Bereits seit mehreren Jahren werden wir von Kunden darauf angesprochen, ob es nicht möglich sei, eine IAM-Lösung auf Basis einer Open Source Software einzusetzen. Vielleicht haben Sie auch schon Mal darüber nachgedacht, eine wirksame Alternative zu kommerziellen Produkten zu finden? Als Spezialist im Bereich des Identitäts- und Berechtigungsmanagements möchten wir das Thema grundlegend betrachten und Ihnen sowohl die Vor- als auch Nachteile aufzeigen.

Wenden wir uns also zunächst der Definition von freier Software zu. „Als Open Source wird Software bezeichnet, bei welcher der Quelltext (Source) öffentlich (Open) zugänglich ist. Zudem ist es jedem erlaubt, solche Open Source Programme zu nutzen, zu bearbeiten und zu verbreiten“ (URL: https://www.urheberrecht.de/open-source/). Grundsätzlich gibt es bestimmte Voraussetzungen für Open-Source-Produkte zu beachten, welche sich aus den Vorschriften der Open Source Initiative ergeben. Zu den Kriterien zählen unter anderem der verfügbare Quellcode, die freie Weitergabe der Software und die Erlaubnis zur Weiterentwicklung. Doch Achtung! Die Nutzung einer unter „Open Source Lizenz“ stehenden Software kann unter Umständen dazu führen, dass interne Informationen (Strukturen, Arbeitsweisen) eines Kunden „veröffentlicht“ werden müssen.

Was bedeutet Open Source also für das Urheberrecht? Laut §2 des Urhebergesetzes (UrhG) handelt es sich bei dem Entwickler einer Software um den Urheber, der alleinig darüber bestimmen kann, was mit seinem Produkt geschieht. Es steht dem Urheber demnach frei, seine Nutzungsrechte mithilfe einer Open-Source-Lizenz (auch unentgeltlich) an Dritte zu übertragen.

Mit dem Copyleft nutzen Entwickler das Urheberrecht, um Freiheiten und Fortschritte zu erhalten. „Das Grundprinzip ist dabei, dass eine Genehmigung für die Bearbeitung eines Werkes nur dann erteilt wird, wenn für alle Änderungen mindestens die gleichen Freiheiten in Bezug auf die Nutzung gelten. Erfolgte die Lizenzierung eines ursprünglichen Programms also unter Open Source, müssen alle Weiterentwicklungen und Ergänzungen ebenfalls als freie Software mit öffentlichem Quellcode vorliegen“ (URL: https://www.urheberrecht.de/open-source/#Kriterien-fuer-Open-Source-Projekte). Im Gegensatz dazu stellt das Copyrightzeichen ein Symbol zur Kennzeichnung eines bestehenden Schutzes dar. Demnach werden dem Autor alle Rechte an dem Werk vorbehaltlos zugesprochen, sodass ohne seine Genehmigung keine Änderungen oder Veröffentlichungen von Dritten vorgenommen werden dürfen.

Mit dem Einsatz einer geeigneten Software folgt automatisch die Überlegung nach der richtigen Lizenzierung. Daher möchten wir im Folgenden noch auf einige Open-Source-Lizenzmodelle hinweisen.

Auch wenn Open Source häufig kostenlos verwendet wird, darf diese nicht beliebig eingesetzt werden, sondern unterliegt den Vorgaben der jeweiligen Lizenzen. Als einer der bekanntesten Lizenzen gilt die GNU General Public License (GPL), worunter sich auch die Weblog-Software WordPress oder das Betriebssystem Linux finden lassen. Die Lizenz weist ein starkes Copyleft aus und ermöglicht die Weiterentwicklung sowie Veränderung des Quellcodes, weshalb auch alle weiteren Versionen unter der gleichen Lizenz zu veröffentlichen sind.

Ebenso kennzeichnet die Berkeley Software Distribution License (BSD) eine Gruppe von freizügigen Open-Source-Lizenzen, die kopiert, verbreitet und verändert werden können. Ein zentrales Merkmal ist das fehlende Copyleft, was den Entwicklern bei Programmänderungen die Möglichkeit gibt, sowohl den Quellcode, als auch das Ergebnis der Änderung unter der BSD-Lizenz für sich zu behalten. Einzige Voraussetzung ist, dass der Copyright-Vermerk des ursprünglichen Programms nicht gelöscht wird.

Als flexible Ergänzung zu anderen freigiebigen Nutzungsrechten wurde die GNU Lesser General Public License (LGPL) entwickelt, welche es unter bestimmten Voraussetzungen ermöglicht, weitere Softwareelemente über verschiedene Lizenzen zu publizieren. Zu den wichtigsten Projekten dieser Lizenz zählen beispielsweise die Office-Anwendungen von LibreOffice.

