Cyber Resilience ActAufatmen für die Open-Source-Community

Zuerst flog er unter dem Radar, dann sorgte er für Aufregung: ein Vorschlag der EU-Kommission für ein Gesetz, das digitale Produkte sicher machen soll. Die Open Source-Community fürchtete übermäßige Bürokratie. Die EU besserte nach, die finale Fassung enthält umfangreiche Ausnahmen.

Männliche Hände halten ein Lineal auf einen fein gezeichneten Bauplan.
Die EU hat noch einmal nachjustiert (Symbolbild). – Public Domain Pexels / Thirdman

Die Welt hat ein Problem mit der IT-Sicherheit: Es gibt immer mehr Schadsoftware und immer mehr Angriffe auf Behörden oder Unternehmen. Die Verantwortung liegt aber nicht nur bei den Angreifer:innen. Viele Anbieter von digitalen Produkten kümmern sich nicht genug um die Sicherheit, lassen ihre Produkte verwundbar oder stellen gleich gar keine Updates mehr zur Verfügung.

Im vergangenen Jahr wurden pro Monat mehr als 2.000 Schwachstellen in Software bekannt – ein Anstieg von einem Viertel im Vergleich zu Jahr davor. Das schreibt das Bundesamt für Sicherheit in der Informationstechnik in seinem Jahresbericht – auch wenn mehr gefundene Schwachstellen noch nichts über ihre tatsächliche Anzahl aussagen.

Gegen diese Verwundbarkeiten wollte die EU-Kommission mit ihrem Vorschlag für einen Cyber Resilience Act (CRA) vorgehen, mit einem Gesetz für die Cyber-Widerstandsfähigkeit also. Verschiedene neue Regeln sollen sicherstellen, dass Hersteller und Anbieter sich genug um ihre Hard- und Software kümmern. Wenn sie das tun, dürfen sie ihr Produkt mit dem europäischen „CE“-Label kennzeichnen und frei im europäischen Binnenmarkt verkaufen.

Open Source als Kollateralschaden?

So weit, so gut. Gegen dieses Ziel des CRA gab es auch wenige Beschwerden – das Problem war die Umsetzung. Bald nachdem die Kommission ihren Entwurf für das Gesetz veröffentlicht hatte, machte eine Gruppe an Organisationen ihrem Unmut darüber in einem offenen Brief Luft. Zu den Unterzeichnern gehörten etwa die Linux Foundation Europe, die Open Source Business Alliance und andere Verbände und Initiativen aus dem Open-Source-Bereich.

Man teile das Ziel des CRA, schrieben die Organisationen darin. Aber wenn das Gesetz in seiner damaligen Form verabschiedet würde, dann könnte es eine abschreckende Wirkung auf die globale Open Source-Entwicklung haben. Parlament und Rat, die die endgültige Version von EU-Gesetzen untereinander verhandeln, sollten deshalb die Open-Source-Community besser in den Prozess miteinbeziehen.

Die Eclipse Foundation beschrieb in einem Blogpost genauer, welche Gefahren sie in dem Entwurf sah. Der CRA könnte „das soziale Abkommen, auf dem das gesamte Open Source-Ökosystem beruht, grundlegend verändern“, heißt es darin. Die Befürchtung: Auf die Organisation und ihre Community könnte ein gewaltiger bürokratischer Aufwand zukommen.

Viele neue Ausnahmen

Diese Befürchtungen teilten Open-Source-Entwickler:innen und -Organisationen auch mit den EU-Institutionen, etwa bei der FOSDEM-Konferenz in Brüssel. Und die hörten zu. Der fertige Text des CRA enthält Ausnahmen, mit denen nur noch sehr wenige Open-Source-Projekte überhaupt unter seine Regeln fallen dürften. Der Entwickler Bert Hubert hat auf seinem Blog eine Übersicht dazu veröffentlicht.

Diese Ausnahmen stehen in den Erwägungsgründen, die in EU-Gesetzen vor dem eigentlichen Gesetzestext stehen. Die vielleicht wichtigste Klarstellung: Wer zu einem Open-Source-Projekt beiträgt, aber nicht dafür verantwortlich ist, fällt nicht unter den CRA. Eine einzelne Entwicklerin, die in ihrer Freizeit an einer freien und quelloffenen Software mitarbeitet, hat also nichts zu befürchten.

