Cyber Resilience Act: Galgenfrist für Open Source?

Der CRA birgt auch große Gefahren für die Open Source-Community und Europa, warnt Rico Barth von der Open Source Business Alliance.
 

Die EU hat in der Vergangenheit schon einige Gesetze eingeführt, um die Cybersicherheit zu stärken – darunter etwa NIS-2 oder den Cybersecurity Act. Nun kommt der Cyber Resilience Act hinzu. Und dieser ist im Kern auch eine gute Sache. Hersteller, Vertreiber und Importeure müssten für den gesamten Lebenszyklus und alle Verwendungen einer Software Sicherheitsrichtlinien erfüllen und beispielsweise Sicherheitsupdates bereitstellen. Oder anders ausgedrückt: Der CRA ist ein CE-Logo für Software, das für jeden stabilen Release aktualisiert werden muss. Einen großen Haken hat die Sache aber doch.
Unmut in der Open Source-Branche

Zwar schließt der Entwurf Open Source-Software explizit aus, jedoch nur, wenn diese nicht für kommerzielle Aktivitäten eingesetzt wird. Aufgrund der schwammigen Formulierung gibt es hier einen großen Interpretationsspielraum, der für Unmut in der Open Source-Branche gesorgt hat. Organisationen wie die Open Source Business Alliance, Bitkom oder die Eclipse Foundation haben ihre Bedenken geäußert und Verbesserungen vorgeschlagen. Das Projekt FileZilla hat aus Protest zuletzt sogar für einen Tag sämtliche Downloads deaktiviert.

Die Szene schaut zurecht mit Sorgenfalten auf die Entwicklungen in Brüssel. Unternehmen, die gegen die Vorgaben des CRA verstoßen, müssen mit Strafen in Millionenhöhe rechnen. Und generell hätte der CRA in seiner ursprünglichen Form verheerende Folgen: Softwarehersteller würden dem maximalen Risiko unterliegen, weil sie zwar Kunden mit bestehenden Verträgen kontrollieren können, aber nicht diejenigen, die die Open Source-Software frei herunterladen und weiterverwenden. Zudem könnten Juristen Schadensszenarien konstruieren und damit kleinere Hersteller durch Abmahnungen vom Markt drängen. Die Konsequenz wäre, dass Unternehmen sämtliche Open Source-Aktivitäten stoppen und zu proprietärer, also geschlossener Software umsteigen würden.  

IT-Giganten sind die Nutznießer

Und das wäre, kurzgesagt, der Todesstoß für Open Source in Europa sowie eine erhebliche Schwächung für kleine und mittelständische Unternehmen. Open Source-Projekte tragen jährlich zwischen 65 und 95 Milliarden Euro zur EU-Wirtschaft bei, hier würde also ein gigantisches Loch entstehen. Die Vielfalt in der europäischen Softwareindustrie wäre gefährdet, die IT-Giganten sind die Nutznießer und erhalten noch mehr Marktdominanz. Das, was wir uns über Jahre hinweg mühsam mit Förder- und Steuergeldern aufgebaut haben, könnte mit einem Schlag verlorengehen. Wenn wir es nicht schaffen, eine eigenständige IT-Infrastruktur zu bewahren, ist auch der Traum der digitalen Souveränität auf unserem Kontinent ausgeträumt. In diesem Fall wäre es sogar ratsam, die USA als Vorbild zu nehmen. In der aktuellen ‚National Cybersecurity Strategy‘ heißt es dort ausdrücklich, dass Open Source-Entwickler auch bei kommerziellen Produkten nicht haftbar gemacht werden.

Dass wir uns überhaupt an diesem Punkt befinden und die großen Vorteile von Open Source betonen müssen, ist ein mühseliges Übel. Es ist noch nicht lange her, dass sich die Bundesregierung in ihrem Koalitionsvertrag auf eine Stärkung des Open Source-Sektors geeinigt hat. Und auch Projekte wie Gaia-X haben die Hoffnung geschürt, dass wir uns auf dem Weg zu einer starken europäischen IT-Infrastruktur befinden. Millionen wurden investiert, und nun könnte womöglich alles umsonst gewesen sein.

Noch ist nicht alle Hoffnung verloren

Die Gesetzesvorlage zum Cyber Resilience Act hat inzwischen mehrere Stationen und Anpassungen hinter sich. Zuletzt hat sich das Europäische Parlament mit dem CRA befasst, genauer gesagt der Ausschuss für Industrie, Forschung und Energie (ITRE) sowie der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO). Während der ITRE an den meisten Punkten festhält, hat sich der IMCO deutlich positiver beim Thema Open Source positioniert. Weitere Verhandlungen soll es vermutlich im September zwischen dem Parlament, der Kommission und dem Rat der Europäischen Union geben.

Ich hoffe, dass die Gespräche letztendlich einen guten Ausgang für die Open Source-Gemeinschaft nehmen werden. Sollte es bei den Vorgaben bleiben, wären nicht nur unzählige Existenzen bedroht, es wäre auch ein massiver Rückschritt für Europa. Und das in einer Situation, in der wir einen starken und souveränen Binnenmarkt mehr als je zuvor brauchen, um nicht vom Rest der Welt abgehängt zu werden. Zwar würde es eine Übergangszeit von mehreren Jahren geben, diese wäre aber nicht viel mehr als eine Galgenfrist. Hoffentlich bleiben wir davon verschont.

 
Rico Barth
 
ist Geschäftsführer KIX Service Software und Vorstandsmitglied Open Source Business Alliance.