AW: Die neue Produkthaftungs-Richtlinie der EU - Ist es das Ende freier Software?
 

Ich denke, ein guter Anfang ist, zuerst zu wissen, was man selber hat und einsetzt. Da Software nie fehlerfrei sein wird (das beweisen fast täglich alle "Großen"), muss man sicherstellen, dass kontrolliert nachgearbeitet werden kann.
Neben einer Quellcodeverwaltung auf jeden Fall auch eine "Stückliste" erstellen:
https://www.bsi.bund.de/DE/Service-N...rderungen.html.

Dann noch die Maßnahmen 8.25 bis 8.34 aus der https://de.wikipedia.org/wiki/ISO/IEC_27002 umsetzen.
Alles weitere werden die Gerichte entscheiden.

Bzgl freier Software:
https://www.heise.de/hintergrund/Sof...-10027145.html

AW: Die neue Produkthaftungs-Richtlinie der EU - Ist es das Ende freier Software?
 

Ja, so viel selber machen wie möglich, oder vor-zertifizierte Komponenten einkaufen, als "Nachweis" der Konformität in Teilen.
Closed Source ist sowieso schon immer ein No-Go für mich, schon aus anderen Gründen ...


Genau, es gibt ja entsprechende Normen und allgemein annerkannte Regeln der Technik.
Ich werde versuchen diese im ersten Schritt mal "anzupeilen", also eine Umsetzung "gemäß" oder "in Anlehnung an" diese oder jene Regel.
Aus jeden Fall alle möglichen QS-Standards für Software versuchen einzuhalten, um den Stand der Technik nachzuweisen.
Dann wird es womöglich später erforderlich sein, sicherheitskritische Teile extern zertifizieren zu lassen.
Oder eben sicherheitskritische Teile in externe Cloud-Systeme auszulagen, die zertifiziert sind,
aber das allein wird wohl nicht reichen, denn ich bin nach wie vor für das Ganze verantwortlich.
Womöglich kann man auch intern Teile herausziehen und separat zertifizieren, quasi als "Baumusterprüfung" von Komponenten,
das könnte die Kosten womögöich reduzieren.

Ja, aber das könnte gut eine vor-zertifizierte Komponente sein.
Wie bei anderen Produkten auch, ist es immer gut Zertifikate von Vorlieferanten zur Lieferantenbewertung einzuholen,
all das zielt darauf ab, das gesamte Risiko zu verringern und wird positiv gewertet.

In der Theorie ist das wohl so gedacht, aber praktisch unmöglich.
Deshalb wird es wohl um die Nachweise gehen, dass Du einigermaßen alles richtig machst.
Ein Prüfinstitut kann ja gar nicht in die Details schauen, aber es wird sich durch eine Liste typischer Fehler durcharbeiten.
Also sowas wie Usereingaben ungeprüft zur DB zu schicken sollte man dann tunlichst unterlassen.
Praktikabel wird das dann durch jährliche Audits nachgeprüft, die dann jedes Mal 1-3000 EUR Kosten, wenn es dem normalen Umfang entspricht.
Bei z.B. Messgeräterichtlinie wird dann auch nach ca. 5 Jahren wieder eine Nachprüfung erforderlich, die dann entsprechend teuer wird.

Es gibt aber immer verschiedene Möglichkeit die Konformität nachzuweisen, obiges gilt jetzt für die hochkritischen Bereiche,
also da wo notifizierte Stellen vorgeschrieben werden.
Es könnte gut sein, dass dies schon da vorgeschrieben wird, wo Du mit einfachen Kundendaten arbeitest z.B auch im WebShop,
das wäre dann schon der worst-case.

Unabhängig ob Dein Prüfistitut dir eine AAAAA Note gibt, wenn was passiert bist Du sowieso immer in Haftung und kannst das nicht auf das Prüfinstitut abwälzen.
Solche Fälle kenne ich auch, wo es quasi einen Prüfinstitut-War gibt, TÜV gegen SGS, beide mit verschiedenen Einschatzungen.
Das muss nicht immer gut für Dich ausgehen.

AW: Die neue Produkthaftungs-Richtlinie der EU - Ist es das Ende freier Software?
 

Programm aufteilen und die Teile zertifizieren.

Erstmal mehr Zertifizieriungen und teurer, aber die Teile sind kleiner, also sollten jeweils günstiger werden,
und dann sind auch nicht immer alle Teile neu zu zertifizieren, bzw. es ist eventuell auch nicht für alle Teile nötig.


Rentnerarbeit ... Kinder sterben eh aus

KI-Zwangsarbeit (die können sich ja garnicht wehren)