SlideShare ist ein Scribd-Unternehmen logo
Risiken von Open Source Software

Dr. Matthias Stürmer, Ernst & Young

ISACA After Hours Seminar
30. August 2011, Zürich
CV Matthias Stürmer


                             Phone:            +41 58 286 61 97
                             Mobile:           +41 58 289 61 97
                             Email:            matthias.stuermer@ch.ey.com


                             Background                                                 Skills
                             • Senior, Advisory, EMEIA Financial Services               • Advisory on open source project
                                                                                          management, open source community
                             • Matthias Stürmer joined Ernst & Young in 2010
                                                                                          building and governance, open source
                               and is based in Bern, Switzerland
                                                                                          licenses, open source software and
                             • lic.rer.pol. in studies of business administration and     technologies
                               computer science at University of Bern
                                                                                        • Advisory on software development
                             • Dr. sc. ETH Zürich with doctoral dissertation at the       methodologies, software architecture
                               Chair of Strategic Management and Innovation of ETH        assessments, software development
                               Zürich                                                     project management, vendor lock-in
                             • Research on innovation strategies, knowledge theory,       analysis
                               technology management and software development           • Advisory on Internet standards and
                               focusing on open source communities and firm               formats, web technologies and
                               involvement                                                frameworks, content management
                             • Founder and secretary of the Swiss National                systems
                               Parliamentarian Group for Digital Sustainability         • Advisory on Open Government Data
                             • Member of the Board of                                     initiatives, technologies, and policies
                               Swiss Open Systems User Group /ch/open                   • Advisory on social media governance,
                             • Languages: German (native), English (fluent), Spanish      social media strategies, social media
                               (working knowledge), French (working knowledge)            platforms, tools, and technologies


ISACA AHS – Risiken von Open Source Software                                                                        30. August 2011 | 1
Agenda


   1. Wie Open Source Projekte funktionieren
   2. Vorteile, Risiken und Good Practices mit Open Source
   3. Professioneller Einsatz von Open Source Software
   4. Rechtliche Grundlagen von Open Source
   5. Fazit und Ausblick




Inhalte dieser Präsentation basieren weitgehend auf der Publikation von
Ernst & Young “Open Source Software im geschäftskritischen Einsatz”
http://www.ey.com/CH/de/Services/Advisory/IT-Risk-and-Assurance

ISACA AHS – Risiken von Open Source Software                              30. August 2011 | 2
1.
                                                Wie Open Source Projekte
                                                funktionieren




ISACA AHS – Risiken von Open Source Software                      30. August 2011 | 3
Hintergrundwissen zu Open Source Software


                             Definition von Open Source

                             Ein Software-Produkt wird als Open Source Software
                             bezeichnet, wenn es unter einer der rund 70 von der
                             Open Source Initiative (OSI, www.opensource.org)
                             abgesegneten Lizenzen veröffentlicht ist.

                             Eine solche Lizenz besagt (unter anderem) :
                             1. Der Quelltext der Software liegt in einer für
                                Menschen verständlichen Form vor.
                             2. Die Software darf beliebig kopiert,
                                verbreitet und genutzt werden.
                             3. Die Software darf verändert und in der
                                veränderten Form weitergegeben werden.



ISACA AHS – Risiken von Open Source Software                                       30. August 2011 | 4
Hintergrundwissen zu Open Source Software


                             Open Source Projekte und Communities


                                                     Inaktive
                                                     Benutzer
                                                       Aktive
                             Open Source Community


                                                      Benutzer

                                                     Beitragende




                                                                    Mitwirkende
                                                      Entwickler



                                                       Kern-
                                                     entwickler




ISACA AHS – Risiken von Open Source Software                                      30. August 2011 | 5
Hintergrundwissen zu Open Source Software


                             Community Building Prozess




                                                          Open Source Projekt




ISACA AHS – Risiken von Open Source Software                                    30. August 2011 | 6
Hintergrundwissen zu Open Source Software


                             Häufige Vorurteile


                             «Für Open Source Software gibt es keinen   Support»
                             «Die     rechtliche Situation bei Open Source ist unklar»
                             «Open Source Software ist gratis»

                             «Open Source Software ist   wenig verbreitet»
                             «Bei Open Source Software gibt es
                             keine Qualitätssicherung»
                             «Es gibt keine Open Source Fachapplikationen»


ISACA AHS – Risiken von Open Source Software                                30. August 2011 | 7
2.
                                                Vorteile, Risiken und
                                                Good Practices mit
                                                Open Source




ISACA AHS – Risiken von Open Source Software                     30. August 2011 | 8
Vorteile und Good Practices


Vorteile von Open Source Software              Risiken von Open Source Software




                                          +
 Kosteneinsparungen
 Good Practices:
     Software Portfolio Assessment

     Total Cost of Ownership Analysis

     Shared Maintenance


 Kontrolle über Software und Daten
 Good Practice:
     Vendor Risk Assessment


 Reputationsgewinn
 Good Practice:
     Open Source Marketing


 Rasche Verbreitung
 Good Practice:
     Open Source Project Management




ISACA AHS – Risiken von Open Source Software                            30. August 2011 | 9
Ausnützen der Vorteile: Good Practices


Kosteneinsparungen                                           Kontrolle über Software und Daten
•   Keine Verpflichtung bei der Anbieterwahl                 •   Source Code öffentlich einsehbar
•   Skalierbarkeit der Lizenzen in einer Cloud-Umgebung      •   Keine Backdoors, keine Aktivierung, keine
•   Migration wichtig realistisch zu rechnen                     Registrierung
                                                             •   Daten jederzeit zugänglich Dank offenen Standards
                                                             •   Software-Anpassungen direkt ausgeführen
                                                             •   Abhängigkeiten zu Software-Anbietern nicht
                                                                 auszuschliessen


                                               Referenz: Evaluation von Open Source
                                               Intranet-Lösungen für eine Pensionskasse



                                               Referenz: Workshop für OOXML-Verbesserungen
                                               bei LibreOffice/OpenOffice.org




ISACA AHS – Risiken von Open Source Software                                                        30. August 2011 | 10
Ausnützen der Vorteile: Good Practices


Reputationsgewinn                                    Rasche Verbreitung
•   Positive Medienpräsenz bei Engagement für        •   Rasche und ungehinderte Verbreitung von Open
    Open Source                                          Source
•   Vorbildliches «Digital Citizenship»              •   Etablierung in gesättigtem Markt möglich
•   Öffentliche Institutionen betreiben              •   Basis für Geschäftsmodell mit Services und
    Innovationsförderung                                 Erweiterungen
•   Gewinn an Arbeitgeberattraktivität für gute      •   Community Management generiert externe Beiträge
    Informatiker




                                                  Referenz: Entwicklung der
                                                  Open Source Governance Richtlinien
                                                  für neues Open Source Projekt




ISACA AHS – Risiken von Open Source Software                                              30. August 2011 | 11
Risiken und Risikominimierung


Vorteile von Open Source Software              Risiken von Open Source Software




                                                                                        -
                                                Verletzung der Open Source
                                                Lizenzbestimmungen
                                                Good Practices:
                                                   Software Licensing Compliance

                                                   Software Development Guidelines


                                                Unkontrollierter Einsatz von
                                                Open Source Software
                                                Good Practices:
                                                   Quality Assessment Framework

                                                   Enterprise Architecture Governance


                                                Support nicht gesichert
                                                Good Practice:
                                                   Support Assessment


                                                Migration auf Open Source misslingt
                                                Good Practice:
                                                   Integration Strategy


ISACA AHS – Risiken von Open Source Software                                            30. August 2011 | 12
Risikominimierung: Good Practices


Verletzung der Open Source                          Unkontrollierter Einsatz von
Lizenzbestimmungen                                  Open Source Software
•   Einhaltung aller Lizenzregelungen eine          •   Systematische Evaluation von Open Source notwenig
    Herausforderung                                 •   Open Source Charakteristiken berücksichtigen
•   Lizenz kann Veröffentlichung des Source Codes   •   IT Architekturvorgaben können umgangen werden
    erzwingen
                                                    •   Wildwuchs an eingesetzten Produkten und
•   Kennen der Open Source Lizenzen wichtig             Komponenten
•   Rechtliche Risiken beim Open Source Einsatz
    abwägen




ISACA AHS – Risiken von Open Source Software                                             30. August 2011 | 13
Risikominimierung: Good Practices


Support nicht gesichert                                Migration auf Open Source misslingt

•   Unterscheidung von Open Source Koordination        •   Klassische Migrations-Herausforderungen plus einige
•   Organisations-geleitete vs. Community-getriebene       weitere
    Open Source Projekte                               •   Schwierige Integration wegen proprietären
•   Entweder Service Level Agreements abschliessen …       Umsystemen

•   … oder mit Community und Entwickler                •   Endanwender oft kritisch eingestellt wegen fehlenden
    zusammenarbeiten                                       Brands
                                                       •   Hybride Architektur und Power User Integration zu
                                                           empfehlen




ISACA AHS – Risiken von Open Source Software                                                30. August 2011 | 14
Good Practice: Open Source Strategie


                                                            Mögliche Elemente einer Open Source Strategie
                          Referenz: Open Source Strategie
                          für den Kanton Basel-Stadt             Vorteile und Risiken von Open Source Software
                                                                bezogen auf die Organisation
                                                                 Generelle Richtlinien und Ziele zu Open Source
                                                            
                                Eine integrierte                 Software

                                Open Source                     Vorgaben zur Reduktion von Abhängigkeiten zu
                                                                 proprietärer Software
                                Strategie
                                                                 Berücksichtigung von Open Source Lösungen
                                unterstützt                     bei Software-Beschaffungen
                                nachhaltigen                     Vorgaben bezüglich Open Source Lizenzen,
                                Erfolg in der IT.               beispielsweise Pure Open Source oder auch
                                                                 Open Core
                                                                 Kriterien zur Evaluation von Open Source
                                                                Software
                                                                 Regelung betreffend Freigabe von Open Source
                                                                Software
                                                                 Aus- und Weiterbildung bezüglich Open Source
                                                                Technologien, Organisation, Lizenzen etc.
                                                                 Umsetzungsmassnahmen der Strategieziele wie
                                                                Studie, Pilotprojekte, Kompetenzstelle etc.

