Open-Source-Software (OSS) bezeichnet IT-Anwendungen, deren ursprüngliche Programmierung, der Quellcode (= Source Code) offen zugänglich ist – anders als bei proprietärer Software, bei der Anbieter den Quellcode geheim halten. Jeder kann den Code theoretisch verändern und weiterverbreiten, ohne damit Schutzrechte zu verletzen. Die OSS selbst ist kostenlos erhältlich, es gibt große Communitys ehrenamtlicher Entwickler, die auch bei Fragen weiterhelfen.
Kommerzielle Anbieter von OSS verdienen ihr Geld mit Schulungen, technischem Support oder Beratungen, zusätzlichen kostenpflichtigen Funktionen (Freemium) oder indem sie die Software „as a Service“ (SaaS) als Dienstleistung vertreiben und Nutzer für den Zugang zahlen lassen. Open Source ist also nicht dasselbe wie „freie Software“. Seit den 1990er Jahren gibt es rege Debatten über die Abgrenzung der beiden Begriffe wie auch um das philosophische Konzept der Bewegung.
Welche Lizenzen für Open Source gibt es?
Es existieren diverse Open-Source-Lizenzen, die sich zum Teil deutlich unterscheiden: Zu den bekanntesten gehört die GNU General Public License (GPL) der Free Software Foundation. Nutzer dürfen GPL-Software verändern, müssen aber alle Änderungen und abgeleitete Produkte ebenfalls unter der GPL veröffentlichen („Copyleft“-Prinzip). Das Linux-Betriebssystem ist eine GPL-lizenzierte Software, inzwischen gibt es Dutzende Linux-Varianten.
Die „MIT-Lizenz“ des Massachusetts Institute of Technology gilt als freizügiger, sie verzichtet auf das „Copyleft“. Die Apache License 2.0 der Apache Software Foundation, die viele wichtige Bausteine professioneller IT-Anwendungen liefert, darunter den Apache-Webserver, erlaubt Nutzern ausdrücklich, die Software in kommerziellen, proprietären Projekten zu verwenden. Sie enthält jedoch Bestimmungen zum Patentschutz. Weitere wichtige Lizenzen sind die BSD-Lizenz (Berkeley Software Distribution) und die Mozilla Public License (MPL).
Ist Open Source immer kostenlos?
Nicht unbedingt, aber Open-Source-Software (OSS) ist im Vergleich zu proprietärer Software oft kostengünstiger. Wenn Organisationen auf professionellen Service verzichten und sich vollständig auf die Entwickler-Communitys verlassen, entstehen keine direkten Kosten. Das ist bei Open-Source-Angeboten mit kommerziellem Kundenservice wie Red Hat (Linux-Betriebssystem) oder EDB Postgres (Datenbank-Software) zwar anders, aber sie sind dennoch oft günstiger als proprietäre Anwendungen. Oft enthalten kommerzielle IT-Lösungen übrigens ohnehin Open-Source-Module, vor allem Betriebssysteme (außer Windows) und Web-Anwendungen.
Wie sicher ist Open Source?
OSS gilt als innovativ und recht sicher, solange eine aktive Community an der Entwicklung arbeitet, Fehler schnell findet und Sicherheitslücken schließt. Eine solche Community kann auch die Dokumentation verbessern oder Anwendern bei Problemen helfen. Das sind allerdings gleichzeitig die größten Nachteile von OSS: Wenn die Community nicht helfen kann oder will, gibt es unter Umständen keinen Support. Und: Auch Angreifer finden im offenen Quellcode sehr leicht Schwachstellen, weil sie ihn ja ebenfalls komplett einsehen können.
Wird Open-Source-Software auch in Unternehmen eingesetzt?
Ja, viele große Unternehmen nutzen OSS, vor allem in der IT-Branche – SAPs Unternehmenssoftware S4/HANA baut zum Beispiel in großen Teilen auf dem OSS-Betriebssystem Linux auf und nutzt die Open-Source-Programmiersprache „R“. Wichtig ist es, die Lizenzbedingungen einzuhalten, vor allem dann, wenn Organisationen OSS für eigene Zwecke modifizieren, verändern und weiterentwickeln. Experten raten, ein klares Regelwerk für Entwickler – vor allem Freelancer – vorzugeben. Dazu sollte auch der regelmäßige Einsatz spezieller Tools gehören, die Open-Source-Komponenten finden und Lizenzkonflikte melden (Software Composition Analyse).
Weil es immer wieder Angriffe auf OSS gibt, brauchen professionelle Anwender zudem ein robustes Sicherheitskonzept. Die neue DIN-Norm ISO/IEC 18974:2023 zur Open-Source-Security gibt dazu einen Standard vor: etwa klare Open-Source-Security-Richtlinien, genau definierte Rollen und Ressourcen sowie Freigabe-Prozesse.
