Internet & IoT. Hersteller vernetzter Geräte, Maschinen und Anlagen, die Open-Source-Software enthalten, haften gemäß Cyber Resilience Act bei nicht behobenen Sicherheitslücken, warnt Cyber-Sicherheitsfirma Oneykey.
„Höchste Gefahr“ für die Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten, ortet die deutsche Cybersicherheitsfirma Onekey in einer Aussendung. Für die Hersteller vernetzter Geräte, Maschinen und Anlagen bestehe beim Einsatz von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung Grund zu besonderer Vorsicht.
Eigeninitiative ist gefragt
Viele Hersteller setzen Open Source nicht zuletzt wegen der oft niedrigen Kosten ein, doch entlässt sie der öffentlich einsehbare Quellcode dieser Software nicht aus der eigenen Verantwortung. Open-Source Programme selbst unterliegen nicht den strengen Regeln des bald in Kraft tretenden Cyber Resilience Act (CRA), die Hersteller von Produkten die Open-Source verwenden hingegen schon. Vor dieser „Open-Source-Falle“ warnt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens Onekey.
Die von der EU auf den Weg gebrachte CRA-Regulierung verlange von den Herstellern oder Inverkehrbringern (Importeure, Distributoren) von Connected Devices, dass sie diese auch nach der Auslieferung mit stets neuen Software Updates versorgen, um sie dauerhaft gegen Hackerangriffe zu schützen. Bei schwerwiegenden Verstößen gegen den Cyber Resilience Act können Unternehmen mit Bußgeldern von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraft werden, je nachdem, welcher Betrag höher ist.
„Wenn Open-Source-Software mit ausnutzbaren Schwachstellen in neuen vernetzten Geräten verkauft wird, haftet nicht automatisch der Softwareanbieter, sondern immer derjenige, der das Produkt mit der integrierten Software auf den Markt bringt“, verdeutlicht Wendenburg.
EU-Ausnahmen für Open Source
Der Hintergrund: Die EU trägt beim Cyber Resilience Act den Besonderheiten der Open-Source-Community Rechnung. Dadurch sollen nicht-kommerzielle Projekte, Hochschulen, Organisationen der Zivilgesellschaft und öffentliche Verwaltungen von den strengen Regularien in Bezug auf Cybersicherheit befreit werden. Das sei zwar einerseits lobenswert, weil damit Forschung, Entwicklung und ehrenamtliches Engagement gefördert wird, aber andererseits könnten die geringeren Anforderungen zu potenziell unsicherer Software führen, so Onekey.
Die Sonderrolle der sogenannten „Stewards“ von Open-Source-Projekten im Cyber Resilience Act bewertet Wendenburg ebenfalls ambivalent. Für diese Organisationen, die in einem geschäftlichen Umfeld Open-Source-Software entwickeln, sieht die CRA-Regulierung abgeschwächte Sicherheitsregeln vor. So sind sie beispielweise von Geldstrafen vollständig ausgenommen. Immerhin müssen sie eine Cybersicherheitsstrategie für ihre Programme vorweisen, dürfen erkannte Schwachstellen in der Software nicht ignorieren und müssen mit den CRA-Behörden zusammenarbeiten. Die zahlreichen Ausnahmen machen den Schutzwall des Cyber Resilience Act aber löchrig, so die Befürchtung des Onekey-Chefs, der selbst bietet u.a. Schwachstellen-Analysen anbietet.
Grundsätzlich bietet Open Source-Software bekanntlich aber auch eine direkte Möglichkeit, mit Fehlern umzugehen: Unternehmen, die über entsprechendes IT-Knowhow verfügen, können bei der Weiterentwicklung des Quellcodes mithelfen und so die Last des Stopfens von Sicherheitslücken gemeinsam tragen helfen. Oft übertragen sie Teile der hauseigenen Software auch aus diesem Grund in den Open Source-Bereich. Beispiele dafür sind unter den größten Unternehmen der IT-Welt zu finden, etwa Alphabet (Google) oder neuerdings Microsoft.