-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Liste,
aus aktuellem Anlass suche ich wissenschaftliche Studien, die sich mit dem Thema Sicherheit und Freie Software beschäftigen. Konkret geht es darum öffentliche Behörden zu überzeugen. Immer wieder wird behauptet, dass eine Umstellung öffentlicher Verwaltung auf Freie Software erhebliche Sicherheitsrisiken darstellen würden. Um unsere Argumentation mit 'wissenschaftlicher Basis' zu untermauern wollte ich deshalb fragen ob jemand von euch dementsprechende wissenschaftliche Artikel zur Hand hat, die solche Sicherheitsbedenken wegwischen könnten.
Vielleicht hat ja jemand von euch da schon das ein oder andere gelesen...
Vielen Dank, Erik
- -- Erik Albers | https://fsfe.org/about/albers/albers.en.html Free Software Foundation Europe (FSFE) - Campaigns & Community Support us now: https://fsfe.org/support/?eal
Free as in Freedom!
On 17.04.2013 16:09, Erik Albers wrote:
Hallo Liste,
aus aktuellem Anlass suche ich wissenschaftliche Studien, die sich mit dem Thema Sicherheit und Freie Software beschäftigen. Konkret geht es darum öffentliche Behörden zu überzeugen. Immer wieder wird behauptet, dass eine Umstellung öffentlicher Verwaltung auf Freie Software erhebliche Sicherheitsrisiken darstellen würden. Um unsere Argumentation mit 'wissenschaftlicher Basis' zu untermauern wollte ich deshalb fragen ob jemand von euch dementsprechende wissenschaftliche Artikel zur Hand hat, die solche Sicherheitsbedenken wegwischen könnten.
Vielleicht hat ja jemand von euch da schon das ein oder andere gelesen...
Auch wenn es keine Studien sind, folgende Wikipediaartikel enthalten Informationen:
http://de.wikipedia.org/wiki/Security_by_obscurity http://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
In historischer Präzedenzfall:
http://einestages.spiegel.de/s/tb/25684/guglielmo-marconi-gehackt-von-einem-...
Gruß Michael
Hallo,
On Wed, 17 Apr 2013 16:09:18 +0200 Erik Albers eal@fsfe.org wrote:
aus aktuellem Anlass suche ich wissenschaftliche Studien, die sich mit dem Thema Sicherheit und Freie Software beschäftigen. Konkret geht es darum öffentliche Behörden zu überzeugen. Immer wieder wird behauptet, dass eine Umstellung öffentlicher Verwaltung auf Freie Software erhebliche Sicherheitsrisiken darstellen würden. Um unsere Argumentation mit 'wissenschaftlicher Basis' zu untermauern wollte ich deshalb fragen ob jemand von euch dementsprechende wissenschaftliche Artikel zur Hand hat, die solche Sicherheitsbedenken wegwischen könnten.
Vielleicht hat ja jemand von euch da schon das ein oder andere gelesen...
Es gibt da eine recht umfangreiche Studie im Auftrag des Bundesministeriums für Bildung und Forschung aus dem Jahr 2006:
http://www.bmbf.de/pubRD/oss_studie.pdf
Hier wird auch auf den Aspekt der Sicherheit eingegangen und gesagt, dass freie und proprietäre Software mindestens gleich sicher sind und es oft Vorteile für freie Software gibt.
Ein empirischer Vergleich zwischen freier und unfreier Software hat keine großen Unterschiede festgestellt: http://epub.uni-regensburg.de/21296/1/Schryen_-_AMCIS_09_-_Security_of_open_... Jedoch steht dort: "if vulnerability disclosure supports software security, open source software would (tend to) be more secure."
Eine Arbeit aus dem Jahre 2005 von Jaap-Henk Hoepman und Bart Jacobs der Radboud University Nijmegen fasst die Sicherheits-Argumente für freie Software zusammen: http://www.cs.ru.nl/~jhh/publications/oss-acm.pdf
Viele Grüße,
Henry
Hallo Erik,
Am 17.04.2013 16:09, schrieb Erik Albers:
Hallo Liste,
aus aktuellem Anlass suche ich wissenschaftliche Studien, die sich mit dem Thema Sicherheit und Freie Software beschäftigen. Konkret geht es darum öffentliche Behörden zu überzeugen. Immer wieder wird behauptet, dass eine Umstellung öffentlicher Verwaltung auf Freie Software erhebliche Sicherheitsrisiken darstellen würden. Um unsere Argumentation mit 'wissenschaftlicher Basis' zu untermauern wollte ich deshalb fragen ob jemand von euch dementsprechende wissenschaftliche Artikel zur Hand hat, die solche Sicherheitsbedenken wegwischen könnten.
