In der heutigen digitalen Welt spielen Open Source Projekte eine zentrale Rolle bei der Entwicklung von Software und der Förderung von Innovationen. Gleichzeitig stellt die zunehmende Vernetzung und Digitalisierung neue Herausforderungen in puncto Sicherheit dar. Das Cyber Resilience Act (CRA) der Europäischen Union wurde eingeführt, um die Cyberresilienz von digitalen Produkten und Diensten in Europa zu stärken. Besonders für Open Source Maintainer wirft dieses Gesetz viele Fragen auf, da es komplexe Anforderungen und Pflichten mit sich bringt. Im Rahmen der Maintainer Month Kampagne im Mai 2025 hat die Eclipse Foundation’s Open Regulatory Compliance Working Group ein Webinar veranstaltet, das speziell darauf abzielt, Open Source Maintainer über die praktischen Auswirkungen des Cyber Resilience Act zu informieren und Klarheit zu schaffen.
Dieses Event wurde von GitHub gestreamt und hat wichtige Einblicke darüber gegeben, wie Maintainer ihre Rolle und Verantwortung im Kontext der neuen Verordnung verstehen und erfüllen können. Das Cyber Resilience Act wurde konzipiert, um sicherzustellen, dass Hersteller digitaler Produkte und Software hohe Sicherheitsstandards einhalten. Herkömmlich zielte die Regulierung auf kommerzielle Softwareanbieter ab, doch durch die wachsende Bedeutung von Open Source entstehen nun spezifische Herausforderungen darin, wie diese Vorschriften auf Open Source Projekte angewendet werden. Viele Maintainer sind unsicher, ob ihre Projekte überhaupt unter die Regelungen fallen und welche Verpflichtungen sie daraus ableiten müssen. Die Unterscheidung zwischen den Begriffen „Hersteller“, „Studi“ar“ und „normaler Beitragender“ ist dabei besonders relevant, da sie den rechtlichen Rahmen für unterschiedliche Verantwortlichkeiten bildet.
Ein Kernthema der Diskussion ist die Definition, wann ein Open Source Projekt oder dessen Maintainer als Hersteller gelten. Hersteller sind demnach diejenigen, die Software entwickeln und bereitstellen, die kommerziell vertrieben wird oder auf die praktisch kommerzielle Nutzer vertrauen. In diesem Zusammenhang sind Maintainer mit einer aktiven Steuerungsfunktion entscheidend, da sie den Code pflegen, veröffentlichen und sicherstellen, dass er den Compliance-Anforderungen entspricht. Im Gegensatz dazu sind einfache Beitragende Personen, die sporadisch Änderungen vorschlagen oder einzelne Funktionen ergänzen, ohne die Gesamtverantwortung für das Projekt zu tragen. Diese Differenzierung beeinflusst maßgeblich darüber, wer rechtlich für die Sicherheit und Resilienz der Software einstehen muss.
Die Frage, ob ein Open Source Projekt die Anforderungen des Cyber Resilience Act erfüllt, hängt auch von der Art der Einnahmen ab, die das Projekt generiert. Das Akzeptieren von Spenden oder Sponsoring kann Einfluss auf die Pflichten haben, da die Einnahmen die Beziehung zu kommerziellen Interessen verdeutlichen. Wenn Maintainer Geld erhalten, ist dies ein Indiz dafür, dass sie als Anbieter oder Hersteller fungieren könnten und somit den CRA-Verpflichtungen unterliegen. Diese Verpflichtungen können Maßnahmen zur Sicherheitswartung, Fehlerbehebung und das Bereitstellen von Updates umfassen, um eine bestmögliche Resistenz gegen Cyberangriffe zu gewährleisten. Der minimale Pflichtenrahmen für Open Source Stewards orientiert sich an Transparenz, Dokumentation sowie der zeitnahen Behebung von Sicherheitslücken.
Die neue Verordnung fordert von den Verantwortlichen, dass sie potenzielle Risiken proaktiv adressieren und Nutzern der Software klare Informationen über bekannte Schwachstellen zur Verfügung stellen. Weiterhin besteht die Herausforderung darin, mit Anfragen von Unternehmen oder Organisationen umzugehen, die gesetzliche Konformität sowie Sicherheitsnachweise für den Einsatz der Software verlangen. Trotz dieser Anforderungen betonten Experten im Webinar, dass keine übermäßige Bürokratie oder Unverhältnismäßigkeit entstehen sollte, um die Innovationskraft und Offenheit des Open Source Ökosystems nicht zu gefährden. Das Webinar brachte zudem hochkarätige Experten zusammen, die aus unterschiedlichen Perspektiven wertvolle Einblicke boten. Tobie Langel, technischer Leiter der Open Regulatory Compliance Working Group, erläuterte die Arbeit der Gruppe und wie diese regulatorische Herausforderungen angegangen werden.
