Die Besucher des Linuxtages zeigten sich sensibilisiert für Rechtsfragen rund um das Thema Open Source. Das liegt zum einen an den Lizenzansprüchen, die Unix-Anbieter SCO vor einigen Wochen am Quellcode des Open-Source-Betriebssystems Linux angemeldet hat. Aber auch die am 1. Juli dieses Jahres veröffentlichte Studie des Verbands der Softwareindustrie Deutschlands (VSI) schlug Wellen. Denn der Interessenverband ist zu dem Ergebnis gekommen, dass die Entwicklung, Nutzung und der Vertrieb von OSS rechtliche Probleme berge. So waren die Vorträge, in denen das Wesen freier Software thematisiert wurde, auf dem Karlsruher Linuxtag in diesem Jahr besonders gut besucht.
Freie Software ist …
“Hier auf der Messe versteht jeder, was freie Software ist”, behauptet hingegen Dirk Haaga, Deutschland-Geschäftsführer des Linux-Distributors Redhat. Er fühlt sich aber trotzdem zu einer Erklärung gezwungen: “Erstens ist der Quellcode verfügbar, zweitens kann ich damit eigene Applikationen entwickeln und das Ergebnis muss wieder Open-Source sein. Drittens kann ich für die Verteilung dieser Software Geld verlangen. Viertens muss die Software eine Dokumentation mitführen, die die vorgenommenen Änderungen für andere nachvollziehbar macht.”
Für Till Jaeger jedoch, Rechtsanwalt aus München, der das Institut für Rechtsfragen der Open-Source-Software (ifross) gegründet hat, gibt es weitaus mehr Ausgestaltungen des Begriffs. Und mit diesen lizenzrechtlichen Bedeutungen hat sich seiner Aussage zufolge auch jeder Anwender auseinander zu setzen.
Grundlage der Überlegungen ist: Bei proprietärer Software erwerben die Anwender nur das Recht auf Nutzung. Dafür steht in der Regel ein Copyright. Dieses umfasst meist folgende Urheberrechte: Nutzungs-, Lizenz und Vervielfältigungserlaubnis. In Deutschland bezieht sich das Copyright auf den Erfinder einer Arbeit, Leistung oder Idee. Ein Verzicht auf das Urheberrecht ist deshalb unmöglich.
Trotzdem, so Jaeger, widersprechen OSS-Lizenzen dem deutschen Recht nicht. “Dem Anwender wird lediglich ein Nutzungsrecht in weitaus größerem Umfang als üblich eingeräumt”, sagt er. Dazu gehöre in der Regel die Lizenzgebührenfreiheit, die Offenlegung des Quellcodes und die Erlaubnis, die Software weiterzuverbreiten. Darüber hinausgehende Anforderungen an eine OSS-Lizenz hat die Open-Source-Inititiative (OSI) in einem Katalog zusammengefasst.
… strikt frei
Dennoch lassen sich die OSS-Lizenzen in zwei wesentliche Kategorien einteilen: mit oder ohne “Copyleft”. Das ist ein Begriff aus dem Bereich der Interessengemeinschaft ‘Free Software Foundation’ (FSF). Ein ausdrückliches Copyleft bedeutet demnach, dass Weiterentwicklungen und sonstige Änderungen an einem Programm ebenfalls wieder frei gegeben werden müssen, indem die modifizierte Software unter die gleiche Lizenz gestellt wird wie das ursprüngliche Programm. Das letzte Kriterium ist auch als “Impf-Effekt” bekannt.
Das GNU-Projekt beispielsweise versucht, dies in die Praxis umzusetzen. Doch es gibt ein Problem. Absatz 2b des festgeschriebenen Projekts definiert eine Auflösungsklausel. So ist etwa die Kombination mit proprietären Softwaremodulen nur dann erlaubt, wenn keine “derivative work”, also keine abgeleitete Arbeit, entsteht.
Über die Auslegung, was eigentlich ein solch abgeleitetes Programm sein soll, lässt sich aber wiederum streiten. Laut Linux-Begründer Linus Torvald lösen bloße Systemaufrufe an den Linux-Kernel keinen Copyleft-Effekt aus, die auflösende Bedingung tritt nicht in Kraft. Auch die Speicherung auf demselben Datenträger, “mere aggregation”, lässt sich nicht als Impfen interpretieren.
Doch was ist eigentlich Freiheit?
Das kann beim Einfügen von Sourcecode in bestehenden Code allerdings ganz anders aussehen. Hier gibt es einen Interpretationsspielraum, der sich um die Eigenständigkeit des zusätzlichen Codes und um die Menge drehen kann. So greift das Copyleft nicht, wenn der neue Softwarebestandteil eine inhaltliche Eigenständigkeit besitzt und die Verbreitung in formal eigenständiger Form passiert. Werkzeuge wie Editoren und Parser gehören beispielsweise in diese Kategorie. Ausnahme aber ist etwa der Parser “Bison”, weil hier eigener Code mit dem Ursprungsprogramm verwoben wurde. Darin waren sich die Konferenzteilnehmer einig.
