Open Source als Motor der Digitalisierung

Open-Source-Software (OSS) wie Linux, MySQL oder Open Office galt lange Zeit als Spielzeug für IT-Nerds. Das hat sich in den vergangenen Jahren drastisch geändert. Heute finden sich quelloffene Programme in beinahe jeder IT-Infrastruktur.  „Alle Top-500-Supercomputer laufen mittlerweile unter GNU/Linux“, weiß Matthias Kirschner, Präsident der Free Software Foundation Europe (FSFE). Auch drei Viertel aller Webserver basieren auf Open Source, das quelloffene mobile Betriebssystem Android hat einen Marktanteil von 80 Prozent, Content-Management-Systeme, Entwickler-Tools und Cloud-Umgebungen nutzen quelloffenen Code, ebenso Router, Smart-Home-Produkte und IoT-Geräte. „Open Source bildet heute die Basis nahezu aller digitalisierten Geschäftsprozesse“, erklärt Jan Wildeboer, EMEA Evangelist des Open-Source-Spezialisten Red Hat - dessen Erwerb sich IBM 2018 rund 34 Milliarden Dollar kosten ließ.

Auch in deutschen Unternehmen ist Open Source längst Alltag. Laut „Open Source Monitor 2019“ des Branchenverbands Bitkom setzen mehr als zwei Drittel der befragten Firmen auf offene Betriebssysteme, Datenbanken und Applikationen. „Vermutlich nutzen sogar noch viel mehr Unternehmen Open-Source-Lösungen, ohne es zu wissen - sei es als Smartphone-Betriebssystem oder als Software-Basis für Webserver“, spekuliert Bitkom-Präsident Achim Berg. „Der Krieg ist vorbei - und wir haben gewonnen“, resümiert Red-Hat-Evangelist Wildeboer.

Wie umfassend der Sieg von Open Source ist, zeigt nicht zuletzt das Beispiel Microsoft. 20 Jahre lang kämpfte das Unternehmen mit aller Macht gegen quelloffenen Code und lizenzfreie Programme. In den als „Halloween-Dokumente“ bekannt gewordenen Strategiepapieren formulierte es Ende der 1990er-Jahre Abwehrmaßnahmen - unter der Formel „Embrace, Extend and Extinguish“: Offene Standards sollten aufgenommen, um proprietäre Elemente erweitert und dann als neue, nicht offene De-facto-Standards in den Markt gedrückt werden, um die Open-Source-Konkurrenz auszu­löschen. Unternehmenschef Steve Ballmer bezeichnete Linux gar als „Krebsgeschwür“, das mit seiner Open-Source-Lizenzphilosophie sämtliche Produkte kontaminiere, mit denen es in Berührung komme.

Einen der letzten großen Siege gegen freie Software kann Microsoft derzeit in München verbuchen: Die bayerische Landeshauptstadt beerdigt ihr Open-Source-Prestige-Projekt LiMux und kehrt zu „marktüblichen Standardprodukten“ zurück, wie es im Stadtratsbeschluss von 2017 heißt. Bis Ende dieses Jahres ist eine Migration der Linux-Clients auf Windows 10 geplant, das offene LibreOffice wird nach und nach durch Microsoft-Software ersetzt. Die Windows-10-Migra­tion wird die Stadt fast 90 Millionen Euro kosten, für die Office-Umstellung werden weitere 20 Millionen veranschlagt.

Wesentlich positiver als der derzeitige Stadtrat bewertet Jan Wildeboer das Münchner Open-Source-Projekt: „LiMux hat 13 Jahre lang ganz gut funktioniert. Man hat bei dem Projekt viel gelernt und diese Erfahrungen stehen nun anderen Städten zur Verfügung.“

Matthias Kirschner von der Free Software Foundation Europe macht neben organisatorischen Mängeln vor allem die veränderten Machtverhältnisse nach der Stadtratswahl 2014 für die Kehrtwende verantwortlich: „Es gab eine politische Entscheidung, dass man wieder proprietäre Software nutzen will - auch wenn die Begründung dafür nicht nachvollziehbar ist.“ Mit dieser Strategie stelle sich München außerdem gegen den allgemeinen Trend zu mehr Open Source in der öffentlichen Verwaltung, so Kirschner weiter.

