Open-Source-Software (OSS) wie Linux, MySQL oder Open Office galt lange Zeit als Spielzeug für IT-Nerds. Das hat sich in den vergangenen Jahren drastisch geändert. Heute finden sich quelloffene Programme in beinahe jeder IT-Infrastruktur. «Alle Top-500-Supercomputer laufen mittlerweile unter GNU/Linux», weiss Matthias Kirschner, Präsident der Free Software Foundation Europe (FSFE). Auch drei Viertel aller Webserver basieren auf Open Source, das quelloffene mobile Betriebssystem Android hat einen Marktanteil von 80 Prozent, Content-Management-Systeme, Entwickler-Tools und Cloud-Umgebungen nutzen quelloffenen Code, ebenso Router, Smart-Home-Produkte und IoT-Geräte. «Open Source bildet heute die Basis nahezu aller digitalisierten Geschäftsprozesse», erklärt Jan Wildeboer, EMEA Evangelist des Open-Source-Spezialisten Red Hat – dessen Erwerb sich IBM 2018 rund 34 Milliarden Dollar kosten liess.

Auch in der Schweiz steht Open Source hoch im Kurs. Sowohl bei Unternehmen als auch bei Akteuren der öffentlichen Hand. Das ging aus der Open Source Studie 2018 hervor, die von der Forschungsstelle Digitale Nachhaltigkeit im Auftrag der Branchenverbände swissICT und CH Open durchgeführt wurde. Das Resultat zeigte: Von den 243 Antwortenden gaben rund 60 Prozent (59,7 %) an, die Bedeutung von Open Source Software habe in den letzten drei Jahren vor der Umfrage eher oder sogar stark zugenommen. Jeder dritte Studienteilnehmer (32,5 %) meinte, dass die Relevanz gleich geblieben sei. Nur 7 Prozent waren der Meinung, dass sie abgenommen habe.

Dass Open-Source-Software aus der heutigen Geschäftswelt nicht mehr wegzudenken ist, hat auch Microsoft erkannt. 20 Jahre lang kämpfte das Unternehmen mit aller Macht gegen quelloffenen Code und lizenzfreie Programme. In den als «Halloween-Dokumente» bekannt gewordenen Strategiepapieren formulierte es Ende der 1990er-Jahre Abwehrmassnahmen – unter der Formel «Embrace, Extend and Extinguish»: Offene Standards sollten aufgenommen, um proprietäre Elemente erweitert und dann als neue, nicht offene De-facto-Standards in den Markt gedrückt werden, um die Open-Source-Konkurrenz auszu­löschen. Unternehmenschef Steve Ballmer bezeichnete Linux einst gar als «Krebsgeschwür», das mit seiner Open-Source-Lizenzphilosophie sämtliche Produkte kontaminiere, mit denen es in Berührung komme.

Under dem Ballmer-Nachfolger Satya Nadella kam es dann zu einem Richtungswechsel: Aus dem Open-Source-Feind ist längst einer der grössten Befürworter geworden. «Microsoft liebt Linux», erklärte Nadella auf dem «Microsoft Cloud Briefing 2014» in San Francisco. «Bereits 20 Prozent von Microsoft Azure ist Linux.»

Der Software-Hersteller beteiligt sich heute an zahlreichen Open-Source-Projekten und hat 2018 sogar die Entwicklerplattform GitHub übernommen. Diese 180-Grad-Wende in Redmond stiess in der Open-Source-Community zunächst auf Skepsis: «Wir konnten das gar nicht so recht glauben», berichtet Wildeboer. «Plötzlich klingt Microsoft so, als ob sie Open Source erfunden hätten.»

Der Siegeszug von Open Source hängt eng mit der digitalen Transformation zusammen. «Die IT-Welt hat sich in den vergangenen Jahren drastisch verändert», konstatiert Jan Wilde­boer. «Aus einem hardwarezentrierten Geschäft wurde ein reines Software-Business.» Monolithische Applikationen werden zunehmend durch modulare Lösungen ersetzt, neue Funktionen werden nicht mehr hartcodiert als Firmware-Update verteilt, sondern stehen softwaredefiniert als Service zur Verfügung. Lange Releasezyklen haben schnellen Updates Platz gemacht, die kontinuierlich ausgeliefert werden. All diese Entwicklungen würden Open Source in die Hände spielen.

