Open Source Software (OSS) ist kein „Krebsgeschwür“, wie der ehemalige Chef von Microsoft, Steve Balmer, einst meinte. Davon sind sieben von zehn Unternehmen überzeugt. In der Automobilindustrie nutzen sogar 72 Prozent, in der Finanzbranche 73 Prozent der Gesellschaften OSS – vor allem, wenn es sich dabei um Großunternehmen mit mehr als 2.000 Beschäftigten handelt. Von ihnen setzen ganze 87 Prozent auf Open-Source-Lösungen. Das ergab der „Open Source Monitor 2021“ des Digitalverbandes Bitkom.

Selbst Softwarekonzerne wie SAP nutzen inzwischen frei zugänglichen Code. Eines der wichtigsten Produkte des Unternehmens, das Enterprise-Ressource-Planning-System SAP S/4 HANA, baut heute zu großen Teilen auf dem OSS-Betriebssystem Linux auf. Auch Microsoft hat seine Einstellung zu Open Source geändert. Vor vier Jahren erwarb der Konzern für 7,5 Milliarden US-Dollar die Plattform Github. Auf ihr koordinieren IT-Profis ihre gemeinsame Entwicklung von OSS-Lösungen. Auch mehr als 100 gemeinnützige Stiftungen wie die Linux-, die Cloud-Native-Computing- und die Apache-Foundation spielen dabei eine zentrale Rolle.

Zu fast jeder proprietären Software gibt es eine Open-Source-Alternative

Inzwischen hat die weltweite OSS-Community zu fast jeder kommerziellen Software eine lizenzfreie Alternative entwickelt. So macht Linux den Betriebssystemen Microsoft Windows und Mac OS Konkurrenz. Statt auf Produkte von Oracle und Microsoft setzen Entwickler:innen auf Datenbanken wie MySQL und Webserver wie Apache. Das Weiße Haus in Washington betreibt seine Website mit dem OSS-Content-Management-System Drupal. Mozilla Firefox ist mit einem Weltmarktanteil von 16 Prozent einer der drei am weitesten verbreiteten Browser. In Deutschland belegt er mit einem Marktanteil von 36 Prozent sogar den ersten Platz.

Sogar die neue Bundesregierung setzt inzwischen auf OSS. In ihrem Koalitionsvertrag schreiben die Ampel-Parteien, dass sie für „öffentliche IT-Projekte offene Standards“ vorschreiben und „Entwicklungsaufträge in der Regel als Open Source“ beauftragen wird. SPD, Grüne und FDP wollen damit wohl vor allem beeinflussen, wie Software entwickelt wird. Unternehmen schätzen OSS dagegen, weil für ihre Nutzung anders als bei proprietären Lösungen von Software-Herstellern keine Lizenzgebühren anfallen. Ein Viertel der Teilnehmenden der Bitkom-Umfrage gab Kostengründe als größtes Plus von OSS an.

Bei der Implementierung und im Support sind OSS-Nutzer nicht an einen Anbieter gebunden

Dennoch fallen auch bei lizenzfreier Software Kosten für deren Implementierung und Support sowie gegebenenfalls für die Beratung bei der Auswahl der richtigen Lösung an. Wie die Unternehmensberatung PricewaterhouseCoopers (PwC) errechnet hat, kostet diese Unterstützung allerdings oft nicht mal halb so viel wie Anschaffung und Einführung proprietärer Software. Anders als bei dieser sind Unternehmen zudem nicht an den Support eines Herstellers gebunden. So laufen sie auch nicht Gefahr, dass sie erneut investieren müssen, wenn der Anbieter seine Patches für ein bestimmtes Produkt einstellt.

Unternehmen, die auf OSS setzen, können in der Open-Source-Community zudem aus einer Vielzahl von Agenturen und Freelancer:innen auswählen. Diese beteiligen sich oft nicht nur an der Entwicklung einzelner OS-Software-Pakete, sondern bieten ihre dabei gewonnene Expertise auch in der Beratung sowie bei der Wartung und Individualisierung der entsprechenden Lösungen an.

OSS macht Unternehmen innovativer

Weil OSS günstiger ist und sich flexibler implementieren und individualisieren lässt, werden Unternehmen durch sie auch um bis zu 30 Prozent innovativer, stellt die Unternehmensberatung McKinsey fest. Das kommt nicht ganz von ungefähr: Immerhin können Entwickler:innen Open-Source-Lösungen mit teils erheblichem Funktionsumfang kostenlos aus dem Netz laden und ohne Zeitdruck ausprobieren, welche Software ihre Ansprüche am besten erfüllt. Haben sie die richtige Lösung gefunden, können sie diese frei an ihre Bedürfnisse anpassen.

