In vielen klassischen Unternehmen ist Open-Source-Software vollkommen unbekannt oder wird verlacht. Damit werden nicht nur wertvolle Potentiale verschwendet, es werden auch Schein-Sicherheiten erzeugt, wenn Open-Source-Software pauschal mit schlechter Software und Closed-Source-Software pauschal mit guter Software gleichgesetzt wird. Doch der Begriff Open-Source lässt sich nicht nur auf Software anwenden, auch wenn es gerade in diesem Bereich eine sehr ausgeprägte Tradition gibt.

kostenlos = wertlos

Open-Source-Software wird häufig als geringwertig betrachtet, denn wäre die Software gut, müsste man dafür bezahlen, so die Erwartung. Damit schließt sich die Verwendung im Geschäftsbereich automatisch aus.

Der negative Ruf von Open-Source-Software ist teilweise durch Verwechslung mit „Freeware“ begründet; siehe hierzu: „Free or Freeware?“. Teilweise auch durch die Historie der Software; die 3D-Grafiksoftware „Blender“ entstand beispielsweise aus der Insolvenz der niederländischen Firma NaN im Jahr 2002. Manche Open-Source-Software wird begonnen, aber nicht fertig entwickelt. All diese Punkte können aber auch auf eine Closed-Source-Software zutreffen.

Wie verbreitet Open-Source-Software ist, zeigte sich sehr drastisch an der Sicherheitslücke Log4Shell des Programms Log4j, die im Dezember 2021 entdeckt und geschlossen wurde; siehe hierzu: Kritische Zero Day Lücke in log4j gefährdet zahlreiche Server und Apps. Weltweit waren Systeme betroffen, darunter auch von Firmen wie Amazon, Apple und Twitter, die kaum als Anfänger in der Software- und IT-Industrie bezeichnet werden können.

Dass Open-Source-Software langfristig Unternehmen am Leben halten kann, zeigen beispielsweise die gemeinnützige „Mozilla Foundation“ (seit 2003, u. a. als Produkt: Firefox) und die ebenfalls gemeinnützige „Wikimedia Foundation“ (seit 2003, u. a. als Produkt: Wikipedia).

Die möglicherweise bekannteste Open-Source-Software ist das Betriebssystem „GNU/Linux“ (bekannter einfach als „Linux“). Für Hochleistungsrechner und Server-Systeme ist GNU/Linux nicht mehr wegzudenken. Aber auch in unzähligen anderen Produkten ist es zu finden. Gerade IT-Hochtechnologieunternehmen setzen auf die Open-Source-Software. Ein Großteil der weltweiten Serverlandschaft läuft unter GNU/Linux, insbesondere Großsysteme. Das weit verbreitete Smartphone-Betriebssystem Android ist eine Variante (Distribution) von GNU/Linux; ein oft genannter Fun-Fact gegenüber Personen, die die Verwendung von GNU/Linux für die Masse oder im Unternehmensbereich pauschal ausschließen. Das Konkurrenzsystem von Apple, welches gerne Anspruch auf besonders hohe Wertigkeit nimmt, basiert übrigens ebenfalls auf einem Open-Source Betriebssystem (BSD).

Dass Open-Source-Software und kommerzielle Unternehmen sich nicht konträr sind zeigen unter anderen zwei Beispiele aus Deutschland, SUSE Software Solutions Germany GmbH (seit 1992, u. a. als Produkt: SUSE Linux Enterprise Server, seit 2014 komplett Open-Source) mit einem GNU/Linux Betriebssystem als Produkt und Nextcloud GmbH (die bereits im Gründungsjahr 2016 Profitabilität ausweisen konnte), mit Nextcloud als Produkt. An diesen Beispielen zeigt sich auch, dass es ein weit verbreiter Irrtum ist, dass Open-Source-Software immer kostenlos ist, denn SUSE Linux Enterprise ist Lizenz- und kostenpflichtig und damit nicht zu verwechseln mit dem kostenlosen openSUSE, Nextcloud ist in einer Enterprise-Version mit zusätzlichen Funktionen für große Unternehmen verfügbar.

Gerade im Software-Bereich sind Open-Source-Produkte universeller und daher oft aufwendiger zu administrieren. Neben möglichen Limitierungen der Nutzungsgröße sind also auch Administrationskosten einzurechnen. Ein Vorteil kann dabei sein, dass Kosten in die interne Wertschöpfung fließen, andererseits aber möglicherweise nicht die erforderliche Kompetenz und Redundanz im Hause verfügbar ist. Der Anschaffungspreis darf daher nicht das ausschlaggebende Argument sein, sondern die Kosten über den gesamten Nutzungszeitraum.

