IT-Konzerne und Open-Source / Akrites-Initiative

Jan-Felix Schrape | 1. Juli 2026

Das Thema Open-Source-Software bietet nach wie vor viele Untersuchungspotenziale für die sozialwissenschaftliche Forschung (meine Arbeiten dazu: Schrape 2015, 2016, 2016b, 2018, 2019, 2024, 2025), auch weil das Verhältnis von etablierten IT-Unternehmen und Open-Source-Projekten häufig mißverständlich dargestellt wird.

Tatsächlich sind die proprietäre und quelloffene Softwarentwicklung bereits seit Jahrzehnten eng ineinander verwoben – und inzwischen sind alle führenden IT-Unternehmen aktiv in die Entwicklung von Open-Source-Software (OSS) involviert. Apples Betriebssystem-Pakete macOS, iOS, tvOS und watchOS beispielsweise basieren im Kern auf dem Unix-ähnlichen Open-Source-Betriebssystem Darwin und enthalten Hunderte weiterer OSS-Komponenten (u.a. WebKit und XQuartz).

Ein anderes Beispiel ist Microsoft: Das Unternehmen, das OSS 2001 als „intellectual property destroyer“ bezeichnet hatte, gründete 2012 seine Tochtergesellschaft MS Open Technologies und begann, sich in verschiedenen OSS-Stiftungen zu engagieren. Seitdem hat das Unternehmen Teile des .NET Frameworks, Software-Entwicklungskits für seinen Cloud-Computing-Dienst Azure sowie zahlreiche weitere Komponenten unter OSS-Lizenzen veröffentlicht. Seit 2017 gilt Microsoft neben Google/Alphabet als weltweit führende korporative OSS-Beiträger; 2018 übernahm Microsoft GitHub (siehe Schrape 2026, S. 131f.):

»Ein anschauliches Beispiel für das Ineinandergreifen offener und proprietärer Innovationsdynamiken ist die Plattform GitHub, die nach ihrer Gründung 2008 binnen weniger Jahre zum zentralen Drehund Angelpunkt der globalen Open-Source-Softwareentwicklung geworden ist […]: Sie hat mit ihren standardisierten Repositorien, Schnittstellen und Tools einerseits die Ablaufeffektivität und die Austauschmöglichkeiten in und zwischen Open-Source-Projekten erheblich verbessert, andererseits aber auch zu einer Kanalisierung der individuellen und kollektiven Handlungsspielräume sowie zu einer zunehmenden Marktorientierung der Entwicklungsvorhaben beigetragen. Ferner hat GitHub zwischen 2012 und 2015 mehr als 300 Mio. US-Dollar an Wagniskapital eingeworben und wurde 2018 von dem Unternehmen Microsoft akquiriert, das inzwischen mehrere proprietäre Dienste in die Plattform integriert hat, so ab 2023 das KI-Tool GitHub Copilot. Dadurch sind die kommerzielle Softwareindustrie und kollaborative Open-Source-Communities auch infrastrukturell näher zusammengerückt.«

Mehr noch: Gerade im Bereich der kritischen Infrastrukturen des Internets nimmt OSS bereits seit den 1990er-Jahren eine fundamentale Rolle ein. Viele dieser OSS-Projekte wiesen lange Zeit freilich nur ein geringes Maß an organisatorischer Struktur auf und wurden in erster Linie von technischen Erfordernissen bestimmt.

Ein bemerkenswertes Beispiel, das auf potenzielle Risiken des Open-Source-Modells hinweist, besteht in der Verschlüsselungssoftware OpenSSL, die seit Ende der 1990er-Jahre in gängigen Betriebssystemen und Webarchitekturen Einsatz gefunden hat. Trotzdem wurde OpenSSL bis 2014 durch einen Vollzeitprogrammierer sowie ein kleines, freiwilliges Kernteam entwickelt und erhielt kaum finanzielle Unterstützung. Dieses Ungleichgewicht führte dazu, dass zwar kontinuierlich neue Features in OpenSSL integriert wurden, aber kaum mehr Wartungsarbeiten stattfanden. Das mündete 2012 in einem Flüchtigkeitsfehler in der Programmierung, aus dem eine gravierende Sicherheitslücke (»Heartbleed«) resultierte, die allerdings erst 2014 entdeckt wurde und das Auslesen eigentlich geschützter Daten auf nahezu allen informationstechnischen Geräten weltweit ermöglichte. Als Reaktion darauf gründete die Linux Foundation die branchenübergreifende Core Infrastructure Initiative (CII), um Projekte, die für das Funktionieren des Internets unerlässlich sind, finanziell zu unterstützen und zu koordinieren. Im Jahr 2020 wurde die CII von der Open Source Security Foundation abgelöst.

Im Juni 2026 hat die Linux Foundation nun zusammen mit großen IT-Unternehmen (u.a. Amazon Web Services, Anthropic, Cisco, Google, IBM, JPMorganChase, Microsoft / GitHub, NVIDIA, OpenAI, Red Hat) die Akrites-Initiative gegründet (»The name comes from the Akritai — the Byzantine Empire’s frontier guardians, who stood watch where threats arrived first and defenses were thinnest«). Das Ziel von Akrites (Projektwebsite) besteht darin, die Bearbeitung von Sicherheitslücken in kritischen OSS-Infrastrukturen zu koordinieren, diese Lücken vertraulich zu schließen und erst danach publik zu machen – auch und gerade vor dem Hintergrund stetig leistungsfähigerer KI-Modelle, die Schwachstellen in der Softwarearchitektur heute sehr viel schneller aufspüren können und damit den Druck für OSS-Projekte und kommerzielle Anbieter erhöhen. Aus der Pressemitteilung zum Launch:

»Open source software underpins virtually every layer of the modern digital economy, from banking and healthcare to energy, transportation, telecommunication, and government. Akrites enables industry coordination to support and defend critical infrastructure users and consumers of open source. Previously, finding and fixing serious flaws in open source software demanded comparable expertise from attackers and defenders alike. Today, frontier AI models can scan a major open source project and surface vulnerabilities in minutes. Once access to these capabilities is broadly available, bad actors who previously lacked the technical expertise to mount sophisticated attacks will have the tools they need to do so quickly.

[…] In the past, security response involved a patchwork of organizations often working on the same problems independently, sometimes shipping conflicting patches or burying maintainers under duplicate reports. Akrites changes that model. The initiative provides a single, trusted place to coordinate, remediate and disclose, with a shared SIRT serving as a predictable partner for maintainers rather than a flood of uncoordinated reports. Akrites commits to working with critical infrastructure to support patch deployment before vulnerable systems can be targeted.

Confidentiality is central to the effort. Bug fixes flow back into each project’s original home, on maintainers’ terms. Where a critical package has no active maintainer, Akrites will serve as maintainer of last resort so fixes to the latest version reach everyone in a timely fashion. The initiative will also coordinate with government efforts so public and private defenders move together.«