RED-Umsetzung: Open-Source-Szene droht Ausschluss aus der Funktechnik

Die EU-Kommission arbeitet an Vorschriften zur Umsetzung der Funkanlagenrichtlinie RED. Kritiker sehen Freifunk, OpenWrt und das Internet der Dinge bedroht.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 415 Beiträge

(Bild: c't)

Von
  • Stefan Krempl
Inhaltsverzeichnis

Mit der EU-Richtlinie für Funkanlagen von 2014, die mittlerweile seit über fünf Jahren gilt, schwebt ein Damoklesschwert über der Open-Source- und Maker-Szene. Das Gesetz enthält einen Passus, der es Nutzern deutlich schwerer macht, systemrelevante Software in Geräten mit Funkmodulen in Eigenregie oder mithilfe alternativer Programme zu installieren oder zu verbessern. Dies betrifft vor allem etwa gemeinnützige Initiativen wie Freifunk, Osmocom für freien Mobilfunk oder die Macher der Linux-Distribution OpenWrt für eingebettete Systeme.

Die EU-Kommission arbeitet daran, diese und zugehörige Klauseln mithilfe neuer Standards erstmals durchzusetzen. Sie erwägt, "einige ihrer delegierten Befugnisse auszuüben", die ihr durch die Funkanlagenrichtlinie RED übertragen worden seien, erklärte Binnenmarktkommissar Thierry Breton jüngst auf eine Anfrage des EU-Abgeordneten Mikuláš Peksa von der Piratenpartei. In diesem Zusammenhang erörtere man den "Erlass eines delegierten Rechtsakts" rund um Kernklauseln der sogenannten Radio Equipment Directive (RED).

Mit dem Schritt zielt die Brüsseler Regierungsinstitution laut Breton darauf ab, die "grundlegenden Anforderungen für bestimmte Kategorien von Funkanlagen verbindlich vorzuschreiben". Ausnahmen seien dabei allenfalls für spezifische Geräte geplant. Die Exekutivinstanz arbeite parallel bereits an einem Entwurf für einen Standardisierungsauftrag, "damit rechtzeitig harmonisierte Normen zur Unterstützung des künftigen delegierten Rechtsakts zur Verfügung gestellt werden können".

Im Zentrum der Entwürfe für die nachgeordnete Rechtsvorschrift sowie den Normungsauftrag stehen derzeit die Artikel 3(3)d, e und f. Funkanlagen müssen demnach in bestimmten Kategorien oder Klassen so konstruiert sein, dass sie "weder schädliche Auswirkungen auf das Netz oder seinen Betrieb" haben noch "eine missbräuchliche Nutzung von Netzressourcen" bewirken und so einen Dienst unannehmbar beeinträchtigen würden. Sie sollen zudem über Sicherheitsvorrichtungen verfügen, "die gewährleisten, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden". Ferner müssen sie "Funktionen zum Schutz vor Betrug" implementieren können.

Eigentlicher Stein des Anstoßes ist Artikel 3(3)i. Demnach müssen zulässige Funkanlagen auch Funktionen unterstützen, "mit denen sichergestellt werden soll, dass nur solche Software geladen werden kann, für die die Konformität ihrer Kombination mit der Funkanlage nachgewiesen wurde".

Das hört sich nach einer unspektakulären technischen Anforderung an, doch die Klausel hat es in sich. Sie führt laut Kritikern dazu, dass letztlich nur noch spezielle, von Produzenten autorisierte Programme auf Geräten installiert werden dürfen, die Verbindungen über kabellose und mobile Netzwerke oder GPS aufbauen. Darunter fallen Router, Mobiltelefone, WLAN-Karten sowie nahezu alle Apparate mit Netzwerkfunktionen.

Mehr von c't Magazin Mehr von c't Magazin

23 zivilgesellschaftliche Organisationen, zu denen die Free Software Foundation Europe (FSFE), der Chaos Computer Club (CCC), Digitalcourage, Freifunk und La Quadrature du Net gehören, warnten bereits 2016 vor der drohenden "Funkabschottung". Ihre Sorge: Mit 3(3)i könnten alle Funkanlagen derartig dicht gemacht werden, dass dafür keine externe Software-Entwicklung mehr möglich ist. Dies wäre verheerend für "Softwarefreiheit, Verbraucherrechte, einen fairen Wettbewerb, Innovation, Umwelt und ehrenamtliche Initiativen". Trotzdem setzte der Bundestag die Passage 2018 ins nationale Recht um.

