Lizenzierung in der Cloud

Kurz nach der Jahrtausendwende war das Thema ASP (Application Service Providing) der Hype schlechthin. „Die Kunden werden in der Zukunft die Software nicht mehr kaufen und downloaden, sondern online mieten.“ Die Software, zum Beispiel ein Microsoft Office, läuft auf einem Terminal Server und der Kunde hat nur einen Client, mit dem er die Software bedient. Durchgesetzt hatte sich das Ganze nie. Eine wesentliche Rolle spielten dabei das Vertrauen in die Sicherheit der Daten des Anwenders, die Verfügbarkeit des Dienstes und die unklare Situation, um die Lizenzierung der Software gegenüber dem Softwarehersteller. Nun kehrt das Ganze unter dem Namen Cloud Computing zurück – und sowohl die Zeit als auch die Technik sind reif dafür.

Wer nutzt die Cloud?

Die Cloud ist alles, was online ist, und umfasst Software und Dienstleistungen. Die Cloud ist also deutlich mehr als nur Application Service Providing. Die Beteiligten an der Cloud kann man in die folgenden Gruppen unterteilen:

• Infrastructure Vendor: Er bietet die Hardware (und die Betriebssystemsoftware) in der Cloud an. Er ist für Verfügbarkeit und Backup zuständig.
• Service Vendor: Er bietet die Software oder den Dienst an. Er ist für seine eigene Anwendung zuständig.
• Corporate User: Er nutzt geschäftlich Infrastruktur, Software und Dienste in der Cloud. Er hat eine besondere Stellung, da er auch selbst Software in die Cloud installiert und die Zugänge der eigenen Mitarbeiter verwaltet.
• Private User: Er nutzt die Cloud privat. Er konsumiert Software und Dienste und nutzt die Cloud im Wesentlichen als Datenspeicher oder zum Zocken mit Online-Spielen.

Der klassische Application Service Provider, der eine Fremdsoftware (z.B. Microsoft Office) für andere zur Verfügung stellt, ist heute kaum noch zu finden. Von seiner Stellung ähnelt er aber dem Corporate User, der auch fremde Software in der Cloud betreibt.
Software Vendor: Er ist eigentlich gar nicht in der Cloud unterwegs. Der Corporate User und der Application Service Provider möchten seine Software in der Cloud nutzen.

Was ist die Cloud?

In der Cloud findet man die folgenden Arten von Dienstleitungen: 

• Infrastructure as a Service (IaaS): Der Infrastructure Vendor bietet ein Grundgerüst (nur Hardware oder Hardware und Betriebssystem) an. In der Regel mietet ein Corporate User die Infrastruktur (einen virtuellen Rechner). Er installiert und verteilt seine Programme (beliebige Software eines beliebigen Software Vendors) selbst auf diesen Rechner und startet die Instanzen. Ein Beispiel ist hier das Amazon Rechenzentrum.
• Software as a Service (SaaS): Der Service Vendor betreibt die eigenen Software und den eigenen Dienst selbst in der Cloud. Er ist selber Infrastructure Vendor oder kauft diese Leistung ein. Corporate User und Private User konsumieren seine Angebote online. Beispiele sind hier Google Maps, oder das CRM-System Sales Force.
• Platform as a Service (PaaS): Dieses Angebot ist analog zu SaaS, aber der Service Vendor bietet dem zumeist Corporate User die Möglichkeit die Geschäftslogik selbst zu definieren. Andere Anbieter können die Funktionalität erweitern. Das CRM-System Sales Force zählt neben SaaS auch zu dieser Gruppe.
• Webspace: Der Infrastructure Vendor bietet dem Private User die Möglichkeit, seine Daten in der Wolke zu speichern. Beispiele sind das PlayStation Network (PSN) von Sony, bei dem der Spieler seine Spielstände online speichern kann und die Telekom Cloud.

Schutzinteressen der Anbieter

Egal, ob Sie an die Daten des Private Users im Webspace denken oder die Umsatzzahlen in einer gehosteten ERP-Anwendung: die Sicherheit ist ein wesentlicher Punkt. Aktuell jagt eine Hiobsbotschaft die andere: vom Diebstahl von Millionen von Nutzerdaten bei Sony bis zur Ausspähung von Kundendaten an einem Online-Gewinnspiel eines Versandhauses. Wer möchte was in der der Cloud schützen und wie kann Wibu-Systems dabei helfen?

Der Infrastructure Vendor hat das Interesse, den physischen Zugang zu seinem Rechenzentrum zu schützen.

Die Schutzinteressen des Service Vendors sind abhängig von seinem Geschäftsmodell. Einige Service Vendors bieten ihre Dienste kostenlos an und verdienen das Geld über Werbung. Andere verkaufen Zugänge und rechnen pro Zugang und Zeiteinheit ab. Dann ist der Zugang das schützenswerte Gut. Indirekt hat er ein Interesse am Schutz der Daten auf seinem Server, um die Akzeptanz bei seinem Kunden zu erhöhen. Das Schutzinteresse des Private Users ist klar gefasst. Er möchte seine Zugangsdaten gegen Missbrauch schützen und seine Daten in der Cloud sicher geschützt wissen. Der Corporate User möchte, wie auch der Private User, seine Zugänge und seine Daten in der Cloud sicher verwahren.
Für diese Fälle bietet Wibu-Systems den CodeMeter Passwort Manager, CodeMeter Identity, eine PKCS#11 Middleware und ein mächtiges Verschlüsselungs-API an. Der Passwort Manager ermöglicht es dem Anwender, egal ob Private oder Corporate User, lange und gute Passworte zur wählen und diese sicher im CmDongle zu verwahren. CodeMeter Identity und das Verschlüsselungs-API bieten dem Service Vendor die Möglichkeit, die Sicherheit individuell in seine Lösung zu integrieren. Die PKCS#11 Middleware macht aus einem CmDongle ein Standardtoken und integriert sich so in die bereits vorhandene Architektur beim Corporate User.

