Manche Gesetze klingen so vernünftig, dass man sich fast schämt, dagegen zu argumentieren. Wer möchte bitteschön keine sicheren Kühlschränke, Router oder Industrieanlagen? Die Europäische Union hat mit großem Pomp ein Regelwerk auf den Weg gebracht, das genau das verspricht: ein Ende der digitalen Wegwerfgesellschaft, in der unsichere Software unsere Infrastruktur gefährdet. Doch wer einen Blick in den Cyber Resilience Act Eur Lex wirft, stellt fest, dass wir hier Zeuge einer schleichenden Enteignung der digitalen Innovationskraft werden. Es geht nämlich gar nicht primär um Sicherheit, sondern um die totale Bürokratisierung des Quellcodes. Die Vorstellung, dass man Sicherheit herbeischreiben kann, indem man Herstellern dicke Handbücher voller Dokumentationspflichten auferlegt, ist ein gefährlicher Trugschluss. Er beruht auf der Annahme, dass Software ein fertiges Produkt ist, wie ein Toaster oder eine Kaffeemaschine. Doch Software ist lebendig. Sie ist ein Prozess, kein Zustand. Wenn Brüssel nun versucht, diesen Prozess in die starren Korsetts der klassischen Produkthaftung zu zwängen, riskieren wir genau das Gegenteil von dem, was beabsichtigt war. Anstatt Systeme sicherer zu machen, schaffen wir Hürden, die kleine Entwickler in den Ruin treiben und den Markt denjenigen überlassen, die genug Anwälte haben, um die Formulare korrekt auszufüllen.
Ich habe in den letzten Jahren mit Dutzenden Entwicklern gesprochen, die ihre Freizeit opfern, um Open-Source-Projekte am Laufen zu halten. Diese Menschen bilden das Rückgrat unserer modernen Welt. Fast jeder Webserver, jede Cloud-Struktur und jedes Smartphone basiert auf Code, den jemand irgendwo auf der Welt freiwillig bereitgestellt hat. Die bürokratischen Anforderungen dieser neuen Verordnung zielen jedoch auf eine Welt ab, in der alles ein Preisschild und eine Rechtsabteilung hat. Die Realität sieht anders aus. Das Dokument Cyber Resilience Act Eur Lex suggeriert eine Kontrolle, die in der asymmetrischen Welt der Cybersicherheit eine reine Illusion bleibt. Ein Angreifer braucht nur eine einzige Lücke, während ein Verteidiger Millionen von Zeilen Code perfekt absichern muss. Kein Stempel einer Behörde und kein CE-Kennzeichen wird einen Zero-Day-Exploit verhindern. Wer behauptet, dass eine Konformitätsbewertung die Sicherheit signifikant erhöht, hat das Wesen von Schwachstellen nicht verstanden. Sie entstehen oft erst durch das Zusammenspiel verschiedener Komponenten, die für sich genommen vollkommen regelkonform sind.
Der fatale Irrtum über die Haftung im Cyber Resilience Act Eur Lex
Die zentrale These der Befürworter lautet, dass die Industrie endlich Verantwortung übernehmen muss. Das klingt logisch. Wenn eine Bremsanlage am Auto versagt, haftet der Hersteller. Warum sollte das bei einem Router anders sein? Der Haken an dieser Argumentation ist die Komplexität. Ein Auto ist ein abgeschlossenes System. Ein Stück Software hingegen wird in Umgebungen eingesetzt, die der ursprüngliche Programmierer nie voraussehen konnte. Die neue Verordnung verlangt nun, dass Hersteller über den gesamten Lebenszyklus eines Produkts für dessen Sicherheit garantieren. Das klingt nach Verbraucherschutz, führt aber in der Praxis zu einer massiven Verkürzung der Produktlebenszyklen. Wenn die Kosten für die Aufrechterhaltung der Konformität den Gewinn übersteigen, wird der Support schlicht eingestellt. Wir werden erleben, dass funktionierende Hardware künstlich zum Elektroschrott erklärt wird, weil die rechtlichen Risiken für die Software-Updates zu hoch werden. Das ist das Gegenteil von Nachhaltigkeit.
