Open-Source-Lizenzen: Keine Lizenz, große Probleme? 

Illustration: Absmeier, Progressor

In der modernen Softwareentwicklung werden die dazu nötigen Komponenten wie Puzzleteile aus verschiedenen Quellen zusammengestellt. Open-Source-Komponenten haben daran einen ständig wachsenden Anteil. Der  2020 Open Source Security and Risk Analysis (OSSRA) Bericht hat gezeigt, dass 99 % der überprüften Codebasen Open Source und 100 % der Codebasen aus neun der 17 berücksichtigten Branchen mindestens eine Open-Source-Komponente enthalten [1]. Unternehmen entscheiden sich im Wesentlichen aus zwei Gründen für Open Source: Sie wollen bei der Softwareentwicklung schneller vorankommen und sie wollen Kosten senken. Dabei gerät leicht in Vergessenheit, dass Open Source zwar bei der Anschaffung keine Kosten verursacht, aber sehr wohl für das Management der Komponenten, und es bestehen Risiken, wenn diese Komponenten Teil einer kommerziellen Codebasis werden.

Eine bereits im letzten Jahr durchgeführte Untersuchung hat ergeben, dass es im Bereich Open Source 2.700 Lizenzpermutationen gibt [2]. Was aber passiert, wenn eine Komponente gar keine Lizenz hat? In der besagten Untersuchung war das bei rund einem Drittel der untersuchten Codebasen der Fall: 33 % wiesen keine der üblichen Lizenzen auf. Es gibt einige typische Szenarien wie unlizenzierte Open Source in eine Codebasis einfließen kann. Werden solche Komponenten in kommerzielle Apps eingebunden, hat das weitereichende Auswirkungen.

 

Gewährung von Rechten

Bevor wir uns aber mit diesen Implikationen beschäftigen, sollte man wissen, was genau eine Softwarelizenz bewirkt. Eine Lizenz gewährt Rechte. Wer eine Software verwenden will, egal ob es sich um Open Source oder kommerzielle Software handelt, braucht dazu ein gewisses Maß an Rechten, das ihm über die betreffende Lizenz gewährt wird. In vielen Ländern ist kreative Arbeit (zu der auch die Entwicklung einer Software gehört) standardmäßig durch das Urheberrecht geschützt. Das heißt, niemand kann und darf diese Software ohne ausdrückliche Genehmigung des Urhebers/Autors legal verwenden, kopieren, verteilen oder verändern. Diese Genehmigung erfolgt in Form einer Lizenz, die die entsprechenden Rechte gewährt. Ohne diese Lizenz geht man davon aus, dass es jemandem nicht erlaubt ist, die betreffende Software zu verwenden.

Das Einbinden einer Open-Source-Komponente ohne Lizenz in eine kommerzielle Anwendung, ist für ein Unternehmen fraglos problematisch. Unternehmen, die nicht lizenzierten Code verwenden, sind einem höheren Risiko ausgesetzt, gegen das Urheberrecht zu verstoßen, als Unternehmen, die eindeutig lizenzierte Komponenten verwenden. Ohne Lizenzgewährung ist es für einen Benutzer deutlich schwieriger auszumachen, welche Rechte er hat, ja sogar, ob er überhaupt welche hat.

 

Wie nicht lizenzierte Open Source ihren Weg in nicht lizenzierte Komponenten findet