Vielleicht hat ja jemand von euch da schon das ein oder andere gelesen...
Vielen Dank, Erik
Unsere Schweizer Nachbarn haben das hier hervorgebracht:
http://www.swissict.ch/publikationen/studien/
Viele Grüße
Christian
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hi Christian,
On 17/04/13 17:09, Christian Kalkhoff wrote:
aus aktuellem Anlass suche ich wissenschaftliche Studien, die sich mit dem Thema Sicherheit und Freie Software beschäftigen. Konkret geht es darum öffentliche Behörden zu überzeugen. Immer wieder wird behauptet, dass eine Umstellung öffentlicher Verwaltung auf Freie Software erhebliche Sicherheitsrisiken darstellen würden. Um unsere Argumentation mit 'wissenschaftlicher Basis' zu untermauern wollte ich deshalb fragen ob jemand von euch dementsprechende wissenschaftliche Artikel zur Hand hat, die solche Sicherheitsbedenken wegwischen könnten.
Vielleicht hat ja jemand von euch da schon das ein oder andere gelesen...
Vielen Dank, Erik
Unsere Schweizer Nachbarn haben das hier hervorgebracht:
Vielen Dank für den schnellen Hinweis. Leider ist diese Studie aber im aktuellen Fall nur beschränkt hilfreich. So hebt sie zwar die Bedeutung und Verbreitung von Free Software hervor, allerdings:
"Dabei stehen insbesondere bei den Behörden ungeklärte Haftungsfragen und generell der Mangel an kommerziellen Dienstleistern im Vordergrund."
- -> Das wäre genau der Punkt an dem wir Behörden zum Umdenken bewegen müssen. Die Argumentation, dass sie bei einem proprietären Produkt jemanden haben den sie anrufen und anschreien können, jemand der vielleicht sogar haftbar zu machen ist ist nunmal valide. Wenn ich Freie Software einsetze dann kann ich mich nur an jemanden wenden, wenn ich einen Dienstleister mit dem Support beauftrage. Dazu benötigt es aber natürlich auch kommerzielle Dienstleister ...
Beste Grüße, Erik
- -- Erik Albers | https://fsfe.org/about/albers/albers.en.html Free Software Foundation Europe (FSFE) - Campaigns & Community Support us now: https://fsfe.org/support/?eal
Free as in Freedom!
Hallo Erik,
Am 17.04.2013 17:19, schrieb Erik Albers:
Hi Christian,
On 17/04/13 17:09, Christian Kalkhoff wrote:
aus aktuellem Anlass suche ich wissenschaftliche Studien, die sich mit dem Thema Sicherheit und Freie Software beschäftigen. Konkret geht es darum öffentliche Behörden zu überzeugen. Immer wieder wird behauptet, dass eine Umstellung öffentlicher Verwaltung auf Freie Software erhebliche Sicherheitsrisiken darstellen würden. Um unsere Argumentation mit 'wissenschaftlicher Basis' zu untermauern wollte ich deshalb fragen ob jemand von euch dementsprechende wissenschaftliche Artikel zur Hand hat, die solche Sicherheitsbedenken wegwischen könnten.
Vielleicht hat ja jemand von euch da schon das ein oder andere gelesen...
Vielen Dank, Erik
Unsere Schweizer Nachbarn haben das hier hervorgebracht:
Vielen Dank für den schnellen Hinweis. Leider ist diese Studie aber im aktuellen Fall nur beschränkt hilfreich. So hebt sie zwar die Bedeutung und Verbreitung von Free Software hervor, allerdings:
"Dabei stehen insbesondere bei den Behörden ungeklärte Haftungsfragen und generell der Mangel an kommerziellen Dienstleistern im Vordergrund."
-> Das wäre genau der Punkt an dem wir Behörden zum Umdenken bewegen müssen. Die Argumentation, dass sie bei einem proprietären Produkt jemanden haben den sie anrufen und anschreien können, jemand der vielleicht sogar haftbar zu machen ist ist nunmal valide. Wenn ich Freie Software einsetze dann kann ich mich nur an jemanden wenden, wenn ich einen Dienstleister mit dem Support beauftrage. Dazu benötigt es aber natürlich auch kommerzielle Dienstleister ...
