Debian strebt eine offizielle Stellungnahme zum von der EU derzeit beratenen Cyber Resilience Act (CRA) an. Dies soll in einer General Resolution (GR), dem Standard Beschluss-Verfahren bei Debian, geschehen. Der Vorschlag einer Erklärung, über den die Entwickler abstimmen sollen, liegt nun vor.
Was ist der CRA?
Cyber Resilience steht für die Fähigkeit, sich vor Cyberangriffen zu schützen, sie zu erkennen und damit umzugehen. Der EU Cyber Resilience Act, der bald in Gesetzesform gegossen werden soll, möchte einheitliche Standards für Cybersicherheit in der EU einführen. Im Kern geht es darum, die Sicherheit von Produkten mit digitalen Komponenten – Hardware wie Software – die Zugriff auf das Internet haben, zu verbessern. Den aktuellen Stand fasst die Webseite von isits zusammen.
Einige Debian-Entwickler sehen durch den CRA eine Reihe »schwerwiegender Probleme« auf Freie-Software-Projekte zukommen und nehmen dazu in ihrer Erklärung Stellung.
Unter Punkt 1. heiß es dort:
Freie Software war schon immer ein Geschenk, das der Gesellschaft kostenlos gegeben wurde und das sie nach eigenem Ermessen und zu welchem Zweck auch immer annehmen und nutzen konnte. Freie Software hat sich in unserem digitalen Zeitalter als Aktivposten erwiesen, und der vorgeschlagene EU-Cyber-Resilience-Act wird ihr schaden.
Debians Vorschlag zu einer GR zum CRA
und weiter:
Debians Ziel ist es, »das bestmögliche System zu schaffen, damit freie Werke weit verbreitet und genutzt werden«. Die Auferlegung von Anforderungen, wie sie in dem Gesetz vorgeschlagen werden, macht es für andere rechtlich gefährlich, unsere Werke weiterzuverbreiten, und gefährdet unsere Verpflichtung, »ein integriertes System hochwertiger Materialien ohne gesetzliche Beschränkungen bereitzustellen, die eine solche Nutzung des Systems verhindern würden«
Risiko auch für Aktivisten
Die Entwickler sehen die Gefahr, dass durch den CRA Beiträge zu freier Software dezimiert werden, weil die Beitragenden fürchten, eine rechtliche Beratung zu benötigen, bevor sie etwas beitragen. Freie Software, unter anderem Debian, habe ein »fein abgestimmtes, gut funktionierendes System zur verantwortungsvollen Offenlegung im Falle von Sicherheitsproblemen entwickelt, das durch die verpflichtende Meldung an die europäischen Behörden innerhalb von 24 Stunden«, wie es in Artikel 11 des CRA gefordert wird, aufgehoben wird.
Damit würde laut den Entwicklern die bewusst dezentrale Verfolgung und Behebung von Sicherheitsproblemen untergraben, die wesentlich dazu beitrage, »das Risiko der Weitergabe von Informationen über Schwachstellen an Bedrohungsakteure« gering zu halten. Die verpflichtende Meldung von Sicherheitsproblemen an die Agentur der Europäischen Union für Cybersicherheit (ENISA) und andere Behörden erhöhe auch das Risiko für Aktivisten, die Debian etwa durch Derivate wie Tails nutzen, um sich vor autoritären Regierungen zu schützen.
Der Vorschlag für die Erklärung schließt mit:
CRA wird viele kleine Unternehmen und höchstwahrscheinlich alle selbstständigen Entwickler aus dem Geschäft drängen, weil sie die von CRA gestellten Anforderungen einfach nicht erfüllen können. Debian und andere Linux-Distributionen sind auf ihre Arbeit angewiesen. Es ist nicht verständlich, warum die EU darauf abzielt, nicht nur eine etablierte Gemeinschaft, sondern auch einen florierenden Markt lahmzulegen. CRA braucht eine Ausnahmeregelung für Kleinunternehmen und zumindest Einzelunternehmer.
