OSBABeschaffung von Open Source Software

Open Source Software hat viele Vorzüge. Damit sie aber erfolgreich und sicher genutzt werden kann und langfristig zur Verfügung steht, ist es wichtig, bei der Auswahl eines Anbieters auf bestimmte Nachhaltigkeitskriterien zu achten. Die Open Source Business Alliance (OSBA) hat nun ein Positionspapier vorgelegt, mit dem sie insbesondere Beschaffern in der öffentlichen Verwaltung wichtige Impulse geben will. Gezeigt wird, wie im Rahmen von Ausschreibungen Anbieter ausgewählt werden, die den erfolgreichen Einsatz der Software sicherstellen, indem sie zu einer nachhaltigen Weiterentwicklung und Pflege der Open Source Software beitragen.

Dumpingangebote bringen Projekte zum Scheitern

Bei Open Source Software (OSS) gibt es andere Entwicklungs- und Vertriebsmodelle als bei proprietärer Software. Bei proprietärer Software partizipiert der Hersteller an jeder verkauften Lizenz seiner Software – auch bei der Vergabe über einen dritten Anbieter. Bei Open Source Software hingegen werden oftmals statt der Softwarelizenz ergänzende Dienstleistungen ausgeschrieben. Diese können nicht allein vom Softwarehersteller, sondern auch von anderen Dienstleistern angeboten werden. Es kommt laut OSBA immer wieder vor, dass Anbieter mit Dumpingangeboten eine öffentliche Ausschreibung gewinnen. Ausreichender Support sowie die Aufwände für Weiterentwicklung, Pflege und eine Upstream-Veröffentlichung der Software sind oftmals nicht einkalkuliert. Im Fall von Problemen können solche Anbieter oft auch nicht angemessen unterstützen, sodass die betreffenden Projekte scheitern. Die OSBA beklagt, dass so der Ruf der Open Source Community geschädigt werde, zudem gehe der eigentliche Open-Source-Hersteller leer aus und könne nicht ausreichend in die Weiterentwicklung und Pflege seiner Software investieren.

Nachnutzung und IT-Sicherheit gefährdet

Die kontinuierliche Weiterentwicklung ist eng mit weiteren Vorteilen offener Software verbunden, die diese insbesondere für die öffentliche Verwaltung attraktiv machen: deren Nachnutzungspotenzial und die Vorteile für die IT-Sicherheit.  Die bereits entwickelte und bezahlte Software einer Behörde kann durch andere Behörden weiterverwendet werden, wenn der Quellcode auf einer Plattform wie etwa openCode zugänglich ist. Dieses Versprechen der Nachnutzung erfüllt sich aber nicht, wenn zu wenig Mittel in die Weiterentwicklung und Pflege der Software fließen oder es für die Hersteller gänzlich unwirtschaftlich wird, offene Software zu entwickeln. Das ist auch schlecht für die Auftraggeberseite, denn wenn weniger hochwertige, aktuelle Open Source Software am Markt zur Verfügung steht, wird auch die IT-Sicherheit von Open-Source-Lösungen in der öffentlichen Verwaltung gefährdet.

Kriterien für zukunftsfähige OSS-Beschaffung

Die OSBA will angesichts dieser Ausgangslage die öffentliche Verwaltung darin unterstützen, Anforderungen und Vergabekriterien so zu entwickeln, dass die Vergabestelle in die Lage versetzt wird, zuverlässig diejenigen Anbieter auszuwählen, die dauerhaft sichere und qualitativ hochwertige Software und Dienstleistungen bieten. Der Verband schlägt in seinem Positionspapier vier Prüfkriterien vor:

• Beziehung zum Softwarehersteller und der Open Source Community: Besteht eine Geschäftsbeziehung zwischen dem Anbieter und dem Softwarehersteller beziehungsweise der entsprechenden Community und inwieweit erfolgt im Rahmen des Auftrags eine Unterstützung durch diese?
• Sicherstellung der Upstream-Veröffentlichung vorgenommener Anpassungen: Wie trägt der Anbieter dafür Sorge, dass Änderungen an der Software nach deren Erstellung auch wieder für die Allgemeinheit verfügbar gemacht werden?
• Sicherstellung des Third-Level-Supports: Inwiefern ist der Auftragnehmer in der Lage, qualitativen Third-Level-Support zu gewährleisten? Besitzt er hierfür die Expertise mit dem Quellcode des konkreten Produkts oder kann er die Unterstützung des Herstellers gewährleisten?
• Absicherung der Lieferkette durch Unterstützung von Basiskomponenten: Open Source Software besteht oft aus vielen unterschiedlichen Komponenten. Unterstützt der Anbieter Entwickler und Projekte der einzelnen Softwarekomponenten, die in seinem Produkt verbaut sind? Dieser Punkt wird auch im Zusammenhang mit dem Cyber Resilience Act unter dem Stichpunkt „Sicherheit in der Lieferkette“ relevant.

„Unsere Kriterien sollen die öffentliche Verwaltung bei der Entscheidung unterstützen, mit welchem Anbieter ein Projekt nachhaltig realisiert werden kann, sodass alle im Open-Source-Ökosystem davon profitieren und die Software langfristig sicher zur Verfügung steht“, sagen Birgit Becker und Claus Wickinghoff, Sprecher der Working Group Beschaffung in der OSBA.