Global menu

Our global pages

Close

Lizenzwechsel und Open Source Software Compliance

  • Germany
  • Privacy, data protection and cybersecurity

15-04-2021

Was steckt eigentlich in meinem Code?

Open Source Software (OSS) ist im Bereich der Software Entwicklung besonders beliebt. OSS-Komponenten ermöglichen es, komplexere Programme in verhältnismäßig kurzer Zeit zu entwickeln, da auf die vielfältigen Bausteine der Open Source Community zurückgegriffen werden kann.

Selbst junge Start-ups merken jedoch häufig schon in frühen Finanzierungsrunde, dass Investoren und Abnehmer beim Thema Open Source zunehmend sensibel werden. Im Rahmen einer Due Diligence – also einer Unternehmensprüfung, die häufig größeren Investitionen vorgeschaltet wird – kommen regelmäßig sehr detaillierte Nachfragen dazu, ob eine OSS-Strategie vorhanden ist und welche Komponenten mit welchen Lizenzen verwendet werden.

Was passiert, wenn man die Bestandteile seiner Software nicht genau kennt, mussten kürzlich hunderttausende Entwickler auf unbequeme Weise erfahren.

Was ist Open Source Software eigentlich?

Open Source Software steht für Quelloffene Software, also Software, deren Code veröffentlicht wurde und verwendet werden darf. Die Programmierer von OSS bieten dabei jedem Interessierten einen kostenlosen Lizenzvertrag an. Diese Lizenzverträge werden häufig zu standardisierten Bedingungen geschlossen. Dabei gibt es große Unterschiede zwischen den einzelnen Lizenzen.

Besonders gefürchtet ist der Copyleft-Effekt, der etwa in den GPL-Lizenzen enthalten ist. Copyleft bedeutet, dass zwar jeder die OSS-Komponente verwenden darf, aber nur dann, wenn das spätere Produkt auch unter derselben „freien“ Lizenz veröffentlicht wird.

Unternehmen, die ihre Software verkaufen wollen, werden durch diese Bedingung vor große Probleme gestellt, denn für die Software darf nach der GPL kein Geld verlangt werden. Verstoßen Unternehmen gegen diese Bedingungen, können die Urheber OSS Komponenten gegen den Vertrieb des Produkts vorgehen und gegebenenfalls Schadensersatz verlangen.

OSS-Dominoeffekte

Dass solche Lizenzverletzungen nicht immer bewusst geschehen, wurde kürzlich am Beispiel der Programmbibliothek mimemagic deutlich. Einem Entwickler war aufgefallen, dass die Bibliothek unter der MIT-Lizenz veröffentlicht worden war, obwohl sie Bestandteile enthielt, die unter der GPL und damit unter einem Copyleft-Effekt stehen. Die Entwickler von mimemagic lösten das Problem kurzerhand dadurch, dass sie ihre Lizenz von der MIT zur GPL wechselten.

Damit lösten sie ungewollt einen Domino-Effekt aus. mimemagic war allein auf GitHub in über 500.000 Projekten verwendet worden, darunter auch das bekannte Webframework Ruby on Rails. Die Entwickler dieser Projekte waren davon ausgegangen, dass bei der Verwendung von mimemagic gerade kein Copyleft-Effekt eingreifen würde. Nun stehen sie vor der Frage, wie mit dem Lizenzwechsel umzugehen ist.

Gerade bei kommerzieller Software ist ein Wechsel auf die GPL nicht möglich. Ruby on Rails hat die problematische Bibliothek kurzfristig ausgegliedert, sodass Nutzer sie selbst nachladen müssen, wenn sie sie verwenden wollen. Diese Vorgehensweise ist umstritten und dürfte auch praktisch nicht für jedes Projekt umsetzbar sein. In manchen Fällen wird die Komponente daher aufwändig entfernt und ersetzt werden müssen. Hierdurch können erhebliche Kosten entstehen.

Werden solche Probleme erst im Rahmen einer Due Diligence entdeckt, kann dies das Investment ernsthaft gefährden. Je nachdem welche Komponente betroffen ist, kann es auch gänzlich unmöglich sein, sie zu entfernen. In diesem Fall könnte eine Software für Investoren oder Kunden sogar wertlos werden.

Fazit

Um diese Risiken zu vermeiden, sollten Unternehmen ihre Software-Entwickler frühzeitig für das Thema OSS sensibilisieren und den Einsatz von OSS aktiv überwachen. Dabei sollten Rahmenbedingungen geschaffen werden, um den Überblick über die Lizenzen zu behalten. Auch sollten Entwickler genauere Angaben dazu erhalten, welche Lizenzen besonders problematisch sind.