D.H. Auch Open Source Software hersteller haften jetzt für Schäden aus deren Bugs:
https://www.security-insider.de/neue-eu-produkthaftungsrichtlinie-2024-haftung-fuer-software-und-cybersicherheit-a-f82de8992eaa05ae9f4b46b3ad690352/
Oder Free APPs.
Ich stehe zwischen Verstehe ich und ich kann nicht für die ZeroDays von Bibliotheken garantieren, die ich Einsetze. Natürlich wird alles nach besten Wissen und Gewissen für die Kunden erstellt. Jeder Kunde der ein Update Service haben möchte könnte das ja dazu buchen, die Bereitschaft, wisst ihr ja bestimmt selber, ist oftmals sehr niedrig.
Das eine Software bei Auslieferung garantiert Bugfrei ist, wissen wir alle, dafür kann eigentlich niemand garantierten.
Darauf wirds im Endeffekt glaub ich hinauslaufen. Das mehr Risiko für unbezahlt übernommen wird. Das Risikos eines ZeroDays könnte mit anderen Worten dann Existents bedrohend sein. D.h. Free Apps oder andere Opensource Sachen gibts dann nicht mehr von Indientwicklern in der EU.
Stellt euch mal ne Free "Tagebuch" App vor, bei der man einen Exploit ausnutzen kann, die von einem Studenten geschrieben worden ist. 20.000 Leute benutzen die. Jeder 100. Verklagt ihn jetzt auf Schadensersatz und er muss 3000 Euro je Fall zahlen. Sprich 600.000 Euro "Schaden" für eine Free app weil jemand coden lernen wollte.
Da Software ja schnell skaliert sind die Summen in dem Beispiel vermutlich sogar zu niedrig.
Hört sich komisch an aber dieser wir sichern uns gegen alles ab ist schwierig.
Auf der anderen Seite finde ich es gut dass es nicht mehr eine Komplette "Relase Fast, Fail Fast" und den Kunden einfach zu verbrennen (Sicherheitskameras, Home IT Geräte) gibt. Aber der Cooperate Bereich, der Funktioniert jetzt doch schon komplett anders und die Kunden werden wohl weiterhin dann nicht die Teuerern Preise bereit sein zu zahlen.
Da auch solche Sachen wie Linux compiliert sind (also als APP gelten), ist dieses Gesetz wohl auch das Ende von der einen oder anderen Linux distro in EU.
Geht ein Schadensfall vor Gericht, können Hersteller durch die neue EU-Produkthaftungsrichtlinie dazu veranlasst werden, Beweismittel offenzulegen. Das könnte auch bedeuten, dass Geschäftsgeheimnisse über Funktionen von Produkten öffentlich gemacht werden müssen.
Sobald das Gesezt in DE in Kraft tritt, werd ich mich wohl von den letzten DE Kunden bezüglich der Softwareerstellung verabschieden. Ich bin nicht bereit ein Risiko zu vertreten, dass ich in keinster Weise kalkulieren kann. Vlt. werd ich dann Abmahncracker und Verdiene dann so mein Geld...
Genug unsichere Wordpresswebseiten gibt es ja allemale.
Alles im Allen wohl mal wieder Erfolgreiche Lobbyarbeit von den großen Firmen in der EU Gewesen.
Eine Reine Patchplficht on Notice für n Jahr wäre was anderes gewesen und würde bei Free Sachen vermutlich auch zu weit greifen. Lieb gemeint gegenteil von Gut umgesetzt.
Kommentare von dem Video:
Ich befürchte, dass das in der Praxis in die gleiche Richtung laufen wird wie DSGVO oder Lieferkettengesetz: In der Praxis quasi nicht umsetzbar. Weil seitens der Bürokraten hier nicht verstanden wurde wie Software funktioniert.
Um die Schuldfrage vor Gericht zu klären, läuft das ja am Ende auf extrem aufwändige Sachverständigengutachten am Quellcode hinaus, bei dem die Verfahrenskosten in vielen Fällen wahrscheinlich in keinem Verhältnis mehr zum Schaden stehen. Geht ein Kläger dieses Risiko ein?
So wie ich das verstehe zielt das Gesetz ja hauptsächlich auf Sicherheitslücken. Das Problem mit Sicherheitslücken ist, dass diese ja erst dadurch sichtbar werden, dass ein Angreifer in einem kreativen Prozess eine Schwachstelle gefunden hat, die er ausnutzen kann. Jetzt hat Software aber dummerweise keinen Flugschreiber, der bei Absturz eine Rekonstruktion der Vorgänge ermöglicht und der Angreifer hat wahrscheinlich auch nicht verraten was er gemacht hat. Wenn man aber nicht weis, wie ein Angreifer vorgegangen ist, dann würde ein Sachverständiger hier tatsächlich eine Nadel im Heuhaufen suchen. Und das kann je nach Umfang der Software ein unglaublich großer "Heuhaufen" sein. Was ist wenn der bzw. die Sachverständigen (je nach Umfang des Codes werden hier womöglich sehr sehr viele Leute nötig sein) nichts nachweisen können, weil sie nichts finden? Muss dann der Kläger die Rechnung zahlen? Geht er dieses Risiko ein? Was wenn der Sachverständige den Angriff nachvollziehen kann, aber zu dem Ergebnis kommt, dass die Sicherheitslücke nicht in der beklagten Software, sondern eine Ebene tiefer in einer Systembibliothek liegt? Dann geht für den Kläger der ganze Spaß von vorne los, denn jetzt ist der Hersteller des Betriebssystems in Verantwortung... usw.
Ich bin sehr gespannt, wie sich hier die Details ausgestalten werden, was alles über AGBs ausgeschlossen werden kann und vor allem wie hier dann die ersten Verfahren ablaufen werden.