Verteidigungsfähigkeit gefragt – Open Source Software & Resilienz

Gibt es in ihrem Unternehmen eigentlich einen Plan B, falls einmal die Microsoft-Suite ausfällt und Mitarbeiter keine Office-Produkte mehr nutzen können? Dieses Szenario ist gar nicht so unwahrscheinlich, wie ein Vorfall vom August 2024 zeigt: Ein fehlerhaftes Update führte zu weltweiten Ausfällen bei Systemen, die auf Microsoft und CrowdStrike setzten. Das Beispiel zeigt die Gefahr von Monokulturen in IT-Infrastrukturen.

Der Einsatz von Open Source Software (OSS) kann Abhilfe schaffen. Sie bietet Transparenz und ermöglicht Anpassungen. Gleichzeitig wird so die Abhängigkeit von bestimmten Anbietern reduziert. Dabei geht es im ersten Schritt gar nicht um eine direkte Ablösung der Standardsoftware, sondern vielmehr darum, einen Plan zu haben, um im Fall der Fälle schnell wieder geschäftsfähig zu werden und somit die Resilienz des eigenen Unternehmens zu erhöhen.

Definitionen & Grundlagen


Was ist Resilienz?

  • Widerstandsfähigkeit von IT-Systemen gegenüber Ausfällen, Angriffen und Krisen.
  • Bedeutung für Unternehmen, öffentliche Institutionen und kritische Infrastruktur.

Was ist Open Source Software und wie grenzt sie sich zu proprietärer Software ab?

Grundprinzipien von Open Source Software:

Offener Quellcode, freie Nutzung, Anpassbarkeit

OSS (Open Source Software):

Software, deren Quellcode öffentlich zugänglich ist. Jeder kann den Code einsehen, ändern und verteilen, oft unter einer Open-Source-Lizenz wie der MIT- oder Apache-Lizenz. Der Fokus liegt auf Offenheit und gemeinschaftlicher Entwicklung, ohne zwingend kostenlos zu sein.

FOSS (Free And Open Source Software):

Eine Kombination aus Free Software und Open Source Software. „Free“ bezieht sich hier auf Freiheit, nicht unbedingt auf den Preis. FOSS garantiert Nutzern die Freiheit, die Software zu verwenden, zu studieren, zu ändern und weiterzugeben — oft unter Lizenzen wie der GPL.

FLOSS (Free/Libre Open Source Software):

Ähnlich wie FOSS, aber betont explizit die Freiheit („libre“), um Missverständnisse beim Begriff „free“ zu vermeiden. „Libre“ verdeutlicht, dass es um Nutzungsfreiheit geht, nicht um Gratiskosten.

Proprietäre Software:

Software mit geschlossenem Quellcode. Nutzer erhalten in der Regel nur ausführbare Dateien und keine Rechte, den Code zu ändern oder weiterzugeben. Beispiele sind Microsoft Windows oder Adobe Photoshop.

Hauptunterschiede zwischen Open Source & proprietärer Software:

  • Quellcodezugang: OSS, FOSS und FLOSS bieten offenen Quellcode, proprietäre Software nicht.
  • Lizenzfreiheit: FOSS und FLOSS betonen die Nutzungsfreiheit, während OSS teils flexibler ist (manche OSS-Lizenzen erlauben z. B. proprietäre Forks).
  • Kosten: OSS, FOSS und FLOSS können kostenlos sein, müssen es aber nicht — proprietäre Software ist oft kostenpflichtig.


Die Verbindung zwischen Open Source und Resilienz


Transparenz als Sicherheitsfaktor

  • „Many Eyes“ Prinzip: Der offene Quellcode wird weltweit geprüft, sodass Sicherheitslücken schneller entdeckt und geschlossen werden. Vergleich mit proprietärer Software (z. B. „Security through obscurity“).
  • Schnelle Reaktionszeiten: Sicherheitsupdates werden oft innerhalb von Stunden oder Tagen bereitgestellt, da die Community und nicht nur ein einziger Anbieter daran arbeitet.

Flexibilität & Anpassbarkeit

  • Zugriff auf den Quellcode: Der offene Quellcode ermöglicht schnelle Anpassungen an neue Anforderungen oder Bedrohungen, ohne auf den Hersteller warten zu müssen. Dies ermöglicht eine effektive Reaktion auf Krisen durch Code-Anpassungen.
  • Innovationskraft durch Kollaboration: Die Community treibt kontinuierliche Verbesserungen und neue Funktionen voran — Unternehmen und Staaten profitieren direkt davon.