«Kunden können mit Open Source sehr viel schneller Probleme lösen oder neue Funktionen entwickeln, weil sie selbst direkt Einfluss auf die Software nehmen können», erklärt Wildeboer. «Open Source ermöglicht es, eine standardisierte IT-Infrastruktur aufzubauen, die kostengünstig und leicht zu bedienen ist. Unternehmen können sich so auf die Aspekte ihrer Geschäftstätigkeit konzen­trieren, die sie wirklich vom Mitbewerb abheben», ergänzt Max Furmanov, Global Managing Director bei der Managementberatung Accenture.

Neben Einfachheit und Flexibilität sprechen auch Aspekte der IT-Sicherheit für Open Source. Zwar können Hacker den offenliegenden Quellcode sehr einfach auf Schwachstellen durchforsten, die grosse Gemeinschaft der Entwickler entdeckt potenzielle Einfallstore aber in der Regel schneller und schliesst sie, bevor Cyberkriminelle grössere Schäden anrichten können. In proprietärer Software bleiben Schwachstellen dagegen häufig über längere Zeit unentdeckt.

Ein prominentes Beispiel hierfür ist die EternalBlue-Schwachstelle im Betriebssystem Windows, die für die WannaCry-Ransomware-Attacke im Jahr 2017 missbraucht wurde. Berichten zufolge war die Schwachstelle der US-Geheimdienstorganisation NSA (National Security Agency) seit mehreren Jahren bekannt und wurde von dieser zu Spionage-Zwecken benutzt.

OSS ist allerdings nicht per se gegen solche katastrophalen Fehler gefeit, wie das Beispiel Heartbleed zeigt: Ein Fehler in der Software-Bibliothek OpenSSL ermöglichte es Kriminellen, Daten verschlüsselter https-Verbindungen auszulesen. Der einzige fest angestellte Mitarbeiter des Projekts hatte die Version mit der Heartbleed-Lücke 2012 veröffentlicht, geschlossen wurde sie erst 2014.

Schweizer Unternehmen setzen laut der Open Source Studie 2018 quelloffene Software insbesondere aufgrund der Interoperabilität von Open-Source-Lösungen, der breiten Community für den Wissensaustausch, dem Vorhandensein breit abgestützter Software-Lösungen und -Komponenten, erhöhter Sicherheit und Stabilität sowie aufgrund möglicher Kosteneinsparungen ein. Gegen OSS sprechen für die Teilnehmenden der Studie unter anderem fehlende Features und Funktionalitäten, die teils unsichere Zukunft von Open-Source-Projekten oder auch mögliche Sicherheitslücken.

Kostenaspekte spielen beim Einsatz quelloffener Software immer eine grosse Rolle. Allerdings gilt es dabei zu bedenken, dass Open Source nicht zwingend billiger ist als proprietäre Lösungen. Zwar lassen sich die Programme oft zumindest in einer Basisversion ohne Lizenzkosten nutzen, Installation, Konfiguration und Verwaltung können aber erhebliches Know-how erfordern und hohe Personalkosten nach sich ziehen.

Es darf auch nicht vergessen werden, dass der Begriff Open Source nicht rechtlich geschützt ist. Häufig ist zudem nur der Kern eines Systems Open Source, während für den Unternehmenseinsatz wichtige Erweiterungen oder Plug-ins kostenpflichtig lizenziert werden müssen. Unternehmen sollten daher darauf achten, dass die Lizenz einer Open-Source-Software von der FSF oder der Open Source Initiative (OSI) zer­tifiziert wurde, und welche Leistungen tatsächlich enthalten ist.

Bei den Lizenzen lassen sich prinzipiell drei Modelle unterscheiden: «starke» Copyleft-Lizenzen, «schwache» Copyleft-Lizenzen sowie permissive Lizenzen. Starke Copyleft-Lizenzen, wie die GNU General Public License (GNU GPL) und die Affero General Public License (AGPL), verlangen, dass Produkte, die die so lizenzierte Software enthalten, unter denselben Bedingungen lizenziert werden müssen. Entwickeln Unternehmen auf dieser Basis Software, müssen sie deren Quellcode der Allgemeinheit zur Verfügung stellen und damit gegebenenfalls Alleinstellungsmerkmale und geistiges Eigentum aufgeben.

