„Cyber Resilience Act“ der EU
Mögliches Aus für Open-Source-Technologie in Europa
Mit dem „Cyber Resilience Act“ will die EU die Sicherheit für Hard- und Software verbessern. Doch das Gesetz hat einen massiven Haken, meint Rico Barth, KIX-Geschäftsführer und Vorstandsmitglied in der Open Source Business Alliance: Es könnte das Aus für Open-Source-Technologie in Europa bedeuten.
In den letzten Monaten hat die EU verschiedene Gesetzesvorlagen auf den Weg gebracht, die Anwender von Hard- und Software besser schützen sollen. Konkret geht es dabei um den „AI Act“, die „Product Liability Directive“ sowie den „Cyber Resilience Act“ (CRA). Vor allem Letzterer berge aber auch große Gefahren für die Open Source-Community und Europa, meint Rico Barth, Geschäftsführer von KIX Service Software und Vorstandsmitglied in der Open Source Business Alliance:
„Die EU hat in der Vergangenheit schon einige Gesetze eingeführt, um die Cybersicherheit zu stärken – darunter etwa „NIS-2“ oder den „Cybersecurity Act“. Nun kommt der „Cyber Resilience Act“ hinzu. Und dieser ist im Kern auch eine gute Sache. Hersteller, Vertreiber und Importeure müssten für den gesamten Lebenszyklus und alle Verwendungen einer Software Sicherheitsrichtlinien erfüllen und beispielsweise Sicherheitsupdates bereitstellen. Oder anders ausgedrückt: Der CRA ist ein CE-Logo für Software, das für jeden stabilen Release aktualisiert werden muss. Einen großen Haken hat die Sache aber doch.
Zwar schließt der Entwurf Open-Source-Software explizit aus, jedoch nur, wenn diese nicht für kommerzielle Aktivitäten eingesetzt wird. Aufgrund der schwammigen Formulierung gibt es hier einen großen Interpretationsspielraum, der für Unmut in der Open-Source-Branche gesorgt hat. Organisationen wie die Open Source Business Alliance, Bitkom oder die Eclipse Foundation haben ihre Bedenken geäußert und Verbesserungen vorgeschlagen. Das Projekt FileZilla hat aus Protest zuletzt sogar für einen Tag sämtliche Downloads deaktiviert.
Die Szene schaut zurecht mit Sorgenfalten auf die Entwicklungen in Brüssel. Unternehmen, die gegen die Vorgaben des CRA verstoßen, müssen mit Strafen in Millionenhöhe rechnen. Und generell hätte der CRA in seiner ursprünglichen Form verheerende Folgen: Softwarehersteller würden dem maximalen Risiko unterliegen, weil sie zwar Kunden mit bestehenden Verträgen kontrollieren können, aber nicht diejenigen, die die Open Source-Software frei herunterladen und weiterverwenden. Zudem könnten Juristen Schadensszenarien konstruieren und damit kleinere Hersteller durch Abmahnungen vom Markt drängen. Die Konsequenz wäre, dass Unternehmen sämtliche Open Source-Aktivitäten stoppen und zu proprietärer, also geschlossener Software umsteigen würden.
Und das wäre, kurzgesagt, der Todesstoß für Open Source in Europa sowie eine erhebliche Schwächung für kleine und mittelständische Unternehmen. Open Source-Projekte tragen jährlich zwischen 65 und 95 Milliarden Euro zur EU-Wirtschaft bei, hier würde also ein gigantisches Loch entstehen. Die Vielfalt in der europäischen Softwareindustrie wäre gefährdet, die IT-Giganten sind die Nutznießer und erhalten noch mehr Marktdominanz. Das, was wir uns über Jahre hinweg mühsam mit Förder- und Steuergeldern aufgebaut haben, könnte mit einem Schlag verlorengehen. Wenn wir es nicht schaffen, eine eigenständige IT-Infrastruktur zu bewahren, ist auch der Traum der digitalen Souveränität auf unserem Kontinent ausgeträumt. In diesem Fall wäre es sogar ratsam, die USA als Vorbild zu nehmen. In der aktuellen ‚National Cybersecurity Strategy‘ heißt es dort ausdrücklich, dass Open Source-Entwickler auch bei kommerziellen Produkten nicht haftbar gemacht werden.
Dass wir uns überhaupt an diesem Punkt befinden und die großen Vorteile von Open Source betonen müssen, ist ein mühseliges Übel. Es ist noch nicht lange her, dass sich die Bundesregierung in ihrem Koalitionsvertrag auf eine Stärkung des Open-Source-Sektors geeinigt hat. Und auch Projekte wie Gaia-X haben die Hoffnung geschürt, dass wir uns auf dem Weg zu einer starken europäischen IT-Infrastruktur befinden. Millionen wurden investiert, und nun könnte womöglich alles umsonst gewesen sein.
Noch ist aber nicht alle Hoffnung verloren. Die Gesetzesvorlage zum Cyber Resilience Act hat inzwischen mehrere Stationen und Anpassungen hinter sich. Zuletzt hat sich das Europäische Parlament mit dem CRA befasst, genauer gesagt der Ausschuss für Industrie, Forschung und Energie (ITRE) sowie der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO). Während der ITRE an den meisten Punkten festhält, hat sich der IMCO deutlich positiver beim Thema Open Source positioniert. Weitere Verhandlungen soll es vermutlich im September zwischen dem Parlament, der Kommission und dem Rat der Europäischen Union geben.
Ich hoffe, dass die Gespräche letztendlich einen guten Ausgang für die Open Source-Gemeinschaft nehmen werden. Sollte es bei den Vorgaben bleiben, wären nicht nur unzählige Existenzen bedroht, es wäre auch ein massiver Rückschritt für Europa. Und das in einer Situation, in der wir einen starken und souveränen Binnenmarkt mehr als je zuvor brauchen, um nicht vom Rest der Welt abgehängt zu werden. Zwar würde es eine Übergangszeit von mehreren Jahren geben, diese wäre aber nicht viel mehr als eine Galgenfrist. Hoffentlich bleiben wir davon verschont."
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
EU setzt neue IT-Sicherheitsmaßstäbe
Cyber Resilience Act: Hersteller in der Pflicht
Abschreckung als Ziel
EU verhängt Milliarden-Strafe gegen Apple
