In unserem Artikel 7 Hebel für mehr Souveränität haben wir uns mit den Möglichkeiten einer Steigerung der digitalen Souveränität beschäftigt. Basis dafür sind die sieben Hebel aus unserem Whitepaper "Digitale Souveränität im Cloud-Zeitalter". Jetzt werden wir den dritten Hebel, die Nutzung von Open-Source, detailliert betrachten. Ziel ist es, den Einfluss von Open-Source auf die von uns definierten Souveränitätsziele (Leistungsfähigkeit und Kontrolle) darzustellen und Vor- und Nachteile zu bewerten.
Was bedeutet Open-Source?
Open Source ist ein Software-Lizenzmodell, bei dem Entwickler den Quellcode ihrer Software, unter definierten Bedingungen, veröffentlichen und zur Weiterentwicklung, Anpassung und Nutzung für Dritte freigeben. Der Code kann also gemäß des eigenen Bedarfes angepasst und eingesetzt werden. Die Open-Source-Software wird meist von einer Community kontinuierlich gepflegt und weiterentwickelt.
Warum Open-Source?
Der Einsatz von Open-Source-Software bedeutet für Unternehmen in der Regel die Möglichkeit des Zugriffs auf ein großes Portfolio von leistungsfähigen Softwares zu geringeren Anschaffungskosten. Weder muss proprietäre Software eingekauft werden, noch ist das Unternehmen alleine für die Weiterentwicklung und Pflege verantwortlich. Dies übernehmen in vielen Fällen große Communities, wie etwa bei Kubernetes und OpenStack. Wenn sich Organisationen an die Spezifika von Open-Source-Software anpassen, werden sie in der Regel innovativer und digital leistungsfähiger. Ebenso können sie ihre Kontrolle über ihre digitale Wertschöpfung steigern und unabhängiger von einzelnen Anbietern werden.
In der folgenden Tabelle werden die Vor- und Nachteile von Open-Source-Software beispielhaft anhand der beiden Alternativen Microsoft Teams (Closed-Sorce) und BigBlueButton (Open-Source) aufgezeigt:
Beispielhafter Vergleich | Microsoft Teams Closed-Source | BigBlueButton Open-Source |
Lizenzkosten | Auf monatlicher Basis | Keine |
Support | Grundsätzlich inkludiert | Muss intern aufgebaut oder extern eingekauft werden |
Betrieb und Updates | Inkludiert | Muss selbst betrieben oder extern eingekauft werden |
Sicherheit | Abhängig von Microsoft | Abhängig von Community und eigenem Wissen |
Flexibilität | Nicht anpassbar | Eigenständig anpassbar |
Auditierbarkeit | Nicht eigenständig möglich | Eigenständig möglich |
Eigenleistung | Gering | Hoch |
Open-Source als Thema
Open-Source-Software erhält hohe Aufmerksamkeit in den Medien und bei Anbietern. Es spielt eine große Rolle in der Souveränitätsdebatte:
- Die Digitalstrategie des Bundes zielt auf „konsequente Förderung von Open Source-Ansätzen“ sowie einen „prioritären Einsatz“. Basis dafür ist auch der Sovereign Tech Fund (SFT).
- Mit der Gründung des Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDis) wird eine übergreifende organisatorische Einheit geschaffen, um die Verfügbarkeit leistungsfähiger Open-Source-Lösungen sicherzustellen.
- Gemeinsam mit Ländern und Kommunen soll durch die Deutsche Verwaltungscloud-Strategie die Abhängigkeiten von Technologieanbietern, unter anderem durch Open Source minimiert werden.
- Bitkom hat einen Leitfaden Open-Source-Software veröffentlicht, um ein Bewusstsein für die rechtliche Situation zu schaffen und Grundanforderungen bei der Verwendung zu skizzieren.
- Alle großen Cloud-Provider sprechen über Open-Source, positionieren sich als Plattform dafür oder arbeiten an Open-Source-Projekten mit. (Microsoft, Google, AWS).
