Dieser Artikel stammt von Netzpolitik.org.
Zuerst flog er unter dem Radar, dann sorgte er für Aufregung: ein Vorschlag der EU-Kommission für ein Gesetz, das digitale Produkte sicher machen soll. Die Open Source-Community fürchtete übermäßige Bürokratie. Die EU besserte nach, die finale Fassung enthält umfangreiche Ausnahmen.
Die Welt hat ein Problem mit der IT-Sicherheit: Es gibt immer mehr Schadsoftware und immer mehr Angriffe auf Behörden oder Unternehmen. Die Verantwortung liegt aber nicht nur bei den Angreifer:innen. Viele Anbieter von digitalen Produkten kümmern sich nicht genug um die Sicherheit, lassen ihre Produkte verwundbar oder stellen gleich gar keine Updates mehr zur Verfügung.
Im vergangenen Jahr wurden pro Monat mehr als 2.000 Schwachstellen in Software bekannt – ein Anstieg von einem Viertel im Vergleich zu Jahr davor. Das schreibt das Bundesamt für Sicherheit in der Informationstechnik in seinem Jahresbericht – auch wenn mehr gefundene Schwachstellen noch nichts über ihre tatsächliche Anzahl aussagen.
Gegen diese Verwundbarkeiten wollte die EU-Kommission mit ihrem Vorschlag für einen Cyber Resilience Act (CRA) vorgehen, mit einem Gesetz für die Cyber-Widerstandsfähigkeit also. Verschiedene neue Regeln sollen sicherstellen, dass Hersteller und Anbieter sich genug um ihre Hard- und Software kümmern. Wenn sie das tun, dürfen sie ihr Produkt mit dem europäischen „CE“-Label kennzeichnen und frei im europäischen Binnenmarkt verkaufen.
Open Source als Kollateralschaden?
So weit, so gut. Gegen dieses Ziel des CRA gab es auch wenige Beschwerden – das Problem war die Umsetzung. Bald nachdem die Kommission ihren Entwurf für das Gesetz veröffentlicht hatte, machte eine Gruppe an Organisationen ihrem Unmut darüber in einem offenen Brief Luft. Zu den Unterzeichnern gehörten etwa die Linux Foundation Europe, die Open Source Business Alliance und andere Verbände und Initiativen aus dem Open-Source-Bereich.
Man teile das Ziel des CRA, schrieben die Organisationen darin. Aber wenn das Gesetz in seiner damaligen Form verabschiedet würde, dann könnte es eine abschreckende Wirkung auf die globale Open Source-Entwicklung haben. Parlament und Rat, die die endgültige Version von EU-Gesetzen untereinander verhandeln, sollten deshalb die Open-Source-Community besser in den Prozess miteinbeziehen.
Die Eclipse Foundation beschrieb in einem Blogpost genauer, welche Gefahren sie in dem Entwurf sah. Der CRA könnte „das soziale Abkommen, auf dem das gesamte Open Source-Ökosystem beruht, grundlegend verändern“, heißt es darin. Die Befürchtung: Auf die Organisation und ihre Community könnte ein gewaltiger bürokratischer Aufwand zukommen.
Viele neue Ausnahmen
Diese Befürchtungen teilten Open-Source-Entwickler:innen und -Organisationen auch mit den EU-Institutionen, etwa bei der FOSDEM-Konferenz in Brüssel. Und die hörten zu. Der fertige Text des CRA enthält Ausnahmen, mit denen nur noch sehr wenige Open-Source-Projekte überhaupt unter seine Regeln fallen dürften. Der Entwickler Bert Hubert hat auf seinem Blog eine Übersicht dazu veröffentlicht.
Diese Ausnahmen stehen in den Erwägungsgründen, die in EU-Gesetzen vor dem eigentlichen Gesetzestext stehen. Die vielleicht wichtigste Klarstellung: Wer zu einem Open-Source-Projekt beiträgt, aber nicht dafür verantwortlich ist, fällt nicht unter den CRA. Eine einzelne Entwicklerin, die in ihrer Freizeit an einer freien und quelloffenen Software mitarbeitet, hat also nichts zu befürchten.