ISACA AHS – Risiken von Open Source Software                                                     30. August 2011 | 15
3.
                                                Professioneller Einsatz
                                                von Open Source




ISACA AHS – Risiken von Open Source Software                       30. August 2011 | 16
Professioneller Einsatz von Open Source


                                                        1. Einsatz ohne professionellen Support
                               Szenario                 Open Source Software gratis aus dem Internet laden und so wie
                                                        sie ist einsetzen

                               Einsatzbereich           Nicht geschäftskritische Bereiche

                               Zielgruppe               Private, kleine und mittlere Unternehmen, kleine Schulen,
                                                        Non-Profit Organisationen

                               Vorteile                 • Niedrige Kosten
                                                        • Rasche Umsetzung

                               Nachteile                • Kein garantierter Support
                                                        • Keine Haftungsansprüche

                               Risiko und Absicherung   Hohes Risiko: Es bestehen keinerlei Support-Verträge oder
                                                        Garantien




ISACA AHS – Risiken von Open Source Software                                                             30. August 2011 | 17
Professioneller Einsatz von Open Source


                                                        2. Einsatz mit internem Support
                               Szenario                 Interner Aufbau von Knowhow und Ressourcen zu bestimmten
                                                        Open Source Lösungen, um diese intensiv und langfristig
                                                        einzusetzen

                               Einsatzbereich           Geschäftskritische Bereiche und wettbewerbsdifferenzierende
                                                        Technologien

                               Zielgruppe               Grossunternehmen, öffentliche Verwaltungen,
                                                        grosse Institutionen

                               Vorteile                 • Hohe Flexibilität dank internem Knowhow
                                                        • Keine Anbieterabhängigkeiten

                               Nachteile                • Hohe Investitionen und grosser Zeitaufwand durch
                                                          Knowhow-Aufbau
                                                        • Höhere interne Fixkosten durch mehr Mitarbeitende
                                                        • Keine Zertifizierungen für Hardware und Software

                               Risiko und Absicherung   Mittleres Risiko: Der Support hängt von Knowhow und
                                                        Verfügbarkeit der internen IT ab




ISACA AHS – Risiken von Open Source Software                                                           30. August 2011 | 18
Professioneller Einsatz von Open Source


                                                        3. Einsatz durch externen Anbieter
                               Szenario                 Unterstützung durch einen externen Open Source Anbieter, um
                                                        Open Source Software rasch zu integrieren und anzupassen

                               Einsatzbereich           Geschäftskritische Bereiche, in denen unmittelbar vertieftes
                                                        Knowhow der Software verfügbar sein muss

                               Zielgruppe               Grossunternehmen, öffentliche Verwaltungen,
                                                        grosse Institutionen

                               Vorteile                 • Direkter Zugang zum Knowhow der Open Source Entwickler
                                                        • Korrekturen und Weiterentwicklung auf Auftragsbasis
                                                        • Auswahl verschiedener Open Source Anbieter
                                                        • Weitere Vorteile gemäss Service Level Agreement

                               Nachteile                • Externe Kosten durch Open Source Anbieter
                                                        • Knowhow-Abhängigkeit zum Open Source Anbieter

                               Risiko und Absicherung   Niedriges Risiko: Gewährleistung geschieht gemäss
                                                        Auftragsbeschreibung oder Service Level Agreement




ISACA AHS – Risiken von Open Source Software                                                             30. August 2011 | 19
Was ist ein Open Source Anbieter?


                             • Selber Open Source Lösung lanciert haben oder zumindest
                               massgeblich an deren Weiterentwicklung beteiligt
                             • Mitarbeitende als «Committer» im Open Source Projekt
                             • Verfügt über Knowhow für regelmässige
                               Sicherheitsaktualisierungen und Upgrades
                             • Bietet Beratung für Open Source Produkte an, realisiert
                               Software-Einführungen und Migrationen, entwickelt
                               Verbesserungen und Erweiterungen und führt Schulungen durch
                             • Bietet mittels Support-Verträgen während verbindlich
                               deklarierter Zeitspanne Unterstützung für bestimmte Software-
                               Version an
                             • Ermöglicht grundlegende Weiterentwicklung der Open Source
                               Software und sichert nachhaltiges Bestehen



ISACA AHS – Risiken von Open Source Software                                    30. August 2011 | 20
Service Level Agreements für Open Source
Lösungen
                                               Mögliche Leistungen von Open Source Anbietern
                                                     Direkter Zugang zum Knowhow der Kernentwickler
                                                    der Open Source Software

                                                    Definierte Antwortzeiten für Support-Anfragen

                                                     Support über verschiedene Kanäle (Web, VPN,
                                                    Email, Chat, Telefon, Remote-Desktop, vor Ort)
                                                     Angebot von professionellen Dokumentationen,
                                                    Schulungen und Zertifizierungskursen
                                                     Zeitnahe, pro-aktive und kundenfreundliche
                                                    Auslieferung von Security Patches
                                                     Zugesicherte, regelmässige Software Releases und
                                                    Updates
                                                     Garantie für Kompatibilität mit anderen Software-
                                                    Lösungen
                                                     Zertifizierungen für bestimmte Hardware und
                                                    proprietäre Software-Systeme
                                                     Integration von Korrekturen und Erweiterungen in
                                                    die Hauptentwicklungsversion
                                                     Absicherung gegen Rechtsansprüche am geistigen
                                                    Eigentum (Copyright, Patente)

                                                    Haftung bei Unterbrüchen und Fehlfunktionen

ISACA AHS – Risiken von Open Source Software         Bereitstellung zusätzlicher proprietärer 2011 | 21
                                                                                       30. August
                                                    Erweiterungen und Hilfswerkzeuge
Geschäftsmodelle mit Open Source Software


                             • Dienstleistungen rund um Open Source Software:
                                    • Beratung
                                    • Installation, Integration
                                    • Anpassungen, Erweiterungen
                                    • Schulungen, Workshops
                                    • Betrieb, Wartung (Service Level Agreements)

                             • Lizenzverkauf von proprietären Erweiterungen (Open Core)
                             • Verkauf einer Distribution von Open Source Paketen (Red Hat)
                             • Verkauf von Werbung (Google Android)
                             • Verkauf von Hardware (IBM, HP)
                             • Dual Licensing (MySQL)

ISACA AHS – Risiken von Open Source Software                                        30. August 2011 | 22
Dual Licensing


                             • Urheber kann Software beliebig lizenzieren
                             • Veröffentlichung identischer Software unter zwei
                               unterschiedlichen Lizenzen, typischerweise eine
                               restriktive Open Source Lizenz (GPL) und eine
                               proprietäre Lizenz
                             • Nutzung der Vorteile beider Welten:
                                  Proprietäre Lizenz              Open Source Lizenz
      Vorteile für                • Umsatzgenerierung             • rasche Verbreitung der Open Source
      Lizenzgeber                                                   Software -> Marktdurchdringung
                                                                  • Hohe Anwenderzahl gut für Testen,
                                                                    Fehlersuche und Stabilität des
                                                                    Produkts
      Vorteile für                • Code kann innerhalb eigener   • Keine Lizenzkosten
      Lizenznehmer                  proprietärer Software
                                    weiterverwendet werden



ISACA AHS – Risiken von Open Source Software                                               30. August 2011 | 23
4.
                                                Rechtliche Grundlagen
                                                von Open Source




ISACA AHS – Risiken von Open Source Software                      30. August 2011 | 24
Verbreitung von Open Source Lizenzen
                                                     Andere
           Mozilla Public License 1.1 (MPL)               7%
        Microsoft Public License (Ms-PL)            1%
                                               2%
 Code Project Open 1.02 License
                                          3%
        Apache License 2.0           5%

Berkeley Software
Distribution License
2.0 (BSD)                      6%
                                                                                     GNU General Public
                                                                                 46% License 2.0 (GPLv2)
  GNU General Public         6%
  License 3.0 (GPLv3)




  Massachusetts                  7%
  Institute of
  Technology (MIT)
  License

                 GNU Library oder
                                          8%
                 Lesser General Public
                 License 2.1 (LGPL)
                                                                9%
                                                              Artistic License
ISACA AHS – Risiken von Open Source Software                                                30. August 2011 | 25
Die wichtigsten Open Source Lizenzen


                             Mit starkem Copyleft Schutz (ca. 52%)
                             • GNU Affero General Public License (AGPL)
                             • GNU General Public License (GPL)

                             Mit schwachem Copyleft Schutz (ca. 8%)
                             • GNU Library or Lesser
                               General Public License (LGPL)

                             Ohne Copyleft Schutz (ca. 40%)
                             • MIT-, BSD- und Apache Licenses
                             • Mozilla Public License (MPL)
                             • (fast) alle anderen
                               OSI-ratifizierten Lizenzen

ISACA AHS – Risiken von Open Source Software                              30. August 2011 | 26
Copyleft Effekt

                             • Copyleft bezweckt, dass ein bestimmter Source
                               Code für immer frei erhältlich bleibt.
                             • Durch eine Copyleft Klausel geschützter Source
                               Code darf immer nur unter der ursprünglichen
                               Open Source Lizenz weitergegeben werden (sog.
                               viraler Effekt).
                             • Der Copyleft Effekt verbietet:
                                    • dass die veränderte Software („derived      Copyleft-Klausel, z.B. aus
                                      work“) proprietär vertrieben wird           der GNU General Public
                                                                                  License, version 3 (GPLv3)
                             • Der Copyleft Effekt verbietet nicht:
                                                                                  “[…] If you distribute
                                 • die unveränderte Nutzung                       copies of such a program,
                                 • die Organisations-interne Entwicklung          whether gratis or for a fee,
                                   Beachten: Verbreitung von Software innerhalb   you must pass on to the
                                   einer Unternehmensgruppe gilt als              recipients the same
                                   Veröffentlichung -> Folge: Source Code muss    freedoms that you
                                   intern mitgeliefert werden                     received. You must make
                                 • den Aufruf von Copyleft geschützten            sure that they, too, receive
                                   selbständigen Programmteilen durch             or can get the source code.
                                   proprietär vertriebene Software                And you must show them
                                                                                  these terms so they know
ISACA AHS – Risiken von Open Source Software                                      their rights. […]” 2011 | 27
                                                                                             30. August
Unterschiede der wichtigsten Open Source Lizenzen

                                                                                                  Schwacher
                                                                             Starker Schutz                     sog. Liberale Open
                                                                                                  Schutz der
                                                                             der Freiheiten                     Source Lizenzen
                                                                                                  Freiheiten




                                                                               AGPLv3




                                                                                                      LGPLv3




                                                                                                                  License




                                                                                                                               License

                                                                                                                               License
                                                                                                                  Apache
                                                                                        (v2 und




                                                                                                                               & BSD
                                                                                        GPL




                                                                                                                               MIT
                                                                                        v3)




