OCCTET: Eine Open Source Lösung für die CRA-Compliance in Europa

Open Source ist überall—Und eine neue Herausforderung

Täglich bringen europäische Tech-Unternehmen Produkte mit digitalen Komponenten auf den Markt. Im Hintergrund nutzen diese häufig eine Vielzahl von Open Source-Bibliotheken. Von Verschlüsselungsbibliotheken bis hin zu Web-Frameworks: Open Source ist das Rückgrat der digitalen Innovation. Ein typisches modernes Softwareprodukt besteht häufig zu über 90 % aus Open Source (gemessen am Code-Volumen) ¹. Diese Allgegenwart von Open Source ist ambivalent: Sie beschleunigt die Entwicklung, wirft aber auch Sicherheits- und Compliance-Fragen auf. Prominente Angriffe auf Software-Lieferketten und Sicherheitslücken haben Regulierungsbehörden alarmiert. Nun greift die Europäische Union mit einem weitreichenden neuen Gesetz ein. Mit dem Cyber Resilience Act (CRA), einer Verordnung, die gewährleisten soll, dass alle Produkte mit digitalen Komponenten von Beginn an cybersicher konzipiert werden. Für Unternehmen jeder Größe stellt der CRA derzeit eine zentrale Herausforderung dar.

Der CRA bringt strenge Anforderungen für alle mit sich, die digitale Produkte innerhalb der EU entwickeln oder vertreiben ². Er verpflichtet Hersteller dazu, Cybersicherheit in Planung, Design, Entwicklung, Produktion, Lieferung und Wartung ihrer Produkte zu berücksichtigen – inklusiver vollständiger Dokumentation sämtlicher Risiken². Besonders anspruchsvoll ist dabei die Verpflichtung, sämtliche Softwarekomponenten kontinuierlich auf Schwachstellen zu überprüfen². In der Praxis bedeutet das: Wer als KMU ein digitales Produkt entwickelt, muss die gesamten genutzten Open Source-Bibliotheken und jeden Code-Schnipsel während des gesamten Produktzyklus im Blick behalten. Vor dem Markteintritt – und auch lange danach – muss ein Unternehmen nachweisen können, dass es die verwendeten Komponenten identifiziert und bekannte Schwachstellen behoben hat. Der CRA fordert eine fortlaufende Verpflichtung zur Schwachstellenbehebung über Jahre hinweg. Reine Open Source-Projekte von Hobbyentwicklern fallen nicht direkt unter die Regelung – aber jede kommerzielle Nutzung von Open Source in einem Produkt bringt den Code unter die CRA-Compliance-Pflicht².

KMU im Fadenkreuz der Compliance

Insbesondere kleine und mittelständische Unternehmen (KMU) in Europa, die Open Source bislang als klaren Wettbewerbsvorteil genutzt haben, sehen sich nun mit einer neuen, komplexen Realität konfrontiert. Start-ups, die bisher frei Open Source-Komponenten kombinieren konnten, müssen plötzlich eine vollständige Inventarisierung vornehmen – inklusive einer Art „Cybersicherheitszertifikat“ für ihr Produkt. Sie benötigen eine Software Bill of Materials (SBOM) mit allen Open Source-Komponenten, zugehörigen Lizenzen, Sicherheitsstatus und Prozessen zur schnellen Aktualisierung betroffener Komponenten.

Die Erstellung einer vollständigen und korrekten SBOM ist jedoch aufwendig und fehleranfällig². Es reicht nicht aus, deklarierte Abhängigkeiten aus dem Paketmanager aufzulisten. Erforderlich ist ein tiefgehender Scan des gesamten Codebestands, inklusive eingebetteter Komponenten, transitiver Abhängigkeiten, kopierter Dateien oder nicht deklarierter Codeschnipsel. Vieler dieser Komponenten bleiben bei oberflächlichen Scans unentdeckt. Zwar existieren automatisierte Tools zur Codeanalyse, doch diese sind bei weitem nicht perfekt. In realen Projekten sind Open Source-Komponenten oft tief eingebettet: eine Datei von hier, eine Hilfsfunktion dort. Scanner übersehen diese Fragmente häufig oder identifizieren sie falsch². Umgekehrt gibt es auch Falscherkennungen, bei denen Scanner regulären Code als Open Source markieren – etwa wegen eines Kommentars mit dem Wort „GPL“, der gar keine Lizenz betrifft. Viele Unternehmen greifen daher weiterhin auf manuelle Audits durch Experten zurück, sogenannte Open Source-Auditoren, um die Lücken der Automatisierung zu schließen².

