Lernt die SAP-Community aus dem Keinohrhasen-Rechtsstreit?

Das Urteil im Fall des Kleinohrhasen-Rechtsstreits begründete das Gericht unter anderem damit, dass „aufgrund des überdurchschnittlichen Erfolgs der Filme Anhaltspunkte für einen möglichen Anspruch der Klägerin auf weitere Beteiligung bestünden“. Das Urheberrecht sieht vor, „eine ursprünglich angemessene Vergütung bei überdurchschnittlichem Erfolg nachträglich anzupassen“. Auch wenn es hier „nur“ um Bücher und Filme geht, gilt §§ 32 ff. des Urheberrechtsgesetzes dennoch analog für alle urheberrechtlich geschützten Werke, also auch Software.

Sogenannte Open-Source-Lizenztrolle haben ein florierendes Geschäft entwickelt und bei vielen Firmen, wie zum Beispiel Telekom-Anbietern, erfolgreich sechs- bis siebenstellige Euro-Beträge eingeklagt. Auch wenn noch die Lizenztypen-Frage wie LGPL oder „Copy-Left“-Klauseln im Mittelpunkt von Klagen gegen Open-Source-Software-Anwender stehen, könnte der oben beschriebene Fall das Geschäft von Lizenzklägern und Anwälten noch weiter beleben.

Seit vielen Jahren erklärt uns E-3 Magazin Chefredakteur Peter Färbinger, dass Bildungsarbeit wichtig für die SAP-Community ist. Analog gilt dies für Unternehmen und Softwareentwickler, denn ohne vollständigen Überblick, welche Software (auch Open Source) in welcher Version und unter welchen Lizenzbedingungen eingesetzt wird, kann niemand Lizenz- oder potenzielle Sicherheitsrisiken verlässlich einschätzen.

Da die meisten Firmen mindestens Dutzende, in der Regel Hunderte oder Tausende von unterschiedlichen Open-Source-Komponenten einsetzen, ist das eine sehr schwierige Aufgabe. Es gibt jedoch bewährte Lösungen, die automatisiert nach im Unternehmen verwendeter Open-Source-Lösungen suchen und davor warnen, wenn Komponenten nicht den Lizenzvorgaben der Geschäftsleitung entsprechen, veraltet sind oder bekannte Sicherheitslücken haben.

Auch wenn dies für Leser abstrakt klingt, wird dies spätestens im Rahmen einer Due Diligence, wie beispielsweise für eine strategische Partnerschaft mit der SAP (Solution-Extension/Premium-Qualifikation), Venture-Kapital-Finanzierungen oder die Firmenübernahme (M&A) zum wichtigen Erfolgskriterium. Gerade in der Covid-19-Lockdown-Situation – ohne Besuchsmöglichkeiten – konnte man feststellen, dass selbst bei professioneller Vorbereitung immer noch Dinge unklar sein können und M&A-Verhandlungen komplizieren oder verzögern. Ohne entsprechende Werkzeuge und Vorbereitung würde dies wahrscheinlich zum frühzeitigen Abbruch von Verhandlungen für strategische Chancen führen.

Unabhängig vom lizenzrechtlichen Thema hat sich die Anzahl von Cyber-Security-Attacken auf Firmen in den letzten Jahren dramatisch vergrößert und 2020 selbst erfahrene Player wie die Software AG empfindlich getroffen. Leider muss man auch beobachten, dass die „Qualität“ dieser Attacken ganz neue Level erreicht und staatliche Stellen verstärkt bei Cyber-Angriffen auch gegen Firmen mitmischen (siehe zum Beispiel Stuxnet oder den aktuellen SolarWinds-Hack, den vermutlichen größten Cyber-Angriff gegen die westliche Welt). Bei erfolgreichen Angriffen entsteht in der Regel ein großer wirtschaftlicher Schaden unter anderem durch Ausfälle, aufwendige Schadensbehebung und Imageverluste.

Was kann die SAP-Community also tun? Peter Färbingers Empfehlung folgen, sich weiterbilden und Open-Source- und Security-Überwachungslösungen einsetzen, wie zum Beispiel die kostenlose Lösung VersionEye aus Mannheim, die selbst Open Source ist und sowohl leistungsfähige Lizenz- als auch Security-Überwachung bietet, oder Snyk aus Israel für Software-Container-Überwachung.

Da viele Firmen Partnernetzwerke haben, sollte nicht nur die eigene Sicherheitslage, sondern auch die von Partnern überwacht werden. Hier setzt die LocateRisk-Lösung aus Darmstadt an. Merkmal von professionellen Cyber-Angriffen ist oftmals die Verschleierung von Angriffen und Vernichtung forensischer Spuren – auch in Logs und Datensicherungen. Deshalb benötigt man eventuell auch die neue Distributed-Ledger-basierte Lösung Chainkit.