Eine nicht lizenzierte Komponente kann auf unterschiedlichen Wegen in eine Codebasis gelangen. Der direkte Weg ist, wenn der Urheber (und Copyright-Inhaber) bei der Erstellung der Open-Source-Komponente keine Lizenz ausgewählt oder zugewiesen hat. Man könnte davon ausgehen, dass eine fehlende Lizenz bedeutet, dass man die betreffende Komponente frei nutzen darf. Aufgrund des Urheberrechtsgesetzes existiert aber keine Rechtegewährung ohne ausdrückliche Genehmigung des Urhebers/Autors. Diesen Komponenten fehlt also die Genehmigung, sie zu verwenden, zu verändern oder zu verteilen. In solchen Situationen muss ein Unternehmen entscheiden, wie risikofreudig es sein will. Verwendet eine Firma trotz fehlender Rechtegewährung eine solche Komponente, kann das zu einem kostspieligen und zeitaufwändigen Rechtsstreit wegen Verstoß gegen das Recht an geistigem Eigentum führen. Das klingt auf den ersten Blick wie ein Sonderfall, aber genau dieses Szenario betrifft allein in der eingangs zitierten Untersuchung rund ein Drittel der untersuchten Codebasen.

 

Modifizierte Komponenten

In einem anderen, nicht untypischen Szenario modifizieren Entwickler eine Open-Source-Komponente, damit diese eine bestimmte, benötigte Funktion erfüllt. Bei diesen Modifikationen werden beispielsweise die Header-Datei oder die Benutzer-/Lizenzinformationen geändert oder entfernt. Die Sache hat natürlich einen Haken. Bindet man eine Komponente ein, ohne die zugehörige Lizenz zu verstehen, wie soll man dann sicherstellen, dass man die entsprechenden Rechte hat, den Code so zu verwenden, wie man ihn verwenden will. Deshalb sollte man zumindest eine forensische Untersuchung durchführen, was die Herkunft der Komponente anbelangt. Nur dann kann der Entwickler vorab gewährleisten, alle mit der Lizenz verbundenen Verpflichtungen einzuhalten. Wer das erst spät im Entwicklungszyklus oder mitten in einer M&A-Due-Diligence-Prüfung tut, der verschwendet unnötig Zeit und Ressourcen [3].

 

Open Source Snippets

Das letzte der drei typischen Szenarien ist nicht ganz so simpel. Entwickler nutzen beim Schreiben von Code nicht selten Open Source-Code-Snippets aus populärem Quellen wie etwa Stack Overflow. Snippets sind sehr kleine Bestandteile einer Komponente, die eine bestimmte Funktion erfüllen. Snippets, die aus Bezugsquellen wie Stack Overflow stammen, haben allerdings so gut wie nie anwendbare Lizenzbedingungen. Mancher fragt sich vielleicht, ob ein Snippet an und für sich überhaupt urheberrechtlich geschützt ist. Mit anderen Worten: Steckt in einem Snippet (ausreichende) Kreativität? Oder handelt es sich hierbei um rein funktionalen Code, der von vorneherein nicht urheberrechtsfähig und daher auch nicht lizenzpflichtig ist? Schlussendlich läuft auch diese Debatte darauf hinaus, wie risikofreudig ein Unternehmen ist. Die Schwelle ist niedriger als in den anderen Fällen, angesichts der Diskussion, ob ein Stück Code kreativ genug ist, damit der Urheberrechtsschutz greift. Im schlimmsten Fall wird allerdings ein Gericht entscheiden, und das Unternehmen muss den Code aus der Anwendung entfernen. Das kostet Zeit, Geld, und man ist gezwungen einen nicht ganz unerheblichen juristischen Aufwand zu betreiben.

 

Open Source und doppelte Lizenzierung 

Ein Bereich, der juristisch besonders relevant ist, ist das Durchsetzen von Lizenzen. Die Betrachtungsweise bei der Durchsetzung von Lizenzen beziehungsweise Compliance-Aktivitäten hat sich in den letzten Jahren gewandelt. Sie ist inzwischen weit weniger ideologisch als rein kommerziell getrieben. Wenn Unternehmen sich gegen Unternehmen wenden, wirft das für Open-Source-Benutzer eine Reihe von Bedenken auf. Denn dann geht es nicht mehr primär darum »das Richtige zu tun«, sondern darum, Umsatzverluste zu vermeiden und Wettbewerbsvorteile zu sichern.

