Cyber Resilience Act und andere EU-Gesetzgebungsverfahren

[Dr. Michael Stehmann]

Hallo,

Am 16.10.23 um 13:03 schrieb Joachim Jakobs:
> 
> 
> Am 16.10.23 um 12:00 schrieb Dr. Michael Stehmann:
> 
> 
>>
>> Warum soll hierfür die entwickelnde Person haften?
> 
> Das würde in der Konsequenz bedeuten, dass Microsoft (mit seiner 
> historisch bedingten Anfälligkeit) oder der Autozulieferer Continental 
> nicht zur Rechenschaft zu ziehen wäre, sondern die jeweils 
> Verantwortliche Nutzerin (Ärztin/Autofahrerin), die Implantate verbaut 
> oder Auto fährt?

Der Hersteller des Produktes (Auto, Reifen u.ä.), der Software zu einem 
bestimmten Zweck implementiert, soll in erster Linie haften. Genauso wie 
der Führer eines Fahrzeuges haftet, wenn er beispielsweise zu schnell 
damit fährt und nicht der Hersteller, der ein Fahren mit einer 
Geschwindigkeit über 6 km/h zugelassen hat. Denk' auch 'mal über den 
Sinn der Gefährdungshaftung nach.

> Grade bei Continental wäre das fatal: Dort soll sich eine Mitarbeiterin 
> einen Browser aus dem Netz gezogen und installiert haben -- am Ende 
> waren Terabytes von Daten/Quellcode weg. Bei einem neuerlichen Angriff 
> muss jetzt mit dem Versuch gerechnet werden, Schadsoftware in die 
> automobile Lieferkette und am Ende in die Autos einzuschleusen. >
> Wäre Continental nicht verantwortlich für die Integrität seiner 
> Anwendungen, hätten sie keinerlei Anreiz, sich darum zu kümmern -- sie 
> sind ja immerhin schon TISAX-zertifiziert! TISAX!!

Also ist der Fall an sich doch klar: Continental haftet und nicht der 
Hersteller der Software, welche einen Download ermöglicht hat.

Continental hätte den Download durch technische oder organisatorische 
Maßnahmen verhindern müssen.

Man kann doch nicht dem Hersteller der Downloadsoftware aufgeben, diese 
prüfen im Einzelnen zu lassen, was heruntergeladen werden soll - 
abgesehen davon kann eine solche Sperre bei Freier Software recht 
einfach entfernt werden.
> 
> Und die Fehlerdichte könnte zunehmen:
> 
> "Factors affecting Defect Density Complexity
> 
> As the complexity of code increases, the defect rate could increase 
> significantly." [1]
> 
> Nochmal: Freie Software ermöglicht Transparenz, verringert die 
> Haftungsrisiken. Dafür muss die Entwicklerin bezahlt werden. Das wird 
> die Industrie lernen (müssen) wenn sie mit der zu erwartenden 
> Angriffsqualität in Zukunft klarkommen will.

Richtig, aber nicht, indem die entwickelnde Person, die die Software 
lizenzgebührenfrei der Allgemeinheit zur Verfügung stellt, in Haftung 
genommen wird.
> 
> Ein juristisches Gutachten (__Rechtswissenschaftlerinnen_:-) der Uni 
> Göttingen meint im Auftrag des BSI, dass Stand von Wissenschaft und 
> Technik für die Entwicklerinnen von Autos -- ich meine auch von 
> Implantaten -- bereits heute gelte und §1 ProdHG anzuwenden sei.
>
Auch richtig, aber das kann doch nicht für die Entwicklerin einer Freien 
Bibliothek gelten, derer sich der Automobilhersteller zur Steuerung 
seines Fahrzeuges oder zwecks Unterhaltung seiner Insassen bedient.

>>
>> Freie Software wäre definitiv tot, wenn man aus ihrer Entwicklung und 
>> Distribution eine "gefahrgeneigte Tätigkeit" mit unkalkulierbaren 
>> Haftungsrisiken machen würde. (Nur ausnahmsweise kann man mathematisch 
>> beweisen, dass Software immer entsprechend ihrer Spezifikation und nur 
>> entsprechend ihrer Spezifikation arbeitet. Und das Problem des nicht 
>> spezifikationsgerechten Einsatzes bleibt dann.)
>>
> 
> Ack -- perfekte Software wirds nie geben! Es lässt sich aber alles 
> Menschenmögliche tun. Und allzu oft geht den Kundinnen Geschwindigkeit 
> über Qualität. Und sie setzen Termine, die nicht einzuhalten sind, wenn 
> Qualität gebracht werden soll. Das wird sich ändern, wenn Qualität ein 
> Leistungsmerkmal ist, mit dem sich Geld verdienen lässt. Oder wenn Keine 
> mehr bereit ist, Geschenke zu machen.
> 
> 
> [1] https://tuskr.app/learn/defect-density
> 
Wenn niemand mehr bereit ist, Geschenke zu machen, ist Freie Software 
tot. Es gehört zum Wesen Freier Software, dass die Lizenz unentgeltlich 
eingeräumt wird.

Im Übrigen: "Look at the community!"

https://www.linux-magazin.de/ausgaben/2022/12/communities/?mc-cid=8526f6bf4e&mc-eid=uniqid

Beispielsweise: Bevorzugt man ein Projekt mit festen Releasezyklen oder 
eins, welches veröffentlicht, wenn es fertig ist?

Gruß
Michael
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 203 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20231016/72e445fb/attachment.sig>