12.11.2014, 08:57 Uhr

Open-Source-Lizenzen mit Risikopotenzial

Open Source wird unter Schweizer Software-Häusern und ihren Kunden immer populärer. Aber Vorsicht: Viele Software-Pakete werden nicht lizenzkonform weitergegeben. Im Ernstfall drohen juristische Klagen.
Software-Konzerne verbauen Open-Source-Komponenten in ihren Software-Paketen, ohne das an die grosse Glocke zu hängen. Warum auch, schliesslich machen die klassischen Lizenzgebühren, die man vom Kunden verlangt, immer noch einen grossen Anteil am Umsatz aus. Und Open Source (OS) ist lizenzgebührenfrei. Ob Open Source ja oder nein, der Drops sei gelutscht, sagte Karsten Reincke von der Deutschen Telekom, der als Gastredner auf dem diesjährigen Schweizer Open Source Business Forum den Eröffnungsvortrag hielt. Open Source gilt als innovativer, produktiver und oftmals preisgünstiger als die proprietäre Gebühren-Software. Software-Firmen, die mit dem Verkauf von Programmen ihr Geld verdienen, wissen diese Vorteile für sich zu nutzen.
Viele Software-Pakete, die Open Source enthalten, würden jedoch nicht lizenzkonform an die Kunden weitergegeben, betont Reincke, der sich als Open-Source-Compliance-Manager seit Jahren mit der Problematik beschäftigt. «Wenn Sie eine Open-Source-Software nutzen, dann haben Sie genau das zu tun, was die jeweils geltende Lizenz von Ihnen verlangt», so Reincke. In der Regel muss die (gebührenfreie) Open-Source-Lizenz, die Nutzung und Weitergabe regelt, vollumfänglich dem Software-Paket beigelegt werden. Viele Firmen machen das aber nicht, sondern verlinken stattdessen, weil durch die umfangreichen Dokumente der Traffic-Work­load steigt und die Performance sinkt. Eine verständliche Vorgehensweise – aber in der Folge geben die Anbieter ihre Produkte nicht lizenzkonform an ihre Kunden weiter und Kunden erhalten Software, die sie streng rechtlich gar nicht nutzen dürfen. Besonders grössere Firmen geraten dadurch in einen gefährlichen Abwärtsstrudel, denn je grösser das Unter­nehmen, desto häufiger ist eingebettete Open-Source-Software im Einsatz, desto komplexer das Compliance-Regelwerk und desto weitverzweigter die Supply Chain. Gegenüber den Kunden aber ist der Anbieter in der Pflicht, nicht der ursprüngliche Entwickler oder die Open-Source-Community. Verkauft zum Beispiel Samsung an die Swisscom eines ihrer Smartphones, dann sind die Koreaner gegenüber den Schweizern für die korrekte Handhabung der Lizenzen verantwortlich. Sobald aber die Swisscom das Smartphone weiterverkauft, stehen die Schweizer gegenüber den Kunden in der Pflicht.

De-Facto-Standard

Trotz versteckter Risiken wollen Schweizer Unternehmen auf die vielen Vorteile der freien Software nicht verzichten. «Open Source sehe ich mittlerweile als eine Art De-facto-Standard; wir können nicht alles selber machen», sagte Marcus Brunner, Leiter Standardisierung in der Abteilung Strategie und Innovation bei der Swisscom. Open Source verlangt laut Brunner eine aktive Community, unterschiedliche Stake­holder und offene Strukturen. Keiner werde aus­geschlossen. Offene Architekturen seien unter Telekommunikationsanbietern sehr beliebt, auch weil man ansonsten leicht in Konflikt mit dem Wettbewerbsrecht gerät. Ausserdem fördert Konkurrenz die Innovation. Als wesentliche Vorteile des OS-Modells nennt Brunner, dass erste Funktionen eines Software-Projekts sehr früh zum Ausprobieren bereitstehen. Durch den gemeinsam in der Community entwickelten Source Code fallen ausserdem die Entwicklungskosten niedriger aus. Aber Brunner sieht auch Nachteile: Negativ schlage zu Buche, dass die Robustheit und Zuverlässigkeit von Apps am Anfang eines OS-Projekts nicht immer höchste Priorität habe. Ausserdem sei es schwierig, die Roadmap der Community zu beeinflussen und eine Architektursicht im Projekt zu etablieren. «Das ist für uns ein Problem, denn wir haben ja auch noch einige andere Systeme am Laufen», erklärt Brunner.

Open Source bei der Swisscom

Trotzdem scheinen bei der Swisscom die Vorteile die Nachteile zu überwiegen. Der Schweizer Telko-Riese setzt in seiner Infrastrukturlandschaft unter anderem die Cloud-Plattform OpenStack, verschiedene kommerzielle HyperVisoren und die offene Entwicklerplattform CloudFoundry (PaaS) ein. Die Software-Entwickler der Swisscom programmieren in Java, arbeiten mit dem JavaScript-Applikationsserver Node.js und benutzen die OS-Datenbanken mongoDB und MariaDB. Fazit: In der Swisscom-Cloud, die der Telko-Anbieter gerade in der Schweiz aufbaut, ist viel Open Source im Spiel. Lesen Sie auf der nächsten Seite: JavaScript ein kniffliger Fall

