Enterprise-Open-Source-Software wird immer häufiger eingesetzt. Oft gibt als Entscheidungskriterium die bessere Qualität den Ausschlag, aber auch die hohe Sicherheit spielt bei der Projektvergabe eine entscheidende Rolle.
Kein Zweifel: Open-Source-Software hat die Herzen und Köpfe der Entscheider in Unternehmen erreicht. Angesichts der Bedeutung der IT-Sicherheit für Unternehmen und Organisationen sämtlicher Branchen, unabhängig von der geografischen Region, ist diese Liebesbeziehung keinesfalls überraschend. So nannten 29 Prozent der Befragten in einer
aktuellen Umfrage zum Einsatz von Open- Source-Software in Unternehmen eine «qualitativ bessere Sicherheit» als wichtigsten Vorteil gegenüber proprietärer Software.
Sicherheit ist entscheidend
Unerwartet jedoch ist, welchen Grund dieselben Befragten als grösstes Hindernis für den Einsatz von Open-Source-Software nannten: Für 38 Prozent ist es – die Sicherheit. Lässt sich daraus schliessen, dass Unternehmen die Sicherheit in Open-Source- Software doch für unzureichend halten? Dem ist offensichtlich nicht so: Die Antwort auf die Frage nach dem Vorteil von Open- Source-Software gegenüber proprietärer Software weist eindeutig in die gegenteilige Richtung. Der eigentliche Grund dafür ist vielschichtig – und das ist eine gute Nachricht für Enterprise-Open-Source-Software. Arbeiten Unternehmen mit einer proprietären Software eines bestimmten Herstellers zusammen, ist es einfach, diese als eine in sich geschlossene Einheit – und damit als sicher – zu betrachten. Die IT Verantwortlichen geben sich oft damit zufrieden, dass der Software-Hersteller einen guten Ruf und eine akzeptable Positionierung im Markt hat, eine im Notfall erreichbare Support-Hotline aufführt und in regelmässigen Abständen – zum Teil kostenpflichtige – Upgrades zur
Verfügung stellt. Die Einschätzung der Risiken bei einem Einsatz dieser Software basiert nicht selten allein auf einzelnen und gezielten Nachfragen in Bezug auf Methoden und Verfahren während der Entwicklungsphase. Fallen die Antworten erwartungsgemäss aus, werden die Risiken automatisch als gering eingeschätzt. Das ist ein Trugschluss und kann fatale Folgen mit sich ziehen. Solch eine falsche Einschätzung geht davon aus, dass der Anbieter proprietärer Software gewissermassen eine sichere Insel darstellt, die keinerlei Kontakte zur Aussenwelt unterhält, somit keine Schnittstellen aufweist und es daher auch keine weiteren Abhängigkeiten gibt. Das aber ist äusserst unwahrscheinlich – sei es aufgrund von Plattform-, Toolchain- oder sogar Open- Source-Abhängigkeiten, die für den Benutzer der Software auf den ersten und manchmal sogar zweiten Blick nicht sichtbar sind.
Community nutzen
Ob sichtbare oder unsichtbare Abhängigkeiten, in der Regel birgt eine solche Konstellation
das Potenzial erheblicher Risiken. Kein Wunder, dass Unternehmen und Organisationen sich deshalb immer öfter Open-Source zuwenden. Aber Vorsicht ist geboten: Beschliessen sie, Open-Source- Projekte aus der Community ohne zusätzlichen Support einzusetzen, könnten auch hier etwaige Sicherheitsbedenken berechtigt sein. Schliesslich ist das Rohprodukt in keine verbindlichen und kontinuierlichen Sicherheitsprozesse und in kein Patch- Management eingebunden. Somit erfüllt es nicht die Basis-Anforderungen von
Enterprise-Lösungen. Allerdings kann es für das Engagement in Open-Source- Projekten durchaus auch gute Gründe geben: Nämlich dann, wenn das Unternehmen über genügend Ressourcen und die Expertise verfügt, um Open-Source- Projekte der Open-Source-Community zu unterstützen. Durch die Einbindung in diese Community ergeben sich für Unternehmen und Organisationen eindeutige und nachweisbare Vorteile. Allerdings müssen die damit verbundenen Risiken und Pflichten sorgfältig abgewogen werden, denn das Unternehmen ist dann auch selbst für alle nötigen Sicherheitsmassnahmen des eingesetzten Open-Source- Projekts verantwortlich.
Viele Sicherheitsvorteile
Zur Erinnerung: In der Studie von Red Hat wurde explizit nach Enterprise-Open- Source-Software gefragt, und nicht nach Open-Source-Software aus Projekt-Repositorien, gefunden und kopiert im Internet. Enterprise-Open-Source-Software ist zwar immer noch Open Source, verfügt aber über alle Vorteile, die Unternehmen von jeder Unternehmens-Software erwarten. Konkret geht es dabei um vereinbarte Service-Level-Agreements, vollständige und aktuelle Dokumentationen, einen verlässlichen und langen Lebenszyklus
sowie zusätzliche Funktionen, etwa die Integration in andere Produkte, Hochverfügbarkeit
oder Resilienz-Optionen. Zudem hat der Hersteller einer solchen Open- Source-Software seine Lösung normalerweise auch für bestimmte Standards zertifizieren lassen und bietet Schulungssowie Integrationsdienstleistungen an. Nutzen Unternehmen und Organisationen
Enterprise-Open-Source-Software, setzen sie eine fertige Lösung und nicht das Rohprodukt eines Open-Source-Projekts ein. Der entscheidende sicherheitsspezifische Vorteil: Der Anbieter, der die Lösung bereitstellt, bietet dafür Service und Support und bürgt für dessen Qualität und Sicherheit.
Im Normalfall schneller
Der Hersteller von Open-Source-Software stellt ein Produkt für den Betrieb in einer Unternehmensumgebung zur Verfügung; es liegt sowohl in seinem eigenen als auch im Interesse des Kunden, dass die Implementierung und der Betrieb so sicher und zuverlässig wie möglich durchgeführt werden. Vom Anbieter kann erwartet werden, dass er rechtzeitig Patches für wichtige Sicherheitsprobleme bereitstellt und unterstützt. Im Unterschied zu einem Hersteller proprietärer Software kann er die gesamte Community nutzen, um Sicherheitsprobleme im Produkt im Normalfall schneller zu verbessern und zu beheben. Unternehmen sollten nicht dem Trugschluss unterliegen, dass Open-Source-Software automatisch sicherer ist als proprietäre Software. Das Engagement eines Anbieters
von Enterprise-Open-Source-Software in Open-Source-Projekten bedeutet, dass dieser und die gesamte Community von einem viel breiteren Pool an Sicherheitsexperten profitieren als proprietäre Anbieter, die nur über die eigenen Ressourcen verfügen. Fehler werden dank der Community in der Regel schneller gefunden, dokumentiert und behoben als bei proprietären Produkten.
Sicherheit ist der Treiber
Aus diesem Grund haben die Befragten in der Red-Hat-Studie die Sicherheit von Enterprise-Open-Source-Software als einen wesentlichen Vorteil eingestuft. Es kann eventuell noch etwas dauern, bis die Führungskräfte in den Unternehmen und Organisationen dies ebenfalls erkennen und ihr Augenmerk darauf richten. Enterprise- Open-Source-Software bietet eine grossartige Möglichkeit, die Sicherheitsrisiken gezielt zu adressieren. Sicherheit sollte kein Hindernis, sondern ein wichtiger Treiber für die Einführung von Enterprise-Open-
Source-Software sein.