Immerhin profitiert nun die Open-Source-Community von dem in 13 Jahren aufgebauten Know-how. Unter „Wollmux.org“ stellt die Landeshauptstadt München das im LiMux-Projekt entwickelte Briefkopf- und Formularsystem als Open Source zur Verfügung, weitere Komponenten sollen folgen. Der gesamte Linux-Basis-Client könne jedoch aus rechtlichen Gründen nicht zur Nutzung bereitgestellt werden, da er auch proprietäre lizenzpflichtige Bestandteile enthalte, heißt es in einer Antwort des IT-Referats auf eine Anfrage der Linken.

Microsoft hat in München eine Schlacht in einem Krieg gewonnen, den das Unternehmen gar nicht mehr führt. Aus dem Open-Source-Feind ist längst einer der größten Befürworter geworden. „Microsoft liebt Linux“, erklärte Ballmer-Nachfolger Satya Nadella auf dem „Microsoft Cloud Briefing 2014“ in San Francisco. „Bereits 20 Prozent von Microsoft Azure ist Linux.“

Der Software-Hersteller beteiligt sich heute an zahlreichen Open-Source-Projekten und hat 2018 sogar die Entwicklerplattform GitHub übernommen. Diese 180-Grad-Wende in Redmond stieß in der Open-Source-Community zunächst auf Skepsis: „Wir konnten das gar nicht so recht glauben“, berichtet Wildeboer. „Plötzlich klingt Microsoft so, als ob sie Open Source erfunden hätten.“ Für Steffen Illium, Wissenschaftlicher Assistent an der LMU München und Organisator der Open-Source-Konferenz „OpenMunich“, ist die Kehrtwende des Unternehmens nur folgerichtig: „Microsoft hat erkannt, welche großen Vorteile Open Source einem Software-Unternehmen bringt.“

Der Siegeszug von Open Source hängt eng mit der digitalen Transformation zusammen. „Die IT-Welt hat sich in den vergangenen Jahren drastisch verändert“, konstatiert Jan Wilde­boer. „Aus einem hardwarezentrierten Geschäft wurde ein reines Software-Business.“ Monolithische Applikationen werden zunehmend durch modulare Lösungen ersetzt, neue Funktionen werden nicht mehr hartcodiert als Firmware-Update verteilt, sondern stehen softwaredefiniert als Service zur Verfügung. Lange Releasezyklen haben schnellen Updates Platz gemacht, die kontinuierlich ausgeliefert werden. All diese Entwicklungen würden Open Source in die Hände spielen.

„Kunden können mit Open Source sehr viel schneller Probleme lösen oder neue Funktionen entwickeln, weil sie selbst direkt Einfluss auf die Software nehmen können“, erklärt Wildeboer. „Open Source ermöglicht es, eine standardisierte IT-Infrastruktur aufzubauen, die kostengünstig und leicht zu bedienen ist. Unternehmen können sich so auf die Aspekte ihrer Geschäftstätigkeit konzen­trieren, die sie wirklich vom Mitbewerb abheben“, ergänzt Max Furmanov, Global Managing Director bei der Managementberatung Accenture. „Der Einstieg in Open Source ist sehr einfach“, betont Steffen Illium von der LMU.  „Start-ups nutzen daher gerne offene Architekturen und bleiben dann dabei, wenn sie wachsen.“

Neben Einfachheit und Flexibilität sprechen auch Aspekte der IT-Sicherheit für Open Source. Zwar können Hacker den offenliegenden Quellcode sehr einfach auf Schwachstellen durchforsten, die große Gemeinschaft der Entwickler entdeckt potenzielle Einfallstore aber in der Regel schneller und schließt sie, bevor Cyberkriminelle größere Schäden anrichten können. In proprietärer Software bleiben Schwachstellen dagegen häufig über längere Zeit unentdeckt.

Ein prominentes Beispiel hierfür ist die EternalBlue-Schwachstelle im Betriebssystem Windows, die für die WannaCry-Ransomware-Attacke im Jahr 2017 missbraucht wurde. Berichten zufolge war die Schwachstelle der US-Geheimdienstorganisation NSA (National Security Agency) seit mehreren Jahren bekannt und wurde von dieser zu Spionage-Zwecken benutzt.

OSS ist allerdings nicht per se gegen solche katastrophalen Fehler gefeit, wie das Beispiel Heartbleed zeigt: Ein Fehler in der Software-Bibliothek OpenSSL ermöglichte es Kriminellen, Daten verschlüsselter https-Verbindungen auszulesen. Der einzige fest angestellte Mitarbeiter des Projekts hatte die Version mit der Heartbleed-Lücke 2012 veröffentlicht, geschlossen wurde sie erst 2014.

