Wie die erfolgreiche Beschaffung von Open Source Software gelingt

Immer mehr öffentliche Stellen setzen auf Open Source Software, um die Kontrolle und Gestaltungshoheit über die genutzte Software zu behalten. Allerdings stellt es manchmal eine Herausforderung für Verwaltungen dar, den richtigen Anbieter auszuwählen, damit der Einsatz der entsprechenden Software dann auch gelingt und nachhaltig erfolgreich ist. Die Open Source Business Alliance schlägt daher in ihrem neuen Positionspapier vier Vergabekriterien für die Beschaffung von Open Source Software vor.

Open Source Software hat viele Vorzüge. Hierzu gehört insbesondere die Stärkung der digitalen Souveränität sowie das Potential für verbesserte IT-Sicherheit und Datenschutz. Allerdings ist der nachhaltig erfolgreiche Einsatz von Open Source Software in der Verwaltung gefährdet, wenn sich die Beschaffenden nicht bereits im Vorfeld mit den Besonderheiten von Open Source Software auseinander setzen. Die Festlegung von spezifischen Kriterien kann dem entgegenwirken.

Das haben auch die Antworten bei einer Umfrage unter den Mitgliedern der Open Source Business Alliance aus dem Jahr 2024 gezeigt. Aus den zahlreichen berichteten Praxisbeispielen wurde deutlich, welchen Einfluss die Auswahl des Anbieters auf den sicheren und erfolgreichen Einsatz von Open Source Software hat:

  • In einem Fall hatte ein Anbieter eine öffentliche Ausschreibung für eine bestimmte Open Source Software mit einem konkurrenzlosen „Dumpingpreis“ gewonnen, obgleich dieser Anbieter keinerlei Erfahrung mit der entsprechenden Software hatte. In der Folge konnte der Anbieter die Anforderungen der Verwaltung an Performance und Skalierung nicht erfüllen. Der Hersteller der betroffenen Open Source Software hatte auch an der Ausschreibung teilgenommen, konnte allerdings mit dem (unrealistisch kalkulierten) niedrigen Preis des Gewinners nicht mithalten. Der Auftraggeber bekam in diesem Fall nicht die erhoffte und vereinbarte Leistung.
  • In einem anderen Fall hatte ein Bundesland Anpassungen zur Barrierefreiheit an einer bestimmten Open Source Software ausgeschrieben. Ein Anbieter wurde beauftragt, der allerdings die von ihm vorgenommenen Anpassungen selbst nicht wieder Open Source verfügbar machte. Dadurch entstehen für die öffentliche Hand unnötigerweise höhere Folgekosten und die Vorteile von Open Source (wie z.B. Nachnutzungsmöglichkeiten) kommen nicht zum tragen. Der CIO des Landes war sehr stolz auf das Open-Source-Projekt – das im Endeffekt aber gar nicht mehr Open Source war.

Die Beispiele zeigen, dass die Vorteile von Open Source Software für die Verwaltung ihre Wirkung nicht entfalten können, wenn nicht bereits in der Ausschreibung von der Vergabestelle sehr konkrete Anforderungen an den Anbieter und die Umsetzung gestellt werden. Damit die Vorzüge von Open Source erfolgreich genutzt werden können, kommt es deswegen auch darauf an, zunächst die dahinter liegenden Geschäftsmodelle zu verstehen.

Open-Source-Geschäftsmodelle verstehen

Die Geschäftsmodelle von Open Source unterscheiden sich aufgrund der Freiheiten, die die Open-Source-Lizenzen gewähren, von den Geschäftsmodellen proprietärer Software. Das kann eine Herausforderung für die öffentliche Verwaltung darstellen, die sich insbesondere in ihren Beschaffungs- und Vergabeprozessen jahrzehntelang ausschließlich auf proprietäre Software eingestellt hat.

Bei Open Source Software werden üblicherweise keine Lizenzen verkauft, sondern ergänzende Dienstleistungen angeboten. Das führt dazu, dass sich auf eine Ausschreibung für eine Open Source Software neben dem eigentlichen Software-Hersteller auch jeder beliebige andere Anbieter bewerben kann. Der Vorteil für die Verwaltung besteht hier in der Anbieterunabhängigkeit, also der Möglichkeit, bei Bedarf jederzeit den Anbieter wechseln zu können. Leider bringen nicht alle Anbieter auf dem Markt die erforderliche Expertise mit der entsprechenden Open Source Software mit, was für die ausschreibende Stelle nicht unbedingt auf den ersten Blick zu erkennen ist. Aus diesem Grund sind Vergabekriterien ein wichtiges Instrument für die erfolgreiche Beschaffung von Open Source.

