Wenn es um Sicherheit im Handel geht, rangiert das Thema Cybersecurity derzeit an vorderster Stelle. Die Zahl der Cyberangriffe im Handel hat sich in den letzten Jahren vervielfacht. Erik Steiner, IT-Experte bei Taylor Wessing, klärt im Interview über Vor- und Nachteile von Open Source Software für den Handel auf. Da Steiner auch selbst Software entwickelt, kann er auch technisch „aus der Schule“ erzählen.

Wie wichtig ist Open Source Software im Handel?

Erik Steiner: Vorweg: Bei Open Source Software (OSS) handelt es sich um sogenannte „freie Software“, wobei „frei“ nicht im Sinne von „Freibier“, sondern vielmehr im Sinne von Meinungsfreiheit zu verstehen ist. OSS unterliegt gewissen Regeln, die in einer Lizenz festgeschrieben sind, und an die man sich beim Einsatz auch halten muss.

Aber zu Ihrer Frage: OSS spielt eine zentrale Rolle im Handel. Die Nutzung von OSS bietet eine kosteneffiziente und flexible Lösung für Unternehmen jeder Größe – vom kleinen Einzelhändler bis zum global agierenden Konzern. Sie ermöglicht eine Flexibilität, auf marktspezifische Anforderungen schnell zu reagieren und bietet ein hohes Maß an Unabhängigkeit von kommerziellen Software-Anbietern. Es ist daher nicht verwunderlich, dass viele Händler auf OSS-Systeme setzen.

Aufgrund der Modularität der heutigen Softwareentwicklung betrifft das Thema OSS aber nicht nur eigens als Open Source bezeichnete Softwaresysteme, sondern so gut wie jede Individualsoftware, die von Dritten für ein bestimmtes Unternehmen entwickelt bzw. angepasst wird. Gemäß Open-Source-Risikobericht 2023 von Synopsys beinhaltet bereits mehr als 90 % der im Handel eingesetzten Software OSS-Komponenten.

In welchen Bereichen wird Open Source vor allem eingesetzt?

Steiner: OSS findet im Handel in einer Vielzahl von Bereichen Anwendung. Das reicht von E-Commerce-Plattformen oder Kunden-Apps über CRM-Systeme bis hinein ins Supply-Chain-Management. Auch im Bereich der Datenanalyse und der seit kurzem in aller Munde befindlichen künstlichen Intelligenz bietet OSS vielfältige Einsatzmöglichkeiten für den Handel. Aber nicht nur im privaten Sektor, sondern auch in der öffentlichen Verwaltung wird die Bedeutung von OSS immer stärker erkannt. Wie ein kürzlich im Nationalrat angenommener Entschließungsantrag zeigt, soll evaluiert werden, wie der Einsatz von OSS zu mehr Unabhängigkeit, Effizienz und Transparenz in der öffentlichen Verwaltung führt.

Was sind die Vorteile von Open-Source-Lösungen?

Steiner: Die Vorteile von OSS sind vielfältig. Der offensichtlichste Vorteil ist die Ersparnis von Lizenzkosten, da für die Verbreitung von OSS keine Lizenzkosten verlangt werden dürfen. Falls eine große Entwicklercommunity vorhanden ist, entwickelt sich ein Projekt oft rascher, Fehler werden schneller gefunden und korrigiert. Zusätzlich kann Software durch die Offenlegung des sog. Sourcecodes (der Bauplan der Software) und die Erlaubnis, Modifikationen durchzuführen, an die unternehmenseigenen Bedürfnisse angepasst werden, was zu mehr Transparenz und Flexibilität führt.

Vermutlich gibt es auch Nachteile…

Steiner: Zum einen ist die Qualität bzw. die Weiterentwicklung von der Community abhängig, die wiederum meist von der Nachfrage nach dem potenziellen Projekt abhängt. Zum anderen gibt es keine klassischen Garantien oder Support (wobei die Community meist sehr hilfsbereit ist). Außerdem kann es je nach verwendeter Lizenz vorkommen, dass auf das eigene Unternehmen zugeschnittene Modifikationen ebenfalls kostenlos veröffentlicht werden. Die vermeintliche Kostenersparnis kann zudem durch Aufwendungen für Schulungen und Systemintegration oft auch wieder ausgeglichen werden. Last but not least ist der offene Sourcecode auch eine Möglichkeit für Hacker, Schwachstellen einfacher zu finden. Es ist wichtig, sich dieser Risiken bewusst zu sein. Und es ist jedenfalls ratsam, die Vor- und Nachteile sowie den geplanten Einsatz bei der Beurteilung, ob OSS im eigenen Unternehmen Anwendung finden soll, miteinzubeziehen.

“Unternehmen sollten klare Richtlinien für den Einsatz von OSS etablieren und dabei Qualitäts- und Sicherheitsstandards definieren.”

ERIK STEINER, Taylor Wessing

Wie sieht es mit dem Risiko von Cyberangriffen aus? Welche Schwachstellen gibt es?

