Compliance und Sicherheit in der Open-Source-Nutzung

Zu diesem Interview gibt es bereits einen ersten Teil, in dem wir mit Laurent Rohmer von BearingPoint in Zürich über den Stellenwert von Free Open Source Software (FOSS) und die Bedeutung des EMBAG sprechen.

Claus-Peter, euer Kerngeschäft ist das Open Source Software Management. Wie hat sich dessen Bedeutung im Laufe der letzten zehn Jahre entwickelt?

Die Bedeutung von Free Open Source Software (FOSS) nimmt ständig zu. Heutzutage ist es praktisch unmöglich und auch nicht ökonomisch sinnvoll, Software ohne die Verwendung von FOSS zu entwickeln. Mit FOSS bekommt man hochwertige Software-Komponenten, die von einer breiten Community von Entwicklern erstellt und kontinuierlich gepflegt werden. Diese selbst zu entwickeln wäre mit hohen Kosten verbunden. Aktuellen Studien zufolge ist FOSS heute in mehr als 90% der Software enthalten. Vor 10 Jahren waren es noch 35%. Ein Software-Produkt enthält heute durchschnittlich 981 verschiedene FOSS-Komponenten, fast 10-mal mehr als im Jahr 2015.

Ein umfassendes FOSS-Management mit entsprechenden Prozessen und Werkzeugen ist ein Muss, nicht zuletzt wegen der zunehmenden regulatorischen Anforderungen, wie z.B. durch den EU Cyber Resilience Act.

Wie hat sich dadurch eure tägliche Arbeit verändert und wie die Bedürfnisse eurer Kunden?

Für unsere Kunden bedeutet dies zusätzliche Herausforderungen, die entsprechendes Fachwissen und zusätzliche personelle Kapazitäten erfordern. BearingPoint ist eine verlässliche Partnerin, die sie auf dieser Reise begleitet und aktiv dabei unterstützt, FOSS regelkonform und sicher einzusetzen.

Welche Bedeutung kommt KI bei der Entwicklung und Verbreitung von Open Source Software zu? Kannst du für uns eine Einordnung machen?

Der Einsatz von KI in der Software-Entwicklung ist bereits weit verbreitet. KI-Modelle sind in der Lage, auch für komplexe Probleme selbständig Code zu generieren. Da die Modelle mit öffentlich zugänglicher FOSS trainiert werden, enthält der generierte Code oft auch FOSS-Anteile, die dadurch unbemerkt in das Produkt einfliessen. Die FOSS-Lizenzbestimmungen gelten aber weiterhin für diese FOSS-Anteile. Da KI-Modelle typischerweise keinerlei Information über die Quelle des generierten Codes liefern, ist die Lizenzsituation in den meisten Fällen nicht bekannt. Hier bleibt nur der Einsatz von Werkzeugen, welche diese FOSS-Anteile im Code erkennen können und helfen, deren Herkunft und Lizenz zu ermitteln.

Die FOSS-Management-Services von BearingPoint sollen ja die Kunden darin unterstützen, die mit der FOSS-Nutzung verbundenen Risiken zu reduzieren. Kannst du uns diese Risiken und euer Vorgehen erläutern?

Mit der Nutzung von FOSS steht man vor zwei wesentlichen Herausforderungen: Lizenz-Compliance und Sicherheit. FOSS ist zwar kostenlos erhältlich, aber dennoch urheberrechtlich geschützt. Jede FOSS-Komponente steht unter einer Lizenz, die dem Nutzer zwar weitgehende Rechte einräumt, aber auch Verpflichtungen auferlegt. Die Einhaltung dieser Lizenzbestimmungen ist unabdingbar.

Wie jede andere Software auch, kann FOSS Sicherheitslücken aufweisen. Diese werden zwar in der Regel zeitnah durch die Community behoben, aber die Nutzenden sind für die Installation von Updates selbst verantwortlich. Diese kommen in der Regel nicht automatisch, so wie bei manchen kommerziellen Software-Produkten.

Um diese Risiken zu erkennen und aktiv zu managen, unterstützen wir unsere Kunden bei der Einführung, Weiterentwicklung und Durchführung eines effizienten und effektiven FOSS-Managements mit zugehörigen Richtlinien, Prozessen und Werkzeugen.

Zu euren Kunden gehören nicht nur der öffentliche Sektor, sondern beispielsweise auch die Automobilindustrie, die Telekommunikation, der Einzelhandel und die Medien. Welche Unterschiede nehmt ihr zwischen den verschiedenen Branchen wahr?  

Unsere Kunden kommen aus den verschiedensten Branchen. Daraus ergeben sich natürlich unterschiedliche Anforderungen und Vorgehensweisen. In der Automobilindustrie beispielsweise ist FOSS-Management ein integraler Bestandteil des Risikomanagements. Sicherheit hat hier einen besonders hohen Stellenwert, aber auch auf die Einhaltung der Lizenzbestimmungen wird besonderes geachtet. Kürzlich ist ein chinesischer Automobilhersteller in Deutschland wegen Verstössen gegen die FOSS-Lizenzbestimmungen verklagt worden.  Das unterstreicht die Notwendigkeit, FOSS aktiv zu managen. Jede Branche hat ihr eigenes Risiko-Profil und damit ist die Ausprägung des FOSS-Managements durchaus unterschiedlich.

Mit Swisscom habt ihr eine sehr interessante Kundin, für die ihr ein effizientes Management der FOSS-Compliance sicherstellen und langfristig die operativen FOSS-Management-Prozesse übernehmen durftet. Was waren für dich die wichtigsten Erfahrungen, die du in der Zusammenarbeit mit Swisscom machen durftest?

Die Einhaltung der FOSS-Lizenzbedingungen ist integraler Bestandteil der Corporate Responsibility von Swisscom. Seit 2016 unterstützen wir Swisscom in allen Bereichen des FOSS-Managements. Dazu gehört auch die Durchführung umfassender Compliance-Checks vor der Freigabe von Swisscom Software. Gemeinsam mit Swisscom haben wir die dafür erforderlichen Prozesse weiterentwickelt und kontinuierlich verbessert, insbesondere durch Standardisierung, Skalierbarkeit und Flexibilität. Eine hohe Effizienz, Qualität und Termintreue waren hier besonders wichtig.

Wo lagen in der Zusammenarbeit mit der Swisscom die grössten Herausforderungen?

Wie bei allen unseren Managed Service Kunden, war auch bei Swisscom die grösste Herausforderung, eine für das Unternehmen exakt passende FOSS Management Infrastruktur zu entwickeln und zum Leben zu bringen. Schnittstellen zum Entwicklungsprozess müssen so gestaltet werden, dass die FOSS-Management-Aktivitäten diesen nicht verlangsamen oder blockieren, aber gleichzeitig die Einhaltung der unternehmensspezifischen FOSS-Richtlinien sichergestellt werden kann. Auch die Schnittstelle zur Rechtsabteilung muss so gestaltet werden, dass alle erforderlichen technischen Informationen bereitgestellt werden, die für eine zeitnahe und effiziente rechtliche Klärung erforderlich sind.

Das bedeutet für uns, dass wir unsere internen Abläufe und die operativen Schnittstellen an die konkrete Kundensituation flexibel anpassen müssen, damit alle Beteiligten den FOSS-Service einfach und effizient nutzen können und wir die Ergebnisse immer termingerecht und in der erwarteten Form bereitstellen können. Das hat nicht zuletzt durch die offene und konstruktive Zusammenarbeit mit Swisscom sehr gut funktioniert.

Vielen Dank für das Gespräch!