Cyber Resilience Act bringt Open Source in Gefahr

Inhaltsverzeichnis

Wenn ein Gesetz einen signifikanten Umbruch in der europäischen Cybersicherheitslandschaft bewirken kann, dann wird es der Cyber Resilience Act (CRA) sein. Schon jetzt hat die erste, im September 2022 vorgelegte, Entwurfsfassung für Furore gesorgt und rechtspolitisch nicht nur in Deutschland und der EU, sondern vor allem auch im Ausland die Mühlen in Bewegung gesetzt.

Ein Kommentar von Prof. Dr. Dennis-Kenji Kipker

Prof. Dr. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Hochschule Bremen und arbeitet dort an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz. Dabei kommt bei ihm auch die Praxis und Beratung nicht zu kurz: So ist er außerdem als Legal Advisor des VDE, CERT@VDE tätig und prägt im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin die zukünftige europäische und deutsche Cyber-Politik maßgeblich. Als Geschäftsführer des Beratungsunternehmens Certavo in Bremen setzt er sich überdies für die Entwicklung und Umsetzung pragmatischer Lösungen zur digitalen Compliance-Konformität von Unternehmen international ein.

Die Ziele des Cyber Resilience Act

Der CRA wird, wenn er denn in dieser oder einer ähnlichen Fassung kommt – wovon stark auszugehen ist – als erstes europäisches Cybersecurity-Gesetz nicht nur die Verpflichtung zur "cybersecurity by design" vorsehen. Ebenso richtet er sich an Hersteller, Importeure und Vertrieb gleichermaßen und schreibt die Umsetzung von IT-Sicherheitsmaßnahmen über den gesamten Lebenszyklus eines Produktes vor. Das ist erst einmal eine gute Sache, denn das Gesetz, das ursprünglich nur das Internet of Things betreffen sollte, rückt mit seinem ausgedehnten Anwendungsbereich nun sämtliche "Produkte mit digitalen Elementen" und damit letztlich alle vernetzte IT in den Fokus.

Manch einer mag sich sicherlich fragen, ob es wirklich eines weiteren EU-Gesetzes zur Cybersicherheit bedarf, wo wir doch nun schon NIS-2, den Cybersecurity Act, die Radio Equipment Directive und viele weitere bereichsspezifische Gesetze zum selben Thema haben. Fakt aber ist nach wie vor, dass Unternehmen und Hersteller Cybersicherheit bislang vor allem als internen Compliance-Prozess verstanden haben und regulatorisch zu wenig auf die Produkte selbst geachtet wurde, die in den europäischen Binnenmarkt eingeführt wurden oder dort hergestellt werden und hier inzwischen massenweise und teils für viele Jahre zirkulieren.

Schwachstellen in der Planung

Doch beim Entwurf des Cyber Resilience Act ist nicht alles Gold, was glänzt. Denn so ambitioniert das Vorhaben auch sein mag, sind schon jetzt verschiedene Schwachstellen sichtbar, die unbedingt vor Verabschiedung des Gesetzes auszubessern sind. Eine davon betraf die Festlegung der maximalen Produktlebensdauer auf fünf Jahre. Hier hat man schnell eingesehen, dass eine solche Regelung in Anbetracht der Diversität betroffener Produkte in der Praxis kaum sinnvoll sein kann. Eine weitere erhebliche – und bislang in der öffentlichen Debatte leider weitgehend unberücksichtigte – Schwachstelle betrifft den Umgang mit Open-Source-Komponenten, die heutzutage massenhaft in allen nur erdenklichen kommerziellen Devices und Software zum Einsatz kommen; einerseits aus Kostengründen, andererseits aber vor allem auch zur Verbesserung der Funktionalität und Sicherheit von IT-Produkten.

Vor wenigen Tagen ist auch die Python Software Foundation (PSF) als gemeinnützige Organisation zur Förderung, dem Schutz und der Weiterentwicklung der Programmiersprache Python auf dieses Problem aufmerksam geworden und hat eine ausführliche Stellungnahme zum CRA veröffentlicht, verbunden mit der Bitte an alle Leserinnen und Leser, die geäußerten Bedenken an die europäischen Politiker heranzutragen. Die PSF stellt allen Usern nicht nur die Kernprogrammiersprache kostenlos zur Verfügung, sondern auch den Python Packaging Index (PyPI) als eine Bibliothek von Softwarepaketen, die von Tausenden verschiedener Unternehmen und Einzelpersonen geschrieben wurden.

Berechtigte Sorge um Open-Source-Software

Die Sorgen der PSF sind an dieser Stelle klar berechtigt: Sie befürchtet das Entstehen erheblicher Haftungsprobleme aufgrund des ausgedehnten Anwendungsbereichs des CRA ohne Ausnahmeregelungen für öffentliche und gemeinnützige Open-Source-Repositories. Das könne so weit gehen, dass die PSF für potenziell jedes Produkt, das Python-Code enthält, rechtlich haftbar sein könnte, ohne überhaupt einen Umsatz, geschweige denn Gewinn aus den Produkten gezogen zu haben. Sie könnte dann Python und PyPI europäischen Unternehmen und Programmierern nicht mehr zur Verfügung stellen – mit fatalen Folgen für den europäischen Technologiestandort, aber letztlich auch gerade für die Cybersicherheit, die durch den Input der globalen Software-Community und die Unabhängigkeit der PSF bislang erheblich profitiert. Und dieses Problem betrifft natürlich nicht nur Python, sondern alle öffentlich zugänglichen Open-Source-Repositories.

Der europäische Gesetzgeber ist hier deshalb dringend dazu aufgefordert, zeitnah nachzubessern, um eine unwiderrufliche Schädigung der europäischen Open-Source-Community durch den CRA zu verhindern, indem er gemeinnützige Open-Source-Repositories aus dem Anwendungsbereich des künftigen Gesetzes ausklammert. Kommerzielle Unternehmen hingegen, die Open-Source-Software in ihren Produkten einsetzen, sind unabhängig von dieser aktuellen rechtspolitischen Debatte schon jetzt mögliche Haftungsadressaten für Schäden, die kausal durch mangelhafte Software entstehen.

(mai)