Auch Organisationen, die für Projekte verantwortlich sind, sind nur betroffen, wenn die Software „im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird“. Wer also ein Open-Source-Projekt entwickelt und dafür kein Geld bekommt, wird ebenfalls keine Probleme bekommen. Auch eingenommene Spenden gelten explizit nicht als Geschäftstätigkeit, solange mit ihnen kein Profit gemacht werden soll. Gemeinnützige Organisationen können auch auf andere Weise Geld mit ihren Projekten machen, solange sie sicherstellen, dass alle Einnahmen für gemeinnützige Zwecke verwendet werden.

Einige Meldepflichten für Organisationen

Neben diesen Ausnahmen gibt es einen Punkt, in dem der CRA definitiv eine Veränderung für Open-Source-Projekte bedeuten wird. Das sind die sogenannten „Verwalter“, auf Englisch „Stewards“, von Open-Source-Projekten. Das sind Organisationen, die in einem geschäftlichen Rahmen Open-Source-Software entwickeln. Für sie sieht das Gesetz wesentlich sanftere Verpflichtungen vor als für Entwickler:innen von Nicht-Open-Source-Software, so sind sie etwa vollständig von Geldstrafen ausgenommen. Dafür dürfen sie allerdings auch nicht die „CE“-Markierung verwenden.

Die Verwalter müssen für ihre Produkte eine Cybersicherheitsstrategie entwickeln. Die sollte die Dokumentation und die Beseitigung von Schwachstellen behandeln und den Austausch von Informationen über Schwachstellen fördern. Außerdem müssen sie mit den für den CRA zuständigen Behörden zusammenarbeiten, um Sicherheitsrisiken zu mindern. Wenn sie erfahren, dass eine Sicherheitslücke in ihrer Software ausgenutzt wird, müssen sie das an Aufsichtsbehörden und Nutzer:innen melden.

Nach Änderungen zuversichtlich

Um die Sicherheit von Open-Source-Software zu verbessern, bevor es einen Zwischenfall gibt, sieht der CRA optionale Sicherheitsbescheinigungen vor. Wie genau diese aussehen sollen, muss die Kommission noch festlegen. Der Grundgedanke ist aber, dass diese Bescheinigungen übersichtlicher machen sollen, ob eine Software allen Sorgfaltspflichten entspricht. Nicht nur Entwickler:innen sollen diese Bescheinigungen zu organisieren – und zu bezahlen – sondern auch nutzende Unternehmen oder Behörden. Die könnten so auch zur Sicherheit des Open-Source-Ökosystems beitragen.

Die Gruppe an Organisationen, die am Anfang noch so skeptisch war, zeigte sich mit den Änderungen zufrieden. „Wir freuen uns, zu berichten, dass man auf die Open-Source-Community gehört hat“, schrieb die Eclipse Foundation im Dezember in einem weiteren Blogpost. Die Ausnahmen seien merklich verbessert worden, die Rolle des Verwalters würde die Arbeit von Open-Source-Organisationen anerkennen.

Aber dennoch: Wird der CRA negative Auswirkungen auf den Open-Source-Standort Europa haben? Der Frage stellte sich auch Benjamin Bögel bei der diesjährigen FOSDEM-Konferenz. Bögel ist bei der EU-Kommission für Produktsicherheit und den CRA zuständig. „Ich glaube nicht, dass es durch den CRA einen abschreckenden Effekt auf Open Source geben wird“, sagte er in Brüssel zu Open-Source-Entwickler:innen. Wer sichergehen wolle, dass der Übergang zu den neuen Regeln sanft verlaufe, solle bitte Kontakt aufnehmen.

Das Europäische Parlament hat dem CRA am Dienstag zugestimmt. Nun müssen die Mitgliedstaaten das Gesetz noch einmal abnicken, was normalerweise eine Formalität ist.

12 Ergänzungen

  1. Mit der Grundannahme der Artikels kann ich überhaupt nicht mitgehen, weshalb er für mich auch zu eigenartigen Schlüssen über den Sinn des CRA kommt.

    Die Verantwortung liegt ganz allein bei den Anwendern (damit meine ich die Firmen und Behörden, nicht die Menschen vorm Rechner) der Software. Es geht dabei auch gar nicht so sehr um einzelne Programme sondern um die vollkommen aus dem Ruder gelaufene Komplexität der Gesamtsysteme.

