Sicherheit

Debians Bedenken gegenüber dem Cyber ​​Resilience Act

Debian strebt eine offizielle Stellungnahme zum von der EU derzeit beratenen Cyber ​​Resilience Act (CRA) an. Dies soll in einer General Resolution (GR), dem Standard Beschluss-Verfahren bei Debian, geschehen. Der Vorschlag einer Erklärung, über den die Entwickler abstimmen sollen, liegt nun vor.

Was ist der CRA?

Cyber Resilience steht für die Fähigkeit, sich vor Cyberangriffen zu schützen, sie zu erkennen und damit umzugehen. Der EU Cyber Resilience Act, der bald in Gesetzesform gegossen werden soll, möchte einheitliche Standards für Cybersicherheit in der EU einführen. Im Kern geht es darum, die Sicherheit von Produkten mit digitalen Komponenten – Hardware wie Software – die Zugriff auf das Internet haben, zu verbessern. Den aktuellen Stand fasst die Webseite von isits zusammen.

Einige Debian-Entwickler sehen durch den CRA eine Reihe »schwerwiegender Probleme« auf Freie-Software-Projekte zukommen und nehmen dazu in ihrer Erklärung Stellung.

Unter Punkt 1. heiß es dort:

Freie Software war schon immer ein Geschenk, das der Gesellschaft kostenlos gegeben wurde und das sie nach eigenem Ermessen und zu welchem ​​Zweck auch immer annehmen und nutzen konnte. Freie Software hat sich in unserem digitalen Zeitalter als Aktivposten erwiesen, und der vorgeschlagene EU-Cyber-Resilience-Act wird ihr schaden.

Debians Vorschlag zu einer GR zum CRA

und weiter:

Debians Ziel ist es, »das bestmögliche System zu schaffen, damit freie Werke weit verbreitet und genutzt werden«. Die Auferlegung von Anforderungen, wie sie in dem Gesetz vorgeschlagen werden, macht es für andere rechtlich gefährlich, unsere Werke weiterzuverbreiten, und gefährdet unsere Verpflichtung, »ein integriertes System hochwertiger Materialien ohne gesetzliche Beschränkungen bereitzustellen, die eine solche Nutzung des Systems verhindern würden«

Risiko auch für Aktivisten

Die Entwickler sehen die Gefahr, dass durch den CRA Beiträge zu freier Software dezimiert werden, weil die Beitragenden fürchten, eine rechtliche Beratung zu benötigen, bevor sie etwas beitragen. Freie Software, unter anderem Debian, habe ein »fein abgestimmtes, gut funktionierendes System zur verantwortungsvollen Offenlegung im Falle von Sicherheitsproblemen entwickelt, das durch die verpflichtende Meldung an die europäischen Behörden innerhalb von 24 Stunden«, wie es in Artikel 11 des CRA gefordert wird, aufgehoben wird.

Damit würde laut den Entwicklern die bewusst dezentrale Verfolgung und Behebung von Sicherheitsproblemen untergraben, die wesentlich dazu beitrage, »das Risiko der Weitergabe von Informationen über Schwachstellen an Bedrohungsakteure« gering zu halten. Die verpflichtende Meldung von Sicherheitsproblemen an die Agentur der Europäischen Union für Cybersicherheit (ENISA) und andere Behörden erhöhe auch das Risiko für Aktivisten, die Debian etwa durch Derivate wie Tails nutzen, um sich vor autoritären Regierungen zu schützen.

Der Vorschlag für die Erklärung schließt mit:

CRA wird viele kleine Unternehmen und höchstwahrscheinlich alle selbstständigen Entwickler aus dem Geschäft drängen, weil sie die von CRA gestellten Anforderungen einfach nicht erfüllen können. Debian und andere Linux-Distributionen sind auf ihre Arbeit angewiesen. Es ist nicht verständlich, warum die EU darauf abzielt, nicht nur eine etablierte Gemeinschaft, sondern auch einen florierenden Markt lahmzulegen. CRA braucht eine Ausnahmeregelung für Kleinunternehmen und zumindest Einzelunternehmer.

Foto von Pixabay: https://www.pexels.com/de-de/foto/sicherheitslogo-60504/

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
24 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments