Cyber Resilience Act und andere EU-Gesetzgebungsverfahren

Dr. Michael Stehmann anwalt at rechtsanwalt-stehmann.de
Mo Okt 16 10:00:09 UTC 2023 

Hallo,

Am 16.10.23 um 10:36 schrieb Joachim Jakobs:

> Das verstehe ich nicht: Wer entwickelt denn die Steuerungen von 
> vernetztem Zeugs? AFAIK hat VW eine extra Tochter dafür. Und machen die 
> alles selber? Oder gibts auf sourceforge ein klein wenig Quellcode (wie 
> log4j), das Alle nutzen, aber keiner die Entwicklerin von dem Fetzen 
> Quellcode bezahlt? Oder gibts ausgerechnet bei den Steuerungen nur 
> hochbezahlte Entwicklerinnen, die ausschließlich proprietären Code 
> schreiben?
>> Joachim, Du findest es ernsthaft angemessen, dass etwa der 
>> Programmierer von curl haften soll, wenn in einem Auto oder einem 
>> IOT-Gerät (wegen einem bug) das Update fehlschlägt und deshalb was 
>> schiefgeht?
> 
> Wer sollte denn sonst haften, wenn nicht die Entwicklerin, wenn durch 
> ihren (fahrlässig) verursachten Fehler bei einem 
> (Verkehrs-/Kraftwerks)Unfall Menschen verletzt werden?

Zu haften hat IMO die Person, die die Software zu einem bestimmten Zweck 
einsetzt. Dies gilt jedenfalls dann, wenn die Software nicht gezielt für 
einen bestimmten Einsatz entwickelt wurde.

Bei log4j war es ja, soweit ich dies verstanden habe, so, dass die 
Software so arbeitete, wie von den Entwicklern beabsichtigt ("works as 
designed"). Sie wurde jedoch so eingesetzt, dass die Features zu 
Sicherheitsproblemen führten. Nicht die Software war also fehlerhaft, 
sondern ihr konkreter Einsatz.

Warum soll hierfür die entwickelnde Person haften?

Freie Software wäre definitiv tot, wenn man aus ihrer Entwicklung und 
Distribution eine "gefahrgeneigte Tätigkeit" mit unkalkulierbaren 
Haftungsrisiken machen würde. (Nur ausnahmsweise kann man mathematisch 
beweisen, dass Software immer entsprechend ihrer Spezifikation und nur 
entsprechend ihrer Spezifikation arbeitet. Und das Problem des nicht 
spezifikationsgerechten Einsatzes bleibt dann.)

(Exkurs: Ich stelle mir gerade einen Beipackzettel vor: "Wichtiger 
Hinweis! Zu Risiken und Nebenwirkungen eines konkreten Einsatzes dieser 
Software fragen Sie bitte Ihre InformatikerInnen oder Ihre 
IT-SicherheitsexpertInnen.")

Der Tod Freier Software wäre sicherlich im Interesse mancher Unternehmen 
(anderer eher nicht). Aber wäre dies auch im Interesse der Gesellschaft 
(oder auch der Menschheit)?

Also Apologet Freier Software meine ich: Nein!

Gruß
Michael




-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 203 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20231016/ee50530b/attachment-0001.sig>

Mehr Informationen über die Mailingliste FSFE-de