Ihr Experte für Fragen
Marcel Scholze
Director Open Source Software Services & IT Sourcing bei PwC Deutschland
Tel.: +49 151 16157049
E-Mail
Deutsche Unternehmen und öffentliche Institutionen zeigen einen klaren Trend zur intensiveren Nutzung von Open Source Software (OSS). Diese Entwicklung spiegelt den globalen Trend wider, dass Unternehmen und Behörden weltweit die Vorteile von OSS erkennen, einschließlich Kosteneinsparungen, erweiterter Innovationsmöglichkeiten und erhöhter Flexibilität. Während 2019 erst gut zwei Drittel der Unternehmen angaben, Open Source Software einzusetzen, waren es 2021 und auch in 2023 schon über drei Viertel der befragten Organisationen. Unter den großen Unternehmen mit mehr als 2.000 Mitarbeitenden gaben 2023 sogar 85 Prozent an, Open Source Software aktiv zu nutzen. Auch in der öffentlichen Verwaltung hat sich Open Source Software etabliert: 59 Prozent der befragten Behörden setzen auf Open Source Software.
Zu diesen Ergebnissen kommt der Digitalverband Bitkom e.V. in seiner dritten Studie zu Open Source Software in Deutschland. PwC Deutschland hat die Studie gesponsort und das Studiendesign mitgestaltet und berichtet nun hier über die spannenden Ergebnisse.
Open Source Software – kurz OSS – ist mittlerweile der Stand der Technik in der deutschen Wirtschaft: Gut zwei Drittel der großen Unternehmen mit mehr als 2.000 Mitarbeitenden haben formell oder informell eine Zuständigkeit für Open Source benannt. In der öffentlichen Verwaltung konnten 30 Prozent der Befragten (in-)formell eine Zuständigkeit für OSS benennen.
Auf einem weiterhin hohen Niveau ist die Beteiligung an der (Weiter-)Entwicklung von Open Source. Jedes zweite Unternehmen mit mehr als 100 Mitarbeitenden gab an, sich an der Entwicklung zu beteiligen. In der öffentlichen Verwaltung ist ein besonders hoher Anstieg zu verzeichnen: Während 2021 46 Prozent der Befragten angaben, sich an der Entwicklung zu beteiligen, waren 2023 bereits 60 Prozent in der Weiterentwicklung aktiv.
Ein professionelles Open Source Management System ist heutzutage unerlässlich, um die wachsenden Anforderungen an sicheren und resilienten Technologieeinsatz in deutschen Unternehmen und Behörden zu erfüllen. Während viele Organisationen bereits adäquate Governance-Strukturen zur Compliance implementiert haben, zeigt sich im Bereich der Sicherheit noch ein deutlicher Verbesserungsbedarf.
Die Professionalität des Einsatzes von Open Source erhöht sich, z. B. in Bezug auf Transparenz, Compliance und Sicherheit kontinuierlich. Diese Entwicklung wird maßgeblich durch die Veröffentlichung von Standards wie ISO 5230 oder ISO 18974 – dem neuen Standard für Open Source Security, sowie durch branchenspezifische oder nationale Vorgaben wie z. B. DORA (Digital Operational Resilience Act) oder den in Entwicklung befindlichen Cyber Resilience Act (CRA) beeinflusst. Mehr als die Hälfte (56 Prozent) der großen Unternehmen sehen sich künftig stark von den Auswirkungen des kommenden Cyber Resilience Acts betroffen. Im öffentlichen Sektor sind es sogar 67 Prozent. Ein effektives Open Source Management System ist somit nicht nur eine Empfehlung, sondern eine Notwendigkeit, um Sicherheitsrisiken in der heutigen digitalen Landschaft zu minimieren und Konformität mit den wachsenden regulatorischen Anforderungen herzustellen.
Sicherheitslücken – etwa durch veraltete Komponenten, fehlende Identifikations- und Reaktionsmechanismen, unklare Herkunft oder intransparente Abhängigkeiten – können im B2B-Umfeld zum Ausschluss in Beschaffungsprozessen, zu Reputationsverlusten oder zu massiven rechtlichen und finanziellen Konsequenzen führen.
Besonders gravierend ist in diesem Kontext, dass nur etwa ein Drittel der befragten Unternehmen ihre eingesetzte Open Source Software mit Analysetools auf Schwachstellen prüfen. 40 Prozent der Befragten führen lediglich manuelle Prüfungen durch. Ein weiteres Drittel der Befragten verlässt sich im Hinblick auf OSS Security auf Informationen durch die jeweiligen kommerziellen Anbieter der von ihnen genutzten OSS-Komponenten. Gerade mit Blick auf die steigenden regulatorischen Anforderungen zur IT-Resilienz und die angestrebte Förderung der digitalen Souveränität, insbesondere im öffentlichen Sektor, besteht hier ein dringender Optimierungsbedarf. Betrachtet man die öffentliche Verwaltung, so verfügen derzeit nur 28 Prozent über ein eigenes Tool zur Analyse von Schwachstellen in der eingesetzten Open Source Software.
„Die aktuellen Zahlen zeigen deutlich, dass beim Thema Security und Open Source Software ein erheblicher Handlungsbedarf besteht. Dennoch ist festzuhalten und immer wieder klarzustellen, dass Open Source nicht als unsicherer anzusehen ist als Closed Source Software.“
In diesem Zusammenhang bietet die demnächst neu erscheinende ISO 18974 zur Open Source Security wertvolle Hilfestellungen und standardisiert die notwendigen Rahmenbedingungen zur Implementierung eines Open Source Security Management Systems. Es wird daher interessant sein zu sehen, wie sich die Studienergebnisse zur Open Source Security in den kommenden Jahren entwickeln, sobald die ISO 18974 am Markt etabliert ist.
