Den GPL-Sündern auf der Spur

Viele Hersteller von Hard- und Software greifen auf Open-Source-Software zurück, die unter der GPL (General Public License) steht, ohne die Lizenzbedingungen zu beachten. Obwohl die Entwickler von freier Software eigentlich in den meisten Ländern rechtlich gegen die Urheberrechtsverletzung vorgehen könnten, scheuen die meisten den Aufwand und das finanzielle Risiko. Nicht so Harald Welte, Core-Developer von netfilter/iptables und Gründer der Initiative gpl-violations.org. Er geht bereits seit mehreren Jahren juristisch gegen Firmen vor, welche netfilter/iptables einsetzen, ohne die Lizenzbestimmungen einzuhalten, und konnte bereits beachtliche Erfolge erzielen. So wurde im Verfahren gegen den Routerhersteller Sitecom vor einem Münchner Gericht zum ersten Mal die juristische Gültigkeit der GPL festgestellt.

InfoWeek: Sie haben an der Cebit
13 Firmen Briefe überbracht, in denen Sie diese auf Verstösse gegen die GPL hingewiesen haben. Wie sahen die Reaktionen aus?

Harald Welte: Grösstenteils gab es erwartungsgemäss keine Reaktionen. Wenige Hersteller haben mittlerweile GPL-lizenzierten Quellcode auf ihre Homepage gestellt. Ein Hersteller war gleich auf der Cebit zu einem Gespräch bereit. Zu seiner Überraschung ging es mir dabei nicht um Geld und auch nicht um eine Mitgliedschaft bei unserem Projekt, sondern einfach nur darum, dass der Quellcode publiziert wird.

Wie erklären Sie sich, dass Firmen, deren Geschäft oftmals auf der Einnahme von Lizenzgebühren aus Softwareverkäufen und Patentnutzung basiert, die GPL nicht beachten?

Bei den im Embedded-Markt wichtigen Industrien in Indien und vor allem in Taiwan, welche für die meisten Verstösse verantwortlich zeichnen, liegt sicherlich ein Aufklärungsdefizit vor. Ich denke, wir könnten 90 Prozent der GPL-Verletzungen vermeiden, wenn in den betreffenden Ländern mehr Bewusstsein für das Urheberrecht im Allgemeinen und für die GPL im Speziellen bestünde.

Hersteller wie Linksys scheinen von der Veröffentlichung des Source Codes enorm profitiert zu haben – viele Leute kaufen die Geräte vor allem deshalb, weil sie offen sind. Ist dies den Herstellern bewusst?

Einige Hersteller verstehen dieses Prinzip. Sehr gute Erfahrungen habe ich beispielsweise mit TomTom und ihrem Produkt TomTom GO gemacht.
Bei Linksys dachte ich auch lange, sie hätten dieses Prinzip verstanden. Leider musste ich jedoch jüngst feststellen, dass Linksys erneut mit einem Produkt gegen die GPL verstösst. Deshalb weiss ich nicht, ob man Linksys noch als gutes Beispiel anführen sollte.

Haben Ihre bisherigen Aktionen und insbesondere der Sitecom-Fall denn nicht eine abschreckende Wirkung?

Hin und wieder sehe ich Erfolge, welche sich auf meine Aktivitäten zurückführen lassen. Manche Hersteller zeigen aber leider auch einfach blinden Aktionismus und lassen eigenartige Hinweise an der Produktverpackung anbringen: «Dieses Produkt enthält die Software netfilter/iptables, welche unter der Allgemeinen Öffentlichen GNU-Lizenz steht» – ohne jedoch zeitgleich den Lizenzbedingungen nachzukommen und den Quellcode oder den sog. «Written Offer» mitzuliefern. Es ist mir unbegreiflich, wie man den Lizenztext missverstehen kann – insbesondere bei internationalen Konzernen mit eigener Rechtsabteilung.
Nichtsdestotrotz sehe ich eine ständig steigende Zahl an Verletzungen aus den unterschiedlichsten Marktsegmenten. Dies führe ich vor allem darauf zurück, dass gpl-violations.org durch seine Aktionen bekannt wurde und nun kaum ein Tag vergeht, an dem ich nicht Hinweise von verärgerten Kunden bekomme, die GPL-lizenzierte Software in von ihnen gekauften Produkten finden, die jedoch ihre Rechte mangels Quellcode nicht praktisch umsetzen können.

Wenn man Ihnen zuhört, bekommt man den Eindruck, als würden Sie gegen Windmühlen ankämpfen.

Ich denke nicht, dass die absolute Zahl der GPL-verletzenden Produkte stetig zunimmt – es ist nur die Zahl der mir bekannten Fälle. Insgesamt weiss ich mittlerweile von weit über hundert Fällen – da sind die rund 30 erfolgreichen «Enforcements» doch relativ wenig dagegen.
Im Embedded-Bereich finden wir von DSL-Routern, WLAN-Access-Points, Firewalls, MP3-Playern, PVR/VDR, Set-Top-Boxen bis hin zu DVB-Receivern eigentlich so ziemlich quer durch alle Bereiche GPL-verletzende Produkte. Es bleibt abzuwarten, ob sich dies bei der nächsten Produktgeneration, zum Beispiel bei WLAN-VoIP-Telefonen oder GSM-Smartphones mit Linux, bessern wird.