Auch Organisationen, die für Projekte verantwortlich sind, sind nur betroffen, wenn die Software „im Rahmen einer Geschäftstätigkeit verfügbar gemacht wird“. Wer also ein Open-Source-Projekt entwickelt und dafür kein Geld bekommt, wird ebenfalls keine Probleme bekommen. Auch eingenommene Spenden gelten explizit nicht als Geschäftstätigkeit, solange mit ihnen kein Profit gemacht werden soll. Gemeinnützige Organisationen können auch auf andere Weise Geld mit ihren Projekten machen, solange sie sicherstellen, dass alle Einnahmen für gemeinnützige Zwecke verwendet werden.
Einige Meldepflichten für Organisationen
Neben diesen Ausnahmen gibt es einen Punkt, in dem der CRA definitiv eine Veränderung für Open-Source-Projekte bedeuten wird. Das sind die sogenannten „Verwalter“, auf Englisch „Stewards“, von Open-Source-Projekten. Das sind Organisationen, die in einem geschäftlichen Rahmen Open-Source-Software entwickeln. Für sie sieht das Gesetz wesentlich sanftere Verpflichtungen vor als für Entwickler:innen von Nicht-Open-Source-Software, so sind sie etwa vollständig von Geldstrafen ausgenommen. Dafür dürfen sie allerdings auch nicht die „CE“-Markierung verwenden.
Die Verwalter müssen für ihre Produkte eine Cybersicherheitsstrategie entwickeln. Die sollte die Dokumentation und die Beseitigung von Schwachstellen behandeln und den Austausch von Informationen über Schwachstellen fördern. Außerdem müssen sie mit den für den CRA zuständigen Behörden zusammenarbeiten, um Sicherheitsrisiken zu mindern. Wenn sie erfahren, dass eine Sicherheitslücke in ihrer Software ausgenutzt wird, müssen sie das an Aufsichtsbehörden und Nutzer:innen melden.
Nach Änderungen zuversichtlich
Um die Sicherheit von Open-Source-Software zu verbessern, bevor es einen Zwischenfall gibt, sieht der CRA optionale Sicherheitsbescheinigungen vor. Wie genau diese aussehen sollen, muss die Kommission noch festlegen. Der Grundgedanke ist aber, dass diese Bescheinigungen übersichtlicher machen sollen, ob eine Software allen Sorgfaltspflichten entspricht. Nicht nur Entwickler:innen sollen diese Bescheinigungen zu organisieren – und zu bezahlen – sondern auch nutzende Unternehmen oder Behörden. Die könnten so auch zur Sicherheit des Open-Source-Ökosystems beitragen.
Die Gruppe an Organisationen, die am Anfang noch so skeptisch war, zeigte sich mit den Änderungen zufrieden. „Wir freuen uns, zu berichten, dass man auf die Open-Source-Community gehört hat“, schrieb die Eclipse Foundation im Dezember in einem weiteren Blogpost. Die Ausnahmen seien merklich verbessert worden, die Rolle des Verwalters würde die Arbeit von Open-Source-Organisationen anerkennen.
Aber dennoch: Wird der CRA negative Auswirkungen auf den Open-Source-Standort Europa haben? Der Frage stellte sich auch Benjamin Bögel bei der diesjährigen FOSDEM-Konferenz. Bögel ist bei der EU-Kommission für Produktsicherheit und den CRA zuständig. „Ich glaube nicht, dass es durch den CRA einen abschreckenden Effekt auf Open Source geben wird“, sagte er in Brüssel zu Open-Source-Entwickler:innen. Wer sichergehen wolle, dass der Übergang zu den neuen Regeln sanft verlaufe, solle bitte Kontakt aufnehmen.
Das Europäische Parlament hat dem CRA am Dienstag zugestimmt. Nun müssen die Mitgliedstaaten das Gesetz noch einmal abnicken, was normalerweise eine Formalität ist.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Maximilian Henning