Unabhängigkeit & Souveränität

  • Keine Vendor Lock-ins: OSS verhindert Abhängigkeit von einem bestimmten Anbieter. Unternehmen und Staaten können Software anpassen oder selbst weiterentwickeln, wenn ein Anbieter ausfällt oder die Preise erhöht.
  • Digitale Souveränität: Staaten können kritische Infrastrukturen mit offenen Lösungen kontrollieren, ohne auf proprietäre Software aus anderen Ländern angewiesen zu sein (wichtig z. B. für Cybersicherheit oder Verteidigung).

Kostenreduktion & Nachhaltigkeit

  • Geringere Lizenzkosten: Ermöglichen die Umverteilung von Ressourcen auf andere sicherheits- oder innovationsrelevante Bereiche.
  • Längere Lebenszyklen: OSS kann auch dann weitergenutzt werden, wenn der ursprüngliche Entwickler das Projekt einstellt — durch eigene Entwickler oder die Community.

Gemeinschaft & Wissenstransfer

  • Geteiltes Wissen und Best Practices: OSS bietet die Chance von den Erfahrungen anderer zu lernen und dadurch schneller reagieren zu können.
  • Globale Kollaboration: Unternehmen und Staaten können Teil von globalen Open-Source-Projekten werden und deren Resilienz gemeinsam stärken.


Praxisbeispiele: Erfolg & Herausforderungen


Erfolgsgeschichten

  • Während der COVID-19-Pandemie halfen Tools wie Jitsi Meet (für Videokonferenzen) der Nextcloud (u. a. für Dateiaustausch) dabei, dass viele insbesondere kleinere Unternehmen remote arbeiten konnten, ohne sich an teure proprietäre Anbieter zu binden.
  • Nach Naturkatastrophen kommt häufig OpenStreetMap (OSM) zum Einsatz, um kurzfristig Karten für Hilfseinsätze zu erstellen. Projekte wie „Missing Maps“ ermöglichen es, gefährdete Gebiete in OSM zu kartieren, sodass humanitäre Organisationen wie das Deutsche Rote Kreuz diese Daten für ihre Einsätze nutzen können. Die erstellten Karten stehen kurz nach ihrer Erstellung in OSM zur Verfügung und können von lokalen Rotkreuzgesellschaften und anderen genutzt werden. (Quelle: https://www.drk.de/hilfe-weltweit/wie-wir-helfen/staerkung-der-humanitaeren-hilfe/missing-maps/)
  • Offizieller Einsatz von OSS in öffentlichen Institutionen (z. B. Frankreichs Verwaltung oder Schleswig-Holstein).
  • Open Source Software wie Linux, Apache oder Kubernetes sind Säulen moderner, resilienter IT-Infrastrukturen. Linux beispielweise läuft auf etwa 90 % aller Cloud-Infrastrukturen und auf rund 85 % der Smartphones weltweit (Quelle: https://techtrends.nau.ch/software-apps/linux-deshalb-gilt-es-als-ruckgrat-der-computerwelt-66915253)

Herausforderungen & Risiken

  • Ressourcen für langfristige Wartung: Viele OSS-Projekte basieren auf freiwilliger Arbeit. Kritische Software-Komponenten (z. B. OpenSSL) wurden teilweise nur von wenigen Entwicklern betreut – bis Sicherheitslücken wie „Heartbleed“ die Risiken aufzeigten. Fehlende finanzielle und personelle Ressourcen können folglich die Resilienz beeinträchtigen.
  • Fragmentierung und Kompatibilität: Die Offenheit von OSS führt manchmal zu einer Vielzahl von Forks oder inkompatiblen Versionen. Dies kann die Koordination erschweren, insbesondere wenn verschiedene Behörden oder Unternehmen unterschiedliche Varianten einer Software nutzen.
  • Sicherheitsverantwortung liegt beim Nutzer: Während die Transparenz von OSS die Sicherheit erhöhen kann, bedeutet sie auch, dass Organisationen selbst für das Einspielen von Patches oder das Absichern der Software verantwortlich sind. Wer keine eigene IT-Kompetenz aufbaut, riskiert Schwachstellen – selbst, wenn die Software an sich sicher ist.
Strategien zur Nutzung von Open Source für mehr Resilienz

Der strategische Einsatz von Open Source Software zur Steigerung der Resilienz erfordert einen vielschichtigen Ansatz, der Sicherheit, Qualität und nachhaltige Entwicklung berücksichtigt. Eine zentrale Rolle spielen Best Practices wie das Prinzip „Defense in Depth“, also die Implementierung mehrerer Schutzebenen, und die Nutzung von Security Frameworks wie OWASP, um häufige Schwachstellen zu vermeiden. Ebenso wichtig ist der Einsatz automatisierter Codeanalyse-Tools wie CAOS, SonarQube oder Snyk, die es ermöglichen, Sicherheitslücken, fehlerhafte Abhängigkeiten oder Lizenzverstöße frühzeitig zu erkennen und zu beheben.