Zum Kernprinzip vieler Unternehmensstrategien im Open-Source-Bereich gehört es, dass nicht das Produkt selbst den Unternehmenswert begründet, sondern das Know-How über das Produkt und damit verbundener Kompetenzen. Damit passt eine Open-Source-Produktstrategie (nicht nur bezogen auf Software) ideal zu Unternehmen in denen Produktlebenszyklen immer kürzer werden und Mitarbeiterkompetenz immer wichtiger wird. Häufig ist dies im Produktsegment Software-as-a-Service (SaaS) anzutreffen, wo „firmenfremde“ Open-Source-Software für Kunden gehostet wird.

offen = unsicher

Eine große Angst gegenüber Open-Source-Produkten, insbesondere bei Software, ist es, dass jeder den Quellcode einsehen kann und damit in der Lage wäre Angriffe durchzuführen. Führt man diesen Gedanken zu Ende, entpuppt sich dieser aber schnell als Absurdum.

Dass jeder an Open-Source-Projekten mitwirken kann heißt nicht, dass jeder die Daten beliebig ändern kann. Als Außenstehender einen Schadcode in einer funktionierenden Open-Source-Community einzubringen grenzt an Unmöglichkeit. Zu viele unabhängige Augen prüfen einen Code bevor er übernommen wird. 2018 gelang es einem Angreifer an die Zugangsdaten eines Administrators der Linux-Distribution Gentoo zu gelangen und konnte damit Schadcode einschleusen. Der Angriff wurde (mit etwas Glück) nach wenigen Stunden bemerkt, siehe hierzu: Hacker schleusen Schadcode in Linux-Distro Gentoo ein. Dies kann einer Closed-Source-Software allerdings genauso passieren, wobei die Wahrscheinlichkeit den Vorfall schnell zu entdecken, bei vielen Unternehmen deutlich geringer sein dürfte.

Auch die Annahme, dass der Zugriff auf die Quellen einen Angreifer besser befähigen könnten ein System anzugreifen ist überwiegend unbegründet. Es gibt keine Programmzeile „XYZ eingeben um System zu hacken“. Gerade im Softwarebereich wurden etliche Strategien entworfen um Systeme zu „härten“. Beispielsweise greifen Entwickler sich gegenseitig an oder suchen gezielt nach Schwachstellen. Dadurch ist es sehr unwahrscheinlich, dass ein Angreifer eine Schwachstelle entdeckt, die ein Entwickler nicht entdeckt. Dass Software auch angegriffen werden kann, obwohl kein Quellcode zur Verfügung steht, zeigt sich eindrücklich an den zahlreichen Updates von Microsoft Windows.

Gerade die Nutzung und aktiv geförderte Entwicklung von GNU/Linux durch die National Security Agency (NSA), obwohl diese als ein Geheimdienst der USA über den Quellcode von Microsoft Windows verfügt, zeigt, dass Open Source nicht in Widerspruch zu Systemsicherheit steht.

Darüber hinaus ist es falsch anzunehmen, dass ein Produkt ohne Quelleninformationen nicht analysierbar wäre. Bei Hardware-Produkten gibt es das Reverse-Engineering, in dem ein fertiges Produkt gekauft wird und auseinander genommen wird, bis alle Informationen zu dem Produkt vorliegen. Dies kann im Extremfall sogar dazu führen, dass im Reverse-Engineering-Prozess mehr Informationen über das Produkt entstehen als der eigentliche Hersteller dazu hat. Bei Software-Produkten ist die Situation sogar noch extremer. Je nach Größe und Komplexität eines Programms lässt sich unter Zuhilfenahme spezieller Software auf mehr oder weniger einfache Weise ein Quellcode erzeugen. Dies wird aber weniger dafür benutzt Schwachstellen zu finden, sondern um eine Software mit gleicher Funktion zu erstellen.

