Mein Controller für die Insulinpumpe verwendet den Linux-Kernel, verletzt aber die GPL

 (old.reddit.com)
1 Punkte von GN⁺ 2025-12-27 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Medizingeräte-Controller, der eine Insulinpumpe steuert, basiert auf dem Linux-Kernel
  • Das betreffende Gerät erfüllt die Bedingungen der GPL (General Public License) nicht und befindet sich damit in einem Lizenzverstoß
  • Nutzer kritisieren, dass die Pflicht zur Offenlegung des Quellcodes nicht eingehalten wird
  • In der Community werden sowohl die Transparenz von Open-Source-Software als auch die Zuverlässigkeit von Medizingeräten diskutiert
  • Der GPL-Verstoß gilt als Fall, der die Grenzen des Open-Source-Einsatzes im Bereich Medizingeräte sichtbar macht

Insulinpumpen-Controller auf Basis des Linux-Kernels

  • Ein Gerät zur Steuerung einer Insulinpumpe verwendet den Linux-Kernel
    • Das Gerät übernimmt die automatische Regulierung der Insulinabgabe
    • Dass ein Linux-Kernel integriert ist, wurde von einem Nutzer bestätigt
  • Das Gerät verstößt gegen die Bedingungen der GPL-Lizenz
    • Die GPL schreibt vor, dass Produkte, die den Kernel verwenden, der Pflicht zur Offenlegung des Quellcodes unterliegen
    • Dieses Gerät wird jedoch verkauft, ohne dass Zugang zum Quellcode möglich ist

GPL-Verstoß und Open-Source-Transparenz

  • Nutzer weisen auf den GPL-Verstoß hin und fordern die Veröffentlichung des Quellcodes
    • Obwohl die Nutzung des Kernels eindeutig ist, stellt der Hersteller den Code nicht bereit
  • In der Community wird kritisiert, dass Hersteller von Medizingeräten Open-Source-Pflichten ignorieren
    • Ein GPL-Verstoß ist nicht nur ein rechtliches Problem, sondern wirkt sich auch auf Nutzersicherheit und Zuverlässigkeit aus

Konflikt zwischen Medizingeräten und Open Source

  • In der Medizingerätebranche sind geschlossene Firmware-Richtlinien üblich
    • Dadurch entstehen rechtliche und ethische Konflikte mit der Open-Source-Community
  • GPL-Verstöße bei Medizingeräten, die den Linux-Kernel verwenden, werden als typisches Beispiel für mangelnde Transparenz genannt
    • Wenn Open-Source-basierte Technologien in Medizingeräten eingesetzt werden, ist die Einhaltung der Offenlegungspflichten wichtig

Reaktionen der Community

  • Einige Nutzer fordern Maßnahmen zur Durchsetzung der GPL-Einhaltung
    • Sie vertreten die Ansicht, dass der Hersteller den Kernel-Quellcode offenlegen muss
  • Andere diskutieren zugleich über die Sicherheit von Medizingeräten und rechtliche Haftungsfragen
    • Dabei wird auf Regelungslücken hingewiesen, wenn Open-Source-Software in Medizingeräten eingesetzt wird

Implikationen

  • Dieser Fall gilt als seltenes Beispiel eines GPL-Verstoßes in einem realen Medizingerät
  • Er zeigt, dass zwischen der Open-Source-Community und der Medizingerätebranche ein rechtliches und ethisches Gleichgewicht nötig ist
  • Künftig wird eine strengere Durchsetzung der Lizenzkonformität bei Produkten mit Linux-Kernel gefordert

