Digital Rights Management
Technische Wegbereiter zur Kontrolle des Internet. Teil VI: Ende des Internet?
Digital Rights Management (DRM) ist das momentane Schlagwort für die technische Umsetzung der "Intellectual Property Rights" (also der Rechte an geistigem Eigentum) in den digitalen Medien. DRM wird mehrere Kategorien des Verwertungsrechtes implementieren, manche davon haben keine direkte Analogie zu den traditionellen Veröffentlichungsverfahren.
Microsoft also warned today that the era of "open computing," the free exchange of digital information that has defined the personal computer industry, is ending.
Microsoft Tries to Explain What Its .Net Plans Are About by John Markoff, The New York Times, July 24, 2002
Pay per Copy (Zahlung pro Exemplar)
Dies ist das traditionelle Modell, das wir von Büchern, Musik, Videos und "eingepackter" Software kennen. Man bezahlt eine Gebühr für ein Exemplar und stimmt normalerweise einer Lizenz zu, die ein Kopieren und einen Weiterverkauf verbietet. Es gibt jedoch keine technischen Maßnahmen, um zu verhindern, dass man diesem Verbot Folge leistet. In manchen Fällen erlaubt der Erwerb sogar, das Original an andere zu verleihen, ohne Zusatzgebühren an den Veröffentlichenden zu leisten.
Pay Per Instance (Zahlung pro Instanz)
Diesen Begriff habe ich ins Leben gerufen, um folgendes Konzept zu beschreiben:
Ein Dokument wird einer Einzelperson verkauft und ist nicht übertragbar. Oder es ist übertragbar, kann jedoch nicht kopiert werden.
Wer ein Dokument auf Basis des "Pay per Instance" kauft, erwirbt ein Dokument, das sozusagen an das persönliche Zertifikat des Computers gekettet ist, auf dem man es voraussichtlich ansehen will. Kopiert man das heruntergeladene Dokument (angenommen, die Trusted Computing Platform erlaubt dies) auf das System eines anderen, so kann dieser es nicht lesen, da er nicht das Zertifikat besitzt. Ihm das eigene Zertifikat zu überlassen, wäre so, als würde man Kopien der Kreditkarten und persönliche Dokumente zur Identifizierung weitergeben... ist also unwahrscheinlich.
Falls das Dokument weiterhin noch mit einem speziellen Computersystem verknüpft ist, kann man es auf diesem System lesen; um es aber auf ein anderes System zu übertragen (zum Beispiel vom Desktopcomputer auf den PDA, um es mit in den Urlaub nehmen zu können), so muss man einen Transfer ausführen, der es möglich macht, das Dokument nun auf dem PDA lesen zu können. Das Dokument ist dann aber nicht mehr auf dem Desktopcomputer lesbar, kann jedoch nach der Rückkehr aus dem Urlaub wieder in die andere Richtung transferiert werden.
Pay per Instance erlaubt ebenfalls einen Transfer, der sich mit dem Ausleihen eines Buches an einen Freund vergleichen lässt (Publisher Permitting). Nehmen wir an, jemand hat sich ein Buch auf seinen Computer herunter geladen und möchte es seiner Tochter auf dem College schicken (nachdem dieser es selbst gelesen hat). Kein Problem - einfach das Buch mit dem persönlichen Zertifikat entschlüsselt und per Email an die Tochter senden. Natürlich ist man danach nicht mehr in der Lage, das Buch selbst zu lesen. Vielleicht wird dieses Weitergeben mit einer kleinen Gebühr verbunden sein, aber, hey, Micropayment vereinfacht dies und man würde wahrscheinlich eine Menge mehr zahlen müssen, um ein gedrucktes Buch an seine Tochter zu schicken. Ein Verlag könnte auch Büchereieditionen verkaufen (vielleicht gegen Aufschlag), so dass ein Dokument, genau wie ein "echtes Buch", etliche Male transferiert werden kann. Solange eine ausgeliehene Kopie nicht zurückkommt, wird dann keine weitere verliehen.
