Ich denke, ein guter Anfang ist, zuerst zu wissen, was man selber hat und einsetzt. Da Software nie fehlerfrei sein wird (das beweisen fast täglich alle "Großen"), muss man sicherstellen, dass kontrolliert nachgearbeitet werden kann.
Neben einer Quellcodeverwaltung auf jeden Fall auch eine "Stückliste" erstellen:
https://www.bsi.bund.de/DE/Service-N...rderungen.html.
Dann noch die Maßnahmen 8.25 bis 8.34 aus der
https://de.wikipedia.org/wiki/ISO/IEC_27002 umsetzen.
Alles weitere werden die Gerichte entscheiden.
Bzgl freier Software:
https://www.heise.de/hintergrund/Sof...-10027145.html
Zitat:
Eine Bereichsausnahme besteht unter anderem für Open-Source-Software: Um Innovation und Forschung nicht zu behindern, ist freie und quelloffene Software, die außerhalb einer gewerblichen Tätigkeit entwickelt und angeboten wird, von der Haftung ausgenommen, wobei die Reichweite dieser Ausnahme aktuell – ähnlich der Ausnahme im Cyber Resilience Act (CRA) – diskutiert wird. Im Ergebnis führt die ProdHaftRL zu einer weitgehenden Haftung des (Software-)Herstellers für fehlerhafte Produkte – unabhängig davon, ob dieser in einem direkten Vertragsverhältnis zum Geschädigten steht.