Möglicherweise gehen wir hier zu sehr von einer Asymmetrie zwischen Behörde und Projekt/Initiative aus. Wenn eine Behörde ausschreibt, dann bewerben sich nur kommerzielle Anbieter. Aus der Free Software-Ecke fallen mir da neben den Enterprise-Distributoren noch z.B. Univention oder Heinlein ein, die sich definitiv auch für Geld anschreien lassen.
Wenn es dir hingegen darum geht, dass Behörden internes Wissen aufbaut um Freie Software einzusetzen, stimmt die Aussage mit dem Anschreien allerdings, eigene Mitarbeiter darf man nämlich nur beschränkt zusammenstauchen oder verklagen. Das gilt aber im Übrigen auch für Windows-Admins.
In München wurde z.B. auch keine Distribution erstellt, sondern eine Basis eingekauft (basierend auf Debian, später auf Ubuntu) und dann auf dieser Plattform die Fachverfahrentools intern entwickelt. Das ist nach meinem Kenntnisstand schon eher unüblich, aber es hat ja zum Glück funktioniert. :)
Leider lässt AFAIK das kommunale Ausschreibungsrecht keine überkommunalen Ausschreibungen und auch keine Zusammenarbeit zu. Das Thema ist ziemlich komplex, aber läuft darauf hinaus, dass jeder Ort sein eigenes Süppchen kochen muss. Villa Riba und Villa Bacho müssen also ihr Spülmittel unabhängig voneinander kaufen, dürfen also auch nicht zusammenlegen und dann ggf. bessere Konditionen rausholen oder sogar ein eigenes Freies Mittelchen entwickeln.
Viele Grüße Christian
Christian Kalkhoff schrieb:
Am 17.04.2013 17:19, schrieb Erik Albers:
"Dabei stehen insbesondere bei den Behörden ungeklärte Haftungsfragen und generell der Mangel an kommerziellen Dienstleistern im Vordergrund."
Kommerzielle Dienstleister gibt es sehr viele. Jedes Linux-Magazin hat ein Verzeichnis.
Möglicherweise gehen wir hier zu sehr von einer Asymmetrie zwischen Behörde und Projekt/Initiative aus. Wenn eine Behörde ausschreibt, dann bewerben sich nur kommerzielle Anbieter. Aus der Free Software-Ecke fallen mir da neben den Enterprise-Distributoren noch z.B. Univention oder Heinlein ein, die sich definitiv auch für Geld anschreien lassen.
Die Bytec GmbH ist auch eine bekannte Größe (allein wegen deren TuX-Cartoons).
Ciao Marco!
Am Mittwoch, 17. April 2013 17:57:24 schrieb Christian Kalkhoff:
Leider lässt AFAIK das kommunale Ausschreibungsrecht keine überkommunalen Ausschreibungen und auch keine Zusammenarbeit zu. Das Thema ist ziemlich komplex, aber läuft darauf hinaus, dass jeder Ort sein eigenes Süppchen kochen muss. Villa Riba und Villa Bacho müssen also ihr Spülmittel unabhängig voneinander kaufen, dürfen also auch nicht zusammenlegen und dann ggf. bessere Konditionen rausholen oder sogar ein eigenes Freies Mittelchen entwickeln.
Doch dürfen sie schon. Eine Möglichkeit zum Beispiel ist, einen gemeinsamen kommunalen Dienstleister zu gründen und dessen "Dienste" zu kaufen.
Beispiel: http://www.citkomm.de/ueber-uns/unternehmen.html "Die Muttergesellschaft KDVZ Citkomm ist eine Körperschaft des öffentlichen Rechts in der Rechtsform eines Zweckverbandes. Sie wird von den drei Kreisen Hochsauerlandkreis, Märkischer Kreis und Kreis Soest sowie von den 41 in diesen Kreisen liegenden Städten und Gemeinden getragen. "
Die citkomm bietet auch Freie Software-Lösungen an.
