Von Brüssel bis zum Serverraum
CRA als Chance für Open Source?
Der Cyber Resilience Act verändert Europas digitale Sicherheit und stellt Open Source vor neue Herausforderungen. Stackable-CTO Lars Francke erklärt, wie klare Regeln und ein ausgewogenes Verantwortungsmodell Open Source stärken können.
Lars Francke kennt beide Seiten: die der Open-Source-Community und die der politischen Entscheidungsprozesse. Mit seinem Unternehmen Stackable entwickelt er eine modulare Datenplattform, die weltweit in sicherheitskritischen Bereichen wie Finanzwesen oder Gesundheitsversorgung im Einsatz ist. Seit Ende 2024 ist Francke Mitglied der EU-Expertengruppe zum Cyber Resilience Act (CRA), seit 2025 auch CVE Numbering Authority.
Politik & Perspektive: Von Wedel nach Brüssel
connect professional: Herr Francke, Stackable ist ein junges Unternehmen mit einem kleinen Team und doch sitzen Sie heute mit Vertretern von Microsoft, Cisco und Siemens am Verhandlungstisch. Was war Ihre Motivation, sich in die CRA-Expertengruppe einzubringen und wie kam es dazu?
Lars Francke: Wir hatten den Cyber Resilience Act von Beginn an, seit 2022, intensiv verfolgt, da er die Sicherheit digitaler Produkte grundlegend verändern wird. Und natürlich auch die hitzigen Debatten, die es nach der Ankündigung dazu gab. Vor allem für die Open Source-Community hätte es in der ursprünglichen Fassung große Nachteile gegeben. Und da wir nicht nur Teil dieser Community sind, sondern Open Source quasi in unserer Unternehmens-DNA verankert ist, mussten wir einfach aktiv werden. Kurzgesagt wollten wir die digitale Welt sicherer und gleichzeitig fairer für alle Betroffenen machen. Beworben haben wir uns aber ehrlich gesagt nur auf gut Glück. Wir sind zwar inzwischen fünf Jahre am Markt und arbeiten mit Partnern auf der ganzen Welt, aber ernsthafte Hoffnungen hatten wir nicht. Umso mehr haben wir uns dann aber über die Zusage gefreut.
connect professional: Wie war das erste Treffen in Brüssel für Sie persönlich? Fühlt man sich da eher als Mitgestalter oder als Beobachter?
Francke: Das erste Treffen war auf jeden Fall beeindruckend. Alleine schon die Kulisse in Brüssel, wo Entscheidungen für den ganzen Kontinent gefällt werden. Oder mit Vertretern von Branchenriesen wie Microsoft oder Cisco gemeinsam an einem Projekt arbeiten zu können. Und natürlich auch der Blick hinter die Kulissen der EU-Gesetzgebung. In der Gruppe wird jeder Teilnehmer tatsächlich gleichberechtigt gehört, das freut mich wirklich. Dazu gehört zwar einiges an Vorbereitung, aber diese Mühe ist es wert.
connect professional: Was war aus Ihrer Sicht der wichtigste Streitpunkt im Vorfeld des CRA? Und wie wurde er gelöst?
Francke: Es gab bei mehreren Themen Diskussionsbedarf, der mitunter bis heute anhält, etwa im Bereich Risikomanagement. Aber da wir bei unserer Data Platform von Beginn an auf einen offenen Quellcode setzen, ist Open Source für uns der wichtigste Punkt bei den Meetings. Der CRA verpflichtet Hersteller, Vertreiber und Importeure dazu, bestimmte Richtlinien zu erfüllen und Sicherheitsupdates über den gesamten Lebenszyklus ihrer Produkte bereitzustellen. In der ursprünglichen Version des CRA hätten Open Source-Maintainer die gleichen Vorgaben erfüllen müssen wie kommerzielle Anbieter. Und das hätte sehr wahrscheinlich dazu geführt, dass sie sich vom europäischen Markt zurückziehen. Mittlerweile sind die Abgrenzungen genauer definiert, aber das Feintuning beschäftigt uns weiterhin.
Open Source unter Regulierung: Verantwortung mit Augenmaß
connect professional: Open Source ist in den CRA-Verhandlungen weiterhin stark umstritten. Worin besteht das Problem und wie bewerten Sie die gefundene Lösung mit der Rolle des „Open Source Steward“?
Francke: In der Expertengruppe diskutieren wir aktuell vor allem die Verantwortlichkeit. Wenn ein Maintainer beispielsweise eine Bibliothek betreibt und damit Geld verdient, wird er womöglich als Hersteller eingestuft und muss sich an die juristischen Pflichten halten. Bei einem Projekt, das auf Freiwilligenarbeit basiert, ist das kaum umsetzbar. Wer ist in so einem Fall etwa bei einer Schwachstelle verantwortlich? Der Maintainer, der eigentliche Autor, der Paketbetreiber, oder sogar derjenige, der das Gesamtpaket integriert? Mit dem Open Source Steward wurde eine Mittelweg gefunden, mit dem sich die Beteiligten genauer abgrenzen lassen. Das war auf jeden Fall ein Schritt in die richtige Richtung. Trotzdem ist noch vieles ungeklärt.
connect professional: Was bedeutet diese Rolle konkret und wer kann sie in der Praxis übernehmen?