                                                                                                                  2.o
Freier Zugang zum Quellcode                                                    Ja         Ja          Ja             Ja            Ja
Der Quellcode darf innerhalb der rechtlichen Einheit verändert und mit
                                                                               Ja         Ja          Ja             Ja            Ja
beliebiger anderer Software kombiniert werden.
Der Quellcode darf auf Webservern verschlossen bleiben: Wird die Software
nicht physisch an Kunden oder Partner verteilt, sondern wird sie
                                                                              Nein        Ja          Ja             Ja            Ja
ausschliesslich beispielsweise auf einem Webserver den Benutzern zur
Verfügung gestellt, muss der Quellcode nicht veröffentlicht werden.
Der Quellcode darf mit proprietärer Software verteilt werden: Solange LGPL
lizenzierte Software ausschliesslich extern beispielsweise als
                                                                              Nein       Nein         Ja             Ja            Ja
Programmbibliothek aufgerufen wird, darf sie zusammen mit proprietärer
Software verteilt werden.
Veränderungen dürfen verschlossen bleiben: Als wesentlicher Unterschied
zu den Lizenzen der Free Software Foundation (AGPL, GPL und LGPL)
erlauben liberale Lizenzen, dass der Quellcode in proprietäre Software eng
                                                                              Nein       Nein        Nein            Ja            Ja
integriert werden darf. Verbesserungen und Erweiterungen des Quellcodes
müssen somit nicht mehr frei gegeben werden, sondern dürfen
verschlossen bleiben.
Einzige Pflicht ist das Einfügen eines vorgegeben Copyright Vermerks und                                                           Ja
                                                                              Nein       Nein        Nein           Nein
einer Haftungsausschlussklausel im Quellcode.

                                                                                                   Lizenzkompatibilität
 ISACA AHS – Risiken von Open Source Software                                                                        30. August 2011 | 28
License Compliance bei Open Source Software


                                               Checkbox License Compliance bei Open Source Software

                                                     Wir wissen, ob in unserer Organisation Open
                                                      Source Software eingesetzt wird

                                                     Wir wissen, unter welcher Lizenz die betreffende
                                                      Open Source Software steht, und welche Auflagen
                                                      folglich zu beachten sind.

                                                     Wir haben festgelegt, ob und wann bei uns GPL-
                                                      Software in der Entwicklung verwendet werden darf


                                                     Unsere Programmierer sind sich bewusst, welche
                                                      Folgen die Integrierung von GPL-lizenzierten
                                                      Komponenten in unsere Software hat

                                                     Regelmässige Kontrollen stellen sicher, dass unsere
                                                      internen Bestimmungen über den Umgang mit
                                                      Open Source Software eingehalten werden




ISACA AHS – Risiken von Open Source Software                                             30. August 2011 | 29
5.
                                                Fazit und Ausblick




ISACA AHS – Risiken von Open Source Software                         30. August 2011 | 30
Inhaltliche Zusammenfassung


  Open Source ist keine Glaubensfrage
  •   Klare Definition von Open Source: eine Software-Lizenz mit Freiheiten
  •   Objektive Vor- und Nachteile von Open Source Software
  •   Bei gleicher Produkte-Qualität ist Open Source von Vorteil ggü. proprietärer Software




                                                                                                  Summary
  Open Source Software muss gesteuert werden
  •   Open Source Software ist allgegenwärtig
  •   Beschaffung und Einsatz von Open Source Software geschieht oft unkontrolliert
  •   Open Source Strategien und Policies zur Verbesserung der IT Governance

  Volles Potential mittels Open Source Strategie nutzen




                                                                                              Executive
  •   Vorteile für die eigene Organisation mittels Open Source Strategie nutzen
  •   Risiken frühzeitig erkennen und adressieren
  •   Umsetzungsmassnahmen festlegen und durchführen

  Wissen aus erster Hand ist gefragt
  •   Herausforderung: Vielfalt von Open Source Lösungen und Projekten
  •   Wissen und Erfahrung selber beschaffen oder Experten kontaktieren


ISACA AHS – Risiken von Open Source Software                                                        30. August 2011 | 31
Fazit Open Source Software aus Risiko-Sicht


  Open Source Software ist weniger risikoreich
  als proprietäre Software
  •   Nutzung von unveränderter Open Source Software ist völlig frei
      -> Nutzung von unveränderter proprietärer Software ist stark eingeschränkt




                                                                                              Summary
  •   Interne Entwicklung von Open Source Software ist völlig frei
      -> Interne Entwicklung von proprietärer Software ist selten möglich
  •   Entwicklung und Weiterverteilung von Open Source Software ist teilweise eingeschränkt
      -> Entwicklung und Weiterverteilung von proprietärer Software ist
         normalerweise verboten

  Open Source Lizenzen sind nicht komplexer




                                                                                          Executive
  als proprietäre Lizenzen
  •   Es existiert eine beschränkte Anzahl von Open Source Lizenzen
  •   93% der Open Source Projekte setzen eine von 10 Open Source Lizenzen ein
  •   Proprietäre Software hat pro Hersteller und Produkte andere Lizenzbestimmungen

  Risiken von Open Source Software beachten
  •   Hauptproblem: Open Source Software hat Kommunikations- und Werbe-Defizit
  •   Spezifische Eigenschaften von Open Source Software kennen und Risiken beachten


ISACA AHS – Risiken von Open Source Software                                                    30. August 2011 | 32
Unsere Dienstleistungen


  Der gezielte Einsatz von Open Source Software
  bietet grosse Vorteile, birgt aber auch gewisse
  Risiken.




                                                         Summary
  Mit der Erarbeitung einer Open Source Strategie,
  einem Software Portfolio Assessment, einer TCO-
  Analyse oder einem License Compliance Check
  helfen wir unseren Kunden, sowohl das volle
  Potential von Open Source auszuschöpfen als auch
  die Risiken zu minimieren.




                                                     Executive
  Unsere Open Source Experten besitzen langjährige
  Erfahrung im Umgang mit Open Source
  Technologien und Communities und unsere Juristen
  prüfen kompetent die rechtlichen Aspekte im
  Zusammenhang mit Open Source Lizenzen.



ISACA AHS – Risiken von Open Source Software               30. August 2011 | 33
Fragen & Antworten




                                               ?
                                                   Antworten
                                                   Fragen &
ISACA AHS – Risiken von Open Source Software          30. August 2011 | 34

Weitere ähnliche Inhalte

Was ist angesagt?

Apache kafka
Apache kafkaApache kafka
Apache kafka
Rahul Jain
 
Microservice vs. Monolithic Architecture
Microservice vs. Monolithic ArchitectureMicroservice vs. Monolithic Architecture
Microservice vs. Monolithic Architecture
Paul Mooney
 
DevOps Foundation
DevOps FoundationDevOps Foundation
DevOps Foundation
Homepree Rloy
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
Amazon Web Services
 
Combining logs, metrics, and traces for unified observability
Combining logs, metrics, and traces for unified observabilityCombining logs, metrics, and traces for unified observability
Combining logs, metrics, and traces for unified observability
Elasticsearch
 
DevOps & Security: Here & Now
DevOps & Security: Here & NowDevOps & Security: Here & Now
DevOps & Security: Here & Now
Checkmarx
 
DevOps & SRE at Google Scale
DevOps & SRE at Google ScaleDevOps & SRE at Google Scale
DevOps & SRE at Google Scale
Kaushik Bhattacharya
 
Microservices Architecture - Cloud Native Apps
Microservices Architecture - Cloud Native AppsMicroservices Architecture - Cloud Native Apps
Microservices Architecture - Cloud Native Apps
Araf Karsh Hamid
 
Cloud Native Application Development
Cloud Native Application DevelopmentCloud Native Application Development
Cloud Native Application Development
Siva Rama Krishna Chunduru
 
Opentelemetry - From frontend to backend
Opentelemetry - From frontend to backendOpentelemetry - From frontend to backend
Opentelemetry - From frontend to backend
Sebastian Poxhofer
 
Azure DevOps
Azure DevOpsAzure DevOps
Azure DevOps
Juan Fabian
 
Microservice architecture : Part 1
Microservice architecture : Part 1Microservice architecture : Part 1
Microservice architecture : Part 1
NodeXperts
 
Application Monitoring using Datadog
Application Monitoring using DatadogApplication Monitoring using Datadog
Application Monitoring using Datadog
Mukta Aphale
 
Microservices, DevOps, and Continuous Delivery
Microservices, DevOps, and Continuous DeliveryMicroservices, DevOps, and Continuous Delivery
Microservices, DevOps, and Continuous Delivery
Khalid Salama
 
API Management - Why it matters!
API Management - Why it matters!API Management - Why it matters!
API Management - Why it matters!
Sven Bernhardt
 
Kubeflow at Spotify (For the Kubeflow Summit)
Kubeflow at Spotify (For the Kubeflow Summit)Kubeflow at Spotify (For the Kubeflow Summit)
Kubeflow at Spotify (For the Kubeflow Summit)
Josh Baer
 
Spring Boot Microservices vs Akka Actor Cluster
Spring Boot Microservices vs Akka Actor Cluster Spring Boot Microservices vs Akka Actor Cluster
Spring Boot Microservices vs Akka Actor Cluster
OpenCredo
 
Process Models IN software Engineering
Process Models IN software EngineeringProcess Models IN software Engineering
Process Models IN software Engineering
Arid Agriculture university rawalpindi
 
stupid-simple-kubernetes-final.pdf
stupid-simple-kubernetes-final.pdfstupid-simple-kubernetes-final.pdf
stupid-simple-kubernetes-final.pdf
DaniloQueirozMota
 

Was ist angesagt? (20)

Apache kafka
Apache kafkaApache kafka
Apache kafka
 
Microservice vs. Monolithic Architecture
Microservice vs. Monolithic ArchitectureMicroservice vs. Monolithic Architecture
Microservice vs. Monolithic Architecture
 
DevOps Foundation
DevOps FoundationDevOps Foundation
DevOps Foundation
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
 
Combining logs, metrics, and traces for unified observability
Combining logs, metrics, and traces for unified observabilityCombining logs, metrics, and traces for unified observability
Combining logs, metrics, and traces for unified observability
 
DevOps & Security: Here & Now
DevOps & Security: Here & NowDevOps & Security: Here & Now
DevOps & Security: Here & Now
 
DevOps & SRE at Google Scale
DevOps & SRE at Google ScaleDevOps & SRE at Google Scale
DevOps & SRE at Google Scale
 
Microservices Architecture - Cloud Native Apps
Microservices Architecture - Cloud Native AppsMicroservices Architecture - Cloud Native Apps
Microservices Architecture - Cloud Native Apps
 
Cloud Native Application Development
Cloud Native Application DevelopmentCloud Native Application Development
Cloud Native Application Development
 
Opentelemetry - From frontend to backend
Opentelemetry - From frontend to backendOpentelemetry - From frontend to backend
Opentelemetry - From frontend to backend
 
Azure DevOps
Azure DevOpsAzure DevOps
Azure DevOps
 
Microservice architecture : Part 1
Microservice architecture : Part 1Microservice architecture : Part 1
Microservice architecture : Part 1
 
Application Monitoring using Datadog
Application Monitoring using DatadogApplication Monitoring using Datadog
Application Monitoring using Datadog
 
Microservices, DevOps, and Continuous Delivery
Microservices, DevOps, and Continuous DeliveryMicroservices, DevOps, and Continuous Delivery
Microservices, DevOps, and Continuous Delivery
 
API Management - Why it matters!
API Management - Why it matters!API Management - Why it matters!
API Management - Why it matters!
 