Die Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister hat sogar ein Positionspapier zur Freien Software von dder Citkomm: http://www.vitako.de/Publikationen/Seiten/Positionen.aspx Ich habe es noch nicht detailliert gelesen, beim Thema "Sicherheit" gibt es eine differenzierte Sicht, läßt aber im Fazit einen wesentlichen Unterschied aus: Bei Freier Software kann ich jederzeit jemand anderen beauftragen, insofern ist die Chance jemanden für Geld zu finden der eine bestimmte Änderung oder Pflege vornimmt höher als bei proprietärer Software. Es mag bei nicht so reifen Produkten oder Initiativen im Einzelfall mal teurer sein, aber es ist immer möglich.
Zitat: "Das alles führt dazu, dass bei einem gut unterstützten freien Softwarepro- dukt Sicherheitsprobleme in aller Regel schnell beseitigt werden. Das Quali- tätsniveau ist häufig sehr hoch, teilweise besser als bei vielen Großunter- nehmen. Positiv ist auch, dass freie Softwareentwickler Fehler offen zuge- ben können, da sie keine Qualitätsversprechen gegeben haben. Gerade großen Firmen fällt ein Fehlereingeständnis oft sehr schwer. Entsprechend lang kann dann auch die Beseitigung dauern. Kritisch sind solche Projekte, die nur wenige Entwickler betreuen oder der Nutzerkreis selbst wenig Unterstützung leistet. In diesem Fall gibt es oft keine Unterschiede zu den kommerziellen Angeboten. Im Gegenteil, wäh- rend viele Unternehmen zumindest gegen eine finanzielle Beteiligung mit der Fehlerbeseitigung beginnen, ist das bei freien Entwicklern schwieriger. Zum einen gibt es Entwickler, die Geldzahlungen aus ethischen Gründen ablehnen, zum anderen haben sie ggf. keine Zeit oder Lust, sich mit diesen Problemen zu beschäftigen."
Sprich, sie schreiben: Wer ein gutes Freie Software-Produkt auswählt, der bekommt ein sehr hohes Qualitätsniveau im Bereich Sicherheit.
<offenes-Visier> Mein Unternehmen Intevation ist ein solcher Dienstleister der für jedes Freie Software Produkt Dienstleistung anbietet - wir sind im Zweifelsfall nicht billig, aber wir können immer gegen Geld eine Freie Software-Lösung anbieten. Intevation hat auch schon bei der citkomm bestimmte CA-Dienstleistungen für unsere Kunden eingekauft. </offenes-Visier>
Mehr Studien gibt es übrigens bei David A. Wheeler: http://www.dwheeler.com/oss_fs_why.html#security Aus den Conclusions: "OSS/FS has significant market share in many markets, is often the most reliable software, and in many cases has the best performance. OSS/FS scales, both in problem size and project size. OSS/FS software often has far better security, perhaps due to the possibility of worldwide review. Total cost of ownership for OSS/FS is often far less than proprietary software, especially as the number of platforms increases. These statements are not merely opinions; these effects can be shown quantitatively, using a wide variety of measures. This doesn’t even consider other issues that are hard to measure, such as freedom from control by a single source, freedom from licensing management (with its accompanying risk of audit and litigation),[..]"
Gruß, Bernhard
Hallo Bernhard,
Am 24.04.2013 09:59, schrieb Bernhard Reiter:
Am Mittwoch, 17. April 2013 17:57:24 schrieb Christian Kalkhoff:
Leider lässt AFAIK das kommunale Ausschreibungsrecht keine überkommunalen Ausschreibungen und auch keine Zusammenarbeit zu. Das Thema ist ziemlich komplex, aber läuft darauf hinaus, dass jeder Ort sein eigenes Süppchen kochen muss. Villa Riba und Villa Bacho müssen also ihr Spülmittel unabhängig voneinander kaufen, dürfen also auch nicht zusammenlegen und dann ggf. bessere Konditionen rausholen oder sogar ein eigenes Freies Mittelchen entwickeln.
Doch dürfen sie schon. Eine Möglichkeit zum Beispiel ist, einen gemeinsamen kommunalen Dienstleister zu gründen und dessen "Dienste" zu kaufen.
Danke für die Info, dass habe ich nicht gewusst.
Was passiert aber, wenn der Dienstleister bei einer Ausschreibung verliert? So wie ich es verstanden habe, müssen ja alle Vorhaben (ab einem bestimmten Volumen?) ausgeschrieben werden, der "eigene" Dienstleister steht also immer in Konkurrenz zu anderen (unfreien) Anbietern?
