Interessensverband warntCyber Resilience Act gefährdet Open Source

Der kommende Cyber Resilience Act soll die Sicherheit im Netz verbessern. Doch der Vorschlag der EU-Kommission gefährde das gesamte Open-Source-Ökosystem, warnt die Open Source Business Alliance.

Zettel mit der Aufschrift Open Source vor einer Tastatur
Die Open Source Business Alliance warnt vor möglichen unerwünschten Nebenwirkungen des geplanten Cyber Resilience Act. – Alle Rechte vorbehalten IMAGO / Panthermedia

Der geplante Cyber Resilience Act (CRA) der EU könnte Open-Source-Software gefährden, warnt die Open Source Business Alliance (OSBA) in einer Stellungnahme zu dem Gesetzentwurf. Demnach scheine der Entwurf „in erster Linie mit Blick auf proprietäre Software geschrieben zu sein“, kritisiert die OSBA. In den anstehenden Verhandlungen rund um das Gesetz müsse unter anderem die Ausnahme für nicht-kommerzielle Open-Source-Hersteller noch verbessert werden, fordert die Interessensvertretung.

Der Cyber Resilience Act wurde mit dem Ziel ins Leben gerufen, die Cybersicherheit zu stärken. Produkte „mit digitalen Elementen“ sollen vom Design über die Herstellung bis hin zur Nutzung höhere Sicherheitsvorgaben erfüllen. Die EU-Kommission schlug den Entwurf im Herbst vergangenen Jahres vor. Im Herbst sollen die Verhandlungen zwischen EU-Kommission, dem Parlament und den EU-Ländern rund um das fertige Gesetz beginnen.

Besserer Fokus nötig

Die Entwicklungs- und Vertriebsmodelle proprietärer Software würden sich von jenen für Offene Software unterscheiden, erklärt die OSBA. Statt geschlossener Ökosysteme zeichne sich Open-Source-Software durch den offenen und kooperativen Ansatz sowie durch freie Softwarelizenzen aus. Damit hätten ihre Hersteller, bei denen es sich teils um Freiwillige ohne kommerzielle Interessen handle, keine direkte Kontrolle auf die Weiterverarbeitung ihrer Software durch Drittnutzer:innen. Durch den aktuellen Entwurf müssten sie damit rechnen, für Handlungen Dritter zu haften.

Zwar versuche der CRA dieses Problem zu umgehen, indem es nicht-kommerzielle Aktivitäten von kommerziellen Aktivitäten unterscheidet. Jedoch sei diese Einteilung der OSBA nach nicht gut gelungen, die Definition von „kommerziell“ sei nicht klar genug. So ergebe sich ein zu großer Deutungsspielraum und kein eindeutiger rechtlicher Geltungsbereich. Zugleich stelle der CRA zu hohe Anforderungen an kleine Unternehmen, die keine Mittel hätten, diese umzusetzen.

Ein mangelhafter rechtlicher Rahmen bei gleichzeitiger Überregulierung von kleinen Unternehmen könne dem Open-Source-Ökosystem schaden und zu einem „Dominoeffekt“ führen, mahnt die OSBA. So könnten sich womöglich nicht-europäische Anbieter aus dem europäischen Markt zurückziehen, während deutsche Unternehmen ihr Engagement in Open-Source-Projekten einstellen könnten. Durch den CRA drohe ein „Chilling-Effekt“, der großen Schaden im gesamten Open-Source-Ökosystem anrichten könnte.

Klare Sprache soll helfen

Um dies abzuwenden, schlägt die OSBA eindeutigere Formulierungen vor, die die Abgrenzung zwischen kommerziell und nicht-kommerziell erleichtern sollen. Beispielsweise sollten wiederkehrende Spenden kommerzieller Organisationen nicht als „kommerzielle Aktivität“ erachtet werden, da viele große und kleine Open-Source-Projekte von Spenden und Stiftungen abhängen würden.

Eine Lösung hat die OSBA auch für die Haftungsfragen parat. So sollte der CRA nicht die Ersteller von Open-Source-Software in die Pflicht nehmen, sondern jene Anbieter, die mit darauf aufbauenden Dienstleistungen ihr Geld verdienen. Hierfür könnte die Definition der „Gewinnerzielungsabsicht“ aus dem deutschen Steuerrecht als Vorlage dienen, um Rechtssicherheit zu schaffen.

11 Ergänzungen

  1. Nunja, wer glaubt, dass unsere industrielobbygesteuerten Ueberwachungsanhaenger in Bruessel das Open-Source-Oekosystem nicht angreifen wollen?

  2. Diese EU-Kommission will die vollständig überwachten und monetarisierten Bürger.

    Der Computer als benutzerkontrollierte Allzweckmaschine steht dem im Wege. Open Source ist ein Eckpfeiler davon.

    Occam’s razor ist hier ganz klar.

