Open Source: Cyber Resilience Act könnte EU-Unternehmen erheblich schaden
Der umstrittene Cyber Resilience Act nähert sich. Potenzielle Auswirkungen bespricht Mike Milinkovich (Executive Director der Eclipse Foundation) im Interview.
(Bild: Zolnierek/Shutterstock.com)
(This interview is also available in English.)
Die EclipseCon, die jährliche Konferenz der Eclipse Foundation, fand in diesem Jahr zum 17. Mal in Ludwigsburg statt und konnte über 400 Besucherinnen und Besucher aus 31 Ländern anziehen – davon viele treue Teilnehmer der Konferenz seit der ersten Stunde. Zu den Themen der Konferenz zählte das geplante europäische Gesetz unter dem Namen Cyber Resilience Act (CRA), das im kommenden Jahr in Kraft treten soll und in der Open-Source-Community umstritten ist.
Im Rahmen der EclipseCon 2023 sprach heise Developer mit dem Executive Director der Eclipse Foundation, Mike Milinkovich, der sich intensiv mit dem CRA und dessen potenziellen Auswirkungen auf Open-Source-Software auseinandersetzt: Wie könnte der CRA die Open-Source-Landschaft in Europa verändern und wie können betroffene Unternehmen sich darauf einstellen?
Seit dem Führen des Interviews im Oktober 2023 gab es Neuerungen bezüglich des Cyber Resilience Act, über die heise online berichtete und welche offenbar Bedenken aus der Open-Source-Community berücksichtigten.
Die Open-Source-Community wurde kalt erwischt
heise Developer: Die Eclipse Foundation warnt seit Längerem vor den Auswirkungen des Cyber Resilience Act und hat in Zusammenarbeit mit anderen Open-Source-Organisationen im April 2021 einen offenen Brief veröffentlicht. In diesem Brief erklärten sich die Unterzeichner bereit, eine repräsentative Delegation zu einem Treffen mit Mitgliedern der Europäischen Kommission zu entsenden. Hat ein Treffen stattgefunden und glauben Sie, dass die Bedenken der Open-Source-Gemeinschaft berücksichtigt werden?
Mike Milinkovich: Es hat kein Treffen zwischen einer offiziellen Delegation oder einer repräsentativen Delegation der Open-Source-Stiftungen und der Kommission stattgefunden. Aber es gab zahlreiche formelle und informelle Gespräche. Wir haben also das Gefühl, dass unsere Bedenken gehört werden. Ich bin mir nicht ganz sicher, ob sie verstanden werden, aber sie werden gehört.
Ein Teil des Problems besteht darin, dass wir als Open-Source-Gemeinschaft und die Stiftungen, die wir vertreten, in der Vergangenheit schlecht erklärt haben, was wir tun und wie wir es tun, und warum wir für politische Entscheidungsträger und die Wirtschaft wichtig sind. Letztlich geht es hier um mehrere Dinge. Zum einen sind sich alle einig, dass die Cybersicherheit verbessert werden muss und dass die europäischen Verbraucherinnen und Verbraucher sowie Unternehmen geschützt werden müssen. Gleichzeitig muss Europa sicherstellen, dass es eine innovative Wirtschaft hat und gleichzeitig den zukünftigen wirtschaftlichen Wohlstand aller Europäer schützt. Dies sind in gewissem Sinne Kompromisse, denn es gibt kein absolutes Richtig oder Falsch in der einen oder anderen Richtung.
Was im Denkmodell der politischen Entscheidungsträger fehlt, ist die Rolle, die Open Source für Innovation und wirtschaftlichen Wohlstand spielt. Wir sind weit im Rückstand, wenn es darum geht, ihnen zu erklären, warum das, was wir tun, wichtig, anders und einzigartig ist, und warum einige der Optionen, die sie in Erwägung ziehen, für den künftigen Wohlstand Europas sehr schädlich wären – und gleichzeitig den Schutz der Verbraucher nicht voranbringen.
Das ist das Dilemma: Wir hätten ihnen das schon vor Jahren erklären müssen, und jetzt passiert alles auf einmal, und wir müssen uns bemühen, den Rückstand aufzuholen.
Lesen Sie auch
Cyber Resilience Act bringt Open Source in Gefahr
heise Developer: Würden Sie also sagen, dass dies alles für die Open-Source-Gemeinschaft völlig unerwartet kam?