Viele Grüße
Christian
Hallo Christian,
Am Mittwoch, 24. April 2013 12:44:38 schrieb Christian Kalkhoff:
Was passiert aber, wenn der Dienstleister bei einer Ausschreibung verliert? So wie ich es verstanden habe, müssen ja alle Vorhaben (ab einem bestimmten Volumen?) ausgeschrieben werden, der "eigene" Dienstleister steht also immer in Konkurrenz zu anderen (unfreien) Anbietern?
meiner Kenntniss nach muss ausgeschrieben werden, sofern die Leistung nicht intern oder über einen Rahmenvertrag erbracht werden kann. Bei der Ausschreibung dürfen aber durchaus offene Standards, Übertragung der exklusiven Nutzungsrechte oder auch ausschließliche Verwendung Freie Software-Komponenten gefordert werden. Solche Ausschreibungen habe ich schon gesehen.
Dann konkurriert der "eigene" Dienstleister nur mit anderen Freie Software-Dienstleistern. Sofern der eigene Dienstleister aber das Produkt und die Verhältnisse sehr gut kennt, hat er auch immer sehr gute Karten.
Gruß, Bernhard
Vieles ist ja schon zur Sprache gekommen.
Sicherheit ist sicher verschieden argumentierbar, aber bei proprietär schwer nachzuvollziehen.
Literatur zB:
Gehring, Robert A. (2004), „Sicherheit mit Open Source - Die Debatte im Kontext, die Argumente auf dem Prüfstein“, in B. Lutterbeck, R. A. Gehring (Hrsg.), 'Open Source Jahrbuch 2004 - Zwischen Softwareentwicklung und Gesellschaftsmodell', Lehmanns Media, Berlin. (Online Verfügbar)
Li, Wei (2002), „Security model of OSS“ URL: http://faculty.fims.uwo.ca/nickerson/740/Shared%20Documents/Security%20model... of%20OSS.pdf
Meines Erachtens ist sind zentrale Problem die Rechtslage und die Frage, was passiert wenn das Projekt aufhört. Allerdings ist den Entscheidern in diesem Zusammenhang nicht klar, dass Anbieter proprietärer Software sich in der Praxis auch nur beschränkt haftbar machen lassen, und, dass die gesparten Lizenzkosten bei Freier Software eben in IT-Dienstleister fliessen sollten um die vielfältigen Vorteile von Freier Software zu nutzen... Der Vergleich von ex-orbitant teuerem proprietären Produkt und der Verweigerung für ein Freies Produkt auch nur einen Cent für weiterentwicklung oder Administration zu bezahlen ist auch etwas schief. Dabei spart man sich hier oftmals wieder Lizenzgebühren, da Entwickler keine Lizenz vom Hersteller benötigen...
<offenes-Visier> Mein Unternehmen Intevation ist ein solcher Dienstleister der für jedes Freie Software Produkt Dienstleistung anbietet - wir sind im Zweifelsfall nicht billig, aber wir können immer gegen Geld eine Freie Software-Lösung anbieten. Intevation hat auch schon bei der citkomm bestimmte CA-Dienstleistungen für unsere Kunden eingekauft. </offenes-Visier>
Das ist das Knackpunkt: Kein Vendor-Lock-In, und kein Problem wenn das Projekt aufhört. Freie Modifikation der Software etc.
Zur rechtlichen Sache noch ein Abschnitt aus einer (nicht öffentlichen) Studie an der ich mal mitgearbeitet habe. Ich bin kein jurist, aber ich denke das kann in gewissen Kontexten ein Problem darstellen.
"Die Haftungsausschluss-Erklärungen die in den Open-Source Lizenzen erklärt werden sind nach deutschem Recht nicht völlig zulässig. Folge ist, dass aufgrund der Unwirksamkeit der Klauseln der gesetzliche Gewährleistungs- und Haftungsmaßstab Anwendung findet. Hierauf weisen sowohl Wündisch (2005: 71) als auch NOW (2005) hin. Soweit entgeltliche Verträge zugrunde liegen, bestehen somit keine wesentlichen Unterschiede zwischen Open-Source Software und proprietären Programmen (ebd.: 66). Die GPL wurde bisher von Gerichten schon als AGB interpretiert. Durch das kostenlose Angebot der Software findet das Schenkungsrecht Anwendung. Wenn Schenkungsrecht angewendet wird, betrifft die Haftung nur Vorsatz und grobe Fahrlässigkeit. Bei Copyleft Lizenzen besteht derzeit noch Uneinigkeit, ob diese Pflichten in einem Gegenseitigkeitsverhältnis stehen. Dann würden sich Gewährleistungs- und Haftungsmaßstab verschärfen, was konkret bedeutet, dass der Lizenzgeber auch schon bei Fahrlässigkeit haftet. Dadurch wird der Kreis der möglichen „freiwilligen“ [...] Entwickler massiv eingeschränkt; auch für juristische Personen sind die entsprechenden Haftungsrisiken unkalkulierbar (ebd.: 72).