Kniffliger Fall: JavaScript

Die Webprogrammiersprache JavaScript ist jedoch laut Lizenzexperte Reincke eine recht knifflige Angelegenheit. Reincke nennt als Beispiel die weitverbreitete JavaScript-Bibliothek jQuery, die unter einer MIT-Lizenz laufe. «Die MIT-Lizenz ist die permissivste unter den 69 Open-Source-Lizenzen, die wir haben», betont er. Trotzdem muss sie überall vollumfänglich mit dabei sein. Aus den erwähnten Performance-Gründen verfahren die Anbieter jedoch nicht immer lizenzkonform. Die gutmütige Open-Source-Community stört sich zwar nicht daran, und das Risiko eines Software-Anwenders, also eines Kunden, deswegen verklagt zu werden, sei «nicht gross», beruhigt Reincke die Gemüter. Software-Anbieter, die Open-Source-Komponenten in ihren Paketen weiterreichen oder als kommerziellen Service in der Cloud anbieten, stecken jedoch in der Zwickmühle: Verhalten sie sich lizenzkonform, erzeugen sie ineffizienten Traffic-Overload; optimieren sie den Traffic, verstossen sie streng genommen gegen die Lizenzbestimmungen. Zum Glück, so könnte man den Gedanken weiterspinnen, haben Rechtsanwälte diesen lukrativen Markt der geheimen Open-Source-Lizenzverstösse noch nicht für sich entdeckt. Hängige Gerichts­verfahren sind zurzeit nicht bekannt. Tickt da eine Zeitbombe, die jederzeit hoch­gehen kann? Open Source wird jedenfalls auch in der Schweiz immer populärer. «Zühlke setzt Open-Source-Komponenten ein, wenn wir Web­applikationen im Java-Bereich entwickeln», sagt Wolfgang Giersche, früher Software-Architekt, jetzt Business-Unit-Leiter beim Schweizer Software-Entwickler Zühlke Engineering. «Die meisten unserer Kunden betreiben unsere Software auf quelloffenen Applikationsservern und haben eine klare Präferenz für quelloffene Bestandteile entwickelt», berichtet er, und nennt den JBoss Application Server als gern genutztes Beispiel. Giersche ist sich aber nicht nur der Vorteile, sondern auch der Risiken sehr wohl bewusst: «Einige Lizenzen schränken die Art und Weise der Verwendung der mit den quell­offenen Bestandteilen entwickelten Produkte ein. Dies muss in jedem Fall für jede Komponente sorgfältig geprüft werden.»

Kein Vendor Lock-in

Nach Jahren der Skepsis scheinen Schweizer Kunden ihre Liebe zu Open Source entdeckt zu haben. Oliver Kraucher und Dieter Brack von Green.ch stellten auf dem Schweizer Open Source Business Forum ihre neue Lösung OpenStack Flexcloud vor, deren Marktlaunch «un­mittelbar bevorsteht». «Wir haben OpenStack bewusst in den Produktnamen auf­genommen, um den Kunden zu zeigen, dass es sich um Open Source handelt», sagte Kraucher in seinem Vortrag auf dem Business-Forum. OpenStack sei die erfolgreichste und grösste OS-Cloud-Lösung. Man könne Multi-Tiering verwenden, profitiere von einer enormen Skalierbarkeit und vermeide den berüchtigten Vendor Lock-in. Denn das sei ja der Grund­gedanke von Open Source: Kunden seien nicht an einen bestimmten Provider oder ein bestimmtes System gebunden. Sie könnten ihre Services bei einem Provider runter- und bei einem anderen wieder hochfahren, ohne auf nennenswerte Probleme zu stossen, betonte Kraucher. Als typische Use Cases für die neue Flexcloud nennt er Video-Rendering, Backups, E-Commerce-Anwendungen, Entwicklungs-, Test- und Marketingumgebungen und High-Availability-Szenarien. Neben den Infrastrukturleistungen Compute, Storage, Netzwerk und Sicherheit will Green.ch seinen Kunden auch Business-Apps wie CRM, ERP und Office aus der Flexcloud offerieren.

Aggressive Patentklagen

Nicht nur ein nachlässiger Umgang mit Lizenzen, auch böswillige Patentklagen können Open Source gefährlich werden. «Das können Sie in den Vereinigten Staaten beobachten», sagte Valer Mischenko, Emea-Repräsentant vom Open Invention Network. In den USA würden Hunderte Patente vergeben, die auf der glei-chen Erfindung fussen, und danach bekämpfe man sich gegenseitig vor Gericht, erzählt er.
Mischenko spricht von «patent aggression». Sein Open Invention Network hat es sich zur Aufgabe gemacht, das freie Betriebssystem Linux vor solchen Klagen zu schützen. Davor ist niemand gefeit, auch nicht in der Schweiz. Der Rückversicherer Swiss Re hat etwa in den letzten Jahren seine Business-kritischen SAP-Systeme auf suSE Linux Enterprise Server (SLES) migriert. Heute laufen alle 84 SAP-Produktionssysteme auf SLES. Von Januar bis August dieses Jahres erzielte der Rückversicherer damit eine gesteigerte Verfügbarkeit von 99,99 Prozent. Swiss Re liege mit der Migration auf Linux voll im Trend, sagt Alexander Türk, SAP Basis Delivery Manager bei Swiss Re. Denn das Betriebssystem Solaris, in der Hand von Oracle, verliere deutlich an Boden. AIX, das Unix-Derivat von IBM, halte in etwa seinen Marktanteil, aber viele Unternehmen würden zurzeit auf Linux migrieren, meint Türk. Swiss Re ist dem Open Invention Networks beigetreten, das mit etwa 40 Neumitgliedern pro Monat stark wächst und seine Mitglieder bei Linux-Patentklagen unterstützt.

Erste Orientierung

Einen roten Faden im Lizenzdschungel bietet das 300 Seiten starke Open Source Licence Compendium. Die Deutsche Telekom hat eine bedienfreundliche interaktive Version unter http://opensource.telekom.net/oscad/request bereitgestellt. Wer sechs Fragen unter anderem zu Typ, Kontext, Empfänger und Lizenz der benutzten OS-Software beantwortet, erhält danach eine erste Orientierung.
! KASTEN !


Das könnte Sie auch interessieren