Milinkovich: Zu einem gewissen Grad, ja, es war unerwartet. Ursula von der Leyen hielt im Jahr 2021 eine Rede, in der sie sagte, dass Europa an der Verbesserung der Cybersicherheit für europäische Verbraucher arbeiten würde, aber selbst diese ursprüngliche Rede konzentrierte sich auf die Verbesserung der Cybersicherheit von IoT-Geräten. Irgendwann in der Zeit zwischen der Rede, dem Beginn der legislativen Agenda und der Vorlage des Entwurfs durch die Europäische Kommission an das Parlament und den Rat im September 2022 erweiterte sich der Geltungsbereich der Gesetzgebung von IoT-Geräten auf jegliche Software. Und das ist eine enorme Veränderung.
Ich denke, das hat auch die Industrie überrascht. Open Source ist Teil der breiteren Technologiebranche und des Technologie-Ökosystems. Ich möchte jedoch klarstellen, dass wir nicht das Gefühl haben, dass die Gesetzgeber es auf Open Source abgesehen haben. Die politischen Entscheidungsträger suchen nach Wegen, um die Sicherheit von ursprünglich allen IoT-Geräten und jetzt offenbar auch aller Software zu verbessern. Und Open Source ist ein Teil davon.
Wenn man das Wort "Software" im Cyber Resilience Act in "IoT-Geräte" oder "Geräte der Unterhaltungselektronik" ändern würde, würden wir diese Diskussion jetzt nicht führen, weil der Anwendungsbereich dann sehr viel präziser wäre und sehr viele Bestimmungen im CRA offensichtlich auf Geräte anwendbar wären, wenn man über physische Güter und deren Herstellung spricht. Vieles würde mehr Sinn ergeben. Es war die Ausweitung auf reine Software, die sowohl überraschend als auch expansiv war.
Potenziell verheerende Folgen des Cyber Resilience Act
heise Developer: Wenn der Cyber Resilience Act in seiner jetzigen Form in Kraft treten würde, was wäre Ihrer Meinung nach das Worst-Case-Szenario für Open-Source-Software in Europa und wie wahrscheinlich würde es eintreten?
Milinkovich: Diese Frage ist tatsächlich schwieriger zu beantworten, als man vielleicht denkt, denn es gibt derzeit drei Versionen des Cyber Resilience Act: erstens die ursprüngliche Version der Europäischen Kommission, zweitens die Version, die vom ITRE-Ausschuss im Europäischen Parlament genehmigt wurde, und drittens die Version des Rates der Europäischen Union – und alle drei Versionen unterscheiden sich erheblich.
Wenn die Version des Rates der Europäischen Union diejenige wäre, die verabschiedet werden sollte, dann wäre das in Bezug auf Open Source weitgehend in Ordnung. Es gibt darin ein paar Dinge, die nicht perfekt sind, aber das wäre kein Problem.
Wenn die Version der Europäischen Kommission oder die des ITRE-Ausschusses verabschiedet würde, würde dies die Wettbewerbsfähigkeit europäischer Unternehmen allerdings erheblich beeinträchtigen, weil viele Anbieter von Open-Source-Software es einfacher fänden, zu sagen "Man kann meinen Code in Europa nicht verwenden", anstatt die Anforderungen des CRA zu erfüllen. Das wäre eine schreckliche Situation, in die sich Europa begeben würde.
Zurzeit findet der Trilog-Prozess statt: Die zwei Mitgesetzgeber – das Europäische Parlament und der Rat der Europäischen Union unter der aktuellen spanischen Präsidentschaft – verhandeln über den endgültigen Text mithilfe der Europäischen Kommission, die den initialen Entwurf eingereicht hat. Dieser Prozess läuft bereits seit einigen Wochen. Er findet hinter verschlossenen Türen statt, sodass wir, sofern es keinen unautorisierten Leak gibt, keine weiteren Informationen erhalten werden, bis die endgültige Fassung veröffentlicht wird. Das wird wahrscheinlich Ende Januar oder Anfang Februar der Fall sein.
(Anmerkung der Redaktion: Inzwischen hat das Nachrichtenportal Euractiv Informationen erhalten, die auf einen Kompromiss über "die Regulierung von Open-Source-Software und die Definition eines Support-Zeitraums, in dem die Hersteller Sicherheitsupdates garantieren werden" hinweisen.)
Vorbereitende Maßnahmen bei ungewisser Gesetzeslage
heise Developer: Welche Schritte unternimmt die Eclipse Foundation derzeit in Vorbereitung auf den Cyber Resilience Act?
Milinkovich: Wir tun im Moment nichts in Vorbereitung darauf. Wir denken über Dinge nach, die wir tun könnten, aber wir sind eine kleine Organisation und es wäre eine Verschwendung unserer Ressourcen, zu diesem Zeitpunkt viel zu tun, bevor wir den endgültigen Text kennen. Von dem Tag an, an dem der CRA veröffentlicht wird, vergehen mindestens zwei Jahre, bis er umgesetzt werden muss. Einige fordern bis zu vier Jahre. Wir haben uns in erster Linie darauf konzentriert, ein Team zusammenzustellen, das in der Lage ist, mit der Planung zu beginnen, sobald die endgültige Fassung vorliegt.