Umstritten sind dagegen Header-Files mit Inline-Code oder auch Programmbibliotheken. Deshalb stehen wichtige Bibliotheken wie die GNU C Library unter der “Library General Public Licence” (LGPL). Zu den Anwendungsfällen von strengen Copyleft-Lizenzen zählen hingegen etwa GNU/Linux und die “Mozilla Public Licence”, nach dem Browser Mozilla benannt.
Als Sonderfall gilt die Netscape Public Licence” (NPL). Sie ist für den Netscape-Browser gedacht, dessen Quellcode seit 1998 freigegeben ist. Software, die unter MPL/NPL steht, darf laut Jaeger in einem anderem Programm eingebunden und zusammen mit diesem verbreitet werden. Ein solches Paket sei zudem nicht zwangsläufig Open Source, solange die Open-Source-Bestandteile frei blieben. Mit einer GPL-Lizenz, so der Fachmann, müsste hingegen das gesamte geschnürte Paket offengelegt werden.
Freiheit mit Nabelschnur
Am weitesten von dieser Open-Source-Interpretation entfernt sind die BSD-artigen Lizenzen (Berkeley Software Distribution). Diese Non-Copyleft-Anhänger vertreten die Ansicht, dass Modifikationen der Open Source proprietär verwendet und für die Produkte Lizenzgebühren erhoben werden können.
Die Betriebssystem-Varianten “Free BSD”, “Xfree86” und “4.4 BSD” sowie der Web-Server “Apache” gehören zu dieser Art freier Software. Die Apache-Lizenz hat allerdings eine Besonderheit. Sie erlaubt bei Modifikationen eine weitere Verbreitung unter der Bezeichnung Apache nur, wenn vorher dafür eine Genehmigung eingeholt wird. Das Gleiche gelte, wie der Rechtsanwalt ausführt, auch für die “Apple Public Source Licence” (APSL).
Zu Bedenken gibt Jaeger noch, dass etwa die deutsche Übersetzung der GPL keine rechtliche Grundlage bildet; denn es gibt keine offizielle Übertragung. Bis es eine gültige Übersetzung gibt, kann es dauern. Die FSF denkt nämlich derzeit über eine neue Fassung der GPL nach.
Was Freiheit nicht ist …
Bis dahin allerdings muss sich die Community, das sind die OSS-Entwickler, mit den vom VSI festgestellten Unsicherheiten in Rechtsfragen befassen. Dazu gehört etwa die Kombination mit proprietären Modulen. Außerdem scheinen Lücken im Haftungsrecht zu bestehen. Zwar sind einzelne Entwickler nur für Schäden verantwortlich zu machen, wenn Vorsatz und grobe Fahrlässigkeit nachzuweisen sind. Dennoch ist jeder für ein Produkt haftbar zu machen und damit für die Fehler anderer, wenn eine gemeinschaftliche Entwicklung vorliegt, referiert beispielsweise die VSI-Untersuchung.
Verunsichert scheint der Markt dennoch nicht zu sein. Immerhin setzen mindestens 40 Prozent der deutschen Unternehmen und Organisationen Linux produktiv ein. Erfinder Torvalds, der seit kurzem in Diensten des ‘Open Source Development Lab’ (OSDL) steht, hat am Freitag seine Arbeiten an Version 2.5.75 des Linux-Kernels beendet. Das erste Release des Kernels 2.6 wird es voraussichtlich in einigen Monaten geben.
Einstweilen werden die Linux-Unterstützer immer größer: So hat das Bundesinnenministerium dem Linuxtag die offiziellen Weihen gegeben und seinen “Migrationsleitfaden für OSS-Basiskomponenten” vorgestellt. Dieser soll IT-Entscheidern sowohl strategische als auch praktische Hilfen anbieten. Außerdem enthält das Werk detaillierte Wirtschaftlichkeitsanalysen, die eine Entscheidung für Open-Source wesentlich erleichtern dürften.
Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.
Die Sicherheitslandschaft ist alles andere als robust. Unter anderem weil die Sichtbarkeit noch immer kritische…
Auch der Einsatz von Open Source Software bringt Herausforderungen mit sich, insbesondere in der IT-Sicherheit,…
Studie von Huawei und Roland Berger beleuchtet Schlüsseltrends und neue Anforderungen an Datenspeicherlösungen im KI-Zeitalter.
Der Ausfall bei CrowdStrike ist nur ein Symptom eines größeren Problems, wenn Unternehmen es versäumen,…
PwC-Studie zeigt: KI hilft vielen Unternehmen dabei, die Effizienz zu steigern, Kosten zu senken und…