Im Juli hat der ITRE-Ausschuss der EU das Cyber Resilience Act (CRA), eine Gesetzgebung zur Verbesserung der Software-Sicherheit durch verpflichtende CE-Kennzeichnung auf Herstellerprodukten, gebilligt. Dies betrifft eine breite Palette von Software, von Bildbearbeitungsprogrammen und Smart Speakern bis hin zu Betriebssystemen.
Unternehmen wie BMW, Projekte wie LibreOffice oder Apache OpenOffice, die Software bereitstellen, werden ebenso betroffen sein wie europäische Verbraucher oder europäische Projekte wie Gaia-X, die auf CE-gekennzeichnete Software angewiesen sind. Das CRA betrifft praktisch alle Softwareersteller und -implementierer.
Das Ziel des CRA besteht darin, Sicherheitsrisiken zu verringern, indem es vorschreibt, wie Software erstellt wird. Ähnlich wie bei einer US-Strategie ist der Softwareherausgeber für dessen Sicherheit verantwortlich. Das CRA führt jedoch teure und komplizierte Dokumentationsanforderungen ein. Die EU erwartet, dass kleine Unternehmen Schwierigkeiten haben, diese Anforderungen zu erfüllen, daher werden Open-Source-Entwickler aufgefordert, diese Dokumente bereitzustellen.
Eine Klausel im CRA befreit nicht-kommerzielle Open-Source-Software, aber da ‘kommerziell’ weit gefasst ist, fallen fast alle bedeutenden Projekte in diese Kategorie, was Open-Source-Stiftungen oder einzelne Entwickler für die Einhaltung der CE-Kennzeichnung verantwortlich macht.
Das Gesetz wirft Probleme für Open-Source-Software (OSS) Projekte auf, da sie ihre Endbenutzer möglicherweise nicht kennen, was es schwierig macht zu entscheiden, welche Zertifizierung durchzuführen ist oder wann ein Audit durch Dritte anzufordern ist.
Die umfassenden Dokumentationsanforderungen des CRA stellen eine Herausforderung für OSS-Organisationen dar, die über begrenztes Personal und zahlreiche jährliche Veröffentlichungen verfügen. Darüber hinaus können die Anforderungen des CRA zu weniger OSS-Veröffentlichungen, Änderungen in bewährten Entwicklungsprozessen und Einschränkungen bei der Erstellung von Software führen, die die über Jahrzehnte entwickelten Best Practices beschneiden.
Die Festlegung des CRA, dass alle Projekte mit bezahlten Entwicklern kommerziell sind, könnte dazu führen, dass OSS Spenden und Beiträge ablehnt. Die Folge ist weniger sichere Software aufgrund unzureichender Finanzierung für die Behebung von Sicherheitsproblemen.
Das CRA führt auch eine zentrale ENISA-Datenbank für die Meldung aller offenen Sicherheitsprobleme innerhalb von 24 Stunden ein, die gute Sicherheitspraktiken bedroht und zu einem Ziel für Hacker werden könnte. Wenn andere Länder diesem Beispiel folgen, könnten wir weltweit zahlreiche Datenbanken mit ungepatchten Sicherheitsproblemen sehen.
Die Auswirkungen des CRA sind gravierend. Einige Open-Source-Stiftungen könnten Downloads in der EU einschränken oder EU-Länder bitten, die Kosten für CE-Kennzeichnungen zu übernehmen, was Open-Source-Aktivitäten in der EU stoppen, die Softwarekosten erhöhen und potenziell Software wie PHP, Kubernetes oder Linux vom EU-Markt entfernen könnte.
Persönlich überlege ich, meine Beiträge zu Open Source aufgrund der möglichen Haftung und der Unsicherheit bezüglich der Behandlung von mobilen Apps und JavaScript-Anwendungen einzustellen. Ich könnte auch gezwungen sein, mein Nebenprojekt, Time & Bill, zu beenden weil die Dokumentationspflichten die meine Kapazitäten übersteigen könnten. Das Zerstören der Kleinprojekte, kommt lediglich den großen Betreibern zu Gute, die sich die teueren Zertifizierungsmaßnahmen leisten können.
Ohne Änderungen an diesem Gesetz werden viele meiner Kollegen und ich die Open-Source-Aktivitäten einstellen.
Tags: #Open Source #Security #Software