Kritiker meines Standpunkts führen gerne an, dass es Übergangsfristen gibt und dass kleine Unternehmen privilegiert werden. Das ist Augenwischerei. In einer global vernetzten Wirtschaft gibt es keine isolierten kleinen Unternehmen. Ein deutscher Mittelständler, der eine Steuerung für Windkraftanlagen baut, nutzt Bibliotheken aus den USA, Indien und Frankreich. Wenn diese Zulieferer keine Lust auf das europäische Zertifizierungs-Theater haben, steht der hiesige Produzent vor dem Nichts. Er muss dann entweder extrem teure, zertifizierte Alternativen kaufen oder das Risiko selbst tragen. Beides schwächt die Wettbewerbsfähigkeit massiv. Wir bauen eine digitale Festung Europa, in der die Mauern so hoch sind, dass niemand mehr hineinkommt, aber leider auch niemand mehr darin vernünftig arbeiten kann. Die Annahme, dass die Marktmacht der EU groß genug ist, um weltweite Standards zu erzwingen, ist riskant. Bei der DSGVO hat das teilweise funktioniert, aber Softwareentwicklung ist wesentlich flüchtiger als Datenverarbeitung.
Die Zerstörung des ehrenamtlichen Fundaments
Ein besonders wunder Punkt ist die Behandlung von Open Source. Zwar gibt es Ausnahmen für nicht-kommerzielle Projekte, doch die Grenze ist fließend. Sobald eine Stiftung Spenden annimmt oder ein Entwickler für Support bezahlt wird, greifen die Mechanismen. Ich kenne Programmierer, die bereits jetzt darüber nachdenken, ihre Projekte für europäische IP-Adressen zu sperren, um nicht in die Haftungsfalle zu tappen. Das ist kein theoretisches Szenario, sondern bittere Realität in den Foren. Wenn wir den Zugang zu freiem Code erschweren, schaden wir direkt unserer eigenen Sicherheit. Denn Transparenz ist die beste Waffe gegen Backdoors. Wenn nur noch proprietäre, zertifizierte Software erlaubt ist, begeben wir uns in die totale Abhängigkeit von großen Konzernen. Diese Konzerne haben die Ressourcen, um die Anforderungen zu erfüllen, aber sie haben kein Interesse an radikaler Transparenz. Sie verkaufen uns Sicherheit als Blackbox.
Man muss sich klarmachen, was hier eigentlich passiert. Die Politik versucht, ein Versäumnis der letzten Jahrzehnte durch übermäßige Regulierung zu heilen. Man hat zugesehen, wie kritische Infrastrukturen auf Sand gebaut wurden. Jetzt, wo die Bedrohungslage durch staatliche Akteure und Cyberkriminelle eskaliert, greift man zum bewährten Mittel der Bürokratie. Aber ein Hacker in St. Petersburg oder Shanghai liest keine EU-Verordnungen. Er freut sich vielmehr über die Trägheit, die durch solche Gesetze entsteht. Während europäische Firmen noch damit beschäftigt sind, ihre Dokumentationsmappen für das nächste Audit zu füllen, hat der Angreifer längst eine neue Methode gefunden, um das System zu korrumpieren. Wahre Resilienz entsteht durch Agilität, durch schnelles Reagieren und durch eine Fehlerkultur, die Schwachstellen als Chance zur Verbesserung sieht, nicht als rechtliches Todesurteil.
Die Illusion der staatlichen Kontrolle
Es gibt einen tiefen Graben zwischen der bürokratischen Vorstellung von IT-Sicherheit und der technischen Praxis. In der Welt der Paragrafen ist eine Schwachstelle etwas, das man meldet und dann innerhalb einer Frist behebt. In der echten Welt ist eine Schwachstelle oft ein Designfehler, der tief in der Architektur sitzt. Die Verpflichtung zur Meldung von ungepatchten Schwachstellen an staatliche Stellen ist ein weiteres hochriskantes Element. Wir schaffen hier riesige Datenbanken mit offener Flanke, die für Geheimdienste ein gefundenes Fressen sind. Wer garantiert uns, dass diese Informationen nur zur Verteidigung genutzt werden? Die Geschichte zeigt, dass Staaten Informationen über Sicherheitslücken gerne horten, um sie für eigene Zwecke einzusetzen. Das Gesetz untergräbt damit das Vertrauen zwischen Herstellern und Behörden, das für eine echte Zusammenarbeit notwendig wäre.
