Wie lassen sich die Risiken von Open-Source-Lizenzen vermeiden?
Allein in Deutschland haben Open-Source-Lizenzen ein Marktvolumen von 5,2 Milliarden Euro, wenn man die vom CNLL (Conseil National du Logiciel Libre) veröffentlichten Zahlen für das Jahr 2022 zugrunde legt. Bevor Sie sich für eine solche Lösung entscheiden, müssen Sie unbedingt alle Sicherheits-, Rechts- und praktischen Risiken berücksichtigen.
Definition von Open-Source-Lizenz zum besseren Verständnis des Konzept
Laut Definition ist Open-Source-Software ein Programm, dessen Code offen ist, im Gegensatz zu proprietärer Software, deren Code vollständig gesperrt ist. Vereinfacht gesagt ist eine Software mit einer Open-Source-Lizenz ein Programm, dessen Quellcode der Allgemeinheit zugänglich gemacht wird.
Es gibt einen begrifflichen Unterschied zwischen Open-Source-Software und freier Software. Geht man von den Regeln aus, die Richard Stallman, einer der Initiatoren der Freien-Software-Bewegung, aufgestellt hat, ist ein Programm frei, wenn es vier Hauptkriterien erfüllt :
- das Programm isst für jeden uneingeschränkt nutzbar,
- die Funktionsweise des Programms kann frei analysiert werden,
- Kopien des Programms können frei geteilt und weiterverbreitet werden,
- der Quellcode kann frei verbessert werden und möglichst viele Menschen können davon profitieren.
Die wichtigsten Open-Source-Lizenzen
Bei der Verwendung einer Open-Source-Lizenz in Unternehmen muss besonders darauf geachtet werden, welche Art von Lizenz das Programm hält. Nachstehend sind die drei wichtigsten Arten von Open-Source-Lizenzen, die derzeit auf dem Markt erhältlich sind, und ihre Hauptmerkmale aufgeführt :
Public Domain (lizenzfrei)
Durch die Veröffentlichung eines Programms in der Public Domain verzichtet der Programmierer oder Entwickler auf sein Urheberrecht. So kann jeder die Software frei nutzen, weitergeben, aber auch verändern. Dies ist insbesondere bei der CC0-Lizenz (Creative Commons Zero) der Fall
Freizügige Lizenz (permissive licence)
Es gibt viele Lizenzen, die den Nutzern erweiterte Rechte einräumen, allerdings ohne dass der Lizenzinhaber auf das Urheberrecht oder den durch die Lizenz gewährten Schutz verzichtet. Unter bestimmten Bedingungen ist es möglich, ein Programm unter einer freizügigen Lizenz zu vermarkten. Ebenso gewährt die große Mehrheit dieser Art von Lizenzen keine Garantie für die Nutzung. Die MIT- und BSD-Lizenzen gehören zur Kategorie der freizügigen Lizenzen.
Copyleft
Im Gegensatz zur landläufigen Meinung bedeutet Copyleft nicht, dass man sein Urheberrecht an einer Software aufgibt. Die Idee von Copyleft ist es, das Kopieren und Weitergeben eines Programms zu erleichtern, ohne die der Lizenz innewohnenden Rechte aufzugeben. Je nach Grad des Copylefts (schwach oder stark) bedeutet eine Copyleft-Lizenz, dass der gesamte oder ein Teil des um den Open-Source-Baustein herum entwickelten Codes die gleichen Anforderungen erfüllt wie die Lizenz, aus der die Open-Source-Lizenz stammt. Selbst abgeleitete Programme (Forks) müssen sich an die Ursprungslizenz halten. Dies gilt insbesondere für die GNU GPL-Lizenzen.
Wie lassen sich die Risiken bei der Verwendung einer Open-Source-Lizenz minimieren
Immer mehr Unternehmen integrieren Open-Source-Lösungen in ihre Strukturen. Dies gilt insbesondere für die Verwaltung von Servern durch die Apache-Lizenz oder auch für die Verwaltung von Datenbanken. Auch CMS wie Wordpress, Joomla oder Prestashop, die zur Gestaltung von Webseiten dienen, sind unter einer freien Lizenz erhältlich.
Tausende von Softwareprogrammen sind heute als Open Source für Unternehmen verfügbar und bieten besonders günstige Zugangskosten. Folgende Aspekte sollten vor der Einführung einer Lösung mit Open-Source-Lizenz beachtet werden :
Sich mit der geltenden Lizenz vertraut machen
Software, die kostenlos heruntergeladen werden kann, bedeutet nicht zwangsläufig, dass es sich um freie Software handelt. So sind einige nicht kostenpflichtige Programme proprietär und nur in bestimmten Kontexten nutzbar (persönliche Nutzung, beschränkt auf kleine und mittelständische Unternehmen...). Für eine Nutzung in größerem Umfang muss man oft bezahlen.
Einige Open-Source-Systeme laufen unter einer doppelten Lizenz aus Open Source und proprietärer Lizenz, wie z. B. MySQL. Wenn Sie die Lizenzen nicht kennen, drohen Ihnen Geldstrafen für die Nichteinhaltung der Nutzungslizenz oder sogar Strafverfolgung. Vor jeder neuen Implementierung sollten Sie sich die Zeit nehmen, jede einzelne Klausel der Lizenz zu lesen.
Bevor Sie sich für eine Open-Source-Lizenz entscheiden, sollten Sie sich auch über die Lizenzierung der Dokumentationen und die Langfristigkeit des technischen Supports informieren. Beispielsweise gibt es bei den Ubuntu-basierten Distributionen (Linux) LTS-Versionen, die sowohl von einer umfangreicheren Dokumentation als auch von einem längerfristigen Support durch ihre Initiatoren profitieren.
