Open Source
„Open Source wird dominanter, aber auch schwächer“
Freie Software galt lange als Projekt einiger Idealisten. Heute setzen auch Konzerne wie Microsoft darauf. Wieso das nichts mit Nächstenliebe zu tun hat, erklärt Rafael Laguna, Mitgründer der Open-Xchange AG.
Dieser Artikel erschien in der Ausgabe 04/2019.

brand eins: Vor fast 15 Jahren sagte der Microsoft-Gründer Bill Gates: „Open-Source-Entwickler sind Kommunisten“, er war ein vehementer Gegner dieser offenen und freien Software. Vor Kurzem hat Microsoft die Plattform GitHub gekauft, auf der sich die meisten Open-Source-Programmierer austauschen und zusammenarbeiten. Wie kam es zu dem Sinneswandel?
Rafael Laguna: Als Bill Gates das mit dem Kommunismus sagte, war Microsoft Windows noch die zentrale Plattform. Linux, die Open-Source-Alternative, wurde mit harten Bandagen bekämpft, es gab jede Menge Klagen. Inzwischen hat Microsoft erkannt, dass das Betriebssystem der digitalen Welt von heute nicht mehr Windows ist, sondern das Internet. Und das basiert zu weiten Teilen auf Open-Source-Software. Von HTML über Webserver-Software und E-Mail bis zu den ersten Browsern – das waren Programme und Protokolle, deren Quellcode offengelegt wurde und von allen benutzt und weiterentwickelt werden durfte. Die gehören niemandem, bis heute. Und nur durch diese freie Verfügbarkeit und Offenheit hat sich das Internet so rasant entwickeln können.
Diese Kollektion kann kostenlos gelesen werden dank
Sophos
Mit Threat Intelligence, KI und Machine Learning bietet Sophos ein breites Portfolio modernster Produkte und Services. Diese schützen Unternehmen zuverlässig vor Cyberangriffen aller Art.
Ein Konzern hat sich verändert, die Welt der Betriebssysteme ebenso. Was hat sich in der Open-Source-Community getan?
Früher hieß es oft: „Ach, die Open-Source-Entwickler, die verhungern alle und machen das zum Wohle der Welt.“ Beides stimmte nicht. Erstens ging es meist nicht um das Wohl der Welt, sondern um die Lösung eigener Probleme. Linus Torvalds entwickelte Linux, weil er ein anpassungsfähiges Betriebssystem für mehrere Nutzer brauchte und nichts Passendes fand. Außerdem war auch immer schnell Geld im Spiel.
Viele Entwickler arbeiteten bei Firmen, die erlaubten, den Quellcode freizugeben, weil das nicht zum Kerngeschäft der Firma gehört. Die Ansage war: „Wir brauchen das und das, bitte programmiere uns das, hinterher kannst du damit machen, was du willst.“ Der große Unterschied zu früher ist, dass Open Source mittlerweile industriedominierend ist – der Grundgedanke aber an vielen Stellen verwässert. Open Source wird dominanter, aber auch schwächer.
Könnten Sie das genauer erklären?
Open Source heißt, dass der Quellcode einer Software freigegeben wird – unter einer Lizenz, die es jedem ermöglicht, ihn weiterzuentwickeln. Dabei gibt es zwei verschiedene Varianten. Die strengere besagt, dass man das, was man selbst ergänzt hat, wieder unter derselben Lizenz freigeben muss. Bei der anderen Variante ist das nicht zwingend vorgeschrieben. Die Idee von Open Source geht aber noch weiter. Sie besagt, dass man ohne Genehmigung Teil eines Netzwerks werden kann, und das mithilfe von föderierten Systemen. Das bedeutet: Jeder verwaltet seine eigenen Daten, aber es gibt gewisse Standards, die die Zusammenarbeit ermöglichen.
Können Sie ein Beispiel nennen?
Das beste Beispiel ist E-Mail: Sie müssen nicht wissen, welchen E-Mail-Server oder welches Programm ich benutze – das Einzige, was Sie kennen müssen, ist meine Mail-Adresse. Das liegt daran, dass E-Mail auf Protokolle aufbaut, die genehmigungslos und föderiert sind. Dieser Geist macht Open Source aus. Derzeit wird er allerdings nach und nach ganz subtil verändert.
Wie geschieht das?
