Öffentliche Verwaltung: Ruf nach klaren Kriterien zur Open-Source-Beschaffung

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die für den Beschaffungsbereich zuständige Arbeitsgruppe der Open Source Business Alliance (OSBA) hat einen Ansatz vorgeschlagen, um bei der öffentlichen Hand Preisdumping rund um den Support für freie Software zu verhindern und die Auswahl nachhaltiger Projekte zu fördern. Sie hat dazu am Dienstag einen Katalog mit Ausschreibungskriterien vorgelegt. Er soll dafür sorgen, dass die Weiterentwicklung und Pflege von Open-Source-Anwendungen gesichert ist. Weitere Ziele der Initiative: Neben dem Auftraggeber sollen alle Beteiligten im Open-Source-Ökosystem profitieren und Programme langfristig sicher zur Verfügung stehen.

"Die öffentliche Verwaltung in Deutschland strebt digitale Souveränität an, heißt es in dem Papier. Dafür komme es vermehrt auf Open Source an. Die Geschäftsmodelle dahinter funktionierten grundsätzlich anders als bei proprietärer Software: Bei letzterer partizipiere der Hersteller an jeder verkauften Lizenz, auch wenn die Vergabe über einen Drittanbieter erfolgt ist. Bei Software mit frei verfügbarem Quellcode würden dagegen üblicherweise ergänzende Dienstleistungen angeboten.

Dies ermögliche es aber auch Dritten, "über Dumpingangebote den eigentlichen Software-Hersteller bei einer Vergabe auszustechen", erklärt die OSBA. Der Open-Source-Hersteller gehe so leer aus und könne in der Folge nicht ausreichend in Weiterentwicklung und Pflege investieren. Dies untergrabe das für die Verwaltungsdigitalisierung besonders wichtige Nachnutzungspotenzial freier Software. Auch die IT-Sicherheit der Lösungen werde gefährdet. Der Verband verweist auf Beispiele etwa bei der Beschaffung von Schulsoftware und Videokonferenzsystemen, bei denen Drittanbieter die Hersteller unterboten und die Zuständigen in der Verwaltung die damit verknüpften Herausforderungen erst später realisiert hätten.

Forks können problematisch sein

Für die Beschaffung von Standard-Software auf Open-Source-Basis eigne sich die Methode der reinen Preiswertung in der Regel nicht, führt die OSBA aus. Denn dabei werde die Pflege und Weiterentwicklung der Anwendung nicht automatisch in jedem Angebot eingeschlossen. Die Autoren des Papiers empfehlen daher, dass der öffentliche Auftraggeber vor allem darauf achten sollte, ob der Dienstleister eine Beziehung zum Software-Hersteller beziehungsweise der Open-Source-Community nachweisen kann. Nur so ließen sich bestmöglich die Lieferkette absichern und die im Produkt enthaltenen Komponenten über eine Software Bill Of Materials (SBOM) entsprechend der Anforderungen aus dem Cyber Resilience Act aufschlüsseln.

Ferner fordert die OSB, dass die Verwaltung den Fokus auf den Erhalt von Sicherheitsupdates und Upgrades etwa durch Patches legen sollte. Darüber ließen sich auch fehlende Funktionen integrieren. Würden diese Änderungen nicht "Upstream" in den zentralen Code zurückgegeben, handle es sich bei der eigenen modifizierten Version um eine Abspaltung ("Fork"). Langfristig ergebe sich daraus für den Auftraggeber das Problem der Pflege. Da es sich oft um Millionen von Codezeilen handele, entstünden schnell "nicht mehr leistbare und unwirtschaftliche Aufwände".

Ursprüngliche Hersteller am Geschäft beteiligen

Die öffentliche Hand soll dem Katalog zufolge auch darauf achten, dass ein qualitativer Support durch Dritte garantiert ist. Dabei gelte es etwa zu klären, ob der Anbieter dafür "die Expertise mit dem Quellcode des konkreten Produkts" oder die Unterstützung des Herstellers gewährleisten könne. Empfehlenswert sei es auch darauf zu achten, ob es eine geeignete Zertifizierung gibt, die die Qualität des Anbieters nachweist.

Das billigste Angebot sei oft nicht das wirtschaftlichste, geben Birgit Becker und Claus Wickinghoff als Sprecher der Arbeitsgruppe zu bedenken. Wenn die Software auch in mehreren Jahren noch sicher und fortentwickelt werden solle, müsse auch der eigentliche Hersteller an dem Geschäft beteiligt werden.

(mki)