Sicherheitsrisiko Open Source? Wann Programmierer haften…

Über 80 Prozent der Codes in Apps von heute sind Open Source. Kein Wunder: Open Source Software hat viele Vorteile. Entwicklungen werden beschleunigt und Kosten verringert. Das haben auch Softwareentwickler längst erkannt. Aber Open Source birgt auch Risiken! Neue Studien zeigen: In Open Source Code schlummern viele Sicherheitslücken. Doch was blüht IT-Experten, wenn sie dafür verantwortlich gemacht werden?  

Viele Köche verderben den OSS-Brei?

Der Grund, warum Open Source Software (OSS) so beliebt ist, ist gleichzeitig ihr Verhängnis in Sachen Sicherheit. Denn an einer Software, die mit Open Source entwickelt wird, arbeiten unzählige Programmierer mit. Dass schadhafter Code seinen Weg in OSS findet, ist schnell passiert. Da die gängigste Lizenz für Open Source Software, die General Public License (GPL), die Gewährleistung komplett ausschließt, meinen IT-Freelancer oft, dass sie die Haftung betreffend aus dem Schneider sind. Ein gefährlicher Irrglaube!

Software muss mangelfrei sein

Der Haftungsausschluss in der GPL widerspricht deutschem Recht. Denn nach dem BGB darf eine Haftung nicht komplett ausgeschlossen werden.

Schenkung: Haftung nur bei Vorsatz oder grober Fahrlässigkeit…

Wenn ein Programmierer eine OSS seinem Kunden oder einer Community kostenlos und ohne Gegenleistung überlässt, besteht rechtlich gesehen ein Schenkungsvertrag. In diesem Fall wäre der Entwickler nur bei grober Fahrlässigkeit oder Vorsatz haftbar.

… aber nicht bei bezahlter Dienstleistung!

Aber in der Regel wird ein IT-Dienstleister seinen Kunden Software nicht kostenlos überlassen. Sobald ein Programmierer, der bei seiner Arbeit auf Open Source zurückgreift, dafür vom Kunden bezahlt wird, ist das kein Schenkungsvertrag mehr und mit der Haftung sieht es ganz anders aus! Meist wird die Software in Kombination mit weiteren Dienstleistungen des Entwicklers, zum Beispiel Service, Support und Schulung, vertrieben. Es entsteht ein sogenannter gemischter Vertrag. Dann hat der Kunde Gewährleistungsansprüche und ein Recht auf die mangelfreie „Lieferung“ der Ware, in diesem Fall der Software. Und zwar der kompletten Software, also auch des OSS-Anteils.

Tipp: Mehr Infos zum Thema Open Source gibt es in unserem Interview mit Rechtsanwalt Felix Gebhard von BPM legal:

 

Achtung Entwickler: Ihr haftet für Schäden beim Kunden!

Die Gefahr, mit OSS einen schadhaften Code gleich mit zu übernehmen, ist für ITler sehr hoch. Denn da jeder OSS nutzen, verändern und weiterverbreiten darf, werden Sicherheitslücken immer weiter gestreut und potenzieren sich. Das zeigt auch die „Open-Source-Sicherheits- und Risikoanalyse" von Black Duck. 60 Prozent der untersuchten Anwendungen enthielten mindestens eine kritische Lücke.

Enthält die Software, die ein IT-Freelancer für seinen Kunden programmiert, Sicherheitslücken, können die Folgen fatal sein: Virenverseuchtes IT-System, Datenverlust, Ausfall von Produktionsanlagen – das sind nur einige Szenarien. Und für diese wird der Kunde den Freelancer verantwortlich machen. Die Schadenersatzansprüche können schnell in die Zehntausende gehen.

Frühzeitig an Absicherung denken

Für das Business von IT-Freiberuflern ist eine gute Haftpflichtversicherung daher überlebenswichtig. Die IT-Haftpflicht über exali.de schützt bei Schadenersatzansprüchen Dritter und übernimmt die Kosten für die Klärung der Haftungsfrage und des Haftungsumfangs. Da Kunden oder sonstige Dritte durch Programmierfehler meist einen Vermögensschaden erleiden, ist die Vermögensschadenhaftpflicht ein wichtiger Bestandteil unserer IT-Haftpflicht.

Tipp: Was gibt es im Urheberrecht in der IT zu beachten? Das erklärt Rechtsanwalt Felix Gebhard von BPM legal im Interview:

 

Weitere interessante Artikel:

© Ines Rietzler – exali AG