Der Sovereign Tech Fund investiert 875.000 Euro in die OpenJS Foundation, um die Infrastruktur und Sicherheit von Open Source zu verbessern
Cailean Osborne | 10 Mai 2023
Regierungen auf der ganzen Welt erkennen zunehmend, dass Open-Source-Software (OSS) eine kritische digitale Infrastruktur darstellt und dass mehr zur nachhaltigen Förderung ihrer Entwicklung, Wartung und Sicherheit getan werden muss. In der Vergangenheit kam die finanzielle Unterstützung für OSS hauptsächlich aus dem privaten Sektor. Doch das Interesse des Regierungssektors an der Förderung von OSS hat in den letzten Jahren aufgrund von Bedenken hinsichtlich digitaler Souveränität und Softwaresicherheit zugenommen.
In diesem Zusammenhang ist der deutsche Sovereign Tech Fund (STF) ein erwähnenswertes Beispiel. Er wurde im Oktober 2022 gegründet und zielt auf eine nachhaltige Stärkung der Infrastruktur und Sicherheit kritischer Open-Source-Ökosysteme ab. Am 2. Mai 2023 brachte der Fond 875.000 Euro an Kapital für die OpenJS Foundation auf – die größte einmalige staatliche Fördersumme, die jemals in ein Projekt der Linux Foundation investiert wurde. Als einer der ersten staatlichen Fonds spezifisch für OSS steht der STF an der vordersten Front eines entscheidenden Wandels der Art und Weise, wie Regierungen in die langfristige Rentabilität von OSS und digitalen öffentlichen Gütern investieren.
Fortschritte bei der staatlichen Förderung von Open Source
In den letzten Jahren wurde OSS von Regierungen auf der ganzen Welt zunehmend als digitale Infrastruktur anerkannt. Eine oft zitierte Statistik besagt, dass sich 70–90 % aller Software-Stacks aus OSS zusammensetzen. Laut der aktuellen Analyse von Synopsys (2023) ist OSS sogar in 96 % der Codebasen enthalten.
Die Entdeckung der Log4Shell-Sicherheitslücke im Apache Log4J Framework im November 2021 trug maßgeblich dazu bei, dass viele Regierungen verstärkt strategische Überlegungen zum Thema OSS anstellten, insbesondere im Hinblick auf die Sicherheit von Software-Lieferketten. Öffentliche Verwaltungen und die globale digitale Wirtschaft insgesamt sind von OSS als kritische digitale Infrastruktur abhängig. Die Schwachstelle machte die Folgen von zu geringer Investition in die Wartung und Sicherheit von OSS deutlich.
In der Tat setzt sich zunehmend die Erkenntnis durch, dass mehr Einsatz zur Unterstützung der Menschen erforderlich ist, die hinter dem Code stehen – zum Beispiel durch die Förderung der Entwickler-Communities, die OSS verwalten und sichern. Bereits im Rahmen der Linux Foundation Europe haben wir dafür plädiert, dass Organisationen aus verschiedenen Sektoren zusammenarbeiten, um die Open-Source-Communities zu fördern, die unsere digitale Infrastruktur auf nachhaltige Weise aufbauen und pflegen. Zum gleichen Thema hat OpenSSF einen 10-Punkte-Plan zur Mobilisierung der OSS-Sicherheit entworfen. Hier wird der Bedarf an Fördermitteln, um schnell gründlich geprüfte Lösungen für die zehn Hauptprobleme der Softwaresicherheit zu entwickeln, für die nächsten zwei Jahre auf 150 Millionen US-Dollar geschätzt.
Auch seitens anderer Organisationen werden Stimmen laut, die langfristige Fördermaßnahmen zur Unterstützung von OSS-Projekten fordern. So verglich die Cyber Statecraft Initiative des Atlantic Council kürzlich OSS mit drei Arten von Infrastrukturen und schlug vor, einen OSS-Treuhandfond für nachhaltige und langfristige Investitionen in OSS einzurichten. Außerdem schlug Paul Keller von OpenFuture EU vor, einen öffentlichen europäischen Fond für digitale Infrastruktur einzurichten, während Katja Bego die Gründung eines öffentlichen Technologiefonds auf EU-Ebene anregte, der sich der Entwicklung und Wartung von OSS widmet.
Bisher wurde OSS hauptsächlich durch den privaten Sektor und individuelle Geldgeber gefördert: von der Unterstützung von Projekten (z. B. durch FOSS Funds) bis hin zur Investition finanzieller und technischer Ressourcen in Open-Source-Projekte. Im Zuge einer Studie der Europäischen Kommission wurde geschätzt, dass in der EU ansässige Unternehmen im Jahr 2018 rund 1 Milliarde Euro in OSS investierten, was Schätzungen zufolge in jenem Jahr einen Beitrag zur EU-Wirtschaft in Höhe von 65 bis 95 Milliarden Euro entsprach.