Wenn du heute ein intelligentes Thermostat kaufst, erwartest du, dass es funktioniert. Wenn es gehackt wird und deine Heizung im Winter ausfällt, bist du zu Recht wütend. Aber hilft es dir wirklich, wenn der Hersteller vorher ein Formular ausgefüllt hat, in dem er versichert, dass er alles nach bestem Wissen und Gewissen geprüft hat? Wahrscheinlich nicht. Was dir helfen würde, wäre eine aktive Community, die den Fehler sofort findet und einen Patch bereitstellt. Genau diese Community wird durch die neue Rechtslage jedoch massiv verunsichert. Wir tauschen organische Sicherheit gegen ein bürokratisches Sicherheits-Theater ein. Es ist ein hoher Preis für ein Siegel, das im Ernstfall kaum mehr wert ist als das Papier, auf dem es gedruckt wurde.
Die eigentliche Gefahr besteht darin, dass wir eine Generation von Ingenieuren heranziehen, die mehr Zeit mit Compliance als mit Code verbringen. Innovation passiert dort, wo man Dinge ausprobieren darf, wo man scheitern kann und wo die Eintrittshürden niedrig sind. Wenn jedes kleine Start-up von Anfang an ein Heer von Beratern braucht, um die europäische Marktzulassung zu erhalten, werden die nächsten großen Sprünge eben woanders gemacht. Wir sehen das bereits im Bereich der Künstlichen Intelligenz und wir werden es nun auch bei der vernetzten Hardware erleben. Es ist eine schleichende Entmarkteuropäisierung unter dem Deckmantel des Schutzes. Wir müssen uns fragen, ob wir in einer Welt leben wollen, die zwar zertifiziert sicher, aber technisch völlig bedeutungslos ist.
Sicherheit lässt sich nicht verordnen, man muss sie leben. Das bedeutet Bildung, das bedeutet Förderung von offenen Standards und vor allem das Verständnis, dass absolute Sicherheit in der digitalen Welt eine Lüge ist. Jedes System ist verwundbar. Die Frage ist nur, wie wir damit umgehen. Der Weg, den die EU hier eingeschlagen hat, führt in eine Sackgasse aus Formularen und Haftungsängsten. Wir opfern die Dynamik unseres digitalen Ökosystems für das wohlige Gefühl einer Kontrolle, die technisch gar nicht existiert. Das ist ein schlechter Deal für Europa. Wir sollten stattdessen die Menschen befähigen, Systeme zu verstehen und zu reparieren, anstatt ihnen vorzugaukeln, dass ein Gesetzestext sie vor den Gefahren des Internets schützen kann.
Am Ende bleibt die bittere Erkenntnis, dass wir versuchen, ein Problem des 21. Jahrhunderts mit den Methoden des 19. Jahrhunderts zu lösen. Wir glauben an die heilende Kraft des Siegels und überspringen dabei die harte Arbeit der kontinuierlichen Verbesserung. Wer die Komplexität moderner IT in ein statisches Gesetz gießt, sorgt nicht für Sicherheit, sondern zementiert den Status quo und bestraft diejenigen, die es wagen, etwas Neues zu bauen. Wir werden uns noch wundern, wie leer gefegt der europäische Markt für innovative Hardware sein wird, wenn die erste Welle der Bürokratie über uns zusammenschlägt. Wer Innovation durch Regulierung ersetzen will, wird am Ende weder das eine noch das andere besitzen.
Echte digitale Souveränität erreicht man nicht durch das Ausfüllen von Checklisten, sondern durch die Freiheit, bessere und mutigere Lösungen zu entwickeln als der Rest der Welt.
