Die Manager von Siemens und Thyssen Krupp staunten nicht schlecht, als China Anfang dieses Jahres eine eigene Magnetschwebebahn vorstellte. Ministerpräsident Edmund Stoiber sagte, das rieche nach Technologieklau. Neben diesem spektakulären Fall gehen andere Produktpiraterien unter. So beziffert der Verband Deutscher Maschinen- und Anlagenbau (VDMA) den jährlichen Schaden für deutsche Maschinenbauer durch Plagiate auf rund 4,5 Milliarden Euro. In einer Umfrage des VDMA gaben zwei Drittel der Befragten an, von Nachbauten betroffen zu sein. Auf bis zu fünf Prozent vom Umsatz beläuft sich der Schaden bei einem knappen Drittel aller befragten Firmen. Eine Wende scheint in weiter Ferne.
Der juristische Weg dauert zu lang, und politischer Druck wirkt zu spät. Viele Unternehmen sind sich allerdings der Gefahren nicht bewusst. Erst wenn sie eine Maschine als Kopie auf einer Ausstellung oder im Internet finden, steigt der Leidensdruck schlagartig. „Doch meist gehen sie konventionell gegen Nachbauten vor. Sie klappern auf Messen die Stände nach Plagiaten ab“, sagt Manfred Broy, Professor für Software und Systems Engineering an der Technischen Universität München (TUM). „Das macht wenig Sinn.“
Broy ist einer der fünf Autoren der Studie, die erstmals Ansätze gegen Produktpiraterie untersucht hat. Der vom Bundesministerium für Forschung und Bildung geförderte Bericht „Handlungsspielräume der produzierenden Industrie gegen Produktpiraterie“ wurde von der TUM und dem Forschungszentrum Karlsruhe erstellt. Dabei untersuchten die Autoren insbesondere, welchen Beitrag die IT dabei leisten kann.
Unternehmen hinken hinterher
Zu den untersuchten Bereichen gegen den Nachbau gehörte unter anderem die gesamte Lieferkette. Firmen sollten sie verbessern, beschleunigen und lückenlos überwachen, um die Daten über den ganzen Prozess abzusichern. Zudem können sich Unternehmen besser schützen, indem sie mechanische und elektronische Teile in eine Black-Box untrennbar integrieren. Guten Schutz bieten auch Verfahren, bei denen sich Bauteile durch IT gegenseitig identifizieren. Erkennen die Bausteine einander, läuft die Maschine optimal. Andernfalls bringen sie nur verminderte Leistung oder laufen gar nicht. Weitere Möglickeiten sind: RFID-Chips auf Bauteilen, Authentifizierungssysteme für Beteiligte und Tracking-und-Tracing-Verfahren, um Maschinen zu verfolgen. „Es gibt viel mehr technische Möglichkeiten, als wir dachten“, resümiert Broy. „Allerdings haben Unternehmen bisher nur wenige umgesetzt.“
Dass es schon ausreichend Sicherheitstechniken gibt, dem stimmt CIO Michael Kranz vom Abfüll- und Verpackungsmaschinenhersteller Krones aus Neutraubling bei Regensburg zu. „Das Problem ist aber, dass sie erst einmal in neuen Anwendungsfeldern getestet und eingesetzt werden müssen.“ Daran hapert es aber noch. So hält es Kranz zwar für eine clevere Idee, wenn sich Bauteile gegenseitig erkennen. „Darüber haben wir nachgedacht. Aber die Kunden müssen erst von dem damit einhergehenden Qualitätsgewinn überzeugt werden“, sagt der CIO. Denn Kunden fürchten eine zu große Abhängigkeit, wenn sie alles nur von einem Lieferanten kaufen. Zwar kann der Kunde komplexe Maschinen wie Abfüllanlagen meist nur aus einer Hand anschaffen. Um aber nicht zu sehr am Haken des Lieferanten zu hängen und um Geld zu sparen, kaufen sie Ersatzteile und Services oft bei anderen Unternehmen ein.
Auch Krones wurde schon Opfer von Produktpiraterie. Kürzlich tauchte in China den Nachbau einer Etikettiermaschine aus dem Einstiegssegment auf. Selbst das Firmenlogo war gefälscht. Deshalb will Kranz im nächsten Jahr als einen Schritt zu mehr Sicherheit verstärkt das Thema Digital Rights Management (DRM) angehen, damit Informationen über Innovationen nicht unkontrolliert verbreitet werden können.
