Erinnerst du dich noch an 2023, als Hacker eine bösartige Anti-Reparatursoftware in polnischen Zügen aufdeckten – und sogar behoben haben? Jetzt kommt’s dicke: Der Hersteller, Newag, legt noch eine Schippe drauf.
Im vergangenen Monat wurden erneut drei Züge in Polen gesperrt. Newag weigerte sich zunächst, sie zu entsperren, lenkte aber schließlich ein. Doch das war erst der Anfang. Inzwischen hat Newag sowohl das Reparaturunternehmen SPS verklagt, das die ursprünglichen Züge reparierte, als auch einzelne Mitglieder der ethischen Hackergruppe Dragon Sector, die die Software analysierten und die Anti-Reparatur-Maßnahmen aufdeckten. Insgesamt fordern die beiden Klagen über drei Millionen US-Dollar Schadensersatz.
Aber der Reihe nach.
Reparatur durch Dritte versucht? Hier kommt die Sperre
Bereits 2022 wurde Dragon Sector von der Werkstatt Serwis Pojazdów Szynowych (SPS) hinzugezogen, weil einige Züge den Betrieb verweigerten. Die Analyse der Software brachte Erschreckendes zutage: Ein Code-Schnipsel deaktivierte Züge, sobald sie sich in der Nähe einer nicht von Newag autorisierten Werkstatt befanden. Die Erkennung basierte allerdings auf ziemlich unzuverlässigen Methoden – mit absurden Konsequenzen.
Die ursprüngliche Version des Sperrmechanismus zählte offenbar die Tage, die ein Zug außer Betrieb stand. Nach zehn Tagen Stillstand wurde er automatisch gesperrt.
Als die ersten Züge bei SPS gesperrt wurden, schob Newag die Schuld auf vermeintliche Reparaturfehler.
Doch wenige Wochen später blieben zwei weitere Züge stehen, obwohl sie SPS nie erreicht hatten. Die Symptome waren identisch. Das Team um Michał Kowalczyk von Dragon Sector wurde stutzig. Offensichtlich hatte das Ganze System.
Die beiden Züge wurden anschließend von Newag repariert, ohne preiszugeben, was sie eigentlich behoben hatten. Bei der anschließenden Analyse entdeckte das Team von Dragon Sector, dass das Sperrsystem auf 21 statt zehn Tage aktualisiert worden war.
Und es wird noch absurder. Es wurde zusätzlich auch eine GPS-Komponente ergänzt, die prüfen sollte, ob sich Züge in der Nähe bekannter Werkstattstandorte befanden, bevor die Züge deaktiviert werden. Doch auch diese Maßnahme ging nach hinten los. Newag liefert für jede produzierte „Charge“ leicht unterschiedliche Software aus, sodass jede Gesellschaft praktisch unterschiedliche Züge erhält. Eine Charge des 45WE-Triebwagens (ein elektrischer Triebwagen ohne separate Lokomotive) schaltete sich jedes Mal automatisch ab, wenn er durch den Bahnhof Mińsk Mazowiecki fuhr. Züge voller Fahrgäste blieben einfach auf der Strecke stehen.
Du ahnst sicher, was dann passierte. Newag leugnete nicht nur, eine solche Software hinzugefügt zu haben, sondern behauptete, sie sei von Hackern eingefügt worden – mit der Andeutung, diese Hacker hätten im Auftrag eines Konkurrenzunternehmens gehandelt.
Dabei ging es wohl um ziemlich viel Geld: Laut Kowalczyk verlangte Newag in der Vergangenheit rund 25.000 Euro pro Entsperrung. Das allein ist schon eine ordentliche Summe, doch womöglich sollte zudem noch der gesamte Markt rund um die Impuls-Züge – ein Segment im Wert von etwa 40 Millionen Dollar jährlich – monopolisiert werden. Vergleichbar wäre das mit einer SIM-Sperre bei Handys, nur auf Schienen: Stell dir vor, du müsstest dafür bezahlen, dein Handy vom Netzbetreiber entsperren zu lassen.
Sind solche Software-Sperren überhaupt legal?
In den USA haben Unternehmen wie der Traktorhersteller John Deere den Digital Millennium Copyright Act (DMCA) genutzt, um unabhängige Werkstätten zu bedrohen. Hersteller bauen Schutzmaßnahmen in ihre Software ein und klagen unter dem DMCA, der das Umgehen solcher Schutzmaßnahmen illegal macht. Der DMCA sollte ursprünglich das Kopieren von Filmen und Musik verhindern, ging aber weit darüber hinaus.
Wer Schutzmaßnahmen in der Software umgeht, kann mit bis zu 500.000 Dollar Strafe oder fünf Jahren Haft belangt werden, oder beidem – pro Verstoß. Du kannst dir also vorstellen, warum das ein so mächtiges Instrument ist, um große und kleine Reparaturbetriebe mundtot zu machen.