Kubeflow at Spotify (For the Kubeflow Summit)
Kubeflow at Spotify (For the Kubeflow Summit)Kubeflow at Spotify (For the Kubeflow Summit)
Kubeflow at Spotify (For the Kubeflow Summit)
 
Spring Boot Microservices vs Akka Actor Cluster
Spring Boot Microservices vs Akka Actor Cluster Spring Boot Microservices vs Akka Actor Cluster
Spring Boot Microservices vs Akka Actor Cluster
 
Process Models IN software Engineering
Process Models IN software EngineeringProcess Models IN software Engineering
Process Models IN software Engineering
 
stupid-simple-kubernetes-final.pdf
stupid-simple-kubernetes-final.pdfstupid-simple-kubernetes-final.pdf
stupid-simple-kubernetes-final.pdf
 

Andere mochten auch

ingenieria del software
ingenieria del softwareingenieria del software
ingenieria del software
Evelio Hipuchima
 
Social Software und Web 2.0: Semantic Wikis, Social Tagging und eLearning 2.0
Social Software und Web 2.0: Semantic Wikis, Social Tagging und eLearning 2.0Social Software und Web 2.0: Semantic Wikis, Social Tagging und eLearning 2.0
Social Software und Web 2.0: Semantic Wikis, Social Tagging und eLearning 2.0
Sebastian Schaffert
 
Open Source Software im geschäftskritischen Einsatz
Open Source Software im geschäftskritischen EinsatzOpen Source Software im geschäftskritischen Einsatz
Open Source Software im geschäftskritischen Einsatz
Matthias Stürmer
 
Projektmanagement 2.0: Social Software für die Projektkommunikation
Projektmanagement 2.0: Social Software für die ProjektkommunikationProjektmanagement 2.0: Social Software für die Projektkommunikation
Projektmanagement 2.0: Social Software für die Projektkommunikation
Kommunikation-zweinull
 
Das Potential von freier Software (Open Source) für KMUs
Das Potential von freier Software (Open Source) für KMUsDas Potential von freier Software (Open Source) für KMUs
Das Potential von freier Software (Open Source) für KMUs
Matthias Stürmer
 
Software Craftsmanship : en Pratique - AgileTour
Software Craftsmanship : en Pratique - AgileTourSoftware Craftsmanship : en Pratique - AgileTour
Software Craftsmanship : en Pratique - AgileTour
Jean-Laurent de Morlhon
 
Mia-Software at MD Day 2010
Mia-Software at MD Day 2010Mia-Software at MD Day 2010
Mia-Software at MD Day 2010
fmadiot
 
Lean Software Development et pratiques Agiles
Lean Software Development et pratiques AgilesLean Software Development et pratiques Agiles
Lean Software Development et pratiques Agiles
Eric Le Merdy
 
Crm Software Salesboom.com Salesforce.com
Crm Software Salesboom.com Salesforce.comCrm Software Salesboom.com Salesforce.com
Crm Software Salesboom.com Salesforce.com
guest43084e
 
Planificacion De Proyectos De Software
Planificacion De Proyectos De SoftwarePlanificacion De Proyectos De Software
Planificacion De Proyectos De Software
Iván Sanchez Vera
 
Ingenieria De Software Para Dummies
Ingenieria De Software Para DummiesIngenieria De Software Para Dummies
Ingenieria De Software Para Dummies
Sorey García
 
Tecnicas de estimacion de costos de proyecto software
Tecnicas de estimacion de costos de proyecto softwareTecnicas de estimacion de costos de proyecto software
Tecnicas de estimacion de costos de proyecto software
antonio
 
Introduction au génie logiciel
Introduction au génie logicielIntroduction au génie logiciel
Introduction au génie logiciel
Mohamed Diallo
 
Calidad del producto ISO 9126
Calidad del producto ISO 9126Calidad del producto ISO 9126
Calidad del producto ISO 9126
JekittaB
 
Proyecto de tesis sobre software educativo
Proyecto de tesis sobre software educativoProyecto de tesis sobre software educativo
Proyecto de tesis sobre software educativo
Nelly Huayta Alvarez
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de software
Guillermo Lemus
 
LRA_presentation2011[1]
LRA_presentation2011[1]LRA_presentation2011[1]
LRA_presentation2011[1]
Nathon Chacon
 
Citizens of the World: Finding Joy through International Picture Books
Citizens of the World: Finding Joy through International Picture BooksCitizens of the World: Finding Joy through International Picture Books
Citizens of the World: Finding Joy through International Picture Books
treyveazey
 
Lesion renal aguda LRA
Lesion renal aguda LRALesion renal aguda LRA
Lesion renal aguda LRA
Kika Orrego Suarez
 

Andere mochten auch (20)

ingenieria del software
ingenieria del softwareingenieria del software
ingenieria del software
 
Social Software und Web 2.0: Semantic Wikis, Social Tagging und eLearning 2.0
Social Software und Web 2.0: Semantic Wikis, Social Tagging und eLearning 2.0Social Software und Web 2.0: Semantic Wikis, Social Tagging und eLearning 2.0
Social Software und Web 2.0: Semantic Wikis, Social Tagging und eLearning 2.0
 
Open Source Software im geschäftskritischen Einsatz
Open Source Software im geschäftskritischen EinsatzOpen Source Software im geschäftskritischen Einsatz
Open Source Software im geschäftskritischen Einsatz
 
Projektmanagement 2.0: Social Software für die Projektkommunikation
Projektmanagement 2.0: Social Software für die ProjektkommunikationProjektmanagement 2.0: Social Software für die Projektkommunikation
Projektmanagement 2.0: Social Software für die Projektkommunikation
 
Das Potential von freier Software (Open Source) für KMUs
Das Potential von freier Software (Open Source) für KMUsDas Potential von freier Software (Open Source) für KMUs
Das Potential von freier Software (Open Source) für KMUs
 
Software Craftsmanship : en Pratique - AgileTour
Software Craftsmanship : en Pratique - AgileTourSoftware Craftsmanship : en Pratique - AgileTour
Software Craftsmanship : en Pratique - AgileTour
 
Mia-Software at MD Day 2010
Mia-Software at MD Day 2010Mia-Software at MD Day 2010
Mia-Software at MD Day 2010
 
Lean Software Development et pratiques Agiles
Lean Software Development et pratiques AgilesLean Software Development et pratiques Agiles
Lean Software Development et pratiques Agiles
 
Software Craftsmanship: En pratique
Software Craftsmanship: En pratiqueSoftware Craftsmanship: En pratique
Software Craftsmanship: En pratique
 
Crm Software Salesboom.com Salesforce.com
Crm Software Salesboom.com Salesforce.comCrm Software Salesboom.com Salesforce.com
Crm Software Salesboom.com Salesforce.com
 
Planificacion De Proyectos De Software
Planificacion De Proyectos De SoftwarePlanificacion De Proyectos De Software
Planificacion De Proyectos De Software
 
Ingenieria De Software Para Dummies
Ingenieria De Software Para DummiesIngenieria De Software Para Dummies
Ingenieria De Software Para Dummies
 
Tecnicas de estimacion de costos de proyecto software
Tecnicas de estimacion de costos de proyecto softwareTecnicas de estimacion de costos de proyecto software
Tecnicas de estimacion de costos de proyecto software
 
Introduction au génie logiciel
Introduction au génie logicielIntroduction au génie logiciel
Introduction au génie logiciel
 
Calidad del producto ISO 9126
Calidad del producto ISO 9126Calidad del producto ISO 9126
Calidad del producto ISO 9126
 
Proyecto de tesis sobre software educativo
Proyecto de tesis sobre software educativoProyecto de tesis sobre software educativo
Proyecto de tesis sobre software educativo
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de software
 
LRA_presentation2011[1]
LRA_presentation2011[1]LRA_presentation2011[1]
LRA_presentation2011[1]
 
Citizens of the World: Finding Joy through International Picture Books
Citizens of the World: Finding Joy through International Picture BooksCitizens of the World: Finding Joy through International Picture Books
Citizens of the World: Finding Joy through International Picture Books
 
Lesion renal aguda LRA
Lesion renal aguda LRALesion renal aguda LRA
Lesion renal aguda LRA
 

Ähnlich wie Risiken von Open Source Software

Das Potential von Open Source Software nutzen und die Risiken minimieren
Das Potential von Open Source Software nutzen und die Risiken minimierenDas Potential von Open Source Software nutzen und die Risiken minimieren
Das Potential von Open Source Software nutzen und die Risiken minimieren
Matthias Stürmer
 
Entwicklung einer Open Source Strategie
Entwicklung einer Open Source StrategieEntwicklung einer Open Source Strategie
Entwicklung einer Open Source StrategieMatthias Stürmer
 
Digitale Nachhaltigkeit mit Open Clouds
Digitale Nachhaltigkeit mit Open CloudsDigitale Nachhaltigkeit mit Open Clouds
Digitale Nachhaltigkeit mit Open Clouds
Matthias Stürmer
 
Open Source 2.0: Digitale Nachhaltigkeit in der öffentlichen Verwaltung
Open Source 2.0: Digitale Nachhaltigkeit in der öffentlichen VerwaltungOpen Source 2.0: Digitale Nachhaltigkeit in der öffentlichen Verwaltung
Open Source 2.0: Digitale Nachhaltigkeit in der öffentlichen Verwaltung
Matthias Stürmer
 
Open Source Software: Reif für den typischen CH KMU?
Open Source Software: Reif für den typischen CH KMU?Open Source Software: Reif für den typischen CH KMU?
Open Source Software: Reif für den typischen CH KMU?
Matthias Stürmer
 