In jedem Fall aber wird der Cyber Resilience Act die Art und Weise verändern, wie wir bei der Eclipse Foundation in Zukunft mit Open Source umgehen. Im Best-Case-Szenario wird der CRA Open Source weitgehend von den Compliance-Anforderungen ausnehmen, sodass wir tatsächlich das bekommen, worum wir gebeten haben. Selbst in diesem Fall wird jedes der Unternehmen, die unsere Open-Source-Projekte in kommerziellen Produkten verwenden, die Anforderung haben, CRA-konform zu sein und ihre Produkte mit dem CE-Zeichen zu versehen.
Wir haben Projekte, die von Tausenden von Unternehmen und Tausenden von Produkten verwendet werden. Es wäre nicht sinnvoll, wenn jedes einzelne dieser Unternehmen seine Bemühungen für jedes einzelne Produkt verdoppeln würde. Stattdessen können sie mit der Eclipse Foundation zusammenarbeiten, um so viel wie möglich von dieser Konformitätsarbeit in den vorgelagerten Open-Source-Projekten zu erledigen.
heise Developer: Ist das auch das, was Sie anderen betroffenen Personen und Organisationen raten würden – zunächst abzuwarten, bis bekannt ist, wie die endgültige Version des Cyber Resilience Act aussehen wird?
Milinkovich: Ich habe übertrieben, als ich sagte, dass wir gar nichts tun, denn wir fangen an, darüber nachzudenken, wie die zukünftigen Schritte aussehen könnten. Es gibt einige Dinge, über die man jetzt schon nachdenken kann, um sein Open-Source-Projekt cybersicher zu machen.
Organisationen wie die Eclipse Foundation und die Apache Software Foundation haben gegenüber einigen anderen Open-Source-Organisationen einen erheblichen Vorteil: Wir haben gut definierte Community-Praktiken, gut definierte Richtlinien und Prozesse, sodass wir Maßnahmen ergreifen können, die alle unsere Projekte beeinflussen. Ein Projekt auf GitHub hat nicht diese gemeinsame Community von Praktiken, die man durch die Zusammenarbeit mit einer Organisation wie der Eclipse Foundation erhält.
Erfolgreicher Umzug der Eclipse Foundation
heise Developer: Im Januar 2021 hat die Eclipse Foundation den Umzug ihres juristischen Hauptsitzes nach Europa abgeschlossen. Der Entwurf für den Cyber Resilience Act wurde im September 2022 von der Europäischen Kommission veröffentlicht. Glauben Sie, wenn Sie zum Zeitpunkt des Umzugs von dem CRA gewusst hätten, hätte das Ihre Entscheidung beeinflusst?
Milinkovich: Nein. Wir sind mit unserem Umzug nach Europa sehr zufrieden. Aus unserer Sicht war der Umzug nach Europa ein voller Erfolg. Wir sind die größte Open-Source-Stiftung in Europa und ziehen deshalb viele Projekte und Mitglieder an. Wir haben eine einzigartige Position in Europa als Heimat der digitalen Souveränität. Die Open-Source-Implementierungsarbeit für all die verschiedenen europäischen Initiativen im Zusammenhang mit der digitalen Souveränität, wie europäische Datenräume, Catena-X, Digital Twins und Industrie 4.0, findet bei der Eclipse Foundation statt. Darüber sind wir natürlich sehr erfreut.
Unsere Diskussion über Regulierung hat sich bisher auf die europäische Regulierung im CRA konzentriert. Aber die USA arbeiten parallel dazu an ihren eigenen Äquivalenten. Nochmals: Es geht nicht darum, dass Regierungen Open-Source-Software regulieren. Die Regierungen werden die Technologiebranche als Ganzes auf eine Art und Weise regulieren, wie es bisher noch nicht der Fall war. Und Open Source ist ein Teil davon.
Wir sind nicht das Ziel, aber wir sind Teil eines größeren Bildes. Und es wird auf eine andere Art und Weise geschehen, aber die USA sind ebenfalls auf dem Weg, die Spielregeln für die Technologiebranche in Europa zu ändern, und das hätte auch Auswirkungen auf uns gehabt.
Ich bin weiterhin vorsichtig optimistisch, dass trotz des Cyber Resilience Act am Ende die Vernunft siegen und es eine Gesetzgebung geben wird, die sowohl die europäischen Verbraucherinnen und Verbraucher als auch den zukünftigen wirtschaftlichen Wohlstand Europas schützen wird.
heise Developer: Vielen Dank für das Gespräch!
EclipseCon 2023 (4 Bilder)
State of the Union
(mai)