Wer ein Produkt veröffentlicht, muss damit rechnen, dass sich die Konkurrenz bedient. Ein Trugschluss ist es, dass dies beim Patent nicht so ist, denn auch Patentschriften sind öffentlich einsehbar und Patente gelten häufig nur in einzelnen Ländern. Die Vermarktung eines Produkts als Betriebsgeheimnis ist oftmals nicht möglich. Open Source bietet hier einen alternativen Weg, indem die Quelle (Software-Code, Konstruktion, …) bewusst offen gelegt wird und ein Mehrwert aus dieser Offenlegung geschaffen wird.

Open Source als Konzept

Die Zusammenarbeit von „Red Hat, Inc.“, einem US-amerikanischen Unternehmen u. a. mit GNU/Linux als Produkt, mit Microsoft und seinem Produkt Microsoft Azure zeigt, dass Unternehmen aus den Bereichen Open Source und Closed Source nicht nur nebeneinander sondern miteinander existieren können.

Beim Instand-Messaging-Dienst „Telegram“ ist die Client-Software Open Source, während die Server-Software Closed Source ist. Dabei wird der für das Unternehmen unkritische Teil, der Client, zur freien Entwicklung bereitgestellt, was beispielsweise die Entwicklung kompatibler Apps erleichtert. Der Verlust von Nutzern des eigenen Clients, ist dabei kein Verlust im Unternehmen, denn ein anderer Client muss weiterhin das Kernsystem des Unternehmens nutzen, den Server.

Außerhalb der Software-Branche gibt es tatsächlich nur sehr wenige Beispiele von Open Source, dort häufig Open Design oder ähnlich genannt. Ein Beispiel ist der 3D-Drucker RepRap, ursprünglich von Adrian Bowyer, der sich teilweise selbst replizieren kann und zahlreiche, bis heute aktive Ableger gebildet hat. Vermarktet wird der 3D-Drucker allerdings nicht notwendigerweise vom Erfinder der jeweiligen Version. Überlegungen von Unternehmen die für die Vermarktung eines solchen Produktes sprechen, können beispielsweise mangelnde eigene Ressourcen zur Entwicklung des Produkts, sein.

Die Frage nach der Nutzung von Open-Source fällt auch ganz klar in den Bereich der Unternehmensrisikoabschätzung. Wessen Geschäftsbetrieb von einem Closed-Source-Produkt abhängig ist, ist unter Umständen auch von der Geschäftsentwicklung des anbietenden Unternehmens abhängig. Im schlimmsten Fall muss der eigene Geschäftsbetrieb eingestellt werden, weil ein Anbieter sein Produkt eingestellt hat. Open-Source ist dabei aber nicht per se die Antwort auf dieses Problem. Es ist immer ein genauer Blick wichtig wie offen ein Produkt wirklich ist und wie stark die Bindung daran ist, unabhängig von der Nutzerlizenz. Bei solch kritischen Unternehmenskomponenten muss eine Exit-Strategie immer vorhanden sein.

Fazit

Qualitativ ist ein gutes Open-Source-Produkt mit einem guten Closed-Source-Produkt vergleichbar, denn die Art der Lizenz sagt erst einmal nichts über die Qualität des Produkts aus.Wer ein Open-Source-Produkt anwenden möchte, muss das Produkt genauso wie ein Closed-Source-Produkt prüfen.

Ein klarer Vorteil von Open-Source-Produkten für den Kunden ist die Einflussnahme auf das Produkt. Neben der Möglichkeit einer direkten Beteiligung durch eigene oder zugekaufte Ressourcen besteht immer die Möglichkeit einer Produktfortführung, auch wenn das ursprüngliche Produkt nicht mehr fortgeführt wird. Häufig sind Open-Source-Produkte, gerade für kleinere Unternehmen, günstiger.

Open-Source als Unternehmenskonzept ist nicht nur denkbar sondern gängige Praxis. Allerdings trennt sich hier die Spreu vom Weizen, denn die Veröffentlichung von Quellen exponiert auch die fachliche Kompetenz. Der Nutzen für das anbietende Unternehmen kann sich vom Produkt auf den Service verlagern.

Open-Source ist aber auch nicht automatisch die bessere Software. Insbesondere ist es hier wichtig darauf zu achten ob eine komplette Software oder nur teile davon Open-Source sind, von einer falschen Verwendung des Begriffs ganz abgesehen. Wichtige Aspekte sind außerdem die Aktivität der Entwicklung, der Umfang des Produkts und die Möglichkeiten aus einem Produkt auszusteigen. Aufgrund seiner Natur sind solche Punkte bei Open-Source aber in der Regel deutlich transparenter und besser zu kontrollieren.