Cyber Resilience Act und andere EU-Gesetzgebungsverfahren
Joachim Jakobs
jj at privatsphaere.org
So Okt 15 10:59:23 UTC 2023
Hallo Ilu
Am 12.10.23 um 21:03 schrieb Ilu:
> Hallo Joachim,
>
> Deine Antwort geht an der Sache vorbei: Was Du zu DSGVO und NIS-2
> schreibst, ist völlig richtig, hat aber nichts mit CRA zu tun.
Das sehe ich anders: Wenn durch Konstruktionsfehler Sicherheitslücken
entstehen [1] oder gar Menschen an Leib und Leben verletzt werden,
könnte das das Interesse der Staatsanwältin wecken -- egal ob es nun um
vernetzte Autos/Implantate/Solaranlagen oder Aufzüge geht.
Um
> Datenschutz und Sicherheit beim IT-Betrieb muss sich jedes Unternehmen
> kümmern und ist insofern auch für die dafür ausgewählte Software
> verantwortlich. CRA befasst sich aber nicht mit dem Betrieb, sondern mit
> der Erstellung von Software(-produkten).
Es wäre ja auch unsinnig, zwei unterschiedliche Richtlinien mit gleichem
Inhalt und Adressatinnen zu erlassen -- aber die Herstellerinnen von dem
ganzen IoT-Kram müssen eben nicht nur CRA sondern auch noch NIS-2
einhalten. Genauso wie in der Kreditwirtschaft nicht nur DORA sondern
eben auch noch zusätzlich NIS-2 gilt (Der Bankenverband glaubt nämlich
auch, dass für seine Mitglieder nur DORA gelte:-))
>
> Es ist bereits jetzt klar, dass - wenn CRA so Gesetz wird - viele kleine
> FOSS-Projekte in Europa eingestellt werden, weil sie CRA schlicht nicht
> umsetzen können.
Klar ist: Wer durch mangelhafte Leistungen Menschen in Gefahr bringt,
fliegt raus. Und das ist auch gut so.
> Hunderte von internationalen FOSS-Projekten werden
> Europa geo-blocken ("machen wir mit Nordkorea auch") und den Einsatz
> ihrer Software in Europa verbieten. Ob das lizenzkonform ist, sei
> dahingestellt, aber die Absicht besteht. Zum Beispiel die Linux
> Foundation: "Expect to see open source “not approved for the EU” if the
> EU CRA goes forward." Die EU sägt sich hier den Ast ab, auf dem sie
> eigentlich mit ihren Open-Source-Initiativen sitzen will.
Für quelloffene Software lässt sich in jedem Fall leichter eine
Stückliste derselben erstellen/eine Zertifzierung erhalten als mit
proprietärer.
Sollte es dabei Schwierigkeiten mit der Finanzierung geben, wäre eben an
der Stelle was zu tun.
>
> Wer Freie Software erstellt, verschenkt etwas an die Gesellschaft. Die
> EU wird mit ihrer nächsten Gesetzesinitiative PLD den Schenkern
> vorschreiben, dass sie für die Qualität ihres Geschenks doch bitte in
> vollem Umfang haften sollen.
Wenn es anders wäre, könnten wir auch Kindern Waffen oder Handgranaten
zum Spielen schenken.
Und zwar bei Freier Software jedem
> gegenüber, der diese Software nutzt (Ersteller proprietärer Software
> haften nur gegenüber ihren Kunden). Da ist es nur folgerichtig, dass
> Redhat ihre Repositories dichtgemacht haben.
>
> Aber zurück zu Art. 11 CRA: Da geht es nicht um irgendwelche
> Pflichtverletzungen, sondern darum, dass Sicherheitslücken an eine
> Unzahl von staatlichen Behörden gemeldet werden sollen, bevor ein Patch
> bereitsteht.
Ich wollte keineswegs behaupten, dass die Richtlinie kein
VErbesserungspotential enthält.
Viele Grüße
Joachim
[1]
https://www.automobil-industrie.vogel.de/autonomes-fahren-cybersicherheit-haftung-tisax-a-a39d410caecd198b73357be32aff65b8/
>
> Am 12.10.23 um 15:43 schrieb Joachim Jakobs:
>> Hallo Ilu,
>>
>> Am 11.10.23 um 19:45 schrieb Ilu:
>>> Was dort nicht erwähnt wird (weil es nicht FOSS-spezifisch ist), ist
>>> der richtige Klopper in Art. 11 CRA:
>>
>> AFAIK lassen sich menschliche/technische Lücken zunehmend
>> automatisiert ausnutzen. Das sind die Risiken der Hyperkonnektivität.
>>
>> Deshalb MUSS die Verantwortliche den Nachweis erbringen, dass und wie
>> sie personenbezogene Daten per DSGVO, betriebliche Prozesse per NIS-2
>> und softwarehaltige Produkte per CRA schützt. Das heißt: Die
>> Verantwortliche MUSS Sicherheit 4.0 garantieren können, wenn sich ihre
>> Verantwortung beispielsweise auf vernetzte Implantate, Autos oder
>> Solaranlagen beziehen sollte.