Eine andere Frage ist, wer für ein Open-Source Projekt, welches ja das Werk mehrerer unabhängiger Entwickler ist, überhaupt haftbar gemacht werden kann. Je nachdem ob die Open-Source Software ein Werk mehrer Urheber im Sinne eines gemeinsamen Werks ist (in diesem Fall sind die beteiligten Softwareentwickler Miturheber), oder ob sich die Software in verschiedene Komponenten zerlegen lässt (dann handelt es sich um ein Verbundwerk), ist die juristische Beurteilung unterschiedlich. In letzterem Fall werden verschiedene Programme zu einem großen Ganzen verbunden und gemeinsam unter eine bestimmte Lizenz gestellt, die Haftungsfrage ist ungeklärt."
Zum weiterlesen:
Wündisch, Sebastian. „Rechtsbeziehungen von Open Source Entwicklungs-gemeinschaften“. In GeNeMe, herausgegeben von Klaus Meissner und Martin Engelien. Technische Universität Dresden, 2005.
NOW (2005) Till Jaeger, Carsten Schulz, "Gutachten zu ausgewählten rechtlichen Aspe kten der Open Source Software", erstellt im Auftrag der Technischen Universität München für das vom BMBF geförderte NOW-Projekt; Url: http://www.ifross.de/ifross_html/art47.pdf.
Grüße, D.
On 04/17/13 16:09, schrieb Erik Albers:
Hallo Liste,
aus aktuellem Anlass suche ich wissenschaftliche Studien, die sich mit dem Thema Sicherheit und Freie Software beschäftigen. Konkret geht es darum öffentliche Behörden zu überzeugen. Immer wieder wird behauptet, dass eine Umstellung öffentlicher Verwaltung auf Freie Software erhebliche Sicherheitsrisiken darstellen würden. Um unsere Argumentation mit 'wissenschaftlicher Basis' zu untermauern wollte ich deshalb fragen ob jemand von euch dementsprechende wissenschaftliche Artikel zur Hand
hat, die
solche Sicherheitsbedenken wegwischen könnten.
Vielleicht hat ja jemand von euch da schon das ein oder andere gelesen...
Vielen Dank, Erik
fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Am Mittwoch, 24. April 2013 16:23:32 schrieb Daniel G:
Meines Erachtens ist sind zentrale Problem die Rechtslage und die Frage, was passiert wenn das Projekt aufhört.
Wie Du schon schreibst ist Lage bei einem "bezahlten" Projekt gleich, egal ob der Dienstleister für das Projekt proprietäre oder Freie Software-Komponenten hergenommen hat.
Zur rechtlichen Sache noch ein Abschnitt aus einer (nicht öffentlichen) Studie an der ich mal mitgearbeitet habe. Ich bin kein jurist, aber ich denke das kann in gewissen Kontexten ein Problem darstellen.
"Die Haftungsausschluss-Erklärungen die in den Open-Source Lizenzen erklärt werden sind nach deutschem Recht nicht völlig zulässig. Folge ist, dass aufgrund der Unwirksamkeit der Klauseln der gesetzliche Gewährleistungs- und Haftungsmaßstab Anwendung findet. Hierauf weisen sowohl Wündisch (2005: 71) als auch NOW (2005) hin. Soweit entgeltliche Verträge zugrunde liegen, bestehen somit keine wesentlichen Unterschiede zwischen Open-Source Software und proprietären Programmen (ebd.: 66).
Eben.