Für deutsche Unternehmen sprechen laut „Open Source Monitor 2019“ vor allem Kosteneinsparungen, höhere Sicherheit, Stabilität und geringere Fehleranfälligkeit sowie die Unabhängigkeit von Anbietern für offene Lösungen und Standards. „Unternehmen nutzen schon lange nicht mehr allein deshalb Open Source, weil sie kostenlos ist, sondern weil sie viele weitere Vorteile bieten kann - von mehr Sicherheit bis zur einfachen Individualisierung der Software“, erklärt Bitkom-Präsident Berg.

Fast 80 Prozent der vom Bitkom Befragten sehen allerdings auch Nachteile beim Einsatz von Open Source. Sie beklagen unter anderem das Fehlen von Fachkräften, mangelnde Akzeptanz im Unternehmen und eine unklare Produktgewährleistung. Zudem hat nur jedes fünfte Unternehmen eine dezizierte OSS-Strategie.

Auch wenn Unternehmen beim Einsatz quelloffener Software vornehmlich Kostenaspekte im Blick haben, ist Open Source nicht zwingend billiger als proprietäre Lösungen. Zwar lassen sich die Programme oft zumindest in einer Basisversion ohne Lizenzkosten nutzen, Installation, Konfiguration und Verwaltung können aber erhebliches Know-how erfordern und hohe Personalkosten nach sich ziehen.

Es darf auch nicht vergessen werden, dass der Begriff Open Source nicht rechtlich geschützt ist. Häufig ist zudem nur der Kern eines Systems Open Source, während für den Unternehmenseinsatz wichtige Erweiterungen oder Plug-ins kostenpflichtig lizenziert werden müssen. Unternehmen sollten daher darauf achten, dass die Lizenz einer Open-Source-Software von der FSF oder der Open Source Initiative (OSI) zer­tifiziert wurde, und welche Leistungen tatsächlich enthalten ist.

Bei den Lizenzen lassen sich prinzipiell drei Modelle unterscheiden: „starke“ Copyleft-Lizenzen, „schwache“ Copyleft-Lizenzen sowie permissive Lizenzen. Starke Copyleft-Lizenzen, wie die GNU General Public License (GNU GPL) und die Affero General Public License (AGPL), verlangen, dass Produkte, die die so lizenzierte Software enthalten, unter denselben Bedingungen lizenziert werden müssen. Entwickeln Unternehmen auf dieser Basis Software, müssen sie deren Quellcode der Allgemeinheit zur Verfügung stellen und damit gegebenenfalls Alleinstellungsmerkmale und geistiges Eigentum aufgeben.

Schwache Copyleft-Lizenzen wie die GNU Lesser General Public License (LGPL) erlauben die Nutzung quelloffener Software in proprietären Produkten, sofern diese Bestandteile weiterhin als Open Source zur Verfügung stehen.

Lösungen unter LGPL nutzen meist dynamische Software-Bibliotheken zur Einbindung der Open-Source-Bestandteile, um eine Trennung von offenen und geschlossenen Programmbereichen zu gewährleisten.

Wie der Name schon andeutet, sind permissive Lizenzen, zu denen beispielsweise die Apache License (APL), die BSD License (BSDL) oder die MIT License gehören, wesentlich weniger streng. Entwickler dürfen im Prinzip mit dem quell­offenen Code machen, was sie wollen, so lange sie sich nicht als dessen Autor ausgeben.

Der kollaborative Charakter von Open-Source-Projekten bringt es mit sich, dass Produkte oft aus zahlreichen Komponenten bestehen. Deren jeweilige Lizenzbedingungen und Urheber müssen bei der Weiterentwicklung und Weitergabe in einer für Menschen lesbaren Form dokumentiert werden. Die Linux Foundation hat dazu das Format SPDX (Software Data Package Exchange) entwickelt, das die Lizenzweiter­gabe vereinheitlichen und erleichtern soll.

Mit dem „REUSE“-Tool der FSFE lässt sich überprüfen, ob alle Komponenten in einem Projekt korrekt lizenziert und alle Compliance-Vorgaben eingehalten wurden (https://reuse.software). Weitere Tools zur Lizenzüberprüfung quelloffener Software sind beispielsweise FOSSology und Ninka.