Unterdessen hat der öffentliche Sektor Nachholbedarf. Es gibt jedoch eine Reihe vielversprechender Entwicklungen, darunter denn Open Technology Fund der US-Regierung (2012), die Initiative Next Generation Internet (2018) der Europäischen Kommission und Deutschlands STF (2022).
SPOTLIGHT: STF investiert 875.000 EUR in die OpenJS Foundation
Der STF wurde im Oktober 2022 mit dem Ziel gegründet, die Open-Source-Ökosysteme nachhaltig zu stärken, die von der Regierung als „kritische digitale Infrastrukturen“ anerkannt werden. Seitens des STF wird argumentiert, dass es ohne ein robustes Open-Source-Ökosystem keine digitale Souveränität geben kann.Laut STF ist die Förderung von Open Source wichtig, weil „das Open-Source-Ökosystem zwar unglaublich erfolgreich, aber auch zunehmend verletzlich ist. Die Anzahl der Menschen, die die Software nutzen, ist deutlich größer als die, die dazu beitragen. Es ist an der Zeit, in Digital Commons, Communities von Freiwilligen und das Open-Source-Ökosystem zu investieren, um die digitale Welt zu schaffen, die wir uns wünschen.“
Der STF wird vom Bundesministerium für Wirtschaft und Klimaschutz gefördert und ist derzeit Teil der SPRIND GmbH, der Bundesagentur für Sprunginnovationen. Allein für das Jahr 2023 verfügt er über ein Budget von 11,5 Millionen Euro und fördert bereits eine Reihe von Projekten, von cURL bis OpenBLAS.
„Wir hoffen, dass dadurch ein JavaScript-Ökosystem entsteht, das sich nicht nur in Deutschland, sondern weltweit weiterentwickelt. Es ist ermutigend, dass die deutsche Regierung diese Initiative ergreift und in die wichtige Open-Source-Infrastruktur investiert, die das Internet antreibt, um so das Leben der Bürger zu verbessern.“
– Robin Ginn, Executive Director der OpenJS Foundation
Mit der Investition wird die OpenJS Foundation Infrastruktur-Updates für ihr gesamtes Projektportfolio durchführen, ein verantwortungsbewusstes Auslaufprogramm für inaktive Projekte einführen sowie moderne Sicherheits- und Wartungsrichtlinien und -praktiken für kritische Projekte entwickeln und umsetzen. Entscheidend ist, dass diese Investition nicht nur innerhalb Deutschlands Erfolg hat, sondern auch zur weltweiten Weiterentwicklung des JavaScript-Ökosystems beiträgt. Von diesem Fortschritt profitieren alle Akteure, die JavaScript-Bibliotheken nutzen.
Wie geht es jetzt weiter?
Wir begrüßen die Führungsrolle der deutschen Regierung bei der Einrichtung des STFs und die Umsetzung konkreter Maßnahmen zur finanziellen Unterstützung kritischer OSS-Projekte, von denen (nicht nur deutsche) Regierungen und die gesamte globale digitale Wirtschaft abhängig sind.Wir hören immer wieder, dass es für Open-Source-Champions in öffentlichen Verwaltungen schwierig ist, ihr Management oder die politische Führung zu Investitionen in Open Source zu bewegen. Während der private Sektor gewinnorientiert ist, hat der öffentliche Sektor die Schaffung von öffentlichen Werten zum Ziel. Und der öffentliche Wert, der durch die Förderung von OSS entsteht, ist schwer zu messen. Aus gutem Grund haben die Regierungen klare Richtlinien dafür, wie öffentliche Gelder ausgegeben werden können, und das Fehlen von quantitativen Mitteln ist oft ein großes Hindernis für Behördenmitarbeiter, die OSS-Projekte finanzieren wollen.
Noch stekt der STF in den Kinderschuhen. Allerdings kann diese Initiative einen Präzedenzfall schaffen und als Vorbild für andere Regierungen in Europa und anderswo dienen, die ebenfalls versuchen, die Nachhaltigkeit der digitalen Open-Source-Infrastruktur zu unterstützen, von der vielfältige Interessengruppen in verschiedenen Sektoren und Ländern profitieren. Somit fördert der Fond einen wichtigen kulturellen Wandel im Hinblick auf die Art und Weise, wie Regierungen in die langfristige Rentabilität von OSS und digitalen öffentlichen Gütern investieren. Wir hoffen, dass wir davon in Zukunft noch mehr sehen werden.
Neben der Finanzierung der digitalen Open-Source-Infrastruktur begrüßen wir den förderungsbasierten Ansatz des STF zur Verbesserung der Sicherheit wichtiger Open-Source-Projekte. Während Entscheidungsträger innerhalb und außerhalb der EU die politischen Optionen zur Gewährleistung einer größeren Cybersicherheit abwägen, schafft der STF ein angemessenes Gleichgewicht zwischen der Verbesserung der (Open-Source-)Softwaresicherheit einerseits und dem Verständnis der Open-Source-Entwicklungskulturen und -Praktiken andererseits. Wir sehen darin einen positiven Schritt zur langfristigen Aufrechterhaltung und Sicherung von OSS.