Artikel Schweizer Bank: Vorteile von Open-Source-Software
Artikel Schweizer Bank: Vorteile von Open-Source-SoftwareArtikel Schweizer Bank: Vorteile von Open-Source-Software
Artikel Schweizer Bank: Vorteile von Open-Source-Software
Peter Affolter
 
Stolpersteine und Chancen bei Open-Source Lösungen in der Arbeitswelt.
Stolpersteine und Chancen bei Open-Source Lösungen in der Arbeitswelt.Stolpersteine und Chancen bei Open-Source Lösungen in der Arbeitswelt.
Stolpersteine und Chancen bei Open-Source Lösungen in der Arbeitswelt.
Falk Neubert
 
Open-Source ERP-Lösungen: Für wen sind diese Systeme eine Alternative?
Open-Source ERP-Lösungen: Für wen sind diese Systeme eine Alternative?Open-Source ERP-Lösungen: Für wen sind diese Systeme eine Alternative?
Open-Source ERP-Lösungen: Für wen sind diese Systeme eine Alternative?
Falk Neubert
 
Open Source als innere Haltung und die Bedeutung der OSGeo Foundation
Open Source als innere Haltung  und die Bedeutung der OSGeo FoundationOpen Source als innere Haltung  und die Bedeutung der OSGeo Foundation
Open Source als innere Haltung und die Bedeutung der OSGeo Foundation
Franz-Josef Behr
 
DSpace - Rolle, Aufgaben und Verhältnis der Open-Source-Community und ihrer S...
DSpace - Rolle, Aufgaben und Verhältnis der Open-Source-Community und ihrer S...DSpace - Rolle, Aufgaben und Verhältnis der Open-Source-Community und ihrer S...
DSpace - Rolle, Aufgaben und Verhältnis der Open-Source-Community und ihrer S...
Pascal-Nicolas Becker
 
Einführung Open Source ERP Systeme
Einführung Open Source ERP SystemeEinführung Open Source ERP Systeme
Einführung Open Source ERP Systeme
Matthias Stürmer
 
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Matthias Stürmer
 
Helmholtz vortrag upload
Helmholtz vortrag uploadHelmholtz vortrag upload
Helmholtz vortrag upload
Wolf Noeding
 
Open Source Software: Einführung, Trends und öffentliche Beschaffung
Open Source Software: Einführung, Trends und öffentliche BeschaffungOpen Source Software: Einführung, Trends und öffentliche Beschaffung
Open Source Software: Einführung, Trends und öffentliche Beschaffung
Matthias Stürmer
 
E-Voting Workshop: Was kann Open Source bewirken?
E-Voting Workshop: Was kann Open Source bewirken?E-Voting Workshop: Was kann Open Source bewirken?
E-Voting Workshop: Was kann Open Source bewirken?
Matthias Stürmer
 
Open Source in der Schweiz - ein Lagebericht
Open Source in der Schweiz - ein LageberichtOpen Source in der Schweiz - ein Lagebericht
Open Source in der Schweiz - ein LageberichtMatthias Stürmer
 
Open Standards, Open Source, Open Data. Zuviel des Guten?
Open Standards, Open Source, Open Data. Zuviel des Guten?Open Standards, Open Source, Open Data. Zuviel des Guten?
Open Standards, Open Source, Open Data. Zuviel des Guten?
Arnulf Christl
 
Torsten Grote: Freie Software
Torsten Grote: Freie SoftwareTorsten Grote: Freie Software
Torsten Grote: Freie Software
StefanMz
 
Open Source Software: Einsatz, Entwicklung und Forschung
Open Source Software: Einsatz, Entwicklung und ForschungOpen Source Software: Einsatz, Entwicklung und Forschung
Open Source Software: Einsatz, Entwicklung und Forschung
Matthias Stürmer
 
system worx: Wie Open Source Software zur Optimierung von Geschäftsprozessen ...
system worx: Wie Open Source Software zur Optimierung von Geschäftsprozessen ...system worx: Wie Open Source Software zur Optimierung von Geschäftsprozessen ...
system worx: Wie Open Source Software zur Optimierung von Geschäftsprozessen ...
AKJoom
 

Ähnlich wie Risiken von Open Source Software (20)

Das Potential von Open Source Software nutzen und die Risiken minimieren
Das Potential von Open Source Software nutzen und die Risiken minimierenDas Potential von Open Source Software nutzen und die Risiken minimieren
Das Potential von Open Source Software nutzen und die Risiken minimieren
 
Entwicklung einer Open Source Strategie
Entwicklung einer Open Source StrategieEntwicklung einer Open Source Strategie
Entwicklung einer Open Source Strategie
 
Digitale Nachhaltigkeit mit Open Clouds
Digitale Nachhaltigkeit mit Open CloudsDigitale Nachhaltigkeit mit Open Clouds
Digitale Nachhaltigkeit mit Open Clouds
 
Open Source 2.0: Digitale Nachhaltigkeit in der öffentlichen Verwaltung
Open Source 2.0: Digitale Nachhaltigkeit in der öffentlichen VerwaltungOpen Source 2.0: Digitale Nachhaltigkeit in der öffentlichen Verwaltung
Open Source 2.0: Digitale Nachhaltigkeit in der öffentlichen Verwaltung
 
Open Source Software: Reif für den typischen CH KMU?
Open Source Software: Reif für den typischen CH KMU?Open Source Software: Reif für den typischen CH KMU?
Open Source Software: Reif für den typischen CH KMU?
 
Artikel Schweizer Bank: Vorteile von Open-Source-Software
Artikel Schweizer Bank: Vorteile von Open-Source-SoftwareArtikel Schweizer Bank: Vorteile von Open-Source-Software
Artikel Schweizer Bank: Vorteile von Open-Source-Software
 
Stolpersteine und Chancen bei Open-Source Lösungen in der Arbeitswelt.
Stolpersteine und Chancen bei Open-Source Lösungen in der Arbeitswelt.Stolpersteine und Chancen bei Open-Source Lösungen in der Arbeitswelt.
Stolpersteine und Chancen bei Open-Source Lösungen in der Arbeitswelt.
 
Open-Source ERP-Lösungen: Für wen sind diese Systeme eine Alternative?
Open-Source ERP-Lösungen: Für wen sind diese Systeme eine Alternative?Open-Source ERP-Lösungen: Für wen sind diese Systeme eine Alternative?
Open-Source ERP-Lösungen: Für wen sind diese Systeme eine Alternative?
 
Open Source als innere Haltung und die Bedeutung der OSGeo Foundation
Open Source als innere Haltung  und die Bedeutung der OSGeo FoundationOpen Source als innere Haltung  und die Bedeutung der OSGeo Foundation
Open Source als innere Haltung und die Bedeutung der OSGeo Foundation
 
DSpace - Rolle, Aufgaben und Verhältnis der Open-Source-Community und ihrer S...
DSpace - Rolle, Aufgaben und Verhältnis der Open-Source-Community und ihrer S...DSpace - Rolle, Aufgaben und Verhältnis der Open-Source-Community und ihrer S...
DSpace - Rolle, Aufgaben und Verhältnis der Open-Source-Community und ihrer S...
 
Einführung Open Source ERP Systeme
Einführung Open Source ERP SystemeEinführung Open Source ERP Systeme
Einführung Open Source ERP Systeme
 
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
Open Source: Aktuelle Situation und Entwicklungen in der Schweiz und Internat...
 
Helmholtz vortrag upload
Helmholtz vortrag uploadHelmholtz vortrag upload
Helmholtz vortrag upload
 
Open Source Software: Einführung, Trends und öffentliche Beschaffung
Open Source Software: Einführung, Trends und öffentliche BeschaffungOpen Source Software: Einführung, Trends und öffentliche Beschaffung
Open Source Software: Einführung, Trends und öffentliche Beschaffung
 
E-Voting Workshop: Was kann Open Source bewirken?
E-Voting Workshop: Was kann Open Source bewirken?E-Voting Workshop: Was kann Open Source bewirken?
E-Voting Workshop: Was kann Open Source bewirken?
 
Open Source in der Schweiz - ein Lagebericht
Open Source in der Schweiz - ein LageberichtOpen Source in der Schweiz - ein Lagebericht
Open Source in der Schweiz - ein Lagebericht
 
Open Standards, Open Source, Open Data. Zuviel des Guten?
Open Standards, Open Source, Open Data. Zuviel des Guten?Open Standards, Open Source, Open Data. Zuviel des Guten?
Open Standards, Open Source, Open Data. Zuviel des Guten?
 
Torsten Grote: Freie Software
Torsten Grote: Freie SoftwareTorsten Grote: Freie Software
Torsten Grote: Freie Software
 
Open Source Software: Einsatz, Entwicklung und Forschung
Open Source Software: Einsatz, Entwicklung und ForschungOpen Source Software: Einsatz, Entwicklung und Forschung
Open Source Software: Einsatz, Entwicklung und Forschung
 
system worx: Wie Open Source Software zur Optimierung von Geschäftsprozessen ...
system worx: Wie Open Source Software zur Optimierung von Geschäftsprozessen ...system worx: Wie Open Source Software zur Optimierung von Geschäftsprozessen ...
system worx: Wie Open Source Software zur Optimierung von Geschäftsprozessen ...
 