Schwache Copyleft-Lizenzen wie die GNU Lesser General Public License (LGPL) erlauben die Nutzung quelloffener Software in proprietären Produkten, sofern diese Bestandteile weiterhin als Open Source zur Verfügung stehen. Lösungen unter LGPL nutzen meist dynamische Software-Bibliotheken zur Einbindung der Open-Source-Bestandteile, um eine Trennung von offenen und geschlossenen Programmbereichen zu gewährleisten. Wie der Name schon andeutet, sind permissive Lizenzen, zu denen beispielsweise die Apache License (APL), die BSD License (BSDL) oder die MIT License gehören, wesentlich weniger streng. Entwickler dürfen im Prinzip mit dem quell­offenen Code machen, was sie wollen, so lange sie sich nicht als dessen Autor ausgeben.

Der kollaborative Charakter von Open-Source-Projekten bringt es mit sich, dass Produkte oft aus zahlreichen Komponenten bestehen. Deren jeweilige Lizenzbedingungen und Urheber müssen bei der Weiterentwicklung und Weitergabe in einer für Menschen lesbaren Form dokumentiert werden. Die Linux Foundation hat dazu das Format SPDX (Software Data Package Exchange) entwickelt, das die Lizenzweiter­gabe vereinheitlichen und erleichtern soll.

Mit dem «REUSE»-Tool der FSFE lässt sich überprüfen, ob alle Komponenten in einem Projekt korrekt lizenziert und alle Compliance-Vorgaben eingehalten wurden (https://reuse.software). Weitere Tools zur Lizenzüberprüfung quelloffener Software sind beispielsweise FOSSology und Ninka.

Unternehmen sollten OSS-Lizenzen genauso zentral verwalten wie alle anderen Software-Verträge. Vor dem Einsatz einer Open-Source-Software ist genau zu prüfen, welche Lizenzbedingungen mit ihr verbunden sind und welche Konsequenzen die Nutzung und Weiterentwicklung für selbst entwickelte Software-Produkte hat. Das ist alles andere als tri­vial, denn die Lizenzwerke sind umfangreich und ihre Interpretation oft umstritten.

Wohin der Lizenzwirrwarr führen kann, veranschaulicht sehr schön das Beispiel der quelloffenen NoSQL-Datenbank MongoDB, die sich mit ihrer Server Side Public License (SSPL) Ende 2018 erheblichen Ärger in der Open-Source-Community einhandelte. Der Hersteller wollte sich mit der SSPL eigentlich nur gegen die in seinen Augen unseriöse Praxis einiger Cloud-Provider wehren, die mit Datenbank-Ser­vices auf Basis der kostenlosen MongoDB-Version gute Geschäfte machten, ohne etwas an die Gemeinschaft zurückzugeben. Sie sollten nach den Bestimmungen der SSPL den kompletten Service-Code als Open Source zur Verfügung stellen müssen.

Linux-Distributionen wie Debian und Red Hat Enterprise Linux (RHEL) sahen darin jedoch einen Verstoss gegen das Open-Source-Prinzip und entfernten die Datenbank aus ihren Repositories. Auch die OSI missbilligte die Lizenzbestimmungen der SSPL.

Der Siegeszug von Open Source ist eng mit dem von Cloud-Computing und Containern verknüpft. Cloud-Provider nutzen quelloffene Lösungen in nahezu jeder Ebene des Stacks. Open-Source-Plattformen wie OpenStack, OpenShift, Cloud Foundry oder CloudStack bilden die Basis kompletter Pri­vate-, Public- oder Hybrid-Cloud-Umgebungen. Im Container-Bereich erfreut sich vor allem Docker grosser Beliebtheit.

Nach Messungen der Cloud-Monitoring-Plattform Datadog nutzt bereits mehr als ein Viertel aller Unternehmen diese Technologie. Fast die Hälfte dieser Installationen wird laut Datadog mit der ebenfalls quelloffenen Container-Verwaltung Kubernetes gemanagt. Neben selbst gemanagten Umgebungen nutzen die Kunden des Monitoring-Spezialisten gerne die Service-Angebote der Cloud-Provider, Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service (AKS) oder die Google Kubernetes Engine (GKE).

Ein weiteres Einsatzgebiet, das der Open-Source-Verbreitung mächtig Auftrieb gab, ist Big Data. Apache Hadoop, Hive und Spark gehören zu den am häufigsten genannten Lösungen für die Verwaltung und Analyse grosser Datenmengen. NoSQL-Datenbanken wie Apache Cassandra oder MongoDB sind ebenfalls unter Open-Source-Lizenzen nutzbar.

Für die statistische Analyse hat die Programmierumgebung R weite Verbreitung gefunden – meist in Kombination mit Jupyter Notebook, einer webbasierten interaktiven Bedienoberfläche zur Entwicklung von Open-Source-Software. Ohnehin sind quelloffene Sprachen und Werkzeuge wie Python, Git, NetBeans oder Ruby on Rails längst zu Lieblingen der Entwicklergemeinde geworden.