Foto von Pixabay: https://www.pexels.com/de-de/foto/sicherheitslogo-60504/
erinnert an die meldepflicht für infektionen
Meldepflichtige Krankheiten
https://www.gesetze-im-internet.de/ifsg/__6.html
Meldepflichtige Nachweise von Krankheitserregern
https://www.gesetze-im-internet.de/ifsg/__7.html
what could go wrong…
vorher: im darknet illegale drogen kaufen
nachher: im darknet illegale CVE-bugtracker hosten
problem: das darknet im sinn von https://www.torproject.org/
ist abhängig vom internet-netzwerk, das zentral gesteuert wird
also langfristig: sneakernet, filesharing über externe festplatten
Die Geschichte zeigt, daß Regierungen in der Vergangenheit Märkte zerstört, Innovationen erstickt und Dystopien geschaffen haben, die dann über Jahrzehnte anhalten konnten:
“Flurbereinigung” ist einfach zu attraktiv für staatliche Strukturen:
Die EU hat von den USA gelernt wo sich die Zentralregierung (die “Feds”) über die Regulierung von Dingen, die eigentlich gar nicht zentral reguliert werden müßten und auch in der Verfassung gar nicht vorgesehen sind (FCC, FBI, IRS …) Macht und Daseinsbereichtigung erschlichen hatte.
Aus diesen Gründen sind Bemühungen wie für den CRA so gefährlich. Wir müssen uns sich also damit beschäftigen und selber aktiv werden:
Für kommerzielle Software macht das Ganze ja durchaus irgendwo Sinn.
Wenn die Gesetzgeber jetzt ausnahmsweise mal gesunden Menschenverstand walten lassen und FOSS-Projekte explizit ausnehmen würde, dann könnte das (neben der Vermeidung o.g. Problematik) vielleicht sogar zu mehr FOSS und weniger proprietärem Müll führen ^^
Es gibt Bereiche, wo das FOSS Modell sehr gut funktioniert – Debian ist ein großartiges Beispiel, Apache, Mozilla, DocumentFoundation undPostgreSQL fallen uns da auch gleich ein. In anderen Bereichen ist es schwierig, Software durchgängig mit diesem Modell zu entwickeln. Dort dominieren kleine und mittelständige Unternehmen, die z.B. Zahnarztsoftware vertreiben. Dazu braucht man Kenntnisse der Szene, muß sich mit der ganzen Regulierung des Gesundheitswesens auskennen – die Programmierung ist der kleinste Teil davon. Die Kosten für den Wasserkopf müssen hereinkommen. Mit einem CRA würden solche Anbieter als erstes weg vom Fenster sein, da sie Daten der höchsten Sicherheitskategorie verarbeiten. Was passieren wird ist mit Honeckers Verstaatlichungswelle 1972 in der DDR vergleichbar: Anbieter verschwinden massenhaft vom Markt, die Unternehmen werden im “VEB Kombinat Microsoft” zusammengefast – diese haben kein Interesse an speziellen Lösungen – also wird ein zentral geplantes Produkt zur Verfügung gestellt, was dann von Funktionalität, Modernität und Innovationskraft eher an einen Trabant erinnert als an das was wir jetzt haben – so viele Fehler da jetzt in den Systemen sein mögen.
Grade im Gesundheitsbereich sieht man ja öfters mal sehr schön, wie nachlässig Sicherheit dort behandelt wird. Von dem her ist es zwar immer schade, wenn KMU darunter leiden – wenn das aber passiert, weil diese bisher an der Sicherheit sparen konnten (oder es nicht besser wussten), dann ist das gesamtgesellschaftlich wohl das kleinere Übel.
Wieder so ein Schwachsinn der EU.
Die Debian Entwickler haben da vollkommen recht, wenn sie Gefahr darin sehen.
Was ist eigentlich aus der Selbstverantwortung eines jeden gewurden?
> Was ist eigentlich aus der Selbstverantwortung eines jeden geworden?
Die letzten vorhandenen Reste aberzogen oder neutralisiert. Hast du den Eindruck mal wolle das (Selbstverantwortung) überhaupt?
