Cyber Resilience Act und andere EU-Gesetzgebungsverfahren
Joachim Jakobs
jj at privatsphaere.org
Mo Okt 16 11:03:54 UTC 2023
Am 16.10.23 um 12:00 schrieb Dr. Michael Stehmann:
>
> Warum soll hierfür die entwickelnde Person haften?
Das würde in der Konsequenz bedeuten, dass Microsoft (mit seiner
historisch bedingten Anfälligkeit) oder der Autozulieferer Continental
nicht zur Rechenschaft zu ziehen wäre, sondern die jeweils
Verantwortliche Nutzerin (Ärztin/Autofahrerin), die Implantate verbaut
oder Auto fährt?
Grade bei Continental wäre das fatal: Dort soll sich eine Mitarbeiterin
einen Browser aus dem Netz gezogen und installiert haben -- am Ende
waren Terabytes von Daten/Quellcode weg. Bei einem neuerlichen Angriff
muss jetzt mit dem Versuch gerechnet werden, Schadsoftware in die
automobile Lieferkette und am Ende in die Autos einzuschleusen.
Wäre Continental nicht verantwortlich für die Integrität seiner
Anwendungen, hätten sie keinerlei Anreiz, sich darum zu kümmern -- sie
sind ja immerhin schon TISAX-zertifiziert! TISAX!!
Und die Fehlerdichte könnte zunehmen:
"Factors affecting Defect Density Complexity
As the complexity of code increases, the defect rate could increase
significantly." [1]
Nochmal: Freie Software ermöglicht Transparenz, verringert die
Haftungsrisiken. Dafür muss die Entwicklerin bezahlt werden. Das wird
die Industrie lernen (müssen) wenn sie mit der zu erwartenden
Angriffsqualität in Zukunft klarkommen will.
Ein juristisches Gutachten (__Rechtswissenschaftlerinnen_:-) der Uni
Göttingen meint im Auftrag des BSI, dass Stand von Wissenschaft und
Technik für die Entwicklerinnen von Autos -- ich meine auch von
Implantaten -- bereits heute gelte und §1 ProdHG anzuwenden sei.
>
> Freie Software wäre definitiv tot, wenn man aus ihrer Entwicklung und
> Distribution eine "gefahrgeneigte Tätigkeit" mit unkalkulierbaren
> Haftungsrisiken machen würde. (Nur ausnahmsweise kann man mathematisch
> beweisen, dass Software immer entsprechend ihrer Spezifikation und nur
> entsprechend ihrer Spezifikation arbeitet. Und das Problem des nicht
> spezifikationsgerechten Einsatzes bleibt dann.)
>
Ack -- perfekte Software wirds nie geben! Es lässt sich aber alles
Menschenmögliche tun. Und allzu oft geht den Kundinnen Geschwindigkeit
über Qualität. Und sie setzen Termine, die nicht einzuhalten sind, wenn
Qualität gebracht werden soll. Das wird sich ändern, wenn Qualität ein
Leistungsmerkmal ist, mit dem sich Geld verdienen lässt. Oder wenn Keine
mehr bereit ist, Geschenke zu machen.
[1] https://tuskr.app/learn/defect-density
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : OpenPGP_signature.asc
Dateityp : application/pgp-signature
Dateigröße : 659 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20231016/4975db87/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de