Dabei nutzen sie zugleich Software, die besser dokumentiert und von höherer Qualität ist, als die proprietären Produkte vieler Hersteller. Davon ist jede:r dritte der fast 1300 IT-Profis überzeugt, die der Anbieter von OSS-Lösungen Red Hat für den Bericht „The State of Enterprise Open Source 2022“ befragte. Mehr als vierzig Prozent erklären dies damit, dass in der OSS-Community viele Expert:innen den bei einem Projekt geschriebenen Code sichten und auf Schwachstellen überprüfen. Diese Profis sind zugleich sehr auf Qualität fokussiert. Denn Open-Source-Entwickler:innen sind in erster Linie dadurch motiviert, in ihrer Community guten Code zu veröffentlichen. Deshalb fixen sie auch Bugs schneller als Software-Hersteller. Davon ist mehr als die Hälfte der von Red Hat befragten IT-Profis überzeugt.

Sicherheitslücken im Code fallen in der Open-Source-Community schneller auf

Da mehr Entwickler:innen OSS-Code ihrem kritischen Blick unterziehen, fallen auch Sicherheitslücken schneller auf und werden geschlossen. Open-Source-Software ist deshalb sicherer als proprietäre Anwendungen, sagen 32 Prozent der Teilnehmer:innen der Red-Hat-Umfrage.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt das. Es überprüft beispielsweise Mailsoftware und Betriebssysteme regelmäßig auf Sicherheitslücken. Unter den von ihm untersuchten Mailprogrammen glänzt die OS-Anwendung Mozilla Thunderbird regelmäßig mit den wenigsten Defiziten. Auch Linux belegt im BSI-Ranking einen Spitzenplatz.

Dennoch sollten Unternehmen, die OSS einsetzen und weiterentwickeln, diese mit Tools für die Software-Composition-Analyse auf Sicherheitslücken und Compliance-Verstöße überprüfen. Das tut allerdings nur ein Drittel der vom Bitkom für seinen Open Source Monitor befragten Organisationen. Dabei lauern gerade im juristisch korrekten Umgang mit OSS große Fallstricke für die Anwender:innen der Software.

Wer Open Source Software nutzen will, muss sich an Lizenzvereinbarungen halten

Denn gerade weil Entwickler:innen den Code meist ohne Bezahlung schreiben, haben sie ein großes Interesse daran, dass andere diesen kostenfrei nutzen können. Dieses Recht regeln Lizenzen, die festlegen, welche Verpflichtungen Nutzer:innen der Software im Gegenzug für deren kostenlose Überlassung haben. Die meisten Regelwerke fordern etwa, dass bei Nutzung und Weiterverbreitung von Open Source Software in eigenen Produkten, der Urheber oder die Urheberin des Codes genannt und ein Gewährleistungsauschluss erklärt werden muss. Fast alle Lizenzen schreiben Anwender:innen auch vor, die freie Weiterverbreitung und Nutzung von Software zu gestatten, die sie mit Hilfe einer originären OSS hergestellt haben. Einige Lizenztypen verpflichten Nutzer:innen von Open Source Software außerdem, zu dokumentieren, welche Änderungen sie am Original vorgenommen haben. Diese Vorschriften gelten auch für die meisten aus dem Internet kopierten Code-Schnipsel.

Unternehmen brauchen rechtssichere Prozesse für den Einsatz von OSS

Wer OSS einsetzt muss also viele juristisch relevante Entscheidungen treffen. „Denn wenn Unternehmen bei der Nutzung von Open Source Software die Lizenzbedingungen verletzen, kann dies zu empfindlichen Schadenersatzforderungen, Unterlassungsklagen oder Imageschäden führen“, warnt Marcel Scholze, verantwortlicher Director für Open Source Software Management und Compliance bei der Unternehmensberatung PwC. Wer OSS nutzt und weiterentwickelt, muss sich auch überlegen, inwieweit durch die Weitergabe und Offenlegung des geschriebenen Codes in den Produkten, kritisches Know How an die Wettbewerber:innen preisgegeben wird.

Die an einem Projekt beteiligten festangestellten Entwickler:innen eines Unternehmens können diese Entscheidungen nicht treffen. Freelancer:innen schon gar nicht. Deshalb müssen Unternehmen, die OSS nutzen, Verantwortliche bestellen, die solche juristischen Entscheidungen treffen können und dürfen. Außerdem müssen sie Prozesse etablieren, die bei jedem Projekt einen rechtssicheren Umgang mit OSS gewährleisten – also etwa den Einsatz von Tools für die Software Composition Analyse oder regelmäßige Compliance-Checks verpflichtend vorschreiben. Sonst entartet die Nutzung der günstigen Software möglicherweise doch zu einem juristischen Krebsgeschwür.