Open Source hat keinen Vertragspartner

Sie nutzen Open-Source-Software in Ihren Produkten und Systemen. Sie sind dafür regulatorisch verantwortlich. Aber Sie haben keinen Vertragspartner, der diese Verantwortung mit Ihnen teilt. Das ist das Delegations-Paradoxon der digitalen Lieferkette.

Das Problem

In einer klassischen Lieferkette funktioniert Verantwortung durch Verträge: Sie vereinbaren mit Ihrem Zulieferer Qualitätsstandards, Reaktionszeiten, Haftungsregelungen und Eskalationswege. Wenn etwas schiefgeht, haben Sie einen Ansprechpartner und eine vertragliche Grundlage.

Bei Open Source existiert nichts davon:

• Sie können keine SLAs schließen. Es gibt niemanden, der Ihnen eine Reaktionszeit zusichert.
• Sie können keine Fristen setzen. Wenn eine Schwachstelle in einer Abhängigkeit auftaucht, können Sie den Maintainer bitten, sie zu beheben. Mehr nicht.
• Sie können keine Haftung übertragen. Open-Source-Lizenzen schließen Haftung und Gewährleistung in der Regel ausdrücklich aus.
• Sie haben keinen Einfluss auf die Entwicklung. Ob ein Projekt Ihre Sicherheitsanforderungen berücksichtigt, liegt nicht in Ihrer Hand.
• Sie haben keinen Eskalationsweg. Es gibt keinen Vorgesetzten des Maintainers, keine Beschwerdestelle, kein Vertragsstrafenmodell.

Gleichzeitig tragen Sie die volle Verantwortung. Die EU-Gesetzgebung macht hier keine Ausnahme für Open Source.

Was sagen die Gesetze?

• DORA Art. 5 Abs. 2a: Das Leitungsorgan "trägt die letztendliche Verantwortung" für das IKT-Risikomanagement
• DORA Art. 28 Abs. 1: Finanzunternehmen bleiben "jederzeit voll verantwortlich" für IKT-Drittparteienrisiko
• NIS2 Art. 20 Abs. 1: Die Leitungsorgane müssen die Umsetzung von Cybersicherheitsmaßnahmen billigen und überwachen - persönlich
• § 38 Abs. 1 NIS2UmsuCG: Geschäftsleitungen sind verpflichtet, Maßnahmen umzusetzen und zu überwachen
• § 38 Abs. 2 NIS2UmsuCG: Geschäftsleitungen haften persönlich für schuldhaft verursachte Schäden

Die Verantwortung ist nicht delegierbar. Nicht an die IT-Abteilung, nicht an einen Dienstleister und schon gar nicht an einen Maintainer, der keine Verpflichtung Ihnen gegenüber hat.

Das Delegations-Paradoxon

Vorstände und Geschäftsführer stehen vor einer Situation, die es in klassischen Lieferketten nicht gibt:

• Sie müssen die Risiken managen (gesetzliche Pflicht)
• Sie können die Risiken nicht an die Quelle delegieren (kein Vertragspartner)
• Sie dürfen die Verantwortung nicht einfach weitergeben (persönliche Haftung)
• Sie kennen die Risiken oft nicht einmal (weil die IT-Abteilung die SBOM noch nie angeschaut hat)

Das Ergebnis: eine persönliche Haftung für einen Zustand, den Sie nicht überblicken und nicht durch Verträge absichern können. D&O-Versicherungen decken Gesetzesverstöße typischerweise nicht ab - die Lücke bleibt bei Ihnen.

Was bedeutet das für Sie?

Sie brauchen einen strukturierten Gegenpart für Ihre Open-Source-Lieferkette. Nicht jemanden, der Ihnen die Verantwortung abnimmt - das ist regulatorisch unmöglich. Sondern jemanden, der die Lücke zwischen "volle Verantwortung" und "null Einfluss" schließt: mit dokumentierten Prozessen, messbaren Ergebnissen und prüffähigen Nachweisen.

Weiterlesen

• D&O-Haftung und die neuen Cybergesetze
• Wer pflegt eigentlich Open Source?
• Leistungen von OTTRIA

OTTRIA schließt diese Lücke. Vereinbaren Sie ein Erstgespräch und erfahren Sie, wie.