- Die deutsche Agentur für Sprunginnovationen (Sprin-D) mit Hilfe des Sovereign Tech Fund gezielt den Aufbau eines vitalen Open-Source-Ökosystems.
Wo wird Open-Source-Software eingesetzt?
Open Source hat sich zum Erfolgsmodell entwickelt. Standardprodukte wie Webserver und Mobiltelefone basieren auf Open-Source-Software, viele Softwares in der digitalen Infrastruktur werden von Open-Source-Communities erstellt und gewartet. Große digitale Plattformen nutzen Open-Source-Software: 2020 teilte Microsoft mit, dass schon über 50 % aller Microsoft Azure VMs mit Linux liefen und der Konkurrent AWS hat über 1200 Open-Source-Projekte auf GitHub veröffentlicht.
Open-Source-Software dient zudem als Basis für viele kommerzielle Produkte. Im Synopsys „Open Source Security and Risk Analysis Report“ von diesem Jahr wurde die Codebasis von ca. 1700 kommerziellen Softwares untersucht: 96 % dieser Produkte enthalten Open-Source-Software und 76 % des gesamten Codes ist Open-Source-Code.
Gartner zufolge nutzen 2019 über 95 % der weltweiten IT-Unternehmen Open-Source-Software für ihre geschäftskritischen IT-Aufgaben. In Deutschland setzen laut der bitkom Open-Source-Monitor-Studie 7 von 10 deutschen Unternehmen mit 20 oder mehr Beschäftigten bewusst Open-Source-Lösungen ein. Ähnliches gilt für die öffentliche Verwaltung Deutschlands: Dort nutzen 64 % der befragten Organisationen ebenfalls Open-Source-Software.
Der Einfluss von Open-Source auf die Leistungsziele
Open-Source hat, nach unserer Einschätzung, meistens einen neutralen und in wenigen Punkten negativen Einfluss auf die Ziele der Leistungsfähigkeit. Für viele Anwendungsbereiche gibt es eine große Auswahl von Open-Source-Softwares, auf GitHub allein waren letztes Jahr 200 Millionen aktive Repositories verfügbar. Die weltweite Open-Source-Community (allein 94 Millionen Entwickler auf GitHub) entwickelt schnell und kreativ Innovationen. Entsprechend kompetente Organisationen können gewünschte Funktionen selbst beisteuern (beispielsweise ist Microsoft einer der größten Linux-Kontributoren) oder eigene Varianten bestehender Softwares veröffentlichen (beispielsweise nutzt Google bestehende Software zur Entwicklung seines Android-Betriebssystems).
Die Steigerung von Leistungs- und Innovationsfähigkeit der eigenen Organisation gelingt nur mit entsprechender IT- und Fachkompetenz. Zur Lösung von Fehlern in Anwendungen oder im Betrieb gibt es standardmäßig keinen Support mit definierten SLAs.
Ein gutes Beispiel für die Stärken und Schwächen der Nutzung von Open-Source-Software in Unternehmen ist Log4j. Das sehr verbreitete Logging-Tool ist ebenfalls Open-Source und enthielt eine kritische Sicherheitslücke. Nachdem diese bekannt wurde, veröffentlichte die Community binnen weniger Stunden ein Update. Bis aber alle Nutzer von log4j ihre Software-Stände aktualisiert hatten, vergingen Wochen und Monate. Insbesondere kleine und wenig professionell organisierte Rechenzentren mussten viel Aufwand betreiben, um herauszufinden, ob und an welcher Stelle log4j überhaupt eingesetzt wird.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Open-Source auf jedes Leistungsziel abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Fachliche Probleme | Grundsätzlich können alle fachliche Probleme auch mit Open-Source-Softwares gelöst werden. Allerdings gibt es für einige fachlichen Probleme gibt es noch keine vergleichbaren Open-Source-Angebote. | 0 |
Automatisierung | Open-Source-Softwares können grundsätzlich gleichermaßen in Automatisierungskonzepte eingebunden werden, wie auch Closed-Source-Softwares. | 0 |
