Open Source Software – Aktuelle Trends und Entwicklungen

Die Studie im Überblick

Open Source Software – kurz OSS – ist mittlerweile der Stand der Technik in der deutschen Wirtschaft: Gut zwei Drittel der großen Unternehmen mit mehr als 2.000 Mitarbeitenden haben formell oder informell eine Zuständigkeit für Open Source benannt. In der öffentlichen Verwaltung konnten 30 Prozent der Befragten (in-)formell eine Zuständigkeit für OSS benennen.

Auf einem weiterhin hohen Niveau ist die Beteiligung an der (Weiter-)Entwicklung von Open Source. Jedes zweite Unternehmen mit mehr als 100 Mitarbeitenden gab an, sich an der Entwicklung zu beteiligen. In der öffentlichen Verwaltung ist ein besonders hoher Anstieg zu verzeichnen: Während 2021 46 Prozent der Befragten angaben, sich an der Entwicklung zu beteiligen, waren 2023 bereits 60 Prozent in der Weiterentwicklung aktiv.

Der Anspruch an die Sicherheit beim OSS Einsatz steigt

Ein professionelles Open Source Management System ist heutzutage unerlässlich, um die wachsenden Anforderungen an sicheren und resilienten Technologieeinsatz in deutschen Unternehmen und Behörden zu erfüllen. Während viele Organisationen bereits adäquate Governance-Strukturen zur Compliance implementiert haben, zeigt sich im Bereich der Sicherheit noch ein deutlicher Verbesserungsbedarf.

Die Professionalität des Einsatzes von Open Source erhöht sich, z. B. in Bezug auf Transparenz, Compliance und Sicherheit kontinuierlich. Diese Entwicklung wird maßgeblich durch die Veröffentlichung von Standards wie ISO 5230 oder ISO 18974 – dem neuen Standard für Open Source Security, sowie durch branchenspezifische oder nationale Vorgaben wie z. B. DORA (Digital Operational Resilience Act) oder den in Entwicklung befindlichen Cyber Resilience Act (CRA) beeinflusst. Mehr als die Hälfte (56 Prozent) der großen Unternehmen sehen sich künftig stark von den Auswirkungen des kommenden Cyber Resilience Acts betroffen. Im öffentlichen Sektor sind es sogar 67 Prozent. Ein effektives Open Source Management System ist somit nicht nur eine Empfehlung, sondern eine Notwendigkeit, um Sicherheitsrisiken in der heutigen digitalen Landschaft zu minimieren und Konformität mit den wachsenden regulatorischen Anforderungen herzustellen.

Sicherheitslücken – etwa durch veraltete Komponenten, fehlende Identifikations- und Reaktionsmechanismen, unklare Herkunft oder intransparente Abhängigkeiten – können im B2B-Umfeld zum Ausschluss in Beschaffungsprozessen, zu Reputationsverlusten oder zu massiven rechtlichen und finanziellen Konsequenzen führen.

Besonders gravierend ist in diesem Kontext, dass nur etwa ein Drittel der befragten Unternehmen ihre eingesetzte Open Source Software mit Analysetools auf Schwachstellen prüfen. 40 Prozent der Befragten führen lediglich manuelle Prüfungen durch. Ein weiteres Drittel der Befragten verlässt sich im Hinblick auf OSS Security auf Informationen durch die jeweiligen kommerziellen Anbieter der von ihnen genutzten OSS-Komponenten. Gerade mit Blick auf die steigenden regulatorischen Anforderungen zur IT-Resilienz und die angestrebte Förderung der digitalen Souveränität, insbesondere im öffentlichen Sektor, besteht hier ein dringender Optimierungsbedarf. Betrachtet man die öffentliche Verwaltung, so verfügen derzeit nur 28 Prozent über ein eigenes Tool zur Analyse von Schwachstellen in der eingesetzten Open Source Software.

