Mit dem Cyber Resilience Act (CRA) will die EU erstmals europaweite, einheitliche Cybersicherheitsstandards für digitale Produkte schaffen – von der App bis zum IoT-Gerät. Betroffen sind nicht nur Softwarehersteller, sondern auch Distributoren, Importeure und besonders Unternehmen, die Open-Source-Software (OSS) in ihre Produkte integrieren. Doch ein Report der Linux Foundation zeigt: Die Open-Source-Welt ist auf die neuen Regeln bislang schlecht vorbereitet.

Laut einer aktuellen Studie der Linux Foundation sind 62 Prozent der Befragten entweder gar nicht oder nur oberflächlich mit dem CRA vertraut. Auch der Zielzeitpunkt für die volle Umsetzung – Ende 2027 – ist mehr als der Hälfte der Befragten unbekannt. Dabei betrifft der CRA im Prinzip alle, die Software oder Hardware mit digitalen Komponenten in Europa vertreiben.

Der CRA unterscheidet zwei zentrale Akteursgruppen:

Manufacturers (Hersteller) sind Unternehmen, die Produkte mit digitalen Elementen herstellen oder vertreiben, egal ob Software, IoT-Geräte oder integrierte Systeme. Sie tragen künftig die Hauptverantwortung dafür, dass ihre Produkte sicher und regelkonform sind.

Stewards hingegen sind Organisationen, die Open-Source-Projekte pflegen und verwalten, ohne selbst Produkte zu verkaufen. Für sie gelten im CRA zwar erleichterte Anforderungen, doch auch sie müssen etwa Sicherheitslücken dokumentieren und melden.

Gerade bei den Herstellern zeigen sich massive Lücken. Nur ein Drittel erstellt aktuell Software-Stücklisten (SBOMs) für alle Produkte – obwohl diese essenziell sind, um OSS-Abhängigkeiten und Schwachstellen transparent zu machen. Fast die Hälfte (46 Prozent) verlässt sich weiterhin passiv auf die Open-Source-Community für Sicherheitsupdates. Besonders bedenklich: 63 Prozent haben noch keinerlei Plan, wie sie künftig aktiv Sicherheitsbeiträge upstream (also direkt in die Projekte) leisten wollen.

Der Report zeigt aber auch Positivbeispiele: Hersteller, die aktiv mit der Open-Source-Community zusammenarbeiten, erfüllen nicht nur häufiger CRA-Anforderungen, sondern profitieren auch von stabileren und sichereren Abhängigkeiten. Dennoch bleibt diese Gruppe bislang die Minderheit.

Stewards wiederum, meist Open-Source-Stiftungen oder Maintainer-Teams, bringen zwar oft eine solide Sicherheitsbasis mit. 74 Prozent haben beispielsweise Sicherheitsrichtlinien implementiert. Doch bei der formalen CRA-Compliance hapert es. Nur 32 Prozent der befragten Stewards pflegen SBOMs, 71 Prozent fehlen offizielle Meldeprozesse für Schwachstellen an Behörden. Vor allem aber mangelt es vielen an Ressourcen: 62 Prozent können bei sicherheitskritischen Vorfällen nicht schnell reagieren.

Ein überraschender Nebeneffekt der Studie: Viele Open-Source-Developer, die hobbymäßig oder im Non-Profit-Bereich aktiv sind, wissen nicht, ob sie vom CRA betroffen sind. 76 Prozent sind sich unsicher oder glauben fälschlicherweise, dass der CRA auch für sie gelte – obwohl dieser explizit nicht-kommerzielle Projekte ausnimmt. Die Folge: Sorgen über mögliche Haftungsrisiken und vereinzelte Rückzugsgedanken aus dem Engagement.

Die Auswirkungen des CRA gehen dabei über den reinen Aufwand hinaus. Hersteller rechnen im Schnitt mit einem Anstieg der Produktpreise um 6 Prozent, viele haben die finanziellen Konsequenzen jedoch noch gar nicht durchgerechnet. Größte Sorge bleibt neben der rechtlichen Komplexität vor allem die Sicherheit der genutzten OSS-Komponenten – für die man sich künftig selbst stärker verantwortlich fühlen muss.

Die Studienautoren betonen, die Branche müsse dringend handeln. Eine zentrale Erkenntnis des Reports ist die Diskrepanz zwischen den Erwartungen vieler Hersteller und der Realität im Open-Source-Ökosystem: Während schnelle Sicherheitsreaktionen von Upstream-Projekten oft als selbstverständlich angesehen werden, fehlt es vielen Open-Source-Initiativen schlicht an Ressourcen. Gerade kleinere Projekte verfügen weder über ausreichend Personal noch über die notwendige Infrastruktur für eine prompte Incident Response.

Um diese Lücke zu schließen, empfiehlt die Linux Foundation ein Umdenken auf mehreren Ebenen. Hersteller sollen sich künftig nicht mehr nur auf Upstream-Projekte verlassen, sondern selbst aktiv zur Absicherung ihrer OSS-Komponenten beitragen – durch eigene Sicherheitsbeiträge, finanzielle Unterstützung oder die direkte Mitarbeit an Open-Source-Projekten.

Zugleich fordert der Report eine bessere finanzielle, rechtliche und technische Unterstützung für Open-Source-Projekte, die unter den neuen CRA-Anforderungen teils erheblich unter Druck geraten könnten. Konkreter Bedarf besteht insbesondere bei:

• finanzieller Förderung (50 Prozent der Stewards sehen diese als dringend notwendig),
• rechtlicher Beratung (47 Prozent) sowie
• gemeinsamen, praxisnahen Security-Tools (44 Prozent).

Nicht zuletzt appellieren die Autoren an die Politik: Klare und praxisorientierte Leitlinien seien notwendig, um unbeabsichtigte negative Effekte auf die Open-Source-Entwicklung zu vermeiden. „Wir hoffen, dass diese Berichte eine stärkere Zusammenarbeit in der Open-Source-Community katalysieren“, lautet das Fazit der Studienleitung.

Bild: Freepik.com