Man will das nicht aber freie Software beruht ja auch darauf, auf die Selbstbestimmung und Selbstverantwortung des Herstellers und Nutzers. Wer das nicht will, der soll zu MS oder mac gehen.
> Man will das nicht
Denke ich auch.
> aber freie Software […]
Eben. Soll aber nicht.
Die wirklich wichtigen Entscheidungen des Lebens fallen ja immer noch klar in den eigenen Verantwortungsbereich. Ketschup oder Mayo?
Leider muss ich Dir da recht geben. Es ist echt traurig.
Selbstverantwortung? aberzogen? Ich kann mich da an grosse (ältere) Teile der Gesellschaft erinnern, die mit dem Rauchen in Kneipen nicht aufhören wollten, auch wenn es andere negativ beeinflusst.
Hör’s auf auf die jüngere Generation zu schieben, die aus deiner Sicht erzogen wurden. Oder beziehst du dich auf _DEINE_ Generation? :>
Vielleicht hat das mit der Selbstverantwortung nur in Teilen funktioniert und andere sachen müssen reguliert werden und das sage ich als gegner des cyber resilience act.
Das überspitzt polemische war gewollt.
Ich schiebe niemandem etwas in die Schuhe, letztlich beziehe ich mich auf alle Generationen, denn ich finde meine Beobachtungen unserer Zeit praktisch in allen Zeiten wieder.
Im Falle von Helmut hast du natürlich recht, man muss aber auch festhalten, dass er das lebende Beispiel dafür war, dass nicht jedem Raucher ein kürzeres Leben besiegelt ist … die perfekte Werbefläche 🙂
Mit “Aberzogen” meine ich den Transfer von Verantwortung. Wie viele Geschichten der Art von “Auf’s Navi gehört, in der falschen Stadt gelandet. Das Navi war’s!” wird es wohl geben?
“Wir machen dein Leben besser/leichter” verfängt offenbar, vielleicht empfinden wir es ja tatsächlich so, weil einem die Last der Verantwortung von den Schultern genommen wird.
Letztlich finden hier aber ein bemerkenswert freiwilliger Transfer von Verantwortung und Kontrolle, gar Intelligenz, statt.
Klar, gegenüber wären die Eigenverantwortungsvollen, die sich mit Straße/Verkehr/Orientierung auseinandersetzen und die richtige Stadt per Karte, Schild und Intuition finden, möglicherweise sogar unter Zuhilfenahme der Technik (Wer kontrolliert wen?).
Mit “neutralisieren” meine ich, dass Eigenverantwortung beispielsweise per Repression (“Keine Impfung, kein Job”) oder Regulierung (CRA) beschnitten, oder per Verbot (“Nur noch Wäremepumpe”) völlig wertlos gemacht wird.
Die Dystopie lautet: Der Bereich der Eigenverantwortung wird auf die Wahl zwischen [“Whopper”]* oder [“Big Mac”]* beschränkt werden.
Warum der Mensch fortlaufend an der eigenen Begrenzung scheitert, ist sicher ein paar Zeilen wert, zu viel für die Kommentarspalte von linuxnews.de.
> und das sage ich als gegner des cyber resilience act.
Es ist bemerkenswert, dass man das extra erwähnen muss. Ein schönes Beispiel für eine Folge des grassierenden schwarz/weiß-Denkens.
* Bitte eine Trivialität nach eigenem Gusto einfügen.
Wer kann schon ernsthaft gegen mehr Sicherheit sein? 🙂
Das liesst sich wie “Denkt doch einer mal an die Kinder”.
Sicherheit, Freiheit, Verantwortung und Co sind ja immer eine Abwägung. Wenn Leute, die sich freischaffend zusammenstellen und etwas verschenken dafür verklagt werden können oder Nutzer das privat für sich nutzen, dann läuft was falsch. Da wird der Bock zum Gärtner gemacht.
> Das liesst sich wie “Denkt doch einer mal an die Kinder”
Gut erkannt.
> Da wird der Bock zum Gärtner gemacht.
Verschwörungstheorie 🙂
Ja und genau das sind immer die ueblichen Aufhaenger aber damit hat das garnix zu tun.
