Cherries - stock.adobe.com
Kommerzielle Open-Source-Software in Unternehmen nutzen
Mit dem Einsatz von Open-Source-Software versprechen sich Firmen unter anderem mehr Unabhängigkeit. Welche Rolle spielen bei der Security kommerzielle Versionen und die Community?
Gerade die freie Verfügbarkeit und Veränderbarkeit sind Gründe dafür, dass Open-Source-Software eine immense Bedeutung für die Softwarelandschaft hat. Fast alle heute bekannten Applikationen enthalten Open-Source-Komponenten, darunter auch viele Anwendersoftware-Angebote, die wir täglich nutzen, wie Google Chrome oder Spotify.
Unternehmen aller Größen und Branchen bedienen sich gerne an dem riesigen Quellcode-Pool und nutzen Bausteine für ihre Entwicklungen. Im Gegenzug tragen auch viele von ihnen zu Open-Source-Projekten bei – denn das Konzept kann nur funktionieren, wenn Unternehmen nicht nur nehmen, sondern auch geben.
Geteilt werden die Open-Source-Projekte meist über Plattformen wie GitHub, auf der sich nach eigenen Angaben mehr als 40 Millionen Entwickler tummeln. Allein 2019 kamen 10 Millionen neue Nutzer hinzu. Fast 70 Prozent der Global Fortune-500-Unternehmen haben im vergangenen Jahr einen Beitrag zu Open-Source-Projekten auf GitHub geleistet. 2018 hat Microsoft GitHub für einen stolzen Preis von 7,5 Milliarden US-Dollar gekauft. Allein das zeigt, welchen Wert man der Plattform – und damit Open-Source-Software – in der Branche zumisst.
Offenlegung des Quellcodes minimiert Sicherheitsrisiken
Doch wenn kein verantwortlicher Hersteller hinter einer Software steht, wer sorgt dann für die Sicherheit? Tatsächlich ist es gerade die Vielzahl an unabhängigen Entwicklern, die Open-Source-Software sogar sicherer macht als proprietäre Software. Denn die Community kontrolliert sich gegenseitig. Hier spielt die Transparenz eine entscheidende Rolle: Bei Open-Source-Software (OSS) liegt der Quellcode offen. Jeder, der sich dafür interessiert, kann ihn einsehen. So lässt sich genau nachvollziehen, wie die Software funktioniert und was sie macht. Außerdem ermöglicht es der offene Quellcode, Programme flexibel an die eigenen Bedürfnisse anzupassen.
Unternehmen können so zudem sicher sein, dass zum Beispiel keine Hintertüren eingebaut werden. Insbesondere die Gesetzeslage in den USA hat dort ansässige Unternehmen in die Kritik gebracht, da sie durch staatliche Stellen dazu gezwungen werden können, Kundendaten preiszugeben.
Da Anbieter von proprietärer Software keinen Einblick in ihren Quellcode gewähren, haben Kunden keine Möglichkeit, solche oder andere Eingriff zu prüfen. Die Transparenz von Open Source minimiert hingegen das Risiko, dass unerwünschte Funktionen in die Software eingefügt werden.
Dazu kommt, dass für OSS meist in kurzen Intervallen Updates und Patches zur Verfügung stehen, so dass sich Schwachstellen schneller schließen lassen. Auch das erhöht die Sicherheit und zählt zu den großen Vorteilen von Open-Source-Software. Zudem ist sie investitionssicher, da sie herstellerunabhängig existiert und daher auch in Zukunft unbegrenzt verfügbar sein wird.
„Die Transparenz von Open Source minimiert das Risiko, dass unerwünschte Funktionen in die Software eingefügt werden.“
Elmar Geese, Greenbone
Trotzdem gilt natürlich auch für Open-Source-Software: Risiken beim Einsatz von IT lassen sich nicht gänzlich ausschließen und kritische Fehler können vorkommen.
Kommerzielle Open-Source-Software
Open-Source-Software gibt es häufig sowohl als kostenlose als auch als kommerzielle Version. Wenn sich Unternehmen für die kommerzielle Version entscheiden, erhalten sie dadurch zum Beispiel Support und Gewährleistung.
Zudem gibt es in der Regel SLAs (Service-Level-Agreement), die festgelegte Leistungen garantieren. Darüber hinaus müssen Inhouse-IT-Administratoren die Aktivitäten in der Community dann nicht dauerhaft überwachen, um keine wichtigen Updates und Patches zu verpassen. Inhouse ausgeführt, verursacht das Aufwand und bindet internes Expertenwissen.
Da Software im Unternehmensumfeld stabil laufen muss und die Sicherheit zu jedem Zeitpunkt gewährleistet sein soll, kann es meist ratsamer sein, auf kommerzielle Open-Source-Varianten zu setzen. Darüber hinaus bieten kommerzielle Angebote neben Support und Gewährleistung oft auch erweiterte Funktionen und Services, die speziell für den Einsatz im Unternehmensumfeld optimiert sind. Risiken können entstehen, wenn Unternehmen auf Support verzichten.
Über den Autor:
Elmar Geese ist Chief Operating Officer (COO) bei Greenbone.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.