Open Source wird zur Chefsache. OTTRIA macht sie beherrschbar.
OTTRIA - die Open Source Trust, Threat and Risk Intelligence Alliance - ist der europäische Partner für Ihre Open-Source-Lieferkette. Neue EU-Gesetze verpflichten Geschäftsleitungen persönlich, ihre Software-Lieferkette abzusichern. Das betrifft auch jede Open-Source-Komponente in Ihrem Unternehmen. OTTRIA schließt diese Lücke - mit dokumentierten Prozessen, messbaren Ergebnissen und prüffähigen Nachweisen.
Fünf Gesetze, eine Verantwortung #
DORA verpflichtet Finanzunternehmen zu Open-Source-Analysen (Art. 25 Abs. 1). Persönliche Geschäftsführerhaftung, Zwangsgelder bis 1 % des Tagesumsatzes.
NIS2 betrifft 18 Sektoren kritischer Infrastruktur. Lieferkettensicherheit ist Pflicht (Art. 21 Abs. 2 lit. d). Bußgelder bis 10 Mio. Euro.
CRA fordert CE-Kennzeichen, eine vollständige SBOM und fünf Jahre Sicherheitsupdates für alle Softwareprodukte. Bußgelder bis 15 Mio. Euro.
Produkthaftung macht Software erstmals zum Produkt. Keine Haftungsobergrenze, Beweislastumkehr bei fehlender Dokumentation.
DSGVO verlangt Stand der Technik und dauerhafte Belastbarkeit (Art. 32 Abs. 1). Veraltete Open-Source-Komponenten sind ein eigener Bußgeldtatbestand - bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.
Open Source steckt in nahezu jeder Unternehmens-Software. Die neuen Gesetze machen Sie verantwortlich - für jede einzelne Komponente.
Bin ich betroffen? Jetzt prüfen
Warum bestehende Lösungen nicht reichen #
Scanner sind ein guter erster Schritt. Katalog-Anbieter helfen bei ausgewählten Projekten. Aber eine typische Software-Stückliste enthält hunderte Einträge.
- SCA-Tools finden registrierte Schwachstellen - aber beheben keine einzige. Und sie übersehen Silent Fixes, die vier bis elf Mal häufiger vorkommen als registrierte CVEs. Solange niemand den Fix einspielt, bleibt Ihr System verwundbar - ohne dass Sie es wissen.
- Katalog-Anbieter betreuen ausgewählte Endprodukte - etwa ein End-of-Life-Framework oder eine alte Distribution. Aber nicht deren Abhängigkeiten. Die hunderte Bibliotheken, von denen diese Produkte selbst abhängen, bleiben unbeachtet - obwohl Sie auch für diese haften.
- Enterprise-Support bedient populäre Stacks - aber nicht die tausenden kleinen Bibliotheken, die Ihre Software zusammenhalten. Wenn eine davon ausfällt, steht Ihr Betrieb trotzdem still.
Scanner sind Layer 1: Sichtbarkeit. OTTRIA ist Layer 2 und 3: Eingriff und Governance.
Drei Säulen für Ihre Open-Source-Sicherheit #
Risk Intelligence Wir identifizieren Risiken, bevor sie öffentlich werden. Durch unsere aktive Mitarbeit in Open-Source-Projekten erkennen wir Schwachstellen, stille Fixes und Projektverfall frühzeitig - vor der öffentlichen CVE-Veröffentlichung.
Operational Support Wir lösen Probleme, statt sie nur anzuzeigen. Wenn eine Schwachstelle behoben werden muss, koordinieren wir den Fix mit dem Upstream-Projekt oder erstellen ihn selbst. Bei verwaisten Projekten stellen wir die Wartung sicher.
Compliance Enablement Wir liefern die Nachweise, die Ihr Auditor erwartet. Risikobewertungen, Maßnahmenhistorien, SBOMs mit Pflegestatus - auditfähig für DORA, NIS2 und CRA.
Finden Sie Ihren Einstieg #
Finanzsektor - DORA BaFin-Lizenz? Persönliche Geschäftsführerhaftung und die Pflicht zu Open-Source-Analysen betreffen Sie direkt. Zur DORA-Seite
Kritische Infrastruktur - NIS2 18 Sektoren, Bußgelder bis 10 Mio. Euro, persönliche Haftung der Geschäftsleitung. Zur NIS2-Seite
Softwarehersteller - CRA CE-Kennzeichen, fünf Jahre Sicherheitspflicht, 24-Stunden-Meldefristen. Zur CRA-Seite
Alle Softwareanbieter - Produkthaftung Software ist erstmals ein Produkt. Keine Haftungsobergrenze, Beweislastumkehr bei fehlender Dokumentation. Zur Produkthaftungs-Seite
Software-Dienstleister und Agenturen Sie entwickeln Software für Kunden? Rechtlich sind Sie Hersteller - mit allen Pflichten aus CRA, Produkthaftung, DORA und NIS2. Unabhängig davon, ob das fertige Produkt unter Ihrem Namen oder dem Ihres Kunden vertrieben wird. Zur Dienstleister-Übersicht
Alle Unternehmen - DSGVO Personenbezogene Daten verarbeiten alle. Art. 32 verlangt Stand der Technik und dauerhafte Belastbarkeit - veraltete oder ungepflegte Open-Source-Komponenten sind ein eigenständiger Bußgeldtatbestand. Dokumentierte Sorgfalt wirkt bußgeldmindernd nach Art. 83 Abs. 2 lit. d. Zur DSGVO-Seite