Der Einsatz von Open-Source-Software (OSS) boomt derzeit. Die Verknüpfung von leistungsfähiger Software und niedrigen Kosten macht OSS auch für Unternehmen attraktiv. Dennoch sollten Entscheider einen genauen Blick auf das Kleingedruckte und die Nachteile werfen, um große Risiken zu vermeiden.
Flächendeckende Verbreitung
Open Source ist überall. Das bestätigten im November 2008 die Marktforscher von Gartner in ihrer Studie zum weltweiten Einsatz der frei verfügbaren Software. Demnach benutzen bereits 85 Prozent aller befragten Anwenderunternehmen Open-Source-Produkte, die verbleibenden 15 Prozent planen einen Einsatz innerhalb der kommenden Monate.
Zugleich stellten die Gartner-Analysten fest, dass 69 Prozent der befragten Unternehmen über keine Regeln verfügen, welche die Verwendung und Katalogisierung von OSS steuern. Laurie Wurster, Forschungsleiterin bei Gartner, zieht daraus den Schluss: „Nur weil etwas frei verfügbar ist, bedeutet das noch nicht, dass es auch kostenfrei ist.“ Unternehmen bräuchten definierte Vorgehensweisen für die Beschaffung von OSS und sie müssten gezielt entscheiden, für welche Anwendungen der OSS-Einsatz Sinn mache und ob er lizenztechnisch überhaupt möglich ist. „Auch müssen die Risiken und Fragen bezüglich des geistigen Eigentums und der Wartung adressiert werden“, so Wurster.
Open Source vor Gericht
Geschieht dies nicht, kann der Schuss schnell nach hinten losgehen. Diese Erfahrung mussten bereits mehrere Unternehmen machen, die sich am Ende sogar vor Gericht wiederfanden. So hat ein Rechtsstreit zwischen der Open-Source-Interessensvertretung „gpl-violations.org“ und dem IP-Telefonieanbieter Skype und seinem Zulieferer SMC dazu geführt, dass ein IP-Telefon, welches gegen Open-Source-Lizenzbedingungen verstieß, vom Markt genommen werden musste. Auch die Betreibergesellschaft der elektronischen Gesundheitskarte in Österreich hatte in ihren Lesegeräten, die an Arztpraxen in ganz Österreich verkauft wurden, OSS-Komponenten lizenzwidrig verwendet. Nach einer Entdeckung durch „gpl-violations.org“ einigten sich beide Parteien außergerichtlich. Die Konsequenz für die Betreibergesellschaft war allerdings, dass sie substantielle Bestandteile des Quellcodes der Kartenlesegeräte unter der Open-Source-Lizenz GNU GPL veröffentlichen musste.
Der Hauptgrund für das Risiko der ungesteuerten OSS-Verwendung liegt im so genannten Copyleft beziehungsweise in entsprechenden Regelungen anderer Lizenzverträge. Open-Source-Software fordert grundsätzlich eine Offenlegung der Quellen. Im Unterschied zum klassischen Copyright erzwingt das Copyleft als Verschärfung des Open-Source-Begriffs, dass eine Weitergabe und Weiterbearbeitung von OSS-Software nur entlang der Ursprungslizenz erfolgen darf. Und zu Weiterbearbeitungen zählen auch Systeme, die Unternehmen zum Beispiel mithilfe von OSS selbst entwickeln. Diese Forderung erstreckt sich nicht nur auf die erste Version der jeweiligen Software, sondern auch auf alle später durchgeführten Änderungen und Erweiterungen.
Wie wichtig ist geistiges Eigentum?
In der Regel wollen kommerzielle Hersteller den Quellcode ihrer Systeme aber nicht offen legen. Sie sehen den Quellcode meistens als geistiges Eigentum, zumal er unter Umständen sogar Geschäftsgeheimnisse enthält. Deshalb bezeichnen einige Stimmen das Open-Source-Modell etwa für deutsche Spezialfertiger als generell ungeeignet. „Mit diesem Modell geht bei Betriebssystemen das Wissen nach China, und der deutsche Maschinenbau geht kaputt“, meinte Hans Beckhoff, Geschäftsführer der Firma Beckhoff Automation, auf dem Kongress „Open Source meets Industry“ im April 2008.
Diese Haltung wird sich flächendeckend wohl nicht durchsetzen, wohl aber dafür sensibilisieren, OSS sehr präzise und wohldefiniert einzusetzen. Zu hoch sind die Produktivitätsgewinne, die der Einsatz fertiger Teilkomponenten aus OSS-Quellen bringt. Wer juristische Probleme oder zu viel Offenheit beim Innenleben seiner Produkte vermeiden will, muss den Einsatz von Open Source gezielt steuern und benötigt ein aktives License Compliance Management (LCM). Ziel und Nutzen eines solches LCM-Prozesses ist es, zum einen das Bewusstsein für eine rechtmäßige Verwendung von Open-Source zu schaffen und zum anderen Transparenz herzustellen. Unternehmen müssen jederzeit wissen, welche OSS-Komponenten sie wo und wie verwenden. Nur so können sie gezielt entscheiden, ob deren Einsatz Sinn macht.
