Kommentar zum Cyber Resilience Act

Titelbild Cyber Resilience Act der Europäischen Kommission

 

Gegen Ende 2022 veröffentlichte die Europäische Kommission ihren Vorschlag für den Cyber Resilience Act (CRA), der die Informationssicherheit in sicherheitskritischer Soft- und Hardware in Europa stärken und so langfristig den durch Cybercrime verursachten Schaden reduzieren soll. Insgesamt ist dies ein sehr wünschenswertes Unterfangen, jedoch wurden schnell erste besorgte Stimmen aus der Open-Source-Community laut.

Open-Source-Software profitiert von der Community, in Sachen Innovation und auch hinsichtlich Sicherheit. Durch eine aktive Community ist nicht nur ein Mehraugenprinzip zu jedem Zeitpunkt der Entwicklung sichergestellt, es werden auch die in proprietärer Software vorkommenden Wartungssicherheitslücken (Backdoors) von vornherein vermieden. Insofern kann von einer erhöhten Sicherheit von Open-Source-Software ausgegangen werden.

Der aktuelle Vorschlag für den Cyber Resilience Act fordert zurecht möglichst sichere IT-Komponenten und enthält die Verpflichtung zur Selbstzertifizierung der Softwareanbieter und damit die Bestätigung der Konformität mit den Anforderungen des CRA. Das sind sinnvolle und richtige Forderungen, jedoch sind die bisher angelegten Kriterien auf Open-Source-Unternehmen, die in ihrer Mehrheit eher kleinere und mittelgroße Unternehmen darstellen, nur unzureichend anwendbar. Zwar wird eine Ausnahme für Open Source in Absatz 10 der Präambel formuliert, wo es heißt, dass „kostenlose und quelloffene Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird, nicht unter diese Verordnung fallen“, „um nicht Innovation oder Forschung zu behindern“, jedoch wird die zuvor formulierte Ausnahme noch im selben Absatz beschränkt. So sollen auch solche Software-Produkte unter die Regulierung fallen, für die kostenpflichtige technische Supportdienste angeboten werden. Da insbesondere der Support für Open-Source-Lösungen häufig der Kern des Geschäftsmodells von Unternehmen dieser Branche darstellt, sieht z. B. die Open Source Initiative in dieser Einschränkung ein großes Problem für Open Source in Europa. Aus diesem Grund reichte Simon Phipps für die OSI am 23. Januar 2023 ein ausführliches Feedback zum CRA-Entwurf ein. Ein weiteres ähnliches Statement wurde vom OpenForum Europe abgegeben, welches von der Open Source Business Alliance (OSBA) mit unterschrieben wurde.

Das Thema wird bei der OSBA weiter intensiv diskutiert und Definitionen und Formulierungen im vorliegenden Entwurf bleiben für Open-Source-Unternehmen problematisch. Als „Hersteller“ gelten beispielsweise nicht nur Unternehmen/Organisationen, die die Software entwickeln, es werden auch Importeure oder Distributer einer Software in § 15 als „manufacturer“ eingeordnet, mit gleicher Haftung und Verantwortung, genauso wie (§ 16) jede natürliche oder juristische Person, die substanzielle Änderungen am Code vornimmt. Die Verpflichtungen dieser „Hersteller“ sind für kleinere Firmen, wie sie im Open-Source-Bereich sehr häufig anzutreffen sind, sehr schwer zu erfüllen, etwa die geforderte Resilienz gegen Denial-of-Service-Angriffe. Auch das Strafmaß scheint sich eher an der Finanzkraft von Großunternehmen zu orientieren. Von bis zu 15 Millionen oder 2,5% des letztjährigen Umsatzes (jeweils der höhere Betrag) ist in §53.3 die Rede.

Grundsätzlich ist der Cyber Resilience Act zu begrüßen, da jede Erhöhung der Sicherheit in kritischen Bereichen, gerade auch angesichts der aktuellen Konfliktsituation ein wichtiger Beitrag auch zur Stärkung der Demokratie darstellt. Aber wir müssen aufpassen, dass hier das Kind nicht mit dem Bade ausgeschüttet wird. Der CRA darf nicht dazu führen, dass Hersteller sich nicht mehr trauen, ihre Software auf den europäischen Markt zu bringen, oder dass kleinere europäische Unternehmen sich ganz aus dem Softwaremarkt zurückziehen. Da das Hauptbetätigungsfeld der DAASI International – IAM – im Annex III des CRA zur unteren Klasse 1 der (sicherheits-)kritischen Produkte gezählt wird, ist dieses Thema auch für uns von allerhöchster Relevanz. Wir werden dieses deshalb weiter intensiv verfolgen.

Menü
WordPress Cookie Plugin von Real Cookie Banner