Schutz und Lizenzierung für den Software Vendor

Der Software Vendor ist in der Cloud unterwegs, ohne es ursprünglich zu wollen. Application Service Provider und Corporate User stellen seine Software in der Cloud den eigenen Anwendern oder ihren Kunden zur Verfügung.
Hier bestehen gleich zwei Anforderungen auf einmal:

• Die Software soll nicht einmal verkauft und unendlich oft verwendet werden können.
• Die Lizenzierung der Software ist schwierig, da eine Bindung an einen Rechner oder einen Dongle der Philosophie der Cloud widerspricht. Es gibt nicht „den einen Rechner“, auf dem die Software läuft. Der Infrastructure Vendor kann die verwendete Hardware im Betrieb ohne Vorankündigung ändern, bzw. den Service auf eine andere Hardware umziehen.

Hier beginnt der Punkt, an dem der Software Vendor neue Wege beschreiten kann und muss. Eine Option ist die Umstellung auf ein
Pay-Per-Use Modell.

Was bedeutet dies für den Software Vendor? Er erzeugt mit Hilfe von Wibu-Systeme eine spezielle Cloud-ready Version seiner Software. Diese läuft immer und überall, aber sie verarbeitet die eingegebenen Daten nur im Rahmen einer gegebenen Lizenz. Dies wird vom Software Vendor über das CodeMeter-API in die Anwendung integriert.

Aber ist dies nicht unsicher? „Wenn die Software überall und immer läuft, kann ich dann die Software nicht so ändern, dass Sie ohne Lizenz läuft? Bisher war mir als Softwarehersteller der Schutz durch den AxProtector sehr wichtig.“ Auch hier müssen Sie auf den AxProtector nicht verzichten, ganz im Gegenteil: er ist wesentlicher Bestandteil des Schutzkonzeptes. Die Cloud-ready Version Ihrer Software wird mit dem AxProtector verschlüsselt, damit die Überprüfung der Lizenz per API nicht gefunden und manipuliert werden kann. Über eine spezielle ungebundene CmAct License können Sie sicherstellen, dass Ihre Software überall und sofort läuft, also auch auf jeden Rechner in der Cloud, und trotzdem sicher gegen Reverse Engineering und Manipulation geschützt ist.

Wie funktioniert die Lizenzierung anhand der eingegebenen Daten? Der Anwender hat seine Daten zuerst lokal. Hier hat er auch seine gekaufte Lizenz, bzw. seine gekauften Pay-Per-Use-Einheiten. Über einen speziellen lokalen Client das Software Vendors werden die Daten mittels der Lizenz signiert. Dies kann nur der Inhaber der Lizenz machen, da der private Schlüssel für die Signatur sicher im CmDongle oder einer CmAct License gespeichert ist. Wesentlich dabei ist, dass der Client dabei abhängig von den Daten die Pay-Per-Use-Einheiten abrechnet.
Sie haben gar keine Daten, die vorher lokal sind und hochgeladen werden? Auch dies ist kein Problem. Unser Professional Services Team unterstützt Sie gerne bei einer individuellen Implementierung.

Die Cloud-ready Version Ihrer Software überprüft beim Starten die Signatur der Daten. Ist diese gültig, dann führt Ihre Software die entsprechende Aktion aus, oder verwendet die eingegeben Daten für die Berechnung. Durch den Schutz mit dem AxProtector ist eine Manipulation der Software ausgeschlossen. In der Software ist nur der öffentliche Schlüssel zur Überprüfung der Signatur. D.h. ein extrahieren dieses Schlüssels reicht nicht aus, um selbst eine gültige Signatur zu erzeugen.

Wibu-Systems unterstützt Sie gerne bei der Erstellung eines individuellen Schutzkonzeptes für die Cloud-ready Version Ihrer Software.

Ein Wort zum Schluss

Die Cloud steht für alles, was nicht lokal auf dem eigenen Rechner läuft. Der Vorteil für den Anwender besteht darin, dass er keine Kosten in die Anschaffung und die Wartung von lokaler Rechenpower investieren muss, sondern in der Cloud das nutzt und bezahlt, was er aktuell benötigt und dies überall nutzen kann.

Überträgt man dies auf die Software, bedeutet dies das Umstellen der Abrechnung auf ein Pay-Per-Use-Modell. CodeMeter bietet Ihnen ein Framework, mit dem dies einfach und individuell realisiert werden kann. Ein CmDongle oder eine CmAct License kann mehrere tausend Zähler fassen und ermöglicht damit fein granulare Abrechnungen in der Cloud.

Cloud Computing bringt hervorragende Chancen, wenn die Sicherheitsanforderungen gelöst werden. Wir arbeiten an Standardlösungen für die Cloud, auch in Forschungsprojekten wie S4Cloud und MimoSecco mit Forschungseinrichtungen und anderen Unternehmen. Wie sind Ihre Anforderungen in der Cloud? Sprechen Sie mit uns und lassen Sie uns gemeinsam Ihre Lösung realisieren. 

Wir sind bereit für die Cloud!

 

KEYnote 22 – Herbstausgabe 2011