Besitzen Sie die Daten auf ihrer Festplatte?
Viele Computernutzer wären überrascht, wenn sie erführen, dass die Antwort auf diese Fragen größtenteils "nein" lauten muss. Ein Standardrechner wird typischerweise mit ca. 1 Gigabyte vorinstallierter Software ausgeliefert, die durch das Copyright des Händlers abgedeckt wird. Der Nutzer muss, bevor er die Software anwendet, einem Endnutzerlizenzabkommen (EULA = End User License Agreement) zustimmen, dann erhält er die entsprechende Lizenz. Eine solche Zustimmung kann explizit ausgesprochen werden oder auch stillschweigend erfolgen. Während der Nutzer des Computers rein technisch gesehen in der Lage wäre, diese Software und Daten zu kopieren, ist die rechtliche Erlaubnis in dem Lizenzabkommen und dem entsprechen Copyrightgesetz enthalten (oder auch nicht).
Viele Dateien, die man sich aus dem Internet heruntergeladen hat, unterliegen dem Copyright, auch wenn hier der Nutzer nicht ausdrücklich einer Lizenz zustimmen muss. Dokumente jeglicher Art sind von Natur aus urheberrechtlich geschützt und dürfen nur im gesetzlichen Rahmen genutzt werden, sofern es keine Beweise dafür gibt, dass das Copyright abgelaufen ist oder der Veröffentlichende explizit auf das Copyright verzichtet hat.
Die einzigen Dateien, die ein Nutzer automatisch besitzt, sind jene, deren Inhalte exklusiv vom Nutzer selbst kreiert wurden oder die der Public Domain unterliegen. Bei diesen Dateien hat der Nutzer das Recht, sie frei zu kopieren, zu modifizieren und nach eigenem Ermessen weiter zu verteilen.
Digital Rights Management verändert die Gesetze bezüglich des Copyright nicht, es bettet einfach nur die Durchsetzung bereits entstehender Rechte in Hardware und Software des Nutzers ein.
Pay Per Installation (Zahlung pro Installation)
"Pay Per Installation" ist "Pay per Instance" ähnlich, der erworbene Inhalt ist hier aber an das Zertifikat des Computers gebunden, auf dem er installiert wurde, nicht an das persönliche Zertifikat einer einzelnen Person. Jeder, der diesen Computer nutzt, ist dazu befugt, Inhalte, die an dieses Computerzertifikat gebunden sind, abzurufen. Eine Nutzung der Inhalte auf einem anderen Computer ist nicht möglich.
Diese Art von DRM wird vorrangig Anwendung bei kommerzieller Software finden, die auf einem Computer installiert ist/wurde. Vorinstallierte Software wird natürlich von vorneherein an das von der Firma vergebene Zertifikat des Computers gebunden sein. Wer Software kauft, gleichgültig, ob im Laden oder per Download im Internet, wird diese an das Zertifikat der Maschine binden, auf die die Software installiert wird. Der Kauf eines Exemplars der Software wird normalerweise dem Kunden lediglich eine einmalige Aktivierung erlauben; zusätzliche Lizenzen für andere Computer können selbstverständlich bei Bedarf gekauft werden.
Genau wie bei "Pay per Instance" kann derjenige, der das so bezahlbare Produkt anbietet, auch eine Genehmigung erteilen, das Produkt auf einen anderen Computer zu transferieren. Wenn man beispielsweise seine alte Kiste gegen die neue TurboWhiz40GHz Box austauscht, kann man die bereits erworbenen Programme auf den neuen Rechner aufspielen, indem man einen Aktivierungsprozess durchläuft, so dass die Programme auf dem alten Rechner nicht mehr genutzt werden können. Eine solche Möglichkeit kann, muss jedoch nicht gewährt werden; es kommt auf die jeweiligen Bedingungen der Lizenz an.
