Lohnenswert? “Kostenlose” Open-Source-Anwendungen für Firmen

Werner Knoblich ist sich sicher: Linux ist langweilig geworden. Der Europachef des weltgrößten Distributors für quelloffene Betriebssysteme Red Hat meint dies nicht despektierlich, im Gegenteil.

Offenes Office, Quelloffene Sicherheit und SOA auf Basis von Open Source

Mittelständische Unternehmen legen ihr Augenmerk vor allem auf funktionale und kostengünstige Lösungen. Eigentlich liegt der Pinguin hier ganz gut im Rennen. Nach Erhebungen von IDC aus dem vergangenen Jahr weist das Betriebssystem Linux seit Jahren zweistellige Wachstumsraten auf und hat inzwischen einen soliden dritten Platz im Gesamtmarkt erobert. Hier greift das Kostenargument: Die Marktforscher gehen davon aus, dass Windows-Server ohne Anwendungsprogramme noch in zwei Jahren doppelt so teuer sind wie ein vergleichbarer Linux-Server.

Eine Umfrage der Marktforscher von Techconsult bestätigt diesen Trend auch für die heimische IT-Szenerie. Demnach setzen derzeit immerhin rund ein Drittel der deutschen Unternehmen Linux auf dem Server und etwa acht Prozent auf dem Client als Betriebssystem ein. Aber auch andere Bereiche sind im Kommen – wenn auch nur langsam: Vor allem High-End-Datenbank-Servern und Applikations-Servern für die betriebliche Ressourcenplanung (ERP) sowie das Kundenbeziehungs-Management (CRM) räumen die Experten Chancen ein, aber auch Web-, File- und Print-Server gewinnen Marktanteile hinzu.

Wo der Einsatz bereits heute lohnt, ist mit Sicherheit der Bereich der Bürosoftware. Relativ bekannt ist mittlerweile beispielsweise die Groupware-Anwendung OpenXchange. Sie stellt vielfältige Funktionen bereit, etwa E-Mail, Kalender, Adressbuch, Foren und Dateiablage sowie VoIP-Telephonie, Chat- und SMS. Und das auch noch mit einfachem Webbrowser für Microsoft-Anwendungen. Auch andere Open-Source-basierte Mailclients wie Thunderbird, Evolution und Kmail sind mittlerweile eine Alternative zu Outlook.
 
Die Funktionalität von OpenXchange wird laufend erweitert. Es gibt mittlerweile Speicherplatz für eigene Dateien oder zum Veröffentlichen einer eigenen Homepage. Weitere Funktionalitäten wie eine Skriptenbörse zum Austausch und Download von Skripten sowie das Bilden von Arbeitsgruppen mit gemeinsamen Speicherplatz und eigenem Kalender sind geplant. Durch die kürzlich geschlossene Kooperation mit dem Datenbankspezialisten MySQL wird die Palette der Anwendungen noch breiter.

Versetzt man derartige Projekte in die Unternehmenswelt, so können sie durchaus mit kommerziellen Produkten mithalten, etwa hinsichtlich Betriebssystem-Funktionen wie User-Verwaltung, Authentifizierung, Anmeldung, mit den Groupware-Funktionen von Exchange oder Notes, als Dateiserver, anstelle des Outlook- beziehungsweise Notes-Client oder für Dokumentenaustausch und für Foren, die nicht unbedingt Microsoft-lastig sind. Prinzipiell ist der Ersatz der proprietären Standard-Software in diesen Bereichen ohne Einschränkung möglich.

Natürlich müssen für den Einsatz von Open-Source-Produkten in Unternehmen aber auch noch einige Hindernisse aus dem Weg geräumt werden, speziell wenn sie Web-basiert laufen: Verwendet man etwa Desktop-Funktionen remote, so lässt sich das Betriebssystem mit seiner Authentifizierung nicht so einfach ersetzen. Kostenlose Online-Dienste machen Word, Excel und Co nicht überflüssig, sondern entwickeln sich weitgehend komplementär. Unternehmen oder die öffentliche Hand belassen kritische Daten und Dokumentenbestände aus prinzipiellen Erwägungen sowie aus datenschutzrechtlichen Gründen lieber in eigener Regie.

