Strategiefrage: Wie sicher ist etwas Open Source?

Zuerst haben es die Administratoren im Stillen gemacht: von “Underground-Linux-Servern” war in den 90er Jahren die Rede. Zur Jahrtausendwende bekam Open Source den Segen von IBM und SAP. Parallel wurde es in Nischen, zum Beispiel für Webserver, State of the Art. Inzwischen greifen Linux und Open-Source-Applikationen um sich, haben weite Teile der Infrastruktur vereinnahmt, erobern immer mehr Anwendungsbereiche, sind Grundlage von Cloud Computing und aus Embedded Systems gar nicht mehr wegzudenken.

Mit der Rolle hat sich die Wahrnehmung von Open Source verändert. Zuerst war es attraktiv, weil nicht die Software Lizenzkosten verursacht, sondern nur der professionelle Support. Bei einigen Anwenderunternehmen, aber eher bei den wenigsten, war bald auch wichtig, dass ihnen der Quellcode vorliegt und sie ihn verändern dürfen. Das verhieß Freiheiten zu eigener oder beauftragter Weiterentwicklung und keine Sorgen, mit einer Pleite oder Übernahme könnte eine Software vom Markt verschwinden, kurz: Unabhängigkeit von Herstellern.

Die Nachfrage hat dazu geführt, dass Hochschulen ihre Ausbildung immer mehr auf Open-Source-Techniken konzentrieren – und trotzdem sind solche Nachwuchskräfte unverändert knapp. Von den “Frischlingen” haben die IT-Abteilungen bald etwas sehr wichtiges gelernt: Auf Basis von Open Source lässt sich neue Software sehr kostengünstig und vor allem schnell modular aus bestehenden offenem Programmcode “zusammenbauen”. Das Rad wieder zu erfinden ist seither in der IT völlig out; Community-Erfahrungen und gute Kenntnisse der Open-Source-Welt sind gefragt.

Damit ist Open Source ein strategisches Moment der Anwender-IT geworden. Daraus folgt sogleich die Frage, wie sicher es denn ist, dass eine Anwendung auch langfristig Open Source bleibt. Darauf hat die Open-Source-Bewegung schon früh eine Antwort gefunden: Man übergebe das Produkt einer Foundation. Mit dieser Rechtsform ist es schon sehr viel sicherer, dass eine Open-Source-Software, deren Entwicklung im wesentlichen von einer Firma getragen wird, nicht durch eine Übernahme dieses Herstellers proprietär werden kann, etwa dadurch, dass sich die Erweiterungen neuer Versionen nur noch über Closed-Source-Lizenzen verwenden lassen. Wenn solch eine Stiftung von mehreren Firmen getragen und von starken Persönlichkeiten geleitet wird, ist ihre Software faktisch nicht mehr vom Open-Source-Weg abzubringen.

Die bekannteste und älteste Open-Source-Stiftung dieser Art ist die Apache Software Foundation, unter deren Dach inzwischen hunderte Projekte Schutz gefunden haben. Eine andere große Einrichtung ist die damals von IBM ins Leben gerufene Eclipse Foundation. Besonders seit Oracle mit der Übernahme von Sun Eigentümer diverser wichtiger Open-Source-Entwicklungen wurde, sind Foundations in der Community hochaktuell. Denn Oracle hat keinen guten Ruf, seit die Firma Red Hat zu übernehmen und mit dem Kauf von InnoDB der aufkommenden MySQL-Datenbank-Konkurrenz ihre Storage Engine zu entziehen versuchte.

Die weiteren Ereignisse sind bekannt: Auf den Stillstand bei OpenOffice folgte die Abwanderung der Entwickler-Community, die LibreOffice begründete und sogleich mit der Document Foundation schützte. Zu dieser Zeit hatte auch die Kerntruppe von MySQL Oracle den Rücken gekehrt und mit MariaDB einen Fork gegründet, der heute der Muttersoftware technisch überlegen ist. Diese Datenbank gehörte ursprünglich Monty Program, einer Firma des MySQL-Mitbegründers Michael “Monty” Widenius. Diese ist inzwischen in SkySQL aufgegangen, aber nicht dieser Firma gehört die neue Datenbank, sondern sie wird verwaltet von einer Stiftung, der MariaDB Foundation. Das Motiv ist klar: MariaDB soll immer Open Source bleiben. Das ist ein Signal an strategisch denkende Anwenderunternehmen: Ihrer IT-Infrastruktur drohen mit Open Source keine unangenehmen Überraschungen.