Was Sie erhalten

Sie kaufen keine Software und kein Dashboard. Sie erhalten einen strukturierten Gegenpart für Ihre Open-Source-Lieferkette: dokumentierte Ergebnisse, prüffähige Nachweise und operative Eingriffsfähigkeit dort, wo Sie heute blind sind.

Ebene 1: Ihre konkreten Ergebnisse

Sicherheitsberichte pro Vorfall

Jeder Fund wird dokumentiert: Entdeckung, Bewertung, Maßnahme, Ergebnis. Sie erhalten einen abgeschlossenen Bericht, den Sie Ihrem Auditor, Ihrer Revision oder Ihrer Aufsichtsbehörde vorlegen können.

Compliance-Dokumentation

Prüffähige Nachweise mit Gesetzesreferenzen - zugeschnitten auf DORA, NIS2 oder CRA. Kein generischer Report, sondern Dokumentation, die Auditoren verstehen und akzeptieren.

SBOM-Auswertung und Aktualisierung

Ihre SBOM wird kontinuierlich ausgewertet, analysiert und auf Aktualität geprüft. OTTRIA erstellt keine SBOMs, sondern wertet Ihre bestehenden Software-Stücklisten aus und identifiziert darin Risiken, veraltete Komponenten und kritische Abhängigkeiten.

Risiko-Übersicht

Regelmäßige Bewertung aller Projekte in Ihrer SBOM: Kritikalität, Maintainer-Status, Aktivitätsniveau, Verwaisungswahrscheinlichkeit. Sie sehen auf einen Blick, wo Handlungsbedarf besteht.

Frühwarnungen

Bei Projekten, in denen OTTRIA als Steward eingebunden ist, erfahren Sie von Sicherheitsproblemen Wochen bis Monate vor der öffentlichen CVE-Veröffentlichung.

Maßnahmenprotokolle

Lückenlose Dokumentation: Was wurde wann gemacht, von wem, mit welchem Ergebnis. Die Grundlage für Ihre interne Nachvollziehbarkeit und externe Prüffähigkeit.

Protokolle der Open-Source-Analysen

Vollständige Protokolle aller durchgeführten Open-Source-Analysen: Welche Komponenten wurden geprüft, welche Methoden angewandt, welche Ergebnisse erzielt. Auditfähige Nachweise, die dokumentieren, dass die gesetzlich geforderten Analysen systematisch durchgeführt werden.

Entscheidungsvorlagen

Wenn Handlungsbedarf besteht, erhalten Sie keine Alarmliste, sondern aufbereitete Optionen mit Risikobewertung. Sie entscheiden - auf informierter Basis.

Ebene 2: Was OTTRIA dafür tut

Überwachung und Erkennung

• Kontinuierliches CVE-Scanning aller Komponenten in Ihrer SBOM
• Silent-Fix-Detection - Erkennung der vier bis elf stillschweigend behobenen Schwachstellen pro registriertem CVE, die kein Scanner findet
• Verwaisungs-Überwachung und Projekt-Gesundheitsanalyse
• Erfassung transitiver Abhängigkeiten, die Ihr direktes Inventar nicht zeigt
• Monitoring von Lizenzänderungen und Projektlöschungen
• Detektion betriebsgefährdender Bugs, wie DORA sie fordert

Eingriff und Behebung

• Upstream-Fixes koordinieren oder selbst erstellen - auch bei Projekten ohne aktiven Maintainer
• Patches für verwaiste Projekte bereitstellen
• Backports sicherheitsrelevanter Korrekturen
• Maintainer-Koordination über Projektgrenzen hinweg
• Schutzmaßnahmen gegen Projektlöschung und unerwartete Lizenzwechsel

Dokumentation und Nachweis

• Auditfähige Reports mit konkreten Gesetzesreferenzen (DORA Art. X, NIS2 Art. Y, CRA Anhang I)
• Evidenzpakete für Prüfer und Aufsichtsbehörden
• Risikodokumentation und vollständige Maßnahmenhistorie
• Regelmäßige Lizenzprüfungen aller SBOM-Komponenten

Förderung des Ökosystems

• Bug-Bounty-Programme, CI/CD-Infrastruktur, Hardware und Schulungen für alle Projekte in Ihren SBOMs
• Nicht nur für prestigeträchtige Kernprojekte, sondern für jede Abhängigkeit, die Ihre Software am Laufen hält

Ebene 3: Messbare Wirkung

Ungepatchte Schwachstellen bleiben offen. Ohne aktive Upstream-Arbeit werden Schwachstellen gemeldet, aber nicht behoben. OTTRIA reduziert dieses Risiko durch aktive Fixes und koordinierte Upstream-Arbeit.

0-Day-Schwachstellen treffen unvorbereitet ein. Zwischen Entdeckung und öffentlicher Bekanntgabe vergehen Wochen. OTTRIA liefert Frühwarnungen und vorbereitete Maßnahmen, bevor die Schwachstelle öffentlich wird.