Das klassische Beispiel für die kommerziell motivierte Lizenzdurchsetzung ist die sogenannte doppelte Lizenzierung [4]. Dabei können Unternehmen, die das Urheberrecht innehaben, sich entscheiden, denselben Code unter 2 separaten Lizenzen zu lizenzieren. Sie lizenzieren ihren Code dann unter einer traditionellen OEM-ähnlichen Lizenz für jeden, der diesen Code wiederverwenden oder in ein kommerzielles Produkt einbetten möchte– und der das ohne Bedenken wegen eines General Public Licence (GPL) Copyleft tun will. Unterliegt eine Software einem Copyleft, muss der Nutzer diese Rechte bei Weitergabe (mit oder ohne Softwareänderung, Erweiterung oder der Wiederverwendung von Softwarebestandteilen) beibehalten. Bei der GPL ist beides der Fall. Derselbe Lizenzgeber kann gleichzeitig denselben oder einen im Wesentlichen identischen Code unter der GPL für diejenigen lizenzieren, die diesen Code intern verwenden wollen oder die keinerlei Bedenken hinsichtlich der möglichen Auswirkungen eines GPL-Copyleft haben, aus welchem Grund auch immer.

Es gibt eine Reihe von Gründen, warum Unternehmen einen unter GPL lizenzierten Code in kommerziellen Anwendungen verwenden, wo sie eine OEM-Lizenz hätten zahlen und verwenden sollen, die der beabsichtigten oder tatsächlichen Nutzung entspricht. Entweder fehlt ein gutes Open-Source-Management oder das Unternehmen handelt fahrlässig, wenn nicht sogar vorsätzlich. In solchen Szenarien ist es mehr als wahrscheinlich, dass der Lizenznehmer auch gegen andere Lizenzanforderungen verstößt. Das wiederum ist eine direkte Urheberrechtsverletzung. Die GPLv2, unter der zahlreiche solcher Fälle auftreten, hat keine Klausel zur Behebung. Jeder Verstoß gegen die GPLv2 führt zum sofortigen Entzug der aus der Lizenz gewährten Rechte. Damit ist jede weitere Nutzung der Software nicht mehr lizenziert.

Im Falle einer Doppel-Lizenzierung lässt sich der Schadensersatz ausnahmsweise relativ einfach berechnen. Der Lizenzgeber muss dazu nur einen Blick auf sein OEM-Business werfen und die Lizenzgebühren für den Fall der legitimen Nutzung von Anfang an berechnen. Double Licensing ist nicht der einzige Fall dieser Art, aber er ist anschaulich und er kommt häufig vor.

 

Fazit

Open Source ist ein unverzichtbares und kritisches Element der modernen Softwareentwicklung. Das Tempo der Softwareentwicklung nimmt weiter zu, Code wird immer komplexer. Damit steigt auch der Bedarf, Open-Source-Komponenten in Echtzeit zu verwalten.

Unternehmen und juristische Berater sollten deshalb von sich aus aktiv werden. Sie sollten vor allem darüber nachdenken, wie ihr Unternehmen Open-Source-Code einsetzt und wie die betreffenden Produkte verbreitet werden, und, ob diese Prozesse den Geschäfts-, Sicherheits- und Compliance-Zielen entsprechen. Die Herausforderungen sind zugegebenermaßen vielschichtig. Der erste Schritt ist immer eine Analyse dessen, wie gut ein Unternehmen über die Verwendung von Code in seinen Produkten Bescheid weiß. Juristische Berater sollten unbedingt die nötige Expertise im Bereich Open Source mitbringen, um ihre Mandaten angemessen zu beraten.

