Cyber Resilience Act und andere EU-Gesetzgebungsverfahren

[Joachim Jakobs]

Am 16.10.23 um 14:19 schrieb Dr. Michael Stehmann:
> 
> Der Hersteller des Produktes (Auto, Reifen u.ä.), der Software zu einem 
> bestimmten Zweck implementiert, soll in erster Linie haften. 

Herstellung und Implementierung sind zwei Paar Schuhe?

Der Hersteller stellt Implantate her, die dann von der Ärztin verbaut 
werden. Der Hersteller haftet für das Implantat (per CRA), die Ärztin 
fürs ordnungsgemäße Verbauen (per NIS-2 bzw 
Patientendatenschutzgesetz/Cybersicherheitsrichtlinie)

> Genauso wie 
> der Führer eines Fahrzeuges haftet, wenn er beispielsweise zu schnell 
> damit fährt und nicht der Hersteller, der ein Fahren mit einer 
> Geschwindigkeit über 6 km/h zugelassen hat. Denk' auch 'mal über den 
> Sinn der Gefährdungshaftung nach.
> 

Die Nutzerin eines Fahrzeugs ist nicht am Herstellungsprozess der 
Komponenten bzw deren Zusammenfügen beteiligt.


>> Grade bei Continental wäre das fatal: Dort soll sich eine 
>> Mitarbeiterin einen Browser aus dem Netz gezogen und installiert haben 
>> -- am Ende waren Terabytes von Daten/Quellcode weg. Bei einem 
>> neuerlichen Angriff muss jetzt mit dem Versuch gerechnet werden, 
>> Schadsoftware in die automobile Lieferkette und am Ende in die Autos 
>> einzuschleusen. >
>> Wäre Continental nicht verantwortlich für die Integrität seiner 
>> Anwendungen, hätten sie keinerlei Anreiz, sich darum zu kümmern -- sie 
>> sind ja immerhin schon TISAX-zertifiziert! TISAX!!
> 
> Also ist der Fall an sich doch klar: Continental haftet und nicht der 
> Hersteller der Software, welche einen Download ermöglicht hat.


Womöglich war meine Darstellung zuvor unpräzise: Die Anwendung scheint 
die Tarnung gewesen zu sein. Es war einfach nur ein Schädling, der sich 
hinter dieser Anwendung versteckte und darauf gewartet hat, dass er 
implementiert wurde.

Haftung seines der ENtwicklerin ist nicht zu erwarten.

> 
> Continental hätte den Download durch technische oder organisatorische 
> Maßnahmen verhindern müssen.
> 

Da sind wir uns ausnahmsweise einig:-)

> Richtig, aber nicht, indem die entwickelnde Person, die die Software 
> lizenzgebührenfrei der Allgemeinheit zur Verfügung stellt, in Haftung 
> genommen wird.
>>

Wer soll denn dann beispielsweise für Debian GNU/Linux haften?


>> Ein juristisches Gutachten (__Rechtswissenschaftlerinnen_:-) der Uni 
>> Göttingen meint im Auftrag des BSI, dass Stand von Wissenschaft und 
>> Technik für die Entwicklerinnen von Autos -- ich meine auch von 
>> Implantaten -- bereits heute gelte und §1 ProdHG anzuwenden sei.
>>
> Auch richtig, aber das kann doch nicht für die Entwicklerin einer Freien 
> Bibliothek gelten, derer sich der Automobilhersteller zur Steuerung 
> seines Fahrzeuges oder zwecks Unterhaltung seiner Insassen bedient.
> 

s.o: Die Herstellerin wird irgendwann feststellen, dass die Geschenke 
ausbleiben und ihr kriminelles Geschäftsmodell ändern. Das ist natürlich 
schwierig, da die Mafia aus Wolfsburg, München und Stuttgart aktuell mit 
Geldbußen, Schadensersatz und den Fehlern der Produktpolitik vergangener 
Jahrzehnte eigentlich genug zu kämpfen hat.

>>>
>>> Freie Software wäre definitiv tot, wenn man aus ihrer Entwicklung und 
>>> Distribution eine "gefahrgeneigte Tätigkeit" mit unkalkulierbaren 
>>> Haftungsrisiken machen würde. (Nur ausnahmsweise kann man 
>>> mathematisch beweisen, dass Software immer entsprechend ihrer 
>>> Spezifikation und nur entsprechend ihrer Spezifikation arbeitet. Und 
>>> das Problem des nicht spezifikationsgerechten Einsatzes bleibt dann.)
>>>
>>
>> Ack -- perfekte Software wirds nie geben! Es lässt sich aber alles 
>> Menschenmögliche tun. Und allzu oft geht den Kundinnen Geschwindigkeit 
>> über Qualität. Und sie setzen Termine, die nicht einzuhalten sind, 
>> wenn Qualität gebracht werden soll. Das wird sich ändern, wenn 
>> Qualität ein Leistungsmerkmal ist, mit dem sich Geld verdienen lässt. 
>> Oder wenn Keine mehr bereit ist, Geschenke zu machen.
>>
>>
>> [1] https://tuskr.app/learn/defect-density
>>
> Wenn niemand mehr bereit ist, Geschenke zu machen, ist Freie Software 
> tot. Es gehört zum Wesen Freier Software, dass die Lizenz unentgeltlich 
> eingeräumt wird.
> 

Sind die bezahlten FS-Entwicklerinnen alle ausgestorben?