>>
>> Die Bundesregierung hat im Deutschen Umsetzungsgesetz darauf geachtet,
>> dass das Abwälzen der Verantwortung auf eine D/O-Versicherung
>> ausgeschlossen ist -- die Verantwortliche ist und bleibt persönlich
>> für Pflichtverletzungen, delegieren lassen sich lediglich Aufgaben:
>>
>> "Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch
>> unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der
>> Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder
>> auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss
>> der Geschäftsführer unverzüglich nachgehen; weiterhin muss der
>> Geschäftsführer geeignete organisatorische Vorkehrungen treffen, um
>> Pflichtverletzungen von Unternehmensangehörigen hintanzuhalten" [1]
>>
>> Pflichten werden verletzt, wenn das Schutzniveau aus §1 ProdHaftG
>> "Stand von Wissenschaft und Technik" nicht eingehalten wird:
>>
>> "Die Ersatzpflicht des Herstellers ist ausgeschlossen, wenn [...] der
>> Fehler nach dem Stand der Wissenschaft und Technik in dem Zeitpunkt,
>> in dem der Hersteller das Produkt in den Verkehr brachte, nicht
>> erkannt werden konnte."
>>
>> Das sind die Rechtsfolgen aus den Risiken.
>>
>> Wollen wir ein niedrigeres Schutzniveau für vernetzte Implantate,
>> Autos oder Solaranlagen? Ich hoffe nicht! Es läge auch nicht im
>> Interesse der Herstellerin, wenn sich Schädlinge in den Produkten
>> herumtreiben würden, denn dann würden die Kundinnen dem Laden wohl die
>> Freundschaft kündigen?!
>>
>> Diese Regelkonformität der Datenverarbeitung lässt sich nach Ansicht
>> des BfDI besonders gut mit "Open Source" erfüllen.
>>
>> Das bestätigt sogar ErwG 52 NIS-2:
>>
>> "Open-Source-Cybersicherheitswerkzeuge und -Anwendungen können zu
>> einem höheren Maß an Offenheit beitragen und sich positiv auf die
>> Effizienz industrieller Innovationen auswirken."
>>
>>
>>
>>>
>>> (2) Der Hersteller meldet der ENISA unverzüglich, jedenfalls aber
>>> innerhalb von 24 Stunden, nachdem er davon Kenntnis erlangt hat,
>>> jeden Vorfall, der sich auf die Sicherheit des Produkts mit digitalen
>>> Elementen auswirkt. ...
>>
>>
>>
>> Mit dieser Pflicht werden insb. Unternehmen kollidieren, die nicht in
>> den Quellcode ihrer Lieferkette gucken können.
>>
>> Die Frage ist: Wie sollte sich die Sicherheit von Daten, Prozessen und
>> Produkten sichern lassen, wenn nicht durch eine umfassende
>> Rechenschaftspflicht der Verantwortlichen für eigenes Handeln sowie
>> das Handeln derer, die im Auftrag dieser Verantwortlichen an der
>> Planung, Entwicklung, Einrichtung, Verwaltung oder Nutzung von SW zur
>> Verarbeitung/Durchführung von Daten/Produkten und Prozessen beteiligt
>> sind?
>>
>> Tatsächlich kritikwürdig empfinde ich es, dass die Gesetzgeberin
>> einerseits für umfassende Rechenschaftspflichten eintritt -- und
>> gleichzeitig andererseits Vorratsdaten sammeln, Chats kontrollieren
>> und wer weiß Gott noch alles treiben will -- womit sie am Ende in
>> Karlsruhe/Luxemburg aufm Bauch landen wird.
>>
>> Leider habe ich keine öffentliche Stimme zu dieser Kritik oder den
>> Schlußfolgerungen gehört, die sich aus der Hyperkonnekvitität ergeben.
>>
>> Moment -- Stimmt nicht ganz:
>>
>> "Nachhaltige Digitalisierung geht nur sicher. Oder überhaupt nicht!" [2]
>>
>> Ich fänds gut, wenn die FSFE diesen Ball aufgreifen würde.
>>
>> Gruß Joachim
>>
>> [1] https://openjur.de/u/2395749.html
>> [2]
>> https://www.nbs.de/die-nbs/aktuelles/news/details/news/nachhaltige-digitalisierung-geht-nur-sicher-oder-ueberhaupt-nicht
>>
>> _______________________________________________
>> FSFE-de mailing list
>> FSFE-de at lists.fsfe.org
>> https://lists.fsfe.org/mailman/listinfo/fsfe-de
>>
>> Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
>> Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
>> behandeln: https://fsfe.org/about/codeofconduct
>>
> _______________________________________________
> FSFE-de mailing list
> FSFE-de at lists.fsfe.org
> https://lists.fsfe.org/mailman/listinfo/fsfe-de
>
> Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
> Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
> behandeln: https://fsfe.org/about/codeofconduct
--
Joachim Jakobs 2048R/D5D1F6DD 2012-03-03
fon: +49-6233-1259.181 jj at privatsphaere.org
mob: +49-176-97325.333 jj at pr-profi.com
PGP: D5D1F6DD
Mehr Informationen über die Mailingliste FSFE-de