Die Open-Source-Initiativen von Google oder Microsoft verzichten oft auf eines der Grundprinzipien. Zum Beispiel kann man auf zahlreichen Websites, bei denen man ein Konto anlegen muss, auch sein Google-Login nutzen. Das ist dank Open Authorization, kurz OAuth, möglich, einem offenen Login-Standard. Nur hat Google auf das föderierte System verzichtet, es funktioniert also nur mit einem Konto des Konzerns.
Also ist Open Source nicht immer wirklich offen und vor allem nicht immer so gemeinnützig, wie man denken könnte?
Absolut. Open Source wird immer häufiger strategisch eingesetzt, etwa um eigene Schwächen auszugleichen. Unternehmen öffnen sich auf einem Gebiet, auf dem sie nicht so gut sind, und nutzen die Weisheit der Masse. Die andere Strategie ist, den Konkurrenten zu schädigen: Wenn der mit einem bestimmten Service oder einer Software erfolgreich ist, dann investieren Sie in etwas Ähnliches, veröffentlichen es als Open Source – und machen es Ihrem Gegner schwerer, Geld zu verdienen.
IBM hat das beispielsweise mit Eclipse so gemacht: Der Konkurrent Sun Microsystems lebte davon, die beste Plattform für Java-Programmierer bereitzustellen, die es damals gab. IBM hatte ein ähnliches Produkt namens Visual Age, das weit weniger erfolgreich war. Also hat IBM seine Entwicklerplattform als Open Source frei zugänglich gemacht und im Rahmen einer Stiftung veröffentlicht, deren Namen Eclipse ist.
Eclipse bedeutet Sonnenfinsternis.
Das war ein Angriff auf Sun. Der auch funktionierte, denn daraus ist die beste Java-Umgebung entstanden. Es war also in gewissem Sinn zum Wohl der Allgemeinheit, aber nicht zum Wohl von Sun. Google machte später etwas Ähnliches. Da man nicht von Sun abhängig sein wollte, entwickelte die Firma gewissermaßen ihr eigenes Java, gab es als Open Source frei und setzte ihr Betriebssystem Android drauf. Da Google Android kostenlos an Telefonhersteller wie Samsung abgab, war Sun mit seinem Produkt Java aus dem Geschäft mit mobilen Geräten raus.
Anzeige
Unsere Security-Experten helfen sofort
Wenn Sie gerade aktiv angegriffen werden, wenden Sie sich jederzeit an uns und sprechen Sie mit einem Incident-Response-Experten. Unser spezialisiertes Team eliminiert akute Bedrohungen und verhindert, dass diese erneut auftreten, damit Ihr Unternehmensbetrieb nicht gestört wird. Sie erreichen unser Security-Team 24/7 unter +49 611 711 867 66
Sprechen wir über Ihre Projekte. Eines davon, ID4me, ist eine Alternative zu den Buttons „mit Facebook anmelden“ oder „mit Google einloggen“, die man heute überall sieht.
Genau, aber eben föderiert und genehmigungsfrei. Dafür nehmen wir die Domain Ihrer Mail-Adresse wie Web.de oder Ihre Firmenadresse oder Ihre eigene Website, ganz egal. Und wir verheiraten das mit dem erwähnten OAuth-Protokoll, das unter anderem Facebook und Google auch verwenden.
Die Deutsche Bank und die Telekom haben kürzlich einen solchen Authentifizierungsdienst namens Verimi vorgestellt. RTL und einige Partner haben so etwas unter dem Namen Net ID versucht. Meist hört man nach einem Jahr nichts mehr von solchen Projekten. Was lässt Sie glauben, dass es bei Ihnen besser läuft?
Die von Ihnen genannten Projekte laufen nicht, weil die Unternehmen auf Silos setzen, die sie dann vollständig kontrollieren. Nun mögen Deutsche Bank, RTL oder GMX hier große Namen sein, aber in vielen anderen Ländern nicht. Und wenn man etwas im Internet macht, ist es immer global. Man kann nicht sagen, ich entwickle etwas nur für das deutsche Internet.
Wir wollen dem Nutzer die freie Wahl ermöglichen. Und sind außerdem keine Konkurrenz zu einem Dienst wie Verimi, denn wir setzen grundsätzlicher an: Wir liefern mit ID4me erst einmal nur einen technischen Standard. Das Protokoll erlaubt es, dass eine Website, bei der ich mich anmelden muss, mich wiedererkennt – ohne dass ich mir dafür ein neues Konto anlegen muss. Eine Marke wie die Deutsche Bank könnte darauf aufsetzen und sagen: Wir verifizieren noch dazu, dass diese Person volljährig ist, wir haben ihren Personalausweis gesehen, wir können die Zahlungsfähigkeit bestätigen und so weiter.
