Der CRA ist als großer Wurf für sichere Produkte geplant. Doch für Open Source könnten die Folgen dramatisch sein, warnt IT-Rechtler Prof. Dennis-Kenji Kipker.
Wenn ein signifikanter Umbruch in der europäischen Cybersicherheitslandschaft durch ein Gesetz bewirkt werden kann, dann wird es der Cyber Resilience Act (CRA) sein. Schon jetzt hat die erste, im September 2022 vorgelegte Endfassung, für Furore gesorgt. In Deutschland und der EU und vor allem auch im Ausland hat der CRA rechtspolitisch die Mühlen in Bewegung gesetzt.
Die Ziele des Cyber Resilience Act
Der CRA wird als erstes europäisches Cybersecurity-Gesetz unter anderem die Verpflichtung zur „cybersecurity by design“ vorsehen. Er schreibt die Umsetzung von IT-Sicherheitsmaßnahmen über den gesamten Lebenszyklus eines Produktes vor und richtet sich so an Hersteller, Importeure und den Vertrieb. Das ist erst einmal als positiv anzusehen, denn das Gesetz, das anfänglich nur das Internet of Things betreffen sollte, rückt mit seinem erweiterten Anwendungsbereich nun sämtliche „Produkte mit digitalen Elementen“ und damit letztlich alle vernetzte IT in den Mittelpunkt.
Manch einer mag sich fragen, ob es wirklich eines weiteren EU-Gesetzes zur Cybersicherheit bedarf, wo wir doch nun schon NIS-2, den Cybersecurity Act, die Radio Equipment Directive und zusätzliche bereichsspezifische Gesetze zum selben Thema haben. Unternehmen und Hersteller haben bisher die Cybersicherheit bislang vor allem als internen Compliance-Prozess verstanden und haben regulatorisch zu wenig auf die Produkte selbst geachtet, die in den europäischen Binnenmarkt eingeführt, bzw. dort hergestellt werden und hier inzwischen in Massen und oft jahrelang zirkulieren.
In der Planung sind Schwachstellen
Doch es ist nicht alles Gold, was glänzt beim Entwurf des Cyber Resilience Act. Denn so ambitioniert das Vorhaben auch ist, so sind schon jetzt verschiedene Schwachstellen sichtbar, die dringend vor Verabschiedung des Gesetzes ausgebessert werden müssen. Die Festlegung der maximalen Produktlebensdauer auf fünf Jahre, ist eine solche Schwachstelle. In Anbetracht der Diversität betroffener Produkte, ist eine solche Regelung in der Praxis kaum sinnvoll. Eine merkliche, bisher eher stiefmütterlich behandelte Schwachstelle betrifft den Umgang mit Open-Source-Komponenten, die heutzutage reihenweise in allen nur erdenklichen kommerziellen Devices und Software zum Einsatz kommen; einerseits aus Kostengründen, andererseits aber auch zur Verbesserung der Funktionalität und Sicherheit von IT-Produkten.
Als gemeinnützige Organisation zur Förderung, dem Schutz und der Weiterentwicklung der Programmiersprache Python ist auch die Python Software Foundation (PSF) vor einigen Tagen auf dieses Problem aufmerksam geworden und hat eine ausführliche Stellungnahme veröffentlicht, verbunden mit der Bitte an alle Leserinnen und Leser, die Bedenken an die europäischen Politiker heranzutragen. Die Nicht nur die Kernprogrammiersprache stellt PSF allen Usern kostenlos zur Verfügung, sondern auch den Python Packaging Index (PyPI) als eine Bibliothek von Softwarepaketen, die von Tausenden verschiedener Unternehmen und Einzelpersonen geschrieben wurden.
Berechtigte Sorge um Open-Source-Software
An dieser Stelle sind die Sorgen der PSF definitiv berechtigt: Es könnte aufgrund des ausgedehnten Anwendungsbereichs des CRA ohne Ausnahmeregelungen für öffentliche und gemeinnützige Open-Source-Repositories zur Entstehung erheblicher Haftungsprobleme führen.
In der Theorie könnte es so weit gehen, dass die PSF für potenziell jedes Produkt, das Python-Code enthält, rechtlich haftbar sein könnte, ohne einen Umsatz oder den Gewinn aus den Produkten gezogen zu haben.
Python und PyPI könnte sie dann europäischen Unternehmen und Programmierern nicht mehr zur Verfügung stellen – mit fatalen Folgen für den europäischen Technologiestandort, aber auch für die Cybersicherheit, die durch den Input der globalen Software-Community und die Unabhängigkeit der PSF bisher erheblich profitiert. Dieses Problem betrifft natürlich nicht nur Python, sondern auch alle anderen öffentlich zugänglichen Open-Source-Repositories.
Deshalb ist hier der europäische Gesetzgeber dringend dazu aufgefordert, zeitnah nachzubessern, indem er gemeinnützige Open-Source-Repositories aus dem Anwendungsbereich des künftigen Gesetzes ausklammert, auch um eine unwiderrufliche Schädigung der europäischen Open-Source-Community durch den CRA zu verhindern. Unabhängig von dieser aktuellen rechtspolitischen Debatte sind Kommerzielle Unternehmen hingegen, die Open-Source-Software in ihren Produkten einsetzen, schon jetzt mögliche Haftungsadressaten für Schäden, die kausal durch mangelhafte Software entstehen.