In diesem Zusammenhang bietet die demnächst neu erscheinende ISO 18974 zur Open Source Security wertvolle Hilfestellungen und standardisiert die notwendigen Rahmenbedingungen zur Implementierung eines Open Source Security Management Systems. Es wird daher interessant sein zu sehen, wie sich die Studienergebnisse zur Open Source Security in den kommenden Jahren entwickeln, sobald die ISO 18974 am Markt etabliert ist.

SBOMs erhöhen die Transparenz und Sicherheit in der Software Lieferkette

Die Generierung qualitativ hochwertiger SBOMs (Software Bill of Materials) stellt heutzutage einen technologischen Standard dar und ist ein essenzielles Instrument zur Gewährleistung von Transparenz und Sicherheit innerhalb der Software-Lieferkette. Die aktuellen Studienergebnisse untermauern die wachsende Bedeutung von SBOMs im deutschen Markt. Laut dieser Untersuchung geben 45 Prozent der befragten Großunternehmen (mit über 2.000 Mitarbeitenden) an, bereits SBOMs für ihre Produkte bereitzustellen. Allerdings kann die Studie an dieser Stelle keinen Aufschluss über die Qualität und Vollständigkeit sowie den Grad der Standardisierung der SBOMs geben.

Positiver Trend bei Compliance-Strukturen erkennbar

Der Studienbericht von 2021 stellte zwar Verbesserung zu 2019, aber dennoch einen erheblichen Aufholbedarf bei Strategien, Prozessen und Compliance im Umgang mit Open Source fest. Und tatsächlich hat sich seitdem einiges getan: Während 2019 nur gut 20 Prozent der befragten Unternehmen mit über 100 Mitarbeitenden über eine Open Source Strategie verfügten, waren es 2021 bereits 32 Prozent. Mit 35 Prozent in 2023 hat sich dieser positive Trend aber eher langsam fortgesetzt. Betrachtet man jedoch größere Unternehmen mit mehr als 2.000 Mitarbeitenden, so verfügt mittlerweile rund jedes zweite über eine dedizierte OSS Strategie.

Der Anteil der Unternehmen, die über eine Compliance-Policy für Open Source Software verfügen, nimmt seit 2019 kontinuierlich zu. So verfügten in 2019 nur rund 17 Prozent über eine solche Policy. Während es 2021 bereits 27 Prozent waren, haben in 2023 32 Prozent der Befragten eine Open Source Policy etabliert.

OpenChain ISO 5230

Der OpenChain-Standard der Linux Foundation ist seit Dezember 2020 als ISO Standard 5230 verfügbar und von zentraler Bedeutung für das Management von Compliance im Umgang mit Open Source Lösungen. Er ermöglicht Unternehmen, OSS-Lizenz-Compliance-Risiken in der Supply Chain zu reduzieren. Mehr als die Hälfte der Unternehmen, die Open Source nutzen, kennen den Standard.

Viele Befragte geben aber gleichzeitig an, dass bei diesem Thema noch Vertiefungsbedarf besteht. Es sind hauptsächlich größere Unternehmen mit mehr als 2.000 Mitarbeitenden, die sich aktuell mit der Implementierung von ISO 5230 beschäftigen oder diese bereits abgeschlossen haben.

Das ist nicht verwunderlich, findet PwC-Experte Marcel Scholze. Denn die Standardisierung und Zertifizierung von speziellen Compliance- Programmen beginnt oft am kritischsten Punkt der Lieferkette, an dem sich die Risiken materialisieren – dem OEM, so der Experte. Da jedoch die Compliance in der Supply Chain eine gemeinsame Anstrengung erfordert, ist es wichtig, dass die Durchdringung auch in der gesamten Lieferkette erfolgt.

Das PwC-Team unterstützt

Das Open Source Software Management-Team von PwC begleitet Unternehmen und Behörden umfassend beim Thema Open Source Software: von der Strategie und dem Enablement von Open Source Software, dem Aufbau von OSPOs und Compliance- oder Security-Prozessen inklusive Tooling über die Zertifizierung des OSS Managements nach ISO 5230 und ISO 18974 bis hin zu Managed Services wie zum Beispiel Code Scanning, SBOM-Erstellung, Supplier Compliance Audits und Training der Mitarbeitenden.