Ihr zweites größeres Projekt ist ein Messaging-Dienst namens COI, Chat Over Imap. Damit wollen Sie das Problem lösen, dass man mit WhatsApp, Signal oder WeChat nur den Nutzern derselben App schreiben kann. Was haben Sie da vor?
Diese Messenger sind im Grunde ein gewaltiger Rückschritt. Jede Mail-Adresse kann mit jeder Mail-Adresse auf der Welt kommunizieren. SMS funktioniert völlig unabhängig davon, ob Sie ein deutsches iPhone mit Telekom-Vertrag haben oder ein französisches Nokia bei O2. Bei den Messengern handelt es sich um lauter kleine Silos. Da muss man erst mal fragen: „Bist du bei WhatsApp oder bei Snapchat? Ach so, bei Threema – das habe ich nicht …, das muss ich erst mal installieren.“
Was wäre die Alternative?
Wir wollen einen Messenger konstruieren, der auf dem Prinzip der E-Mail basiert. Eigentlich eine logische Schlussfolgerung, denn zum einen handelt es sich um ein offenes und genehmigungsfreies Protokoll, und zum anderen hat jeder ab einem gewissen Alter eine Mail-Adresse. Und für den Messenger-Dienst gilt: Man kann ihn sich irgendwo kostenlos von einem Provider holen oder ihn auf seiner eigenen Domain nutzen – und gegen unerwünschte Mitleser sichern. Die Technik ist also sowohl für Otto Normalverbraucher als auch für die Edward Snowdens dieser Welt interessant.
Trotzdem dürfte es schwer sein, am Platzhirsch WhatsApp vorbeizukommen. Zumal Facebook den Dienst nun mit dem Facebook Messenger und den Nachrichten auf Instagram verschmelzen will.
Das ist in der Tat schwierig und auch der Grund, warum Signal und Threema und all die anderen Messenger nicht groß werden: Der Netzwerkeffekt arbeitet gegen sie. Wenn kaum jemand bei dem Messenger X ist, hat es keinen Sinn, sich dort anzumelden. Der Messenger Y, bei dem schon alle sind, ist viel nützlicher.
Wie hat es WhatsApp geschafft, so groß zu werden?
WhatsApp ist durch harte Arbeit groß geworden und konnte sich als Alternative zur Kurznachricht SMS auch deshalb so schnell etablieren, weil die Mobilfunkanbieter so dumm waren, zu lange zu viel Geld für SMS zu nehmen. Also sind in vielen Regionen der Welt nahezu alle Menschen bei WhatsApp.
Wie wollen Sie die für Ihren Dienst gewinnen?
Zum einen durch Vertrauen. Open Source ist vertrauenswürdig, weil jeder schauen kann, wie ein bestimmter Dienst funktioniert, was eine Anwendung darf und was nicht. Es gibt nicht die eine Firma, bei der alles zusammenläuft und die alles kontrolliert. Außerdem wollen wir, vereinfacht gesagt, E-Mail um Echtzeit-Funktionen erweitern, damit man es wie einen Messenger benutzen kann, aber auch eine Plattform wie Slack oder Twitter darauf aufbauen könnte. Und da spielt uns in die Hände, dass wir bei Open-Xchange eine sehr weit verbreitete Software für E-Mail-Server namens Dovecot anbieten, die von fast 40 Prozent aller E-Mail-Server der Welt verwendet wird. Das sind fast drei Milliarden aktive E-Mail-Accounts von den rund sieben Milliarden, die es meines Wissens derzeit weltweit gibt. So erreichen wir relativ schnell eine gute Verbreitung.
Was hätten die Nutzer davon?