Darüber hinaus trägt die aktive Unterstützung von OSS-Communities durch Unternehmen und Regierungen wesentlich zur langfristigen Sicherheit und Stabilität von Open-Source-Projekten bei. Dies kann durch finanzielle Förderungen, Bereitstellung von Entwickler-Ressourcen oder durch die Veröffentlichung eigener Sicherheits- und Qualitätsrichtlinien erfolgen, um ein hohes Maß an Softwarehygiene zu gewährleisten, wonach auch die Auswahl einer spezifischen Lösung erfolgen sollte. Unternehmen profitieren nicht nur, indem sie sichere und stabile Open-Source Komponenten nutzen, sondern auch von der Innovationskraft der Community.

Ein weiterer kritischer Faktor für Resilienz ist die Implementierung regelmäßiger Sicherheitsupdates und Penetrationstests. Software-Abhängigkeiten müssen kontinuierlich auf Sicherheitslücken überprüft werden, beispielsweise durch das automatisierte Patchen von Bibliotheken mit Tools wie Dependabot oder Renovate. Ergänzend sollten regelmäßige Penetrationstests durchgeführt werden, um reale Angriffsvektoren zu simulieren und Schwachstellen in der eigenen Infrastruktur zu identifizieren.

Schlussendlich empfiehlt es sich auch interne Expertise zu den jeweils genutzten OSS-Produkten aufzubauen, um zum einen die Abhängigkeiten zu reduzieren und zum anderen ein tieferes Verständnis der individuellen OOS-Lösung aufzubauen, welches nur selten durch einen Service Provider geliefert werden kann. Durch diese Maßnahmen können Unternehmen Open-Source Technologien sicher und effizient nutzen, ohne sich unnötigen Risiken auszusetzen, und gleichzeitig zu einer robusteren und widerstandsfähigeren IT-Landschaft beitragen.

Politische und gesellschaftliche Dimensionen

Die politische und gesellschaftliche Bedeutung von Open-Source Software reicht weit über den technischen Nutzen hinaus und spielt eine zentrale Rolle in der digitalen Souveränität und globalen Resilienz für Unternehmen. In der EU wird OSS zunehmend als strategisches Mittel zur Förderung unabhängiger IT-Infrastrukturen betrachtet, um die Abhängigkeit von Tech-Giganten aus den USA und China und anderen proprietären Systemen zu reduzieren, was insbesondere in Zeiten des zunehmenden Protektionismus eine große Rolle spielen wird.

„Souveränität war nie wichtiger als heute“, sagt der Würzburger Informatikprofessor Harald Wehnes mit Blick auf die seit Jahren auch von der Politik angestrebte stärkere Unabhängigkeit von Software und anderen Technologien von marktbeherrschenden Größen vor allem aus den USA wie Microsoft, Amazon, Apple oder Google. Initiativen wie die „Open Source Strategy“ der EU-Kommission oder nationale OSS-Förderprogramme zielen darauf ab, öffentliche Verwaltungen und Unternehmen zur Nutzung und Entwicklung freier Software zu motivieren. Dies stärkt nicht nur die Innovationskraft in Europa, sondern sorgt auch für mehr Transparenz und Kontrolle über kritische digitale Infrastrukturen.

Des Weiteren kann OSS einen wertvollen Beitrag zur globalen Resilienz leisten, insbesondere in Krisengebieten, in denen flexible und kosteneffiziente Softwarelösungen dringend benötigt werden. Open-Source-Technologien ermöglichen es Hilfsorganisationen, schnell auf humanitäre oder Naturkatastrophen zu reagieren – beispielsweise mit OpenStreetMap zur Echtzeit-Kartierung von betroffenen Regionen oder mit OpenMRS für medizinische Datenverwaltung in Flüchtlingslagern. Die offene Natur von OSS erleichtert zudem die Anpassung an lokale Bedürfnisse, sei es durch Sprachlokalisierung, spezifische Funktionserweiterungen oder den Einsatz auf ressourcenschwacher Hardware. Indem OSS sowohl die digitale Unabhängigkeit fördert als auch in humanitären Krisen schnelle und anpassungsfähige Lösungen bereitstellt, trägt sie entscheidend zur Stabilität und Widerstandsfähigkeit moderner Gesellschaften bei.

Fazit: Ein resilienter Weg in die Zukunft

Zusammengefasst trägt OSS durch Transparenz, Kollaboration, Unabhängigkeit und Flexibilität erheblich zur Resilienz von IT-Systemen, Organisationen und Gemeinschaften bei. Unternehmen müssen jetzt handeln, um Risiken zu minimieren, Abhängigkeiten zu reduzieren und insgesamt mehr Flexibilität zu gewinnen. Dafür braucht es keinen kompletten Systemwechsel, aber einen guten Plan B.

Mehr davon? Fordere hier den Mindsetter an!