Open Source: Sicherheit durch Transparenz

Strategie

Es folgt die Einschätzung von André Thelen, Regional Vice President DACH bei ForgeRock: Der Vergleich zwischen proprietärer Software und Open Source-Software ist so alt wie die IT-Industrie selbst. Für so gut wie jede Software-Kategorie gibt es Angebote von Herstellern, die ihren Code entweder alleine entwickeln und vertreiben oder Entwicklergemeinden, die dies an offenem Code tun. Die Ablehnung, offene Software zu nutzen, hat sich vor allem in Unternehmen im letzten Jahrzehnt stark gewandelt. Die Einsicht setzte sich durch, dass, wenn selbst die größten IT-Konzerne wie Facebook, Google oder Amazon auf Open Source setzen, dies auch für normale Unternehmen möglich sein sollte. Die Vorteile von Open Source sind dabei schon länger bekannt: Geringere Kosten, höhere Qualität und Sicherheit aufgrund einer großen Entwicklergemeinde und keine Bindung an einen Hersteller sind schlagkräftige Argumente. In einigen Gebieten haben sich die Angebote von Open Source bereits zum Platzhirschen entwickelt. Linux, Firefox und WordPress sind Beispiele für Angebote, die es im Konsumentenumfeld weit gebracht haben. Im Unternehmen stößt man oft auf MySQL, Apache, Free BSD, Zimbra, Alfresco, OpenStack oder FreeBSD.

Dabei kann man Software keinesfalls einfach nach schwarz und weiß in offene und geschlossene, „freie“ oder „unfreie“ oder „Open Source“ und „proprietäre“ Software unterteilen. Es gibt zahlreiche Unterkategorien, die in der Praxis lizenzrechtlich enorme Unterschiede bedeuten können. Für Unternehmen haben jedoch weitestgehend nur die Kategorien Open Source Software und Proprietäre Software Relevanz, wobei die Schnittmenge aus beiden Kategorien, „kommerzielle Open Source Software“ in der Praxis das Beste aus beiden Welten bedeutet.

Kommerzielle Open-Source Software

Open Source Software ist für frei zugängliche, nicht kommerzielle Anwendungen weit verbreitet. Zusätzlich nutzen viele unabhängige Softwarehersteller, Value-Added-Reseller und Hardwarehersteller das Gerüst der Open Source Software, einzelne Module oder gar ganze Libraries für ihre Produkte und Dienstleistungen. Aus Sicht der Kunden ist die Möglichkeit Open Source Technologie unter standardmäßigen kommerziellen Gesichtspunkten wie Verlässlichkeit und Support sehr günstig.

Generell gibt es einen kulturellen Wandel, der eher in Richtung Open Source geht. Die EU und die US-Regierung setzen beispielsweise massiv Geld ein, um auf mehr Open Source zu setzen. Auch das CERN, seit jeher ein Vorreiter der IT, lässt seine Wissenschaftler an der nächsten Generation offener Lösungen forschen. Der Trend ist nicht einmal nur auf Software beschränkt. Auch „offene Hardware“ setzt sich mittlerweile am Markt durch: Der Raspberry Pi, Kano, Arudion, der auf FireFox aufbauende MatchStick, NAO und Hummingboard sind gute Beispiele, wie offene Projekte an Fahrt gewinnen um neue Trends, wie das Internet der Dinge, zum Leben zu erwecken.
Sicherheitsbedenken bei Open Source? Im Gegenteil!