Die GPL wurde bisher von Gerichten schon als AGB interpretiert. Durch das kostenlose Angebot der Software findet das Schenkungsrecht Anwendung. Wenn Schenkungsrecht angewendet wird, betrifft die Haftung nur Vorsatz und grobe Fahrlässigkeit. Bei Copyleft Lizenzen besteht derzeit noch Uneinigkeit, ob diese Pflichten in einem Gegenseitigkeitsverhältnis stehen. Dann würden sich Gewährleistungs- und Haftungsmaßstab verschärfen, was konkret bedeutet, dass der Lizenzgeber auch schon bei Fahrlässigkeit haftet. Dadurch wird der Kreis der möglichen „freiwilligen“ [...] Entwickler massiv eingeschränkt; auch für juristische Personen sind die entsprechenden Haftungsrisiken unkalkulierbar (ebd.: 72).
Diese Haftungsrisiken halte ich für stark übertrieben, da die Absicht der Lizenzgeber klar ist und der Nutzer einer IT-Software eine entsprechende Sorgfaltspflicht hat. Ich denke hier geht es darum, um einen juristischen Druck aufzubauen noch mehr Rechtssicherheit zu erreichen, aber nichts wirklich praktisch Relevantes.
Wirklich unkalkulierbar sind die Haftungsrisiken bei Software-Patenten und hier trifft es die proprietären Hersteller genauso.
Eine andere Frage ist, wer für ein Open-Source Projekt, welches ja das Werk mehrerer unabhängiger Entwickler ist, überhaupt haftbar gemacht werden kann.
Meinst Du ein Produkt oder eine Initiative? (Siehe http://blogs.fsfe.org/bernhard/2012/03/lets-end-all-free-software-projects-q...)
Praktisch habe ich noch nicht oft davon gehört, dass ein Hersteller von Standardkomponenten überhaupt haftbar gemacht worden ist. Als Nutzer habe ich da also praktisch keine Qualitätsdurchsetzungsrechte. Begrenzte Garantien gibt es nur gegen Geld, aber die genauso bei proprietärer, wie Freier Software. Vielleicht bei Freier Software sogar noch mehr, schließlich leben diese Anbieter davon, dass sie dem Kunden Wert bringen und haben deshalb eine höhere Motivation.
Gruß, Bernhard Reiter
Diese Haftungsrisiken halte ich für stark übertrieben, da die Absicht der Lizenzgeber klar ist und der Nutzer einer IT-Software eine entsprechende Sorgfaltspflicht hat. Ich denke hier geht es darum, um einen juristischen Druck aufzubauen noch mehr Rechtssicherheit zu erreichen, aber nichts wirklich praktisch Relevantes.
Das klingt vernünftig.
Wirklich unkalkulierbar sind die Haftungsrisiken bei Software-Patenten und hier trifft es die proprietären Hersteller genauso.
Inwiefern haben Patente eine besondere Haftungsregelung?
Meinst Du ein Produkt oder eine Initiative?
Im Bezug auf den Entwicklungs-Stillstand ist eher die Initative gemeint, wenn es um die Haftbarmachung geht, geht es ja eher um die Entwickler also das Projekt. - Schöner Beitrag, das mal zu unterscheiden.
Ich finde die Haftungs-Argumentation auch etwas überzogen. Ich habe aber schon von Leuten gehört, die auch um Desktop Bereich einen Produktverantwortlichen haben wollen. Dass mir allerdings jemand bei Microsoft dafür aufkommt, wenn mir eine Mail oder ein Dokument hops geht wegen Fehlern im Programm halte ich für fragwürdig. In sicherheitskritischen Bereichen sieht es sicher anders aus, aber da gibt es auch Qualitätssicherungsmaßnahmen wie Zertifizierung etc.
Praktisch habe ich noch nicht oft davon gehört, dass ein Hersteller von Standardkomponenten überhaupt haftbar gemacht worden ist. Als Nutzer habe ich da also praktisch keine Qualitätsdurchsetzungsrechte. Begrenzte Garantien gibt es nur gegen Geld, aber die genauso bei proprietärer, wie Freier Software. Vielleicht bei Freier Software sogar noch mehr, schließlich leben diese Anbieter davon, dass sie dem Kunden Wert bringen und haben deshalb eine höhere Motivation.
Eben
Grüße, Daniel
Am Mittwoch, 24. April 2013 23:56:37 schrieb Daniel G:
Wirklich unkalkulierbar sind die Haftungsrisiken bei Software-Patenten und hier trifft es die proprietären Hersteller genauso.
Inwiefern haben Patente eine besondere Haftungsregelung?