Bisher haben wir vor allem über die schwarzen Schafe geredet – gibt es eigentlich auch Hersteller, die sich automatisch an die GPL halten, oder mussten Sie bislang immer nachhelfen?

Selbstverständlich gibt es auch gute Beispiele. Astaro hat sich beispielsweise meiner Kenntnis nach immer sehr um die Konformität ihrer Produkte mit der GPL bemüht.

Die meisten Hersteller, welche die GPL nicht beachten, werden wohl kaum in die Bedienungsanleitung schreiben, dass sie auf GPL-Software setzen. Wie entlarven Sie die Täter?

Bei Softwareprodukten ist es leicht. Diese kann man auf einem Computer installieren und dann versuchen, «unter die Motorhaube», das heisst auf die Kommandozeile, zu schauen und dadurch den Nachweis zu führen.

Bei Embedded-Geräten gibt es mehrere Strategien:

1. Download eines Firmware-Images beziehungsweise -Updates

2. Auslesen des Firmware-Images mittels JTAG oder Ausbau des Flash- oder EPROM-Speichers und Einlesen mittels geeignetem Lesegerät

3. Eruierung der auf nahezu allen Geräten noch vorhandenen seriellen Schnittstelle, welche man über einen 3,3V-Level-Shifter und ein Nullmodem-Kabel mit dem PC verbinden kann, um dort dann die Boot-Meldungen des Linux-Kernels auszulesen.

Bei den Varianten 1 und 2 folgt ein teilweise relativ aufwendiges Reverse Engineering. Zunächst schaut man sich die Daten mit einem Hex-Editor an und versucht bekannte Signaturen oder Strukturen zu finden. In vielen Fällen wird man hier fündig, und es gelingt, das Kernel-Image und/oder das Root-Filesystem zu extrahieren. In manchen Fällen kann dies aber auch eine Woche und mehr dauern, insbesondere wenn Hersteller wie in einem aktuell von mir verfolgten Fall die Firmware verschlüsseln, um die Nutzung von GPL-lizenzierter Software zu verschleiern.

Was passiert, wenn Sie ein Gerät gefunden haben, das auf netfilter/iptables aufbaut, ohne dass der Quellcode freigegeben wurde?

Wenn das Gerät in Deutschland vertrieben wird, übergebe ich die Angelegenheit meist gleich meinem Anwalt, der dann die deutsche Niederlassung des Herstellers abmahnt. Bei internationalen Herstellern mit Niederlassung in der EU wird diese Niederlassung abgemahnt.
Bekommen wir eine Unterlassungs- und Verpflichtungserklärung innerhalb der gesetzten Frist, so ist die Angelegenheit damit meist beendet. Gibt der Hersteller keine Unterlassungs- und Verpflichtungserklärung ab, so werden wir gegebenenfalls eine einstweilige Verfügung bei Gericht beantragen, oder bei ausländischen Unternehmen den Importeur/Distributor abmahnen, welcher dann wirtschaftlich Druck auf den Hersteller ausüben kann. Eine einstweilige Verfügung musste bislang erfreulicherweise erst zweimal erwirkt werden.

Die meisten Entwickler von Open-Source-Software treten nicht für ihre Rechte ein, Sie aber schon. Weshalb?

Entwickler sind in der Regel sehr technische Menschen, denen der Umgang mit Rechtsanwälten und der ganze Papierkram zuwider ist. Ich fühle mich grundsätzlich dieser Spezies zugehörig, aber ich kann auf der anderen Seite auch nicht einfach tatenlos zusehen, wie die Freiheit der User permanent missachtet wird.
Mir persönlich bringt es relativ wenig, wenn ein Hersteller einen unveränderten Quellcode veröffentlicht. Der Vorteil liegt auf der Seite der Kunden des Herstellers, da diese nun ihre Rechte wahrnehmen und die Software verändern können. Selbst bei durch den Hersteller erfolgten Änderungen sind diese nach allen bisherigen Erfahrungen nicht allgemein brauchbar beziehungsweise erfüllen sie nicht die Qualitätsstandards, die wir für eine Aufnahme in das netfilter/ iptables-Projekt ansetzen.

Wo liegt denn Ihre Motivation, wenn das netfilter/iptables-Projekt kaum vom Code profitieren kann?

Letztendlich ist es diese Freiheit der Anwender, die mich im wesentlichen motiviert, überhaupt jahrelange Arbeit in die Entwicklung freier Software zu stecken. Könnten diese Unternehmen nun tatsächlich den Anwendern diese Freiheit wegnehmen, so wäre damit gleichzeitig meine Motivation vernichtet und mehr oder weniger mein bisheriges Lebenswerk ad absurdum geführt.
Natürlich hoffe ich, dass zumindest mittelfristig auch andere Entwickler ihre Rechte wahrnehmen werden – jetzt, da ihnen jemand vorgemacht hat, dass es auch in der Praxis funktioniert.
Wir überlegen derzeit auch die Gründung einer Art Rechtshilfeverein, welcher sich um die Belange der Autoren kümmern würde, ohne dass sich diese bis ins letzte Detail mit den juristischen Feinheiten beschäftigen müssen. Zu diesem Zeitpunkt ist die Diskussion um eine solche Institution jedoch noch in einem frühen Stadium.