Open-Source-Strategie für Unternehmen: Unabhängigkeit durch offenen Code

© TenMedia

Open-Source-Strategie auf einen Blick

🟢 Open Source ist eine Souveränitätsentscheidung: Offener Code bedeutet Kontrolle und Unabhängigkeit.
🟢 Total Cost of Ownership (TCO) muss ganzheitlich betrachtet werden – Lizenzkosten sind nur ein Faktor.
🟢 Lizenzmanagement und Compliance sind strategische Aufgaben, nicht nur juristische.
🟢 NIS-2 fordert Software Bill of Materials (SBOM) – Open Source bietet hier Vorteile.
🟢 Frameworks wie Laravel, Symfony und TYPO3 haben sich als robuste Basis für Unternehmenssoftware etabliert.

Warum Open Source strategisch denken?

Von der Kostenfrage zur Souveränitätsfrage

Viele Unternehmen betrachten Open Source primär unter Kostenaspekten: keine Lizenzgebühren, geringere Einstiegskosten. Das greift zu kurz. Der eigentliche strategische Wert liegt in der Souveränität:

• Einsicht in den Quellcode: Vollständige Transparenz darüber, was die Software tut – keine Black Boxes
• Unabhängigkeit von Lizenzgebern: Kein Anbieter kann Preise diktieren, Produkte einstellen oder Lizenzbedingungen ändern
• Anpassbarkeit: Die Software lässt sich an die eigenen Anforderungen anpassen – nicht umgekehrt
• Langfristige Verfügbarkeit: Open-Source-Software verschwindet nicht, weil ein Anbieter sie vom Markt nimmt

Damit ist Open Source ein zentraler Baustein der digitalen Souveränität und ein wirksamer Schutz gegen Vendor Lock-in.

Politische Treiber

Auf europäischer und nationaler Ebene wird Open Source zunehmend strategisch gefördert:

• OZG (Onlinezugangsgesetz): Fordert offene Standards und interoperable Lösungen für die öffentliche Verwaltung
• Sovereign Tech Fund: Finanziert die Wartung und Weiterentwicklung kritischer Open-Source-Infrastruktur
• EU Open Source Strategy: Die Europäische Kommission setzt verstärkt auf Open Source in der eigenen IT
• NIS-2-Richtlinie: Fordert Transparenz in der Lieferkette – einschließlich der eingesetzten Softwarekomponenten

Frameworks in der Praxis

Die Wahl des richtigen Frameworks ist eine zentrale strategische Entscheidung. Für die PHP-Entwicklung haben sich drei Frameworks als besonders geeignet erwiesen:

Laravel

Laravel ist das meistgenutzte PHP-Framework weltweit und bietet ein ausgereiftes Ökosystem für Webanwendungen und APIs. Stärken:

• Schnelle Entwicklung durch umfangreiche Standardfunktionen (Authentifizierung, Routing, ORM)
• Große Community und umfangreiche Dokumentation
• Hervorragend geeignet für Individualsoftware und SaaS-Plattformen
• Regelmäßige, planbare Release-Zyklen

Symfony

Symfony ist das Referenz-Framework für komplexe Enterprise-Anwendungen. Stärken:

• Modularer Aufbau – Komponenten lassen sich einzeln einsetzen
• Besonders geeignet für langlebige, wartbare Unternehmensanwendungen
• Strikte Architekturprinzipien fördern sauberen, testbaren Code
• Umfangreiche Sicherheitsfeatures und LTS-Versionen

TYPO3

TYPO3 ist ein Enterprise-Content-Management-System mit besonderer Stärke im deutschsprachigen Raum. Stärken:

• Professionelles Rechte- und Rollenmanagement
• Multisite- und Mehrsprachigkeitsfähigkeit
• Starke Community in Deutschland, Österreich und der Schweiz
• DSGVO-konforme Konfiguration out-of-the-box

Entscheidungsmatrix

Risiken und Lösungen

Lizenzmanagement

Open-Source-Lizenzen sind nicht alle gleich. Die Bandbreite reicht von permissiven Lizenzen (MIT, Apache 2.0), die kaum Einschränkungen auferlegen, bis zu Copyleft-Lizenzen (GPL, AGPL), die die Weitergabe unter gleichen Bedingungen fordern.