Steiner: Das Risiko von Cyberangriffen bei der Verwendung von OSS ist nicht per se höher als bei sog. proprietärer Software, also Software, die kommerziell vertrieben wird. Die Existenz von Sicherheitslücken hängt jedoch stark von der Pflege und Aktivität der Community des jeweiligen OSS-Projekts ab.

Ein großes Risiko stellt die Verwendung veralteter oder nicht mehr aktiv gepflegter Software dar. Laut dem Open-Source-Risikobericht von Synopsys waren 91 % der im Handel eingesetzten Softwareprojekte mit OSS-Komponenten nicht auf dem neuesten Stand, 72 % beinhalteten Komponenten, die nicht mehr aktiv gepflegt wurden. Neben dem Risiko veralteter Software ist auch die Bezugsquelle ein wichtiger Faktor. Es daher entscheidend, OSS sorgfältig auszuwählen und sich neben den Funktionen der Software u.a. auch die Aktivität der Community anzusehen und regelmäßig zu aktualisieren.

Sind sich Unternehmen dieser Schwachstellen ausreichend bewusst?

Steiner: Die Zahlen aus dem Open-Source-Risikobericht 2023 deuten darauf hin, dass viele Unternehmen sich der potenziellen Risiken durch den Einsatz von OSS nicht ausreichend bewusst sind. Der signifikante Anstieg von High-Risk-Schwachstellen in der Handelsbranche um 557 % innerhalb der letzten fünf Jahre ist ein alarmierendes Zeichen. Er zeigt, dass Sicherheitslücken oft gar nicht oder nicht rechtzeitig erkannt und geschlossen werden, was die Systeme anfällig für Cyberangriffe macht. Dies deutet gerade im Handel auf ein mangelndes Bewusstsein für die Risiken und die Notwendigkeit regelmäßiger Aktualisierungen und Überprüfungen hin.

Wie kann man Schwachstellen beseitigen bzw. sich am besten schützen?

Steiner: Um Risiken effektiv zu minimieren, ist eine strukturierte Herangehensweise an den Einsatz von OSS essenziell. Unternehmen sollten klare Richtlinien für den Einsatz von OSS etablieren und dabei Qualitäts- und Sicherheitsstandards definieren.

Ein wichtiges Kriterium bei der Auswahl von OSS ist die Aktivität der Entwickler-Community. Ist die Software bereits im Einsatz, sollte sichergestellt sein, dass regelmäßige Updates und Sicherheitsüberprüfungen stattfinden. So können vorhandene Sicherheitslücken zeitnah geschlossen werden. Bei Projekten, die nicht mehr aktiv entwickelt werden, sollten rechtzeitig Alternativen geprüft oder Überlegungen für eine eigene Weiterentwicklung angestellt werden. Nur so kann ein hohes Sicherheitsniveau gewährleistet werden.

Abseits von Cyberangriffen: Gibt es auch andere rechtliche Risken, die man beim Einsatz von Open-Source-Lösungen eingeht?

Steiner: Wie erwähnt, handelt es sich bei OSS um Lizenzen, die Lizenzbestimmungen unterliegen. Um mögliche rechtliche Konsequenzen zu vermeiden, ist es daher entscheidend, diese auch einzuhalten. Während einige Lizenzen nur einen Urheberrechtsvermerk und die Weitergabe der Lizenzen erfordern, zwingen strengere, sogenannte Copyleft-Lizenzen zur Offenlegung des modifizierten Sourcecodes. Der „virale Effekt“ von Copyleft-Lizenzen kann zu einer ungewollten Offenlegung von proprietärem Source-Code führen. Bei solchen Verstößen drohen Unterlassungsansprüche, die Haftung der Geschäftsführung und sogar Vertriebsstopps. Auch datenschutzrechtlich kann der Einsatz von OSS zu Konsequenzen führen. Fehlende Aktualisierungen und Sicherheitslücken können zu einem ungewollten „Leak“ von personenbezogenen Daten und damit zu einem Datenmissbrauch führen. Hohe Bußgelder können die Folge sein.

Wie kann man sich gegen diese Risiken schützen?

Steiner: Dazu sind mehrere Schritte ratsam:

• Vor der Implementierung sollte rechtlicher Rat eingeholt werden, um mögliche Lizenz- und Datenschutzprobleme zu identifizieren.
• Die Durchführung eines OSS-Audits und einer Risikoanalyse geben Einblick in die potenziellen Gefahren, die von der verwendeten OSS ausgehen können und helfen bei der Entscheidung.
• Die Mitarbeiter sollten über die rechtlichen und sicherheitstechnischen Aspekte der verwendeten OSS informiert werden.
• Es sollten detaillierte Dokumentationen existieren, die einen Überblick über die eingesetzten Komponenten der Software und die damit verbundenen Lizenzen enthalten.
• Zusätzlich sollten Compliance-Prozesse eingeführt werden, die sicherstellen, dass die Verwendung der OSS laufend überwacht wird und im Einklang mit den rechtlichen Vorgaben steht.