Open Source: Offene Quellen erfreuen sich grosser Beliebtheit – und hohem Risiko

Selbst wenn du Open Source nicht kennst, hast du Software aus solchen offenen Quellen bestimmt schon einmal genutzt. Freie und kostenlose Software findet sich immer öfter im Netz – einige Angebote überholen sogar die Nutzerzahlen namhafter, aber kostenpflichtiger Programme. Während die Beliebtheit steigt, nimmt die Sensibilität für die damit verbundenen Sicherheitsrisiken scheinbar gleichermassen ab. Wir schauen uns Open-Source-Software genauer an, betrachten die Vor- und Nachteile und prüfen, wo das Risiko tatsächlich liegt.

Was genau bedeutet Open Source?

«Offene Quellen» ist die wörtliche Übersetzung – aber das greift zu kurz. Bei Open-Source-Software ist nicht nur der Code öffentlich zugänglich, sondern auch der Quelltext: Jeder kann die zugrunde liegende Programmiersprache lesen. Um als Open-Source-Software zu gelten, braucht es definitionsgemäss drei Voraussetzungen:

1. Die Programmierung ist frei einsehbar.
2. Es gibt keinerlei Nutzungsbeschränkungen hinsichtlich Kopieren und Weiterverbreitung.
3. Der Quelltext darf nach Belieben geändert und verändert weitergegeben werden.

Vorteile von Open Source

Der offensichtlichste Vorteil: Die Nutzung ist in den meisten Fällen durchgehend kostenlos. Aber steckt mehr dahinter? Wenn grundsätzlich jeder – auch weniger erfahrene Entwickler – den Code verändern darf, klingt das zunächst nach einem Rezept für schlechte Software. Der Blick auf grosse Projekte zeigt ein anderes Bild.

Community

Weit verbreitete Open-Source-Produkte ziehen eine entsprechend grosse Fangemeinde an. Darunter sind nicht nur Privatnutzer, sondern auch erfahrene Entwickler, die aktiv zur Weiterentwicklung beitragen. Das Tempo ist oft höher als bei firmeneigenen Projekten. Auch beim Bugfixing zahlt sich das aus: Mehr Augen finden Fehler schneller. Wer in einer Community Reputation aufbauen will, hat ein handfestes Motiv, saubere Arbeit zu liefern.

Individualität

Ein eigenes Softwareprojekt von Grund auf zu entwickeln kostet Zeit und Geld. Wer ein paar Entwickler abstellen kann, setzt einfach auf der Basis eines bestehenden Open-Source-Projekts auf: Quellcode nehmen, anpassen, auf die betrieblichen Anforderungen zuschneiden – fertig ist die interne Lösung. Ohne den teuren Neustart.

Potenzial

Keine Firmenvorgaben, keine künstlichen Grenzen. Jeder Entwickler darf sich am Code austoben – das schafft Raum für unerwartete Lösungen. Wenn viele Köpfe viele Ideen einbringen, entstehen aus diesem Prozess nicht selten echte Innovationen.

Nachteile von Open Source

Darf man Ansprüche an etwas haben, das gratis ist? Berechtigte Frage. Tatsächlich setzen viele Unternehmen innerbetrieblich ausschliesslich auf Open Source – ohne sich über die Kehrseiten im Klaren zu sein.

Keine Garantie

Keine Nutzungsbeschränkungen bedeutet auch: keine Garantien. Wer hohe Verlässlichkeit erwartet, kann bitter enttäuscht werden. Offiziellen Support gibt es nicht. Hilfe findet sich meistens irgendwo in der Community – aber eben nur meistens.

Abhängigkeit

Hinter erfolgreicher Open-Source-Software steckt in der Regel eine aktive Community. Das kann sich ändern. Zieht ein interessanteres Projekt woanders die Entwickler ab, ist die Codebasis plötzlich verwaist. Wer keine eigenen Programmierer hat, steht dann allein da. Hinzu kommt: Die Kontrolle über die Entwicklungsrichtung liegt nicht bei dir – ein Faktor, den gerade Unternehmen ernst nehmen sollten.

Undurchsichtig

«Keine Nutzungsbeschränkungen» klingt nach völliger Freiheit. Stimmt nicht ganz. Viele Open-Source-Produkte unterliegen Lizenzen, die vorschreiben, eigene Weiterentwicklungen ebenfalls kostenlos zu veröffentlichen. Die grosse Eigenentwicklung auf Open-Source-Basis kommt am Ende also nicht zwingend dir zugute – sondern der ganzen Gemeinschaft. Einen Anspruch auf Eigen-Lizenzierung gibt es in solchen Fällen nicht.

Open Source = Sicherheitsrisiko?

Wir haben bewusst gleich viele Vor- wie Nachteile aufgezählt. Daneben gibt es noch weitere Aspekte, die Open-Source-Software attraktiv machen: Ein öffentlich zugänglicher Code kann als Werbemittel wirken, freie Entwickler sparen Ressourcen im eigenen Team, und Open-Source-Projekte sind eine etablierte Methode zur Talentsuche. Aber wo Fehler schnell sichtbar sind, sind potenzielle Angreifer nicht weit.

Ist die Community zu klein oder zu inaktiv, hat ein Cyberkrimineller einen Vorsprung. Wie gross das Risiko wirklich ist, zeigt eine Studie von Synopsys mit teils ernüchternden Ergebnissen:

• Von über 1.250 Open-Source-Anwendungen enthalten 91 Prozent veraltete Komponenten.
• 9 von 10 dieser Komponenten sind mindestens 4 Jahre alt und wurden in den letzten 2 Jahren nicht weiterentwickelt.
• 75 Prozent der untersuchten Anwendungen enthalten bekannte Schwachstellen.
• Fast die Hälfte davon gilt als sehr riskant.
• Der Anteil bekannter Schwachstellen stieg gegenüber dem Vorjahr um 15 Prozent.
• Zwei Drittel der analysierten Anwendungen führen zu Lizenz-Konflikten.
• Bei einem Drittel lässt sich die Lizenz gar nicht identifizieren.

Das grösste Risiko liegt damit auf dem Tisch: Open-Source-Software wird gefährlich, sobald sie veraltete Komponenten enthält. Mangels klarer Transparenz merkst du das meist erst im Nachhinein. Veraltete Bestandteile bereiten ausserdem regelmässig Probleme bei Updates und der Kompatibilität mit anderen Programmen. So verlockend die Vorteile klingen mögen – beim Einsatz im Unternehmen ist kritisches Hinschauen Pflicht.