Unternehmen sollten OSS-Lizenzen genauso zentral verwalten wie alle anderen Software-Verträge. Vor dem Einsatz einer Open-Source-Software ist genau zu prüfen, welche Lizenzbedingungen mit ihr verbunden sind und welche Konsequenzen die Nutzung und Weiterentwicklung für selbst entwickelte Software-Produkte hat. Das ist alles andere als tri­vial, denn die Lizenzwerke sind umfangreich und ihre Interpretation oft umstritten.

Wohin der Lizenzwirrwarr führen kann, veranschaulicht sehr schön das Beispiel der quelloffenen NoSQL-Datenbank MongoDB, die sich mit ihrer Server Side Public License (SSPL) Ende 2018 erheblichen Ärger in der Open-Source-Community einhandelte. Der Hersteller wollte sich mit der SSPL eigentlich nur gegen die in seinen Augen unseriöse Praxis einiger Cloud-Provider wehren, die mit Datenbank-Ser­vices auf Basis der kostenlosen MongoDB-Version gute Geschäfte machten, ohne etwas an die Gemeinschaft zurückzugeben. Sie sollten nach den Bestimmungen der SSPL den kompletten Service-Code als Open Source zur Verfügung stellen müssen.

Linux-Distributionen wie Debian und Red Hat Enterprise Linux (RHEL) sahen darin jedoch einen Verstoß gegen das Open-Source-Prinzip und entfernten die Datenbank aus ihren Repositories. Auch die OSI missbilligte die Lizenzbestimmungen der SSPL.

In deutschen Unternehmen ist die oft unklare rechtliche Situation einer der meistgenannten Gründe gegen OSS. Mit 41 Prozent liegt sie nach fehlenden personellen Ressourcen (59 Prozent) und strategischen Erwägungen (58 Prozent) auf Platz drei der Nennungen. Juristische Auseinandersetzungen sind allerdings die Ausnahme. Nur 3 Prozent der Befragten waren schon einmal von rechtlichen Schritten betroffen, weitere 3 Prozent haben selbst rechtliche Schritte gegen andere Unternehmen ein­geleitet.

Der Siegeszug von Open Source ist eng mit dem von Cloud-Computing und Containern verknüpft. Cloud-Provider nutzen quelloffene Lösungen in nahezu jeder Ebene des Stacks. Open-Source-Plattformen wie OpenStack, OpenShift, Cloud Foundry oder CloudStack bilden die Basis kompletter Pri­vate-, Public- oder Hybrid-Cloud-Umgebungen. Im Container-Bereich erfreut sich vor allem Docker großer Beliebtheit.

Nach Messungen der Cloud-Monitoring-Plattform Datadog nutzt bereits mehr als ein Viertel aller Unternehmen diese Technologie. Fast die Hälfte dieser Installationen wird laut Datadog mit der ebenfalls quelloffenen Container-Verwaltung Kubernetes gemanagt. Neben selbst gemanagten Umgebungen nutzen die Kunden des Monitoring-Spezialisten gerne die Service-Angebote der Cloud-Provider, Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service (AKS) oder die Google Kubernetes Engine (GKE).

Ein weiteres Einsatzgebiet, das der Open-Source-Verbreitung mächtig Auftrieb gab, ist Big Data. Apache Hadoop, Hive und Spark gehören zu den am häufigsten genannten Lösungen für die Verwaltung und Analyse großer Datenmengen. NoSQL-Datenbanken wie Apache Cassandra oder MongoDB sind ebenfalls unter Open-Source-Lizenzen nutzbar.

Für die statistische Analyse hat die Programmierumgebung R weite Verbreitung gefunden - meist in Kombination mit Jupyter Notebook, einer webbasierten interaktiven Bedienoberfläche zur Entwicklung von Open-Source-Software.

Ohnehin sind quelloffene Sprachen und Werkzeuge wie Python, Git, NetBeans oder Ruby on Rails längst zu Lieblingen der Entwicklergemeinde geworden. In Umfeld von Industrie 4.0 und dem Internet of Things (IoT) gewinnt auch Open-Source-Hardware an Bedeutung. Preiswerte Kleinstcomputer wie Rasp­berry PI und Arduino finden sich in smarten Displays, Gateways, Steuerungsgeräten, Sicherheitsmodulen, Verkaufsautomaten, Ticketing-Systemen, Nutzfahrzeugen und vielen weiteren industriellen Einsatzgebieten. Offene Plattformen wie das „Basissystem Industrie 4.0“ sollen die Vernetzung industrieller Anwendungen ermöglichen. In dem über drei Jahre vom Bildungsministerium geförderten Projekt entwickelte das Fraunhofer-Institut für Experimentelles Software Engineering IESE gemeinsam mit Partnern aus der Industrie die Referenzarchitektur „BaSys 4“, die es als virtuelle Middleware erlaubt, alle dazu nötigen Dienste zu verknüpfen. Eine erste Referenzimplementierung findet sich im Open-Source-Projekt „Eclipse BaSyx“ der Eclipse Foundation.