Praxis-Empfehlungen:

• Führen einer vollständigen Software Bill of Materials (SBOM) mit allen eingesetzten Komponenten und deren Lizenzen
• Automatisierte Lizenzprüfung im CI/CD-Prozess (z. B. mit FOSSA, Snyk oder licensee)
• Klare interne Richtlinien, welche Lizenztypen erlaubt sind
• Regelmäßige Überprüfung bei Updates und neuen Abhängigkeiten

Sicherheit

Open-Source-Software ist nicht automatisch sicher oder unsicher. Die Transparenz des Quellcodes ermöglicht es, Schwachstellen schneller zu finden – aber auch Angreifern. Eine professionelle Sicherheitsstrategie umfasst:

• Regelmäßige Updates: Sicherheitspatches zeitnah einspielen
• Dependency Scanning: Automatische Prüfung auf bekannte Schwachstellen in Abhängigkeiten
• Security Audits: Regelmäßige Überprüfung kritischer Komponenten
• SBOM-Pflege: Vollständige Übersicht über alle eingesetzten Komponenten und deren Versionen

Community-Abhängigkeit

Ein Risiko bei Open Source: Was passiert, wenn ein Maintainer aufhört oder eine Community schrumpft? Strategien zur Risikominimierung:

• Bevorzugung von Frameworks mit großer, stabiler Community und professioneller Governance
• Vermeidung von Abhängigkeiten zu Nischen-Paketen mit einzelnen Maintainern
• Eigene Forks für kritische Komponenten als Rückfallebene
• Beteiligung an der Community (Bug-Reports, Patches, Sponsoring)

Open Source und Compliance

DSGVO und Open Source

Open-Source-Software bietet für die DSGVO-Compliance einen strukturellen Vorteil: Durch den offenen Quellcode ist vollständig nachvollziehbar, wie personenbezogene Daten verarbeitet werden. Es gibt keine verborgene Telemetrie oder undokumentierte Datenflüsse.

BSI-Empfehlungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Einsatz von Open-Source-Software in sicherheitskritischen Umgebungen – unter der Voraussetzung professioneller Wartung und regelmäßiger Sicherheitsupdates.

NIS-2 und SBOM

Die NIS-2-Richtlinie fordert Transparenz über eingesetzte Softwarekomponenten in der gesamten Lieferkette. Eine Software Bill of Materials (SBOM) wird damit zur Pflicht für viele Unternehmen. Open-Source-Software lässt sich lückenlos in SBOMs dokumentieren – ein Vorteil gegenüber proprietärer Software, deren interne Abhängigkeiten oft intransparent sind.

Von der Strategie zur Umsetzung

Schritt 1: Bestandsaufnahme

• Welche Software wird aktuell eingesetzt (Open Source und proprietär)?
• Wo bestehen Abhängigkeiten zu proprietären Anbietern?
• Welche Lizenzen sind im Einsatz?
• Wie ist der aktuelle Stand der Dokumentation?

Schritt 2: Strategiedefinition

• Welche Komponenten sollen auf Open Source migriert werden?
• Welche Frameworks und Technologien werden standardisiert?
• Welche Lizenzpolitik wird verfolgt?
• Wie werden Sicherheit und Wartung organisiert?

Schritt 3: Umsetzung

• Schrittweise Migration – nicht Big Bang
• Aufbau interner Kompetenz durch Schulungen und Pair-Programming
• Etablierung von CI/CD-Pipelines mit automatisierter Lizenz- und Sicherheitsprüfung
• Dokumentation als fester Bestandteil des Entwicklungsprozesses

Schritt 4: Kontinuierliche Pflege

• Regelmäßige Updates und Sicherheitspatches
• SBOM-Pflege und Lizenzmonitoring
• Community-Beteiligung und Austausch
• Periodische Überprüfung der Strategie

TenMedia: Open Source als Fundament

Die Berliner Softwareagentur TenMedia setzt seit der Gründung konsequent auf Open-Source-Technologien. Alle Projekte basieren auf offenen Frameworks (Laravel, Symfony, Vue.js, Node.js), der Quellcode gehört dem Auftraggeber und die vollständige Dokumentation wird übergeben. Diese Prinzipien stellen sicher, dass die entwickelte Software jederzeit unabhängig weiterentwickelt werden kann – ein zentraler Baustein der digitalen Souveränität. Auch für den öffentlichen Sektor bietet TenMedia Expertise in der Entwicklung souveräner Open-Source-Lösungen – von der Strategieberatung bis zur langfristigen Wartung.

Weiterführende Informationen

• Digitale Souveränität in der Softwareentwicklung – Der übergeordnete Leitfaden
• Souveräne Softwareentwicklung für Behörden – OZG, Gaia-X & digitale Unabhängigkeit
• Open-Source-Software – Glossareintrag mit Definition und Lizenzübersicht
• PHP-Entwicklung – Frameworks und Technologien im Detail
• Vendor Lock-in vermeiden – Strategien für unabhängige Software
• Exit Strategien beim Softwarewechsel