Wer bietet Open-Source-Lösungen für Unternehmen und Verwaltungen an?
Ein bekannter Anbieter für Unternehmensanwendungen ist Red Hat. Red Hat vermarktet unter anderem ein Linux-Betriebssystem unter dem Markennamen Enterprise Linux, außerdem diverse Komponenten, die andere Anwendungen miteinander verbinden (Middleware). Canonical ist bekannt für Ubuntu, eine der beliebtesten Ableitungen des Betriebssystems Linux, häufig eingesetzt in Server- und Cloud-Umgebungen. Die Apache Software Foundation unterstützt zahlreiche Open-Source-Projekte wie den Apache HTTP Server. Sie sind oft in professionellen Anwendungen integriert.
Die Deutsche Telekom hat 2023 ein Open-Source-Angebot für Behörden gestartet. Partner sind Grommunio, Univention, Nextcloud, Owncloud, Mattermost, Jitsi, Element Software, Open Xchange, Big Blue Button und Open Talk. Die bundeseigene Digital Service GmbH setzt bei ihren IT-Lösungen für die Verwaltung ebenfalls ganz auf Open Source.
Auch im Cloud Computing gibt es Open-Source-Lösungen, insbesondere von Open Stack genauso wie in der Künstlichen Intelligenz (KI). Eine Übersicht über Anbieter und Produkte bietet OSS Directory.
Welche Open-Source-Organisationen und Verbände sind wichtig?
Weltweit bedeutend ist etwa die Open Source Initiative (OSI). Sie zertifiziert Open-Source-Lizenzen und unterstützt die Open-Source-Community. Die Free Software Foundation (FSF) setzt sich für die Entwicklung und Nutzung freier Software ein. Die Linux Foundation fördert vor allem die Weiterentwicklung des gleichnamigen Betriebssystems.
Auf europäischer Ebene gibt es zum Beispiel die Lobbyorganisation Apell, den Thinktank Open Forum Europe und das European Open Source Consortium (EOS), in dem sich eine Gruppe europäischer Open-Source-Unternehmen zusammengeschlossen hat, darunter Redpill Linpro aus Skandinavien, Smile aus Frankreich, Univention aus Deutschland, Adfinis aus der Schweiz und Lunatech aus den Niederlanden.
In Deutschland vertritt die OSB Alliance – Bundesverband für digitale Souveränität e.V. (OSBA) mehr als 200 deutsche Unternehmen der Open-Source-Wirtschaft. Der Verband für betriebsfähige, offene Cloud-Infrastrukturen e.V. (ALASCA) mit Sitz in Dresden will Cloud-Projekte auf der Grundlage freier Software fördern. Mit dabei sind Cloud&Heat Technologies, Schwarz IT, der slowakische Cloud-Spezialist dNation, Cyberus Technology, D3TN, Secunet Security Networks und Secustack.
Ist Open Source vom Cyber Resilience Act (CRA) der EU betroffen?
Der Cyber Resilience Act (CRA) der EU, der 2026 in Kraft tritt, soll die Sicherheit digitaler Produkte verbessern und verschärft dafür die Anforderungen an Anbieter. Hersteller sollen für die Sicherheit von Softwareprodukten geradestehen und von sich aus Schwachstellen melden. Das dürfte in vielen Fällen auch für Open-Source-Entwickler gelten. Gleichzeitig werden sie aber oft von Freiwilligen betrieben, die solche Anforderungen nur schwer erfüllen können. Das sorgt für Kritik, denn die zusätzlichen Anforderungen und die damit verbundenen Kosten könnten kleine Projekte überfordern. Nicht-kommerzielle Open-Source-Softwareprodukte fallen nicht unter die Anforderungen des CRA.
Ist Metas KI-Produkt Llama wirklich Open Source?
Ist Metas KI-Produkt Llama wirklich Open Source?
Immer mehr große Unternehmen lizenzieren ihre Künstliche-Intelligenz-Modelle als Open Source, zum Beispiel Facebooks Mutterkonzern Meta mit seinem KI-Produkt Llama. Nur ist heftig umstritten, ob Anbieter wie Meta dafür genügend Informationen offenlegen – Trainingsdaten hält das Unternehmen zum Beispiel unter Verschluss. Die Open Source Initiative (OSI) hat im Herbst 2024 eine Definition veröffentlicht, die Open Source AI Definition (OSAID), die Kriterien für Open-Source-KI-Systeme festlegt. Llama erfüllt sie bisher nicht. Kritiker sprechen von „Open Washing“, weil kommerzielle KI-Anbieter sich aus ihrer Sicht zu Unrecht mit dem Label „Open Source“ schmücken.