Das kostet Zeit und Geld: Ein deutsches KMU berichtete, dass ein Audit eines komplexen Produkts
(z. B. Android-Systeme) schnell sechsstellige Eurobeträge verursachen kann¹. Für Mittelständler können solche ungeplanten Ausgaben und Verzögerungen verheerend sein. Die Einhaltung der Vorschriften zu ignorieren, ist jedoch keine Option – die CRA hat Gesetzescharakter. Nichteinhaltung kann Marktverbot oder hohen Strafen nach sich ziehen. Die Log4j-Sicherheitslücke hat gezeigt, wie verletzlich Unternehmen in Bezug auf Open Source-Sicherheit sind. Ein einziger Fehler in einer weit verbreiteten Abhängigkeit hatte Auswirkungen auf ganze Branchen und traf sogar große Unternehmen unvorbereitet. Die Realität ist, dass viele Unternehmen, insbesondere KMUs, schlicht nicht wissen, welche Open Source-Komponenten in ihren Produkten enthalten sind, geschweige denn, wie sie deren Risiken verfolgen können³.

Der Druck ist besonders hoch, da viele KMUs überhaupt keine Übersicht über die von ihnen verwendeten Open Source-Komponenten haben. Eine aktuelle Umfrage ergab, dass 68 % der Unternehmen keine internen Open Source-Policy haben und Entwickler weniger als 10 % der tatsächlich genutzten Open Source-Komponenten in ihren Produkten kennen⁴. Die Herausforderung lässt sich so zusammenfassen: Open Source ist allgegenwärtig, neue Vorschriften erfordern eine detaillierte Überwachung, und es fehlen die Tools und Ressourcen, um diese Lücke zu schließen.

Vom Problem zur Lösung: OCCTET

In diesem Zusammenhang entstand das Projekt OCCTET – kurz für „Open Source Compliance Comprehensive Tools and Resources“. Es entstand als gemeinschaftliche Antwort auf die zentrale Frage vieler KMU: Wie erfüllen wir die CRA-Anforderungen, ohne finanziell unterzugehen? Das Ziel von OCCTET ist es, sicherzustellen, dass Europas Open Source-abhängige Unternehmen, unter den neuen Vorschriften nicht erdrückt, sondern gestärkt werden. Finanziert von der EU, vereint OCCTET ein Konsortium aus Branchenführern, Cybersicherheitsexperten und Open Source-Vertretern. Ziel ist ein kostenfreies Open Source-Toolkit, das KMUs bei der Einhaltung des CRA unterstützt ⁵.

Das Toolkit soll große Teile des Compliance-Prozesses vereinfachen und automatisieren. Stellen Sie es sich als eine All-in-One-Toolbox vor, die KMUs integrieren und ausführen können, um einen Großteil der Arbeit zu erledigen: Bewertung ob überhaupt eine Regulierung unter dem CRA vorliegt, Gap-Analyse, Identifikation von Open Source-Komponenten, Lizenz- und Sicherheitsanalyse, sowie Erstellung der erforderlichen Dokumentation. OCCTET startete Ende 2024 und wird unter anderem folgende Bausteine enthalten:

• Intelligenten Scanner zum Erstellen Ihrer SBOM.
• Compliance – Checkliste mit Selbstbewertung.
• Reporting-Tools zur Erstellung der erforderlichen Rechts- und Sicherheitsdokumente.

Das Werkzeug wird praxisnah und anwenderfreundlich für KMU entwickelt, basierend auf umfangreichen Workshops und Umfragen mit kleinen Unternehmen Anfang 2025⁵. Ziel ist ein realistischer, nutzenorientierter Ansatz – nicht nur ein weiteres Tool, sondern ein echter Problemlöser für die typischen Hürden: juristische Unklarheiten, mangelhafte Scans, unstrukturierte Daten.