Mehr von Matthias Stürmer

Insights on Open Source and Inner Source
Insights on Open Source and Inner SourceInsights on Open Source and Inner Source
Insights on Open Source and Inner Source
Matthias Stürmer
 
Learnings aus 15 Jahren Open Source Aktivismus
Learnings aus 15 Jahren Open Source AktivismusLearnings aus 15 Jahren Open Source Aktivismus
Learnings aus 15 Jahren Open Source Aktivismus
Matthias Stürmer
 
Open Source Entwicklung - Kür, Pflicht oder Bürde für die Verwaltung?
Open Source Entwicklung - Kür, Pflicht oder Bürde für die Verwaltung?Open Source Entwicklung - Kür, Pflicht oder Bürde für die Verwaltung?
Open Source Entwicklung - Kür, Pflicht oder Bürde für die Verwaltung?
Matthias Stürmer
 
Welche Digitalstrategie braucht ein Kanton?
Welche Digitalstrategie braucht ein Kanton?Welche Digitalstrategie braucht ein Kanton?
Welche Digitalstrategie braucht ein Kanton?
Matthias Stürmer
 
Data Colonialism and Digital Sustainability: Problems and Solutions to Curren...
Data Colonialism and Digital Sustainability: Problems and Solutions to Curren...Data Colonialism and Digital Sustainability: Problems and Solutions to Curren...
Data Colonialism and Digital Sustainability: Problems and Solutions to Curren...
Matthias Stürmer
 
Nachhaltige öffentliche Beschaffungen
Nachhaltige öffentliche BeschaffungenNachhaltige öffentliche Beschaffungen
Nachhaltige öffentliche Beschaffungen
Matthias Stürmer
 
IntelliProcure - Nutzer, Medienecho, Features und Preise
IntelliProcure - Nutzer, Medienecho, Features und PreiseIntelliProcure - Nutzer, Medienecho, Features und Preise
IntelliProcure - Nutzer, Medienecho, Features und Preise
Matthias Stürmer
 
Vorstellung DINAcon, Parldigi, Forschungsstelle Digitale Nachhaltigkeit und C...
Vorstellung DINAcon, Parldigi, Forschungsstelle Digitale Nachhaltigkeit und C...Vorstellung DINAcon, Parldigi, Forschungsstelle Digitale Nachhaltigkeit und C...
Vorstellung DINAcon, Parldigi, Forschungsstelle Digitale Nachhaltigkeit und C...
Matthias Stürmer
 
Das Konzept der digitalen Nachhaltigkeit
Das Konzept der digitalen NachhaltigkeitDas Konzept der digitalen Nachhaltigkeit
Das Konzept der digitalen Nachhaltigkeit
Matthias Stürmer
 
Kuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem AlltagKuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem Alltag
Matthias Stürmer
 
Digitale Nachhaltigkeit
Digitale NachhaltigkeitDigitale Nachhaltigkeit
Digitale Nachhaltigkeit
Matthias Stürmer
 
Digital Open World - Vortrag an der 11. Büroautomationskonferenz der SIK
Digital Open World - Vortrag an der 11. Büroautomationskonferenz der SIKDigital Open World - Vortrag an der 11. Büroautomationskonferenz der SIK
Digital Open World - Vortrag an der 11. Büroautomationskonferenz der SIK
Matthias Stürmer
 
Fake News und E-Voting
Fake News und E-VotingFake News und E-Voting
Fake News und E-Voting
Matthias Stürmer
 
Nachhaltige Digitalisierung und digitale Nachhaltigkeit: Die zwei Seiten eine...
Nachhaltige Digitalisierung und digitale Nachhaltigkeit: Die zwei Seiten eine...Nachhaltige Digitalisierung und digitale Nachhaltigkeit: Die zwei Seiten eine...
Nachhaltige Digitalisierung und digitale Nachhaltigkeit: Die zwei Seiten eine...
Matthias Stürmer
 
Open Data und Datenvisualisierungen
Open Data und DatenvisualisierungenOpen Data und Datenvisualisierungen
Open Data und Datenvisualisierungen
Matthias Stürmer
 
Open Data Beer bei der SBB
Open Data Beer bei der SBBOpen Data Beer bei der SBB
Open Data Beer bei der SBB
Matthias Stürmer
 
Digitalisierung in Schweizer Städten
Digitalisierung in Schweizer StädtenDigitalisierung in Schweizer Städten
Digitalisierung in Schweizer Städten
Matthias Stürmer
 
Spirit of Bern 2018: Wie YouTube die Lehrkräfte und Uni-Dozierenden ablöst
Spirit of Bern 2018: Wie YouTube die Lehrkräfte und Uni-Dozierenden ablöstSpirit of Bern 2018: Wie YouTube die Lehrkräfte und Uni-Dozierenden ablöst
Spirit of Bern 2018: Wie YouTube die Lehrkräfte und Uni-Dozierenden ablöst
Matthias Stürmer
 
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Matthias Stürmer
 
Open Data und Datenvisualisierung
Open Data und DatenvisualisierungOpen Data und Datenvisualisierung
Open Data und Datenvisualisierung
Matthias Stürmer
 

Mehr von Matthias Stürmer (20)

Insights on Open Source and Inner Source
Insights on Open Source and Inner SourceInsights on Open Source and Inner Source
Insights on Open Source and Inner Source
 
Learnings aus 15 Jahren Open Source Aktivismus
Learnings aus 15 Jahren Open Source AktivismusLearnings aus 15 Jahren Open Source Aktivismus
Learnings aus 15 Jahren Open Source Aktivismus
 
Open Source Entwicklung - Kür, Pflicht oder Bürde für die Verwaltung?
Open Source Entwicklung - Kür, Pflicht oder Bürde für die Verwaltung?Open Source Entwicklung - Kür, Pflicht oder Bürde für die Verwaltung?
Open Source Entwicklung - Kür, Pflicht oder Bürde für die Verwaltung?
 
Welche Digitalstrategie braucht ein Kanton?
Welche Digitalstrategie braucht ein Kanton?Welche Digitalstrategie braucht ein Kanton?
Welche Digitalstrategie braucht ein Kanton?
 
Data Colonialism and Digital Sustainability: Problems and Solutions to Curren...
Data Colonialism and Digital Sustainability: Problems and Solutions to Curren...Data Colonialism and Digital Sustainability: Problems and Solutions to Curren...
Data Colonialism and Digital Sustainability: Problems and Solutions to Curren...
 
Nachhaltige öffentliche Beschaffungen
Nachhaltige öffentliche BeschaffungenNachhaltige öffentliche Beschaffungen
Nachhaltige öffentliche Beschaffungen
 
IntelliProcure - Nutzer, Medienecho, Features und Preise
IntelliProcure - Nutzer, Medienecho, Features und PreiseIntelliProcure - Nutzer, Medienecho, Features und Preise
IntelliProcure - Nutzer, Medienecho, Features und Preise
 
Vorstellung DINAcon, Parldigi, Forschungsstelle Digitale Nachhaltigkeit und C...
Vorstellung DINAcon, Parldigi, Forschungsstelle Digitale Nachhaltigkeit und C...Vorstellung DINAcon, Parldigi, Forschungsstelle Digitale Nachhaltigkeit und C...
Vorstellung DINAcon, Parldigi, Forschungsstelle Digitale Nachhaltigkeit und C...
 
Das Konzept der digitalen Nachhaltigkeit
Das Konzept der digitalen NachhaltigkeitDas Konzept der digitalen Nachhaltigkeit
Das Konzept der digitalen Nachhaltigkeit
 
Kuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem AlltagKuenstliche Intelligenz in unserem Alltag
Kuenstliche Intelligenz in unserem Alltag
 
Digitale Nachhaltigkeit
Digitale NachhaltigkeitDigitale Nachhaltigkeit
Digitale Nachhaltigkeit
 
Digital Open World - Vortrag an der 11. Büroautomationskonferenz der SIK
Digital Open World - Vortrag an der 11. Büroautomationskonferenz der SIKDigital Open World - Vortrag an der 11. Büroautomationskonferenz der SIK
Digital Open World - Vortrag an der 11. Büroautomationskonferenz der SIK
 
Fake News und E-Voting
Fake News und E-VotingFake News und E-Voting
Fake News und E-Voting
 
Nachhaltige Digitalisierung und digitale Nachhaltigkeit: Die zwei Seiten eine...
Nachhaltige Digitalisierung und digitale Nachhaltigkeit: Die zwei Seiten eine...Nachhaltige Digitalisierung und digitale Nachhaltigkeit: Die zwei Seiten eine...
Nachhaltige Digitalisierung und digitale Nachhaltigkeit: Die zwei Seiten eine...
 
Open Data und Datenvisualisierungen
Open Data und DatenvisualisierungenOpen Data und Datenvisualisierungen
Open Data und Datenvisualisierungen
 
Open Data Beer bei der SBB
Open Data Beer bei der SBBOpen Data Beer bei der SBB
Open Data Beer bei der SBB
 
Digitalisierung in Schweizer Städten
Digitalisierung in Schweizer StädtenDigitalisierung in Schweizer Städten
Digitalisierung in Schweizer Städten
 
Spirit of Bern 2018: Wie YouTube die Lehrkräfte und Uni-Dozierenden ablöst
Spirit of Bern 2018: Wie YouTube die Lehrkräfte und Uni-Dozierenden ablöstSpirit of Bern 2018: Wie YouTube die Lehrkräfte und Uni-Dozierenden ablöst
Spirit of Bern 2018: Wie YouTube die Lehrkräfte und Uni-Dozierenden ablöst
 
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
 
Open Data und Datenvisualisierung
Open Data und DatenvisualisierungOpen Data und Datenvisualisierung
Open Data und Datenvisualisierung
 