Software-Patente sind ein Risiko auf anderer Ebene. Sie sind in Europa halb-legal, spricht es gibt welche, ob wohl es sie dem Wortlaut und dem Geist des Europäischem Patentübereinkommens nach, nicht geben sollte.
Also können Patentinhaber Unternehmen erstmal mit Klage drohen und dann auch klagen. Der Schaden entsteht hier schon vor einem möglichen Urteil, durch den Zeit und Geldverlust der Abwehr. Das ist bei Patenten viel schlimmer als bei anderen Anwürfen.
Ich finde die Haftungs-Argumentation auch etwas überzogen. Ich habe aber schon von Leuten gehört, die auch um Desktop Bereich einen Produktverantwortlichen haben wollen.
Der läßt sich ja beauftragen. Redhat oder Canocial übernehmen gern Verantwortung für ihre (Kern) GNU-Distribution. Kostet halt Geld, je nach Grad der Verantwortung.
Dass mir allerdings jemand bei Microsoft dafür aufkommt, wenn mir eine Mail oder ein Dokument hops geht wegen Fehlern im Programm halte ich für fragwürdig.
Da in die Verträge zu schauen ist erhellend. Meist wird nur die Absicherung bis zu einer gängigen IT-Praxis versprochen, wenn überhaupt. Das bedeutet, wenn Du es aus dem Backup ziehen könntest, entstünden höchstens diese Schäden. Da lohnt es sich nicht was einzufordern, zudem sich das schwer belegen läßt, dass die Software schlecht war, nicht der Bediener.
In sicherheitskritischen Bereichen sieht es sicher anders aus, aber da gibt es auch Qualitätssicherungsmaßnahmen wie Zertifizierung etc.
Die sind aber auch keine Garantie, oft geht es da um viel Papier und einiges an Sicherheitstheater.
Bernhard
Am 17.04.2013 17:19, schrieb Erik Albers:
Die Argumentation, dass sie bei einem proprietären Produkt jemanden haben den sie anrufen und anschreien können, jemand der vielleicht sogar haftbar zu machen ist ist nunmal valide.
Aber leider nicht genutzt. Ich habe von einer Behörde gehört, die Schwierigkeiten hat, die Kosten von Support-Leistungen ständig eingesetzter Mitarbeiter eines großen Softwarehauses rückzufordern, weil deren Einsätze im Rahmen eines Bug-Fixings nicht als solche gewertet werden, sondern als "Beratung".
Dito gilt für die Erstellung von Software - auch hier wird zu häufig nur die Zeit berechnet, nicht der Erfolg definiert. Wenn dann im Nachgang Fehler festgestellt werden, wird das Fixing noch mal berechnet. There goes the Steuergeld....
Zum Thema anrufen: Einer der größten Global Player verkauft sogar den Bug-Finding-Support. Will sagen: Solange der Verursacher den Fehler nicht als solchen anerkennt, zahlst Du. Bei FLOSS ist das definitiv anders. Ok, bei Autoherstellern wieder nicht, aber beim Auto-Krauter um die Ecke wiederum doch.
Wenn ich Freie Software einsetze dann kann ich mich nur an jemanden wenden, wenn ich einen Dienstleister mit dem Support beauftrage. Dazu benötigt es aber natürlich auch kommerzielle Dienstleister ...
Wie bereits erwähnt: Es gibt sehr viele. Solange aber die Flure der öffentlichen Behörden von Horden (und das ist nicht übertrieben!) von Mitarbeitern der sehr, sehr großen Softwarehersteller überschwemmt werden, gegen die die eher kleinen aber ebenso kommerziellen FLOSS-Dienstleister nicht anstinken können, wird es immer Köpfe in den Entscheidungsebenen geben, die den Versuchen "integrierter Lösungen" und "supportfähiger Lösungsansätze" nicht widerstehen können. Oft genug sind die entscheidenden Köpfe weg(gelobt), wenn die Probleme wirklich teuer/entscheidend/kritisch werden, oder ducken sich hinter anderen, noch neueren Köpfen weg.
Es wird sich wenig ändern, solange die proprietären Lösungen nicht entlarvt werden, als das, was sie sind: Schlechte Software, versteckt hinter dem kompilierten Binary mit einer Unzahl an Unzulänglichkeiten, die auf lange Sicht viel zu viel Zeit/Geld/Nerven kosten.
Mit fröhlichem Gruß
Robert Kehl