Das billigste Angebot ist nicht immer das wirtschaftlichste

Ein weiteres Problem: Manche Anbieter kalkulieren nur ihren eigenen Service ein und nehmen die Open Source Software als gegeben hin, weil diese ja frei verfügbar ist. Sie investieren aber selber nichts in die Weiterentwicklung und Pflege der Software – das können ja andere (z.B. die Hersteller der Software) machen, so die Haltung. Ein solcher „Dumping“-Anbieter gewinnt dann manches Mal eine Ausschreibung, weil er in der Preiswertung den Preis von seriöseren Anbietern – die auch den Software-Hersteller am Geschäft beteiligen und die Sicherheit und Pflege der Software einkalkulieren – unterbieten kann.

Während bei proprietärer Software jede verkaufte Lizenz in die Kasse des Software-Herstellers einzahlt, ist das bei Open Source Software nicht immer der Fall. Der Open-Source-Hersteller wird nicht automatisch am Geschäft beteiligt. Irgendwann fehlen diesem Open-Source-Hersteller dann die finanziellen Mittel, um seine Entwickler zu bezahlen und die Software aktuell und sicher zu halten.

Die öffentliche Verwaltung hat dadurch erhebliche Nachteile, denn die von ihr genutzte Software wird dann nicht mehr ausreichend weiterentwickelt und gepflegt – oder steht irgendwann gar nicht mehr zur Verfügung. Dann ist das billigste Angebot rückblickend betrachtet eben doch nicht das wirtschaftlichste gewesen.

Vier Vergabekriterien für die nachhaltige Beschaffung von Open Source Software

Die Herausforderung für die öffentliche Verwaltung besteht also darin, die richtigen Anforderungen und Vergabekriterien zu entwickeln, damit eine Vergabestelle zuverlässig die Anbieter auswählen kann, die nachhaltig sichere und qualitativ hochwertige Software und Dienstleistungen bieten.

Die Open Source Business Alliance schlägt in ihrem neuen Positionspapier daher vier Kriterien vor, auf die Anbieter überprüft werden können:

  1. Beziehung zum Software-Hersteller / der Community: Besteht eine Geschäftsbeziehung zwischen dem Anbieter und dem Software-Hersteller bzw. der entsprechenden Community und inwieweit erfolgt im Rahmen des Auftrags eine Unterstützung durch diese?
  2. Sicherstellung der Upstream-Veröffentlichung vorgenommener Anpassungen und Patches: Wie trägt der Anbieter dafür Sorge, dass Änderungen an der Software auch wieder upstream als Open Source für die Allgemeinheit verfügbar gemacht werden?
  3. Sicherstellung eines hoch qualitativen Third-Level-Supports: Inwiefern ist der Auftragnehmer in der Lage, qualitativen Third-Level-Support zu gewährleisten? Besitzt er hierfür die Expertise mit dem Quellcode des konkreten Produkts oder kann er die Unterstützung des Herstellers gewährleisten?
  4. Absicherung der Lieferkette durch Unterstützung von Basiskomponenten: Open Source Software besteht oft aus vielen unterschiedlichen Komponenten. Unterstützt der Anbieter Entwickler und Projekte der einzelnen Softwarekomponenten, die in seinem Produkt verbaut sind? Das wird auch im Zusammenhang mit dem Cyber Resilience Act unter dem Motto “Sicherheit in der Lieferkette” relevant.

Feedback willkommen!

Die Open Source Business Alliance möchte mit ihrem Positionspapier Verwaltungsmitarbeitenden in den Beschaffungs- und Vergabestellen Impulse geben, wie Anbieter ausgewählt werden können, die den erfolgreichen Einsatz von Open Source Software auch tatsächlich sicherstellen können, und das nicht nur behaupten.

Der Verband freut sich über Anregungen und Feedback zum aktuellen Positionspapier. Insbesondere die Working Group Beschaffung in der Open Source Business Alliance steht jederzeit für einen Austausch oder eine Vorstellung der erarbeiteten Kriterien zur Verfügung.