Desaster für Open Source?

Die EU hat bereits in der Vergangenheit Gesetze zur Stärkung der Cybersicherheit verabschiedet, darunter NIS-2 und den Cybersecurity Act. Der CRA stellt eine weitere wichtige Initiative dar. Er würde Hersteller, Vertreiber und Importeure dazu verpflichten, Sicherheitsrichtlinien für Software während ihres gesamten Lebenszyklus zu erfüllen und regelmäßige Sicherheitsupdates bereitzustellen. Mit anderen Worten, der CRA ähnelt einem CE-Logo für Software, das bei jeder stabilen Version aktualisiert werden muss. Dennoch gibt es einen bedeutenden Haken.

Zwar schließt der Entwurf des CRA Open-Source-Software aus, sofern sie nicht für kommerzielle Zwecke genutzt wird. Aufgrund der vagen Formulierung besteht jedoch ein erheblicher Interpretationsspielraum, der in der Open-Source-Gemeinschaft für Besorgnis gesorgt hat. Organisationen wie die Open Source Business Alliance (OSBA), Bitkom und die Eclipse Foundation haben Bedenken geäußert und Änderungen vorgeschlagen. Das Projekt FileZilla hat sogar aus Protest vorübergehend alle Downloads deaktiviert.

Wie Open Source ins Abseits befördert werden könnte

Die Open-Source-Community verfolgt die Entwicklungen in Brüssel mit großer Sorge. Unternehmen, die gegen die Vorschriften des CRA verstoßen, riskieren Millionenstrafen. In seiner ursprünglichen Form könnte der CRA verheerende Auswirkungen haben: Softwarehersteller würden einem enormen Haftungsrisiko ausgesetzt sein, da sie Kunden mit bestehenden Verträgen zwar kontrollieren könnten, aber nicht diejenigen, die Open-Source-Software frei herunterladen und verwenden. Zudem könnten Juristen Schadensszenarien konstruieren und kleinere Hersteller durch Abmahnungen aus dem Markt drängen. Die Konsequenz könnte sein, dass Unternehmen ihre Open-Source-Aktivitäten einstellen und zu proprietärer, geschlossener Software übergehen. Dies wäre nicht nur das Ende von Open Source in Europa, sondern auch eine erhebliche Schwächung für kleine und mittlere Unternehmen.

Open-Source-Projekte tragen jährlich zwischen 65 und 95 Milliarden Euro zur EU-Wirtschaft bei, und ein solcher Schlag würde ein riesiges Loch in die Branche reißen. Die Vielfalt in der europäischen Softwareindustrie wäre bedroht, während die IT-Giganten ihre Marktdominanz weiter ausbauen würden. Was in Deutschland und Europa über Jahre hinweg mühsam mit Fördermitteln und Steuergeldern aufgebaut wurde, könnte auf einen Schlag verloren gehen. Wenn es nicht gelingt, eine unabhängige IT-Infrastruktur zu erhalten, könnte der Traum von digitaler Souveränität in Europa zunichte gemacht werden. In diesem Fall wäre es sogar sinnvoll, sich an den USA zu orientieren, wo Open Source-Entwickler selbst bei kommerziellen Produkten nicht haftbar gemacht werden können.

Es ist bedauerlich, dass die Vorteile von Open Source in diesem Zusammenhang noch betont werden müssen. Vor nicht allzu langer Zeit hat die deutsche Bundesregierung im Koalitionsvertrag ihre Unterstützung für den Open-Source-Sektor bekundet. Auch Projekte wie Gaia-X haben die Hoffnung genährt, dass sich der Markt auf dem Weg zu einer starken europäischen IT-Infrastruktur befindet. Millionen wurden investiert, und nun könnte alles umsonst gewesen sein.

Wie das Open-Source-Schicksal noch positiv beeinflusst werden kann

Aber es gibt noch Hoffnung. Der Gesetzesentwurf für den Cyber Resilience Act hat bereits verschiedene Änderungen durchlaufen. Das Europäische Parlament, insbesondere der Ausschuss für Industrie, Forschung und Energie (ITRE) sowie der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO), hat sich mit dem CRA befasst. Während der ITRE an den meisten Punkten festgehalten hat, hat sich der IMCO positiver zum Thema Open Source positioniert. Weitere Verhandlungen zwischen dem Parlament, der Kommission und dem Rat der Europäischen Union stehen unmittelbar bevor.

