Die Europäische Union hat bereits in der Vergangenheit verschiedene Gesetze eingeführt, um die Cybersicherheit zu stärken, darunter beispielsweise NIS-2, das im Januar 2023 in Kraft getreten ist, oder den Cybersecurity Act von 2019. Mit dem Cyber Resilience Act soll nun ein weiterer Schritt unternommen werden, um die Sicherheit von Software zu gewährleisten. Der CRA würde Hersteller, Vertreiber und Importeure dazu verpflichten, Sicherheitsrichtlinien für den gesamten Lebenszyklus einer Software zu erfüllen und regelmäßige Sicherheitsupdates bereitzustellen. In gewisser Weise wäre der CRA somit ein CE-Logo für Software, das für jeden stabilen Release aktualisiert werden müsste. Obwohl diese Bestrebungen lobenswert sind, gibt es dennoch einen bedeutenden Haken.
Der Entwurf des CRA schließt zwar Open Source-Software explizit aus – allerdings nur dann, wenn sie nicht für kommerzielle Aktivitäten eingesetzt wird. Diese Formulierung ist äußerst schwammig und lässt Raum für unterschiedliche Interpretationen. Aus diesem Grund herrscht in der Open Source-Branche Unmut – milde ausgedrückt. Organisationen wie die Open Source Business Alliance, Bitkom und die Eclipse Foundation haben ihre Bedenken geäußert und Verbesserungsvorschläge eingebracht. Um ihren Protest zu zeigen, haben die Verantwortlichen hinter dem Projekt FileZilla sogar für einen Tag sämtliche Downloads deaktiviert.
Die Sorgen der Open Source-Community sind keineswegs unbegründet. Unternehmen, die gegen die Vorgaben des CRA verstoßen, müssten mit empfindlichen Geldstrafen in Millionenhöhe rechnen. Besonders für Softwarehersteller könnte der CRA gravierende Auswirkungen haben. Denn sie könnten zwar Kunden mit bestehenden Verträgen kontrollieren, jedoch nicht jene, die Open Source-Software frei herunterladen und verwenden. Diese Diskrepanz könnte zu einer Wettbewerbsverzerrung führen und kleinere Softwarehersteller durch juristische Schadensszenarien vom Markt drängen. Die Konsequenz wäre ein weitreichender Wechsel von Open Source zu proprietärer, also geschlossener Software.
Eine solche Entwicklung wäre nicht nur der Todesstoß für Open Source in Europa, sondern hätte auch erhebliche Auswirkungen auf kleine und mittelständische Unternehmen. Schätzungen zufolge tragen Open Source-Projekte jährlich zwischen 65 und 95 Milliarden Euro zur EU-Wirtschaft bei. Ein Wegfall dieser Ressourcen würde ein gigantisches Loch in den europäischen Haushalt reißen. Die Vielfalt in der europäischen Softwareindustrie wäre gefährdet und große IT-Giganten würden noch mehr Marktdominanz erlangen. Alles, was über Jahre hinweg mühsam durch Förder- und Steuergelder aufgebaut wurde, könnte mit einem Schlag verloren gehen. Es besteht die Gefahr, dass Europa seine Chancen auf digitale Souveränität auf dem Kontinent verliert. In diesem Kontext könnte es sogar ratsam sein, die USA als Vorbild zu nehmen. In deren aktueller „National Cybersecurity Strategy“ wird ausdrücklich festgehalten, dass Open Source-Entwickler auch bei kommerziellen Produkten nicht haftbar gemacht werden können.
Es ist bedauerlich, dass wir überhaupt an einem Punkt angelangt sind, an dem wir die Vorteile von Open Source betonen müssen. Noch vor nicht allzu langer Zeit hatte die deutsche Bundesregierung in ihrem Koalitionsvertrag die Stärkung des Open Source-Sektors vereinbart und in der Zwischenzeit auch den Etat hierfür erhöht. Projekte wie Gaia-X wurden initiiert, um eine starke europäische IT-Infrastruktur aufzubauen. Unzählige Investitionen wurden getätigt, und nun scheint alles umsonst gewesen zu sein.
Und ein wenig paradox ist die Situation auch, denn schließlich ist Open Source für viele Experten ohnehin schon ein wichtiger Baustein für eine starke Cybersecurity. Da die User den offenen Quellcode einsehen und editieren können, werden Sicherheitslücken in Windeseile erkannt und geschlossen. Gerade dieses Zusammenspiel zahlreicher Anwender und Communities mit den Entwicklern, inklusive Transparenz und Wissensaustausch, macht Open Source so stark. Eine Rückkehr zu proprietärer Software, deren Code Geheimsache der Entwickler ist, wäre deshalb ein Schritt in die falsche Richtung. Allerdings würde dies unweigerlich passieren, wenn der Cyber Resilience Act in dieser Form in Kraft treten sollte.
Doch es gibt noch Hoffnung. Der Gesetzesentwurf des CRA hat bereits mehrere Stationen und Anpassungen durchlaufen. Insbesondere der Ausschuss für Industrie, Forschung und Energie (ITRE) sowie der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) des Europäischen Parlaments haben sich mit dem CRA befasst. Während der ITRE an den meisten Punkten festhält, hat sich der IMCO deutlich positiver zum Thema Open Source geäußert. Welche Seite sich durchsetzen und die anderen Akteure überzeugen kann, bleibt abzuwarten. Weitere Verhandlungen zwischen dem Europäischen Parlament, der Kommission und dem Rat der Europäischen Union sollen im September stattfinden.
Es bleibt zu hoffen, dass die Gespräche zu einem positiven Ausgang für die Open Source-Gemeinschaft führen. Denn eine Beibehaltung der aktuellen Vorgaben würde nicht nur zahlreiche Existenzen bedrohen, sondern auch Europa in seinem Bestreben nach einer starken und souveränen IT-Infrastruktur zurückwerfen. Angesichts der Notwendigkeit eines starken Binnenmarktes und um nicht den Anschluss an den Rest der Welt zu verlieren, wäre eine solche Entwicklung äußerst bedauerlich. Eine mögliche Übergangszeit könnte als Galgenfrist dienen, doch es bleibt zu hoffen, dass es nicht so weit kommt.
Die Open Source-Community und Europa stehen vor einer entscheidenden Phase. Es gilt, die Chancen und Potenziale von Open Source zu erkennen und zu fördern, ohne dabei die Sicherheit und den Schutz der Nutzer zu vernachlässigen. Die EU muss einen Weg finden, Open Source-Software in den CRA zu integrieren, ohne dabei unverhältnismäßige Hürden für Entwickler und Unternehmen zu schaffen. Eine ausgewogene Lösung könnte dazu beitragen, dass Europa weiterhin einer der Vorreiter in der digitalen Welt bleibt und gleichzeitig die Souveränität über seine IT-Infrastruktur bewahrt.
In diesem Sinne sollte die Open Source-Community ihre Anliegen weiterhin deutlich kommunizieren und sich aktiv in den Dialog mit politischen Entscheidungsträgern einbringen. Nur durch eine enge Zusammenarbeit können wir sicherstellen, dass der Cyber Resilience Act nicht zum Damoklesschwert für Open Source und Europa wird, sondern zu einer starken und sicheren digitalen Zukunft führt.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.