FrOSCon npm install und plötzlich haftbar
Der Cyber Resilience Act, die Lieferkette und das Vertrauen in freie Software
Im September 2025 genügte eine einzige Phishing-Mail an einen npm-Maintainer, um binnen rund 16 Minuten Schadcode in 18 zentrale Pakete mit über 2 Milliarden Downloads pro Woche einzuschleusen. Wem können wir noch trauen, wenn wir gemeinsam an Open Source Software arbeiten? Der Cyber Resilience Act gibt darauf eine regulatorische Antwort, mit ersten Pflichten schon ab September 2026. Der Vortrag erklärt verständlich, was der CRA von Herstellern und der gesamten Lieferkette verlangt und was er konkret für Open Source Software bedeutet: die neue Rolle des Open-Source-Stewards und die Pflicht zur maschinenlesbaren Software-Stückliste (SBOM).
Eine Phishing-Mail, eine übernommene Maintainer-Identität, rund 16 Minuten bis zum verteilten Schadcode – und 2,5 Millioen Downloads betroffen:
Der npm-Vorfall um chalk und debug im September 2025 war nur einer von mehreren Lieferkettenangriffen dieses Jahres. Niemand hatte böse Absicht, alle haben einem Maintainer vertraut – und genau dieses Vertrauen wurde zur Schwachstelle. Das ist der Ausgangspunkt dieses Vortrags.
Die EU gibt mit dem Cyber Resilience Act (CRA) eine regulatorische Antwort auf die Frage, wem man in der Software-Lieferkette noch trauen kann. Ab dem 11. September 2026 greifen die ersten verbindlichen Pflichten, ab dem 11. Dezember 2027 gilt die Verordnung vollständig. Der Vortrag ordnet die Rechtslage verständlich ein – ganz ohne juristisches Vorwissen.
Im Einzelnen geht es um:
-
Das Grundgerüst des CRA: Was ist ein „Produkt mit digitalen Elementen", welche Pflichten treffen Hersteller, und wie ist die Zeitschiene wirklich? -
Verantwortung in der Lieferkette: Wer fremde Komponenten integriert, auch Open Source Software, trägt Sorgfalts- und Meldepflichten. -
Der FOSS-Sonderweg: Unter welchen Voraussetzungen Open Source Software in den Anwendungsbereich des CRA fällt und welche Abgrenzungsfragen sich dabei stellen. -
Der Open-Source-Steward: Eine völlig neue Rechtsfigur mit bewusst abgemildertem Pflichtenregime und ohne Bußgeldrisiko. Wen trifft sie, und was bringt sie? -
Die SBOM-Pflicht: Warum die maschinenlesbare Software-Stückliste in der Praxis schon weit vor 2027 unverzichtbar wird. -
Zwei Haftungswelten: Der CRA ist Produktregulierung (Marktüberwachung, Bußgelder) parallel macht die reformierte EU-Produkthaftung Software ausdrücklich zum „Produkt" und lässt die Sicherheitsanforderungen in den Fehlerbegriff einfließen. Wer Open Source Software in ein kommerzielles Produkt einbaut, kann auf beiden Ebenen haften.
Zum Abschluss die offene Frage: Schafft der CRA tatsächlich Vertrauen? Und hätte er den Vorfall vom September 2025 überhaupt verhindert?
Für wen? Maintainer, Foundations und alle, die Open Source Software kommerziell einsetzen oder ausliefern. Es sind keine juristischen Vorkenntnisse nötig.
Speakers
Annika Niemann
Annika Niemann ist Rechtsanwältin und befasst sich schwerpunktmäßig mit IT-Recht und...