Digitale Souveränität und Open Source

Europa setzt auf Open Source. In Strategiepapieren, Förderprogrammen und politischen Reden ist digitale Souveränität ein Leitbegriff geworden. Die Idee dahinter ist richtig: Wer die Software kontrolliert, auf der Wirtschaft und Verwaltung laufen, ist unabhängig. Wer sie nicht kontrolliert, ist es nicht.

Doch zwischen Strategie und Wirklichkeit klafft eine Lücke. Denn Open Source einzusetzen bedeutet noch lange nicht, souverän zu sein.

Open Source nutzen ist nicht dasselbe wie Open Source beherrschen

Digitale Souveränität erfordert mehr als die Entscheidung, quelloffene Software zu verwenden. Sie erfordert die Fähigkeit, diese Software unabhängig zu betreiben, Fehler selbst zu beheben, Beiträge zu leisten und das Ökosystem am Laufen zu halten - auch dann, wenn ein Maintainer aufhört, ein Projekt verwaist oder ein kritisches Sicherheitsproblem auftritt.

Wer Open Source nur konsumiert, ohne in die Projekte einzugreifen, ist nicht souverän. Er ist abhängig:

• Von einzelnen Maintainern, die ehrenamtlich arbeiten - ohne Vertrag, ohne SLA, ohne Verpflichtung
• Von US-amerikanischen Toolanbietern, die Sichtbarkeit versprechen, aber keine Probleme lösen
• Von Projekten, die jederzeit gelöscht, aufgegeben oder unter eine neue Lizenz gestellt werden können

Das ist keine theoretische Gefahr. Es ist der Normalzustand in der Open-Source-Lieferkette.

Wer kontrolliert die Software, die Europa antreibt?

Linux, curl, OpenSSL, nginx, zlib, LibreOffice - die kritische Infrastruktur Europas läuft auf Open-Source-Projekten, die mehrheitlich von Einzelpersonen und kleinen Teams gepflegt werden. Viele dieser Projekte haben keinen europäischen Bezug. Die Governance liegt oft bei US-Stiftungen oder gar bei niemandem.

Die EU hat dieses Problem erkannt. Der Cyber Resilience Act (CRA) führt die Rolle des "Verwalters quelloffener Software" (Open Source Steward) ein - eine juristische Person, die systematisch die Entwicklung und Sicherheit von Open-Source-Projekten unterstützt. Das ist ein regulatorisches Signal: Europa braucht Akteure, die nicht nur Software nutzen, sondern aktiv zur Sicherheit und Stabilität des Ökosystems beitragen.

Souveränität ist eine operative Fähigkeit

Digitale Souveränität lässt sich nicht durch Einkaufsentscheidungen herstellen. Sie entsteht durch operative Handlungsfähigkeit: die Fähigkeit, im Ernstfall selbst einzugreifen.

Das bedeutet konkret:

• Patches erstellen und upstream einbringen, wenn ein Projekt nicht reagiert
• Verwaiste Projekte weiterpflegen, weil die eigene Infrastruktur davon abhängt
• Mirrors und Forks bereithalten, damit die Lieferkette auch bei Ausfall von Upstream funktioniert
• Sicherheitsprobleme erkennen, bevor sie öffentlich werden - und handeln, bevor Angreifer es tun

Was bedeutet das für Sie?

Wenn Sie Open Source einsetzen - und das tun Sie, ob Sie es wissen oder nicht - dann reicht es nicht, auf Scanner und Dashboards zu vertrauen. Die Frage ist: Haben Sie jemanden, der im Code arbeiten kann? Der Fixes liefert, Projekte stabilisiert und Ihre Lieferkette auch dann am Laufen hält, wenn Upstream ausfällt?

OTTRIA ist ein europäischer Anbieter, der genau diese operative Handlungsfähigkeit herstellt. Als Open Source Steward im Sinne des CRA arbeitet OTTRIA nicht am Dashboard, sondern im Code - mit Patches, Reviews, Upstream-Beiträgen und aktiver Projektpflege. Nicht als Versprechen, sondern als tägliche Arbeit.

Weiterlesen

• Die Steward-Rolle im CRA
• Open Source hat keinen Vertragspartner
• Warum OTTRIA?

Digitale Souveränität beginnt nicht mit einer Strategie. Sie beginnt mit der Fähigkeit zu handeln. Sprechen Sie mit uns darüber, wie OTTRIA diese Fähigkeit für Ihre Organisation herstellt.