Ein anderes bereits gut gepflügtes Einsatzgebiet stellt der Bereich der Security dar. So bietet etwa Collax eine Linux-basierte Serverlösung, die auch ein Sicherheitspaket für das Unified Treat Management (UTM) enthalten. Geboten und gebündelt wird ein Community-gerechtes ‘best of breed’-Paket. Das volle Programm umfasst kaskadierten Spam-Schutz, IPSec-basiertes Virtual Private Network, Virenschutz sowie Intrusion Detection und Prevention.

Wer allerdings glaubt, ein Boom mit Sicherheitsprodukten aus der Open-Source-Szene stünde unmittelbar bevor, dürfte herb enttäuscht sein. Die Großen der Branche wie Trend Micro oder McAfee haben längst entsprechende Komponenten in ihr Programm integriert. “Linux ist natürlich auch ein Markt für uns”, sagt Rainer Link, Senior Security Spezialist Anti-Malware bei Trend Micro. Alle Enterprise Produkte sind mittlerweile auch auf den wichtigsten Repräsentanten ausgelegt: “Viele unserer Enterprise-Kunden schätzen die Stabilität und vor allem die Flexibilität von Linux, das geht zum Teil soweit, dass diese quasi ihre eigene abgespeckte bzw. gehärtete Linux-Distribution erstellt haben, auf denen unserer Software schon mit dabei ist”, beschreibt Link.

Auch im Anti-Spam-Bereich gibt es diverse OSS-Lösungen wie Spam Assassin, die zumindest in einigen der Linux-basierten Firewall-Umgebungen beziehungsweise UTM oder Gateway-Appliances zum Einsatz kommen. Ein anderes Beispiel ist das ‘Dazuko-Projekt‘, das ursprünglich aus einer kommerziellen Lösung von H+BEDV/Avira entstanden ist. Es ermöglicht eine Echtzeit-Suche unter Linux und Free BSD und wird neben Aviras Antivir auch von anderen Herstellern wie Avast, Grisoft oder Eset/NOD32 eingesetzt. Es gibt unzählige Beispiele, die sinnvolle Überschneidungen zwischen offener und proprietärer Software demonstrieren.

Dennoch dominieren weiterhin die proprietären Anbieter den Markt für Security-Produkte. Die Unternehmen achten vor allem auf Kriterien wie Management und Skalierbarkeit – und sie folgen den Vorgaben der Hersteller und Systemhäuser. Aus Security-Sicht ist es letztlich auch eine Haftungsfrage. “Hersteller proprietärer Software sind prinzipiell belangbar. OSS-Lizenzen haben fast immer einen völligen Haftungsausschluss inkludiert, was bei größeren Unternehmen sehr schlecht ankommt”, bilanziert Sicherheitsexperte Wieland Alge, CEO und Mitgründer der Phion Information Technologies. Auch Stefan Strobel, Geschäftsführer von Cirosec, erklärt: “Für kleine und mittlere Unternehmen macht eine rein Linux-basierte Firewall keinen Sinn, da die Qualität nicht ausreichend ist.” Auch bei Konzernen würden derartige Lösungen nur an der unwichtigen IT-Peripherie eingesetzt.

Seit Jahren wird die Sevice-orientierte Architektur (SOA) von namhaften Herstellern herbeigeredet. SOA bringe Transparenz in die IT-Landschaft, biete Flexibilität und schütze getätigte Investitionen, indem sich bereits vorhandene, stabile laufende Systemteile wieder verwenden lassen. Die Analysten der Aberdeen Group gehen davon aus, dass allein die Top-2000-Unternehmen weltweit in den kommenden fünf Jahren etwa 53 Milliarden Dollar an IT-Ausgaben durch SOA sparen können. Der Grund: Ist eine SOA erst mal implementiert, purzeln die Entwicklungskosten.

Unternehmen haben nun grundsätzlich drei Möglichkeiten, eine solche Basisinfrastruktur zu etablieren:


  • selber bauen

  • eine Development- und Integrations-Suite von einem Hersteller kaufen

  • ein Framework aus Open-Source-Bausteinen zusammenstellen.