Einzelne Maintainer fallen aus, Projekte stehen still. Kritische Abhängigkeiten hängen oft an einer Person. OTTRIA überwacht jede kritische Abhängigkeit systematisch und hält die Handlungsfähigkeit bei Ausfall aufrecht.

Audit-Nachweise fehlen oder sind lückenhaft. Ohne strukturierte Dokumentation scheitert jede Prüfung. OTTRIA liefert vollständige, prüffähige Dokumentation mit konkreten Gesetzesreferenzen.

Verwaiste Projekte werden zum unkontrollierten Risiko. Wenn niemand mehr pflegt, wächst das Risiko täglich. OTTRIA übernimmt die Wartung oder stellt Patches bereit.

Abhängigkeit von US-Toolanbietern schafft strategische Risiken. Wenn ein Anbieter seine Bedingungen ändert, stehen europäische Unternehmen ohne Alternative da. OTTRIA ist ein europäischer Anbieter mit operativer Handlungsfähigkeit im Code.

Förderberatung

Wenn Sicherheitsmaßnahmen umgesetzt werden müssen, stehen verschiedene Förderprogramme zur Verfügung, die einen Teil der Kosten abdecken können. Viele Unternehmen wissen nicht, dass Investitionen in Cybersicherheit und Open-Source-Governance durch Landes-, Bundes- oder EU-Fördermittel teilfinanziert werden können. OTTRIA berät Sie individuell zu den Fördermöglichkeiten, die für Ihre Situation in Frage kommen. Unser Netzwerk umfasst spezialisierte Fördermittelberater - ein in der Open-Source-Welt seltenes Profil -, die Sie von der Identifikation passender Programme bis zur Begleitung des Antragsprozesses unterstützen. So senken Sie die Einstiegshürde und können die regulatorischen Anforderungen schneller und wirtschaftlicher erfüllen.

Digitale Souveränität als Leistungsdimension

Digitale Souveränität ist kein Marketingbegriff. Es ist die Fähigkeit, unabhängig zu handeln - auch wenn Upstream ausfällt, ein Maintainer aufhört oder ein Toolanbieter seine Bedingungen ändert.

OTTRIA stellt diese Souveränität operativ her:

• Europäischer Anbieter - kein Abhängigkeitsverhältnis zu US-Plattformen oder -Toolanbietern
• Aktive Teilnahme statt passiver Konsum - OTTRIA arbeitet im Code, erstellt Patches, reviewt Commits, nicht nur am Dashboard
• Handlungsfähigkeit bei Krise - wenn ein kritisches Projekt verwaist, gelöscht oder kompromittiert wird, kann OTTRIA eingreifen statt nur zu melden
• Unabhängigkeit der Lieferkette - Mirrors, Forks, Patches: die Fähigkeit, Ihre Software-Lieferkette auch dann am Laufen zu halten, wenn Upstream ausfällt

Was wir nicht tun

Kein Zugriff auf Ihre Systeme. Das ist eine bewusste Sicherheitsentscheidung. OTTRIA arbeitet ausschließlich in der Open-Source-Welt, nicht in Ihrer Infrastruktur. Wir sind kein zusätzliches Einfallstor.

Keine Haftungsübernahme. Regulatorisch ist das nicht möglich. Die Verantwortung bleibt bei Ihnen - so sehen es DORA, NIS2, CRA und die Produkthaftungsrichtlinie vor. OTTRIA reduziert Ihr Risiko und liefert die Nachweise. Die Entscheidungen treffen Sie.

Keine garantierten Lösungszeiten. Wie lange ein Fix in einem Open-Source-Projekt dauert, lässt sich nicht seriös vorhersagen. Wir reagieren schnellstmöglich und dokumentieren jeden Schritt. Lösungszeiten können wir nicht versprechen, weil sie von der Komplexität des Problems abhängen.

Keine Arbeit außerhalb der Open-Source-Welt. Unser Fokus ist unsere Stärke. Für proprietäre Software, Netzwerksicherheit oder Systemintegration empfehlen wir Partner aus unserem Netzwerk.

Der Leistungszyklus

So sieht die Zusammenarbeit aus:

1. Sie liefern Ihre SBOM ein.
2. OTTRIA gleicht innerhalb eines Tages alle Komponenten ab und beginnt die laufende Überwachung.
3. Bei einem Fund oder einer Schwachstelle erfolgen Analyse, Bewertung und Maßnahme.
4. Sie erhalten einen Bericht mit Dokumentation und Handlungsempfehlung.
5. Sie entscheiden und heften ab.
6. Die Überwachung läuft weiter - kontinuierlich, nicht als Einmalprojekt.

Erstgespräch buchen und erfahren, was Sie konkret erhalten