Cyber Resilience Act und andere EU-Gesetzgebungsverfahren

Joachim Jakobs jj at privatsphaere.org
Mo Okt 16 08:36:54 UTC 2023 


Am 16.10.23 um 08:26 schrieb Ilu:
> Joachim: Es geht hier nicht um Firmen, die IOT verkaufen oder irgendwas 
> in Autos einbauen. Die nutzen nämlich freie Software nur, aber erstellen 
> sie nicht. Und ihren Kunden gegenüber haften sie ohnehin. Das ist alles 
> schon längst geregelt.
> 

Das verstehe ich nicht: Wer entwickelt denn die Steuerungen von 
vernetztem Zeugs? AFAIK hat VW eine extra Tochter dafür. Und machen die 
alles selber? Oder gibts auf sourceforge ein klein wenig Quellcode (wie 
log4j), das Alle nutzen, aber keiner die Entwicklerin von dem Fetzen 
Quellcode bezahlt? Oder gibts ausgerechnet bei den Steuerungen nur 
hochbezahlte Entwicklerinnen, die ausschließlich proprietären Code 
schreiben?
> Joachim, Du findest es ernsthaft angemessen, dass etwa der Programmierer 
> von curl haften soll, wenn in einem Auto oder einem IOT-Gerät (wegen 
> einem bug) das Update fehlschlägt und deshalb was schiefgeht?

Wer sollte denn sonst haften, wenn nicht die Entwicklerin, wenn durch 
ihren (fahrlässig) verursachten Fehler bei einem 
(Verkehrs-/Kraftwerks)Unfall Menschen verletzt werden?

Um im Beispiel zu bleiben: Bei VW hätte sicher auch die Tochter und der 
Konzern als Herstellerin zu haften -- das ändert aber an der Haftung für 
den kleinen Fetzen nix.


Und ja: Da könnte es Entwicklerinnen geben, die sich das nicht mehr 
leisten können. Dann wird die Industrie irgendwann feststellen: "Hoppla, 
die Geschenke bleiben aus!" Was werden die Verantwortlichen also tun??

Ich bin überzeugt, dass hier ganz fix neue Geschäftsmodelle entstehen 
werden -- einschließlich menschenwürdiger Bezahlung!

> 
> Am 15.10.23 um 17:41 schrieb Dr. Michael Stehmann:
>> Hallo,
>>
>> die grundsätzliche Frage scheint mir zu sein: Wer soll haften, die 
>> Person, die Software herstellt, oder die, die Software einsetzt?
>>
>> Ein einfaches Beispiel: Der Hersteller eines 
>> Datenbankmanagementsystems, das als Freie Software verbreitet wird, 
>> Kann nicht alle Zwecke kennen, für die es eingesetzt wird.
>>
>> Wird es nur für die Verwaltung einer Briefmarkensammlung eingesetzt, 
>> ist ein möglicher Schaden durch ein "Leck" eher irrelevant. Wird es 
>> für die Verwaltung von Millionen Kreditkartendaten oder von einem 
>> Kranken- oder Sozialversicherer eingesetzt, ist dies evidentermaßen 
>> anders.
>>
>> Wird das Programm nur auf einen "unvernetzten" Rechner eingesetzt, 
>> wäre ein solcher Fehler ebenfalls irrelevant, solange der unbefugte 
>> physische Zugang zum Rechner verhindert wird.
>>
>> Daher ist es IMO die verwendende Person, die die Risiken der Nutzung 
>> einer solcher Software tragen sollte, denn sie hat erstens den Nutzen 
>> vom Einsatz der Software und zweitens ist sie am Besten in der Lage, 
>> die Risiken zu beherrschen und zu minimieren (von der Firewall bis zum 
>> Türschloss).
>>
>> Bei Freier Software kommt noch hinzu, dass das Recht und die 
>> Möglichkeit zum Studium derselben eingeräumt wird, Warum sollen sich 
>> aus diesen erhöhten Rechten der verwendenden Person nicht auch erhöhte 
>> (Prüfungs-)Obliegenheiten derselben ergeben?
>>
>> Ein weiteres Argument ist die Versicherbarkeit der Risiken. Das Risiko 
>> ist für das Projekt, welches ein freies DBMS herstellt, kaum 
>> kalkulierbar. Es ist aber viel besser kalkulierbar für die konkrete 
>> Verwendung desselben.
>>
>> Oder um zum "Handgranatengeschenk" zu kommen: Software an sich ist 
>> ungefährlich. Erst ihr konkreter Einsatz kann riskant sein.
>>
>> Aus guten Grund ist nach deutschem Recht auch der Haftungsmaßstab bei 
>> einer Schenkung ein anderer, als bei einem Verkauf.
>>
>> Gruß
>> Michael
>>
>>
>> _______________________________________________
>> FSFE-de mailing list
>> FSFE-de at lists.fsfe.org
>> https://lists.fsfe.org/mailman/listinfo/fsfe-de
>>
>> Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
>> Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
>> behandeln: https://fsfe.org/about/codeofconduct
>>
> _______________________________________________
> FSFE-de mailing list
> FSFE-de at lists.fsfe.org
> https://lists.fsfe.org/mailman/listinfo/fsfe-de
> 
> Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
> Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
> behandeln: https://fsfe.org/about/codeofconduct

-- 
Joachim Jakobs          2048R/D5D1F6DD 2012-03-03
   fon: +49-6233-1259.181  jj at privatsphaere.org
   mob: +49-176-97325.333  jj at pr-profi.com

PGP: D5D1F6DD
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 659 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20231016/5c0bf61b/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de