Francke: Unter den Open Source Steward fallen juristische Personen, die keine Hersteller sind, aber die Entwicklung quelloffener Software unterstützen. Er ist auf professionelle Strukturen zugeschnitten, ein privater Maintainer fällt also nicht darunter. Der Steward muss Sicherheitsrichtlinien erfüllen, etwa Schwachstellen erkennen und dokumentieren, und Informationen mit der Open Source-Community teilen.
connect professional: Glauben Sie, dass die aktuelle Fassung des CRA das Open-Source-Ökosystem in Europa eher schützt oder eher belastet?
Francke: Der CRA ist auf jeden Fall ein großer Schritt, nicht nur für uns Open Source-Akteure, sondern für die gesamte europäische Cybersicherheit. Und wie bei allen großen Schritten wird es einige Herausforderungen geben. In der Expertengruppe arbeiten wir daran, die Umstellungen so unbürokratisch wie möglich und gleichzeitig effizient zu gestalten. Und ich bin überzeugt, dass sich die Arbeit auszahlen wird. Auf längere Sicht wird der CRA die Open Source-Landschaft in Europa mit Sicherheit stärken. Auch mit Blick darauf, dass Unternehmen, die auf Open Source-Projekte angewiesen sind, den Bereich besser finanzieren und unterstützen - darauf hoffen wir zumindest.
Umsetzung & Handlungspflichten: Was jetzt zählt
connect professional: Ab 2026 gelten Meldepflichten, ab Ende 2027 müssen Unternehmen voll compliant sein. Was raten Sie IT-Verantwortlichen, die jetzt noch am Anfang stehen?
Francke: Unternehmen, die auf Open Source setzen, sollten so schnell wie möglich aktiv werden und für Transparenz sorgen: Welche Komponenten mit offenem Quellcode nutzen wir? Wer ist intern verantwortlich für deren Integration, Pflege und Aktualisierung? Ein wichtiger Punkt ist dabei eine dokumentierte Übersicht, idealerweise unterstützt durch automatisierte Werkzeuge zur SBOM-Erstellung. Außerdem müssen Prozesse etabliert werden, wie auf entdeckte Schwachstellen reagiert wird, etwa mit klaren Zuständigkeiten, Kommunikationswegen und Zeitplänen. Für sicherheitskritische Systeme empfiehlt sich darüber hinaus ein regelmäßiger Abgleich mit bekannten Sicherheitsdatenbanken wie der CVE-Datenbank oder EUVD sowie gegebenenfalls ein Notfallplan für Patches und Updates.
connect professional: Was sind aus Ihrer Sicht die häufigsten Missverständnisse rund um den CRA?
Francke: Der CRA begleitet und ja schon eine ganze Weile, aber es sind trotzdem noch einige Missverständnisse im Umlauf. Etwa, dass er nur Hardware betrifft. Dabei gilt der CRA für alle Produkte mit digitalen Elementen, also auch für Software, die direkt oder indirekt per Internet kommuniziert. Bei der Risikobewertung gehen manche Leute davon aus, dass diese nur einmal erforderlich ist. Sie muss aber kontinuierlich ablaufen – vor einem Release, während des gesamten Lebenszyklus und bei Änderungen eines Produkts. Beim Thema Lieferketten herrscht vor allem das Missverständnis vor, dass nur der Hersteller verantwortlich ist. Die CRA bezieht aber alle Akteure entlang der Software-Lieferkette mit ein. In der Expertengruppe arbeiten wir momentan an Umsetzungshilfen, um alle Unklarheiten aus der Welt zu schaffen.
connect professional: Wo sehen Sie die größten Herausforderungen für kleinere und mittlere Unternehmen bei der praktischen Umsetzung?
Francke: In kleinen und mittleren Unternehmen mangelt es häufig an den nötigen Ressourcen, also Zeit, Personal und Budget – von einem eigenen Security-Team ganz zu schweigen. Deshalb müssen sie Sicherheits- und Update-Prozesse oft erstmal generell aufbauen. In KMUs hakt es mitunter auch an der Strukturierung, um die Anforderungen nachprüfbar zu erfüllen. Viele müssen sich beispielsweise erst mit der technischen Dokumentation vertraut machen. Deshalb kann ich wirklich nur betonen: Warten Sie nicht zu lange ab, um sich mit diesen Themen zu beschäftigen. Und was auch zu bedenken ist: Viele kleine Firmen oder sogar Ein-Personen-Startups müssen sich nun zum ersten Mal überhaupt mit EU-Gesetzen und Standardisierung befassen. Die technische Umsetzung ist dabei vermutlich die kleinste Hürde, aber das bürokratische Drumherum kann einen schnell überfordern. Es ist fast so, als müsste man eine neue Sprache lernen. Und ein Thema wie die Risikobewertung kommt in einem IT-Studium oft nicht mal dran. Da gibt es viel zu lernen.
