Am 16.10.23 um 12:00 schrieb Dr. Michael Stehmann:
Warum soll hierfür die entwickelnde Person haften?
Das würde in der Konsequenz bedeuten, dass Microsoft (mit seiner historisch bedingten Anfälligkeit) oder der Autozulieferer Continental nicht zur Rechenschaft zu ziehen wäre, sondern die jeweils Verantwortliche Nutzerin (Ärztin/Autofahrerin), die Implantate verbaut oder Auto fährt?
Grade bei Continental wäre das fatal: Dort soll sich eine Mitarbeiterin einen Browser aus dem Netz gezogen und installiert haben -- am Ende waren Terabytes von Daten/Quellcode weg. Bei einem neuerlichen Angriff muss jetzt mit dem Versuch gerechnet werden, Schadsoftware in die automobile Lieferkette und am Ende in die Autos einzuschleusen.
Wäre Continental nicht verantwortlich für die Integrität seiner Anwendungen, hätten sie keinerlei Anreiz, sich darum zu kümmern -- sie sind ja immerhin schon TISAX-zertifiziert! TISAX!!
Und die Fehlerdichte könnte zunehmen: "Factors affecting Defect Density ComplexityAs the complexity of code increases, the defect rate could increase significantly." [1]
Nochmal: Freie Software ermöglicht Transparenz, verringert die Haftungsrisiken. Dafür muss die Entwicklerin bezahlt werden. Das wird die Industrie lernen (müssen) wenn sie mit der zu erwartenden Angriffsqualität in Zukunft klarkommen will.
Ein juristisches Gutachten (__Rechtswissenschaftlerinnen_:-) der Uni Göttingen meint im Auftrag des BSI, dass Stand von Wissenschaft und Technik für die Entwicklerinnen von Autos -- ich meine auch von Implantaten -- bereits heute gelte und §1 ProdHG anzuwenden sei.
Freie Software wäre definitiv tot, wenn man aus ihrer Entwicklung und Distribution eine "gefahrgeneigte Tätigkeit" mit unkalkulierbaren Haftungsrisiken machen würde. (Nur ausnahmsweise kann man mathematisch beweisen, dass Software immer entsprechend ihrer Spezifikation und nur entsprechend ihrer Spezifikation arbeitet. Und das Problem des nicht spezifikationsgerechten Einsatzes bleibt dann.)
Ack -- perfekte Software wirds nie geben! Es lässt sich aber alles Menschenmögliche tun. Und allzu oft geht den Kundinnen Geschwindigkeit über Qualität. Und sie setzen Termine, die nicht einzuhalten sind, wenn Qualität gebracht werden soll. Das wird sich ändern, wenn Qualität ein Leistungsmerkmal ist, mit dem sich Geld verdienen lässt. Oder wenn Keine mehr bereit ist, Geschenke zu machen.
[1] https://tuskr.app/learn/defect-density
OpenPGP_signature.asc
Description: OpenPGP digital signature
_______________________________________________ FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
