Open Source in der Technical Due Diligence

 

28. Oktober 2025

Open Source in der Technical Due Diligence

 

 

Warum sind Open Source Lizenzen bei einer technischen Due Diligence relevant ?

 

Bei einer technischen Due Diligence prüft ein Private Equity Investor oder ein M&A Käufer neben Codequalität auch die verwendeten Softwarebibliotheken und Plattformen. Open Source Software (OSS) ist heute in nahezu jedem Technologieprodukt enthalten und bietet Vorteile wie schnellere Entwicklung oder größere Community. Aber OSS bringt auch Lizenzrisiken mit sich. Unternehmen müssen sicherstellen dass sie nicht gegen Lizenzbedingungen verstoßen und damit Gefahr laufen Kosten zu verursachen oder proprietären Code preiszugeben. Richtige Lizenzbewertung gehört deshalb zur Standardprüfung im TDD Prozess. 

 

 

Was sind die wichtigsten Lizenzkategorien und wie unterscheiden sie sich ?

 

Open Source Lizenzen lassen sich grob in zwei Kategorien einordnen. Eine Kategorie nennt man permissive Lizenzen wie MIT oder Apache 2.0. Diese erlauben sehr viele Freiheiten bei Nutzung Änderung und Distribution. 

Die andere Kategorie nennt sich copyleft Lizenzen wie GPL oder AGPL. Diese verlangen dass der Quellcode auch bei Nutzung im Produkt unter derselben Lizenz veröffentlicht wird. Besonders die AGPL greift sogar bei Nutzung über das Netzwerk. 

 

Für Investoren bedeutet das dass bei Verwendung einer copyleft Lizenz die Kosten und Risiken höher sind als bei einer permissiven Lizenz.

 

 

Was ist bei einer permissiven Lizenz wie MIT oder Apache zu beachten ?

 

Wenn ein Produkt Bibliotheken unter MIT oder Apache nutzt, dann sieht die Lage meist günstig aus, denn diese Lizenzen erfordern keine Veröffentlichung des eigenen Codes. Dennoch bestehen Auflagen, wie das Einfügen von Copyright Hinweisen oder Lizenztexten.

 

Ein weiterer Risikofaktor ist die Kompatibilität zwischen Lizenzen. Werden verschiedene Bibliotheken mit unterschiedlichen Lizenzen kombiniert, kann dies zu Konflikten führen. 

 

 

Welche Risiken bringen copyleft Lizenzen wie AGPL mit sich ?

 

Die AGPL verlangt dass beim Einsatz über ein Netzwerk oder als SaaS Version der vollständige Quellcode inklusive eigener Modifikationen veröffentlicht werden muss. Für Unternehmen, die proprietäre Technologie besitzen, ist dies ein erhebliches Risiko. 

 

Deshalb ist es wichtig herauszufinden wie tief OSS Komponenten in das Produkt integriert sind und ob eigene Anpassungen vorliegen. Eine falsche Einordnung kann im schlimmsten Fall zu Lizenzverstößen und rechtlichen Folgen führen.

 

 

Wie kann ich Sicherheitslücken überwachen und schnell reagieren?

 

Ein oft unterschätzter Risikofaktor beim Einsatz von Open Source Software liegt nicht nur in der Lizenzierung, sondern auch in sicherheitsrelevanten Schwachstellen. OSS-Komponenten enthalten häufig bekannte Sicherheitslücken (Vulnerabilities), die regelmäßig in öffentlichen Datenbanken wie CVE gemeldet werden. Im Rahmen einer technischen Due Diligence sollte daher nicht nur ein einmaliger Scan erfolgen, sondern geprüft werden, ob im Zielunternehmen ein strukturierter Open Source Governance Prozess existiert.