Schnelle Innovationen | Grundsätzlich können neue Features schnell mit Open-Source-Ansätzen entwickelt werden. Dürfen allerdings in allen Ebenen der IT-Wertschöpfung nur Open-Source-Softwares eingesetzt werden, verlangsamt dies den Innovationsprozess. | 0 |
Applikations-Landschaft | Grundsätzlich kann eine Anwendungslandschaft ausschliesslich aus Open-Source-Lösungen bestehen. In der Praxis kann das je Organisation zu erheblichen Einschränkungen führen. Insbesondere auf Ebene der Komponenten (z.B. Netzwerk) wird dies an Grenzen stoßen. | -4 |
Einfache Zugänglichkeit | Grundsätzlich können Open-Source-Software gleichermaßen einfach zugänglich und nutzerfreundlich gestaltet sein. In der Praxis sind die führenden Closed-Source-Anbieter meist deutlich überlegen. | -3 |
Skalierbarkeit | Open-Source-Softwares können grundsätzlich gleichermaßen skalieren, wie Closed-Source-Softwares. | 0 |
Der Einfluss von Open-Source auf die Kontrollziele
Mit Blick auf die Kontrollziele ergibt sich ein gemischtes bis positives Bild durch Open-Source. Bezogen auf zwei Kernthemen der digitalen Souveränität kann Open-Source-Software als Schlüssel dienen: Abhängigkeiten zu einzelnen Anbietern können vermieden werden und geopolitische Abhängigkeiten können reduziert werden.
Um die Kontrollziele zu erreichen und Abhängigkeiten aufzulösen, muss entsprechendes Know-how verfügbar sein. Die zuverlässige Nutzung der Software im Krisenfall hängt ansonsten von der Zuarbeit der jeweiligen Community ab. Sollte diese das Interesse am Thema verlieren, kann dies die eigene Geschäftsfähigkeit gefährden. Durch den Einsatz von Open-Source-Softwares steigt zudem die Gefahr, sich fremde Fehler ins eigene System zu holen (siehe oben genanntes Beispiel log4j). Einen Schutz vor Kriminellen oder Geheimdiensten verspricht auch Open-Source-Software nicht. Diese können Open-Source-Code automatisiert nach Sicherheitslücken durchsuchen und ausnutzen (beispielsweise GitHub) sowie grundsätzlich eigene Lücken einbauen.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Open-Source auf jedes Kontrollziel abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Physische Gefahren | Open-Source-Softwares selbst haben keinen Einfluss auf physische Gefahren. | 0 |
Einzelne Abhängigkeiten | Open-Source-Softwares können Abhängigkeiten gegenüber einzelnen Unternehmen deutlich reduzieren. Mitunter entstehen allerdings neue Abhängigkeiten, z. B. gegenüber Distributoren oder Einzelpersonen. | 4 |
Kriminelle | Open-Source-Softwares können gleichermaßen sicher oder unsicher sein wie Closed-Source-Softwares. Andererseits kann bei Open-Source-Software automatisch im Source Code nach Fehlern gesucht werden. | -4 |
Fremde Legislation | Open-Source-Software können in der Regel selbst betrieben werden und schützen somit vor dem Zugriff durch ungewünschte Legislation. | 8 |
Fremde Geheimdienste | Open-Source-Softwares können gleichermaßen sicher oder unsicher sein wie Closed-Source-Softwares. Andererseits können Geheimdienste gezielt schadhaften Code integrieren. | -5 |
Geopolitische Krisen | Open-Source-Softwares können in der Regel in einer geopolitischen Krise selbst betrieben und weiterentwickelt werden. In der Praxis funktioniert dies nur, wenn entsprechendes Know-how auch vorgehalten wurde. In der Regel bestehen auf unteren Ebenen weiterhin Abhängigkeiten. | 5 |
Der Einfluss von Open-Source auf benötigte Ressourcen