Risiken von Open Source Software

  • 1. Risiken von Open Source Software Dr. Matthias Stürmer, Ernst & Young ISACA After Hours Seminar 30. August 2011, Zürich
  • 2. CV Matthias Stürmer Phone: +41 58 286 61 97 Mobile: +41 58 289 61 97 Email: matthias.stuermer@ch.ey.com Background Skills • Senior, Advisory, EMEIA Financial Services • Advisory on open source project management, open source community • Matthias Stürmer joined Ernst & Young in 2010 building and governance, open source and is based in Bern, Switzerland licenses, open source software and • lic.rer.pol. in studies of business administration and technologies computer science at University of Bern • Advisory on software development • Dr. sc. ETH Zürich with doctoral dissertation at the methodologies, software architecture Chair of Strategic Management and Innovation of ETH assessments, software development Zürich project management, vendor lock-in • Research on innovation strategies, knowledge theory, analysis technology management and software development • Advisory on Internet standards and focusing on open source communities and firm formats, web technologies and involvement frameworks, content management • Founder and secretary of the Swiss National systems Parliamentarian Group for Digital Sustainability • Advisory on Open Government Data • Member of the Board of initiatives, technologies, and policies Swiss Open Systems User Group /ch/open • Advisory on social media governance, • Languages: German (native), English (fluent), Spanish social media strategies, social media (working knowledge), French (working knowledge) platforms, tools, and technologies ISACA AHS – Risiken von Open Source Software 30. August 2011 | 1
  • 3. Agenda 1. Wie Open Source Projekte funktionieren 2. Vorteile, Risiken und Good Practices mit Open Source 3. Professioneller Einsatz von Open Source Software 4. Rechtliche Grundlagen von Open Source 5. Fazit und Ausblick Inhalte dieser Präsentation basieren weitgehend auf der Publikation von Ernst & Young “Open Source Software im geschäftskritischen Einsatz” http://www.ey.com/CH/de/Services/Advisory/IT-Risk-and-Assurance ISACA AHS – Risiken von Open Source Software 30. August 2011 | 2
  • 4. 1. Wie Open Source Projekte funktionieren ISACA AHS – Risiken von Open Source Software 30. August 2011 | 3
  • 5. Hintergrundwissen zu Open Source Software Definition von Open Source Ein Software-Produkt wird als Open Source Software bezeichnet, wenn es unter einer der rund 70 von der Open Source Initiative (OSI, www.opensource.org) abgesegneten Lizenzen veröffentlicht ist. Eine solche Lizenz besagt (unter anderem) : 1. Der Quelltext der Software liegt in einer für Menschen verständlichen Form vor. 2. Die Software darf beliebig kopiert, verbreitet und genutzt werden. 3. Die Software darf verändert und in der veränderten Form weitergegeben werden. ISACA AHS – Risiken von Open Source Software 30. August 2011 | 4
  • 6. Hintergrundwissen zu Open Source Software Open Source Projekte und Communities Inaktive Benutzer Aktive Open Source Community Benutzer Beitragende Mitwirkende Entwickler Kern- entwickler ISACA AHS – Risiken von Open Source Software 30. August 2011 | 5
  • 7. Hintergrundwissen zu Open Source Software Community Building Prozess Open Source Projekt ISACA AHS – Risiken von Open Source Software 30. August 2011 | 6
  • 8. Hintergrundwissen zu Open Source Software Häufige Vorurteile «Für Open Source Software gibt es keinen Support» «Die rechtliche Situation bei Open Source ist unklar» «Open Source Software ist gratis» «Open Source Software ist wenig verbreitet» «Bei Open Source Software gibt es keine Qualitätssicherung» «Es gibt keine Open Source Fachapplikationen» ISACA AHS – Risiken von Open Source Software 30. August 2011 | 7
  • 9. 2. Vorteile, Risiken und Good Practices mit Open Source ISACA AHS – Risiken von Open Source Software 30. August 2011 | 8
  • 10. Vorteile und Good Practices Vorteile von Open Source Software Risiken von Open Source Software + Kosteneinsparungen Good Practices: Software Portfolio Assessment Total Cost of Ownership Analysis Shared Maintenance Kontrolle über Software und Daten Good Practice: Vendor Risk Assessment Reputationsgewinn Good Practice: Open Source Marketing Rasche Verbreitung Good Practice: Open Source Project Management ISACA AHS – Risiken von Open Source Software 30. August 2011 | 9
  • 11. Ausnützen der Vorteile: Good Practices Kosteneinsparungen Kontrolle über Software und Daten • Keine Verpflichtung bei der Anbieterwahl • Source Code öffentlich einsehbar • Skalierbarkeit der Lizenzen in einer Cloud-Umgebung • Keine Backdoors, keine Aktivierung, keine • Migration wichtig realistisch zu rechnen Registrierung • Daten jederzeit zugänglich Dank offenen Standards • Software-Anpassungen direkt ausgeführen • Abhängigkeiten zu Software-Anbietern nicht auszuschliessen Referenz: Evaluation von Open Source Intranet-Lösungen für eine Pensionskasse Referenz: Workshop für OOXML-Verbesserungen bei LibreOffice/OpenOffice.org ISACA AHS – Risiken von Open Source Software 30. August 2011 | 10
  • 12. Ausnützen der Vorteile: Good Practices Reputationsgewinn Rasche Verbreitung • Positive Medienpräsenz bei Engagement für • Rasche und ungehinderte Verbreitung von Open Open Source Source • Vorbildliches «Digital Citizenship» • Etablierung in gesättigtem Markt möglich • Öffentliche Institutionen betreiben • Basis für Geschäftsmodell mit Services und Innovationsförderung Erweiterungen • Gewinn an Arbeitgeberattraktivität für gute • Community Management generiert externe Beiträge Informatiker Referenz: Entwicklung der Open Source Governance Richtlinien für neues Open Source Projekt ISACA AHS – Risiken von Open Source Software 30. August 2011 | 11
  • 13. Risiken und Risikominimierung Vorteile von Open Source Software Risiken von Open Source Software - Verletzung der Open Source Lizenzbestimmungen Good Practices: Software Licensing Compliance Software Development Guidelines Unkontrollierter Einsatz von Open Source Software Good Practices: Quality Assessment Framework Enterprise Architecture Governance Support nicht gesichert Good Practice: Support Assessment Migration auf Open Source misslingt Good Practice: Integration Strategy ISACA AHS – Risiken von Open Source Software 30. August 2011 | 12
  • 14. Risikominimierung: Good Practices Verletzung der Open Source Unkontrollierter Einsatz von Lizenzbestimmungen Open Source Software • Einhaltung aller Lizenzregelungen eine • Systematische Evaluation von Open Source notwenig Herausforderung • Open Source Charakteristiken berücksichtigen • Lizenz kann Veröffentlichung des Source Codes • IT Architekturvorgaben können umgangen werden erzwingen • Wildwuchs an eingesetzten Produkten und • Kennen der Open Source Lizenzen wichtig Komponenten • Rechtliche Risiken beim Open Source Einsatz abwägen ISACA AHS – Risiken von Open Source Software 30. August 2011 | 13
  • 15. Risikominimierung: Good Practices Support nicht gesichert Migration auf Open Source misslingt • Unterscheidung von Open Source Koordination • Klassische Migrations-Herausforderungen plus einige • Organisations-geleitete vs. Community-getriebene weitere Open Source Projekte • Schwierige Integration wegen proprietären • Entweder Service Level Agreements abschliessen … Umsystemen • … oder mit Community und Entwickler • Endanwender oft kritisch eingestellt wegen fehlenden zusammenarbeiten Brands • Hybride Architektur und Power User Integration zu empfehlen ISACA AHS – Risiken von Open Source Software 30. August 2011 | 14
  • 16. Good Practice: Open Source Strategie Mögliche Elemente einer Open Source Strategie Referenz: Open Source Strategie für den Kanton Basel-Stadt Vorteile und Risiken von Open Source Software  bezogen auf die Organisation Generelle Richtlinien und Ziele zu Open Source  Eine integrierte Software Open Source  Vorgaben zur Reduktion von Abhängigkeiten zu proprietärer Software Strategie Berücksichtigung von Open Source Lösungen unterstützt  bei Software-Beschaffungen nachhaltigen Vorgaben bezüglich Open Source Lizenzen, Erfolg in der IT.  beispielsweise Pure Open Source oder auch Open Core Kriterien zur Evaluation von Open Source  Software Regelung betreffend Freigabe von Open Source  Software Aus- und Weiterbildung bezüglich Open Source  Technologien, Organisation, Lizenzen etc. Umsetzungsmassnahmen der Strategieziele wie  Studie, Pilotprojekte, Kompetenzstelle etc. ISACA AHS – Risiken von Open Source Software 30. August 2011 | 15
  • 17. 3. Professioneller Einsatz von Open Source ISACA AHS – Risiken von Open Source Software 30. August 2011 | 16
  • 18. Professioneller Einsatz von Open Source 1. Einsatz ohne professionellen Support Szenario Open Source Software gratis aus dem Internet laden und so wie sie ist einsetzen Einsatzbereich Nicht geschäftskritische Bereiche Zielgruppe Private, kleine und mittlere Unternehmen, kleine Schulen, Non-Profit Organisationen Vorteile • Niedrige Kosten • Rasche Umsetzung Nachteile • Kein garantierter Support • Keine Haftungsansprüche Risiko und Absicherung Hohes Risiko: Es bestehen keinerlei Support-Verträge oder Garantien ISACA AHS – Risiken von Open Source Software 30. August 2011 | 17
  • 19. Professioneller Einsatz von Open Source 2. Einsatz mit internem Support Szenario Interner Aufbau von Knowhow und Ressourcen zu bestimmten Open Source Lösungen, um diese intensiv und langfristig einzusetzen Einsatzbereich Geschäftskritische Bereiche und wettbewerbsdifferenzierende Technologien Zielgruppe Grossunternehmen, öffentliche Verwaltungen, grosse Institutionen Vorteile • Hohe Flexibilität dank internem Knowhow • Keine Anbieterabhängigkeiten Nachteile • Hohe Investitionen und grosser Zeitaufwand durch Knowhow-Aufbau • Höhere interne Fixkosten durch mehr Mitarbeitende • Keine Zertifizierungen für Hardware und Software Risiko und Absicherung Mittleres Risiko: Der Support hängt von Knowhow und Verfügbarkeit der internen IT ab ISACA AHS – Risiken von Open Source Software 30. August 2011 | 18
  • 20. Professioneller Einsatz von Open Source 3. Einsatz durch externen Anbieter Szenario Unterstützung durch einen externen Open Source Anbieter, um Open Source Software rasch zu integrieren und anzupassen Einsatzbereich Geschäftskritische Bereiche, in denen unmittelbar vertieftes Knowhow der Software verfügbar sein muss Zielgruppe Grossunternehmen, öffentliche Verwaltungen, grosse Institutionen Vorteile • Direkter Zugang zum Knowhow der Open Source Entwickler • Korrekturen und Weiterentwicklung auf Auftragsbasis • Auswahl verschiedener Open Source Anbieter • Weitere Vorteile gemäss Service Level Agreement Nachteile • Externe Kosten durch Open Source Anbieter • Knowhow-Abhängigkeit zum Open Source Anbieter Risiko und Absicherung Niedriges Risiko: Gewährleistung geschieht gemäss Auftragsbeschreibung oder Service Level Agreement ISACA AHS – Risiken von Open Source Software 30. August 2011 | 19
