Abstrakter Bildschirm des Programmiercodes eines Softwareentwicklers. Codierungsskripttext auf dem Bildschirm.

Einsatz von Open-Source-Software: Kennen Sie die Chancen und Risiken?

Autoren

5 Minuten Lesezeit 14 Apr. 2025

Unerkannte Lizenzverstöße und Sicherheitslücken können Unternehmen beim Einsatz von Open-Source-Software erhebliche Nachteile bescheren.

Überblick

  • Open-Source-Software ist heutzutage in nahezu jedem Softwareprodukt enthalten – häufig, ohne dass sich die Unternehmen dessen bewusst sind.
  • Lizenzrechtliche Bestimmungen und verborgene Sicherheitslücken können erhebliche Risiken bergen, wenn die genutzte Open-Source-Software nicht gemanagt wird.
  • Unternehmen sollten den Fokus ihres Software- und IT-Asset-Managements neben den kommerziellen Anbietern auch auf Open-Source-Software ausrichten.

Linux, Docker, Git oder Kubernetes – so heißen die Rockstars unter den Open-Source-Software-Produkten (OSS), die heute weltweit von Unternehmen eingesetzt werden. Dabei werden aber nicht nur komplette Applikationen genutzt, sondern häufig auch Softwarekomponenten, die Funktionen innerhalb anderer Anwendungen bereitstellen. So findet sich OSS heute auch in nahezu jeder kommerziellen Software – in Betriebssystemen von Servern, Computerspielen, Smartphones, Software für autonomes Fahren, Onlinediensten oder in großen Cloud-Plattformen, auf denen Datenbankprodukte wie MySQL oder MongoDB zum Einsatz kommen.

Keine Kosten und ein hohes Maß an Flexibilität – der Einsatz von Open-Source-Software verspricht Unternehmen viele Vorteile.

So unterstützen wir Sie

Vieles spricht dafür: OSS ist kostenlos, was für Einsparungen bei Lizenzgebühren und Entwicklungskosten sorgt. Zudem ist der Quellcode öffentlich zugänglich, wovon Unternehmen in zweierlei Hinsicht profitieren: Sowohl Sicherheitslücken als auch Programmierfehler werden meist schnell identifiziert und behoben. Oft pflegt eine große und engagierte Community den Quellcode. Unternehmen können die Software außerdem selbst anpassen und sind damit flexibler als beim Einsatz proprietärer Produkte. Denn OSS darf nicht nur beliebig genutzt, kopiert und weitergegeben, sondern auch verändert und in der resultierenden neuen Form ebenfalls weiterverbreitet werden.

Strenge Lizenzbedingungen

„Kostenlos“ und „quelloffen“ bedeutet jedoch nicht, dass Nutzung, Veränderung und Weitergabe willkürlich gehandhabt werden dürfen. Wie jede Software unterliegt OSS auch Lizenzbestimmungen, die teils erhebliche Konsequenzen mit sich bringen. Das Nichtbeachten von Lizenzbestimmungen kann zu sofortigen Lieferstopps, teuren Rückrufaktionen und kostenintensiven Neuentwicklungen führen. In manchen Fällen kommt es zu Schadensersatzforderungen und Strafverfahren inklusive des damit verbundenen Imageschadens. Die wichtigste und am weitesten verbreitete OSS-Lizenz ist die GNU General Public License (GPL) mit ihrer – in Abgrenzung zu dem Begriff „Copyright“ – „Copyleft“-Klausel. Der für Unternehmen entscheidende Punkt dabei ist: Alle von der ursprünglichen Software abgeleiteten Programme dürfen nur verbreitet werden, wenn sie ihrerseits unter GPL lizenziert werden.

Die möglichen Auswirkungen werden von manchen Kritikern der OSS als „viraler Effekt“ bezeichnet: So müsste ein Autohersteller, der bei der Entwicklung seiner Software für autonomes Fahren eine unter GPL stehende OSS verwendet, demnach das gesamte resultierende Produkt ebenfalls unter GPL lizenzieren und damit den gesamten Quellcode der Öffentlichkeit transparent und kostenfrei zur Verfügung stellen. Dies hätte zur Folge, dass der Hersteller sein mit hohem Aufwand hergestelltes Produkt nicht kommerzialisieren könnte. Zudem drohen bei Verstößen auch potenziell kostspielige Copyright-Rechtsstreitigkeiten.

Ohne Regeln geht es nicht

Ein Blick in die Praxis zeigt, dass der Einsatz von OSS in Unternehmen häufig keinerlei Regeln unterliegt. Doch sowohl bei Eigen- als auch bei Auftragsentwicklungen bringt dies potenziell große Risiken mit sich. Fehlt beispielsweise die Dokumentation, sind im Nachhinein Interviews mit den Entwicklerinnen und Entwicklern nötig, um zu erfahren, welche Komponenten verwendet wurden und inwieweit das finale Produkt funktional von diesen abhängt. Auch drohen beim unkontrollierten Einsatz von OSS erhebliche Sicherheitsrisiken, insbesondere wenn in einem Softwareprodukt sehr veraltete OSS verwendet wird: Der offene Quellcode ist keinesfalls ein Garant dafür, dass einzelne Komponenten frei von Schwachstellen sind.

