Die Bedeutung der Sicherheit von Open-Source-Software und die Rolle der Regierungen

Open-Source-Software (OSS) ist mittlerweile ein unverzichtbarer Bestandteil der globalen digitalen Infrastruktur. Ihre Bedeutung erstreckt sich über zahlreiche Branchen und ist entscheidend für die Innovationsfähigkeit und Wettbewerbsstärke von Unternehmen und Staaten.

Allerdings bringt ihre weite Verbreitung auch signifikante Sicherheitsrisiken mit sich, die nicht ignoriert werden dürfen. Im Folgenden gehe ich unter Vorstellung der Analyse „Fostering OSS Security“ die Sicherheitslage von Open-Source-Software beleuchten und diskutieren, welche Maßnahmen aus Sicht dieser Analyse ergriffen werden können, um OSS-Sicherheit zu verbessern.

„Die Bedeutung der Sicherheit von Open-Source-Software und die Rolle der Regierungen“ weiterlesen

3D-Druck: Rechtsfragen rund um 3D-Printing und 3D-Urheberrecht

Der „3D-Druck“, also das „ausdrucken“ 3-Dimensionaler Objekte anhand von Vorlagen, ist heute schon möglich und wird uns in Zukunft zahlreiche rechtliche Probleme und Streitigkeiten bescheren – aber auch neue innovative Geschäftsideen und leichtere Geschäftsmöglichkeiten, etwa bei Open-Source-Hardware.

Ich möchte mich im Folgenden mit den absehbaren Bereichen beschäftigen, die uns bei Rechtsfragen der 3D-Druck bescheren wird. Sicherlich nicht abschließend wie immer wird die Praxis wesentliche Fragen aufwerfen.

„3D-Druck: Rechtsfragen rund um 3D-Printing und 3D-Urheberrecht“ weiterlesen

BGH: Einsichtsrecht in Software-Quelltext bei vermuteter Urheberrechtsverletzung

Wer als Rechteinhaber Urheberrechte an einer Software hat und sich mit einer vermeintlichen Rechtsverletzung konfrontiert sieht, kann zur Klärung, ob wirklich eine Rechtsverletzung vorliegt, Einblick in den Quelltext der Software des Verletzers nehmen. Dies im Zuge eines „Besichtigungsrechts“, das im BGB seit jeher im Sachenrecht existiert. Dabei stellt sich die Frage, wie die Einsichtnahme in das digitale Beweismittel Quelltext stattzufinden hat.

„BGH: Einsichtsrecht in Software-Quelltext bei vermuteter Urheberrechtsverletzung“ weiterlesen

Sovereign Tech Fund nimmt Arbeit auf

Inzwischen hat der Sovereign Tech Fund seine Tätigkeit aufgenommen und beginnt mit der Unterstützung von 7 Projekten:

  • openMLS
  • curl
  • OpenBGPd
  • OpenPGP.js/GopenPGP
  • WireGuard
  • Bundler/RubyGems
  • OpenSSH

Durch das mit öffentlichen Geldern geförderte Projekt sollen Entwicklung, Verbesserung und Erhaltung offener digitaler Infrastrukturen unterstützt werden. Das dortige erklärte Ziel ist die „nachhaltige Stärkung des Open-Source-Ökosystems“. Dabei möchte man sich auf Sicherheit, Stabilität, technologische Vielfalt und die Menschen hinter dem Code konzentrieren.

Die Idee ist, das Opensource-Ökosystem zu stärken, auf dem so viel an Software und inzwischen auch Gemeinwesen basiert. Man bringt es dort hervorragend auf den Punkt:

Das Open-Source-Ökosystem ist zwar unglaublich erfolgreich, aber auch zunehmend fragil. Viel mehr Menschen nutzen Open-Source-Software, als dass sie etwas zu ihr beitragen. Es ist an der Zeit, in digitale Gemeingüter, ehrenamtliche Community und das Open-Source-Ökosystem zu investieren, um die digitale Welt zu schaffen, die wir uns wünschen. 

Dabei darf nicht verkannt werden, wie viele Projekte der Digitalisierung, vor allem auch der öffentlichen Hand, auf Opensource-Produkten basieren. Man hätte hier viel früher reagieren müssen, doch spätestens seit der Log4J-Schwachstelle dürfte klar geworden sein, dass man als Gesellschaft in dem Bereich nicht immer nur nehmen kann.

Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke

Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde,

Ein solcher Fall sollte Provider und Anbieter von Internetdiensten immer aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen. Die aufgezeigte Sicherheitslücke hatte dabei weitreichende Auswirkungen: Zwar benötigte man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko traf damit zumindest theoretisch erst einmal jedes Unix-basierte System.

„Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke“ weiterlesen

Deutsche Unternehmen setzen zunehmend auf Opensource

Eine Umfrage des BITKOM ergab, dass 71 Prozent befragter Unternehmen (ab 20 Mitarbeiter) Opensource-Software nutzen. Dabei sind 67 Prozent „interessiert und aufgeschlossen“ sowie ein weiteres Viertel noch unentschieden – jedenfalls gerade mal 7 % sehen sich „grundsätzlich kritisch oder ablehnend“. Und dies war nicht die einzige Analyse im September 2021.

„Deutsche Unternehmen setzen zunehmend auf Opensource“ weiterlesen

Filesharing-Abmahnung wegen Down-/Upload des freien Linux-Pakets Debian?

Etwas seltsames soll passiert sein: Da ist jemandem eine Filesharing-Abmahnung ins Haus geflattert, weil er eine über Bittorrent kopierte Debian-Quelle kopiert hat. Dabei wurde ein offizieller Bittorrent-Link von Debian.org genutzt und in der Abmahnung (einer deutschen Kanzlei) wird auch explizit darauf hingewiesen, dass man die Rechte des dortigen Mandanten verletzt habe, weil dieser angeblich die Rechte an „Debian 5“ hält. Seltsam ist das insofern, als dass es sich bei Debian um freie Software handelt, die auch frei kopiert sowie genutzt werden darf (dazu die Debian-Erklärungen hier).

Wer nun ohne entsprechende Aktiv-Legitimation solche Abmahnungen aussprechen würde, begibt sich in die Gefahr der Schadensersatzpflicht, macht sich ggfs. selbst abmahnbar und selbst eine strafrechtliche Relevanz bietet sich m.E. an. Aber: Man muss vorsichtig sein.

Es gibt zur Zeit zwei Szenarien, die als Hintergrund für dieses Schreiben dienen können:

  1. Jemand behauptet, dass im Debian-Paket eine Software von ihm ohne entsprechende Lizenz genutzt wird. Der angebliche Wortlaut des Schreibens geht aber eher nicht in die Richtung.
  2. Es handelt sich um eine gefälschte Abmahnung. So etwas hatten wir in de Vergangenheit schon öfter: Da erhält man angeblich ein Schreiben einer  bekannten Abmahnkanzlei, das optisch auch perfekt zu den bisherigen passt – nur die Kontonummer ist eine andere.

Betroffene sollten nichts selber machen, auch keine modifizierte Unterlassungserklärung ohne Rat abgeben, auch wenn das schon einer gemacht hat: Immerhin versichert man damit gegen das Versprechen einer Zahlung einer Vertragsstrafe, eine frei verfügbare Software nicht mehr anzubieten. Die Angelegenheit bedarf dringend der Klärung, es wird hier berichtet, sobald sich etwas neues ergibt. Zur Zeit aber finden sich vor allem Berichte, ohne dass die eingegangene Abmahnung im Detail zu lesen ist – schon alleine deswegen muss man mit Bewertungen vorsichtig sein.

Update2: Wie von mir bereits am Anfang überlegt, soll es sich nach Rücksprache mit der Kanzlei um eine Fälschung handeln. Damit hat sich das Thema erledigt, ich wiederhole meinen Rat, immer professionelle Hilfe einzuholen bei Abmahnungen – wie man sieht, gibt es viel Schindluder in dem Bereich.

