Hallo,
cool, mit der Begründung „Verletzung des Urheberrechts“ wurde Steiner von Bosch Thermotechnik GmbH dazu gedrängt den gleichnamigen Thread zu löschen.
Liebe Bosch Thermotechnik GmbH, ihr lest besser mal eure eigene EULA (Nutzungsvertrag), das UrhG und die EU-Richtlinie 2009/24/EG.
Aus dem Nutzungsvertrag der Remote-App „EasyControl“:
- Nutzung von EasyControl:
[…]
Sie sind nicht berechtigt, den Programmcode vonEasyControl oder Teile hiervon zu verändern, rückwärts zu entwickeln (reverse engineering), zu dekompilieren, zu disassemblieren oder den Quellcode auf andere Weise festzustellen sowie abgeleitete Werke hiervon zu erstellen. Die Bestimmungen der §§ 69d, 69e UrhG bleiben hiervon jedoch unberührt.
Hier der vom Nutzungsvertrag ausdrücklich nicht berührte § 69d UrhG (Ausnahmen von den zustimmungsbedürftigen Handlungen), Absatz 3:
Der zur Verwendung eines Vervielfältigungsstücks eines Programms Berechtigte kann ohne Zustimmung des Rechtsinhabers das Funktionieren dieses Programms beobachten, untersuchen oder testen, um die einem Programmelement zugrundeliegenden Ideen und Grundsätze zu ermitteln, wenn dies durch Handlungen zum Laden, Anzeigen, Ablaufen, Übertragen oder Speichern des Programms geschieht, zu denen er berechtigt ist.
http://www.gesetze-im-internet.de/urhg/__69d.html
Das bedeutet konkret: Das Beobachten der App mit Wireshark und Debugger ist völlig rechtens.
Hier der vom Nutzungsvertrag ebenfalls ausdrücklich nicht berührte § 69e UrhG (Dekompilierung), Hervorhebungen von mir:
(1) Die Zustimmung des Rechtsinhabers ist nicht erforderlich, wenn die Vervielfältigung des Codes oder die Übersetzung der Codeform im Sinne des § 69c Nr. 1 und 2 unerläßlich ist, um die erforderlichen Informationen zur Herstellung der Interoperabilität eines unabhängig geschaffenen Computerprogramms mit anderen Programmen zu erhalten, sofern folgende Bedingungen erfüllt sind:
- Die Handlungen werden von dem Lizenznehmer oder von einer anderen zur Verwendung eines Vervielfältigungsstücks des Programms berechtigten Person oder in deren Namen von einer hierzu ermächtigten Person vorgenommen;
- die für die Herstellung der Interoperabilität notwendigen Informationen sind für die in Nummer 1 genannten Personen noch nicht ohne weiteres zugänglich gemacht;
- die Handlungen beschränken sich auf die Teile des ursprünglichen Programms, die zur Herstellung der Interoperabilität notwendig sind.
(2) Bei Handlungen nach Absatz 1 gewonnene Informationen dürfen nicht- zu anderen Zwecken als zur Herstellung der Interoperabilität des unabhängig geschaffenen Programms verwendet werden,
- an Dritte weitergegeben werden, es sei denn, daß dies für die Interoperabilität des unabhängig geschaffenen Programms notwendig ist,
- für die Entwicklung, Herstellung oder Vermarktung eines Programms mit im wesentlichen ähnlicher Ausdrucksform oder für irgendwelche anderen das Urheberrecht verletzenden Handlungen verwendet werden.
(3) Die Absätze 1 und 2 sind so auszulegen, daß ihre Anwendung weder die normale Auswertung des Werkes beeinträchtigt noch die berechtigten Interessen des Rechtsinhabers unzumutbar verletzt.
http://www.gesetze-im-internet.de/urhg/__69e.html
Laut Absatz 1 darf ich zum einen ohne Zustimmung von Bosch Thermotechnik GmbH eine Interoperabilität (mit IP Symcon) herstellen, da ich zum einen Lizenznehmer bin, zum zweiten mir auf Anfrage der Schlüssel nicht mitgeteilt wurde und ich mich zum dritten auf die Interoperabilitätsaspekte beschränkt habe. Weiterhin darf ich laut Absatz 2 die Kenntnisse dazu (hier) teilen, da es zur Interoperabilität erforderlich ist - so sind Skriptsprachen wie PHP nunmal.
Eine Beeinträchtigung (z.B. Kompromittierung der Sicherheit) laut Absatz 3 ist trotz einer Veröffentlichung des MD5-Salts durch die Architektur und Anwendung der Verschlüsselung NICHT gegeben. Dies habe ich vorher sorgfältig geprüft, die Crypto wurde vernünftig implementiert. Durch das Salt sind Rainbow-Tables (der einzig sinnvolle Brute-Force-Angriffsvektor auf MD5-Hashes) wirkungslos, und der Sinn und Zweck eines Salt ist es gerade eben, dass es öffentlich sein kann ohne dass dabei Sicherheit verloren geht.
Abschließend sei noch die EU-Richtlinie 2009/24/EG genannt, deren Artikel 6 fast 1:1 in §69e UrhG umgesetzt wurde:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:111:0016:0022:DE:PDF
Mein Fazit:
Liebe Bosch Thermotechnik GmbH, ihr habt den gleichen, alten, verknöcherten Blick auf Software wie Steve Ballmer, der Microsoft mit der Umsetzung dieser Denkweise die schlechtesten 10 Jahre ihres Bestehens geliefert hat, jetzt kann Satya Nadella dort erst einmal aufräumen. Denkt mal über euer Verhalten nach! Selber verwendet ihr in der iOS-App einen ganzen Strauß von frei verfügbaren Frameworks und Komponenten (JSON, cocoalumberjack, XMPP-Framework für Cocoa, SynthesizeSingleton, CocoaWithLove und GCSAsyncSocket), aber euer Produkt nagelt ihr mit fadenscheinigen Erklärungen und Einschüchterungen zu wie Microsoft einst das SMB-Protokoll (übrigens erfolglos).
Wenn ich meine Buderus-Anlage nicht gerade erst eingebaut hätte, ich werde mir wegen dieses Verhaltens garantiert nie (wieder) eine Anlage von einer Marke der Bosch Thermotechnik GmbH einbauen lassen. Auch werde ich mich nicht einschüchtern lassen und weiterhin meine Rechte wahrnehmen. Meine Erkenntnisse zur Interoperabilität mit der KM200 werde ich demnächst an anderer Stelle - außerhalb dieses Forums um aus der Symcon GmbH keine Zielscheibe für die Bosch Thermotechnik GmbH zu machen - veröffentlichen. Stay tuned.
An die IP-Symcon-Community: Was haltet ihr von der Löschaufforderung der Bosch Thermotechnik GmbH?