CVE, Schwachstellenmanagement & Softwarequalität
connect professional: Stackable ist seit Mai 2025 Teil des CVE-Programms – als eines von nur 23 Unternehmen in Deutschland. Was bedeutet das für Ihr Team und Ihre Kunden konkret?
Francke: Für uns bei Stackable bedeutet das vor allem, dass wir das Schwachstellenmanagement unserer Datenplattform auf ein neues Level bringen. Als CVE Numbering Authority, oder CNA, können wir Schwachstellen selbstständig melden, nummeriert in die Datenbank einpflegen und unser Wissen mit anderen CNAs weltweit teilen. Das CVE-Programm hatte damals zum Beispiel dazu beigetragen, das WannaCry-Virus einzudämmen. Und auch wir können nun einen Anteil an der Begrenzung solcher Szenarien beitragen. Nicht nur für unsere Kunden und uns, sondern für User auf der ganzen Welt.
connect professional: Gibt es Synergien zwischen Ihrer Rolle im CVE-Programm und dem Engagement im CRA-Kontext oder auch Zielkonflikte?
Francke: Beide Projekte ergänzen sich ziemlich gut. Der CRA beinhaltet ja etwa auch, dass wir und andere Unternehmen Sicherheitslücken innerhalb von 24 Stunden melden müssen. Zudem können wir unsere Erfahrungen als CNA direkt in die Expertengruppe einbringen. Wir sind also nicht nur Theoretiker, sondern können sozusagen von der Front berichten.
Ausblick: Souveränität, Roadmap und technologische Verantwortung
connect professional: Sie setzen kompromisslos auf Open Source. Ist das in erster Linie Überzeugung oder inzwischen auch eine bewusste Strategie für digitale Souveränität in Europa?
Francke: Beides. Für uns stand von Anfang an fest, dass wir auf Open Source setzen. Die Möglichkeit, dass alle Anwender den Quellcode einsehen und auditieren können, ist einfach fantastisch. Es sorgt nicht nur für Transparenz und Wissensaustausch, sondern erhöht auch die Sicherheit. Durch die Zusammenarbeit der Community lassen sich Sicherheitslücken meist deutlich schneller identifizieren und schließen als bei proprietärer Software. Zudem entstehen durch Open Source Innovationen – der Einstieg ist denkbar einfach und durch den Community-Faktor lassen sich wunderbar neue Ideen entwickeln und etablieren. All diese Punkte machen Open Source aus meiner Sicht zum idealen Mittel, um die digitale Souveränität in Europa zu stärken.
connect professional: Was bedeutet für Sie persönlich „digitale Souveränität“ und wie kann sie in konkreten Projekten aussehen?
Francke: Für mich bedeutet es vor allem, die Kontrolle zu haben. Nicht nur über meine Daten, sondern über den gesamten Code. Wenn etwas nicht funktioniert, möchte ich selbst nachschauen können, woran es liegt, und nicht auf die Rückmeldung eines Entwicklers angewiesen sein. Ich möchte nicht abhängig sein von einer Technologie, bei der der Code Verschlusssache ist und man womöglich früher oder später von einem Vendor Lock-in betroffen ist. Und diese Philosophie geben wir auch an unsere Kunden weiter: Sie können unsere Datenplattform on-prem oder in einer EU-Cloud nutzen, alle Komponenten nachvollziehen und sie durch die modulare Bauweise nach Belieben anpassen.
connect professional: Wohin entwickelt sich Stackable in den nächsten Jahren? Welche technologischen Trends beobachten Sie mit besonderem Interesse?
Francke: Das Schöne an unserem Business ist, dass wir im Grunde nie fertig sind. Das Fundament steht, aber wir möchten Stackable noch einfacher und leistungsfähiger machen. Mittelfristig haben wir eine klare Roadmap, die wir jedoch regelmäßig an die Weiterentwicklung der Open Source-Tools anpassen, mit denen wir arbeiten. Besonders interessant finde ich das Programm OpenSearch zur Suche und Analyse. In den nächsten Monaten wollen wir es in unsere Datenplattform integrieren, um die Arbeit der User weiter zu erleichtern. Unsere Kunden können sich aber generell auf die kommenden Releases freuen, wir haben einige spannende Pläne.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Open statt ausgeliefert
Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will
Sonatype: Schutz für Open Source
Bislang unentdeckte Sicherheitslücken aufspüren
Stackable präsentiert skalierbare…
Datenkompetenz in Unternehmen steigern