Die Open Source Business Alliance hat bereits Verbesserungsvorschläge zu verschiedenen Punkten formuliert, insbesondere zum Entwicklungsmodell. Nach der aktuellen Formulierung würde die Entscheidung, ob ein Open-Source-Produkt als kommerziell eingestuft wird, auch die Entwicklung berücksichtigen. Da Open-Source-Software aus vielen Komponenten besteht, deren Entwicklung oft bereits Jahre zurückliegt und ohne Beteiligung des Anbieters stattfand, sollte dieser Teil aus dem Gesetzesentwurf gestrichen werden.

Auch die Formulierung zum Thema „Entwicklung durch eine Organisation“ sollte überdacht werden. Die EU betrachtet die kommerzielle Nutzung als erfüllt, wenn eine Software nur von einer einzelnen Organisation oder Community entwickelt und gewartet wird – wie es bei vielen Projekten der Fall ist. Große Unternehmen könnten diese Vorgabe umgehen, indem sie Tochterunternehmen einbeziehen, während kleinere und mittlere Unternehmen diese Option nicht haben. Die OSBA argumentiert daher, dass  dieser Satz nicht in die endgültige Fassung aufgenommen werden sollte.

Ein weiterer umstrittener Punkt betrifft die Entwickler selbst. Gemäß der aktuellen Version des CRA würde Software als kommerziell eingestuft, sobald Entwickler für ihre Arbeit entlohnt werden. Diese Regelung berücksichtigt nicht die Realitäten der Open-Source-Entwicklung: Auf der einen Seite engagieren sich etliche Entwickler in ihrer Freizeit ehrenamtlich in verschiedenen Open-Source-Projekten. Andererseits profitieren auch viele Unternehmen von der Unterstützung Ehrenamtlicher und revanchieren sich durch die Förderung derer Projekte. Diese Wechselwirkung ist ein integraler Bestandteil von Open Source und wäre ebenso vom CRA gefährdet, weil viele Personen ihre ehrenamtlichen Aktivitäten einstellen würden.

Nach aktuellem Stand des CRA würden auch regelmäßige Spenden an Open-Source-Akteure diese auf einen kommerziellen Stand heben. Dies betrifft sowohl einzelne Entwickler als auch große Stiftungen wie die Linux- oder Eclipse-Foundation. Diese Organisationen sind auf Spenden angewiesen, um Stabilität und Sicherheit in ihrer Planung zu gewährleisten. Viele Unternehmen nutzen die Software, die auf diese Weise entsteht. Für sie würde der CRA zusätzliche Probleme schaffen.

Die OSBA kritisiert auch die Formulierung im Zusammenhang mit Package Managern. Die ITRE-Version des CRA sieht vor, dass „die meisten“ Package Manager als Vertreiber gelten, wenn sie Open-Source-Software hosten. Die Version des Europäischen Rats ist hier spezifischer und besagt, dass sie nur zu kommerziellen Aktivitäten beitragen, wenn die Software durch ihr Angebot auf dem Markt erhältlich wird. Beide Formulierungen bieten Interpretationsspielraum, aber die Letztere klärt das Thema zumindest etwas genauer.

Es bleibt zu hoffen, dass die Gespräche letztendlich zu positiven Ergebnissen für die Open-Source-Gemeinschaft führen werden. Wenn die aktuellen Vorgaben beibehalten werden,  würden nicht nur zahlreiche Existenzen bedroht, sondern es käme auch zu einem erheblichen Rückschritt für Europa. In einer Zeit, in der ein starker und souveräner Binnenmarkt dringend benötigt wird, um nicht den Anschluss an den Rest der Welt zu verlieren, wäre das äußerst bedauerlich. Obwohl es eine Übergangszeit von mehreren Jahren gäbe, wäre dies kaum mehr als eine Galgenfrist.