Update3: Es stellt sich nun in dieser Sache die Frage, wie der „Abmahner“ an die Daten des Betroffenen geraten sein will: Immerhin wurde jemand angeschrieben, der auch wirklich den Download getätigt hat. Der „Abmahner“ kann aber von sich aus nur die IP-Adresse „ermittelt“ haben. Insofern vermute ich drei denkbare Szenarien:

  1. Der Provider wurde um Auskunft gebeten, wobei man entweder gar keinen Gerichtsbeschluss beifügte oder einen gefälschten. Ersteres würde den Provider in Erklärungsnöte bringen, letzteres wäre von erneuter strafrechtlicher Relevanz.
  2. Es handelt sich um einen Betrugsversuch oder schlechten Scherz aus dem unmittelbaren sozialen Umfeld des „Abgemahnten“.
  3. Es handelt sich um eine Betrugswelle gegenüber Debian-Nutzern, die irgendwo ihre Daten angegeben haben und der zeitliche Zusammenfall von tatsächlichem Download und „Abmahnung“ ist reiner Zufall.

Da bisher aber nur ein Betroffener sich äußert, schließe ich Nr.3 eher aus. Auf Grund des Aufwands schließe ich auch den gefälschten Gerichtsbeschluss aus, ebenso bin ich bei der plumpen Anfrage beim Provider eher skeptisch, auch wenn ich das nicht ganz ablehne. Im Ergebnis tendiere ich derzeit mehr zur Nr.2 als wahrscheinlichste Variante.

Update4: Meine Vermutung im Update3 lag richtig, wie sich nun heraustellte, war es ein „Bekannter“, der dem Betroffenen „eins auswischen wollte“. Die Sache wird sicherlich auch durch die betroffene Kanzlei noch ein Nachspiel haben – der schlechte Scherz wird mit hoher Wahrscheinlichkeit ein teurer Scherz werden. Dabei ist nicht zu vergessen, dass eine solche gefälschte Abmahnung ihrerseits Unterlassungsansprüche der Betroffenen Kanzlei nach sich zieht, also wiederum abmahnfähig ist. Von den verwirklichten Straftatbeständen mal ganz abgesehen.

Berichte dazu:

Update1: Auf der Debian-Mailliste weist Ken Arromdee auf ein altes (nicht gelöstes) GPLv2-Problem hin, das hier ausschlaggebend sein könnte (es aber nicht ist): Wer sich die Binary-Quellen via Bittorrent kopiert, und automatisch auch wieder anbietet, der bietet die binären Quellen ohne den Quellcode an, was entsprechend GPL untersagt ist. Die benannten Ausnahmen greifen in diesem Szenario nicht (dazu §3 der GPlv2 lesen). In der Theorie wäre damit jeder Upload eines reinen Binary-Repositories bei Bittorrent ein GPLv2 Verstoss. Im vorliegenden Fall aber wird das nach dem derzeitigen Kenntnisstand nicht geltend gemacht: Vielmehr werden wohl die umfassenden Rechte am Debian-Paket insgesamt angeführt, womit die Überlegungen von Ken zwar interessant, aber aktuell nicht entscheidend sind. Mit Blick in die Zukunft wäre aber abzuwarten, ob eines Tages jemand, dessen Software in einem solchen Paket zu finden ist, einen Verstoß gegen die GPL entdeckt und deswegen Abmahnungen ausspricht – jedenfalls unter diesem Aspekt ist das „Filesharing“ von Opensource-Software keinesfalls abmahnsicher.

Arbeitnehmererfindungsrecht: Urheberrecht im Arbeitsverhältnis

Arbeitnehmererfindung und Urheberrecht: Es ist längst der Regelfall, dass urheberrechtliche Werke in Arbeitsverhältnissen entstehen, also der Interessenkonflikt zwischen Arbeitnehmer und Arbeitgeber hinsichtlich des Werkes quasi vorprogrammiert ist. Das Urheberrechtsgesetz sagt zu diesem Thema überraschend wenig ausdrücklich, was man damit erklären kann, dass das Gesetz wohl seinerzeit von dem Idealbild des freischaffenden Künstlers ausging. Dass sich das überholt hat, liegt ebenso auf der Hand wie die Frage, wie damit im Alltag umzugehen ist.

In diesem Beitrag werden einige ausgewählte häufige Fragen zum Arbeitnehmererfindungsrecht dargestellt. Rechtsanwalt Jens Ferner steht im gesamten Arbeitsrecht und Arbeitnehmererfindungsrecht für Sie zur Verfügung.

„Arbeitnehmererfindungsrecht: Urheberrecht im Arbeitsverhältnis“ weiterlesen