Mit der zunehmenden Akzeptanz von Open-Source-Software verliert reine proprietäre Software zunehmend Bedeutung am Markt. Zum einen haben viele Anwender hinsichtlich der zukünftigen Flexibilität proprietärer Software ihre Zweifel, zum anderen empfindet man die Anbieterabhängigkeit zunehmend als Einschränkung. Unternehmen wie Facebook und Google halten Open Source mit Blick auf die Zukunft des Digitalgeschäfts und von Behördendiensten als unverzichtbar und die meisten Anbieter setzen Open Source bereits in verschiedenen Bereichen ihres IT-Betriebs ein. Insbesondere kommerzielle Open-Source-Lösungen bieten eine Plattform für kundenfertige, produktspezifisch anpassbare Technologie. Dennoch: Trotz der wachsenden Akzeptanz von Open Source haben Unternehmen nach wie vor Bedenken, was Haftung und Sicherheit betrifft. Aber wie steht es tatsächlich damit?
Das Vorurteil von der nicht sicheren Open-Source-Software stimmt definitiv nicht. Das weltweite Netzwerk von Entwicklern, Architekten und Fachkräften der Open-Source-Community wird zunehmend als wichtige Ressource anerkannt. Die Community stellt professionelle Rückmeldungen von Branchenexperten bereit, die Unternehmen helfen können, robusteren Code sowie Patches schneller zu erstellen und zudem Innovationen und Verbesserungen für neue Dienste zu entwickeln. Bei einem proprietären Modell ist die Software nur so gut wie die kleine Gruppe von Entwicklern, die daran arbeitet. Unternehmen, die hinsichtlich ihrer proprietären Software auf Drittanbieter setzen, mögen sich sicherer fühlen, geben sich damit aber einer Illusion hin: Im Namen proprietären, geistigen Eigentums können Anbieter leicht verhindern, dass Unternehmenskunden herausfinden, ob ihr Code Sicherheitslücken aufweist – bis Hacker diese ausnutzen. Beispiele dafür gab es in der jüngeren Vergangenheit zum Leidwesen vieler Kunden zuhauf.
Aufgrund der hohen Transparenz innerhalb der Open-Source-Community ist die Arbeit dieses Experten-Netzwerks qualitativ erstklassig und man legt sehr großen Wert darauf, die eigene Reputation keinesfalls zu beschädigen. Seine berufliche Glaubwürdigkeit setzt niemand aufs Spiel, wo doch die gesamte Community einen, unter dem eigenem Namen veröffentlichten Code einsehen und beurteilen kann. Konsequenterweise unterzieht ein Community-Mitglied seinen neugeschriebenen Code einer peniblen Prüfung, bevor er ihn veröffentlicht. Maßnahmen also, die die unbegründete Angst vor Sicherheitslücken nehmen.

Kommerzielle Open-Source-Lösungen – ein Geben und Nehmen

Naturgemäß wünschen sich Unternehmen ein Entwicklungsmodell, das laufend Optimierungen unterstützt. Beim Open-Source-Entwicklungsmodell können Unternehmen mit einem auf ihre Anforderungen zugeschnittenen Code das Projekt technologisch sinnvoll unterstützen – und damit etwas an die Community zurückgeben. Bei kommerziellen Open-Source-Lösungen wird sämtlicher neuer Code einem strengen Qualitätssicherungsverfahren unterzogen, um die Sicherheit von Unternehmenskunden und deren Endanwendern zu gewährleisten. Änderungen, die für den weiteren Stamm von Unternehmenskunden von Nutzen sind, werden geprüft und daraufhin von der Community in die Codebasis aufgenommen. Um alle Vorteile von Open Source nutzen zu können, muss eine enge Beziehung zu einem Anbieter kommerzieller Open-Source-Lösungen bestehen. Nur so lassen sich Kreativität und Beiträge innerhalb der Community fördern. Unternehmen können zudem Code zur Unterstützung ihres Geschäfts bereitstellen. Anbieter kommerzieller Open-Source-Lösungen liefern den Support und den strengen Produktentwicklungsprozess, einschließlich Tests mit Datenbanken, Containern und Qualitätssicherung, die typischerweise bei der Entwicklung proprietärer Software zur Verfügung gestellt werden.

Offene Architekturen plus unbegrenzte Skalierbarkeit bieten zuverlässige Lösungen

Social Media, die Cloud, Big Data, Mobility, Virtualisierung und das Internet der Dinge krempeln die IT fortlaufend um. Vorhandene Technologien tun sich schwer mit diesen Veränderungen Schritt zu halten. Unternehmen und Einrichtungen müssen ihre Dienste über zahlreiche Kanäle hin anbieten und dabei kompletten Datenschutz gewähren. Mit starren, proprietären Systemen ist dies kaum zu gewährleisten und die Open Source Gemeinde beweist tagtäglich, dass Produkte auf Open Source Code mehr als bereit sind wichtige Dienste zu übernehmen. Apache ist bereits die Nummer eins. MySQL ist auf dem Weg dorthin, OpenStack wird aller Voraussicht über kurz oder lang die Software der Wahl für die Verwaltung des Rechenzentrums. Unternehmen, die sich Open Source verweigern, fallen was Funktionsbreite und –tiefe anbelangt unter Umständen zurück und können ihren Kunden kein umfassendes digitales Nutzererlebnis bieten.
Der Erfolg von Open Source bemisst sich an dessen Fähigkeit zur Gewährleistung eines hohen Maßes an Sicherheit und Innovation. Wäre die offen entwickelte Software nicht sicher, wären Sicherheit und Innovation nicht möglich. Open Source liefert somit Sicherheit durch Transparenz, was für proprietäre Software nicht gilt. Unternehmen tun gut daran, auch Open Source Lösungen gut im Auge zu behalten.