Die Ausprägung des LCM unterscheidet sich je nach Größe und Komplexität des Unternehmens und der Systeme, in denen OSS zum Einsatz kommt. Hinzu kommen Risikoabwägungen zum Beispiel darüber, wie geschäftskritisch eine bestimmte Anwendung ist. So kann für kleinere Organisationen oder Projekte mit einer überschaubaren Komplexität die Risikoeinschätzung so ausfallen, dass weder ein formeller LCM-Prozess noch einmalige oder regelmäßige Überprüfungen des Systems notwendig sind. Die Entscheidung, ein solches Risiko einzugehen, sollte aber bewusst und auf Basis verlässlicher Informationen erfolgen. Das Bewusstsein, ob OSS rechtmäßig verwendet wird oder nicht, muss also in jedem Fall vorhanden sein.
Lizenzmanagement in vier Phasen
Die Etablierung von License-Compliance-Management besteht aus vier Phasen:
Definition
Zunächst legen die Projektverantwortlichen die Strategie für das jeweilige Softwaresystem oder Unternehmen fest. Diese orientiert sich in der Regel am Verwendungszweck und Einsatzumfeld und beantwortet Fragen wie: Bündelt das System Kernkompetenzen eines Unternehmens und geistiges Eigentum, das nicht öffentlich sein sollte? Oder: Wie kritisch ist die Anwendung? Wird sie vertrieben oder nur eingesetzt? Hat sie direkte Auswirkungen auf die Kundenbeziehung oder nur interne Relevanz? Sind solche Fragen beantwortet und in eine Strategie gefasst, lassen sich auf ihrer Basis konkrete Regeln zur Verwendung von OSS-Komponenten ableiten. Diese Regeln erlauben zum Beispiel die Verwendung bestimmter Komponenten oder ganze OSS-Lizenzen, schließen sie aus oder schreiben eine Prüfung vor ihrem Einsatz vor. Anschließend gilt es, den LCM-Prozess an die vorhandene Organisationsstruktur anzupassen, die unterschiedlichen Aufgabenprofile zu erzeugen und zu vergeben.
Screening
In einem zweiten Schritt ermitteln die Teams, ob und wo die unter-suchten Softwaresysteme OSS-Komponenten aufweisen. Für diese Aufgabe gibt es spezialisierte Werkzeuge, die diese Suche automatisiert durchführen. Mit ihrer Hilfe lässt sich nicht nur die offenkundige Verwendung von OSS-Komponenten ermitteln, sondern zum Beispiel auch heimliches Kopieren auf der Ebene des Quellcodes. Hierzu findet üblicherweise ein Abgleich zwischen der Zusammensetzung des zu prüfenden Systems mit einer Datenbank von OSS-Komponenten statt. Diese Datenbank liefern Werkzeuge wie zum Beispiel „Black Duck“ bereits mit.
Analyse
Liegen die Ergebnisse des Screenings vor, geht es an die Interpretation und Validierung der Befunde. Gegebenenfalls ist hier ein Abgleich der Befunde mit verschiedenen OSS-Komponenten notwendig – zumal innerhalb der Open-Source-Gemeinschaft eine rege Wiederverwendung von Komponenten üblich ist. Im Anschluss daran findet ein Abgleich statt: Stimmen die Befunde mit der anfangs festgelegten LCM-Strategie überein oder gibt es Abweichungen? Und falls ja, welche Auswirkungen haben diese Abweichungen auf das untersuchte System?
Kontrolle
Mit Hilfe der während der Analyse-Phase ermittelten Informationen lassen sich nun die notwendigen Korrekturen durchführen, indem zum Beispiel bestimmte OSS-Komponenten entfernt werden. Dies sind zumeist kurzfristig und unaufwändig durchführbare Anpassungen. Jedoch müssen Unternehmen auch damit rechnen, dass manche Befunde weitergehende Änderungen an der Produkt- oder Geschäftsstrategie nach sich ziehen.
Lizenzmanagement ist auf Dauer angelegt
Je mehr Open-Source-Software Einzug in kommerzielle Software hält, umso wichtiger wird ein auf Dauer angelegtes License Compliance Management. Mit einmaligen Prüfungen ist es vor allem in größeren Organisationen und komplexen Anwendungslandschaften nicht getan. Unternehmen sind also gut beraten, die Quelltexte ihrer Systeme in regelmäßigen Abständen zu durchleuchten – etwa bei jedem neuen Release. Hierbei beschränken sich die Investitionen hauptsächlich auf Initialkosten. Denn das eigentliche Screening kann dank der verfügbaren Werkzeuge nahezu vollständig automatisiert ablaufen, sobald die dazu notwendigen Prozesse und Tools erst einmal implementiert sind.
Von organisatorischer Seite her bietet sich die Einrichtung einer zentralen Instanz an, die das License Compliance Management verantwortet. Diese prüft nicht nur die Systeme des eigenen Unternehmens auf regelkonforme OSS-Verwendung, sondern zum Beispiel auch die von Outsourcing-Partnern oder anderen externen Zulieferern im Quelltext gelieferte Software. In solchen Vertragsbeziehungen ist eine Prüfung der gelieferten Quellen auf Urheberrechtsverletzungen ebenfalls zwingend notwendig. Denn am Ende haftet der Auftraggeber für die von ihm ausgelieferten Anwendungen. License Compliance Management stellt sicher, dass Unternehmen diese Verantwortung ruhigen Gewissens übernehmen können.