Matthew Jacobs, Director, Legal Counsel, Synopsys

 

[1] https://www.synopsys.com/software-integrity/resources/analyst-reports/2020-open-source-security-risk-analysis.html
[2] https://www.synopsys.com/blogs/software-security/top-open-source-licenses/
[3] https://www.synopsys.com/software-integrity/solutions/mergers-and-acquisitions.html
[4] https://www.synopsys.com/blogs/software-security/software-licensing-decisions-consider-dual-licensing/

 

95 Artikel zu „Open Source Lizenz“

Die Open-Source-Falle beginnt bei den Lizenzbedingungen

Die Euphorie rund um das 20-jährige Open-Source-Jubiläum ist groß. Allerdings ist nicht alles Gold, was glänzt, meint IT-Dienstleister und Open-Source-Experte Consol. Schon die Lizenzbedingungen bei Open-Source-Software sollten detailliert überprüft werden, schließlich sind sie kein Freibrief für jede kommerzielle Nutzung und Lizenzverstöße können kostspielig werden. Open Source kann auf einen beispiellosen Siegeszug zurückblicken, auch wenn bei…

Google-Initiative soll Open-Source-Projekte schützen

Google hat jetzt seine Marktmacht in den Dienst einer Initiative zum Schutz der Integrität von Open-Source-Projekten gestellt. Die Entscheidung, die eingetragenen Warenzeichen von Open-Source-Projekten besser zu schützen, steht vor dem Hintergrund, dass eine Reihe von äußerst erfolgreichen Projekten stark dadurch beeinträchtigt wurden, dass Public Cloud Provider die Angebote mit eigenen Managed-Services-Angeboten unterboten hatten. Im vergangenen…

Softwarelizenzen gewinnbringend veräußern – mit einem Partner, dem man vertraut

»Vertrauen ist gut – Kontrolle und Nachweis sind besser« Viele Unternehmen, vor allem im Mittelstand, wissen nicht, auf welchem Softwareschatz sie sitzen. Dabei kommen sie durch Veräußerung ihrer Microsoft-Standardprogramme zu Geld, das sie beispielsweise in strategisch sinnvolle IT-Neuanschaffungen stecken können. Gerade in wirtschaftlich angespannten Zeiten wie aktuell unter Covid-19 zahlt sich auf diese Weise freigewordenes…

BOM: Open-Source-Risiken (immer) im Auge behalten

Es ist kaum anzunehmen, dass Oberstufenschüler ihrem Berufsberater »Chief Inventory Officer« als ihren persönlichen Traumberuf vorschlagen – falls es diesen Titel überhaupt gibt. Er klingt auf jeden Fall kaum nach Glamour, Prestige oder aufregender Tätigkeit – vielmehr nach eintöniger Arbeit wie in noch nicht komplett vergangenen Tagen: mit dem Klemmbrett im Warenlager.   Dennoch ist…

70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

Fehlerhafte Bibliotheken landen auf indirektem Wege im Code. Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code. JavaScript und Ruby haben besonders große Angriffsflächen.   Der neue »State of Software Security (SoSS): Open Source Edition«-Report zum Thema Sicherheit in Open-Source-Software von Veracode zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens…

Augen auf beim Einsatz von Third-Party-Komponenten – Risikofaktor Open Source

Im Zuge der Digitalisierung entwickelt sich Open-Source-Software auch in Deutschland, Österreich und der Schweiz zu einem wichtigen Baustein agiler Entwicklungsumgebungen. Der quelloffene Code ermöglicht es Unternehmen, wirtschaftlicher zu agieren und ihre Anwendungen schneller zur Marktreife zu führen – doch er birgt auch Risiken. Mittelständler, Konzerne und Regierungseinrichtungen sind daher gut beraten, passgenaue Strategien für eine sichere Open-Source-Nutzung zu entwickeln.