      1. Das funktioniert offensichtlich nicht, denn Krieg wie Angreifer kommen zu ihnen, mit Gewalt.

        Was wollten Sie zum Ausdruck bringen?

        1. A) „Diese EU-Kommission will die vollständig überwachten und monetarisierten Bürger.“
          B) „Stell die vor, es ist Krieg und die Angegriffenen gehen nicht hin.“
          C) „Das funktioniert offensichtlich nicht, denn Krieg wie Angreifer kommen zu ihnen, mit Gewalt.“

          Definieren wir doch mal „Krieg“, als Hausaufgabe.
          Einfaches Beispiel: „Der Krieg war bereits verloren, als der Komet XYZ-123 auf einen Kollisionskurs mit der Erde geschoben worden war – die Menschheit war mit Medienkampagnen für das Wort „Woke“ und gegen alle, die es sein sollten, derart beschäftigt, dass die Fragen der Zeit keine Beantwortung mehr fanden.“

          Wir können jetzt pedantisch werden, und estimieren, die Menschheit werde den Asteroiden doch kurz vor dem Aufschlag finden – aber das ist ja der Punkt! Den Asteroiden finden sie kurz vor dem Ende, aber den Krieg haben sie nicht bemerkt. Komplett verpasst!

  3. Am Beispiel der „BSD Zero Clause License“ (siehe unten) wuerde das ja bedeuten das der zweite Teil der Lizenz vom Staat oder der EU ausser Kraft gesetzt wird.

    Bedeutet dies dann das die gesammte Lizenz in der EU ungueltig wird oder das nur der zweite Teil ungueltig wird aber der erste Teil weiterhin gueltig ist aber ohne den zweiten Teil?

    — snip —

    Permission to use, copy, modify, and/or distribute this software for any purpose with or without fee is hereby granted.

    THE SOFTWARE IS PROVIDED „AS IS“ AND THE AUTHOR DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.

    1. „Durch den aktuellen Entwurf müssten sie damit rechnen, für Handlungen Dritter zu haften.“

      Ich würde sagen, dass es damit nicht abschließend geklärt ist. Wäre allerdings verrückt. Soll Beppo M. aus K., 12 Jahre, jetzt für sein im Netz veröffentlichtes Furzhumorscript haften, weil „Riesensoft Ink“ es in seine Entropiegenerierung eingebaut hat, wo es dann alles schön in die Luft flog?

      Bei Betriebsmitteln wird es dann interessanter, Kernel oder Applandschaft, mit Store, was ist essentiell und wie sieht das bei Mikrokernels aus? (Usw. usf.)

      Um Das Beppobeispiel auf Füße zu stellen, mit Blick auf die berüchtigten „Riesensoftanwälte“, werden wir, sicherlich noch erleben, dass Fahrlässigkeit und Versagen auf Riesenseite einem Bibliothekshersteller, z.B. denen von OpenSSL angelastet wird, obwohl es eigentlich eine Fehlkonfiguration oder falsche Benutzung war. Dann geht es im Prozess um das Manual o.ä. Bitte gerne diese Quatschszenarien widerlegen.

      Ich habe keine Ahnung, bzw. eine sehr sehr schlechte.

  4. Ist das mit den USA abgesprochen, bzw. mit Big-Tech?
    Wäre ja lustig, wenn deren Clouds plötzlich nicht mehr legal nutzbar wären…

    * Hierfür könnte die Definition der „Gewinnerzielungsabsicht“ aus dem deutschen Steuerrecht als Vorlage dienen, um Rechtssicherheit zu schaffen. *

    Äh, Rechtssicherheit? So ein Schwachsinn. Siehe Urheberrechtsreform. Das hat einen großen Schwimmenden Kackesee aus Deutschland gemacht, weniger nicht. Was jetzt wohl passieren wird? Stärkung des Ehrenamtes, nehme ich mal an…

  5. „Cyber Resilience Act“ klingt so nach einem typischen Decknamen für ein System, aus welchem der Mensch entkommen sollte. Ich habe noch zwei:

    „Unfair Competition Prevention Act“: Sollte dazu dienen, drakonische Strafen zu verhängen, wenn man dabei erwischt wird, Spielinhalte (generell Software) zu verändern. Also weit mehr als das Modden von GTA. „Gemoddet“ ist es aber auch dann, wenn man keine Windows-Spyware haben will, sondern den PC mit einer Linux Distribution füttert…

    Sowie der Klassiker unter allen, das „Social Credit System“…..

    Jetzt fehlt nur noch eine Bonus-Malus-Grundlage für das Cyber Resilience Act. Gute Bürger kriegen was, schlechte Bürger werden geschändet. Im Namen der Sicherheit. Weil stell dir vor, du benutzt eine unauthorisierte Software die auch noch quelloffen ist! Pass auf, dass dein Schufa-Eintrag nicht belastet wird!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.