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-12-27
Hacker-News-Kommentare
  • Ich habe versucht, von Insulet den unter GPLv2 lizenzierten Kernel-Quellcode anzufordern.
    Aber einfach zu sagen „Es gibt GPL, also müssen sie den Quellcode herausgeben“ ist ein Missverständnis.
    Tatsächlich muss das Unternehmen dem Nutzer ein „schriftliches Angebot (written offer)“ übermitteln, und der Nutzer kann auf Grundlage dieses Angebots den Quellcode anfordern.
    Wenn das Unternehmen ein solches Angebot gemacht hat, es aber nicht erfüllt, ist das ein Vertragsbruch; wenn es von vornherein kein Angebot übermittelt hat, ist das ein GPL-Verstoß. (Ich bin kein Jurist.)
    • Das ist noch immer ein rechtlich nicht abschließend geklärter Streitpunkt.
      Im Fall Conservancy v Vizio wird darüber gestritten, ob auch Verbraucher das Recht haben, die GPL direkt durchzusetzen.
    • Die dreijährige Gültigkeit eines schriftlichen Angebots ist nur eine von mehreren Vertriebsformen.
      Wenn es das Angebot selbst nicht gab, fällt man nicht unter den Schutz dieser Klausel und muss die GPL auf anderem Weg erfüllen.
    • Auf die Frage, ob ein „schriftliches Angebot“ ein Vertragsbruch sei, meinen manche, ein bloßes Angebot sei etwas anderes als ein Vertrag.
    • In den USA mag diese Auslegung möglich sein, aber in Deutschland können auch Endnutzer den Quellcode direkt verlangen und klagen.
    • Die GPL selbst ist ein Vertrag; unterscheiden muss man hier also zwischen dem Vertrag zwischen Lizenzgeber und Lizenznehmer und der Beziehung zwischen Lizenznehmer und Nutzer.
  • Ich würde dringend empfehlen, den obersten Kommentar eines Firmeninsiders zu lesen.
    Hardware-Entwicklung wird oft als Cost Center betrachtet und ausgelagert, sodass am Ende häufig niemand mehr da ist, der GPL-Anfragen tatsächlich bearbeitet.
    Frontline-Support-Teams haben nicht die Fähigkeit, solche Anfragen zu bearbeiten, und intern werden Mails weitergereicht und dann oft vergessen.
    Wenn es bei der Rechtsabteilung landet, wird durchgerechnet: „Gibt es hier überhaupt ein echtes rechtliches Risiko?“ — und meistens wird es ignoriert.
    Als ich früher bei einem Unternehmen mit vielen GPL-Themen gearbeitet habe, habe ich dafür gesorgt, dass für jedes Release ein GPL-Tarball archiviert wurde, und habe auch den Support geschult.
    70 % der Anfragen waren wütende Beschwerden, die auf dem Missverständnis beruhten: „Warum gebt ihr nicht den kompletten Quellcode heraus?“
    Durch diese Erfahrung habe ich verstanden, warum Support-Teams GPL-Anfragen nur ungern anfassen.
    • Wenn allerdings Nicht-GPL-Code direkt mit GPL-Code gelinkt war, dann könnten diese Beschwerden der Nutzer durchaus berechtigt gewesen sein.
  • In solchen Fällen ist der richtige Weg, über die Rechtsabteilung bzw. über Anwälte Kontakt aufzunehmen.
    Ingenieure oder Support-Mitarbeiter werden kaum eine rechtliche Entscheidung treffen, Unternehmensvermögen herauszugeben.
    Es wäre sehr hilfreich, wenn die FSF eine Vorlage für ein Aufforderungsschreiben veröffentlichen würde, inklusive Rechtsgrundlage und Vorgehen für Schadensersatzforderungen.
    • Es gibt auch das Gegenargument: „Das ist kein Unternehmensvermögen.“
  • Wenn der einzige GPL-betroffene Teil nur der Linux-Kernel ist, gibt es wahrscheinlich kaum einen Anspruch auf besonderen Quellcode.
    Die bloße Nutzung des Kernels erzeugt keine GPL-Pflichten für Programme im Userspace.
    Wahrscheinlich handelt es sich einfach um eine Kombination aus einem nicht angepassten Kernel und Open-Source-Userspace-Programmen.
    • Dann sollte die Bereitstellung des Quellcodes sehr einfach umzusetzen sein.
    • Außerdem fallen Treibermodule, die einen GPL-Shim verwenden (z. B. NVIDIA-Treiber), nicht unter die GPL; deshalb verstehe ich nicht, warum der Autor hier von einem Verstoß ausgeht.
  • Solche Diskussionen über Lizenzverstöße sind wirklich belastend.
    Wenn es ein Verstoß ist, sollte man einfach klagen und ein Gericht entscheiden lassen.