"Die nationalen Behörden registrierten eine erhöhte Anzahl von Fällen der Nichtkonformität von Funkanlagen, die auf das Aufspielen neuer Software nach dem Inverkehrbringen der Funkanlagen zurückzuführen sind", verteidigt Breton den besonders umkämpften Artikel generell. Die Kommission habe eine Studie in Auftrag gegeben, um Belege zu sammeln, "die zur Unterstützung künftiger Maßnahmen erforderlich sind". Vorläufige Diskussionen hätten auch hier im Rahmen einer speziellen Expertengruppe bereits stattgefunden. Auch eine umfassende Kosten-Nutzen-Analyse werde derzeit durchgeführt. Weitere Schritte will die Regierungseinrichtung dem Franzosen zufolge treffen, wenn die Ergebnisse beider Untersuchungen vorliegen.

Regulierungsexperten stärken der Kommission prinzipiell bei ihrem Ansatz den Rücken. Es gelte, Funksysteme vor "Wildwuchs" schützen, lautet ihr Argument. Die Brüsseler Bürokraten wollten etwas definieren, "das in diesem Universum nicht funktioniert", hält Guido Körber, Geschäftsführer des brandenburgischen Hard- und Softwarehauses Code Mercenaries, dagegen. "Das Device soll irgendwie selber heraus finden, ob die Software sich konform verhalten wird. Das ist natürlich nicht möglich, denn Gödels Unvollständigkeitstheorem steht nach wie vor unwidersprochen im Weg."

Für nähere Vorschriften zu 3(3)i gibt es Körber zufolge gar keine Grundlage. Die Kommission könne kein einziges konkretes Beispiel dafür vorweisen, dass die Rekonfigurierbarkeit von Funkanlagen oder eine alternative Firmware zu Problemen geführt hätten. Bisher sei allenfalls von Schwierigkeiten mit einem Bodenradar die Rede, nachdem Nutzer die automatische Frequenzverteilung abgeschaltet hatten.

Der Entwickler integrierter Module befürchtet sogar, dass mit weiteren Schritten zum Ausfüllen der Klausel "das gesamte Thema Funk in der EU erledigt ist". Und das zu einem Zeitpunkt, in dem die Kommission die Freigabe von 500 MHz im unteren 6-GHz-Band zur lizenzfreien Nutzung durch WLAN publik gemacht habe und Funkanwendungen fördern wolle. Wenn künftige Vorgaben nicht wegen Unausführbarkeit ins Leere liefen, dürfte letztlich "jeder moderne Mikrokontroller" betroffen sein, glaubt Körber. Es gehöre heute zum Standard, dass selbst solche kleinen Komponenten "Hochfrequenzsignale empfangen und senden" könnten. Die quelloffenen Projekte Espple für einen Apple-1-Emulator und Channel 3 etwa sendeten ein analoges TV-Signal ohne spezielle Hardware. Es reiche, ein Stück Draht ranzumachen, das Weitere laufe "über Schieberegister und Software".

Funkmodule seien ein wichtiger Faktor in Produkten von kleinen und mittelständischen Herstellern von Maschinen, Sensoren, Steuerung, Gebäudeautomatisierung und vielen anderen Bereichen, führt Körber in einem Artikel für die Piratenpartei aus. Setze die Kommission ihre Pläne um, könnten "in Europa Maschinenbau und Elektronikindustrie den größten Teil der drahtlos betriebenen Produkte nicht mehr herstellen". Jedes Funksystem müsste "einen Zugang zum Internet haben, um von einem Server die Konformitätsbestätigung zu holen". Ferner seien ausreichend Rechenleistung und Speicher nötig, um die notwendigen Protokolle zu bedienen. Viele für einen stromsparenden Betrieb ausgelegten Geräte seien darauf nicht ausgerichtet.