Ein weiteres Modell ist die Mozilla Public License (MPL), die insbesondere bei der Lizenzierung des Mozilla-Browsers und der entsprechenden Software eingesetzt wird. Sie weist im Vergleich zu den oben genannten GPL und BSD-Lizenzen restriktive Vorgaben auf, lässt sich jedoch mit proprietären Programmen verbinden. Gemeinhingilt die Mozilla Public License als „schwache Copyleft-Lizenz“ und erfordert, dass geänderte Quelltextdateien weiterhin als MPL lizenziert werden.

Generell zeichnen sich die hier aufgeführten Lizenzmodelle durch verschiedene Bedingungen aus und sollten vor der Nutzung oder Verbreitung ausreichend studiert werden, um juristische Konsequenzen zu vermeiden! Sollten Sie also eine lizenzierte Open Source Software nutzen, so gilt es die darin definierten Bedingungen zu beachten!

Wo liegen nun die Vorteile einer „Open Source“ Lösung gegenüber einer proprietären „Closed Source“ Software? Einige Gründe für den Einsatz liegen sicher klar auf der Hand und sollen im Folgenden kurz skizziert werden:

  1. Kosteneinsparung bei Lizenzen (nicht zwingend kostenfrei)! „Lifecycle Costs“ betrachten!
  2. Nutzung offener Standards (Kommunikationsprotokolle) wie Simple Object Access Protocol (SOAP), Representational State Transfer (REST), Web Service Description Language (WSDL), Common Object Request Broker Architecture (CORBA) und Security Assertion Markup Language (SAML), sodass sich verschiedene Lösungen meist einfach kombinieren lassen
  3. Sicherheit und Fortschritt! In der Open Source Community sind meist sehr viele Entwickler verfügbar
  4. Durch die erlaubte Nutzung von Codes werden diese oft mehrfachen Reviews unterzogen, wodurch Fehler häufig schneller gefunden werden, als bei Closed Source Systemen.
  5. Quelltext ist sehr gut dokumentiert (was nicht immer auf die administrativen oder endnutzerbezogenen Funktionen zutrifft)

Während Open Source Software häufig frei zugänglich ist, rechnen kommerzielle IAM-Lösungen anhand der zu verwaltenden Identitäten ab. Betrachten wir jedoch heutige Projekte, so liegen die maßgeblichen Kosten eines IAM-Projektes nicht im Lizenzbereich, sondern bei der Implementierung einer ganzheitlichen Lösung und der Berücksichtigung aller anfallenden Lebenszykluskosten (Lifecycle Costs).

Mithilfe agiler Communities gibt es Anlaufstellen für Nutzer und Entwickler, um neue Informationen, Ideen und Innovationen auszutauschen. Zahlreiche globale Open Source Programmierer sichern einen (mehr oder weniger professionellen) Austausch zu täglichen Herausforderungen und der Weiterentwicklung von Produkten. Hierdurch lassen sich potenzielle Sicherheitsrisiken schneller beseitigen und effiziente Entwicklungen fördern.

Andere Vorteile, die von der Open Source Gemeinde ins Feld geführt werden, sind sicherlich etwas kritischer zu betrachten:

  1. Keine Abhängigkeit von bestimmten Herstellern, was dazu führen soll, dass der Kunde die Weiterentwicklung der Lösung selbst bestimmen kann („Wer den Source Code besitzt hat die Macht“), daher kein Vendor Lock In
  2. Sehr flexibel erweiterbar (durch Kunden, Lieferant oder Dritte)

Speziell der Punkt 6 sorgt für Skepsis, da er zu allgemein auf Open Source angewendet wird und sich nicht ausreichend auf das IAM-Umfeld bezieht. Im Hinblick auf die Nachhaltigkeit und Autonomie können mithilfe des freien Quellcodes sicherlich eigenständige Anpassungen und Erweiterungen vorgenommen werden, jedoch ist die Umsetzung oft sehr langwierig. Zudem werden die Roadmaps der Lösungen stetig komplexer und erfordern generell technische Erfahrung.

Darüber hinaus ist ein einfacher Anbieterwechsel aus ökonomischer Sicht nicht anspruchslos, da mitunter jahrelange Implementierungsarbeit komplett neu umgesetzt werden muss. Obwohl in allen genannten Systemen offene Protokolle eingesetzt werden, funktionieren sie jeweils anders und nutzen ihre individuelle Technologie. Das kann erneut zu einer hohen zeitlichen und finanziellen Belastung führen.

Auch der Punkt 7 ist eher kritisch zu betrachten, da flexible Erweiterungen zwar vorteilhaft sind, jedoch auch höchst individuell abgebildet und erweitert werden. Die Einarbeitung durch Dritte kostet daher viel Zeit und Geld, führt also in der Wartung, im Fehlerfall oder bei weiteren Implementierungen meist zu erhöhten Folgekosten.

