Die jüngsten Angriffe auf die JavaScript-Bibliotheksplattform npm zeigen auf dramatische Weise, wie verwundbar moderne Software-Lieferketten sind. Ein selbstvermehrender Wurm namens Shai-Hulud hat Hunderte von Code-Paketen infiziert, Zugangsdaten gestohlen und diese öffentlich zugänglich gemacht. Für Unternehmen und ihre Führungskräfte wirft dies nicht nur technische, sondern auch erhebliche rechtliche und haftungsrelevante Fragen auf. Was ist passiert, welche Risiken bestehen für Unternehmen, und wie können sich Verantwortliche absichern?
Cybersecurity in der Software-Lieferkette weiterlesenSchlagwort: Richtlinie
Software Bill of Materials (SBOM)
Eine SBOM ist ein maschinenlesbares Dokument und entspricht einer elektronischen Stückliste: Es inventarisiert eine Codebasis und enthält somit Informationen über alle verwendeten Komponenten einer Software. Inzwischen gewinnt die SBOM durch den CRA erhebliche juristische Relevanz und gehört zwingend zur Compliance bei Einsatz oder Entwicklung von Software, speziell mit Blick auf die Supply-Chain.
Die SBOM-Informationen können in unterschiedlicher Breite und Tiefe dargestellt werden und von einer groben Struktur bis zu einer detaillierten Aufschlüsselung von Produkten und Softwarekomponenten reichen. Entsprechende Vorgaben sind in der Technischen Richtlinie TR-03183 des BSI enthalten.
Software Bill of Materials (SBOM) weiterlesen
Designprinzipien für LLM-basierte Systeme des BSI
Ein aktuelles BSI-Whitepaper zu Designprinzipien für LLM-basierte Systeme mit „Zero Trust“-Ansatz enthält zentrale Empfehlungen zur sicheren Implementierung von KI-Systemen in Unternehmen und Behörden. Die Vorgaben reichen von der Authentifizierung und dem Input-/Output-Schutz bis hin zum Monitoring und Hintergrundwissen für die Awareness.
Doch Vorsicht, diese Empfehlungen sind mehr als reine IT-Empfehlungen: Sie berühren unmittelbar haftungsrechtliche Fragen und betreffen die konkrete Umsetzung datenschutzrechtlicher Vorgaben gemäß Art. 25 DSGVO („Privacy by Design“ und „Privacy by Default“).
Designprinzipien für LLM-basierte Systeme des BSI weiterlesen
Cheats: Keine Urheberrechtsverletzung durch externe Speicher-Manipulation
In einer vielbeachteten Entscheidung vom 31. Juli 2025 (BGH, Urt. v. 31.07.2025 – I ZR 157/21 – Action Replay II) hat der Bundesgerichtshof (nochmals) die urheberrechtliche Reichweite des Schutzes von Computerprogrammen präzisiert. Im Mittelpunkt stand die Frage, ob die Modifikation von Arbeitsspeicherinhalten durch Drittsoftware – ohne Veränderung des Quell- oder Objektcodes – eine unzulässige Umarbeitung im Sinne des § 69c Nr. 2 UrhG darstellt. Der BGH verneinte dies und folgte damit der Vorabentscheidung des EuGH.
Cheats: Keine Urheberrechtsverletzung durch externe Speicher-Manipulation weiterlesen
Schutzumfang von Webseitenprogrammierungen bei Werbeblockern
Der Bundesgerichtshof hat in der Entscheidung „Werbeblocker IV“ (I ZR 131/23) die urheberrechtlichen Implikationen von Werbeblocker-Software weiter präzisiert. Im Zentrum steht die Frage, ob ein Werbeblocker, der in die Darstellung von Webseiten eingreift, eine unzulässige Umarbeitung oder Vervielfältigung eines geschützten Computerprogramms im Sinne des § 69c Nr. 1 und 2 UrhG darstellt.
Der BGH kritisiert die Vorinstanz für eine unzureichende Klärung des Schutzgegenstands und verweist die Sache zurück. Die Entscheidung enthält wichtige Hinweise zur Abgrenzung zwischen zulässiger Beeinflussung des Programmablaufs und Eingriffen in die geschützte Substanz eines Programms.