Pay Per View (Zahlung pro Ansicht)
Dieses Modell wurde in meiner Kindheit bei Filmen angewandt. Wer einen Film sehen wollte, lief ins Kino, warf seine 50 Cent hin (meine Kindheit ist lange her) und bekam eine Eintrittskarte, so dass man den Film einmal sehen durfte (inklusive Wochenschau, Zeichentrickfilm etc.). Wenn der Film vorbei war, wurden die Lichter wieder angeschaltet und alle hinaus gejagt. Wer den Film noch einmal sehen wollte... noch einmal 50 Cent bitte. Danke schön. Dies ist das goldene Zeitalter, von dem Mediengiganten träumen, wenn sie schlafen, während ihr Körper dabei ist, die diversen Gifte zu verarbeiten, die sie bei den letzten sybaritischen Hollywoodparties aufgenommen haben.
Wie bei "Pay per Instance" ist der Inhalt, den man sich herunterlädt, entweder an das eigene persönliche Zertifikat oder aber an das des Computers gebunden. Hinzu kommt aber, dass vorgeschrieben ist, wie oft man sich den Inhalt ansehen darf, zum Beispiel nur einmal. Statt sich jetzt bei einer Musiktauschbörse abzukämpfen, bis man den gesuchten Titel gefunden hat - noch dazu unter stetigem Angriff seitens der Musikmogule -, besucht man den favorisierten Online-Musikladen, findet den Titel, der einem schon seit Tagen durch den Kopf geht, lädt ihn für eine geringe Gebühr herunter und hört ihn sich an ... einmal. Falls man den Titel danach wieder und wieder hören oder ihn auf eine CD brennen möchte, dann zahlt man einfach ein wenig mehr und erwirbt eine "Pay per Instance"-Lizenz.
Man muss kein Album mehr kaufen, um eine oder zwei Hitsingles zu erwerben - natürlich kosten aber die Singles mehr als das "Füllmaterial". Und: Nein, man kann keine selbst gebrannte CD für Freunde kopieren, da ihr Inhalt ja an das eigene Zertifikat oder das des Rechners gebunden ist. Man kann natürlich von der CD mit den "Killertiteln" eine Kopie anfertigen, die man Freunden überlässt oder im Netz verkauft, aber derjenige, der diese Kopie erhält, muss eine Lizenzgebühr für jeden Titel zahlen, sonst ist es ihm unmöglich, diesen abzuspielen.
Achtung: "Pay per view" hat Anwendungsbereiche außerhalb der traditionellen Unterhaltungsmedien. Software, die ein Nutzer per Lizenz lediglich x-mal (das ist in der Lizenz festgelegt) starten und testen kann, ist ein Beispiel dafür. Nach diesen lizenzierten Testläufen muss der Nutzer entweder eine Lizenz für den unlimitierten Gebrauch oder für weitere Testläufe erwerben. Softwarehändler, die solche "Auslaufkopien" anbieten, sind auf der sicheren Seite, da sie speichern, welches Zertifikat mit welcher Kopie verknüpft ist, und sich weigern werden, mehr als eine Kopie an einen Nutzer zu verkaufen. Diese Anwendung des "Pay per view"-Modells schließt die Lücken, die das Sharewaremodell zu einem schwierigen Geschäftsmodell machten.
Schutz vor der Umgehung der DRM-Techniken
Frühere Versuche, das geistige Eigentum im digitalen Zeitalter zu schützen, haben lediglich zu einem Hase- und Igelspiel zwischen Urhebern und denen geführt, die sich freie, nicht kopiergeschützte Werke wünschen. Es gibt Gründe, die dafür sprechen, dass Digital Rights Management auf Basis einer Trusted-Computing-Plattform schon eine härtere Nuss darstellt, die es zu knacken gilt. Dies wird letztendlich in eine "effektiv vollständige" Sicherheit münden (so definiere ich den Punkt, an dem die Verluste, die durch das Copyright entstehen, gegenüber denen, die entstehen würden, wenn man die Kosten weiter reduziert, unbedeutend sind), so wie es auch beim digitalen Satellitenfernsehen der Fall war.