In Umfeld von Industrie 4.0 und dem Internet of Things (IoT) gewinnt auch Open-Source-Hardware an Bedeutung. Preiswerte Kleinstcomputer wie Rasp­berry PI und Arduino finden sich in smarten Displays, Gateways, Steuerungsgeräten, Sicherheitsmodulen, Verkaufsautomaten, Ticketing-Systemen, Nutzfahrzeugen und vielen weiteren industriellen Einsatzgebieten. Offene Plattformen wie das «Basissystem Industrie 4.0» sollen die Vernetzung industrieller Anwendungen ermöglichen. In dem über drei Jahre vom Bildungsministerium geförderten Projekt entwickelte das Fraunhofer-Institut für Experimentelles Software Engineering IESE gemeinsam mit Partnern aus der Industrie die Referenzarchitektur «BaSys 4», die es als virtuelle Middleware erlaubt, alle dazu nötigen Dienste zu verknüpfen. Eine erste Referenzimplementierung findet sich im Open-Source-Projekt «Eclipse BaSyx» der Eclipse Foundation.

Weitere Beispiele für OSS im industriellen Einsatz sind etwa die IoT-Plattformen Kaa und Zetta, die Entwicklungsumgebung Node-RED, mit der sich Hardware, APIs und Online-Services verknüpfen lassen, oder der Cloud-Dienst Thinger, über den Anwender per REST-API IoT-Geräte in eine Business-Logik integrieren können.

Schweizer Organisationen setzen laut der Open Source Studie aus dem Jahr 2018 am häufigsten in folgenden Bereichen auf OSS:

Open Source funktioniert nur, wenn viele Entwickler ihre Erfahrungen und Fähigkeiten in gemeinsame Projekte einbringen. Voraussetzung dafür ist eine offene und hierarchiefreie Kommunikation. Das hat der amerikanische Informatiker Melvin Edward Conway bereits in den 1960er-Jahren erkannt. Laut seiner als «Conway’s Law» bekannten Regel spiegelt die Struktur von Systemen die Kommunikationsstruktur der sie produzierenden Organisationen wider. Entwickeln etwa drei Teams eine Software, wird diese aus drei grossen Subsystemen bestehen. Diese werden umso besser inte­griert sein, je reibungsloser die Kommunikation zwischen den Entwicklerteams funktioniert. Sind sich die Arbeitsgruppen dagegen nicht grün und arbeiten mehr gegen- als miteinander, ist das Projekt zum Scheitern verurteilt oder wird zumindest massive Defizite aufweisen.

Für Unternehmen, die vermehrt auf Open Source setzen, stellen sich daher auch Fragen der Organisation. «Es ist ein kultureller Wandel notwendig», betont Jan Wildeboer. «Mit dem Beharren auf überkommenen Strukturen sind hohe Kosten und Risiken verbunden.» Red Hat hat dazu das Open Decision Framework entwickelt. Es basiert auf fünf Kernprinzipien, die den Wandel zu einer offenen Unternehmenskultur unterstützen sollen. Nicht überall stosse der Ansatz allerdings auf Begeisterung, so der Red-Hat-Evangelist: «Vor allem das mittlere Management fühlt sich durch die Veränderungen angegriffen.»

Open Source bildet heute die Basis nahezu jeder IT-Infrastruktur, jeder Cloud und jedes IoT-Geräts. Die Vorteile haben mittlerweile sogar erklärte Open-Source-Gegner wie Microsoft überzeugt. Die Erstellung von Open-Source-Software ist in vielen Fällen schneller und kostengünstiger, weil nicht nur auf interne Entwicklerressourcen zurückgegriffen werden kann. Die grosse Developer-Gemeinschaft und die Quell­offenheit ermöglichen es, Fehler schneller zu finden, was OSS oft robuster und sicherer macht als entsprechende proprietäre Programme.

Um die in der digitalen Transformation geforderte Agilität zu erreichen, genügt es allerdings nicht, proprietäre Systeme einfach nur durch Open-Source-Software zu ersetzen. Ganz entscheidend ist darüber hinaus die Erkenntnis, dass sich auch die Firmenkultur verändern muss – und dass die Prinzipien der Open-Source-Entwickler-Community auch in anderen Unternehmensbereichen zur Anwendung kommen müssen.