    Bei einem Medizinprodukt wäre es den Versuch mit ein paar hundert Dollar vielleicht wert.
    • Aber der OP ist wahrscheinlich nicht der Urheberrechtsinhaber des Linux-Kernels.
    • Außerdem wird ein Gerichtsverfahren kaum mit ein paar hundert Dollar erledigt sein.
  • Wenn sie den Kernel direkt selbst gebaut haben, könnte es schon ausreichen, einfach auf das offizielle Linux-Kernel-Repository zu verweisen.
    • Wenn das Unternehmen aber selbst für kommerzielle Zwecke gebaut hat, erfüllt es beide Bedingungen von GPLv2 3(c) nicht und kann sich daher nicht auf diese Klausel berufen.
  • Geht es vielleicht um Omnipod?
    Es gab viele Rückrufe, und ihrer Hardware- und Softwarequalität ist nur schwer zu trauen.
    Tut mir leid für alle, die dort gearbeitet haben, aber ich hoffe, sie sind inzwischen an einem besseren Ort.
  • Als jemand, der nicht insulinabhängig ist, frage ich mich, warum eine Insulinpumpe überhaupt per Handy gesteuert werden muss.
    Ein Bluetooth-Controller würde doch reichen, und ausgerechnet ein billiges chinesisches Smartphone zu verwenden, wirkt wie ein erhöhtes Datenleck-Risiko.
    • Aus Sicherheitsgründen. Das PDM ist vollständig isoliert und erlaubt weder App-Installationen noch WLAN-Verbindungen.
      Bei falscher Steuerung könnte es zu einer tödlichen Überdosierung von Insulin kommen.
      Interessanterweise lässt sich das Omnipod 5 desselben Unternehmens in den USA mit einem normalen Smartphone steuern.
    • Früher musste man zwingend einen eigenen Controller mitliefern, wenn eine Pumpe von einem externen Gerät gesteuert werden sollte.
      Deshalb hat Insulet ein separates Gerät herausgebracht.
      Auch CGMs wie das Dexcom G7 werden aus demselben Grund zusammen mit einem „Controller“ verkauft.
      In letzter Zeit hat die FDA diese Anforderungen gelockert, sodass nun auch Produkte zugelassen sind, die vom Smartphone des Nutzers ausgehen.
  • Tatsächlich wurde dieses Gerät bereits reverse-engineered (RE).
    Das sieht man an Projekten wie Loop, Trio und OpenAPS.
    Insulet war bei solchen Hacks ziemlich tolerant.
    Was jetzt gebraucht wird, ist Unterstützung beim RE des Omnipod 5.
    • Ich bin auch mit einigen Leuten in Kontakt, die an der RE-Arbeit zum Omnipod 5 beteiligt sind.
      Das aktuelle Problem ist, dass PDM/App beim Login einen privaten Schlüssel von der API erhält und ihn im Keychain speichert, während SSL-Pinning Man-in-the-Middle-Angriffe verhindert.
      Den privaten Schlüssel konnten wir bisher nicht extrahieren, deshalb geht es nur langsam voran.
    • Ich versuche mich gerade an der RE des Auslesens von Blutzuckerdaten aus einer Minimed-Pumpe (780G), aber vollständig gelöst ist das noch nicht.
      Hoffentlich kann ich irgendwann etwas beitragen.
  • Ich habe mich gefragt, ob es ein Verfahren gibt, so etwas bei der FSF zu melden bzw. eine Petition einzureichen.
    Ich würde gern wissen, nach welchen Kriterien dort Fälle ausgewählt werden.
    • Zuständig ist in der Praxis nicht die FSF, sondern die SFC (Software Freedom Conservancy).
      Die vorherrschende Theorie lautet, dass nur der Urheberrechtsinhaber die GPL durchsetzen kann.
      Die SFC versucht mit der Klage gegen Vizio zu erreichen, dass auch Endnutzer als begünstigte Dritte die GPL durchsetzen können.
      Die FSF kann nur eingreifen, wenn ihr Urheberrechte übertragen wurden, wie etwa beim GNU-Projekt.
      Verstöße im GNU-Umfeld können an license-violation@gnu.org gemeldet werden.
      Die SFC ist außerdem rechtliche Vertretung mehrerer Projekte wie OpenWrt, Git und QEMU.
      Für Meldungen sollte man die Hinweisseite der SFC lesen.
      Allerdings hat die SFC nur begrenzte Ressourcen und priorisiert deshalb Fälle mit großer gesellschaftlicher Wirkung wie Medizinprodukte.
      Insbesondere Personen wie Karen Sandler (Nutzerin eines Herzdefibrillators) und Bradley Kühn (Nutzer eines Blutzuckermessgeräts) sorgen dort für besonderes Interesse an Medizinprodukte-Themen.