Der Cyber Resilience Act als Gefahr für Open Source
Der Cyber Resilience Act (CRA) war geplant, die Sicherheit von Produkten nachhaltig zu erhöhen. Doch die Folgen für die Open Source Community könnten enorm sein. Denn auch kommerzielle Software und kommerzielle Produkte greifen sehr häufig auf Open Source zurück.
Das ist der Cyber Resilience Act
Der CRA wurde in seiner ersten Fassung im September 2022 vorgestellt und er schlug schnell hohe Wellen sowohl innerhalb als auch außerhalb der EU. Unter anderem ist in dem Gesetzesentwurf enthalten, dass es eine Verpflichtung zur Cybersecurity by design geben soll. Auch schreibt das Gesetz die Implementierung und Umsetzung von IT-Sicherheitsmaßnahmen über den gesamten Lebenszyklus eines Produkts vor. Grundsätzlich also eine gute Entwicklung, da alle vernetzten IT-Elemente somit in den Fokus des Gesetzes rücken. So gut diese Lösung auf den ersten Blick auch erscheinen mag, es wird schnell deutlich, dass das Gesetz noch einige Schwachstellen aufweist, welche für Unternehmen zu einem echten Problem werden könnten.
Diese Gefahren sieht man für Open Source
Vor allem das Problem Open Source steht immer stärker im Fokus. Unter anderem hat die Python Software Foundation (PSF) auf das Problem aufmerksam gemacht. Die PSF stellt den Nutzern nicht nur die Kernprogrammiersprache Python zur Verfügung, sondern auch den Python Packaging Index. Dieser ist als Bibliothek zu verstehen, in welcher die verschiedenen Software-Pakete von Unternehmen und Einzelpersonen enthalten sind. Die Befürchtungen der PSF liegen darin, dass es keine Ausnahmeregelungen im Cyber Resilience Act für öffentliche oder gemeinnützige Open-Source-Repositories gibt. Das könnte also dazu führen, dass die PSF für alle Produkte haftbar wird, welche in ihrer Architektur auf Python oder Python-Code zurückgreift. Das Problem betrifft selbstverständlich nicht nur die Programmiersprache Python, sondern alle anderen Open-Source-Lösungen, welche aktuell auf dem Markt sind und welche ebenfalls von kommerziellen Unternehmen in ihren Produkten verwendet werden.
Die aktuelle Fassung könnte den Entwicklungsstandort Europa gefährden
Sollte das Gesetz also in seiner jetzigen Form in Kraft treten, kann es zu erheblichen Schwierigkeiten am Wirtschaftsstandort Europa kommen. Denn die bisher als Open Source verfügbaren Software-Lösungen dürften aufgrund der neuen Haftbarkeit nicht mehr Open-Source bleiben. Organisationen wie die Python Software Foundation könnten sowohl die Programmiersprache als auch das Repository nicht mehr einfach zugänglich machen aus Angst vor Haftungsklagen und Verantwortlichkeiten. Viele Unternehmen in Europa stünden plötzlich vor erheblichen Problemen, wenn die Open-Source-Lösungen nicht mehr zur Verfügung stünden und Unternehmen eigene Lösungen entwickeln müssten.
Fazit: Eine schnelle Nachbesserung ist dringend erforderlich
Immer mehr Unternehmen werden auf das Problem aufmerksam und versuchen aktiv, die Gesetzgeber zu einer Überarbeitung des Cyber Resilience Act zu motivieren. Die Open-Source-Community ruft dazu auf, sich aktiv bei den zuständigen Politikern zu beschweren und aktiv diese anzuschreiben und auf das Problem aufmerksam zu machen. Auch kleine und mittelständische Unternehmen sind potenziell betroffen. Wenn Sie mit Ihrem Unternehmen also auch auf Open-Source-Software in Ihren Produkten zurückgreifen, sollten Sie schnellstmöglich aktiv werden und die zuständigen Europa-Politiker anschreiben. Ist der Aufschrei gegen das Gesetz groß genug, stehen die Chancen gut, dass es überarbeitet und nachgebessert wird.
Quelle: leowolfert © / Adobe Stock