Technisch-präventive Lösungen unterstützen Hersteller bei dem Schutz gegen Piraterie und Manipulation und helfen die Anforderungen des Medizinproduktegesetzes zu erfüllen.

Heutzutage nimmt auch die Softwareentwicklung bei Herstellern der Medizintechnik einen wichtigen Teil ein. Ganz grob lässt sich dabei die Software unterteilen in: reine Softwarelösungen, beispielsweise zur Krankenhausverwaltung oder Bildverarbeitung, oder Software in den Geräten, die deren Funktionsweise definiert. Hat die Software die Marktreife erlangt, stellen sich die Hersteller die Fragen: Wie kann das Know-how in der Software vor Piraterie und Manipulation geschützt werden? Wie kann ein Hersteller mittels Software-Monetarisierung den geplanten Umsatz erzielen oder sogar steigern, am besten noch zugeschnitten auf die individuellen Kundenwünsche? Und speziell für Medizingeräte: Wie werden die Anforderungen des Medizinproduktegesetzes (MPG) erfüllt? Am Beispiel der CodeMeter-Technologie wird aufgezeigt, wie eine Lösung für die unterschiedlichen Anforderungen genutzt werden kann.
Die Schutztechnologie CodeMeter von Wibu-Systems löst diese Fragen. CodeMeter basiert auf Kryptografie und wurde so entwickelt, dass jeder Hersteller sein Know-how schützen und Software-Monetarisierung umsetzen kann. Darüber hinaus beraten die Experten von Wibu-Systems die Hersteller, um gemeinsam ein geeignetes Konzept umzusetzen. CodeMeter ist skalierbar und einheitlich durchgängig auf allen Plattformen. Mal unterstützt eine Bildverarbeitungssoftware oder eine Software zur Pflegedokumentation auf einem PC die Ärzte oder mal ein Gerät zur Diagnostik, beispielsweise ein Röntgengerät. CodeMeter erfüllt sowohl die Anforderungen der klassischen PC-Welt, aber auch die der Embedded-Welt. Speziell für die Embedded-Systeme wurde CodeMeter für modulare und ressourcensparende Einsatzzwecke ergänzt. Gleichzeitig wurde bei der Entwicklung die typischerweise geringeren Ressourcen für dieses Einsatzgebiet berücksichtigt. Die Embedded-Software in den Medizingeräten muss konform zum Medizinproduktegesetz laufen, um abgenommen zu werden. Geht es um lebensunterstützende Maßnahmen, muss der Hersteller bei Schutz und Software-Monetarisierung besondere Überlegungen anstellen. Um die Funktionen des Geräts nicht zu beeinträchtigen, kann die Lizenz direkt beim Einschalten geprüft werden, solange es noch nicht benutzt wird, und danach läuft die Software weiter, denn die Lizenzprüfung ist bereits erfolgt.
Verschlüsselung der Embedded-Software in Geräten
CodeMeter Embedded, aktuell in der Version 2.40a verfügbar, ist eine statische Bibliothek, die die Lizenzierungs- und kryptografischen Operationen von CodeMeter über ein einheitliches API für Embedded-Betriebssysteme wie Android, Linux Embedded, QNX, VxWorks und Windows bereitstellt. Abhängig von der Architektur des Zielsystems, sei es x86, ARM, MIPS oder PowerPC, erhalten Hersteller eine passende Bibliothek mit einem extrem kompakten Footprint von 400 bis 600 KB, die es ihnen erlaubt, ihre Embedded-Software mit jahrelang erprobten Verschlüsselungsmechanismen zu schützen und ihr Know-how mit lizenzbasierten Modellen zu monetarisieren.

Die Hersteller erhalten die Standard-CodeMeter-Tools, um die Software komplett oder einzelne Funktionsblöcke zu verschlüsseln. Zusätzlich können sie Lizenzen erzeugen, verteilen, verwalten und diese auswerten. Damit können sie über definierte Werte, Verfallsdaten oder Zähler ganz unterschiedliche Lizenzmodelle nutzen. Kauft ein Anwender ein Medizingerät, wird dieses immer mit der gleichen verschlüsselten Software und zusätzlich die dazugehörigen Nutzungsrechte, also Lizenzen, ausgeliefert.
Diese werden im sicheren Speicher des CmDongles gespeichert. Die CmDongles gibt es in verschiedenen Bauformen wie USB-Stick mit und ohne zusätzlichen Flash-Speicher, als Speicherkarte für SD, microSD, CF und CFast oder als Asic. Oder der Hersteller bietet seinen Kunden alternativ eine verschlüsselte Lizenzdatei oder einen sicheren Speicher in der Cloud an. Für den Hersteller von PC-Software, Embedded-Systeme, Steuerungen oder Mikrocontroller bedeutet das, dass er seine Software schützen und lizenzieren kann. Für die jeweilige Plattform steht ihm CodeMeter Runtime, CodeMeter Embedded oder CodeMeter μEmbedded zur Verfügung – jeweils mit demselben API.
Software-Monetarisierung
Der Anwender kauft das Medizingerät mit den gewünschten Funktionen oder der gewünschten Nutzungszeit, die über die Lizenzen freigeschaltet werden. Nachträglich kann der Hersteller weitere Funktionen freischalten oder die Nutzungsperiode verlängern. Dazu teilen Hersteller von Medizingeräten ihre in den Geräten integrierte Software in Funktionsblöcke ein, was einen bedarfsgerechten Verkauf erlaubt. Natürlich müssen im Vorfeld geeignete Lizenzmodelle durchdacht, geprüft und umgesetzt werden, sodass auf diese Weise die unterschiedlichen Bedürfnisse erfüllt werden und der individuelle Verkauf erfolgen kann.
Praxisbeispiele aus der Medizintechnik
Agfa HealthCare ist ein weltweit führender Anbieter diagnostischer, bildgebender Verfahren und IT-Lösungen für Klinken und medizinische Einrichtungen. Das „Easy Payment“-Bezahlsystem für seine Computer-Radiographie-Geräte wurde mit CodeMeter verschlüsselt und über zeitbasierte Nutzungsmodelle verfügbar gemacht. Custo med, Experte für diagnostische Systemlösungen, schützt seine medizinische Plattform custo diagnostic und die gesammelten Daten mit CodeMeter vor Manipulation und gewährt deren Vertraulichkeit vor Missbrauch. Zusätzlich erhalten Service-Techniker für ihre Wartungsarbeiten zeitlich befristete Sonderberechtigungen, die im CmDongle hinterlegt sind. Damit ist es ihnen möglich, die notwendigen Arbeiten in speziellen Softwarebereichen durchzuführen.
Die Software des Notfallbeatmungssystems EVE der Firma Fritz Stephan funktioniert nur dann, wenn die passende CmCard/SD mit den erworbenen Lizenzen eingesteckt ist. Dadurch schützt der Hersteller sein geistiges Eigentum, das in der Software steckt, vor Produktpiraterie, Reverse Engineering und Manipulation. Dies erlaubt den Kunden, die Geräte maßgeschneidert für ihre Bedürfnisse zu erwerben. Der Hersteller von Dentalprodukten Dentsply Sirona schützt sein spezielles Know-how, das in seiner CERECSoftware steckt, auf die gleiche Art und Weise. Die Qualität des Verbrauchsmaterials stellt Dentsply Sirona über einen
Zähler sicher, der nur beim Kauf von Originalmaterial aktualisiert werden kann.
Autor: Günter Fischer, Senior Consultant Licensing and Protection, WIBU-SYSTEMS AG
Diese Artikel erschien in der Ausgabe 7/20 der MED engineering.