Damit Ihr Produkt einzigartig bleibt

Ohne IT geht es nicht mehr. Steuerungs-, Mess- und Regelungskomponenten sind heutzutage Standard vieler Anlagen und Maschinen. Es sind nicht nur IT-Standards und die Definition von Zugriffsrechten gefragt – IT-Abteilungen müssen sich heutigentags mit einer Vielzahl von Hardware und Software-Schutzmaßnahmen auskennen, um Infrastruktur, Daten, Anwendungen und Systeme gezielt, schützen zu können. Hierzu ist zum einen die Analyse der Ausgangssituation von Nöten als auch das Wissen um Möglichkeiten und die Sensibilisierung gegenüber Produktschutz.

Erste Schritte – Beantworten Sie folgende Fragen

  • Ist Ihr Unternehmen aktuell von Produktpiraterie betroffen (Bedrohung, Produktnachahmung, Know-how-Abfluss, Produkthaftung, Markenerosion)?
  • Kennen Sie mögliche Angriffspunkte für Produktpiraterie im Bereich IT?
  • Welche IT-Maßnahmen wendet Ihr Unternehmen aktuell gegen Produktpiraterie an?
  • Wurde eine Aufwands- und Kosten-Nutzen-Analyse für das konkrete Produkt durchgeführt?
  • Gibt es Werkzeuge, Soft- und Hardware-Technologien, die die Extraktion des Know-hows unterstützen?
  • Ist ein lückenloser, unternehmensweiter Datenschutz sichergestellt?
  • Sind Hardware- und Softwaremaßnahmen aufeinander eingestimmt?

Maßnahmen

Hardwaremaßnahmen

Speicher02

  • Unterziehen Sie die eigenen Produkte Reverse-Engineering, um wirtschaftliche Aspekte und die Weiterentwicklung eigener Produkte zu fördern (Abschätzung Wert des Konkurrenzprodukts und Gewinnmargen).
  • Produkt-Teardown: Identifikation von Produkt, Package, internen Boards und Komponenten: Erschwerung, jedoch nicht Unmöglichmachung durch
    • Abändern verwendeter Beschriftungen,
    • Weglasern der Boardbeschriftungen,
    • Herstellen von Schaltungen aus undurchsichtigem Epoxidharz, Polyurethanharz oder Silikonkatchuck.
  • System-Analyse: Analyse von Funktionen, Timing und Signalpfaden der Komponenten untereinander. Piraterie-Erschwerung durch
    • Mehrschichtige Bauweise des Boards,
    • Vergießen von Schaltungen,
    • Einbau von Soft- und Hardwaresicherungen zum Verhindern eines Auslesens des Speicherelements (Sicherungsbits in Kombination mit Drahtgeflechten und reaktiven Membranen um den Chip oder ein Bauteil).
    • Sicheres Ablegen von Schlüssen bei FPGAs (z.B. Verwendung von Physical Unclonable Functions PUFs),  Verschleierung des Softwarecodes.
    • Erschweren von Seitenkanal- und Fehlerattacken (z.B. Maskierung der Daten, Dual-Rail-Technologie, eingebaute Rauschquellen).
  • Prozess-Analyse von Imitaten: Untersuchung der verwendeten Technologie (Prozessgröße, Material und Aufbau eines Chips), Schutz gegen die Prozess-Analyse der Originalprodukte gibt es nicht.
  • Schaltkreis-Extraktion: Rekonstruktion der chipinternen Schaltung

Softwaremaßnahmen

Schloss

Produktschutz und IT-Schutz bedingen sich gegenseitig.

  • Nachweis und rechtliches Vorgehen bei einer Code-Kopie möglich
  • Verwendung von Kopier-Schutz und Anti-Reverse-Engineering Software
  • Verwendung von Obfuskatoren zur Verschleierung von Softwarecode
  • Verwendung von kryptografischen Verschlüsselungs- und Kompressionsverfahren in Verbindung mit Hardwareschutzmaßnahmen
  • Kombination von Hard- und Softwareschutz

Ein wirksamer Softwareschutz kann nur in Zusammenklang mit Hardwareschutz funktionieren (z.B. kryptographische Absicherung der Software in einem Hardwarebaustein). Erschwerung der Re-Programmierung durch die Verwendung

  • eines Dongle,
  • eines Secure Memory Device,
  • Trusted Platform Moduls (TPM),
  • oder eines Spezialbausteins (ASICs).

Weitere Informationstechnische Schutzmaßnahmen

  • Kryptographie: Verschlüsselung von Dokumenten, die das Unternehmen verlassen
  • Regelmäßiges „Säubern“ von Rechnern, Datenträgern, Laufwerken etc.
  • Überwachung von Löschungs- und Vernichtungsvorgängen
  • Schutz eingebetteter Software
  • Produktaktivierungscodes
  • Schaffen sicherer Kommunikationswege
  • Kopierschutz (verschlüsselte Treiber…)
  • Selbstzerstörungsmechanismen
  • Biometrische Zugangskontrollen im Unternehmen
  • Einhaltung von Netzsicherheit und Verwendung von Frühwarnsystemen
  • Einhaltung datenschutzrechtlicher Bestimmungen
  • Erkennung und Abwehr von Schadsoftware und Angriffen
  • Personal Area Networks
  • Verwendung von Embedded Software
  • Verschlüsselung von Dokumenten
  • Verfremdung von CAD-Modellen
  • Kommunikationsleitfäden
  • Klassifikation von Daten und Ressourcen sowie Vergabe von
  • Nutzungs-/Zugriffsrechten auf diese
  • Gestaltungs- und Verhaltensregeln für Passwörter
  • Regelmäßige Updates der Schutzsoftware