Und deknos hat da vollkommen recht wenn er sagt> Da wird der Bock zum Gaertner gemacht.
> damit hat das garnix zu tun.
Natürlich.
Steigt die Sicherheit, sinkt die Freiheit.
Wo ist bei Dir das Limit? Die Frage ist nicht rethorisch, das hätte ich wirklich mal gern von einem Sicherheitsfanatiker gehört.
Mit dem Argument der Sicherheit haben die schlimmsten Despoten Grundrechte und Menschenrechte außer Kraft gesetzt, zuletzt während der sogenannten Pandemie.
Wenn dann diejenigen, die dem vorbehaltlos folgen, merken, daß ihnen ihre Freiheit geraubt wurde, ist es bereits zu spät.
Immer offenkundiger wird, daß die Herrschenden bestrebt sind, mit dem Argument der Sicherheit, die demokratische Freiheit auszuhebeln, wenn nicht sogar abzuschaffen.
Der Begriff der Pflicht wird zum Unwort des Jahrhunderts.
100% Sicherheit liegt nur im Tod.
> Steigt die Sicherheit, sinkt die Freiheit.
Ist das ein Axiom?
> Wo ist bei Dir das Limit?
Grundsätzlich habe ich nichts gegen mehr Sicherheit, die Frage ist eher wie diese organisiert ist.
> […] zuletzt während […]
Ich denke, dass einige Aspekte, die zu der Zeit einen Höhenflug genossen, eher zeitlos und fortwährender Art sind.
Ein Axiom, was sonst?
Limit ist nicht nur erreicht, sondern längst und weit überschritten.
Ganz sicher aber seit Beginn der sogenannten Pandemie sind wohl alle Dämme gebrochen.
Ein Ende nicht abzusehen, solange das Totschlag”Argument” der Sicherheit noch bei irgendjemanden fruchtet.
>>Steigt die Sicherheit, sinkt die Freiheit.<<
Die teuflichsten Organisationen welche den größten Schaden angerichteten, hatten das Wort “Sicherheit” oder “Schutz” in ihrem Namen.
Und es ist so: das FOSS Modell hat in den letzten Jahren gezeigt, daß eine dezentral organisierte und auf allen Ebenen gelebte Fehlerkultur der beste Garant für ein sicheres Umfeld ist.
Das Gegenstück dazu ist ein von Überwachung, Angst und Gehorsam geprägtes System, was nach außen hin auch sicher erscheint, weil Fehler dann zunehmend wo es geht vertuscht werden. Alle sind damit erst einmal zufrieden. Wie das enden kann, haben wir in Tschernobyl gesehen. Oder beim Air France Flug AF447.
Der springende Punkt ist, dass der Begriff “Sicherheit” aus dem Munde der Treiber ein Euphemismus ist, aber tatsächlich Kontrolle gemeint ist. Es wird ein kaum zu negierendes Argument geschaffen. Wie eben mein Eingangs gebrachtes “Wer kann schon ernsthaft gegen mehr Sicherheit sein?” Und schon ist der Drops gelutscht, den wer dagegen ist, ist “bäh bäh” und sowieso nicht mehr ernstzunehmen. Ausgeklügelte Softpower und “nudging”
KMU sind unerwünscht, den ein “VEB Kombinat Microsoft” ist selbstverständlich ein viel besseres Vehikel um global Einfluss und Kontrolle auszuüben. Die Frage ist doch, wie zur Hölle kann kann man entweder entgegen wirken oder sich entziehen?
> eine dezentral organisierte und auf allen Ebenen gelebte Fehlerkultur der beste Garant für ein sicheres Umfeld ist.
Was ja genau das ist, was man nicht brauchen kann, wenn man selbst die Kontrolle ausüben möchte. Also weg damit, einfach ein paar Regeln aufgestellt, die nur das “VEB Kombinat Microsoft” erfüllen kann und die Sache wird sich erledigen.
> “VEB Kombinat Microsoft”
Danke, herrliche Metapher, die werde ich mit freundlicher Erlaubnis genau so auch benutzen in Zukunft.