fertigungscharge bei einem externen Auslesen individuell unterschieden werden können. Der Aufbau erster prototypischer Schutzkreisläufe ist ab Ende 2015 geplant.


Dieser Beitrag entstand im Rahmen des Projekts „Inhärenter technischer Schutz von Elektronikkomponenten für den Maschinen- und Anlagenbau“, das im Rahmen des Zentralen Innovationsprogramms Mittelstand (ZIM) unter dem Förderkennzeichen KF2012454PR3 gefördert wird.

Schlüsselwörter:

Know-how-Schutz, Produktpiraterie, Schutzmaßnahmen, Sicherheitsanforderungen

Literatur:

[1] Müller, E.: Wie werden wir morgen produzieren? Zentrale Trends und Antworten für den ostdeutschen Maschinen-und Anlagenbau. Chemnitz 2013.
[2] Neemann, C. W.: Methodik zum Schutz gegen Produkt-
imitationen. Dissertation, Aachen 2007.
[3] VDMA: VDMA Studie Produktpiraterie 2014. Frankfurt am Main 2014.
[4] Abele, E.; Kuske, P.; Lang, H.: Schutz vor Produktpiraterie. Ein Handbuch für den Maschinen- und Anlagenbau. Berlin 2011.
[5] Kuske, P.: Methode zur Gestaltung einer Know-how-Schutzstrategie für den Maschinen- und Anlagenbau. Dissertation, TU Darmstadt 2013.
[6] Schnapauff, Kai: Präventiver Nachahmungsschutz bei technischen Produkten für industrielle oder professionelle Anwendungen. München 2010.
[7] Kleine, O.: Planung von Strategien gegen industrielle Produktpiraterie. Dissertation, TU Braunschweig 2013.
[8] Schechter, S. E.: Quantitatively Differentiating System Security. First Workshop on Economics and Information Security. 2002.
[9] Stockenberger, D. S.: Schutz vor Produktpiraterie durch Kennzeichnung und Authentifizierung von Komponenten und Ersatzteilen im Maschinen- und Anlagenbau. Dissertation, TU München 2014.
[10] Lindemann, U.; Meiwald, T.; Petermann, M.; Schenkl, S.: Know-how-Schutz im Wettbewerb. Gegen Produktpiraterie und unerwünschten Wissenstransfer. Heidelberg 2012.
[11] Sonnenreich, W.; Albanese, J.; Stout, B.: Return on Security Investment (ROSI): A Practical Quantitative Model. In: Journal of Research and Practice in Information Technology 38 (2006) 1, S. 45-56.
[12] Matheus, D.; Klump, M.: Radio Frequency Identification (RFID) in der Logistik. ild Schriftenreihe Logistikforschung, Band 4. Essen 2008.
[13] Bundesamt für Sicherheit in der Informationstechnik: Risiken und Chancen des Einsatzes von RFID-Systemen. Bonn 2004.
[14] Finkenzeller, Klaus: RFID-
Handbuch. Grundlagen und praktische Anwendungen von Transpondern, kontaktlosen Chipkarten und NFC Klaus Finkenzeller, 6., aktualisierte und erweiterte Auflage. München 2012.
[15] Institut für Fertigungstechnik und Angewandte Materialforschung (IFAM): CASTTRONICS Giesstechnisch integrierte RFID-Transponder. 2014.
[16] Fricke, M.: Schutzmaßnahmen gegen Produktpiraterie im Funktionalbereich Logistik. In: Fussan, C. (Hrsg): Managementmaßnahmen gegen Produktpiraterie und Industriespionage. Wiesbaden 2010, S.183-248.
[17] Fuchs, H. J. (Hrsg): Piraten, Fälscher und Kopierer. Strategien und Instrumente zum Schutz geistigen Eigentums in der Volksrepublik China. Wiesbaden 2006.
[18] Lehtonen, M. O.: How to secure supply chains against counterfeit products using low-cost RFID. Dissertation, ETH Zürich 2009.
[19] Günthner, W. A.; Meißner, S.: Logistischer Schutz vor Produktpiraterie. In: Logistics Journal: nicht-referierte Veröffentlichungen, 2006. URL: http://www.logistics-journal.de/not-reviewed/2006/11/627, Abrufdatum 09.07.2015.