Einen Mechanismus zu schaffen, mit dem eine einfache Zertifizierung oder Signierung für den Softwareentwickler möglich wäre, hält der Techniker ebenfalls für keine gute Idee: "Dieser Weg stünde dann jedermann zur Installation von beliebiger Software offen." Das Konzept gehe so weit, auch ein Verfahren zu empfehlen, mit dem eine Aufsichtsbehörde per Fernsteuerung nichtkonforme Geräte stilllegen könnte. Für Körber steht außer Zweifel: "Hacker aller Art dürften sich über so eine fest eingebaute Sicherheitslücke freuen."

Auch die FSFE rechnet nach wie vor mit dem Schlimmsten. Expertentreffen hätten gezeigt, dass die Kommission die Tragweite des Problems nicht erkenne, moniert Programm-Manager Max Mehl. Mit einem delegierten Akt drohten noch weiter einschneidende Regeln. Dabei habe die Brüsseler Institution schon bei ihrer ersten Konsultation zu dem Thema viele kritische Kommentare bekommen habe. Darin werde etwa zu bedenken gegeben, dass Funk-Hardware künftig nur noch im Paket mit einer unveränderbaren proprietären Software der Hersteller verkauft werde. Die Freiheit zum Nutzen und Reparieren der Geräte wäre so massiv eingeschränkt.

Viele Teilnehmer haben laut Mehl betont, dass Sicherheitslücken effizienter mit freier Software angegangen werden könnten. Andere sähen die Innovation und den Wettbewerb rund um Funksysteme gefährdet. Insgesamt hätten zudem mittlerweile über 50 Organisationen und Firmen eine Erklärung gegen den "Funk-Lockdown" unterschrieben. Die Ergebnisse einer zweiten Konsultation von Mitte 2020 habe die Kommission noch nicht einmal veröffentlicht.

Die FSFE hat auch ein Gutachten in Auftrag gegeben, um die Rechtslage zu klären. Der Jurist Till Jaeger kommt darin zum Schluss, dass Artikel 3(3)i nicht mit gängigen Lizenzen für freie Software wie der GPL-3.0 und wahrscheinlich auch nicht mit der Vorgängerversion 2.0 vereinbar ist. Er stellt fest, dass weit verbreitete einschlägige Programme wie GNU/Linux, GNU C Library und Samba ohne Klarstellungen durch die Kommission nicht mehr in Produkten verwendet werden könnten, die in den Anwendungsbereich des Artikels fallen. Sonst würde der Hersteller eine Urheberrechtsverletzung riskieren, da jeder Verstoß gegen die Lizenzbedingungen der GPL die damit verknüpften Rechte nichtig mache.

Wohin die Reise gehen könnte, zeigt der Standardisierungsentwurf für 3(3)d, e und f. Bereits im Plan für den zugehörigen Rechtsakt unterstreicht die Kommission: "Die harmonisierten Normen sollten detaillierte technische Spezifikationen, einschließlich geeigneter Prüfverfahren, für die in Artikel 3 genannten grundlegenden Anforderungen enthalten". Auf über 16 Seiten geht sie in dem zweiten Papier dann ins Detail und macht bis zu den Buchstaben "kk" Vorschriften etwa für Antispoofing-Filter, zur Abwehr von DDoS-Angriffen, regelmäßigen Aktualisierungen von Zugriffsrechten, Updates, Aktivitätsprotokollierung sowie Sicherheitssystemen zur Überwachung und Kontrolle des Netzverkehrs.

Ein Beispiel: Da internetfähige Geräte für betrügerische Aktivitäten missbraucht werden könnten, mit denen sich sogar Online-Zahlungen ausführen ließen, ist es laut der Kommission erforderlich, vertrauenswürdige Transaktionen zu gewährleisten und das Risiko eines finanziellen Verlusts für den Nutzer und den Empfänger zu minimieren. Die Idee sei super, heißt es dazu von Technikern: Alle möglichen vernetzten Apparate müssten die Menschheit vor Betrug, Netzwerkstörungen und Datenschutzverletzungen schützen. Völlig offen sei nur, wie das praktisch funktionieren und wer das alles überprüfen solle. (ea)