Unsere Bewertung fällt vor allem deswegen eher negativ aus, weil die meisten Vorteile in Kontrolle und Leistungsfähigkeit erst durch erhöhten internen Ressourceneinsatz entstehen. Open-Source-Softwares bedeuten zwar in der Regel geringere Anschaffungskosten und mitunter auch der Gesamtbetriebskosten (siehe EU-Studie). Bei gleichzeitiger Erreichung der Kontrollziele entstehen allerdings Mehraufwände für geschulte Mitarbeitende oder externe Supportverträge.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Open-Source auf die Ressourcenfaktoren abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Investitionen | Einarbeitung in und Betrieb von Open-Source-Software ist in der Regel etwas aufwändiger, als die Nutzung proprietärer Software und Services. | -3 |
Laufende Kosten | Der Betrieb und das Vorhalten qualifizierter Ressourcen bedeutet in der Regel feste, laufende Kosten. | -3 |
Variable Kosten | Open-Source-Software erzeugt in der Regel geringere Kosten abhängig vom Nutzungsgrad. | 7 |
Qualifiziertes Personal | Für Betrieb und Weiterentwicklung von Open-Source-Software ist qualifiziertes Personal notwendig. | -3 |
Zusammenfassung
Bei unserer Bewertung bringt Open-Source als Hebel zur Steigerung der Souveränität in Bezug auf Leistungsfähigkeit und Kontrolle ein gemischtes Bild. Durch einen Einsatz kann ein Mehrwert für die Organisation und ein Verzicht auf zentrale Abhängigkeiten erreicht werden. Dafür sollten das richtige Setup und die entsprechenden Ressourcen vorhanden sein. Diese bedeuten für die Organisation mehr Investitionen, mehr Kompetenz und mehr Aufwand im Betrieb als mit proprietärer Software.
Zum sicheren Einsatz von Open-Source empfehlen wir die Bearbeitung der folgenden Punkte:
- Open-Source-Strategie entwickeln: Der Einsatz von Open-Source-Software in einer Organisation sollte koordiniert, geplant und mit einer übergreifenden Strategie unterlegt werden. In einer Strategie kann sowohl der Einsatz als auch die Teilhabe an Open-Source-Projekten definiert werden. Die Strategie kann auch einer mangelnden Akzeptanz im Unternehmen vorbeugen.
- Richtlinien einführen: Nur durch einen koordinierten Einsatz von Open-Source-Software kann das volle Potenzial genutzt werden und Sicherheits- und Compliance-Risiken ausgeschlossen werden. Richtlinien verhindern einen Wildwuchs und schaffen Transparenz über den Einsatz.
- Lizenzen managen: Organisationen sollten Open-Source-Software-Lizenzen zentral verwalten, wie auch andere Software-Verträge. Eine Organisation muss wissen, welche Komponenten eingesetzt werden und sollte diese auch vor dem Einsatz auf die folgenden Punkte hin prüfen:
- Prüfung des Lizenzmodells: Für Open-Source-Software gibt es unterschiedliche Lizenzmodelle. Diese betreffen vor allem die Nutzerpflichten in Bezug auf Dokumentation und Offenlegung.Prüfung der Lizenzbedingungen: Viele Organisationen nutzen Open-Source-Software, ohne die Lizenzbedingungen genau zu prüfen oder Hinweispflichten zu beachten.
- Beachten der Compliance: Bewertet werden sollte, welche Konsequenzen die Nutzung und Weiterentwicklung für selbstentwickelte Software-Produkte hat.
Eine Verletzung der Lizenzbedingungen kann zu Schadenersatzforderungen und Unterlassungsklagen führen. Das Landgericht Bochum hat eine Urheberrechtsverletzung festgestellt, weil Open-Source-Software angeboten wurde, ohne auf die Lizenzbedingungen hinzuweisen und weil der Quellcode nicht zugänglich gemacht wurde. Empfehlen können wir dazu den bereits erwähnte bitkom Leitfaden zu Open-Source-Software, der sich mit den rechtlichen Grundlagen des Einsatzes auseinandersetzt.
Ausblick
Im nächsten Artikel betrachten wir das Thema Kontrolle der Wertschöpfung und bewerten, inwieweit es als ein Hebel zur Steigerung der Souveränität helfen kann.