Aber wir haben in den letzten zehn Jahren hart dafür gekämpft, dass Reparaturarbeiten ausgenommen werden, und wir hatten einige Erfolge. Gemeinsam mit unseren Freunden von Public Knowledge haben wir Ausnahmen vom DMCA für alle Arten von Handys und McFlurry-Maschinen durchgesetzt. Trotzdem ignorieren viele Hersteller weiterhin unser geltendes Recht auf die Reparatur derr Produkte, die wir gekauft haben und die uns gehören, was man etwa anhand der weiterhin existierenden illegalen „Garantie erlischt bei Entfernen“-Aufkleber beobachten kann.
In der EU ist die Lage glücklicherweise erfreulicher. Mehrere Urteile des Europäischen Gerichtshofs (EuGH) entschieden zugunsten von Reverse Engineering gegenüber dem Urheberrecht. Eines dieser Urteile besagt explizit, dass das Dekompilieren von Software zum Auffinden und Beheben von Fehlern nicht das Urheberrecht verletzt. Ein anderes Urteil gegen Sony legitimierte sogar Eingriffe von Drittanbieter-Apps in den laufenden Spielcode einer PlayStation Portable.
Wenn du dir einige der oben genannten EuGH-Urteile durchliest, stellst du fest, dass sie weniger eindeutig sind, ob die Änderung von Software ebenfalls gedeckt ist. Ein anderer polnischer Betreiber, Koleje Mazowieckie, umging diese Frage komplett, indem er einfach den GPS-Empfänger abklemmte. Das beweist zumindest, dass selbst die raffiniertesten digitalen Sperren noch durch ein gutes altmodisches analoges Schlupfloch überwunden werden können.
Das bringt uns zurück in die Gegenwart. Newag verklagt SPS sowie Michał, Sergiusz und Jakub, den drei Mitgliedern von Dragon Sector, die die Anti-Reparaturmaßnahmen aufgedeckt hatten.
Das Zugunternehmen klagt. Haben sie eine Chance?
Vor dem Warschauer Gericht fordert das Unternehmen rund 1,7 Millionen US-Dollar wegen Urheberrechtsverletzung und unlauterem Wettbewerb. In Gdańsk geht es um weitere 1,36 Millionen Dollar, wegen Verletzung der Persönlichkeitsrechte und erneutem Wettbewerbsverstoß.
Ob das juristisch Bestand hat? Die EU-Gesetze legen nahe, dass Software-Analysen zu Diagnosezwecken erlaubt sind.
Die Argumentation von Newag klingt dagegen eher widersprüchlich: Einerseits wird behauptet, Dragon Sector habe die Software verändert und damit die Sicherheit der Passagiere gefährdet. Andererseits bestreitet Newag, dass Dragon Sector Fehler behoben hätte, denn sie hätten die Software überhaupt nicht verändert. Sie führen an, EU-Recht erlaube Reverse Engineering von Software nur zur Fehlerbehebung. Und wenn Dragon Sector die Software nicht tatsächlich modifizierte, kann es keine Fehler behoben haben, wodurch ihr Reverse Engineering illegal gewesen sein muss.
Ich bin kein Anwalt und gebe mich im Internet auch nicht als solcher aus, aber das scheint mir doch widersprüchlicher Unsinn zu sein. Wenn man sich die Gerichtsakten ansieht, scheint es hier eher um eine Einschüchterungstaktik von Newag zu gehen. Denn warum sollte man sonst die Personen verklagen, die lediglich analysiert und öffentlich gemacht haben, was im Inneren dieser Software vor sich geht?
Dieser Fall zeigt, wie wichtig Regulierung und Gesetzgebung für den Schutz der Verbraucher sind, egal ob es sich um Einzelpersonen wie uns handelt oder um Unternehmen, die gezwungen werden, einigen ziemlich absurden Forderungen nachzukommen. Tatsächlich sind die Unternehmen hier am wichtigsten. Wenn du dein Auto hackst, damit du es selbst reparieren kannst, wird das niemand bemerken. Aber wenn deine örtliche Werkstatt dasselbe versucht, vielleicht um Ersatzteile von Drittanbietern zu verwenden, kann diese Art von Schikane sogar dazu führen, dass sie geschlossen werden muss.
Europa ist in dieser Hinsicht alles andere als perfekt. Auch hier gibt es überzogene Urheberrechtsgesetze, doch insgesamt steht die EU deutlich verbraucherfreundlicher da als die USA. Unterdessen kämpft iFixit weiter für das Recht auf Reparatur, das sich langsam auf der ganzen Welt durchsetzt und Staat für Staat, Land für Land in Gesetze gegossen wird. Ohne den Schutz besserer Gesetze bleibt Großkonzernen wie Newag weiterhin Tür und Tor geöffnet, um mit fragwürdigen Methoden möglichst viel Geld aus uns herauszupressen.
0 Kommentare