Schedule FrOSCon 2026

Lecture

Freie Software und der Cyber Resilience Act

Was die Community "wirklich" will

August 15, 2026 HS 7 de Security

Der Cyber Resilience Act (CRA) der Europäischen Union stellt die Freie-Software-Gemeinschaft vor neue Herausforderungen. Wir haben die Community gefragt, was sie für Bedenken hat und was sie braucht. Dieser Vortrag präsentiert die Ergebnisse dieser Umfrage.

Der Cyber Resilience Act (CRA) der Europäischen Union stellt die Freie-Software-Gemeinschaft vor neue Herausforderungen. Artikel 25 des CRA eröffnet dabei einen vielversprechenden Weg: freiwillige Sicherheitsnachweisprogramme (*voluntary security attestation programmes*), die es Entwicklerinnen und Maintainern ermöglichen sollen, die Konformität ihrer Projekte mit den Cybersicherheitsanforderungen der Verordnung nachzuweisen – ohne dabei die Prinzipien Freier Software zu untergraben.

Doch wie sollen solche Programme konkret aussehen? Wer soll sie tragen? Welche Anforderungen sind realistisch, welche kontraproduktiv? Um diese Fragen nicht im regulatorischen Vakuum zu beantworten, wurde eine breite Umfrage in der Open-Source-Community durchgeführt. Ziel war es, Entwicklerinnen, Maintainer, Unternehmen und andere Beteiligte zu befragen, wie freiwillige Attestierungsprogramme gestaltet sein müssten, um tatsächlich nützlich – und nicht zur bürokratischen Last – zu werden.

Dieser Vortrag präsentiert die Ergebnisse dieser Umfrage. Wir beleuchten, welche Erwartungen und Bedenken die Community gegenüber einem solchen Programm hegt: Wie viel Aufwand gilt als zumutbar? Welche Organisationen werden als vertrauenswürdige Stellen akzeptiert? Sollte die Attestierung projektbezogen oder prozessbezogen erfolgen? Und welche Rolle spielen bestehende Initiativen wie OpenSSF Scorecards, SLSA oder Software Bills of Materials (SBOMs) in einem solchen Rahmenwerk?

Die Auswertung zeigt deutliche Muster: Es gibt breiten Konsens in bestimmten Bereichen – etwa beim Wunsch nach Freiwilligkeit ohne versteckte Pflichten – aber auch erhebliche Unterschiede in der Risikowahrnehmung zwischen kleinen Einzelprojekten und großen, kommerziell genutzten Open-Source-Komponenten. Besonders aufschlussreich sind die Antworten zu Governance-Fragen: Wer soll Kriterien definieren? Wer soll auditieren? Und wie lässt sich Capture durch Industrieinteressen verhindern?

Die Ergebnisse sind nicht nur akademisch relevant. Die Europäische Kommission ist gemäß Artikel 25 CRA ermächtigt, delegierte Rechtsakte zu erlassen, die die konkreten Rahmenbedingungen für Attestierungsprogramme festlegen. Die Umfrageergebnisse liefern daher wertvolle Grundlage für die Positionierung der Freie-Software-Community in diesem Gesetzgebungsprozess.

Der Vortrag richtet sich an alle, die sich für die Schnittstelle zwischen Freie-Software-Entwicklung und europäischer Regulierung interessieren – unabhängig davon, ob sie selbst Software entwickeln, Projekte maintainen oder Compliance-Verantwortung in Organisationen tragen. Vorkenntnisse zum CRA sind hilfreich, aber nicht Voraussetzung.