Oftmals unterschätzt Verwaltungskosten von Open-Source- und Fremdsoftware

Die Verwaltung von Open-Source- und Fremdsoftware nimmt häufig mehr Zeit in Anspruch als erwartet - der Prozess lässt sich aber optimieren.

In den vergangenen Jahren war man in der Regel darauf aus, alle notwendigen Komponenten einer Softwareanwendung selbst zu entwickeln, das heißt ohne Einbindung irgendwelcher Fremdsoftware. Dies ist jedoch heutzutage, bedingt durch die immer steigende Komplexität und den stärker werdenden Termindruck, fast unmöglich geworden.

Immer öfters wenden sich Organisationen deshalb an externe Entwicklungshäuser oder benutzen Software von Drittanbietern oder Open Source Software (OSS), um die Entwicklungszeiten zu beschleunigen und Kosten zu senken. Allerdings gibt es beim Einsatz von Fremdsoftware  einige Aspekte die berücksichtigt werden müssen: Die Einhaltung von Qualitäts- und Sicherheitsbestimmungen, Lizenzrechten und anderen Intellectual Property (IP) relevanten Bedingungen sind zwingend erforderlich, um Risiken und etwaige nachhaltige Nutzungskosten zu vermeiden. Die Verwaltung von Fremdsoftware kann jedoch zeitaufwendig und kostspielig sein.

Im folgenden Beispiel betrachten wir ein hypothetisches Unternehmen mit 200 Mitarbeitern, in dem nur ein Produkt entwickelt wird. Die Kosten werden in Form von Personentagen und Euro ausgedrückt.

Das Unternehmen veröffentlicht dreimal im Jahr ein neues Release, wobei die Umsatzerwartungen für jedes Release bei 1 Million Euro liegen. Die anfallenden Softwareverwaltungskosten werden hauptsächlich durch den für die Katalogisierung der Komponenten, der Identifizierung von Lizenz und Nutzungsrechten und deren Vergleich mit den internen Richtlinien, bestimmt. Die Kosten zur Behebung von potenziellen Qualitätsmängeln und Anpassung an bestehende Richtlinien werden ebenfalls mit berücksichtigt.

Bei dem ersten Schritt zur Verwaltung von OSS geht es zunächst darum festzustellen, welche Softwarekomponenten verwendet wurden und welchen Lizenzbestimmungen sie unterliegen. Hierbei werden alle Komponenten in einer Stückliste (Bill of Material) zusammengefasst. Diese Liste wird entweder manuell oder mit Hilfe von Analyse/Scanning-Programmen erstellt und benötigt in der Regel zwei bis fünf Personentage.

Nachdem alle verwendeten Softwarekomponenten und deren Lizenzen identifiziert wurden, müssen die jeweiligen Lizenzverpflichtungen untersucht werden. Dies erfolgt in der Regel in Absprache mit einem Lizenzexperten und kann je nach Lizenzart, Komplexität und Verwendungszweck ein bis drei Personentage in Anspruch nehmen.  Manche Softwarekomponenten können sich widersprechende Nutzungsrechte beinhalten. Diese Kompatibilitätsprüfung kann dann noch einmal einen halben Tag in Anspruch nehmen.

Abhängig von der jeweiligen Endanwendung muss eventuell überprüft werden ob die verwendeten Komponenten bereits bekannte Vulnerabilitäten aufweisen. Des Weiteren fordern einige Länder als Teil der Exportkontrolle die Offenlegung aller verwendeten Verschlüsselungsalgorithmen die in den Produkten verwendet werden.  Diese Analysen können jeweils ein bis drei Personentage in Anspruch nehmen.

Aktivität (vor Marktfreigabe)PersonentageKosten
Software Analyse & Erstellung einer Stückliste2 - 5€400-1000
Überprüfung der Lizenzverpflichtungen1 - 3€200-600
Überprüfung der Lizenzkompatibilitäten0,5 
Überprüfung eventueller Vulnerabilitäten *1 - 3€200-600
Überprüfung von Exportbestimmungen *1 - 3€200-600
Konsolidierte Auflistung aller verwendeten Lizenzen0,5 - 2100-400
Detaillierter Report /Qualitätskontrolle1 - 3€200-600
Aufwand pro Softwarerelease7 - 19€1400-3800
Umsatzeinbuße durch Behebung von Lizenzproblemen €5K/Tag **
* Optional ** Annahme: >€1M Umsatz/Jahr Der Aufwand für die Verwaltung der Softwarekomponenten von Drittanbietern.