Die Generierung qualitativ hochwertiger SBOMs (Software Bill of Materials) stellt heutzutage einen technologischen Standard dar und ist ein essenzielles Instrument zur Gewährleistung von Transparenz und Sicherheit innerhalb der Software-Lieferkette. Die aktuellen Studienergebnisse untermauern die wachsende Bedeutung von SBOMs im deutschen Markt. Laut dieser Untersuchung geben 45 Prozent der befragten Großunternehmen (mit über 2.000 Mitarbeitenden) an, bereits SBOMs für ihre Produkte bereitzustellen. Allerdings kann die Studie an dieser Stelle keinen Aufschluss über die Qualität und Vollständigkeit sowie den Grad der Standardisierung der SBOMs geben.
Der Studienbericht von 2021 stellte zwar Verbesserung zu 2019, aber dennoch einen erheblichen Aufholbedarf bei Strategien, Prozessen und Compliance im Umgang mit Open Source fest. Und tatsächlich hat sich seitdem einiges getan: Während 2019 nur gut 20 Prozent der befragten Unternehmen mit über 100 Mitarbeitenden über eine Open Source Strategie verfügten, waren es 2021 bereits 32 Prozent. Mit 35 Prozent in 2023 hat sich dieser positive Trend aber eher langsam fortgesetzt. Betrachtet man jedoch größere Unternehmen mit mehr als 2.000 Mitarbeitenden, so verfügt mittlerweile rund jedes zweite über eine dedizierte OSS Strategie.
Der Anteil der Unternehmen, die über eine Compliance-Policy für Open Source Software verfügen, nimmt seit 2019 kontinuierlich zu. So verfügten in 2019 nur rund 17 Prozent über eine solche Policy. Während es 2021 bereits 27 Prozent waren, haben in 2023 32 Prozent der Befragten eine Open Source Policy etabliert.
„Die aktuellen Zahlen unterstreichen den Trend der letzten Jahre, dass sich OSS Compliance gut weiterentwickelt – aber wir sind noch weit von der Zielgeraden entfernt. Die ISO 5230 liefert wertvolle Hilfestellung, um sich strukturiert weiterzuentwickeln.“
Der OpenChain-Standard der Linux Foundation ist seit Dezember 2020 als ISO Standard 5230 verfügbar und von zentraler Bedeutung für das Management von Compliance im Umgang mit Open Source Lösungen. Er ermöglicht Unternehmen, OSS-Lizenz-Compliance-Risiken in der Supply Chain zu reduzieren. Mehr als die Hälfte der Unternehmen, die Open Source nutzen, kennen den Standard.
Viele Befragte geben aber gleichzeitig an, dass bei diesem Thema noch Vertiefungsbedarf besteht. Es sind hauptsächlich größere Unternehmen mit mehr als 2.000 Mitarbeitenden, die sich aktuell mit der Implementierung von ISO 5230 beschäftigen oder diese bereits abgeschlossen haben.
Das ist nicht verwunderlich, findet PwC-Experte Marcel Scholze. Denn die Standardisierung und Zertifizierung von speziellen Compliance- Programmen beginnt oft am kritischsten Punkt der Lieferkette, an dem sich die Risiken materialisieren – dem OEM, so der Experte. Da jedoch die Compliance in der Supply Chain eine gemeinsame Anstrengung erfordert, ist es wichtig, dass die Durchdringung auch in der gesamten Lieferkette erfolgt.
Das Open Source Software Management-Team von PwC begleitet Unternehmen und Behörden umfassend beim Thema Open Source Software: von der Strategie und dem Enablement von Open Source Software, dem Aufbau von OSPOs und Compliance- oder Security-Prozessen inklusive Tooling über die Zertifizierung des OSS Managements nach ISO 5230 und ISO 18974 bis hin zu Managed Services wie zum Beispiel Code Scanning, SBOM-Erstellung, Supplier Compliance Audits und Training der Mitarbeitenden.
„Die Industrie und der öffentliche Sektor sind in der Adaption von Open Source Management Praktiken vorangeschritten. Bei der Umsetzung von Compliance- und Security-Maßnahmen besteht jedoch weiterhin dringender Handlungsbedarf.“
Marcel Scholze,Head of Open Source Software Management Services bei PwC DeutschlandBitkom Open-Source-Monitor 2023
Kontaktieren Sie unsere Expert:innen
Der Open Source Monitor – Studienbericht 2023 ist die dritte Open Source Software Studie für Deutschland. Für die Neuauflage der repräsentativen Studie hat der Digitalverband Bitkom e. V. über 1.150 Unternehmen der Wirtschaft mit mindestens 20 Mitarbeitenden sowie 100 Organisationen der öffentlichen Verwaltung befragt. Neben aktuellen Entwicklungen liefert der Studienbericht Erkenntnisse über Trends und Veränderungen rund um Open Source seit der letzten repräsentativen Untersuchung im Jahr 2021.
Die Unternehmen und Behörden wurden zu ihrer Einstellung und dem Einsatz von Open Source, zu den Vor- und Nachteilen der Nutzung sowie zur Beteiligung und Weiterentwicklung von Open Source Software befragt. Weiterhin wurden die Studienteilnehmenden gebeten, Compliance-Themen und die internationale Norm zu Open Source License Compliance (ISO 5230) zu bewerten.
Director Open Source Software Services & IT Sourcing, PwC Germany
Tel.: +49 151 16157049