Aktuell in CR

Die Überprüfung von Software auf sicherheitsrelevante Fehler (Hoeren/Pinelli, CR 2019, 410 ff.)

Ausgehend von dem Interesse des Nutzers an der Sicherheit erworbener Software und zu deren Überprüfung (I.) untersucht der Beitrag, ob und inwieweit eine sorgfältige Analyse von Software auf sicherheitsrelevante Mängel nach Urheberrecht (II.), nach dem Recht für Geschäftsgeheimnisse (III.) und nach dem Patentrecht (IV.) zulässig sind.

Eine erste Analyse nach Urheberrecht, Geschäftsgeheimnisgesetz und Patentrecht

 

Inhaltsverzeichnis:

I. Ausgangslage

II. Schutz von Computerprogrammen nach §§ 69a ff. UrhG

1. Umfang

2. Zustimmungspflichtige Maßnahmen

a) Reproduktion des Programms
b) Änderung des Programms

3. Zustimmung des Urheberrechtsinhabers

4. Bestimmungsgemäßer Gebrauch gem. § 69d Abs. 1 UrhG

a) Legitimität
b) Bestimmungsgemäßer Gebrauch

5. Beobachtung, Prüfung und Untersuchung nach § 69d Abs. 3 UrhG

6. Zulässige Dekompilierung nach § 69e UrhG

7. Umgehung technischer Schutzmaßnahmen

III. Schutz nach GeschGehG

1. Konzept des Geschäftsgeheimnisses

2. Schutzumfang

3. Barriere des Reverse Engineering

IV. Schutz von Software nach dem Patentrecht

V. Fazit

  


 

I. Ausgangslage

[1] Regelmäßig ist es im Interesse von Nutzern komplexer softwaregestützter Produkte, die in ihrer Branche zum Einsatz kommende Software zu unterschiedlichen Zwecken zu testen. Vor dem Hintergrund hochkomplexer Softwareentwicklungen, die unterschiedlichste Software miteinander kombinieren, mitunter Echtzeitdaten verarbeiten und den Nutzer von software- softwaregestützten gestützten Produkten bei deren Handhabung teilweise oder vollumfänglich anleiten (können), spielt insbesondere die Gewährung von Produktqualität in Gestalt von Sicherheit eine gewichtige Rolle. Gerade in den aktuellen Diskussionen um Cybersecurity‑, sonstige IT-Sicherheits- und Datenschutz-Vorfälle zeigt sich, wie wichtig es ist dafür zu sorgen, dass frühzeitig Erkenntnisse über die Eigenschaften und Funktionen von Software mit Blick auf IT-Sicherheit vorliegen und zweckentsprechend genutzt werden können. Die nachstehenden Ausführungen gehen auf die urheber‑, patentrechtlichen und geschäftsgeheimnisrelevanten Rahmenbedingungen von Softwareuntersuchungen ein, die nicht Open Source Software zum Gegenstand haben. Die Bewertung von Softwareuntersuchungen in strafrechtlicher Hinsicht ist ebenfalls nicht Gegenstand dieses Beitrages, wobei gleichwohl darauf hinzuweisen ist, dass strafrechtliche Implikationen im Einzelfall durchaus zu beachten sind.

[2] Ziel von Softwareuntersuchungen kann es somit sein zu ermitteln, inwieweit die gelieferte Software gesetzliche Anforderungen erfüllt, den vereinbarten Vorgaben (Eigenschaften und Funktionen) des Käufers bzw. Bestellers entspricht und (unverbindliche) Leitlinien von Behörden und anderen Institutionen befolgt. Im Rahmen der Untersuchungen kann eine ganze Bandbreite an Maßnahmen in Betracht kommen:

[3] Bei der Überwachung und Systemüberwachung soll die Kommunikation von Software zu Software beziehungsweise von Software zu Hardware zwecks Prüfung „abgefangen“ werden. 1  Weiterhin wird der Programmablauf bei Eingabe verschiedener Befehle untersucht, ohne dass dabei aber ein Zugriff auf interne Softwarestrukturen erfolgt (sog. Black Box Testing  2 ). Im Zuge der Untersuchungen werden durchaus Debugger  3 , Line-Tracing-Tools, Speicherabzüge und ähnliche Analysetools eingesetzt sowie Last- und Stresstests durchgeführt. Durch Penetration Testing, also das beauftragte professionelle „auf den Prüfstand stellen“ der Sicherheit von IT-Systemen sollen etwaige Sicherheitsschwachstellen erkannt werden. Zu den Untersuchungsmaßnahmen können weiterhin die Manipulation und Erweiterung des Quellcodes zählen, etwa in Form eines dekompilierten Codes und Binärcodes. Darüber hinaus können einzelne Softwarekomponenten untersucht werden oder die Software durch Dekompilierung analysiert werden. Teilweise kann für die technische Prüfung auch eine Umgehung technischer Schutzmaßnahmen erforderlich sein.

[4] Beschränkungen oder Verbote solcher Inspektionsmaßnahmen könnten sich insbesondere aus den Vorschriften zum Schutz von Computerprogrammen ergeben (§§ 69a ff. UrhG). Darüber hinaus könnten das Patentrecht (PatG) und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), welches die EU‑Richtlinie 2016/943 umsetzt, weitere Einschränkungen enthalten. Das Verhältnis der Schutzsysteme im Einzelnen muss (...)

 

Hier direkt weiterlesen im juris PartnerModul IT-Recht


Verlag Dr. Otto Schmidt vom 14.06.2019 17:33

zurück zur vorherigen Seite