Neben Sicherheitsrisiken drohen beim unkontrollierten Einsatz von Open Source Software auch lizenzrechtliche Risiken, die für Unternehmen beträchtliche finanzielle und juristische Auswirkungen haben können.

So unterstützen wir Sie

  • Risikoberatung

    Risiken entstehen überall. EY hilft Ihnen, Risiken früh zu erkennen, zu bewerten und wirksam zu steuern mit praxiserprobten Methoden. Jetzt mehr erfahren!

    Mehr erfahren

Besonders kritisch wird es bei Carve-outs oder Zukäufen von Unternehmensteilen: Wie steht es um die Lizenzen, wie um die Sicherheit und die Qualität der Software? Bereits während der Verhandlungsphase sollte deshalb eine Dokumentation in Form einer Software Bill of Materials (SBOM) vorgelegt werden. Fehlt sie, könnte ein kostspieliger Code-Review nötig werden. Besteht das Risiko, dass ein Produkt aufgrund von vorhandener GPL-lizenzierter Software öffentlich gemacht werden muss, werden potenzielle Interessenten im Zweifelsfall den Kaufpreis reduzieren oder sehen darin gar einen Dealbreaker, sodass sie sich komplett aus den Verhandlungen zurückziehen.
 

Hausaufgaben für die Unternehmen
 

OSS ist überall, und sie ist deutlich häufiger in Softwareprojekten enthalten, als den meisten Unternehmen bewusst ist. Die damit verbundenen Risiken sind jedoch beherrschbar, sofern Unternehmen die folgenden Aspekte beachten:

  • Inventarisierung und Bewertung:
    Unternehmen sollten eine Bestandsaufnahme aller OSS-Komponenten in ihren Softwareprodukten durchführen. Dies kann mithilfe von Tools zur automatischen Identifizierung von OSS im Quellcode erfolgen. Auf dieser Basis sollte eine vollständige Liste der eingesetzten OSS erstellt werden. Alle Lizenztypen, Lizenzbestimmungen und Sicherheitslücken sollten identifiziert und Prozesse zur Behebung der hieraus abgeleiteten Risiken etabliert werden.

  • Implementierung einer Governance für OSS:
    Eine OSS-Governance bezieht sich auf Prozesse und Richtlinien, die Unternehmen bei der Verwendung, Verwaltung und beim Beitrag zu OSS befolgen. Eine klare Governance-Struktur hilft, die Verantwortlichkeiten im Zusammenhang mit der Nutzung von OSS festzulegen und die Einhaltung von Lizenzbestimmungen sicherzustellen. Die OpenChain ISO/IEC 5230 bildet hierfür den internationalen Standard.

  • Interne Richtlinien und Schulungen:
    Unternehmen sollten klare Richtlinien für die Verwendung von OSS festlegen und sicherstellen, dass ihre Entwicklerteams über bewährte Verfahren im Umgang mit OSS informiert sind. Schulungen und Schulungsprogramme können dazu beitragen, das Bewusstsein für die Risiken und Best Practices im Umgang mit OSS zu schärfen.

In der aktuellen Praxis vieler Unternehmen fällt OSS durch das Prüfungsraster. Angesichts ihrer bereits enormen und weiter zunehmenden Verbreitung sollten Unternehmen ihre Prozesse entsprechend anpassen. Wer Lizenzen, Abhängigkeiten und Sicherheitsaspekte effizient managen will, muss beim Software- und IT-Asset-Management den Blick über die kommerzielle Software hinaus erweitern. Nur dann werden die Vorteile von OSS auch in Zukunft die Risiken überwiegen.

Fazit 

Open-Source-Komponenten sind heute in fast allen Softwareprodukten im Einsatz. Unternehmen profitieren von kostenfreien Anwendungen und öffentlich verfügbaren Quellcodes. Open-Source-Software kann ohne Weiteres modifiziert und an die eigenen Bedürfnisse angepasst werden. Doch mit den Vorteilen sind auch Risiken verbunden, die rechtliche und finanzielle Konsequenzen haben können: Lizenzbestimmungen müssen ebenso beachtet werden wie Sicherheitslücken. In vielen Unternehmen wird Open-Source-Software unkontrolliert eingesetzt und vom IT- und Software-Asset-Management nicht erfasst.

Mehr zum Thema

IT-Assets in M&A-Transaktionen: Kennen Sie Ihre Chancen und Risiken?

Transparenz, Erfahrung und gute Planung – lesen Sie hier, warum Sie die Transformation Ihrer IT-Verträge bei M&A-Aktivitäten strukturiert umsetzen sollten.

Frederic Zapf + 1

ITAM/SAM: Softwaremanagement als Werttreiber

Erfahren Sie, wie Sie im IT-Asset-Management in sechs Schritten vom Verwalter zum strategischen Partner werden.

Florian Ascherl + 1

Über diesen Artikel

Autoren

Verwandte Themen
Consulting
Technologien
Risikomanagement
Digitalisierung
Cybersecurity

Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.