    Die versteckte Grundannahme im Artikel (wie in quasi allen anderen Artikeln zum Thema Softwaresicherheit) ist: Es darf sich am Funktionsumfang und der „Servicequalität“ (Bedienbarkeit, Bequemlichkeit etc.) nichts ändern. Doch, es muss sich ganz viel an diesen Dingen ändern. Ich sage mal provokativ: Etwas mehr digitale Steinzeit würde uns ganz gut tun. Das Mantra des „Mehr“ durchzieht auch hier jeden Gedanken obwohl das genau dazu führt, dass wir glauben ohne diese unbeherrschbar komplexen Systeme nicht mehr auskommen zu können.

    Solange mir Leute sagen, dass sie ohne Windows oder Android oder oder… nicht auskommen können, keine nützlichen Computersysteme betreiben können, solange wird es keine substantiellen Verbesserungen in der Gesamtsicherheit geben. Diese Systeme sind nicht auf Sicherheit ausgelegt und das wird sich erst ändern, wenn dafür jemand in den Knast gehen könnte. Denn dann merkten die Leute plötzlich, dass sie ihre Arbeit auch mit wesentlich simplerer Software erledigen könnten.

    Die Behörden und Unternehmen entscheiden, welche Systeme sie aufbauen. Und sie bauen immer und immer wieder inhärent unsichere Systeme auf, um dem Mantra des „Mehr“ gerecht zu werden.

    1. „nicht auskommen können, keine nützlichen Computersysteme betreiben können, solange wird es keine substantiellen Verbesserungen in der Gesamtsicherheit geben. Diese Systeme sind nicht auf Sicherheit ausgelegt “

      Richtig. Nicht auf Sicherheit ausgelegt. Mehr und mehr stellt sich mir allerdings auch die Frage, inwiefern Systeme und Produkte allgemein überhaupt (noch) auf Nutzen ausgelegt sind.

  2. (16747, {’name‘: ‚open Source‘, ’slug‘: ‚opren-source‘}) ← Achtung Fehler im slug : opren !!
    (105, {’name‘: ‚open-source‘, ’slug‘: ‚open-source‘})
    (647, {’name‘: ‚opensource‘, ’slug‘: ‚opensource‘})

    Bitte zusammenführen zu „Open Source“

  3. Wegen neuer EU-Regeln für die Cyber-Sicherheit in Neuwagen nehmen mehrere Hersteller Modelle aus dem Programm. Mit dem Stichtag zum 7. Juli verschwinden etwa der VW Up und der Porsche Macan.

    Den Kleinwagen Up von VW trifft es ebenso wie den Transporter T6.1 und die Porsche-Verbrenner Macan, Cayman und Boxster: Wegen strengerer EU-Regeln für die Cyber-Sicherheit im Auto, die ab Juli gelten, verschwinden sie vom Markt. Und für viele von ihnen gibt es keinen direkten Nachfolger.

    „Für den deutschen Markt sind bereits alle Up produziert und an den Handel ausgeliefert“, erklärt eine VW-Sprecherin. In anderen EU-Ländern laufe die Auslieferung der letzten Fahrzeuge dagegen noch bis Mitte des Jahres. Dann sei auch dort Schluss.

    Grund für den harten Schnitt: Um den neuen Regeln zur Cybersecurity, die ab 7. Juli gelten, zu entgehen, müssen die Autos bis zum Stichtag nicht nur produziert und ausgeliefert, sondern auch zugelassen sein. Bei Wohnmobilen greifen die neuen Regeln erst ab 1. September.

    https://www.tagesschau.de/wirtschaft/verbraucher/neuwagen-modellpalette-100.html

  4. Germany’s Sovereign Tech Fund (STF) has agreed to invest €686,400 in the FreeBSD project to drive improvements in infrastructure, security, regulatory compliance, and developer experience.

    The work, organized and managed by the FreeBSD Foundation, will begin in August 2024 and continue through 2025. It will focus on five key projects:

    * Zero Trust Builds: Enhance tooling and processes
    * CI/CD Automation: Streamline software delivery and operations
    * Reduce Technical Debt: Implement tools and processes to keep technical debt low
    * Security Controls: Modernize and extend security artifacts, including the FreeBSD Ports and Package Collection, to assist with regulatory compliance
    * SBOM Improvements: Enhance and implement new tooling and processes for FreeBSD SBOM

    https://fossforce.com/2024/08/germanys-sovereign-tech-fund-puts-over-750k-into-freebsd-infrastructure-projects/
    https://www.sovereigntechfund.de/mission
    https://freebsdfoundation.org/blog/sovereign-tech-fund-to-invest-e686400-in-freebsd-infrastructure-modernization/

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.