Betrachten wir nun die Nachteile von Open Source Lösungen:

  1. Gegenüber dem Entwickler/Dienstleister besteht kein Anspruch auf Garantie und Support
  2. Es ist bekannt, dass für den erfolgreichen Einsatz von Open Source Produkten sowohl praktische Erfahrung, als auch fachliches Wissen benötigt wird. Insofern sind weit verbreitete kommerzielle Produkte oft leichter verständlich, als manche Open – Source – Lösungen. Grundsätzlich gilt, je komplexer die Anwendung und Umstellung für die Mitarbeiter, desto größer der Schulungsaufwand.
  3. Eine Open – Source – Lösung lebt von der aktiven Beteiligung der Community. Es gibt keine Garantie auf Weiterentwicklung, da diese von dem freiwilligen Engagement der Entwickler und sicher auch von der Nachfrage nach einzelnen Funktionen abhängt. Inzwischen gibt es jedoch einige erfolgreiche Fortschritte, die den Open – Source – Lizenzen zugutekommen, wie das Common Unix Printing System (CUPS)

Was bedeutet das nun für die Praxis? Eine IAM-Lösung ist ein komplexes System, welches kundenspezifische Prozesse umsetzen soll und diese automatisiert sowie nachvollziehbar abbildet. Aus der beruflichen Erfahrung heraus stellen wir allerdings fest, dass die eigenen Unternehmensressourcen (Entwickler für den Eigenbedarf) zur Implementierung oft nicht ausreichen. Es ist demnach empfehlenswert, sich fachmännische Beratung hinzuzuziehen.

Besonders im Identity und Access Management ist eine gut funktionierende sowie schnell reagierende Supportstruktur unerlässlich, da diese Systeme gemeinhin das Rückgrat des IT-Gefüges bilden. Sie sichern den dauerhaften Betrieb des Systems und ermöglichen eine schnelle Lösungsfindung. Während der Kunde im Closed Source Umfeld eine solch definierte Supportstruktur hat und auch mit konkreten Supportzeiten seitens des Herstellers rechnen kann, besteht bei Open Source Lösungen keine garantierte Unterstützungsleistung. Somit sollte der Endverbraucher einen geeigneten Dienstleister finden, um benötigte Service Level Agreements (SLAs) abzudecken.

Ein Ausfall hat zwar selten direkte Auswirkungen auf andere produktive Systeme, ist jedoch mit erheblichen Mehraufwänden und Nacharbeiten verbunden, wenn die IDM-Systeme nicht zur Verfügung stehen. Fallen jedoch Access Management Komponenten aus, wird es schon schwieriger, da die Applikationen unter dieser Voraussetzung nicht erreichbar sind. Dementsprechend ist sowohl eine schnelle Unterstützung des Implementierers als auch des Dienstleisters nötig, um produktiv zu bleiben.

Im Großen und Ganzen ist folgendes festzustellen:

  • Planungssicherheit: Closed Source (oder kommerzielle) Software gibt unter Umständen mehr Planungssicherheit, da die Unternehmen die Weiterentwicklung auch im eigenen Sinne verfolgen und umsetzen. Im Open Source Umfeld ist es abhängig von der Zeit der Entwickler und dem Interesse an einer Weiterentwicklung, so dass der Prozess beispielsweise auch eingestellt werden kann (extremes Beispiel ReiserFS und Namesys)
  • Lizenzproblematik: Speziell im Bereich des Identitätsmanagements gilt es den Schutz personenbezogener Daten zu wahren und den Einsatz einer Open – Source – Lösung lizenzrechtlich zu prüfen. Vor allem im Hinblick auf die DSGVO ist die Nutzung von Open Source Anwendungen nicht immer zulässig oder wünschenswert
  • Support: Im Open Source Bereich steht der Endverbraucher vor der Herausforderung, einen geeigneten Dienstleister zu finden, der die notwendigen Service-Level-Agreements für den geplanten Einsatzzweck bietet
  • Kompatibilität: Auch Closed Source Software setzt mittlerweile häufiger auf offene Standards, die eine Anpassung durch den Kunden vereinfachen und dennoch den Support erhalten

Im Vergleich zur kommerziellen Softwarelösung ist Open Source eine sehr interessante Alternative, jedoch in der Nutzung stark reglementiert. Speziell für kleine Unternehmen und Privatpersonen kann es sich lohnen, eine freie Software wie Open Source zu nutzen, da sich so zum Teil hohe IT und Lifecycle-Kosten sparen lassen. Dennoch ist es grundsätzlich ratsam, die hier aufgeführten Lizenzmodelle genauer zu analysieren, um sowohl die technischen als auch die juristischen Voraussetzungen abzuklären!

Damit Sie die Chancen von Open Source effektiv nutzen und die Risiken beherrschen können, stehen wir Ihnen jederzeit unterstützend zur Seite und sichern einen reibungslosen Betrieb. Zu unserem Leistungsportfolio zählen neben dem Hosting, dem Support und dem Systemmanagement auch andere Funktionen, wie die Weiterentwicklung und Programmierung.

Zögern Sie nicht lange und kontaktieren Sie uns. Als qualifizierter IT-Dienstleister wissen wir aus jahrelanger Praxiserfahrung, welche Lizenzmodelle und Rahmenbedingungen zum Tragen kommen.