Für die wenigsten Unternehmen ist es sinnvoll, ein eigenes Framework zu erstellen. Herstellung und Pflege der Bausteine sind in der Regel zu aufwändig. Insgesamt ist ein Engagement auf dieser Ebene in der Regel nicht profitabel. Softwareentwicklung gehört für das Gros der Industrie-, Handels und Dienstleistungsfirmen nicht zum Kerngeschäft. Die Lösungen von der Stange sind teuer und passen nicht immer. Bleibt Variante drei: Open-Source-Software bietet ausreichend Kandidaten, um einen SOA-Baukasten zu gestalten. Dass deren Qualität und Zuverlässigkeit hoch sind, hat eine Untersuchung der Standford-Universität zu Beginn dieses Jahres gezeigt: Doch zum Nulltarif gibt es das SOA-Framework auf Basis von Open Source nicht. Es ist zunächst darauf zu achten, welche Aufgabenstellung es zu lösen gilt und welche Komponenten dazu benötigt werden. Wie wählt man die aus und integriert sie? Diese Fragen müssen beantwortet werden. Notwendige Elemente einer SOA sind aus Sicht der Softwarehersteller ESB, WebServices, (UDDI) Registry und eine Workflow-Engine.

Die Geschäftlogik sollte plattform- und technologieunabhängig modelliert werden (PIM). Konkrete Implementierungen müssen über plattform-spezifische Modelle (PSM) und Transformationen generiert werden. Wer seine Entwicklungsmethodik nicht gleich so radikal umstellen möchte, kann zumindest versuchen, bei Serviceaufrufen die Bindung an die konkrete Kommunikationstechnik zu generieren. Was vielen unbekannt ist: Web-Services-Definitionen nach WSDL sind erst mal nicht an HTTP/SOAP gebunden. Vielmehr trennt WSDL die Definition der Services von der technischen Bindung an ein Protokoll. Hier kommt ein Framework ins Spiel, das es erlaubt, einen Service-Aufruf zu formulieren und dabei die Details der Kommunikation generieren zu lassen. Einen solches Framework gibt es im Open-Source-Lager: Apaches WebService Invocation Framework (WSIF).

Oft werden auch Workflow Engines eingesetzt: Mitunter lassen sich Prozessketten nämlich nicht “am Stück” abarbeiten. Enthalten die Geschäftsprozesse Haltepunkte, an denen auf äußere Ereignisse gewartet werden muss, ist eine Workflow Engine unverzichtbar. Insbesondere, wenn die Prozesse länger laufen. Hier ist es unumgänglich, den Kontext der Instanz dieses Geschäftprozesses persistent zu speichern. Ein Spezialfall von Prozessen mit Haltpunkten sind solche, die manuelle Bearbeitungsschritte, also die Interaktion von Anwendern, enthalten. Im Wesentlichen haben sich zwei relevante Standards für die Entwicklung und Ausführung von Workflow Engines etabliert: die Business Process Execution Language (BPEL) und die XML Process Definition Language (XPDL). Hierfür eignet sich beispielsweise WfM Open, eine Open-Source-Implementierung für eine XPDL-Engine.

Open-Source-Komponenten lassen sich etwa über Standards zusammensetzen, die quasi den Kleber zwischen den Werkzeugen bilden können. So eignet sich XMI für Modelle, die ein Generator-Framework weiterverarbeiten kann. Dass die Werkzeuge in der Praxis gut zusammenpassen, liegt in der Struktur der Open-Source-Landschaft. Niemand tritt hier mit dem Anspruch an, eine Komplettlösung zu liefern. Man ist also darauf angewiesen, miteinander “zu können”. Hier sind es die Quasi- oder Industriestandards, an denen man nicht vorbeikommt, wie Eclipse, das die verschiedenen Tools zusammenschweißt. Eine weitere Quelle für aufeinander abgestimmte und Standards bildende Komponenten ist das mittlerweile ja ebenfalls weitgehend quelloffene Java-Umfeld mit seinem JCP (Java Community Process).