  • 21. Was ist ein Open Source Anbieter? • Selber Open Source Lösung lanciert haben oder zumindest massgeblich an deren Weiterentwicklung beteiligt • Mitarbeitende als «Committer» im Open Source Projekt • Verfügt über Knowhow für regelmässige Sicherheitsaktualisierungen und Upgrades • Bietet Beratung für Open Source Produkte an, realisiert Software-Einführungen und Migrationen, entwickelt Verbesserungen und Erweiterungen und führt Schulungen durch • Bietet mittels Support-Verträgen während verbindlich deklarierter Zeitspanne Unterstützung für bestimmte Software- Version an • Ermöglicht grundlegende Weiterentwicklung der Open Source Software und sichert nachhaltiges Bestehen ISACA AHS – Risiken von Open Source Software 30. August 2011 | 20
  • 22. Service Level Agreements für Open Source Lösungen Mögliche Leistungen von Open Source Anbietern Direkter Zugang zum Knowhow der Kernentwickler  der Open Source Software  Definierte Antwortzeiten für Support-Anfragen Support über verschiedene Kanäle (Web, VPN,  Email, Chat, Telefon, Remote-Desktop, vor Ort) Angebot von professionellen Dokumentationen,  Schulungen und Zertifizierungskursen Zeitnahe, pro-aktive und kundenfreundliche  Auslieferung von Security Patches Zugesicherte, regelmässige Software Releases und  Updates Garantie für Kompatibilität mit anderen Software-  Lösungen Zertifizierungen für bestimmte Hardware und  proprietäre Software-Systeme Integration von Korrekturen und Erweiterungen in  die Hauptentwicklungsversion Absicherung gegen Rechtsansprüche am geistigen  Eigentum (Copyright, Patente)  Haftung bei Unterbrüchen und Fehlfunktionen ISACA AHS – Risiken von Open Source Software Bereitstellung zusätzlicher proprietärer 2011 | 21 30. August  Erweiterungen und Hilfswerkzeuge
  • 23. Geschäftsmodelle mit Open Source Software • Dienstleistungen rund um Open Source Software: • Beratung • Installation, Integration • Anpassungen, Erweiterungen • Schulungen, Workshops • Betrieb, Wartung (Service Level Agreements) • Lizenzverkauf von proprietären Erweiterungen (Open Core) • Verkauf einer Distribution von Open Source Paketen (Red Hat) • Verkauf von Werbung (Google Android) • Verkauf von Hardware (IBM, HP) • Dual Licensing (MySQL) ISACA AHS – Risiken von Open Source Software 30. August 2011 | 22
  • 24. Dual Licensing • Urheber kann Software beliebig lizenzieren • Veröffentlichung identischer Software unter zwei unterschiedlichen Lizenzen, typischerweise eine restriktive Open Source Lizenz (GPL) und eine proprietäre Lizenz • Nutzung der Vorteile beider Welten: Proprietäre Lizenz Open Source Lizenz Vorteile für • Umsatzgenerierung • rasche Verbreitung der Open Source Lizenzgeber Software -> Marktdurchdringung • Hohe Anwenderzahl gut für Testen, Fehlersuche und Stabilität des Produkts Vorteile für • Code kann innerhalb eigener • Keine Lizenzkosten Lizenznehmer proprietärer Software weiterverwendet werden ISACA AHS – Risiken von Open Source Software 30. August 2011 | 23
  • 25. 4. Rechtliche Grundlagen von Open Source ISACA AHS – Risiken von Open Source Software 30. August 2011 | 24
  • 26. Verbreitung von Open Source Lizenzen Andere Mozilla Public License 1.1 (MPL) 7% Microsoft Public License (Ms-PL) 1% 2% Code Project Open 1.02 License 3% Apache License 2.0 5% Berkeley Software Distribution License 2.0 (BSD) 6% GNU General Public 46% License 2.0 (GPLv2) GNU General Public 6% License 3.0 (GPLv3) Massachusetts 7% Institute of Technology (MIT) License GNU Library oder 8% Lesser General Public License 2.1 (LGPL) 9% Artistic License ISACA AHS – Risiken von Open Source Software 30. August 2011 | 25
  • 27. Die wichtigsten Open Source Lizenzen Mit starkem Copyleft Schutz (ca. 52%) • GNU Affero General Public License (AGPL) • GNU General Public License (GPL) Mit schwachem Copyleft Schutz (ca. 8%) • GNU Library or Lesser General Public License (LGPL) Ohne Copyleft Schutz (ca. 40%) • MIT-, BSD- und Apache Licenses • Mozilla Public License (MPL) • (fast) alle anderen OSI-ratifizierten Lizenzen ISACA AHS – Risiken von Open Source Software 30. August 2011 | 26
  • 28. Copyleft Effekt • Copyleft bezweckt, dass ein bestimmter Source Code für immer frei erhältlich bleibt. • Durch eine Copyleft Klausel geschützter Source Code darf immer nur unter der ursprünglichen Open Source Lizenz weitergegeben werden (sog. viraler Effekt). • Der Copyleft Effekt verbietet: • dass die veränderte Software („derived Copyleft-Klausel, z.B. aus work“) proprietär vertrieben wird der GNU General Public License, version 3 (GPLv3) • Der Copyleft Effekt verbietet nicht: “[…] If you distribute • die unveränderte Nutzung copies of such a program, • die Organisations-interne Entwicklung whether gratis or for a fee, Beachten: Verbreitung von Software innerhalb you must pass on to the einer Unternehmensgruppe gilt als recipients the same Veröffentlichung -> Folge: Source Code muss freedoms that you intern mitgeliefert werden received. You must make • den Aufruf von Copyleft geschützten sure that they, too, receive selbständigen Programmteilen durch or can get the source code. proprietär vertriebene Software And you must show them these terms so they know ISACA AHS – Risiken von Open Source Software their rights. […]” 2011 | 27 30. August
  • 29. Unterschiede der wichtigsten Open Source Lizenzen Schwacher Starker Schutz sog. Liberale Open Schutz der der Freiheiten Source Lizenzen Freiheiten AGPLv3 LGPLv3 License License License Apache (v2 und & BSD GPL MIT v3) 2.o Freier Zugang zum Quellcode Ja Ja Ja Ja Ja Der Quellcode darf innerhalb der rechtlichen Einheit verändert und mit Ja Ja Ja Ja Ja beliebiger anderer Software kombiniert werden. Der Quellcode darf auf Webservern verschlossen bleiben: Wird die Software nicht physisch an Kunden oder Partner verteilt, sondern wird sie Nein Ja Ja Ja Ja ausschliesslich beispielsweise auf einem Webserver den Benutzern zur Verfügung gestellt, muss der Quellcode nicht veröffentlicht werden. Der Quellcode darf mit proprietärer Software verteilt werden: Solange LGPL lizenzierte Software ausschliesslich extern beispielsweise als Nein Nein Ja Ja Ja Programmbibliothek aufgerufen wird, darf sie zusammen mit proprietärer Software verteilt werden. Veränderungen dürfen verschlossen bleiben: Als wesentlicher Unterschied zu den Lizenzen der Free Software Foundation (AGPL, GPL und LGPL) erlauben liberale Lizenzen, dass der Quellcode in proprietäre Software eng Nein Nein Nein Ja Ja integriert werden darf. Verbesserungen und Erweiterungen des Quellcodes müssen somit nicht mehr frei gegeben werden, sondern dürfen verschlossen bleiben. Einzige Pflicht ist das Einfügen eines vorgegeben Copyright Vermerks und Ja Nein Nein Nein Nein einer Haftungsausschlussklausel im Quellcode. Lizenzkompatibilität ISACA AHS – Risiken von Open Source Software 30. August 2011 | 28
  • 30. License Compliance bei Open Source Software Checkbox License Compliance bei Open Source Software  Wir wissen, ob in unserer Organisation Open Source Software eingesetzt wird  Wir wissen, unter welcher Lizenz die betreffende Open Source Software steht, und welche Auflagen folglich zu beachten sind.  Wir haben festgelegt, ob und wann bei uns GPL- Software in der Entwicklung verwendet werden darf  Unsere Programmierer sind sich bewusst, welche Folgen die Integrierung von GPL-lizenzierten Komponenten in unsere Software hat  Regelmässige Kontrollen stellen sicher, dass unsere internen Bestimmungen über den Umgang mit Open Source Software eingehalten werden ISACA AHS – Risiken von Open Source Software 30. August 2011 | 29
  • 31. 5. Fazit und Ausblick ISACA AHS – Risiken von Open Source Software 30. August 2011 | 30
  • 32. Inhaltliche Zusammenfassung Open Source ist keine Glaubensfrage • Klare Definition von Open Source: eine Software-Lizenz mit Freiheiten • Objektive Vor- und Nachteile von Open Source Software • Bei gleicher Produkte-Qualität ist Open Source von Vorteil ggü. proprietärer Software Summary Open Source Software muss gesteuert werden • Open Source Software ist allgegenwärtig • Beschaffung und Einsatz von Open Source Software geschieht oft unkontrolliert • Open Source Strategien und Policies zur Verbesserung der IT Governance Volles Potential mittels Open Source Strategie nutzen Executive • Vorteile für die eigene Organisation mittels Open Source Strategie nutzen • Risiken frühzeitig erkennen und adressieren • Umsetzungsmassnahmen festlegen und durchführen Wissen aus erster Hand ist gefragt • Herausforderung: Vielfalt von Open Source Lösungen und Projekten • Wissen und Erfahrung selber beschaffen oder Experten kontaktieren ISACA AHS – Risiken von Open Source Software 30. August 2011 | 31
  • 33. Fazit Open Source Software aus Risiko-Sicht Open Source Software ist weniger risikoreich als proprietäre Software • Nutzung von unveränderter Open Source Software ist völlig frei -> Nutzung von unveränderter proprietärer Software ist stark eingeschränkt Summary • Interne Entwicklung von Open Source Software ist völlig frei -> Interne Entwicklung von proprietärer Software ist selten möglich • Entwicklung und Weiterverteilung von Open Source Software ist teilweise eingeschränkt -> Entwicklung und Weiterverteilung von proprietärer Software ist normalerweise verboten Open Source Lizenzen sind nicht komplexer Executive als proprietäre Lizenzen • Es existiert eine beschränkte Anzahl von Open Source Lizenzen • 93% der Open Source Projekte setzen eine von 10 Open Source Lizenzen ein • Proprietäre Software hat pro Hersteller und Produkte andere Lizenzbestimmungen Risiken von Open Source Software beachten • Hauptproblem: Open Source Software hat Kommunikations- und Werbe-Defizit • Spezifische Eigenschaften von Open Source Software kennen und Risiken beachten ISACA AHS – Risiken von Open Source Software 30. August 2011 | 32
  • 34. Unsere Dienstleistungen Der gezielte Einsatz von Open Source Software bietet grosse Vorteile, birgt aber auch gewisse Risiken. Summary Mit der Erarbeitung einer Open Source Strategie, einem Software Portfolio Assessment, einer TCO- Analyse oder einem License Compliance Check helfen wir unseren Kunden, sowohl das volle Potential von Open Source auszuschöpfen als auch die Risiken zu minimieren. Executive Unsere Open Source Experten besitzen langjährige Erfahrung im Umgang mit Open Source Technologien und Communities und unsere Juristen prüfen kompetent die rechtlichen Aspekte im Zusammenhang mit Open Source Lizenzen. ISACA AHS – Risiken von Open Source Software 30. August 2011 | 33
  • 35. Fragen & Antworten ? Antworten Fragen & ISACA AHS – Risiken von Open Source Software 30. August 2011 | 34