In den Vereinigten Staaten kriminalisiert der 1998 in Kraft getretene Digital Millenium Copyright Act (DMCA) das "Reverse Engineering" und die Umgehung von Kopierschutzmechanismen. Die Auslegung des DMCA führte dazu, dass selbst Informationen über die Art, das Design und die Implementierung der Kopierschutztechnik schon durch den entsprechenden Paragraphen als kriminell angesehen wurde. Betrachtet man den politischen Konsens, der hinter dem DMCA steckt, das, was für die Medienindustrie auf dem Spiel steht, und die Investitionen, die derzeit in DRM-Techniken gesteckt werden (durch Hardware- und Softwarehändler), so steht außer Frage, dass wir mit einem baldigen Einsatz eines hochsicheren Systems rechnen müssen, das all die vorgenannten Möglichkeiten der Nutzerrechte in sich vereint und nicht großflächig umgangen werden wird.
Trusted Internet Traffic (Sicherer Internettraffic)
Sobald Trusted-Computing-Plattformen, die die Rechte am geistigen Eigentum schützen, etabliert sind, kann diese Sicherheit auf das Internet an sich ausgedehnt werden. Das ARPANET, der Vorläufer des Internet, wurde entwickelt, um stark fehlertolerante Netzwerke für die Kommunikation des Militärs zu entwickeln. In solchen Netzwerken könnten alle Kommunikationslinks gesichert werden und die Identität sämtlicher Rechner im Netzwerk wäre bekannt. Im heutigen globalen Internet, dem sich jeder anschließen kann, trifft keiner dieser Bedingungen mehr zu. Viele der jetzigen Probleme im Internet sind die direkte Konsequenz.
Das sichere Internet von morgen wird in Trusted-Computing-Plattformen in Verbindung mit ISPs und Backbone Carriers implementiert sein. Heutzutage kann jeder Rechner im Internet Kontakt zu einem anderen aufnehmen und jegliches Paket, welches durch Internetprotokolle definiert wird, senden. Das bedeutet aber auch, dass jeder Rechner im Netz, sobald man ihn als für einen Angriff angreifbar deklariert hat, von Abermillionen Rechnern auf der ganzen Welt als Ziel ausgesucht und, sobald kompromittiert, für Angriffe auf andere Rechner genutzt werden kann.
Das sichere Internet wird all dies verändern. Sichere Internetclients werden alle Verbindungen von Rechnern, deren Zertifikate unbekannt sind, ablehnen (dies wird automatisch durch den ISP geschehen; ein Nutzer kann sich natürlich dafür entscheiden, Mail von Personen zu bekommen, deren Zertifikate unbekannt sind, aber sich dagegen zu entscheiden, wird sämtlichen SPAM verhindern - es liegt also am Nutzer selbst). Im sicheren Netz wird jede Anfrage mit den Zertifikaten des Nutzers und dem Rechnerzertifikat des Anfragenden markiert und diese Markierungen werden dann dem Empfänger zur Verfügung gestellt.
Login und Passwort müssen nicht mehr verifiziert werden, da das sichere Netz bereits die Identität verifiziert hat und gegebenenfalls das Micropayment-Konto mit den Zugangsgebühren und den Onlinekäufen belastet. ISPs werden Accesslogs führen, die im Falle eines "Cyberverbrechens" den Strafverfolgern zur Verfügung gestellt werden, wenn es eine entsprechende richterliche Anordnung gibt.
Zusätzlich wird das sichere Netz das geistige Eigentum all jener schützen, die an diesem Netz teilnehmen. Als Kunde bin ich dann in der Lage, mir alle Dokumente herunterzuladen - die Bedingungen hierfür bestimmt derjenige, der sie veröffentlicht, unterstützt durch das DRM. Verlage etc. können Dokumente anbieten, die neben den Zertifikaten (die den Veröffentlichenden und die Nutzungsbedingungen verifizieren) eine Signatur enthält. Sie stellt sicher, dass das Dokument nicht nach der Veröffentlichung korrumpiert wurde.
Übersetzt von Twister/Jürgen Buchmüller