Open-Data-Initiative: Mit Datenkooperationen gegen die »Daten-Kluft«

Durch die Nutzung und den Austausch öffentlich zugänglicher Daten können fundierte Entscheidungen getroffen und sogar einige der weltweit drängendsten sozialen Herausforderungen besser bewältigt werden. So heißt es in der neuen Datenstrategie der Bundesregierung, »Daten sind eine Schlüsselressource«, etwa für die Verbesserung der Gesundheitsversorgung. Die Fähigkeit Daten verantwortungsvoll und selbstbestimmt zu nutzen, zu verknüpfen und auszuwerten,…

»Size Matters« – jedenfalls bei der Nutzung von Open Source in Unternehmen 

»Zuerst die gute Nachricht« heißt es einleitend im Open Source Monitor [1]. Fast 70 % der befragten Unternehmen in Deutschland setzen Open-Source-Lösungen ein. Diese Zahl steigt drastisch an, wenn sich Unternehmen an der Schwelle zum Großunternehmen befinden. Sieben von zehn Unternehmen mit 200 bis 499 Beschäftigten geben an Open-Source-Software einzusetzen. Drei Viertel der Firmen mit…

Open Source: Jedes dritte Unternehmen entwickelt mit

Unternehmen wollen durch Open Source Geld sparen – aber auch Mitarbeiter weiterbilden und die Community unterstützen Bitkom veröffentlicht Studienbericht »Open Source Monitor« Open-Source-Software ist längst viel mehr als das abendliche Freizeitprojekt von Computer-Nerds. Rund jedes dritte größere Unternehmen in Deutschland (31 Prozent) beteiligt sich heute bereits an der Entwicklung von Open-Source-Software. Das hat eine Umfrage…

Deutscher Mittelstand hat Nachholbedarf bei Umsetzung und Strategie im Bereich Open Source

Der diese Woche veröffentlichte »Bitkom Open Source Monitor 2019« belegt: Die Mehrheit der deutschen Unternehmen steht Open-Source-Software aufgeschlossen gegenüber. Dabei ist es vor allem der Mittelstand – der Motor der deutschen Wirtschaft –, der besonderes Interesse an Open Source zeigt. Das Potenzial von Open-Source-Software wird klar erkannt: Finanzielle Einsparungen durch den Wegfall von Lizenzkosten, hohe…

ERP-Systeme – Open Source vs. Closed Source

Der Entscheidungskampf zwischen Open-Source- und Closed-Source-Softwarelösungen wird weiterhin mit vollem Eifer gefochten. Auch im ERP-Bereich kann man keinen generellen Sieger ernennen. Beim Entschluss zu einem Für oder Wider sollten einige wichtige Kriterien, wie Innovationsfähigkeit, Support, Sicherheit, Leistung, Preis oder Unternehmensgröße, bei der Entscheidungsfindung berücksichtigt werden.

Ein Open-Source-Business-Modell gibt es nicht

Open-Source-Technologie entfaltet ihre Wirkung dann am besten, wenn sie Bestandteil von Strategien und Taktiken zur Unterstützung eines Kern-Business-Modells ist – und nicht umgekehrt. Open-Source-Business-Modelle sind in aller Munde, da mag der Titel dieses Artikels vielleicht etwas sonderbar anmuten, vor allem, weil der Artikel von jemandem stammt, dessen Job es ist, ein Ökosystem rund um ein…

5 Grundsätze sicherer Open-Source-Software

Kaum ein Softwareprojekt beginnt heute noch auf der grünen Wiese. Das können sich Entwickler und Unternehmen in Zeiten immer schnellerer Release-Zyklen nicht leisten. Um Zeit und Kosten zu sparen, entscheiden sie sich deshalb oft für Open-Source-Bibliotheken. Dabei sollte man aber bedenken, dass die Open-Source-Komponenten, die aus Millionen von bestehenden Bibliotheken entnommen werden, auch Schwachpunkte in…

Einstiegstipps: Wie man mit Open-Source-Projekten beginnt

Es gibt unzählige Gründe, warum es sich lohnt, an Open-Source-Projekten mitzuwirken, vom beruflichen Aufstieg bis zur Unterstützung einer Community. Man muss kein Experte sein, um ein Open-Source-Projekt zu unterstützen, und nicht einmal Code schreiben können, um einen Beitrag zu leisten. Die Möglichkeiten sind vielfältig und viele Communitys, wie Rubrik Build, akzeptieren Code- und Nicht-Code-Beiträge. Rubrik…