Weitere Beispiele für OSS im industriellen Einsatz sind etwa die IoT-Plattformen Kaa und Zetta, die Entwicklungsumgebung Node-RED, mit der sich Hardware, APIs und Online-Services verknüpfen lassen, oder der Cloud-Dienst Thinger, über den Anwender per REST-API IoT-Geräte in eine Business-Logik integrieren können.

Rund ein Drittel der deutschen Unternehmen setzt OSS bereits in den genannten Bereichen ein. Sehr viel weniger geschieht das bislang in KI- und Blockchain-Projekten. Das wird sich nach Meinung des Bitkom in den kommenden Jahren aber ändern. „Open Source kommt vor allem bei neuen Technologien wie Künstlicher Intelligenz oder Blockchain eine entscheidende Bedeutung zu, weil dort das Entwicklungstempo besonders hoch ist“, erklärt Bitkom-Präsident Achim Berg. Bei Machine Learning und KI ist die Auswahl an Open-Source-Entwicklerwerkzeugen schon heute groß. Zu den bekanntesten gehören Frameworks wie Caffe, TensorFlow oder PyTorch. Im Blockchain-Bereich sind beispielsweise Hyperledger, Cord oder Openchain zu nennen.

---

Open Source funktioniert nur, wenn viele Entwickler ihre Erfahrungen und Fähigkeiten in gemeinsame Projekte einbringen. Voraussetzung dafür ist eine offene und hierarchiefreie Kommunikation. Das hat der amerikanische Informatiker Melvin Edward Conway bereits in den 1960er-Jahren erkannt. Laut seiner als „Conway’s Law“ bekannten Regel spiegelt die Struktur von Systemen die Kommunikationsstruktur der sie produzierenden Organisationen wider. Entwickeln etwa drei Teams eine Software, wird diese aus drei großen Subsystemen bestehen. Diese werden umso besser inte­griert sein, je reibungsloser die Kommunikation zwischen den Entwicklerteams funktioniert. Sind sich die Arbeitsgruppen dagegen nicht grün und arbeiten mehr gegen- als miteinander, ist das Projekt zum Scheitern verurteilt oder wird zumindest massive Defizite aufweisen.

Für Unternehmen, die vermehrt auf Open Source setzen, stellen sich daher auch Fragen der Organisation. „Es ist ein kultureller Wandel notwendig“, betont Jan Wildeboer. „Mit dem Beharren auf überkommenen Strukturen sind hohe Kosten und Risiken verbunden.“

Red Hat hat dazu das Open Decision Framework entwickelt. Es basiert auf fünf Kernprinzipien, die den Wandel zu einer offenen Unternehmenskultur unterstützen sollen. Nicht überall stoße der Ansatz allerdings auf Begeisterung, so der Red-Hat-Evangelist: „Vor allem das mittlere Management fühlt sich durch die Veränderungen angegriffen.“

Open Source bildet heute die Basis nahezu jeder IT-Infrastruktur, jeder Cloud und jedes IoT-Geräts. Die Vorteile haben mittlerweile sogar erklärte Open-Source-Gegner wie Microsoft überzeugt. Die Erstellung von Open-Source-Software ist in vielen Fällen schneller und kostengünstiger, weil nicht nur auf interne Entwicklerressourcen zurückgegriffen werden kann. Die große Developer-Gemeinschaft und die Quell­offenheit ermöglichen es, Fehler schneller zu finden, was OSS oft robuster und sicherer macht als entsprechende proprietäre Programme.

Um die in der digitalen Transformation geforderte Agilität zu erreichen, genügt es allerdings nicht, proprietäre Systeme einfach nur durch Open-Source-Software zu ersetzen. Ganz entscheidend ist darüber hinaus die Erkenntnis, dass sich auch die Firmenkultur verändern muss - und dass die Prinzipien der Open-Source-Entwickler-Community auch in anderen Unternehmensbereichen zur Anwendung kommen müssen.

---