Der EU Cyber Resilience Act betrifft Linux und andere Open-Source-Software unmittelbar, weil er neue Sicherheitsanforderungen und Meldepflichten für digitale Produkte auf dem europäischen Markt einführt – dazu zählen nicht nur kommerzielle Apps, sondern auch Open-Source-Projekte, deren Software in Unternehmen, Behörden oder Geräten eingesetzt wird.
Was regelt der Cyber Resilience Act?
Der CRA ist ein Gesetz, das europaweit Mindeststandards für IT-Sicherheit vorschreibt. Hersteller, Entwickler und Vertreiber von Software und Hardware mit digitalen Komponenten müssen künftig Sicherheitslücken rasch beheben und ihre Produkte regelmäßig aktualisieren. Ziel ist eine bessere Absicherung vor Cyberangriffen und Schadsoftware, da laut IT-Sicherheitsbehörden die Zahl der Schwachstellen und Angriffe weiterhin stark wächst.
Auswirkungen auf die Linux-Community
Die Open-Source-Community befürchtete zunächst, dass die strengen Pflichten des CRA freiwillige Entwicklerinnen oder kleine Organisationen überfordern könnten, weil sie für Schwachstellen und deren Behebung haftbar gemacht würden. Nach intensiven Protesten und Diskussionen – u. a. von der Linux Foundation Europe und anderen Verbänden – wurden aber Ausnahmen und Klarstellungen in den Gesetzentwurf aufgenommen. Wer zu einem Open-Source-Projekt beiträgt, ist nur dann betroffen, wenn die Software „im Rahmen einer Geschäftstätigkeit“ verfügbar gemacht wird. Einzelne Entwicklerinnen, die aus Hobby oder ohne kommerziellen Zweck beitragen, laufen also keine Gefahr, ins Visier des CRA zu geraten.
Pflichten für Open-Source-Verwalter
Organisationen, die Open-Source-Software professionell verantworten und betreiben (etwa Linux-Distributionen wie Fedora, Ubuntu oder SUSE), müssen eine Cybersicherheitsstrategie für ihre Produkte ausarbeiten. Dazu gehört die Dokumentation von Schwachstellen, das Melden von Sicherheitsvorfällen an Nutzer*innen und Behörden sowie die Zusammenarbeit mit Aufsichtsstellen. Ziel ist, strukturiert und transparent mit IT-Sicherheitsfragen umzugehen und die Versorgung mit Updates und Patches sicherzustellen.
Linux in der Praxis: Was ändert sich?
| Für nicht-kommerzielle Open-Source-Projekte und Hobbientwickler*innen gibt es nach jetzigem Stand des CRA Ausnahmen. |
| Professionelle Linux-Distributionen, die geschäftlich vertrieben werden, sind verpflichtet, Cybersicherheitsmaßnahmen umzusetzen und Sicherheitsvorfälle zu melden. |
| Unternehmen, die Linux-basierte Lösungen einsetzen oder vertreiben, müssen sicherstellen, dass sie die Sicherheitspflichten des CRA einhalten – das betrifft z.B. den Umgang mit Updates, Schwachstellenmanagement und Dokumentationspflichten. |
| Spenden oder gemeinnützige Arbeit sind ausdrücklich von der Geschäftstätigkeit ausgenommen, sofern kein Profit gemacht wird. |
Fazit
Der EU Cyber Resilience Act bringt neue Herausforderungen, aber auch klare Verbesserungen für die IT-Sicherheit im Linux- und Open-Source-Ökosystem. Die Community wurde angehört, Ausnahmen wurden geschaffen, und kommerzielle Akteure müssen künftig mehr für die Sicherheit tun. Wer Open-Source-Linux privat oder gemeinnützig entwickelt, kann erstmal aufatmen – aber professionelle Distributoren und Firmen sollten sich intensiv mit den neuen Pflichten auseinandersetzen.
Titelbild: Designed by Freepik
3
Noch keine Reaktion