Master Data Management per Open-Source-Plattform: Ein Unternehmen, eine Datenplattform

  Auf dem Weg zur Digitalisierung stehen Unternehmen auch vor der Aufgabe, ihre Stammdaten effizienter zu organisieren. Dafür braucht es ein unternehmensübergreifendes Stammdaten-System, in dem alle Daten in hoher Qualität, einschließlich ihrer Relationen untereinander, hinterlegt und abgerufen werden können. Für die technische Umsetzung bieten sich Open-Source-Plattformen als zukunftsfähige und kostengünstige Lösung an.   Daten werden…

Trotz WannaCry & Co. erhalten Open-Source-Komponenten keine angemessene Aufmerksamkeit

Studie zeigt: Weniger als 25 Prozent der Entwickler testen Komponenten bei jeder Veröffentlichung auf Schwachstellen. Laut einer von Studie von CA Veracode aktualisieren nur 52 Prozent der Entwickler ihre kommerziellen oder Open-Source-Komponenten, wenn eine neue Sicherheitslücke veröffentlicht wird. Dies verdeutlicht das mangelnde Sicherheitsbewusstsein vieler Unternehmen und setzt sie dem Risiko von Sicherheitslecks aus. Die Studie,…

Orientierung im Datenbank-Lizenzdschungel: 7 Kriterien, die Entscheider beachten sollten

Viele Unternehmen zahlen zu viel für Datenbanklizenzen – flexible Abrechnungsmodelle können helfen, die Kosten zu senken. Datenbanken und Datenbankmanagementsysteme (DBMS) gehören heute zu den Kernsystemen für fast jedes Unternehmen. Die Lizenz- und Supportkosten für diese Systeme sind jedoch nicht gerade Peanuts und verschärfen die ohnehin angespannte Budgetsituation in IT-Abteilungen zusätzlich. Auch die mit den Lizenzverträgen…

OpenStack zeigt eine wachsende Zahl an Implementierungen, höhere Skalierungen und globale Vielfalt

Die aktuelle Nutzerumfrage verzeichnet 44 Prozent mehr Implementierungen als vor einem Jahr, davon 74 Prozent außerhalb der USA. Die Nutzerumfrage der OpenStack Foundation vom April 2017 umfasst 44 % mehr Implementierungen sowie Antworten von 22 % mehr Organisationen als bei der Umfrage vor einem Jahr. Sie zeigt den wachsenden Einsatz, eine höhere Skalierung und eine vielfältigere Basis…

Standortübergreifendes Monitoring: Einfaches Lizenzmodell für komplexe Netzwerkstruktur

Mit der Größe des Betriebs wächst die IT-Infrastruktur. Das gilt erst recht für ein Unternehmen wie die HassiaGruppe mit mehreren Standorten: Die Tochterfirmen sind eigenständig geführte Betriebe, doch ihre IT wird zentral von der ita vero GmbH gemanagt. Als bei der HassiaGruppe die IT-Infrastruktur zu komplex für die verwendeten Netzwerk-Monitoring-Lösungen wurde, erhielt ita vero den…

Sicherheitsrisiko Security-Software: Angreifbar durch Open-Source-Komponenten

Vulnerability Update listet 11 Sicherheitsprogramme; viele der Anwendungen enthalten Open-Source-Komponenten sowie deren Schwachstellen. Ein Anbieter von Lösungen für Softwarelizenzierung, Compliance, Security und Installation für Softwarehersteller und Unternehmen, hat ein neues Vulnerability Update [1] veröffentlicht. Der Report nennt die 20 Produkte mit den meisten Schwachstellen im Zeitraum von August bis Oktober 2016. Auf der Liste findet…