Cyber Resilience Act Open-Source-Technologien durch geplantes EU-Gesetz gefährdet

Anbieter zum Thema

OSB Alliance Open Source Business Alliance e.V.

Windhoff Group

Die Europäische Union arbeitet an einem neuen Gesetz, um die Sicherheit für Hard- und Software zu verbessern – dem Cyber Resilience Act. Viele Experten bewerten das Gesetz grundsätzlich positiv, in Sachen Open Source gibt es aber einen Haken.

In den letzten Monaten hat die EU verschiedene Gesetzesvorlagen auf den Weg gebracht, die Anwender von Hard- und Software besser schützen sollen. Konkret geht es dabei um den AI Act, die Product Liability Directive sowie den Cyber Resilience Act (CRA). Vor allem Letzterer birgt aber auch große Gefahren für die Open Source-Community und Europa.

Die EU hat in der Vergangenheit schon einige Gesetze eingeführt, um die Cybersicherheit zu stärken – darunter etwa NIS-2 oder den Cybersecurity Act. Nun kommt der Cyber-Resilience Act hinzu. Und dieser ist im Kern auch eine gute Sache. Hersteller, Vertreiber und Importeure müssten für den gesamten Lebenszyklus und alle Verwendungen einer Software Sicherheitsrichtlinien erfüllen und beispielsweise Sicherheitsupdates bereitstellen. Oder anders ausgedrückt: Der CRA ist ein CE-Logo für Software, das für jeden stabilen Release aktualisiert werden muss.

Einen großen Haken hat die Sache aber doch. Zwar schließt der Entwurf Open-Source-Software explizit aus, jedoch nur, wenn diese nicht für kommerzielle Aktivitäten eingesetzt wird. Aufgrund der schwammigen Formulierung gibt es hier einen großen Interpretationsspielraum, der für Unmut in der Open-Source-Branche gesorgt hat. Organisationen wie die Open Source Business Alliance, Bitkom oder die Eclipse Foundation haben ihre Bedenken geäußert und Verbesserungen vorgeschlagen. Das Projekt FileZilla hat aus Protest zuletzt sogar für einen Tag sämtliche Downloads deaktiviert.

Neue Risiken für Anbieter

Die Szene schaut zurecht mit Sorgenfalten auf die Entwicklungen in Brüssel. Unternehmen, die gegen die Vorgaben des CRA verstoßen, müssen mit Strafen in Millionenhöhe rechnen. Und generell hätte der CRA in seiner ursprünglichen Form verheerende Folgen: Softwarehersteller würden dem maximalen Risiko unterliegen, weil sie zwar Kunden mit bestehenden Verträgen kontrollieren können, aber nicht diejenigen, die die Open-Source-Software frei herunterladen und weiterverwenden. Zudem könnten Juristen Schadensszenarien konstruieren und damit kleinere Hersteller durch Abmahnungen vom Markt drängen. Die Konsequenz wäre, dass Unternehmen sämtliche Open-Source-Aktivitäten stoppen und zu proprietärer, also geschlossener Software umsteigen würden.

Und das wäre, kurzgesagt, der Todesstoß für Open Source in Europa sowie eine erhebliche Schwächung für kleine und mittelständische Unternehmen. Open-Source-Projekte tragen jährlich zwischen 65 und 95 Milliarden Euro zur EU-Wirtschaft bei, hier würde also ein gigantisches Loch entstehen. Die Vielfalt in der europäischen Softwareindustrie wäre gefährdet, die IT-Giganten sind die Nutznießer und erhalten noch mehr Marktdominanz. Das, was wir uns über Jahre hinweg mühsam mit Förder- und Steuergeldern aufgebaut haben, könnte mit einem Schlag verlorengehen.

Wenn wir es nicht schaffen, eine eigenständige IT-Infrastruktur zu bewahren, ist auch der Traum der digitalen Souveränität auf unserem Kontinent ausgeträumt. In diesem Fall wäre es sogar ratsam, die USA als Vorbild zu nehmen. In der aktuellen „National Cybersecurity Strategy“ heißt es dort ausdrücklich, dass Open Source-Entwickler auch bei kommerziellen Produkten nicht haftbar gemacht werden.

Dass wir uns überhaupt an diesem Punkt befinden und die großen Vorteile von Open Source betonen müssen, ist ein mühseliges Übel. Es ist noch nicht lange her, dass sich die Bundesregierung in ihrem Koalitionsvertrag auf eine Stärkung des Open Source-Sektors geeinigt hat. Und auch Projekte wie Gaia-X haben die Hoffnung geschürt, dass wir uns auf dem Weg zu einer starken europäischen IT-Infrastruktur befinden. Millionen wurden investiert, und nun könnte womöglich alles umsonst gewesen sein.

Noch ist aber nicht alle Hoffnung verloren. Die Gesetzesvorlage zum Cyber Resilience Act hat inzwischen mehrere Stationen und Anpassungen hinter sich. Zuletzt hat sich das Europäische Parlament mit dem CRA befasst, genauer gesagt der Ausschuss für Industrie, Forschung und Energie (ITRE) sowie der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO). Während der ITRE an den meisten Punkten festhält, hat sich der IMCO deutlich positiver beim Thema Open Source positioniert. Weitere Verhandlungen soll es vermutlich im September zwischen dem Parlament, der Kommission und dem Rat der Europäischen Union geben.

Ich hoffe, dass die Gespräche letztendlich einen guten Ausgang für die Open Source-Gemeinschaft nehmen werden. Sollte es bei den Vorgaben bleiben, wären nicht nur unzählige Existenzen bedroht, es wäre auch ein massiver Rückschritt für Europa. Und das in einer Situation, in der wir einen starken und souveränen Binnenmarkt mehr als je zuvor brauchen, um nicht vom Rest der Welt abgehängt zu werden. Zwar würde es eine Übergangszeit von mehreren Jahren geben, diese wäre aber nicht viel mehr als eine Galgenfrist. Hoffentlich bleiben wir davon verschont.

* Der Autor: Rico Barth ist Geschäftsführer von KIX Service Software (früher unter dem Namen cape IT bekannt) und Vorstandsmitglied Open Source Business Alliance.

(ID:49628028)