 

Dieser sollte automatisiert Sicherheitslücken identifizieren, Tickets mit passenden Prioritäten erstellen und den zuständigen Entwicklungsteams zuordnen. Entscheidend ist dabei nicht nur die technische Erkennung, sondern auch die organisatorische Umsetzung, inklusive messbarer Reaktionsgeschwindigkeit. Die durchschnittliche Zeit bis zur Behebung (Time to Fix) sollte regelmäßig gemessen und als KPI überwacht werden, um das Sicherheitsniveau über den Lebenszyklus des Produkts hinweg aktiv zu steuern. Ein solcher Prozess reduziert nicht nur Risiken für den laufenden Betrieb, sondern stärkt auch die Bewertung aus Investorensicht.

 

 

Was sollte die OSS Governance abdecken ?

 

Ein wirksames OSS Governance Framework sollte klare Richtlinien und Prozesse zur Auswahl, Nutzung, Wartung und Dokumentation von Open Source Komponenten festlegen. Dazu gehören definierte Kriterien für die Zulassung neuer Bibliotheken, eine kontinuierlich gepflegte Software Bill of Materials (SBOM), ein Prozess zur Identifikation und Bewertung von Lizenzpflichten und Sicherheitslücken, sowie Regelungen zur Behebung von Schwachstellen.

 

Die Governance sollte auch automatisierte Werkzeuge zur Lizenz- und Vulnerability-Erkennung integrieren und Schnittstellen zu Issue-Tracking-Systemen bieten. Idealerweise werden bei der Erkennung von Änderungen in den Lizenzbedingungen oder bei neuen Sicherheitslücken sofort Tickets für die Build-Pipeline oder das passende Engineering Team erstellt, mit einer zuvor definierten Frist und einer automatisierten Überwachung.

 

Darüber hinaus ist eine Rollenverteilung essenziell, etwa wer für die Freigabe, Pflege oder das Entfernen von OSS-Komponenten verantwortlich ist. Schulungen, regelmäßige Audits und Metriken wie Time-to-Fix und Policy-Verstöße runden ein solides OSS Governance Modell ab. So wird Open Source kalkulierbar, kontrollierbar und sicher in der Skalierung.

 

 

Welche Fragen sollten sich Investoren im Rahmen einer Due Diligence stellen

 

Für Investoren ist die Nutzung von Open Source Software ein zentraler Indikator für technologische Reife und Compliance-Bewusstsein. Daher sollten sie gezielt hinterfragen, ob das Unternehmen über eine vollständige und aktuelle Software Bill of Materials verfügt, welche Lizenzen im Einsatz sind und ob eine automatisierte Lizenz- und Vulnerability-Überwachung implementiert ist.

 

Ebenso wichtig ist, zu verstehen, ob kritische OSS-Komponenten in Schlüsselprodukten verbaut sind, ob Copyleft-Lizenzen in Verbindung mit proprietärem Code stehen und wie Verstöße oder Sicherheitslücken intern behandelt werden.

 

Ein weiterer Prüfpunkt betrifft die organisatorische Verankerung. Gibt es einen formalen OSS-Owner, ein Governance-Board oder definierte Eskalationspfade? Auch die Qualität des Reaktionsprozesses ist entscheidend, also wie schnell und nachvollziehbar das Unternehmen auf neue Schwachstellen oder Lizenzänderungen reagiert. Nur wer diese Fragen systematisch stellt, kann die technische und rechtliche Belastbarkeit eines Zielunternehmens realistisch bewerten.

 

 

Fazit

 

Open Source ist kein Risiko per se, sondern ein Wettbewerbsvorteil, vorausgesetzt, es wird bewusst und kontrolliert eingesetzt. Die Qualität des OSS-Managements ist ein direkter Spiegel der technologischen Professionalität eines Unternehmens.

 

Eine gute Governance, transparente Lizenzstruktur und konsequente Vulnerability-Überwachung schaffen Vertrauen und schützen vor späteren Überraschungen. Wer hier früh prüft und klare Standards einfordert, reduziert nicht nur rechtliche Risiken, sondern sichert den nachhaltigen Wert der Technologieinvestition.

 

 

 

Experten mit Struktur und auf Augenhöhe

finden Sie bei der F&P Executive Solutions AG.

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.