Sie könnten mit COI all die Funktionen wie etwa Gruppenchats nutzen, die Messenger bieten. Die Daten würden aber in ihrer eigenen Mailbox landen und nicht mehr bei verschiedenen Diensten. Wenn heute einer pleitegeht oder man sich abmeldet, dann sind auch die jeweiligen Nachrichten weg. Das ist bis heute der Vorteil von E-Mail: Man kann ein Archiv seiner E-Mails der vergangenen 30 Jahre besitzen und jederzeit durchsuchen. Bei Chats, Messengern und sozialen Netzwerken haben Sie da keine Chance. ---
Rafael Laguna,
54, gründete im Alter von 16 Jahren mit Elephant Software seine erste Firma, mit 21 entwickelte er ein komplettes Kassensystem, mit 31 verkaufte er seine Firma Micado erfolgreich in den USA. Heute ist Laguna Mitgründer und Vorstandsvorsitzender der Open-Xchange AG. Das 2005 gegründete Unternehmen mit rund 260 Mitarbeitern in Olpe, Nürnberg, Hamburg, Helsinki und Palo Alto entwickelt Open-Source-Software für die Internetwirtschaft. Seine Mailserver kommen zum Beispiel bei großen Anwendern wie 1&1 oder Strato zum Einsatz. Außerdem verdient das Unternehmen sein Geld mit Software-as-a-Service (SaaS) wie dem Kollaborationsdienst OX App Suite, der klassische Büroprogramme wie Text- und Tabellenverarbeitung um E-Mail, Kontakt- und Terminverwaltung ergänzt.
Die Open Xchange AG machte 2018 nach eigenen Angaben zwischen 40 und 50 Millionen Euro Umsatz und ist profitabel.
Open Source
ist Software, deren Quellcode jeder frei einsehen und verändern darf. Ihren Ursprung hat sie in der Hacker-Bewegung der Sechzigerjahre sowie in frühen Softwareentwicklungen an Hochschulen. Obwohl Open-Source-Programme kostenlos sind, lässt sich durch deren Wartung, Support und Anpassung Geld verdienen.
Wie bedeutend das Prinzip inzwischen für die digitale Welt ist, macht unter anderem die größte Übernahme von IBM in seiner Unternehmens- geschichte deutlich: Der Konzern kaufte im Oktober 2018 die Open-Source-Firma Red Hat für 34 Milliarden Dollar. Microsoft übernahm etwa zur selben Zeit für 7,5 Milliarden Dollar die Plattform GitHub, auf der die meisten Open-Source-Projekte koordiniert werden und wo ein Großteil des betreffenden Codes und der Softwaredokumentation archiviert sind.
Konzerne legen zudem Teile ihrer Software offen, so zum Beispiel Google mit seinem Framework Tensorflow zum maschinellen Lernen. Ebenso verfuhren Facebook, Salesforce, Uber und Twitter mit ihrem Gemeinschaftsprojekt PyTorch, wo die Entwickler dieser Firmen zusammen am Thema künstliche Intelligenz arbeiten.
Auch Hardware kann Open Source sein: So veröffentlichte Facebook beispielsweise unter dem Namen Open Compute Project (OPC) früh technische Details seiner Datencenter-Infrastruktur, löste so verstärkten Wettbewerb unter Hardware-Herstellern aus – und sparte dank sinkender Preise nach eigenen Angaben binnen drei Jahren zwei Milliarden Dollar an Kosten.
Weiterführende Artikel von Sophos
Anzeige
Sophos Managed Detection and Response (MDR)
Sophos Managed Detection and Response ist ein Fully-Managed-Service. Unsere Experten erkennen für Sie Cyberangriffe auf Ihre Computer, Server, Netzwerke, Cloud Workloads und Mail-Konten und ergreifen Reaktionsmaßnahmen.
Anzeige
Sophos Network Detection and Response
Sophos Network Detection and Response (NDR) ist Teil von Sophos MDR. Die Lösung überwacht den Netzwerkverkehr auf verdächtige Netzwerkflüsse. So können unsere Analysten feststellen, welche Geräte bei einem Sicherheitsvorfall kompromittiert wurden.
Anzeige
Zero Trust Network Access
Verbinden Sie Ihre Benutzer sicher mit Ihren Anwendungen. Ersetzen Sie Remote Access VPN durch eine leistungsstärkere Alternative, damit Ihre Remote-Benutzer sicher auf Anwendungen und Daten zugreifen können und schützen Sie Ihre Anwendungen.
Anzeige
Sophos Firewall - Maximale Performance & Schutz
Extra starker Schutz Die Xstream-Architektur der Sophos Firewall schützt Ihr Netzwerk vor neuesten Bedrohungen und beschleunigt gleichzeitig den Datenverkehr wichtiger SaaS-, SD-WAN- und Cloud-Anwendungen.