Bei CRM- und ERP-Programmen für die Online-Verwaltung kollaborativer Projekte ändert sich die Lizenz je nach Anzahl der Nutzer. So ist bei ERPNext in der Version mit Open-Source-Lizenz und kostenloser Nutzung keine Garantie enthalten. Bei einem Bug oder einem Absturz, der zu Schäden in Ihrer Datenbank führt, müssen Sie selbst für technischen Support sorgen. Bei Odoo ist die Basisversion (Fakturierung und Buchhaltung) kostenlos, aber für die Zusatzmodule (HRM, Lagerverwaltung, Multi-User-Projektmanagement...) ist der Zugang zu den Diensten kostenpflichtig.
Eine vorherige Simulation der tatsächlichen Betriebskosten ausgehend von den Möglichkeiten der Open-Source-Lizenz sollte unabhängig von der geplanten Softwareimplementierung durchgeführt werden.
Berücksichtigung der Schwachstellen von Open-Source-Software
Keine Software, ob proprietär oder unter einer Open-Source-Lizenz, kann von sich behaupten, in puncto Sicherheit perfekt zu sein. Deshalb werden regelmäßig Updates veröffentlicht, um alle Schwachstellen zu beheben, die es böswilligen Personen ermöglichen würden, Daten zu stehlen oder die Software, die Saas-Lösung oder die Website funktionsunfähig zu machen.
Laut einer Studie von OSSRA (Open Source Security and Risk Analysis in 2022) enthalten 80 % der Programme Schwachstellen, die mit der Implementierung einer Open-Source-Lösung zusammenhängen, und über 50 % werden als hochriskant eingestuft.
Bei proprietärer Software liegt die Verantwortung für die Veröffentlichung eines Sicherheitspatches oder eines Updates bei den Entwicklern. Umgekehrt sollen Sicherheitslücken bei von Open-Source-Lösungen auf Grund ihres kollaborativen Charakters von der Gemeinschaft oder Stiftungen behoben werden, gleichgültig ob sie unter GNU GPL-, Copyleft- oder MIT-Lizenz genutzt werden. Der Zugang zum Quellcode wurde früher als Vorteil angesehen, da man Probleme sofort beheben konnte. Gegenwärtig belastet der wachsende Umfang der Open-Source-Bibliothek die Reaktionsfähigkeit der Entwickler bei der Veröffentlichung von Patches. Wenn eine Software, die für Ihr Unternehmen eine wichtige Rolle spielt, nur zögerlich die notwendigen Updates erhält, besteht für Sie ein erhebliches Risiko.
Berücksichtigung des Faktors Mensch
In vielen Fällen sind es die Verantwortlichen für das Informationssystem und die IT-Techniker selbst, die die Ursache für das Sicherheitsproblem sind. Sie vergessen nämlich manchmal die notwendigen Aktualisierungen. Solche Programmaktualisierungen betreffen nicht unbedingt die Hauptsoftware, sondern manchmal auch Nebenprogramme, die nicht immer überwacht werden.
Um die Sicherheitsrisiken von Software unter Open-Source-Lizenz zu minimieren, sollte vor der Installation von Open-Source-Software ein Schwachstellentest durchgeführt werden. Anschließend sollte eine klare Sicherheitspolitik festgelegt werden. Es muss festgelegt werden, wie oft Updates durchgeführt werden müssen, und es muss ein Überwachungssystem eingerichtet werden, um über erkannte Schwachstellen Bescheid zu wissen. Ziel ist es, während der gesamten Nutzungsdauer der Software optimale Sicherheit zu gewährleisten. Dies ist umso wichtiger, wenn die installierte Anwendung kritische Funktionen für die Entwicklung des Unternehmens übernimmt.
Antworten auf Ihre Fragen zu Open-Source-Software
Was ist Open-Source-Software ?
Open-Source-Software ist eine Anwendung, deren Quellcode der Allgemeinheit zugänglich ist. Das bedeutet nicht, dass das Programm kostenlos ist, obwohl die meisten Open-Source-Lösungen ohne Zugangsgebühren verfügbar sind. Unternehmen müssen unbedingt die rechtlichen Aspekte einer Lizenz analysieren, um eine ungehinderte Nutzung der gewählten Lösung zu gewährleisten.
Warum Open Source nutzen ?
Open-Source-Software ist in den allermeisten Fällen kostenlos und frei nutzbar und bietet gleichzeitig zahlreiche Funktionen. Sie reduziert daher die Kosten für den Zugang und den Betrieb des Informationssystems in Unternehmen. Dennoch ist besonders auf die Sicherheit und die Art der Lizenz zu achten, um den vollen Nutzen daraus zu ziehen.
Haftungsausschluss
Die Meinungen, Darstellungen, Zahlen und Schätzungen, die auf der Website, einschließlich dieses Blogs, dargelegt werden, dienen nur zu Informationszwecken und sind nicht als Rechtsberatung zu verstehen. Für eine Rechtsberatung sollten Sie sich an einen Rechtsexperten in Ihrer Gerichtsbarkeit wenden.
Die Verwendung von Inhalten dieser Website, einschließlich dieses Blogs, zu kommerziellen Zwecken, einschließlich des Weiterverkaufs, ist untersagt, es sei denn, es liegt eine Genehmigung von Vaultinum vor. In der Anfrage um Erlaubnis müssen der Zweck und der Umfang der Reproduktion angegeben werden. Für nicht-kommerzielle Zwecke darf das gesamte Material dieser Publikation frei zitiert oder nachgedruckt werden, jedoch ist eine Danksagung zusammen mit einem Link zu dieser Website erforderlich.
Empfohlen für Sie