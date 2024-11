Seite 2 ► Seite 1 von 3

Düsseldorf (ots) - Für die Hersteller vernetzter Geräte, Maschinen und Anlagenbesteht beim Einsatz von Open-Source-Software in ihren Produkten aufgrund einerneuen EU-Regulierung besondere Vorsicht: Open-Source Programme selbstunterliegen nicht den strengen Regeln des bald in Kraft tretenden CyberResilience Act (CRA), die Hersteller von Produkten die Open-Source verwendenhingegen schon. Vor dieser "Open-Source-Falle" warnt Jan Wendenburg, CEO desDüsseldorfer Cybersicherheitsunternehmens ONEKEY und seinCybersicherheits-Expertenteam (https://www.onekey.com/) . Die von der EU auf denWeg gebrachte CRA-Regulierung verlangt von den Herstellern oderInverkehrbringern (Importeure, Distributoren) von Connected Devices, dass siediese auch nach der Auslieferung mit stets neuen Software Updates versorgen, umsie dauerhaft gegen Hackerangriffe zu schützen. Bei schwerwiegenden Verstößengegen den Cyber Resilience Act können Unternehmen mit Bußgeldern von bis zu 15Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraftwerden, je nachdem, welcher Betrag höher ist. "Wenn Open-Source-Software mitausnutzbaren Schwachstellen in neuen vernetzten Geräten verkauft wird, haftetnicht automatisch der Softwareanbieter, sondern immer derjenige, der das Produktmit der integrierten Software auf den Markt bringt", verdeutlicht JanWendenburg.Open Source als Synonym für potenziell unsichere Software?Der Hintergrund: Die EU trägt beim Cyber Resilience Act den Besonderheiten derOpen-Source-Community Rechnung. Dadurch sollen nicht-kommerzielle Projekte,Hochschulen, Organisationen der Zivilgesellschaft und öffentliche Verwaltungenvon den strengen Regularien in Bezug auf Cybersicherheit befreit werden. "Dasist zwar einerseits lobenswert, weil damit Forschung, Entwicklung undehrenamtliches Engagement gefördert wird, aber andererseits könnten diegeringeren Anforderungen zu potenziell unsicherer Software führen", analysiertCybersicherheitsexperte Jan Wendenburg.Die Sonderrolle der sogenannten "Stewards" von Open-Source-Projekten im CyberResilience Act bewertet Jan Wendenburg ebenfalls ambivalent. Für dieseOrganisationen, die in einem geschäftlichen Umfeld Open-Source-Softwareentwickeln, sieht die CRA-Regulierung abgeschwächte Sicherheitsregeln vor. Sosind sie beispielweise von Geldstrafen vollständig ausgenommen. Immerhin müssensie eine Cybersicherheitsstrategie für ihre Programme vorweisen, dürfen erkannteSchwachstellen in der Software nicht ignorieren und müssen mit den CRA-Behördenzusammenarbeiten.Cyber Resilience Act von Anfang an löchrig"Bei allem Verständnis für die Open-Source-Community, ist durch die zahlreichen