IT-Sicherheit allein reicht nicht
Allerdings sind CIOs nicht für die Entwicklung von Embedded Software oder RFID-Chips auf Bauteilen zuständig. Das erledigen meist die Forschungs- und Entwicklungsabteilungen (F+E). Diese Trennung hält Rainer Glatz, Leiter Informatik beim VDMA, für überholt. „Um sich besser zu schützen, müssen Firmen immer stärker Automatisierungstechniken wie Embedded Systems und Sensorik in Maschinen einbauen. Dafür müssen IT und Elektrotechnik zusammenwachsen.“ Unternehmen müssten weg von der reinen Sicht auf Sicherheitstechnik und hin zu einer Sicherheitsstrategie kommen. Eine VDMA-Studie ergab allerdings, das sich gerade im Maschinenbau die Chief Security Officers nur auf die IT-Sicherheit beschränken. Wissensschutz und Produktsicherheit haben sie kaum im Fokus.
Krones hat den Plagiatschutz deshalb auf höchster Ebene angesiedelt. Ein Vorstand verantwortet dort den Bereich Life-Cycle-Services. Damit soll die übergreifende Zusammenarbeit zwischen den Abteilungen verstärkt werden. So gibt es bereits heute jede Menge Schnittstellen zwischen IT und F+E. Beispielsweise laufen Teleservices für Ferndiagnose und Hilfe über das Netzwerk, Produktionsdaten fließen in das SAPSystem, und Mitarbeiterzugänge sind mit Authentifizierungsfunktionen versehen. „Die interdisziplinäre
Arbeit scheitert oft noch daran, dass sich Konstrukteure nicht vorstellen können, wie sich Sicherheitslösungen über Software regeln lassen“, berichtet Kranz.
Viele Unternehmen hält jedoch der hohe Organisationsaufwand für einen integrativen Plagiatschutz ab. „Viele der in der Studie angesprochen Dinge sind technisch machbar. Doch müssen Firmen eine neue Organisation und Systematik aufsetzen. Und das ist aufwändig“, sagt Broy.
Einen starken Schutz erzielen Unternehmen schon, wenn sie mit RFID, digitalen Tags und Kryptologie ihre Produkte versehen und so ihre Waren authentifizieren können. Nur: Waren mit Tags zu versehen ist eine Sache. Die andere Sache ist es, den gesamten Vertriebsprozess so auszurichten, dass die Tags zu jedem Zeitpunkt verfolgt und überprüft werden können. Broy räumt deshalb ein: „Infrastruktur wie Systematik und Organisation lassen sich zwar umsetzen. Im großen Stil ist das allerdings noch nicht erprobt worden.“
Je komplexer, desto besser
Doch es gibt bereits praxistaugliche Wege gegen Nachbauten. So berichtete eine Brauerei auf einem Hearing an der TUM, was für sie derzeit der beste Schutz gegen Plagiate sei: Je mehr eingebettete Software in den Maschinenteilen stecke, umso weniger haben Plagiatoren die Chance, sie nachzubauen.
Für weniger komplexe Teile sollten Firmen eine Infrastruktur aufbauen und Bauteile mit Tags versehen, rät Broy. Diese Tags sollten mit in die eingebetteten Systeme integriert werden. So gelingt es, dass sich die Bauteile gegenseitig authentifizieren. Embedded Systems bieten noch weitere Schutzmöglichkeiten. Sie setzen sich aus Einzelsystemen zusammen, die über Bus-Systeme miteinander kommunizieren. Wenn solche Systeme starten, fahren sie sich im Initialisierungsverfahren gegenseitig hoch. In diese Hochfahrrunde kann man stärker Verschlüsselungsverfahren einbauen. So ließe sich das Hochfahr-Protokoll schwerer oder gar nicht nachbauen. Aber auch hier hapert die Umsetzung. „Die Grundlagen dafür sind erforscht. Wie man das ans Laufen bringt, da gibt es noch was zu tun“, sagt Broy.
Der Wissensbedarf bei CIOs über die praktische Umsetzung von Techniken, Infrastrukturen und Organisationen ist groß. Deswegen hat das Bundesforschungsministerium einen weiteren Forschungsauftrag ausgeschrieben. Broy hält es darüber hinaus für ratsam, jetzt in die angewandte Forschung überzugehen. Zusammen mit einem Unternehmen muss in der Praxis herausgefunden werden, welche die besten Wege gegen Produktpiraterie sind.