ISO 5230 – Vertrauen in die Lieferkette schaffen
Die vielfältigen Vorteile von Open Source Software (OSS) setzen sich durch. Nicht zuletzt zeigen große Investitionen in Open Source Software Communities, Projekte und Plattformen von bekannten internationalen Konzernen, die bisher als klassische, proprietäre, closed-source Softwarehersteller agiert haben,
dass Open Source Software weiter auf dem Vormarsch ist. Insbesondere in der Digitalisierung von Produkten und Services ist OSS nicht wegzudenken. Kaum ein heutiges Produkt weist keine digitale Komponente oder digitalen Service auf und von diesen beinhalten nahezu alle Open Source Software.
Das OSS Compliance Risiko in der Lieferkette durch eine ISO/IEC 5230:2020 Zertifizierung reduzieren
Open Source Software ist frei zugänglicher Code. Das bedeutet allerdings nicht, dass eine Nutzung des Codes ohne Beschränkungen erfolgen darf. Auch Open Source Software unterliegt Lizenzbestimmungen, die es einzuhalten gilt. Ein Verstoß gegen die Lizenzbedingungen kann zu Reputationsverlust, Schadensersatzansprüchen oder Unterlassungsverfügungen führen. Aus diesem Grund haben Anbieter von Produkten mit OSS-Komponenten ein großes Interesse daran mit vertrauenswürdigen Partnern und Zulieferern zu arbeiten.
Die Lösung bietet sich mit einer international anerkannten und vertrauenswürdigen Zertifizierung des Open Source Software Managements und dessen Compliance gemäß der ISO 5230.
Zum Hintergrund: Open Source Software findet sich nicht nur in reinen Software-Produkten
Vielmehr kann es sein, dass das Endprodukt als Ganzes keine Software ist, sondern die Software nur einen Bestandteil darstellt. In einer Welt, die immer digitaler und smarter wird, ist Software und damit auch Open Source Software in Produkten von Kinderspielzeug, Fernsehern, Kühlschränken oder Heizungen über IoT-Geräte, Medizintechnik, Kraftfahrzeuge und anderen Beförderungsmitteln hin zu Produktions- und Industrieanlagen und Smart Factories zu finden. Die Einsatzbereiche lassen sich nicht abschließend auflisten. Hierbei muss eine OSS Komponente nicht unbedingt der wesentlichste Teil eines Produktes sein, bildet vielleicht nicht eine Hauptfunktionalität ab, trägt aber als eine von vielen Komponenten, zur Gesamtfunktionalität des Produktes bei. Die Open Source Software verbirgt sich häufig in den Tiefen der Programmierung, fließt durch extern bezogene Softwarelieferleistungen oder durch extern bezogene Teile- und Komponentenlieferungen in ein Endprodukt ein.
Wer stellt den korrekten Einsatz und die Einhaltung der Lizenzanforderungen aller Komponenten im Überblick sicher?
Sie können sich beispielsweise in der Rolle des einkaufenden Unternehmens befinden, das Produkte von externen Unternehmen bezieht, veredelt und als Endprodukt auf den Markt bringt. Oder Sie befinden sich in der Rolle des zuliefernden Unternehmens, das Produkte und Services verkauft. In beiden Fällen tragen Sie die Verantwortung, die Einhaltung der entsprechenden Open Source Software Lizenzbestimmungen sicherzustellen. Auf Grund der elementaren finanziellen und reputativen Risiken durch unsachgemäßen OSS-Einsatz gehen Unternehmen dazu über von Ihren Lieferanten per Einkaufsrichtlinien Zusicherungen zu verlangen, dass entweder keine OSS in den Lieferungen und Leistungen verbaut ist oder die Compliance zu den Lizenzen gewahrt ist und entsprechende Bill of Materials bereitgestellt werden.
Die Verkäuferseite muss sich somit häufig gegenüber vielen Auftraggebern immer wieder erneut der Herausforderung stellen, die gewünschten Zusicherungen der Einkaufsabteilungen zu bestätigen und darzustellen, dass sie den richtigen und lizenzkonformen Umgang mit OSS im Griff haben.
Stellt der Zulieferer von Software dies nicht ausreichend sicher, entsteht für die Käuferseite ein hoher finanzieller und zeitlicher Aufwand. Soweit der Quellcode übergeben wird, müssen Scans der zugelieferten Software durchgeführt werden. In anderen Fällen kann es zu langwierigen Klärungen mit den Lieferanten kommen. Die beziehenden Unternehmen können mittels der Zertifizierung bereits im Einkaufsprozess sichern, dass ihre Lieferanten die notwendigen Qualitäts- und Compliance-Anforderungen im Bereich des Einsatzes von Open Source einhalten. Aufwändige Prüf- und Freigabeprozesse zur OSS-Compliance der externen Lieferungen können sowohl in Bezug auf die Frequenz als auch im Umfang risikoorientiert angepasst werden.
Vorteile durch eine ISO 5230 Zertifizierung
Vertrauen in die Lieferkette schaffen, etwa durch die PwC OSS-Attestierung birgt Aufwände. Häufig sind Supplier-Audits dieser Form nicht vergleichbar, da einzelne Anbieter Ihre Lieferkette nur zu eigenen Kriterien prüfen und die Ergebnisse unter NDAs stellen. Durch einen gemeinsamen Standard, der von OpenChain entwickelten ISO/IEC 5230:2020 können diese Aufwände in Open Source Compliance Prüfungen gemindert werden. Durch dieses Zertifikat können Zulieferer ihren Wert für mehrere Lieferketten gleichzeitig verbessern, wodurch Einzelaudits entfallen können.
Lieferanten werden durch die ISO 5230 Zertifizierung Vorteile in Ausschreibungen, in der Vertragsanbahnung und Verhandlung mit Einkaufsabteilungen verzeichnen. Gleichzeitig werden sie durch den nach außen hin darstellbaren Nachweis von OSS-Compliance beim Vertrieb ihrer Produkte und Services profitieren, da sie Vertrauen in ihre Produkte schaffen.
PwC bietet die Auditierung der Compliance des Open Source Software Managements gemäß der ISO 5230 an, womit der professionelle und sachgerechte Umgang mit Open Source Software wirksam gegenüber Kunden dargestellt werden kann.
„Mit unserer Auditierung der OSS Compliance bilden wir das Vertrauen in Lieferketten, was in der heutigen Zeit dringend gebraucht wird um Risiken zu minimieren und effizient miteinander arbeiten zu können.“
Follow us
Contact us
Director Open Source Software Services & IT Sourcing, PwC Germany
Tel.: +49 69 9585-1746
Senior Manager, Rechtsanwalt, PwC Legal AG, PwC Germany
Tel.: +49 160 9627-3689