Felix Reda, Direktor für Politiken bei GitHub, brachte die Sicht der Plattform ein, die eine entscheidende Rolle darin spielt, den Austausch und die Transparenz innerhalb der Open Source Community sicherzustellen. Daniel Stenberg, Gründer und Lead Entwickler des bekannten cURL Projekts, teilte seine Erfahrungen als Maintainier und hob hervor, wie wichtig es ist, eine Balance zwischen Verantwortlichkeit und freiem Zugang zur Software zu finden. Ashley Williams, Gründerin und Geschäftsführerin von axo, und Maarten Aertsen, Senior Internet-Technologe bei NLnet Labs, runden die Expertenrunde ab und machten deutlich, wie wichtig eine Zusammenarbeit aller Akteure ist, um die Sicherheit der digitalen Infrastruktur zu stärken. Für Open Source Maintainer ergeben sich aus dem Cyber Resilience Act Chancen ebenso wie Herausforderungen. Auf der positiven Seite bietet die Verordnung eine klare Leitlinie dafür, wie Sicherheitsfragen behandelt werden sollten, wodurch das Vertrauen von Unternehmen und Endnutzern in Open Source Software wächst.
Zugleich zwingt der CRA dazu, Ressourcen und Prozesse für die nachhaltige Pflege und Auslieferung von Software aufzubauen, was langfristig die Qualität und Stabilität verbessert. Auf der negativen Seite stehen mögliche Mehrbelastungen für ehrenamtliche Maintainer, die oft mit begrenzten Mitteln arbeiten. Deshalb sind Gemeinschaften und Förderprogramme, wie es das durch GitHub initiierte Maintainer Month Projekt zeigt, essentiell, um Unterstützung anzubieten und das Wissen über regulatorische Vorgaben zu verbreiten. Die praxisorientierte Beratung, die im Webinar vermittelt wurde, ist ein wichtiger Schritt, um Unsicherheiten aufzulösen und Transparenz zu schaffen. Maintainer sollten sich zunächst bewusst machen, ob ihre Projekte kommerzielle Verbreitung oder Nutzung erfahren und ob sie Einnahmen durch Spenden oder Sponsoring erzielen.
Danach empfiehlt sich eine Überprüfung und gegebenenfalls Anpassung der Sicherheitsprozesse sowie eine konsequente Dokumentation von Maßnahmen. Es ist außerdem ratsam, sich innerhalb der Community mit anderen Maintainers auszutauschen, um bewährte Vorgehensweisen zu identifizieren und gemeinsame Standards zu entwickeln. Darüber hinaus sollten Open Source Projekte mit Blick auf das Cyber Resilience Act Reevaluierungen ihrer Lizenz- und Governance-Modelle vornehmen. Da regulatorische Anforderungen steigen, gewinnt auch die rechtliche Gestaltung der Projekte an Bedeutung, um Haftungsrisiken zu minimieren und klare Verantwortlichkeiten zu definieren. Initiativen, die Maintainer mit rechtlicher Unterstützung oder Weiterbildungsangeboten fördern, können hier einen entscheidenden Beitrag leisten.
Schließlich wirft das Cyber Resilience Act nicht nur rechtliche und technische Fragen auf, sondern auch gesellschaftliche. Open Source lebt von Offenheit, gemeinsamer Innovation und Transparenz. Um diese Prinzipien zu bewahren, ist ein ausgewogener Umgang mit regulatorischen Anforderungen essenziell. Die enge Zusammenarbeit von Maintainers, Unternehmen, Regulierungsbehörden und Plattformen wie GitHub bietet eine Chance, Regeln zu erarbeiten, die Sicherheit gewährleisten und gleichzeitig die Freiheit und das Wachstum des Open Source Ökosystems fördern. Das virtuelle Webinar im Mai 2025 im Rahmen von Maintainer Month hat Partnerschaften und Diskussionen angestoßen, die auch im kommenden Jahr und darüber hinaus an Bedeutung gewinnen werden.
Open Source Maintainer sind gut beraten, den Dialog aktiv zu suchen und sich frühzeitig mit den Anforderungen des Cyber Resilience Act auseinanderzusetzen. Nur so kann ein nachhaltiger Beitrag zur Cyberresilienz geleistet werden, der gleichzeitig die Innovationskraft und Offenheit offener Softwareprojekte sicherstellt.