OCCTET baut bewusst auf bestehende Open Source-Werkzeuge auf, wie dem OSS Review Toolkit (ORT) und ScanCode (entwickelt von AboutCode). Diese bewährten Frameworks für Open Source-Analyse und Lizenzmanagement werden erweitert, nicht neu erfunden. Das Konsortium hinter OCCTET umfasst u.a. die Eclipse Foundation, AboutCode, die European DIGITAL SME Alliance sowie spezialisierte Unternehmen, darunter Bitsea, dass einige der innovativsten Funktionen beiträgt. Die Veröffentlichung der finalen Toolkit-Version ist für Mitte 2026 geplant – rechtzeitig zur vollen CRA-Inkraftsetzung.

Bitseas Rolle in OCCTET: AI-gestützte Compliance Unterstützung

Mit dem gezielten Einsatz von Künstlicher Intelligenz bringt Bitsea eine Schlüsselkompetenz ins Projekt ein – zur Bewältigung der anspruchsvollsten Compliance-Fragestellungen. Wenn das OCCTET-Toolkit das Fahrzeug zur CRA-Compliance ist, dann liefert Bitsea das intelligente Navigationssystem.

Ein Schwerpunkt ist der “License Curation Autopilot.” Nach einem Scan listet das Tool teils hunderte Komponenten auf – doch Jemand muss überprüfen: Ist das tatsächlich MIT-lizensiert? Gab es eine Lizenzänderung? Wurde eine Ausnahme im README versteckt? Diese Nuancen sind juristisch essentiell. Bitsea entwickelt daher eine KI-gestützte Lizenzanalyse, die auf umfangreichen Lizenzdaten trainiert wird. Sie erkennt Muster, analysiert Datei-Header, Codeausschnitte, ältere Versionen – und schlägt die korrekte Lizenz samt Details vor. So bleibt der Mensch für schwierige Fälle zuständig, aber der Großteil der „Curation“ wird automatisiert und fehlerärmer.

Ein weiteres Problemfeld, dass Bitsea untersucht, sind „False Positives“: Scanner schlagen oft Alarm bei Fragmenten oder Duplikaten, die gar keine eigenständigen Open Source-Komponenten sind. Bitsea entwickelt eine KI-gestützte Filterlogik, die diese Fehleralarme automatisch herausfiltert. Etwa, wenn ein Kommentar mit „GPL“ fälschlich als Lizenz interpretiert wird. Das Ergebnis: eine saubere SBOM, weniger Irrwege, mehr Fokus auf echte Risiken.

Außerdem arbeitet Bitsea an einem dokumentationsunterstützendem KI-Modul, das repetitive Textbausteine in Audit-Berichten automatisiert vorschlägt. Etwa standardisierte Begründungen für Lizenzen wie BSD-3-Clause – der Auditor muss nur noch feinjustieren. Das spart Zeit, ohne die Qualitätskontrolle durch den Menschen zu ersetzen.

Ein oft übersehenes Problem: Testdateien. Diese landen regelmäßig in Scans, obwohl sie nie produktiv verwendet werden. Sie führen zu unnötigem Aufwand bei der Lizenzprüfung. Bitsea entwickelt ein Verfahren, um typische Testverzeichnisse automatisch zu erkennen und zu ignorieren – ein einfacher, aber wirkungsvoller Beitrag zu effizienteren Audits.

Fazit: Open Source sichern, KMUs stärken

Die Wirkung von OCCTET reicht über den Nutzen für einzelne Unternehmen hinaus. Können KMUs die Anforderungen des CRA erfüllen, stärkt das die gesamte Cybersicherheitslandschaft in Europa. Das Toolkit befindet sich derzeit in intensiver Entwicklung, während das Konsortium gezielt den Austausch mit relevanten Stakeholdern sucht. Europäische KMUs, Sicherheitsexperten, Maintainer und Regulatoren – alle sind eingeladen, diesen offenen community-getriebenen Weg mitzugestalten.