Schutzumfang von Webseitenprogrammierungen bei Werbeblockern weiterlesen
Opensource-Software-Compliance
Open-Source-Software-Compliance
Open-Source-Software (OSS) hat in den letzten Jahren massiv an Bedeutung gewonnen. Unternehmen nutzen OSS aus verschiedenen Gründen: Dazu zählen Kosteneinsparungen, der Zugang zu hochwertigen Technologien und die Möglichkeit, auf einer breiten Basis von Entwicklern aufzubauen.
Doch der Einsatz von OSS bringt auch Herausforderungen mit sich, insbesondere im Bereich der Compliance. In diesem Kontext bedeutet Compliance die Einhaltung der verschiedenen Lizenzbedingungen, die mit Open-Source-Software verbunden sind. Verstöße gegen diese Bedingungen können erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen.
Opensource-Software-Compliance weiterlesen
EuGH zur Zulässigkeit der Dekompilierung von Software
Mit Urteil vom 6. Oktober 2021 hat der Europäische Gerichtshof (EuGH) in der Rechtssache Top System SA gegen État belge (C-13/20) eine grundlegende Entscheidung über die Zulässigkeit der Dekompilierung von Software gefällt. Obwohl sich das Urteil auf die alte Computerprogramm-Richtlinie 91/250/EWG bezieht, entfaltet es auch unter der seit 2009 geltenden Richtlinie 2009/24/EG seine Strahlkraft und wirft neue Fragen auf – nicht nur für das Urheberrecht, sondern auch für das Vertrags- und IT-Recht insgesamt.
EuGH zur Zulässigkeit der Dekompilierung von Software weiterlesen
Cheating bei Computerspielen: EuGH zur Umarbeitung von Computerspielen
Am 17. Oktober 2024 entschied der Europäische Gerichtshof (EuGH) in der Rechtssache C-159/23 über zentrale Fragen des Urheberrechtsschutzes von Computerprogrammen. Die Entscheidung beleuchtet, ob Eingriffe in den Arbeitsspeicher eines Computers, um Gameplay-Elemente zu verändern, eine unzulässige Umarbeitung im Sinne der Richtlinie 2009/24/EG darstellen. Das Urteil hat weitreichende Implikationen für Hersteller von Computerspielen, Entwickler von Zusatzsoftware sowie die Gaming-Community.
Cheating bei Computerspielen: EuGH zur Umarbeitung von Computerspielen weiterlesen
Datenschutz und Künstliche Intelligenz
Künstliche Intelligenz (KI) ist überall – vor allem in Unternehmen. Angefangen von der Rechtschreibprüfung bis hin zu selbstlernenden Systemen, die gerade in großen Unternehmen die Kundenkorrespondenz vereinfachen sollen. Doch genau hier geht es los: Das Datenschutzrecht ist sofort bei KI in Unternehmen betroffen. Zwei zentrale Dokumente beleuchten diese Thematik umfassend, wenn auch natürlich nicht verbindlich: die jüngst von der Europäischen Datenschutzbehörde (EDPB) veröffentlichte Stellungnahme 28/2024 und die Orientierungshilfe „KI und Datenschutz“ der Datenschutzkonferenz (DSK). Gemeinsam liefern sie wertvolle Einblicke für Softwareentwickler und das Management von Unternehmen.
Beide Dokumente ergänzen sich in ihrer Zielsetzung. Während die EDPB tiefgehende rechtliche Analysen und abstrakte Prinzipien bietet, liefert die DSK praxisnahe Leitlinien zur konkreten Umsetzung. Gemeinsam verdeutlichen sie die Notwendigkeit eines ganzheitlichen Ansatzes, der technische, organisatorische und rechtliche Aspekte gleichermaßen berücksichtigt Softwareentwickler sollten vor allem die technischen Empfehlungen beider Dokumente beachten, etwa zur Minimierung von Identifikationsrisiken und zur Gestaltung transparenter Systeme.
Datenschutz und Künstliche Intelligenz weiterlesen
Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration
Die Cloud wurde über Jahre als Lösung für viele IT-Probleme vermarktet: flexible Skalierbarkeit, niedrigere Kosten und geringere Betriebskosten im Vergleich zu traditionellen, lokalen Serverstrukturen. Viele Unternehmen springen auf diesen Zug auf – doch mittlerweile zeichnet sich ein gegenteiliger Trend ab. Unternehmen migrieren Teile ihrer Workloads zurück in On-Premises- oder Private-Cloud-Lösungen. Doch warum entscheiden sich Unternehmen für diesen Schritt, und welche rechtlichen Hürden ergeben sich dabei?
Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration weiterlesen